CN105160245B - 操作事件的检查方法和装置 - Google Patents
操作事件的检查方法和装置 Download PDFInfo
- Publication number
- CN105160245B CN105160245B CN201410258861.XA CN201410258861A CN105160245B CN 105160245 B CN105160245 B CN 105160245B CN 201410258861 A CN201410258861 A CN 201410258861A CN 105160245 B CN105160245 B CN 105160245B
- Authority
- CN
- China
- Prior art keywords
- identification information
- machine
- path
- destination address
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种操作事件的检查方法和装置。其中,操作事件的检查方法包括:获取目标机器上报的全局标识信息,其中,登录账户登录至原始机器后,原始机器产生全局标识信息,并将全局标识信息传输至目标机器;获取目标机器上报的局部标识信息,其中,登录账户登录至目标机器后,目标机器产生局部标识信息;以及根据全局标识信息和局部标识信息检查出原始机器与目标机器之间的路径,其中,路径用于表示登录账户通过原始机器所执行的操作事件。通过本发明,解决了现有技术中入侵行为的检查方式造成无法准确地确定入侵行为所带来的损失的问题,进而达到了提高确定入侵行为的准确性、精确核算入侵行为所带来的损失的效果。
Description
技术领域
本发明涉及网络服务领域,具体而言,涉及一种操作事件的检查方法和装置。
背景技术
在面对入侵行为时,需要对入侵行为这种操作事件进行检查,以掌握入侵者的操作行为、影响范围以及入侵情况等问题,对于进行入侵行为的检查而言,操作记录是必不可少的,现有技术中通常采用命令记录和用户操作记录的方式来检查,其中,命令记录是指记录每台机器上的命令,如图1所示,是命令记录的示意图,图1中示出了对Linux Shell执行的命令进行收集,通过命令收集器收集到这些命令;用户操作记录是指记录用户操作,如图2所示,是记录用户操作的示意图,图2中示出了当用户通过SSH登录到运营机,操作收集器通过对SSHD传给用户的回显信息记录用户的操作行为。
上述对入侵行为进行检查的方式,在命令记录中,由于命令没有状态,每条命令之间都是独立的,造成命令记录缺少命令之间的关联性,造成后续利用命令评估确定入侵行为所带来的损失的复杂度比较高,无法准确地确定入侵行为所带来的损失。同时,命令记录只记录执行的命令,不记录命令执行的结果。在用户操作记录中,由于记录的是回显数据,对于同一个用户用不同机器执行的命令,区分的难度大。同时,用户操作记录不能很好的记录脚本的执行情况。
针对相关技术中入侵行为的检查方式造成无法准确地确定入侵行为所带来的损失的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种操作事件的检查方法和装置,以至少解决现有技术中入侵行为的检查方式造成无法准确地确定入侵行为所带来的损失的技术问题。
根据本发明实施例的一个方面,提供了一种操作事件的检查方法,包括:获取目标机器上报的全局标识信息,其中,所述目标机器为登录账户通过原始机器所访问到的机器,所述登录账户登录至所述原始机器后,所述原始机器产生所述全局标识信息,并将所述全局标识信息传输至所述目标机器;获取所述目标机器上报的局部标识信息,其中,所述登录账户登录至所述目标机器后,所述目标机器产生所述局部标识信息;以及根据所述全局标识信息和所述局部标识信息检查出所述原始机器与所述目标机器之间的路径,其中,所述路径用于表示所述登录账户通过所述原始机器所执行的操作事件。
根据本发明实施例的另一方面,还提供了一种操作事件的检查装置,包括:第一获取单元,用于获取目标机器上报的全局标识信息,其中,所述目标机器为登录账户通过原始机器所访问到的机器,所述登录账户登录至所述原始机器后,所述原始机器产生所述全局标识信息,并将所述全局标识信息传输至所述目标机器;第二获取单元,用于获取所述目标机器上报的局部标识信息,其中,所述登录账户登录至所述目标机器后,所述目标机器产生所述局部标识信息;以及检查单元,用于根据所述全局标识信息和所述局部标识信息检查出所述原始机器与所述目标机器之间的路径,其中,所述路径用于表示所述登录账户通过所述原始机器所执行的操作事件。
在本发明实施例中,采用获取目标机器上报的全局标识信息,其中,所述目标机器为登录账户通过原始机器所访问到的机器,所述登录账户登录至所述原始机器后,所述原始机器产生所述全局标识信息,并将所述全局标识信息传输至所述目标机器;获取所述目标机器上报的局部标识信息,其中,所述登录账户登录至所述目标机器后,所述目标机器产生所述局部标识信息;以及根据所述全局标识信息和所述局部标识信息检查出所述原始机器与所述目标机器之间的路径,其中,所述路径用于表示所述登录账户通过所述原始机器所执行的操作事件,通过对原始机器所访问到的目标机器的全局标识信息和局部标识信息进行获取,并基于获取到信息来确定检查出原始机器与目标机器之间的路径,实现了针对一起入侵事件,可以串联入侵者的登录路径,登录过程跳转或经历的机器等信息,描述出入侵者的入侵手段,操作方法,影响机器等情况,实现了对命令之间的关联,从而为入侵的损失评估提供有效的依据,解决了现有技术中入侵行为的检查方式造成无法准确地确定入侵行为所带来的损失的问题,进而达到了提高确定入侵行为的准确性、精确核算入侵行为所带来的损失的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据现有技术的一种命令记录的示意图;
图2是根据现有技术的一种记录用户操作的示意图;
图3是根据本发明实施例的操作事件的检查方法的流程图;
图4是根据本发明实施例的一种渗透到目标机器的示意图;
图5是根据本发明实施例的另一种渗透到目标机器的示意图;
图6a是根据本发明实施例的一种入侵渗透图;
图6b是表示图6a的全局标识信息和局部标识信息;
图6c是表示图6a的路径图;
图7a是根据本发明实施例的另一种入侵渗透图;
图7b是表示图7a的全局标识信息和局部标识信息;
图7c是表示图7a的路径图;
图8a是根据本发明实施例的另一种入侵渗透图;
图8b是表示图8a的全局标识信息和局部标识信息;
图8c是表示图8a的路径图;
图9是根据本发明实施例的MNET跳板机与运营机之间的操作流程示意图;
图10是根据本发明实施例的操作事件的检查装置的示意图;以及
图11是根据本发明实施例的终端设备的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
对本发明实施例中所涉及的技术术语做如下解释:
SSH:英文全称是Secure Shell,是传统的网络服务程序,由客户端和服务端的软件组成的,是基于SSL的安全登录和命令交互套件;
SSHD:服务器守护进程配置文件;
IDC:英文全称是Internet Data Center,是互联网数据中心,用于对外提供服务;
运营机:对外提供服务的机器;
Cmdlog:记录运营机上执行的命令的命令收集器;
MNET跳板机:进入运营机的入口;
Linux Shell:linux系统的用户界面,提供用户与内核进行交互操作的一种接口;
Shell审计:基于跳板机记录用户客户端操作的审计系统;
SecureCRT:是一款支持SSH(SSH1和SSH2)的终端仿真程序,简单的说是Windows下登录UNIX或Linux服务器主机的软件。SecureCRT支持SSH,同时支持Telnet和rlogin协议。SecureCRT是一款用于连接运行包括Windows、UNIX和VMS的理想工具。通过使用内含的VCP命令行程序可以进行加密文件的传输。有流行CRTTelnet客户机的所有特点,包括:自动注册、对不同主机保持不同的特性、打印功能、颜色设置、可变屏幕尺寸、用户定义的键位图和优良的VT100,VT102,VT220和ANSI竞争,能从命令行中运行或从浏览器中运行,其它特点包括文本手稿、易于使用的工具条、用户的键位图编辑器、可定制的ANSI颜色等。SecureCRT的SSH协议支持DES,3DES和RC4密码和密码与RSA鉴别。
实施例1
根据本发明实施例,提供了一种可以通过本申请装置实施例执行的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
根据本发明实施例,提供了一种操作事件的检查方法,图3是根据本发明实施例的操作事件的检查方法的流程图,如图3所示,该操作事件的检查方法包括如下步骤S302至步骤S304:
S302:获取目标机器上报的全局标识信息,其中,目标机器为登录账户通过原始机器所访问到的机器,用户利用登录账户登录至原始机器后,原始机器产生全局标识信息,并将全局标识信息传输至目标机器,该全局标识信息用于标识登录账户通过原始机器产生的访问。
S303:获取目标机器上报的局部标识信息,其中,用户利用登录账户,并通过原始机器登录至目标机器后,目标机器产生局部标识信息,该局部标识信息用于表示登录至目标机器的路径信息。
其中,目标机器是指对外提供服务的运营机,用户既可以通过SecureCRT并采用登录账户实名登录到MNET跳板机,然后以MNET跳板机作为原始机器,通过MNET跳板机渗透到目标机器,也可以通过漏洞或者其它入侵手段直接渗透到某一台运营机,然后以所渗透到的运营机作为原始机器渗透到目标机器,渗透到目标机器即是指登录到目标机器。
图4是用户通过MNET跳板机渗透到目标机器的示意图,在图4中,目标机器为IDC运营机,当用户采用登录账户登录到MNET跳板机,并且经SSHD验证成功后,SSHD会生成一个全局标识信息和局部标识信息,并且将这些信息传送给命令收集器,以通过命令收集器传输至存储平台进行存储,在MNET跳板机上SSHD所生成的局部标记信息表示登录至MNET跳板机的路径信息,全局标识信息可以为全局ID信息,局部标识信息可以为局部ID信息,该全局标识信息表示用户采用登录账户通过MNET跳板机进行渗透。当用户采用登录账户在MNET跳板机上,通过SSH登录到后端的运营机时,SSH通过与命令收集器进行交互,得到全局标识信息,并将全局标识信息传送到后端的运营机,当后端运营机的SSHD验证通过后,获取到的SSH传送过来的全局标识信息,生成表示登录至运营机的路径信息的局部标识信息,并且把这些信息传递给运营机上的命令收集器。
相应地,对作为目标机器的运营机上命令收集器所收集到的全局标识信息和局部标识信息进行获取,即可得到目标机器上报的全局标识信息和局部标识信息。
图5是用户通过漏洞或者其它入侵手段直接渗透到某台运营机,并通过所渗透的运营机渗透到目标机器的示意图,在图5中,用户通过漏洞或者其它入侵手段直接渗透到某台运营机为IDC-A运营机,目标机器为IDC-B运营机,当用户通过漏洞或者其它入侵手段直接渗透到IDC-A运营机,操作命令传送给命令收集器,以通过命令收集器传输至存储平台进行存储,在IDC-A运营机上SSHD所生成的局部标记信息表示登录至IDC-A运营机的路径信息,全局标识信息可以为全局ID信息,局部标识信息可以为局部ID信息,该全局标识信息表示用户采用登录账户通过IDC-A运营机进行渗透。当用户采用登录账户在IDC-A运营机上,通过SSH登录到后端的IDC-B运营机时,SSH通过与命令收集器进行交互,得到全局标识信息,并将全局标识信息传送到后端的IDC-B运营机,当后端的IDC-B运营机的SSHD验证通过后,获取到的SSH传送过来的全局标识信息,生成表示登录至作为目标机器的IDC-B运营机的路径信息的局部标识信息,并且把这些信息传递给IDC-B运营机上的命令收集器。
相应地,对IDC-B运营机上命令收集器所收集到的全局标识信息和局部标识信息进行获取,即可得到目标机器上报的全局标识信息和局部标识信息。
S304:根据全局标识信息和局部标识信息检查出原始机器与目标机器之间的路径,其中,路径用于表示登录账户通过原始机器所执行的操作事件,即,根据用户利用登录账户通过原始机器产生的访问和登录至目标机器的路径信息,来确定出原始机器登录至目标机器的路径,并以确定出的路径来表示登录账户通过原始机器所执行的操作事件,实现对入侵者的入侵行为进行描述。
本发明实施例所提供的操作事件的检查方法,通过对原始机器所访问到的目标机器的全局标识信息和局部标识信息进行获取,并基于获取到信息来确定检查出原始机器与目标机器之间的路径,实现了针对一起入侵事件,可以串联入侵者的登录路径,登录过程跳转或经历的机器等信息,描述出入侵者的入侵手段,操作方法,影响机器等情况,实现了对命令之间的关联,从而为入侵的损失评估提供有效的依据,解决了现有技术中入侵行为的检查方式造成无法准确地确定入侵行为所带来的损失的问题,进而达到了提高确定入侵行为的准确性、精确核算入侵行为所带来的损失的效果。
具体地,在本发明实施例中还提供了一种根据全局标识信息和局部标识信息检查出原始机器与目标机器之间的路径的方式,具体如下:
首先,获取全局标识信息中的源地址和目的地址,并获取局部标识信息中的源地址和目的地址,其中,源地址主要包括源IP和源端口,目的地址主要包括目的IP和目的端口。
其次,判断全局标识信息中的目的地址与局部标识信息中的源地址是否相同,具体地,主要是判断全局标识信息中的目的IP与局部标识信息中的源IP是否相同,并判断全局标识信息中的目的端口与局部标识信息中的源端口是否相同,在以上判断结果均为是的情况下,确定全局标识信息中的目的地址与局部标识信息中的源地址相同。
然后,在判断出全局标识信息中的目的地址与局部标识信息中的源地址相同的情况下,确定从全局标识信息中的目的地址至局部标识信息中的目的地址的路径为原始机器与目标机器之间的路径,因为全局标识信息中的目的地址与局部标识信息中的源地址相同,说明用户在利用登录账户渗透到原始机器后,直接通过原始机器登录至目标机器,因此,可以确定从全局标识信息中的目的地址至局部标识信息中的目的地址的路径为原始机器与目标机器之间的路径,也即确定原始机器与目标机器之间的路径直接由原始机器至目标机器。
其中,如果全局标识信息中的目的地址与局部标识信息中的源地址不相同,则说明用户在利用登录账户渗透到原始机器后,先通过原始机器登录到了其它运营机上,中间经历了一个或多个其它运营机后,再登录至目标机器,对于此种情况,以下以目标机器的数量为两个以上,来介绍根据全局标识信息和局部标识信息检查出原始机器与目标机器之间的路径的方式,假设第一目标机器为两个以上目标机器中的任一目标机器,确定原始机器与第一目标机器之间的路径的方式具体如下:
首先,获取全局标识信息中的源地址和目的地址,并获取第一目标机器上报的第一局部标识信息中的源地址和目的地址,其中,源地址主要包括源IP和源端口,目的地址主要包括目的IP和目的端口。
其次,判断全局标识信息中的目的地址与第一局部标识信息中的源地址是否相同,具体地,主要是判断全局标识信息中的目的IP与局部标识信息中的源IP是否相同,并判断全局标识信息中的目的端口与局部标识信息中的源端口是否相同,在以上判断结果均为是的情况下,确定全局标识信息中的目的地址与局部标识信息中的源地址相同。
然后,在判断出全局标识信息中的目的地址与第一局部标识信息中的源地址相同的情况下,确定从全局标识信息中的目的地址至第一局部标识信息中的目的地址的路径为原始机器与第一目标机器之间的路径,因为全局标识信息中的目的地址与第一局部标识信息中的源地址相同,说明用户在利用登录账户渗透到原始机器后,直接通过原始机器登录至第一目标机器,因此,可以确定从全局标识信息中的目的地址至第一局部标识信息中的目的地址的路径为原始机器与第一目标机器之间的路径,也即确定原始机器与第一目标机器之间的路径直接由原始机器至第一目标机器。
反之,如果判断出全局标识信息中的目的地址与第一局部标识信息中的源地址不相同,则需要从第二目标机器上报的第二局部标识信息中查找与第一局部标识信息中的源地址相同的目的地址,得到第一目的地址,并从第二局部标识信息中查找从第一源地址至第一目的地址的路径,其中,第二目标机器为两个以上目标机器中任一与第一目标机器不同的目标机器,第一源地址与全局标识信息中的目的地址相同,即,在判断出全局标识信息中的目的地址与第一局部标识信息中的源地址不相同的情况下,从其它目标机器上报的局部标识信息中查找与第一局部标识信息中的源地址相同的目的地址,并将查找到的目的地址作为第一目的地址,继续从其它目标机器上报的局部标识信息中查找从第一源地址至第一目的地址的路径,具体查找方式可以是先从其它目标机器上报的局部标识信息中查找与第一目的地址对应源地址,再查找与该源地址相同的目的地址,然后查找对应的源地址,直至查找到的源地址与全局标识信息中的目的地址相同,则确定查找过程中遍历源地址和目的地址为第一源地址至第一目的地址的路径。
再然后,确定从全局标识信息中的目的地址至第一目的地址至第一局部标识信息中的目的地址的路径为原始机器与第一目标机器之间的路径。
以下结合附图中所示出的入侵者的入侵渗透方式来进一步说明本发明实施例所提供的操作事件的检查方法:
图6a是入侵渗透方式的一种入侵渗透图,如图6a所示,用户通过MNET跳板机分别登录IDC-A运营机、IDC-B运营机、IDC-C运营机,获取到的目标机器上报的全局标识信息和局部标识信息如图6b所示,其中,图6b中第一行的全局标识信息“MNET1”和局部标识信息“MNET1”表示MNET跳板机上报的全局标识信息和局部标识信息,第二行的全局标识信息“MNET1”和局部标识信息“IDC-A”表示IDC-A运营机上报的全局标识信息和局部标识信息,第三行的全局标识信息“MNET1”和局部标识信息“IDC-B”表示IDC-B运营机上报的全局标识信息和局部标识信息,第四行的全局标识信息“MNET1”和局部标识信息“IDC-C”表示IDC-C运营机上报的全局标识信息和局部标识信息。全局标识信息和局部标识信息均可以以“linkInfo(sourceIP sourcePort destIP destPort)”来表示,其中,“sourceIP”表示源IP,“sourcePort”表示源端口,“destIP”表示目的IP,“destPort”表示目的端口,对于图6a中示出的入侵渗透图,假设MNET跳板机、IDC-A运营机、IDC-B运营机、IDC-C运营机的IP地址分别为MIP、AIP、BIP、CIP,MNET跳板机、IDC-A运营机、IDC-B运营机、IDC-C运营机的数据端口分别为MPort、APort、BPort、CPort,并假设用户的PC机的IP地址和数据端口分别为SIP和Sport,则图6b中的全局标识信息和局部标识信息具体如表1所示:
表1
进而通过获取各个目标机器所上报的全局标识信息和局部标识信息,能够检查出原始机器与目标机器之间的路径如图6c所示。
图7a是入侵渗透方式的另一种入侵渗透图,如图7a所示,用户通过MNET跳板机分别登录IDC-A运营机、IDC-B运营机、IDC-C运营机、IDC-D运营机、IDC-E运营机,获取到的目标机器上报的全局标识信息和局部标识信息如图7b所示,其中,图7b中第一行的全局标识信息“MNET1”和局部标识信息“MNET1”表示MNET跳板机上报的全局标识信息和局部标识信息,第二行的全局标识信息“MNET1”和局部标识信息“IDC-A”表示IDC-A运营机上报的全局标识信息和局部标识信息,第三行的全局标识信息“MNET1”和局部标识信息“IDC-B”表示IDC-B运营机上报的全局标识信息和局部标识信息,第四行的全局标识信息“MNET1”和局部标识信息“IDC-C”表示IDC-C运营机上报的全局标识信息和局部标识信息,第五行的全局标识信息“MNET1”和局部标识信息“IDC-D”表示IDC-D运营机上报的全局标识信息和局部标识信息,第六行的全局标识信息“MNET1”和局部标识信息“IDC-E”表示IDC-E运营机上报的全局标识信息和局部标识信息。全局标识信息和局部标识信息均可以以“linkInfo(sourceIPsourcePort destIP destPort)”来表示,其中,“sourceIP”表示源IP,“sourcePort”表示源端口,“destIP”表示目的IP,“destPort”表示目的端口,对于图7a中示出的入侵渗透图,假设MNET跳板机、IDC-A运营机、IDC-B运营机、IDC-C运营机、IDC-D运营机、IDC-E运营机的IP地址分别为MIP、AIP、BIP、CIP、DIP、EIP,MNET跳板机、IDC-A运营机、IDC-B运营机、IDC-C运营机、IDC-D运营机、IDC-E运营机的数据端口分别为MPort、APort、BPort、CPort、DPort、EPort,并假设用户的PC机的IP地址和数据端口分别为SIP和Sport,则图7b中的全局标识信息和局部标识信息具体如表2所示:
表2
进而通过获取各个目标机器所上报的全局标识信息和局部标识信息,能够检查出原始机器与目标机器之间的路径如图7c所示。
图8a是入侵渗透方式的另一种入侵渗透图,如图8a所示,用户通过漏洞或者其它入侵手段直接渗透到IDC-A运营机,并通过IDC-A运营机登录IDC-B运营机、IDC-C运营机、IDC-D运营机,获取到的目标机器上报的全局标识信息和局部标识信息如图8b所示,其中,图8b中第一行的全局标识信息“IDC-B”和局部标识信息“IDC-B”表示IDC-B运营机上报的全局标识信息和局部标识信息,第二行的全局标识信息“IDC-B”和局部标识信息“IDC-C”表示IDC-C运营机上报的全局标识信息和局部标识信息,第三行的全局标识信息“IDC-D”和局部标识信息“IDC-D”表示IDC-D运营机上报的全局标识信息和局部标识信息。全局标识信息和局部标识信息均可以以“linkInfo(sourceIP sourcePort destIP destPort)”来表示,其中,“sourceIP”表示源IP,“sourcePort”表示源端口,“destIP”表示目的IP,“destPort”表示目的端口,对于图8a中示出的入侵渗透图,假设IDC-A运营机、IDC-B运营机、IDC-C运营机、IDC-D运营机的IP地址分别为AIP、BIP、CIP、DIP、EIP,IDC-A运营机、IDC-B运营机、IDC-C运营机、IDC-D运营机的数据端口分别为APort、BPort、CPort、DPort、EPort,则图8b中的全局标识信息和局部标识信息具体如表3所示:
表3
进而通过获取各个目标机器所上报的全局标识信息和局部标识信息,能够检查出原始机器与目标机器之间的路径如图8c所示。
通过以上描述可以看出,本发明实施例所提供的操作事件的检查方法,通过对全局标识信息进行获取,并基于全局标识信息检查出原始机器与目标机器之间的路径,实现了对用户通过同一台机器进行侵入的关联,如果同一账户通过不同的机器进行侵入,由于全部标识信息能够将通过同一台机器的侵入行为进行关联,因此,能够对同一账户通过不同机器进行侵入的行为进行区分,解决了现有技术中对同一账户利用不同机器执行的命令划分难度大的问题。
优选地,在获取目标机器上报的全局标识信息和局部标识信息之前,本发明实施例所提供的操作事件的检查方法还包括:获取登录账户在原始机器上的命令;以及利用获取到的命令标记原始机器产生的局部标识信息。即,当Linux Shell执行命令时,命令收集器把收集到的命令做原始机器产生的局部ID信息的标记,由此标记就可以确定命令是哪个用户执行的,同时命令上报到存储平台。
通过利用登录账户在原始机器的命令来标记原始机器产生的局部标识信息,实现了在利用局部标识信息对表示操作事件的路径进行检查时,能够将同一账户在不同机器之间的命令进行关联,实现了把命令记录与用户操作记录之间的有效结合。
进一步,在获取目标机器上报的全局标识信息之前,本发明实施例所提供的操作事件的检查方法还包括:修改目标机器上网络服务程序及网络服务程序的验证程序,以使验证程序对网络服务程序验证通过后,生成全局标识信息和局部标识信息。
其中,MNET跳板机与运营机之间的操作流程在图9中示出,通过修改SSH的Server验证程序(SSHD)以及SSH的程序。同时,在每台机器上部署命令收集的程序,来收集命令,并且上报到后端的存储平台,得到了图4和图5中示出的原始机器和目标机器之间的操作,实现了对全局标识信息和局部标识信息的获取。
优选地,在根据全局标识信息和局部标识信息检查出原始机器与目标机器之间的路径之后,本发明实施例的操作事件的检查方法还包括:根据路径判断操作事件是否为非法的操作事件。
其中,若判断出操作事件为非法的操作事件,则生成用于对登录账户进行访问控制的控制参数,并按照控制参数控制登录账户对目标机器的访问。具体地,控制参数可以限制登录账户访问权限的参数,按照控制参数控制登录账户对目标机器的访问,即是控制登录账户的访问权限,控制在其权限范围的内容可以被登录账户访问,在其权限范围外的内容则拒绝对登录账户访问。
在判断出操作事件为非法的操作事件的情况下,说明执行该操作事件的登录账户出现被盗用等其它异常,通过生成对登录账户进行访问控制的控制参数,并按照控制参数控制登录账户对目标机器的访问,实现了在登录账户出现被盗用等其它异常情况时,能够避免利用该登录账户进行信息的窃取,提高了系统的安全性。
在本发明实施例中,还提供了一种根据路径判断操作事件是否为非法的操作事件的具体判断方式:首先,判断路径是否是预设数据库中的路径,其中,在预设数据库中存储有多条通过验证的路径;然后,在判断出路径不是预设数据库中的路径的情况下,确定操作事件为非法的操作事件。
在本发明实施例中,还提供了另一种根据路径判断操作事件是否为非法的操作事件的具体判断方式:首先,获取路径在预设时间内的出现次数;其次,判断出现次数是否大于第一预设次数,或判断出现次数是否小于第二预设次数,其中,第一预设次数表示通过验证的路径在预设时间内出现的最多次数,第二预设次数表示通过验证的路径在预设时间内出现的最少次数;然后,在判断出现次数大于第一预设次数,或在判断出现次数小于第二预设次数的情况下,确定操作事件为非法的操作事件。即,在判断出某一路径在参考周期内出现的次数超过正常的最大次数,或小于正常的最小次数的情况下,均确定该路径所表示的操作事件为非法的操作事件。其中,预设时间、第一预设次数和第二预设次数的具体取值可以根据系统的安全级别进行实际设置,此处不再具体说明具体取值。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实施上述操作事件的检查方法的操作事件的检查装置,该操作事件的检查装置主要用于执行本发明实施例上述内容所提供的操作事件的检查方法,以下对本发明实施例所提供的操作事件的检查装置做具体介绍:
图10是根据本发明实施例的操作事件的检查装置的示意图,如图10所示,该检查装置主要包括第一获取单元10、第二获取单元20和检查单元30,其中:
第一获取单元10用于获取目标机器上报的全局标识信息,其中,目标机器为登录账户通过原始机器所访问到的机器,用户利用登录账户登录至原始机器后,原始机器产生全局标识信息,并将全局标识信息传输至目标机器,该全局标识信息用于标识登录账户通过原始机器产生的访问。
第二获取单元20用于获取目标机器上报的局部标识信息,其中,用户利用登录账户,并通过原始机器登录至目标机器后,目标机器产生局部标识信息,该局部标识信息用于表示登录至目标机器的路径信息。
其中,目标机器是指对外提供服务的运营机,用户既可以通过SecureCRT并采用登录账户实名登录到MNET跳板机,然后以MNET跳板机作为原始机器,通过MNET跳板机渗透到目标机器,也可以通过漏洞或者其它入侵手段直接渗透到某一台运营机,然后以所渗透到的运营机作为原始机器渗透到目标机器,渗透到目标机器即是指登录到目标机器。
图4是用户通过MNET跳板机渗透到目标机器的示意图,在图4中,目标机器为IDC运营机,当用户采用登录账户登录到MNET跳板机,并且经SSHD验证成功后,SSHD会生成一个全局标识信息和局部标识信息,并且将这些信息传送给命令收集器,以通过命令收集器传输至存储平台进行存储,在MNET跳板机上SSHD所生成的局部标记信息表示登录至MNET跳板机的路径信息,全局标识信息可以为全局ID信息,局部标识信息可以为局部ID信息,该全局标识信息表示用户采用登录账户通过MNET跳板机进行渗透。当用户采用登录账户在MNET跳板机上,通过SSH登录到后端的运营机时,SSH通过与命令收集器进行交互,得到全局标识信息,并将全局标识信息传送到后端的运营机,当后端运营机的SSHD验证通过后,获取到的SSH传送过来的全局标识信息,生成表示登录至运营机的路径信息的局部标识信息,并且把这些信息传递给运营机上的命令收集器。
相应地,对作为目标机器的运营机上命令收集器所收集到的全局标识信息和局部标识信息进行获取,即可得到目标机器上报的全局标识信息和局部标识信息。
图5是用户通过漏洞或者其它入侵手段直接渗透到某台运营机,并通过所渗透的运营机渗透到目标机器的示意图,在图5中,用户通过漏洞或者其它入侵手段直接渗透到某台运营机为IDC-A运营机,目标机器为IDC-B运营机,当用户通过漏洞或者其它入侵手段直接渗透到IDC-A运营机,操作命令传送给命令收集器,以通过命令收集器传输至存储平台进行存储,在IDC-A运营机上SSHD所生成的局部标记信息表示登录至IDC-A运营机的路径信息,全局标识信息可以为全局ID信息,局部标识信息可以为局部ID信息,该全局标识信息表示用户采用登录账户通过IDC-A运营机进行渗透。当用户采用登录账户在IDC-A运营机上,通过SSH登录到后端的IDC-B运营机时,SSH通过与命令收集器进行交互,得到全局标识信息,并将全局标识信息传送到后端的IDC-B运营机,当后端的IDC-B运营机的SSHD验证通过后,获取到的SSH传送过来的全局标识信息,生成表示登录至作为目标机器的IDC-B运营机的路径信息的局部标识信息,并且把这些信息传递给IDC-B运营机上的命令收集器。
相应地,对IDC-B运营机上命令收集器所收集到的全局标识信息和局部标识信息进行获取,即可得到目标机器上报的全局标识信息和局部标识信息。
检查单元30用于根据全局标识信息和局部标识信息检查出原始机器与目标机器之间的路径,其中,路径用于表示登录账户通过原始机器所执行的操作事件,即,根据用户利用登录账户通过原始机器产生的访问和登录至目标机器的路径信息,来确定出原始机器登录至目标机器的路径,并以确定出的路径来表示登录账户通过原始机器所执行的操作事件,实现对入侵者的入侵行为进行描述。
本发明实施例所提供的操作事件的检查装置,通过对原始机器所访问到的目标机器的全局标识信息和局部标识信息进行获取,并基于获取到信息来确定检查出原始机器与目标机器之间的路径,实现了针对一起入侵事件,可以串联入侵者的登录路径,登录过程跳转或经历的机器等信息,描述出入侵者的入侵手段,操作方法,影响机器等情况,实现了对命令之间的关联,从而为入侵的损失评估提供有效的依据,解决了现有技术中入侵行为的检查方式造成无法准确地确定入侵行为所带来的损失的问题,进而达到了提高确定入侵行为的准确性、精确核算入侵行为所带来的损失的效果。
具体地,检查单元30包括第一获取模块、第一判断模块和第一确定模块,其中:
第一获取模块用于获取全局标识信息中的源地址和目的地址,并获取局部标识信息中的源地址和目的地址,其中,源地址主要包括源IP和源端口,目的地址主要包括目的IP和目的端口。
第一判断模块用于判断全局标识信息中的目的地址与局部标识信息中的源地址是否相同,具体地,主要是判断全局标识信息中的目的IP与局部标识信息中的源IP是否相同,并判断全局标识信息中的目的端口与局部标识信息中的源端口是否相同,在以上判断结果均为是的情况下,确定全局标识信息中的目的地址与局部标识信息中的源地址相同。
第一确定模块用于在第一判断模块判断出全局标识信息中的目的地址与局部标识信息中的源地址相同的情况下,确定从全局标识信息中的目的地址至局部标识信息中的目的地址的路径为原始机器与目标机器之间的路径,因为全局标识信息中的目的地址与局部标识信息中的源地址相同,说明用户在利用登录账户渗透到原始机器后,直接通过原始机器登录至目标机器,因此,可以确定从全局标识信息中的目的地址至局部标识信息中的目的地址的路径为原始机器与目标机器之间的路径,也即确定原始机器与目标机器之间的路径直接由原始机器至目标机器。
其中,如果全局标识信息中的目的地址与局部标识信息中的源地址不相同,则说明用户在利用登录账户渗透到原始机器后,先通过原始机器登录到了其它运营机上,中间经历了一个或多个其它运营机后,再登录至目标机器,对于此种目标机器的数量为两个以上的情况,检查单元30主要通过其所包括的第二获取模块、第二判断模块、第二确定模块、查找模块和第三确定模块来检查出原始机器与目标机器之间的路径的方式,假设第一目标机器为两个以上目标机器中的任一目标机器,确定原始机器与第一目标机器之间的路径的方式具体如下:
第二获取模块用于获取全局标识信息中的源地址和目的地址,并获取第一目标机器上报的第一局部标识信息中的源地址和目的地址,其中,源地址主要包括源IP和源端口,目的地址主要包括目的IP和目的端口。
第二判断模块用于判断全局标识信息中的目的地址与第一局部标识信息中的源地址是否相同,具体地,主要是判断全局标识信息中的目的IP与局部标识信息中的源IP是否相同,并判断全局标识信息中的目的端口与局部标识信息中的源端口是否相同,在以上判断结果均为是的情况下,确定全局标识信息中的目的地址与局部标识信息中的源地址相同。
第二确定模块用于在第二判断模块判断出全局标识信息中的目的地址与第一局部标识信息中的源地址相同的情况下,确定从全局标识信息中的目的地址至第一局部标识信息中的目的地址的路径为原始机器与第一目标机器之间的路径,因为全局标识信息中的目的地址与第一局部标识信息中的源地址相同,说明用户在利用登录账户渗透到原始机器后,直接通过原始机器登录至第一目标机器,因此,可以确定从全局标识信息中的目的地址至第一局部标识信息中的目的地址的路径为原始机器与第一目标机器之间的路径,也即确定原始机器与第一目标机器之间的路径直接由原始机器至第一目标机器。
查找模块用于在第二判断模块判断出全局标识信息中的目的地址与第一局部标识信息中的源地址不相同的情况下,从第二目标机器上报的第二局部标识信息中查找与第一局部标识信息中的源地址相同的目的地址,得到第一目的地址,并从第二局部标识信息中查找从第一源地址至第一目的地址的路径,其中,第二目标机器为两个以上目标机器中任一与第一目标机器不同的目标机器,第一源地址与全局标识信息中的目的地址相同,即,在判断出全局标识信息中的目的地址与第一局部标识信息中的源地址不相同的情况下,从其它目标机器上报的局部标识信息中查找与第一局部标识信息中的源地址相同的目的地址,并将查找到的目的地址作为第一目的地址,继续从其它目标机器上报的局部标识信息中查找从第一源地址至第一目的地址的路径,具体查找方式可以是先从其它目标机器上报的局部标识信息中查找与第一目的地址对应源地址,再查找与该源地址相同的目的地址,然后查找对应的源地址,直至查找到的源地址与全局标识信息中的目的地址相同,则确定查找过程中遍历源地址和目的地址为第一源地址至第一目的地址的路径。
第三确定模块用于确定从全局标识信息中的目的地址至第一目的地址至第一局部标识信息中的目的地址的路径为原始机器与第一目标机器之间的路径。
通过以上描述可以看出,本发明实施例所提供的操作事件的检查装置,通过对全局标识信息进行获取,并基于全局标识信息检查出原始机器与目标机器之间的路径,实现了对用户通过同一台机器进行侵入的关联,如果同一账户通过不同的机器进行侵入,由于全部标识信息能够将通过同一台机器的侵入行为进行关联,因此,能够对同一账户通过不同机器进行侵入的行为进行区分,解决了现有技术中对同一账户利用不同机器执行的命令划分难度大的问题。
优选地,本发明实施例所提供的操作事件的检查装置还包括第三获取单元和标记单元,其中,在第一获取单元10获取目标机器上报的全局标识信息之前,第三获取单元用于获取登录账户在原始机器上的命令,标记单元用于利用获取到的命令标记原始机器产生的局部标识信息。即,当Linux Shell执行命令时,命令收集器把收集到的命令做原始机器产生的局部ID信息的标记,由此标记就可以确定命令是哪个用户执行的,同时命令上报到存储平台。
通过利用登录账户在原始机器的命令来标记原始机器产生的局部标识信息,实现了在利用局部标识信息对表示操作事件的路径进行检查时,能够将同一账户在不同机器之间的命令进行关联,实现了把命令记录与用户操作记录之间的有效结合。
进一步地,本发明实施例所提供的操作事件的检查装置还包括修改单元,该修改单元主要用于在第一获取单元10获取目标机器上报的全局标识信息之前,修改目标机器上网络服务程序及网络服务程序的验证程序,以使验证程序对网络服务程序验证通过后,生成全局标识信息和局部标识信息。
其中,MNET跳板机与运营机之间的操作流程在图9中示出,通过修改SSH的Server验证程序(SSHD)以及SSH的程序。同时,在每台机器上部署命令收集的程序,来收集命令,并且上报到后端的存储平台,得到了图4和图5中示出的原始机器和目标机器之间的操作,实现了对全局标识信息和局部标识信息的获取。
优选地,本发明实施例所提供的操作事件的检查装置还包括判断单元、生成单元和控制单元,该判断单元用于根据路径判断操作事件是否为非法的操作事件,生成单元用于在判断单元判断出操作事件为非法的操作事件的情况下,生成用于对登录账户进行访问控制的控制参数,控制单元用于按照控制参数控制登录账户对目标机器的访问。
具体地,控制参数可以限制登录账户访问权限的参数,按照控制参数控制登录账户对目标机器的访问,即是控制登录账户的访问权限,控制在其权限范围的内容可以被登录账户访问,在其权限范围外的内容则拒绝对登录账户访问。
在判断出操作事件为非法的操作事件的情况下,说明执行该操作事件的登录账户出现被盗用等其它异常,通过生成对登录账户进行访问控制的控制参数,并按照控制参数控制登录账户对目标机器的访问,实现了在登录账户出现被盗用等其它异常情况时,能够避免利用该登录账户进行信息的窃取,提高了系统的安全性。
其中,在本发明实施例中,还提供了一种判断单元的结构组成,判断单元包括第三判断模块和第四确定模块,其中,第三判断模块用于判断路径是否是预设数据库中的路径,其中,在预设数据库中存储有多条通过验证的路径;第四确定模块用于在第三判断模块判断出路径不是预设数据库中的路径的情况下,确定操作事件为非法的操作事件。
其中,在本发明实施例中,还提供了另一种判断单元的结构组成,判断单元包括第三获取模块、第四判断模块和第五确定模块,其中,第三获取模块用于获取路径在预设时间内的出现次数;第四判断模块用于判断出现次数是否大于第一预设次数,或判断出现次数是否小于第二预设次数,其中,第一预设次数表示通过验证的路径在预设时间内出现的最多次数,第二预设次数表示通过验证的路径在预设时间内出现的最少次数;第五确定模块用于在判断出现次数大于第一预设次数,或在判断出现次数小于第二预设次数的情况下,确定操作事件为非法的操作事件。即,在判断出某一路径在参考周期内出现的次数超过正常的最大次数,或小于正常的最小次数的情况下,均确定该路径所表示的操作事件为非法的操作事件。其中,预设时间、第一预设次数和第二预设次数的具体取值可以根据系统的安全级别进行实际设置,此处不再具体说明具体取值。
通过以上描述可以看出,本发明实施例实现了如下技术效果:
关联性,本发明实施例不但可以关联同一台命令之间的相互关系,还可以关联同一个用户不同机器之间的命令关系,同时把命令记录与用户操作记录之有效结合。
描述性,针对一起入侵事件,可以串联入侵者的登录路径,操作的命令,跳转的机器等信息,描述出其入侵手段,操作方法,影响机器等情况,从而为入侵的损失评估提供有效的依据。
实用性,本发明实施例不但可以关联入侵行为,同时可以定位违规操作。
实施例3
根据本发明实施例,还提供了一种用于实施上述操作事件的检查方法的终端设备,该终端设备可以是移动终端或者计算机,可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(Mobile Internet Devices,MID)、PAD等终端设备。
图11是根据本发明实施例的终端设备的示意图,如图11所示,该终端设备主要包括处理器601、显示器602和存储器603。
显示器602用于显示根据全局标识信息和局部标识信息检查出的原始机器与目标机器之间的路径,存储器603用于存储全局标识信息、局部标识信息和应用程序。处理器601用于获取目标机器上报的全局标识信息和局部标识信息,并根据全局标识信息和局部标识信息检查出原始机器与目标机器之间的路径。
其中,处理器601还用于执行以下操作:
获取全局标识信息中的源地址和目的地址,并获取局部标识信息中的源地址和目的地址;判断全局标识信息中的目的地址与局部标识信息中的源地址是否相同;以及在判断出全局标识信息中的目的地址与局部标识信息中的源地址相同的情况下,确定从全局标识信息中的目的地址至局部标识信息中的目的地址的路径为原始机器与目标机器之间的路径。
在目标机器的数量为两个以上的情况下,获取全局标识信息中的源地址和目的地址,并获取第一目标机器上报的第一局部标识信息中的源地址和目的地址,其中,第一目标机器为两个以上目标机器中的任一目标机器;判断全局标识信息中的目的地址与第一局部标识信息中的源地址是否相同;在判断出全局标识信息中的目的地址与第一局部标识信息中的源地址相同的情况下,确定从全局标识信息中的目的地址至第一局部标识信息中的目的地址的路径为原始机器与第一目标机器之间的路径;在判断出全局标识信息中的目的地址与第一局部标识信息中的源地址不相同的情况下,从第二目标机器上报的第二局部标识信息中查找与第一局部标识信息中的源地址相同的目的地址,得到第一目的地址,并从第二局部标识信息中查找从第一源地址至第一目的地址的路径,其中,第二目标机器为两个以上目标机器中任一与第一目标机器不同的目标机器,第一源地址与全局标识信息中的目的地址相同;以及确定从全局标识信息中的目的地址至第一目的地址至第一局部标识信息中的目的地址的路径为原始机器与第一目标机器之间的路径。
在获取目标机器上报的全局标识信息和局部标识信息之前,获取登录账户在目标机器上的命令;以及利用获取到的命令标记局部标识信息。
在获取目标机器上报的全局标识信息和局部标识信息之前,修改目标机器上网络服务程序及网络服务程序的验证程序,以使验证程序对网络服务程序验证通过后,生成全局标识信息和局部标识信息。
在根据全局标识信息和局部标识信息检查出原始机器与目标机器之间的路径之后,根据路径判断操作事件是否为非法的操作事件。
在根据路径判断操作事件是否为非法的操作事件之后,若判断出操作事件为非法的操作事件,则生成用于对登录账户进行访问控制的控制参数;以及按照控制参数控制登录账户对目标机器的访问。
判断路径是否是预设数据库中的路径,其中,在预设数据库中存储有多条通过验证的路径;以及在判断出路径不是预设数据库中的路径的情况下,确定操作事件为非法的操作事件。
获取路径在预设时间内的出现次数;判断出现次数是否大于第一预设次数,或判断出现次数是否小于第二预设次数,其中,第一预设次数表示通过验证的路径在预设时间内出现的最多次数,第二预设次数表示通过验证的路径在预设时间内出现的最少次数;以及在判断出现次数大于第一预设次数,或在判断出现次数小于第二预设次数的情况下,确定操作事件为非法的操作事件。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例4
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于存储本发明实施例的操作事件的检查方法的程序代码。
可选地,在本实施例中,上述存储介质可以位于移动终端设备和计算机中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
S1,获取目标机器上报的全局标识信息和局部标识信息;
S2,根据全局标识信息和局部标识信息检查出原始机器与目标机器之间的路径。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行获取全局标识信息中的源地址和目的地址,并获取局部标识信息中的源地址和目的地址;判断全局标识信息中的目的地址与局部标识信息中的源地址是否相同;以及在判断出全局标识信息中的目的地址与局部标识信息中的源地址相同的情况下,确定从全局标识信息中的目的地址至局部标识信息中的目的地址的路径为原始机器与目标机器之间的路径。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行在目标机器的数量为两个以上的情况下,获取全局标识信息中的源地址和目的地址,并获取第一目标机器上报的第一局部标识信息中的源地址和目的地址,其中,第一目标机器为两个以上目标机器中的任一目标机器;判断全局标识信息中的目的地址与第一局部标识信息中的源地址是否相同;在判断出全局标识信息中的目的地址与第一局部标识信息中的源地址相同的情况下,确定从全局标识信息中的目的地址至第一局部标识信息中的目的地址的路径为原始机器与第一目标机器之间的路径;在判断出全局标识信息中的目的地址与第一局部标识信息中的源地址不相同的情况下,从第二目标机器上报的第二局部标识信息中查找与第一局部标识信息中的源地址相同的目的地址,得到第一目的地址,并从第二局部标识信息中查找从第一源地址至第一目的地址的路径,其中,第二目标机器为两个以上目标机器中任一与第一目标机器不同的目标机器,第一源地址与全局标识信息中的目的地址相同;以及确定从全局标识信息中的目的地址至第一目的地址至第一局部标识信息中的目的地址的路径为原始机器与第一目标机器之间的路径。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行在获取目标机器上报的全局标识信息和局部标识信息之前,获取登录账户在目标机器上的命令;以及利用获取到的命令标记局部标识信息。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行在获取目标机器上报的全局标识信息和局部标识信息之前,修改目标机器上网络服务程序及网络服务程序的验证程序,以使验证程序对网络服务程序验证通过后,生成全局标识信息和局部标识信息。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行在根据全局标识信息和局部标识信息检查出原始机器与目标机器之间的路径之后,根据路径判断操作事件是否为非法的操作事件。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行在根据路径判断操作事件是否为非法的操作事件之后,若判断出操作事件为非法的操作事件,则生成用于对登录账户进行访问控制的控制参数;以及按照控制参数控制登录账户对目标机器的访问。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行判断路径是否是预设数据库中的路径,其中,在预设数据库中存储有多条通过验证的路径;以及在判断出路径不是预设数据库中的路径的情况下,确定操作事件为非法的操作事件。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行获取路径在预设时间内的出现次数;判断出现次数是否大于第一预设次数,或判断出现次数是否小于第二预设次数,其中,第一预设次数表示通过验证的路径在预设时间内出现的最多次数,第二预设次数表示通过验证的路径在预设时间内出现的最少次数;以及在判断出现次数大于第一预设次数,或在判断出现次数小于第二预设次数的情况下,确定操作事件为非法的操作事件。
可选地,本实施例中的具体示例可以参考上述实施例1和实施例2中所描述的示例,本实施例在此不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (20)
1.一种操作事件的检查方法,其特征在于,包括:
获取目标机器上报的全局标识信息,其中,所述目标机器为登录账户通过原始机器所访问到的机器,所述登录账户登录至所述原始机器后,所述原始机器产生所述全局标识信息,并将所述全局标识信息传输至所述目标机器,所述全局标识信息用于标识所述登录账户通过所述原始机器产生的访问;
获取所述目标机器上报的局部标识信息,其中,所述登录账户登录至所述目标机器后,所述目标机器产生所述局部标识信息,所述局部标识信息用于表示登录至所述目标机器的路径信息;以及
根据所述全局标识信息和所述局部标识信息检查出所述原始机器与所述目标机器之间的路径,其中,所述路径用于表示所述登录账户通过所述原始机器所执行的所述操作事件。
2.根据权利要求1所述的检查方法,其特征在于,根据所述全局标识信息和所述局部标识信息检查出所述原始机器与所述目标机器之间的路径包括:
获取所述全局标识信息中的源地址和目的地址,并获取所述局部标识信息中的源地址和目的地址;
判断所述全局标识信息中的目的地址与所述局部标识信息中的源地址是否相同;以及
在判断出所述全局标识信息中的目的地址与所述局部标识信息中的源地址相同的情况下,确定从所述全局标识信息中的目的地址至所述局部标识信息中的目的地址的路径为所述原始机器与所述目标机器之间的路径。
3.根据权利要求1所述的检查方法,其特征在于,所述目标机器的数量为两个以上,根据所述全局标识信息和所述局部标识信息检查出所述原始机器与所述目标机器之间的路径包括:
获取所述全局标识信息中的源地址和目的地址,并获取第一目标机器上报的第一局部标识信息中的源地址和目的地址,其中,所述第一目标机器为两个以上所述目标机器中的任一所述目标机器;
判断所述全局标识信息中的目的地址与所述第一局部标识信息中的源地址是否相同;以及
在判断出所述全局标识信息中的目的地址与所述第一局部标识信息中的源地址相同的情况下,确定从所述全局标识信息中的目的地址至所述第一局部标识信息中的目的地址的路径为所述原始机器与所述第一目标机器之间的路径。
4.根据权利要求1所述的检查方法,其特征在于,所述目标机器的数量为两个以上,根据所述全局标识信息和所述局部标识信息检查出所述原始机器与所述目标机器之间的路径包括:
获取所述全局标识信息中的源地址和目的地址,并获取第一目标机器上报的第一局部标识信息中的源地址和目的地址,其中,所述第一目标机器为两个以上所述目标机器中的任一所述目标机器;
判断所述全局标识信息中的目的地址与所述第一局部标识信息中的源地址是否相同;
在判断出所述全局标识信息中的目的地址与所述第一局部标识信息中的源地址不相同的情况下,从第二目标机器上报的第二局部标识信息中查找与所述第一局部标识信息中的源地址相同的目的地址,得到第一目的地址,并从所述第二局部标识信息中查找从第一源地址至所述第一目的地址的路径,其中,所述第二目标机器为两个以上所述目标机器中任一与所述第一目标机器不同的所述目标机器,所述第一源地址与所述全局标识信息中的目的地址相同;以及
确定从所述全局标识信息中的目的地址至所述第一目的地址至所述第一局部标识信息中的目的地址的路径为所述原始机器与所述第一目标机器之间的路径。
5.根据权利要求1所述的检查方法,其特征在于,在获取目标机器上报的全局标识信息之前,所述检查方法还包括:
获取所述登录账户在所述原始机器上的命令;以及
利用获取到的命令标记所述原始机器产生的局部标识信息,其中,所述登录账户登录至所述原始机器后,所述原始机器还产生局部标识信息。
6.根据权利要求1所述的检查方法,其特征在于,在获取目标机器上报的全局标识信息之前,所述检查方法还包括:
修改所述目标机器上网络服务程序及所述网络服务程序的验证程序,以使所述验证程序对所述网络服务程序验证通过后,生成所述全局标识信息和所述局部标识信息。
7.根据权利要求1至6中任一项所述的检查方法,其特征在于,在根据所述全局标识信息和所述局部标识信息检查出所述原始机器与所述目标机器之间的路径之后,所述检查方法还包括:
根据所述路径判断所述操作事件是否为非法的操作事件。
8.根据权利要求7所述的检查方法,其特征在于,在根据所述路径判断所述操作事件是否为非法的操作事件之后,所述检查方法还包括:
若判断出所述操作事件为非法的操作事件,则生成用于对所述登录账户进行访问控制的控制参数;以及
按照所述控制参数控制所述登录账户对所述目标机器的访问。
9.根据权利要求7所述的检查方法,其特征在于,根据所述路径判断所述操作事件是否为非法的操作事件包括:
判断所述路径是否是预设数据库中的路径,其中,在所述预设数据库中存储有多条通过验证的路径;以及
在判断出所述路径不是所述预设数据库中的路径的情况下,确定所述操作事件为非法的操作事件。
10.根据权利要求7所述的检查方法,其特征在于,根据所述路径判断所述操作事件是否为非法的操作事件包括:
获取所述路径在预设时间内的出现次数;
判断所述出现次数是否大于第一预设次数,或判断所述出现次数是否小于第二预设次数,其中,所述第一预设次数表示通过验证的路径在所述预设时间内出现的最多次数,所述第二预设次数表示通过验证的路径在所述预设时间内出现的最少次数;以及
在判断所述出现次数大于所述第一预设次数,或在判断所述出现次数小于所述第二预设次数的情况下,确定所述操作事件为非法的操作事件。
11.一种操作事件的检查装置,其特征在于,包括:
第一获取单元,用于获取目标机器上报的全局标识信息,其中,所述目标机器为登录账户通过原始机器所访问到的机器,所述登录账户登录至所述原始机器后,所述原始机器产生所述全局标识信息,并将所述全局标识信息传输至所述目标机器,所述全局标识信息用于标识所述登录账户通过所述原始机器产生的访问;
第二获取单元,用于获取所述目标机器上报的局部标识信息,其中,所述登录账户登录至所述目标机器后,所述目标机器产生所述局部标识信息,所述局部标识信息用于表示登录至所述目标机器的路径信息;以及
检查单元,用于根据所述全局标识信息和所述局部标识信息检查出所述原始机器与所述目标机器之间的路径,其中,所述路径用于表示所述登录账户通过所述原始机器所执行的操作事件。
12.根据权利要求11所述的检查装置,其特征在于,所述检查单元包括:
第一获取模块,用于获取所述全局标识信息中的源地址和目的地址,并获取所述局部标识信息中的源地址和目的地址;
第一判断模块,用于判断所述全局标识信息中的目的地址与所述局部标识信息中的源地址是否相同;以及
第一确定模块,用于在所述第一判断模块判断出所述全局标识信息中的目的地址与所述局部标识信息中的源地址相同的情况下,确定从所述全局标识信息中的目的地址至所述局部标识信息中的目的地址的路径为所述原始机器与所述目标机器之间的路径。
13.根据权利要求11所述的检查装置,其特征在于,所述目标机器的数量为两个以上,所述检查单元包括:
第二获取模块,用于获取所述全局标识信息中的源地址和目的地址,并获取第一目标机器上报的第一局部标识信息中的源地址和目的地址,其中,所述第一目标机器为两个以上所述目标机器中的任一所述目标机器;
第二判断模块,用于判断所述全局标识信息中的目的地址与所述第一局部标识信息中的源地址是否相同;以及
第二确定模块,用于在所述第二判断模块判断出所述全局标识信息中的目的地址与所述第一局部标识信息中的源地址相同的情况下,确定从所述全局标识信息中的目的地址至所述第一局部标识信息中的目的地址的路径为所述原始机器与所述第一目标机器之间的路径。
14.根据权利要求13所述的检查装置,其特征在于,所述检查单元还包括:
查找模块,用于在所述第二判断模块判断出所述全局标识信息中的目的地址与所述第一局部标识信息中的源地址不相同的情况下,从第二目标机器上报的第二局部标识信息中查找与所述第一局部标识信息中的源地址相同的目的地址,得到第一目的地址,并从所述第二局部标识信息中查找从第一源地址至所述第一目的地址的路径,其中,所述第二目标机器为两个以上所述目标机器中任一与所述第一目标机器不同的所述目标机器,所述第一源地址与所述全局标识信息中的目的地址相同;以及
第三确定模块,用于确定从所述全局标识信息中的目的地址至所述第一目的地址至所述第一局部标识信息中的目的地址的路径为所述原始机器与所述第一目标机器之间的路径。
15.根据权利要求11所述的检查装置,其特征在于,所述检查装置还包括:
第三获取单元,用于获取所述登录账户在所述原始机器上的命令;以及
标记单元,用于利用获取到的命令标记所述原始机器产生的局部标识信息,其中,所述登录账户登录至所述原始机器后,所述原始机器还产生局部标识信息。
16.根据权利要求11所述的检查装置,其特征在于,所述检查装置还包括:
修改单元,用于修改所述目标机器上网络服务程序及所述网络服务程序的验证程序,以使所述验证程序对所述网络服务程序验证通过后,生成所述全局标识信息和所述局部标识信息。
17.根据权利要求11至16中任一项所述的检查装置,其特征在于,所述检查装置还包括:
判断单元,用于根据所述路径判断所述操作事件是否为非法的操作事件。
18.根据权利要求17所述的检查装置,其特征在于,所述检查装置还包括:
生成单元,用于在所述判断单元判断出所述操作事件为非法的操作事件的情况下,生成用于对所述登录账户进行访问控制的控制参数;以及
控制单元,用于按照所述控制参数控制所述登录账户对所述目标机器的访问。
19.根据权利要求17所述的检查装置,其特征在于,所述判断单元包括:
第三判断模块,用于判断所述路径是否是预设数据库中的路径,其中,在所述预设数据库中存储有多条通过验证的路径;以及
第四确定模块,用于在所述第三判断模块判断出所述路径不是所述预设数据库中的路径的情况下,确定所述操作事件为非法的操作事件。
20.根据权利要求17所述的检查装置,其特征在于,所述判断单元包括:
第三获取模块,用于获取所述路径在预设时间内的出现次数;
第四判断模块,用于判断所述出现次数是否大于第一预设次数,或判断所述出现次数是否小于第二预设次数,其中,所述第一预设次数表示通过验证的路径在所述预设时间内出现的最多次数,所述第二预设次数表示通过验证的路径在所述预设时间内出现的最少次数;以及
第五确定模块,用于在判断所述出现次数大于所述第一预设次数,或在判断所述出现次数小于所述第二预设次数的情况下,确定所述操作事件为非法的操作事件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410258861.XA CN105160245B (zh) | 2014-06-11 | 2014-06-11 | 操作事件的检查方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410258861.XA CN105160245B (zh) | 2014-06-11 | 2014-06-11 | 操作事件的检查方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105160245A CN105160245A (zh) | 2015-12-16 |
| CN105160245B true CN105160245B (zh) | 2019-01-08 |
Family
ID=54801098
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410258861.XA Active CN105160245B (zh) | 2014-06-11 | 2014-06-11 | 操作事件的检查方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105160245B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234480B (zh) * | 2017-12-29 | 2021-06-22 | 北京奇虎科技有限公司 | 入侵检测方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102006290A (zh) * | 2010-08-12 | 2011-04-06 | 清华大学 | Ip源地址追溯的方法 |
| CN102801727A (zh) * | 2012-08-13 | 2012-11-28 | 常州大学 | 一种基于自治域系统的DDoS攻击追踪方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040024864A1 (en) * | 2002-07-31 | 2004-02-05 | Porras Phillip Andrew | User, process, and application tracking in an intrusion detection system |
| KR100744530B1 (ko) * | 2003-09-17 | 2007-08-01 | 한국전자통신연구원 | 연결 재설정 기법을 이용한 실시간 연결 역추적 장치 및그 방법 |
-
2014
- 2014-06-11 CN CN201410258861.XA patent/CN105160245B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102006290A (zh) * | 2010-08-12 | 2011-04-06 | 清华大学 | Ip源地址追溯的方法 |
| CN102801727A (zh) * | 2012-08-13 | 2012-11-28 | 常州大学 | 一种基于自治域系统的DDoS攻击追踪方法 |
Non-Patent Citations (2)
| Title |
|---|
| 基于水印追踪技术的入侵检测系统的研究;郑鹏 等;《微计算机信息》;20081231;第24卷(第12-3期);第48-49,134页 |
| 攻击源追踪技术概述;李冬静 等;《中国公共安全·学术版》;20050831(第2期);第76-80页 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105160245A (zh) | 2015-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101447991B (zh) | 用于测试入侵检测系统的测试装置及测试方法 | |
| EP3276907B1 (en) | A method and apparatus for testing a security of communication of a device under test | |
| CN103685311B (zh) | 一种登录验证方法及设备 | |
| CN110324310A (zh) | 网络资产指纹识别方法、系统及设备 | |
| CN109766700A (zh) | 访问文件的控制方法及装置、存储介质、电子装置 | |
| US10701086B1 (en) | Methods and systems for detecting malicious servers | |
| CN105787364B (zh) | 任务的自动化测试方法、装置及系统 | |
| CN108363662A (zh) | 一种应用程序测试方法、存储介质及终端设备 | |
| CN109039987A (zh) | 一种用户账户登录方法、装置、电子设备和存储介质 | |
| CN105224868B (zh) | 系统漏洞攻击的检测方法及装置 | |
| CN107294953A (zh) | 攻击操作检测方法及装置 | |
| CN103516693B (zh) | 鉴别钓鱼网站的方法与装置 | |
| CN107579997A (zh) | 无线网络入侵检测系统 | |
| CN108809895A (zh) | 弱口令的检测方法和装置 | |
| CN109426700B (zh) | 数据处理方法、装置、存储介质和电子装置 | |
| CN105812200A (zh) | 异常行为检测方法及装置 | |
| CN107872438A (zh) | 一种验证方法、装置及终端 | |
| CN109547426A (zh) | 业务响应方法及服务器 | |
| CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| CN108809926A (zh) | 入侵检测规则优化方法、装置、电子设备及存储介质 | |
| CN109145585A (zh) | 一种检测网站存在弱口令的方法及装置 | |
| CN107566401A (zh) | 虚拟化环境的防护方法及装置 | |
| CN106973051B (zh) | 建立检测网络威胁模型的方法、装置和存储介质 | |
| CN108073499A (zh) | 应用程序的测试方法及装置 | |
| CN105160245B (zh) | 操作事件的检查方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190807 Address after: 518000 Nanshan District science and technology zone, Guangdong, Zhejiang Province, science and technology in the Tencent Building on the 1st floor of the 35 layer Co-patentee after: Tencent cloud computing (Beijing) limited liability company Patentee after: Tencent Technology (Shenzhen) Co., Ltd. Address before: Shenzhen Futian District City, Guangdong province 518000 Zhenxing Road, SEG Science Park 2 East Room 403 Patentee before: Tencent Technology (Shenzhen) Co., Ltd. |
|
| TR01 | Transfer of patent right |