CN104700024A - 一种Unix类主机用户操作指令审计的方法和系统 - Google Patents
一种Unix类主机用户操作指令审计的方法和系统 Download PDFInfo
- Publication number
- CN104700024A CN104700024A CN201310665424.5A CN201310665424A CN104700024A CN 104700024 A CN104700024 A CN 104700024A CN 201310665424 A CN201310665424 A CN 201310665424A CN 104700024 A CN104700024 A CN 104700024A
- Authority
- CN
- China
- Prior art keywords
- operational order
- daily record
- user
- log
- operation log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种Unix类主机用户操作指令审计的方法和系统,方法包括:采集当前登录用户在主机上的操作指令和/或屏幕显示内容,并将所述用户操作指令和/或屏幕显示内容发送到一准实时日志中;对所述准实时日志进行筛选,并根据关联规则进行关联,形成带有账号的操作日志;对所述操作日志进行定期展示或者按照告警提醒规则对所述操作日志进行逐一匹配,并在发现高危操作指令时通知给用户。该方法不用部署堡垒主机,解决了UNIX类主机由于“合法”违规操作而导致数据误删除、数据破坏、数据泄密等致使IDC承租企业利益受损的行为。
Description
技术领域
本发明涉及一种Unix类主机用户操作指令审计的方法和系统,属于通信领域。
背景技术
互联网数据中心(Internet Data Center,简称IDC)是基于Internet网络,为集中式收集、存储、处理和发送数据的设备提供运行维护的设施基地并提供相关的服务。IDC提供的主要业务包括主机托管(机位、机架、机房出租)、资源出租(如虚拟主机业务、数据存储服务)、系统维护(系统配置、数据备份、故障排除服务)、以及负载均衡、流量分析等其他支撑、运行服务等。
目前,在绝大多数互联网数据中心内部几乎都部署了防火墙、IDS、IPS系统等安全设施,IDC运营者将这些网络安全设施承租给IDC内高端、重要业务客户使用。同时高端、重要业务客户利用这些防火墙、IDS、IPS等常规的网络安全产品建立了基础的网络安全防护措施,虽然这些基础网络安全防护措施可以解决一部分安全问题,并在实际中取得了一定效果。但是在现实中针对IDC承租客户来说IDC内网络安全事件仍时有发生,造成这些不合规、不合法的行为很多来源于承租IDC计算资源客户中内部“合法”的用户违规操作,这种由于“合法”违规操作而导致数据误删除、数据破坏、数据泄密等致使IDC承租企业利益受损的行为,而上述防火墙、IDS、IPS等常规的网络安全产品却显得无能为力。
针对IDC内承租客户这种“合法”违规操作发生的情况,由于UNIX类主机系统自身的Syslog日志不记录用户的操作指令日志,所以目前IDC内一般会采用以下两种方式来进行处理,一种方式是人工方式,即在“合法”违规事件发生并对承租人造成具体损失后,由承租人事后聘请专业的安全专家通过人工提取系统环境参数、日志文件等信息,并经过关联分析、逻辑推理来推定是哪位内部“合法”用户的违规操作行为;另一种方式是通过单独部署运维审计型堡垒机方式(公司内部4A方式),即堡垒主机部署在内网中的服务器和网络设备等核心资源的逻辑前端,通过堡垒主机来记录承租IDC内计算资源的用户操作行为,以此来发现“合法”用户的违规操作行为。
针对IDC承租企业内部“合法”违规操作而致使本企业利益受损后处置追查的第一种方式,即人工方式属于被动式追查方式,这种方式往往要求专业的安全专家依据最后现场所收集到的系统环境参数、日志文件等基础信息并根据自身的经验对该违规操作进行关联分析,来推定具体违规人员,但是一般“合法”用户在进行违规操作后,均会主动清除本次所有的操作信息、日志记录避免被追查,从而无法追踪的具体人员,即使能够推测出具体“合法”用户,也无法最终进行确认,同时该种方式无法满足自定义高危操作指令准实时性提醒的要求。
针对第二种方式,由于考虑到UNIX类主机自身的Syslog日志自身不包含操作日志,需通过单独部署运维审计型堡垒机方式(公司内部4A方式),这就要求我们IDC运营单位先期购买并部署大量的物理实体堡垒主机,占用公司大量前期投资;同时由于这些堡垒主机均是各个安全厂家专用的物理实体机器,没有统一的标准,所以与目前IDC内基于云计算的虚拟主机难以融合,占用公司的日常维护资源。
同时对于IDC承租方来说,额外租用这些物理实体堡垒主机,增加了IDC承租方的经济负担,即使IDC承租人经济上不是问题,由于运维审计型堡垒机(公司内部4A方式)部署在内网中的服务器和网络设备等核心资源的逻辑前端,从目前来看在具体维护人员实际的日常使用过程中还是存在一定的时延、断线等问题,影响具体使用人员的用户感知,针对公司内部员工可通过集团公司规章制度要求让公司具体一线维护人员坚持使用,但是针对IDC承租方外部客户来说这种时延、断线可能造成客户的流失。同时单个堡垒机存在单点故障的可能,最后个别运维审计型堡垒机(公司内部4A方式)要求保存IDC承租人用户的所有账号信息和密码,增加了IDC承租人的安全管理风险。
发明内容
本发明所要解决的技术问题是提供一种安全和方便的用户操作指令审计的方法和系统。
本发明解决上述技术问题所采取的技术方案如下:
一种Unix类主机用户操作指令审计的方法,包括:
采集当前登录用户在主机上的操作指令和/或屏幕显示内容,并将所述用户操作指令和/或屏幕显示内容发送到一准实时日志中;
对所述准实时日志进行筛选,并根据关联规则进行关联,形成带有账号的操作日志;
对所述操作日志进行定期展示或者按照告警提醒规则对所述操作日志进行逐一匹配,并在发现高危操作指令时通知给用户。
其中,对所述准实时日志进行筛选,并根据关联规则进行关联,形成带有账号的操作日志,包括:
基于操作日志特征和账号特征对所述准实时日志进行筛选,将所有符合账号日志特征和操作日志特征的日志筛选出来;
以登录账号为关联主键,对所述筛选出来的账号日志和操作日志进行关联以建立起带有账号的操作日志。
进一步地,优选的是,基于history指令实时采集当前登录用户在主机上的操作指令;和/或,基于screen指令采集当前登录用户在主机上的屏幕显示内容。
进一步地,优选的是,基于Syslog的方式将所述用户操作指令和/或屏幕显示内容准实时地发送到所述准实时日志中。
一种Unix类主机用户操作指令审计的系统,包括:
日志生成模块,用于采集当前登录用户在主机上的操作指令和/或屏幕显示内容,并将所述用户操作指令和/或屏幕显示内容发送到一准实时日志中;
日志采集及存储模块,用于接收并存储所述准实时日志;
日志关联处理模块,用于对对所述准实时日志进行筛选,并根据关联规则进行关联,形成带有账号的操作日志;
日志触发告警规则过滤模块,用于按照告警提醒规则对所述操作日志进行逐一匹配,并在发现高危操作指令时通知给系统展现及高危操作指令提醒模块;
系统展现及高危操作指令提醒模块,用于对所述操作日志进行展示或者在发现高危操作指令时通知给用户。
进一步地,优选的是,所述日志关联处理模块,对所述准实时日志进行筛选,并根据关联规则进行关联,形成带有账号的操作日志,具体包括:
基于操作日志特征和账号特征对所述准实时日志进行筛选,将所有符合账号日志特征和操作日志特征的日志筛选出来;
以登录账号为关联主键,对所述筛选出来的账号日志和操作日志进行关联以建立起带有账号的操作日志。
进一步地,优选的是,所述日志生成模块,进一步用于基于history指令实时采集登录用户在主机上的操作指令;或者,基于screen指令采集登录用户在主机上的屏幕显示内容。
进一步地,优选的是,还包括:
日志标准化及分发模块,用于对所述准实时日志按照预设的规则进行标准化,形成标准化的准实时日志。
本发明采取了上述方案以后具有以下的技术效果:
本发明能够采集当前登录用户在主机上的操作指令和/或屏幕显示内容,并将所述用户操作指令和/或屏幕显示内容发送到一准实时日志中,从而进行后续的分析,该方法不用部署堡垒主机,解决了UNIX类主机由于“合法”违规操作而导致数据误删除、数据破坏、数据泄密等致使IDC承租企业利益受损的行为。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
下面结合附图对本发明进行详细的描述,以使得本发明的上述优点更加明确。其中,
图1是本发明实施例Unix类主机用户操作指令审计的方法的流程示意图;
图2是本发明实施例Unix类主机用户操作指令审计的方法的系统实际架构图;
图3是本发明实施例Unix类主机用户操作指令审计的系统的结构示意图;
图4是本发明实施例Unix类主机用户操作指令审计的方法的实施例的示意图;
图5是本发明实施例Unix类主机用户操作指令审计的方法中基于history命令方式采集用户操作日志的方法流程图;
图6是本发明实施例Unix类主机用户操作指令审计的方法中基于screen指令方式采集用户操作日志的方法流程图;
图7是本发明实施例Unix类主机用户操作指令审计的方法中针对账号日志和操作日志进行关联的方法流程图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合,所形成的技术方案均在本发明的保护范围之内。
另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
具体来说,为了克服克服上述已有方式的不足,本发明提供了一种Unix类主机用户操作指令审计的方法,如图1所示,包括:
步骤101:采集当前登录用户在主机上的操作指令和/或屏幕显示内容,在优选的实施例中,基于UNIX系统默认history指令和screen指令的SHELL特征方式生成用户操作指令和屏幕显示内容的日志,例如,基于history指令实时采集当前登录用户在主机上的操作指令;基于screen指令采集当前登录用户在主机上的屏幕显示内容。
步骤102:将所述用户操作指令和/或屏幕显示内容存储于一准实时日志中,具体来说,基于Syslog的方式将所述用户操作指令和/或屏幕显示内容准实时地发送到所述准实时日志中。
步骤103:对所述准实时日志进行筛选,即根据基于操作日志特征和账号特征对所述准实时日志进行筛选,将所有符合账号日志特征和操作日志特征的日志筛选出来。
步骤104:根据关联规则进行关联,形成带有账号的操作日志;
在实施例中,即以登录账号为关联主键,对所述筛选出来的账号日志和操作日志进行关联以建立起带有账号的操作日志。
步骤105:对所述操作日志进行定期展示或者按照告警提醒规则对所述操作日志进行逐一匹配,并在发现高危操作指令时通知给用户。
在实施例中,上述操作日志是一个动态的操作日志,由此,该方法能够实时地进行高危操作指令匹配,从而能够及时地发现那些容易导致数据误删除、数据破坏、数据泄密的高危指令,并能够及时通知用户,如,操作者本人或者管理者。
并且,该方法在实施例中,主要基于UNIX系统默认history指令和screen指令的SHELL特征方式生成用户操作指令和屏幕显示内容的日志,并基于Syslog方式的UNIX类主机用户操作指令审计的方法和系统中,从而不用部署堡垒主机。
例如,基于history指令实时采集用户最新的操作指令,并生成本地日志信息,以Syslog方式发送到所述准实时日志中。
或者,进一步地,基于history指令实时采集用户最新的操作指令;
获取所述最新的操作指令的时间信息,将所述时间信息与所述最新的操作指令进行聚合生成操作日志信息,将所述操作日志信息存储于本地日志中,同时以Syslog方式发送到所述准实时日志中。
或者,基于screen指令采集用户执行操作指令后回显的所有屏幕显示内容,并生成本地日志信息,以Syslog方式发送到所述准实时日志中。
或者,进一步地,基于screen指令采集用户执行操作指令后回显的所有屏幕显示内容;
基于管道重定向的方式从包含操作日志信息中的本地存储日志中获取到所述操作指令和时间信息。
对所述操作指令、时间信息和屏幕显示内容进行聚合以形成主机操作日志信息,以Syslog方式发送到所述准实时日志中。
其中,结合图4,本发明UNIX类主机用户操作指令审计的方法,主要进一步包括以下的详细步骤:
步骤一:日志数据生成步骤,即针对UNIX类计算资源采用基于系统默认自带的history指令或screen指令的SHELL脚本生成账号日志和操作日志,并通过Syslog方式进行准实时发送;
步骤二:日志数据采集步骤,即UNIX类计算资源通过自身的Syslog机制,将所有info级别的日志准实时发送至日志采集和存储模块;
步骤三:日志数据标准化步骤,即日志数据采集后,通过初试定义的统一标准化日志格式,将所有生成的日志按照统一的格式进行标准化入库,方便后续对所有日志进行统一处理;
步骤四:账号和操作日志筛选步骤,即在所有标准化后的Syslog日志将所有属于账号类日志特征和操作类日志特征的日志筛选出来,单独建立日志队列;
步骤五:账号日志和操作日志关联步骤,即将账号日志和操作日志根据登录账号为关联主键,建立单独的操作日志会话队列;
步骤六:日志触发告警规则过滤步骤,即对上述的日志队列中的日志,逐条按照该用户资产组内用户自定义的高危操作指令告警提醒规则进行匹配,将符合的规则派发给短信端口;
步骤七:系统WEB展现及高危操作指令告警提醒步骤,即短信提醒模块将符合的高危操作指令告警提醒信息,例如,以短信的方式发送至当前配置的用户,以帮助IDC承租人及时准确发现所租用计算资源的异常登录情况;同时审计系统自带的Web方式,提供固定期限时间内所有IDC承租者设备的所有操作日志。
以下对本发明的两种采集方法进行详细的说明,具体来说,基于history指令实时采集当前登录用户在主机上的操作指令;和/或,基于screen指令采集当前登录用户在主机上的屏幕显示内容。
其中,利用history指令的原理介绍如下,即在UNIX类计算资源中,在用户进行指令操作时,系统在history指令中自动记录中用户最新的实际指令,所以我们将每次最新的实际指令通过管道重定向方式到系统message(info级别)中。
比如,如图5所示,以linux系统为例,历史命令存在于用户目录下的.bash_history内,通过修改用户环境变量同时将利用tail命令获取最新的操作指令,通过管道重定向方式到系统message(info级别)中:Tail–f.bash_history|logger来获取操作指令日志。
这种操作日志采集方式优点是无需在UNIX类主机上安装特殊的工具,且准实时;缺点是只能发送操作记录,每次指令执行后的屏幕显示内容无法获取。
在实施场景中,其具体的实施步骤为:
步骤一:获取操作日志要求的时间、指令等单一信息;
修改用户环境变量,获取指令执行时间:
vi/etc/profile//修改用户环境变量
HISTTIMEFORMAT=”%Y%m%d-%H%M%S:”
步骤二:聚合生成操作日志统一信息;
通过系统内部自带的logger命令,将上述单一信息进行聚合,形成主机操作日志信息;
步骤三:发送到自身syslog日志中;
例如,tail–f.bash_history|logger//Linux的历史命令存在于用户目录下的.bash_history内,通过管道重定向到message(info级别)中。
步骤四:通过自身Syslog方式发送操作日志给采集机。
vi/etc/syslog.conf//修改Syslog配置文件
*.info采集机IP地址//将所有info级别的日志指向采集机。
其中,如图6所示,利用screen指令实施原理如下,即在UNIX类计算资源中,在用户进行指令操作时,系统在screen指令(某些UNIX类主机需安装该命令)中自动记录中用户所有屏幕显示,所以我们通过修改用户环境变量,在用户登录后自动进入screen模式,这样在开启screen命令后,用户的所有操作、屏幕显示均会在本地生成日志,同时将利用tail命令获取最新的操作指令,通过管道重定向方式到系统message(info级别)中:Tail–fscreen.log|logger来获取操作指令日志。
这种操作日志采集方式优点是全部记录用户操作的指令和指令执行后返回的屏幕显示,且准实时;缺点是某些类型UNIX类主机需增加screen指令。
其实施步骤为:
步骤一:获取操作日志要求的时间、指令、指令回显等单一信息
用户登录后,修改配置文件系统自动执行:screen–L指令
修改用户环境变量,获取指令执行时间:
vi/etc/profile//修改用户环境变量
HISTTIMEFORMAT=”%Y%m%d-%H%M%S:”
步骤二:聚合生成操作日志统一信息
通过系统内部自带的logger命令,将上述单一信息进行聚合,形成主机操作日志信息;
步骤三:发送到自身syslog日志中
tail–f screen.log|logger//开启screen指令后,用户所有的操作、屏幕显示均会在本地生成日志,通过管道重定向到message(info级别)中,并发送,其中,tail指令是从指定点开始将文件写到标准输出。
步骤四:通过自身Syslog方式发送操作日志
vi/etc/syslog.conf//修改Syslog配置文件
*.info采集机IP地址//将所有info级别的日志指向采集机。
以下进一步地对其中的关联步骤进行说明,如图7所示,该方式的具体实施步骤为:
步骤一:动态用户账号队列建立步骤;
即对于每一个用户账号登录日志建立一个以账号为关键字的动态队列(同一个设备(相同IP地址)每个不同账号一个队列)。
步骤二:用户操作指令规则匹配步骤;
即对于每一条操作指令日志,根据操作指令日志中账号,分配到步骤一中建立的用户账号动态队列中,重复往复,同时将符合匹配告警提醒规则的告警信息,发送到短信提醒模块。
步骤三:每个动态用户账号操作指令队列结束
即当收到用户登出时的账号日志信息的时候,送到该用户账号为关键字的该队列中,作为本次操作会话的结束标志。
相对于现有技术,本发明具有以下的主要优点:
第一,即通过创新性的SHELL脚本(history、screen)方式,解决了目前UNIX系统自身Syslog日志中无操作指令日志的问题;
第二,由于在IDC内不用单独部署运维审计型堡垒机方式,减少了IDC内硬件投资,同时这种方式完全不影响用户正常的操作感知,又无堡垒主机单点故障的隐患;
第三,通过Syslog准实时方式和短信方式,解决了传统操作审计的时延问题,确保IDC计算资源承租人能够迅速发现安全事件,更好的服务于IDC广大用户,且其速度非常快。
其中,如图2和图3所示,是本发明实施例的UNIX类主机用户操作指令审计系统的结构示意图,其包括:
日志生成模块,用于采集当前登录用户在主机上的操作指令和/或屏幕显示内容,并将所述用户操作指令和/或屏幕显示内容发送到一准实时日志中;
日志采集及存储模块,用于接收并存储所述准实时日志;
日志关联处理模块,用于对对所述准实时日志进行筛选,并根据关联规则进行关联,形成带有账号的操作日志;
日志触发告警规则过滤模块,用于按照告警提醒规则对所述操作日志进行逐一匹配,并在发现高危操作指令时通知给系统展现及高危操作指令提醒模块;
系统展现及高危操作指令提醒模块,用于对所述操作日志进行展示或者在发现高危操作指令时通知给用户。
并且,所述日志关联处理模块,对所述准实时日志进行筛选,并根据关联规则进行关联,形成带有账号的操作日志,具体包括:
基于操作日志特征和账号特征对所述准实时日志进行筛选,将所有符合账号日志特征和操作日志特征的日志筛选出来;
以登录账号为关联主键,对所述筛选出来的账号日志和操作日志进行关联以建立起带有账号的操作日志。
更详细地说,所述日志生成模块,用于针对UNIX类计算资源采用基于系统默认history指令和screen指令的SHELL特征方式生成用户操作指令和屏幕显示内容日志,并通过Syslog方式进行准实时发送;
日志采集及存储模块,用于以标准Syslog方式收集IDC内被监控主机设备的Syslog日志;
此外,还包括:日志标准化及分发模块,用于按照配置规则对所有Syslog日志进行标准化,并将账号日志和操作日志发送至日志关联处理模块处理,其他日志信息发给审计系统其它模块;
且日志触发告警规则过滤模块,用于按照用户自定义的规则对关联账号之后操作日志进行过滤;
系统展现及高危操作指令提醒模块,用于将所过滤后的告警提醒信息以短信方式发送至当前配置的终端用户手机中,同时通过Web方式提供指定期限之内的操作日志展示查询功能。
其中,系统采用总线模式实现系统内部数据的传递,并将除了生成的账号日志和操作日志之外的其它传统syslog日志信息发给审计系统其他模块进行分析。
该系统具有方法实施例的优点,即其能够实时地进行高危操作指令匹配,从而能够及时地发现那些容易导致数据误删除、数据破坏、数据泄密的高危指令,并能够及时通知用户,如,操作者本人或者管理者。
需要说明的是,对于上述方法实施例而言,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。
而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种Unix类主机用户操作指令审计的方法,包括:
采集当前登录用户在主机上的操作指令和/或屏幕显示内容,并将所述用户操作指令和/或屏幕显示内容发送到一准实时日志中;
对所述准实时日志进行筛选,并根据关联规则进行关联,形成带有账号的操作日志;
对所述操作日志进行定期展示或者按照告警提醒规则对所述操作日志进行逐一匹配,并在发现高危操作指令时通知给用户。
2.根据权利要求1所述的Unix类主机用户操作指令审计的方法,其特征在于,对所述准实时日志进行筛选,并根据关联规则进行关联,形成带有账号的操作日志,包括:
基于操作日志特征和账号特征对所述准实时日志进行筛选,将所有符合账号日志特征和操作日志特征的日志筛选出来;
以登录账号为关联主键,对所述筛选出来的账号日志和操作日志进行关联以建立起带有账号的操作日志。
3.根据权利要求1所述的Unix类主机用户操作指令审计的方法,其特征在于,基于history指令实时采集当前登录用户在主机上的操作指令;和/或,基于screen指令采集当前登录用户在主机上的屏幕显示内容。
4.根据权利要求3所述的Unix类主机用户操作指令审计的方法,其特征在于,基于Syslog的方式将所述用户操作指令和/或屏幕显示内容准实时地发送到所述准实时日志中。
5.根据权利要求3所述的Unix类主机用户操作指令审计的方法,其特征在于,基于history指令采集当前登录用户在主机上的操作指令,包括:
基于history指令实时采集用户最新的操作指令,将其存储于本地日志中,同时以Syslog方式将所述操作指令发送到所述准实时日志中。
6.根据权利要求5所述的Unix类主机用户操作指令审计的方法,其特征在于,基于history指令实时采集用户最新的操作指令后,还包括:
获取所述最新的操作指令的时间信息,将所述时间信息与所述最新的操作指令进行聚合生成操作日志信息,将所述操作日志信息存储于本地日志中,同时以Syslog方式发送到所述准实时日志中。
7.根据权利要求5所述的Unix类主机用户操作指令审计的方法,其特征在于,基于screen指令采集登录用户在主机上的屏幕显示内容,包括:
基于screen指令采集用户执行操作指令后回显的所有屏幕显示内容,并生成本地日志信息,以Syslog方式发送到所述准实时日志中。
8.根据权利要求7所述的Unix类主机用户操作指令审计的方法,其特征在于,进一步包括:
获取用户当前屏幕显示对应的操作指令和时间信息;
对所述操作指令、时间信息和屏幕显示内容进行聚合以形成主机操作日志信息,以Syslog方式发送到所述准实时日志中。
9.根据权利要求8所述的Unix类主机用户操作指令审计的方法,其特征在于,基于管道重定向的方式从包含操作日志信息中的本地存储日志中获取到所述操作指令和时间信息。
10.根据权利要求1所述的Unix类主机用户操作指令审计的方法,其特征在于,对所述准实时日志进行筛选之前还包括:对所述准实时日志按照预设的规则进行标准化,形成标准化的准实时日志。
11.一种Unix类主机用户操作指令审计的系统,其特征在于,包括:
日志生成模块,用于采集当前登录用户在主机上的操作指令和/或屏幕显示内容,并将所述用户操作指令和/或屏幕显示内容发送到一准实时日志中;
日志采集及存储模块,用于接收并存储所述准实时日志;
日志关联处理模块,用于对对所述准实时日志进行筛选,并根据关联规则进行关联,形成带有账号的操作日志;
日志触发告警规则过滤模块,用于按照告警提醒规则对所述操作日志进行逐一匹配,并在发现高危操作指令时通知给系统展现及高危操作指令提醒模块;
系统展现及高危操作指令提醒模块,用于对所述操作日志进行展示或者在发现高危操作指令时通知给用户。
12.根据权利要求11所述的Unix类主机用户操作指令审计的系统,其特征在于,所述日志关联处理模块,对所述准实时日志进行筛选,并根据关联规则进行关联,形成带有账号的操作日志,具体包括:
基于操作日志特征和账号特征对所述准实时日志进行筛选,将所有符合账号日志特征和操作日志特征的日志筛选出来;
以登录账号为关联主键,对所述筛选出来的账号日志和操作日志进行关联以建立起带有账号的操作日志。
13.根据权利要求11所述的Unix类主机用户操作指令审计的系统,其特征在于,所述日志生成模块,进一步用于基于history指令实时采集登录用户在主机上的操作指令;或者,基于screen指令采集登录用户在主机上的屏幕显示内容。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310665424.5A CN104700024B (zh) | 2013-12-10 | 2013-12-10 | 一种Unix类主机用户操作指令审计的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310665424.5A CN104700024B (zh) | 2013-12-10 | 2013-12-10 | 一种Unix类主机用户操作指令审计的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104700024A true CN104700024A (zh) | 2015-06-10 |
| CN104700024B CN104700024B (zh) | 2018-05-04 |
Family
ID=53347128
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310665424.5A Active CN104700024B (zh) | 2013-12-10 | 2013-12-10 | 一种Unix类主机用户操作指令审计的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104700024B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105224443A (zh) * | 2015-10-09 | 2016-01-06 | 广州视睿电子科技有限公司 | 一种Android终端显示日志信息的方法和装置 |
| CN105610834A (zh) * | 2015-12-31 | 2016-05-25 | 北京元心科技有限公司 | 一种传送信息的监视方法和装置 |
| CN106709283A (zh) * | 2016-11-17 | 2017-05-24 | 上海斐讯数据通信技术有限公司 | 一种防止程序误操作的方法及系统 |
| CN109168025A (zh) * | 2018-09-28 | 2019-01-08 | 成都安恒信息技术有限公司 | 一种跨平台的可标记审计视频敏感操作的视频播放方法 |
| CN109800140A (zh) * | 2018-12-27 | 2019-05-24 | 北京奇安信科技有限公司 | 业务告警事件起因分析的方法、装置、设备及介质 |
| CN112416713A (zh) * | 2020-11-20 | 2021-02-26 | 泰康保险集团股份有限公司 | 操作审计系统及方法、计算机可读存储介质、电子设备 |
| CN112541169A (zh) * | 2020-12-21 | 2021-03-23 | 四川新网银行股份有限公司 | 一种linux用户行为的本地记录方法 |
| CN114520974A (zh) * | 2022-01-11 | 2022-05-20 | 锐捷网络股份有限公司 | 网络认证系统、网络认证方法、云端服务器及网络设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006076520A2 (en) * | 2005-01-14 | 2006-07-20 | International Business Machines Corporation | Sharable multi-tenant reference data utility and repository, including value enhancement and on-demand data delivery and methods of operation |
| CN101119232A (zh) * | 2007-08-09 | 2008-02-06 | 北京艾科网信科技有限公司 | 日志记录方法及其记录系统 |
| CN102143168A (zh) * | 2011-02-28 | 2011-08-03 | 浪潮(北京)电子信息产业有限公司 | 基于linux平台服务器安全性能实时监控方法及系统 |
| CN103186733A (zh) * | 2011-12-30 | 2013-07-03 | 中国移动通信集团广东有限公司 | 数据库用户行为管理系统和数据库用户行为管理方法 |
-
2013
- 2013-12-10 CN CN201310665424.5A patent/CN104700024B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006076520A2 (en) * | 2005-01-14 | 2006-07-20 | International Business Machines Corporation | Sharable multi-tenant reference data utility and repository, including value enhancement and on-demand data delivery and methods of operation |
| CN101119232A (zh) * | 2007-08-09 | 2008-02-06 | 北京艾科网信科技有限公司 | 日志记录方法及其记录系统 |
| CN102143168A (zh) * | 2011-02-28 | 2011-08-03 | 浪潮(北京)电子信息产业有限公司 | 基于linux平台服务器安全性能实时监控方法及系统 |
| CN103186733A (zh) * | 2011-12-30 | 2013-07-03 | 中国移动通信集团广东有限公司 | 数据库用户行为管理系统和数据库用户行为管理方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105224443A (zh) * | 2015-10-09 | 2016-01-06 | 广州视睿电子科技有限公司 | 一种Android终端显示日志信息的方法和装置 |
| CN105610834A (zh) * | 2015-12-31 | 2016-05-25 | 北京元心科技有限公司 | 一种传送信息的监视方法和装置 |
| CN106709283A (zh) * | 2016-11-17 | 2017-05-24 | 上海斐讯数据通信技术有限公司 | 一种防止程序误操作的方法及系统 |
| CN109168025A (zh) * | 2018-09-28 | 2019-01-08 | 成都安恒信息技术有限公司 | 一种跨平台的可标记审计视频敏感操作的视频播放方法 |
| CN109168025B (zh) * | 2018-09-28 | 2021-01-29 | 成都安恒信息技术有限公司 | 一种跨平台的可标记审计视频敏感操作的视频播放方法 |
| CN109800140A (zh) * | 2018-12-27 | 2019-05-24 | 北京奇安信科技有限公司 | 业务告警事件起因分析的方法、装置、设备及介质 |
| CN112416713A (zh) * | 2020-11-20 | 2021-02-26 | 泰康保险集团股份有限公司 | 操作审计系统及方法、计算机可读存储介质、电子设备 |
| CN112541169A (zh) * | 2020-12-21 | 2021-03-23 | 四川新网银行股份有限公司 | 一种linux用户行为的本地记录方法 |
| CN114520974A (zh) * | 2022-01-11 | 2022-05-20 | 锐捷网络股份有限公司 | 网络认证系统、网络认证方法、云端服务器及网络设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104700024B (zh) | 2018-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104700024A (zh) | 一种Unix类主机用户操作指令审计的方法和系统 | |
| US11729193B2 (en) | Intrusion detection system enrichment based on system lifecycle | |
| CN208227074U (zh) | 电力监控系统网络安全监测终端 | |
| CN104063473B (zh) | 一种数据库审计监测系统及其方法 | |
| CN105119750B (zh) | 一种基于大数据的分布式信息安全运维管理平台系统 | |
| US9887886B2 (en) | Forensic software investigation | |
| US10671723B2 (en) | Intrusion detection system enrichment based on system lifecycle | |
| Spyridopoulos et al. | Incident analysis & digital forensics in SCADA and industrial control systems | |
| CN108270716A (zh) | 一种基于云计算的信息安全审计方法 | |
| US20120311562A1 (en) | Extendable event processing | |
| Sibiya et al. | Digital forensic framework for a cloud environment | |
| CN107295021B (zh) | 一种基于集中管理的主机的安全检测方法及系统 | |
| CN103166794A (zh) | 一种具有一体化安全管控功能的信息安全管理方法 | |
| CN103718170A (zh) | 用于事件的分布式基于规则的相关的系统和方法 | |
| CN109462599A (zh) | 一种蜜罐管理系统 | |
| CN103338128A (zh) | 一种具有一体化安全管控功能的信息安全管理系统 | |
| CN110708316A (zh) | 针对企业网络安全运营管理的方法以及系统架构 | |
| KR20140035146A (ko) | 정보보안 장치 및 방법 | |
| CN110222498A (zh) | 一种基于移动互联云的督办管理系统及方法 | |
| KR101256507B1 (ko) | 사용자 행위 분석을 통한 자료유출 탐지 시스템 및 그 방법 | |
| CN104683378A (zh) | 新技术的一种新型云计算服务平台的计算调试系统 | |
| Lee et al. | A study on efficient log visualization using d3 component against apt: How to visualize security logs efficiently? | |
| CN108965317B (zh) | 一种网络数据防护系统 | |
| CN113489703A (zh) | 一种安全防护系统 | |
| Dorigo | Security information and event management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |