操作事件的检测方法和装置
技术领域
本发明涉及网络服务领域,具体而言,涉及一种操作事件的检测方法和装置。
背景技术
目前业界对运维事件进行检测(即,审计)的主要手段是部署堡垒主机,即要求所有运维人员的操作必须通过堡垒主机进行,实现堡垒主机对全部操作过程的录像,并随意回放。通过分析录像等手段,解析出运维人员的操作流水、登录日志等信息(一般为:操作者、操作IP、操作命令、操作时间)。
图1是现有技术中一种对运维事件进行检测的示意图,图2是图1中示出的运维检测的工作原理图,如图2所示,图1中示出的运维检测的主要工作原理是:用户10要对IDC(Internet Data Center,互联网数据中心,简称IDC)运营机30进行运维操作时,需要登录堡垒主机20(步骤S1),登录堡垒主机20后,用户10通过堡垒主机20登录到IDC运营机30上,对IDC运营机30进行运维工作(步骤S2),堡垒主机20将用户10的全部的运维操作记录下来后传送至检测系统40(步骤S3),管理员日后可以在检测系统40上进行回放等审计工作,其中,堡垒主机20上记录有谁(操作者)在哪里(操作IP)什么时候(操作时间)干了什么(操作命令)。
上述对运维事件进行检测的方案,在运营机数量比较庞大的情况下,如果每台运营机的屏幕尺寸都不一样的话,会出现录像内容的多样化,导致堡垒主机上传至检测系统的数据量庞大,进而导致通过特征提取进行运维事件分析的工作量加大,并且检测效率和检测结果的准确度也均降低。并且上述检测方案,仅能记录交互式操作,对于非交互式操作、系统操作或crontab操作均无法记录,而且如果用户绕过堡垒主机直接对运营机进行运维工作的话,造成堡垒主机监测不到用户的运维操作,进而导致检测系统无法根据堡垒主机的上传数据对运维事件进行分析。另外,现有的检测方案仅能对操作者、操作IP、操作时间和操作命令进行记录,由于此种记录的数据纬度较低,在某些情况下仅根据这些记录并不能准确地运维事件的合法与否进行判定,造成运维事件的检测精度降低。
针对相关技术中运维事件的检测精度较低的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种操作事件的检测方法和装置,以至少解决现有技术中运维事件的检测精度较低的技术问题。
根据本发明实施例的一个方面,提供了一种操作事件的检测方法,包括:获取目标命令解析器上的操作数据,其中,所述目标命令解析器为用户客户端登录目标机器的接口,所述操作数据为所述用户客户端通过所述目标命令解析器执行所述操作事件的数据;从所述操作数据中提取目标数据,其中,所述目标数据为用于检测所述操作事件的数据;以及对所述目标数据进行处理,以检测所述操作事件是否合法。
根据本发明实施例的另一方面,还提供了一种操作事件的检测装置,包括:获取单元,用于获取目标命令解析器上的操作数据,其中,所述目标命令解析器为用户客户端登录目标机器的接口,所述操作数据为所述用户客户端通过所述目标命令解析器执行所述操作事件的数据;提取单元,用于从所述操作数据中提取目标数据,其中,所述目标数据为用于检测所述操作事件的数据;以及检测单元,用于对所述目标数据进行处理,以检测所述操作事件是否合法。
在本发明实施例中,采用获取目标命令解析器上的操作数据,其中,所述目标命令解析器为用户客户端登录目标机器的接口,所述操作数据为所述用户客户端通过所述目标命令解析器执行所述操作事件的数据;从所述操作数据中提取目标数据,其中,所述目标数据为用于检测所述操作事件的数据;以及对所述目标数据进行处理,以检测所述操作事件是否合法,通过利用目标命令解析器获取用户客户端对目标机器的操作数据,实现了对用户客户端的每一次操作及操作的相关数据均进行获取,能够更加及时地对操作事件进行检测,并且在用户绕过堡垒主机直接对运营机进行运维工作的情况下,仍然能够监测获取到用户的运维操作数据,而且所获取到的操作数据能够直接表示用户的操作行为,大大减少了对运维事件分析的工作量,提高了利用目标数据对操作事件进行检测的检测效率和检测结果的准确度。同时,将用户客户端的每个操作的每个属性均格式化记录下来,实现了能够涵盖更多的操作场景,以便利用目标数据精确地判断表示运维工作的操作事件是否合法,解决了现有技术中运维事件的检测精度较低的问题,进而达到了提高检测精度和检测效率的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据现有技术的一种对运维事件进行检测的示意图;
图2是图1中示出的运维检测的工作原理图;
图3是应用本发明实施例的操作事件的检测方法的检测系统的示意图;
图4是根据本发明实施例的操作事件的检测方法的流程图;
图5是根据本发明实施例的操作事件的检测装置的示意图;以及
图6是根据本发明实施例的终端设备的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
对本发明实施例中所涉及的技术术语做如下解释:
运维审计:对运维人员的访问过程进行全过程的操作记录、事后操作过程的回放。
堡垒主机:一种被强化的可以防御进攻的计算机,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决。
IDC:英文全称是Internet Data Center,是互联网数据中心,用于对外提供服务。
Linux:是一套免费使用和自由传播的类Unix操作系统,广泛用于各种设备中。
SHELL:提供使用者使用界面的软件,它接收用户命令,然后调用相应的应用程序。
BASH:SHELL的一种,是许多Linux系统的内定SHELL,利用BASH执行的操作会被反馈给操作系统,再由操作系统反馈给用户。
IP:网络地址,标示互联网上的每一台主机。
交互式操作:操作者输入信息和指令,系统接收到处理之后显示出来,操作人员可根据结果进一步输入信息和指令。
Crontab:常见于Linux系统中,用于设置周期性被执行的指令,无需人工操作。
进程:是一次程序的执行,是一个程序及其数据在计算机上顺序执行时所发生的活动。
进程ID:Process Identifier(PID),进程控制符,即进程的身份标识。
父进程:指已创建一个或多个进程的进程,比如某个进程A用于创建一个或多个进程B,则该进程A可以称作进程B的父进程,或者说进程B的父进程为进程A。
工作目录:用户在操作系统内所在的目录,用户可在此用相对文件名访问文件。
Iptables:用来设置、维护和检查Linux的IP包过滤规则的程序,如同系统防火墙。
实施例1
根据本发明实施例,提供了一种可以通过本申请装置实施例执行的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
根据本发明实施例,提供了一种操作事件的检测方法,本发明实施例所提供的操作事件的检测方法可以应用在图3中示出的检测系统中,如图3所示,图3中示出的操作事件的检测方法的主要工作原理是:用户10要对IDC(Internet Data Center,互联网数据中心,简称IDC)运营机30进行运维操作时,登录到IDC运营机30上,对IDC运营机30进行运维工作,IDC运营机30上的BASH记录用户10的全部的运维操作数据,并将操作数据传送至检测系统40,检测系统40将操作数据与事先配置好的规则进行比对,如果根据比对结果检测出操作数据所表示的操作事件属于违规操作的话,检测系统40会发送相关信息给管理员50,以通知管理员50进行处理。
图4是根据本发明实施例的操作事件的检测方法的流程图,如图4所示,该检测方法主要包括步骤S402至步骤S404:
S402:获取目标命令解析器上的操作数据,其中,目标命令解析器为用户客户端登录目标机器的接口,操作数据为用户客户端通过目标命令解析器执行操作事件的数据,具体地,目标命令解析器为目标机器上的BASH,在本发明实施例中,通过改造BASH,将目标机器上的BASH的操作数据实时传送至检测系统并存储,来获取到操作数据。操作数据包含但不限于以下内容:操作者(自然人/本地用户)、操作IP、操作命令、操作时间、执行进程名、进程ID、父进程、父进程ID、工作目录、是否交互式命令。需要说明的是,本发明实施例并不限定BASH的具体改造方式,对于任一种改造方式,只要该改造方式能够实现将目标机器上的BASH的操作数据实时传送至检测系统,那么这种改造方式就可以本发明实施例所提供的操作事件的检测方法所应用。
S403:从操作数据中提取目标数据,其中,目标数据为用于检测操作事件的数据,即,从操作数据中选择能够用来检测检测事件的数据,在本发明实施例中,可以根据操作数据的属性来进行目标数据的具体选择。
S404:对目标数据进行处理,以检测操作事件是否合法,具体地,主要是将目标数据与事先配置好的规则进行比对,如果根据比对结果检测出操作数据所表示的操作事件属于违规操作的话,则检测出操作事件非法,其中,在检测出操作事件非法的情况下,可以进一步发送相关信息给管理员,以通知管理员进行处理。
本发明实施例所提供的操作事件的检测方法,通过利用目标命令解析器获取用户客户端对目标机器的操作数据,此种从目标机器的BASH上获取操作数据的方式,能够全面记录交互式操作、非交互式操作、系统或crontab操作,实现了对用户客户端的每一次操作及操作的相关数据均进行获取,相对现有技术中利用堡垒主机采集操作数据的方式,通过将用户客户端的每个操作的每个属性均格式化记录下来,无需像利用堡垒主机采集操作数据的方式重放录像,实现了更加及时地对操作事件进行检测,并且在用户绕过堡垒主机直接对运营机进行运维工作的情况下,仍然能够监测获取到用户的运维操作数据,而且所获取到的操作数据能够直接表示用户的操作行为,相对现有技术中通过分析录像内容获取用户操作行为的方式,大大减少了对运维事件分析的工作量,提高了利用目标数据对操作事件进行检测的检测效率和检测结果的准确度。同时,将用户客户端的每个操作的每个属性均格式化记录下来,实现了能够涵盖更多的操作场景,以便利用目标数据精确地判断表示运维工作的操作事件是否合法,解决了现有技术中运维事件的检测精度较低的问题,进而达到了提高检测精度和检测效率的效果。
以下具体说明针对所提取的不同的目标数据,来检测操作事件是否合法的具体方式:
目标数据可以是从操作数据中提取到的操作命令和进程数据,其中,操作命令为
用户客户端通过目标命令解析器执行操作事件的命令,进程数据为执行操作事件的数据,
对应地,对目标数据进行处理,以检测操作事件是否合法则对应为:对操作命令和进程数据
进程处理,以检测操作事件是否合法,具体地,可以先获取进程数据中执行操作事件的进程
的父进程,比如某个进程X是执行操作事件的进程,则需要获取该进程X的父进程;然后,判
断父进程是否是目标进程,并判断操作命令是否是第一目标命令,其中,目标进程为在目标
机器上运行的与防火墙相关的进程,即,目标进程是在目标机器上执行防火墙工程的进程,
一般可以表示为“firewall”进程,第一目标命令表示请求修改进程。在判断出父进程非目
标进程,并且操作命令是第一目标命令的情况下,检测出操作事件非法,即,如果执行某个
操作事件是修改目标机器的系统防火墙,并且执行该操作事件的进程的父进程不是
firewall进程,则确定该操作事件是非法操作事件,以此实现了对iptables使用的监控。
其中,判断父进程是否是目标进程主要通过获取父进程的进程标识和目标进程的进程标识,然后判断父进程的进程标识与目标进程的进程标识是否相同,其中,在判断处父进程的进程标识与目标进程的进程标识不相同的情况下,确定父进程非目标进程。
目标数据还可以是从操作数据中提取到的包括操作命令和绝对路径,其中,操作命令为用户客户端通过目标命令解析器执行操作事件的命令,绝对路径为操作命令在目标机器上的执行路径,对应地,对目标数据进行处理,以检测操作事件是否合法则对应为:对绝对路径和操作命令进行处理,以检测操作事件是否合法。
其中,对绝对路径和操作命令进程处理,以检测操作事件是否合法包括:判断操作命令是否是第二目标命令,并判断绝对路径是否是第一预设路径,其中,第二目标命令表示请求删除绝对路径下的文件;以及在判断出操作命令是第二目标命令,并且绝对路径是第一预设路径的情况下,检测出操作事件非法。在本发明实施例中,第一预设路径可以是“/data/important_file”,即,如果判断出某个操作事件是将请求删除“/data/important_file”下的文件,则检测出该操作事件属于非法操作事件。
对绝对路径和操作命令进行处理,以检测操作事件是否合法还可以包括:判断操作命令是否是第三目标命令,并判断绝对路径是否是第二预设路径,其中,第三目标命令表示请求下载或打包绝对路径下的文件;在判断出操作命令是第三目标命令,并且绝对路径是第二预设路径的情况下,获取操作命令所请求的文件在绝对路径下的文件中所占的比例;判断比例是否达到预设阈值;以及在判断出比例达到预设阈值的情况下,检测出操作事件非法。在本发明实施例中,第二预设路径可以是“/data/log/”,即,如果判断出某个操作事件是将请求下载或打包“/data/log/”下的文件,由于“/data/log/”下的文件可以不允许全部下载,也不允许打包后下载,因此进一步判断操作命令所请求的文件在绝对路径下的文件中所占的比例是否达到预设阈值,并在判断出所占比例达到预设阈值的情况下,检测出该操作事件属于非法操作事件,其中,预设阈值可以是100%,也可以是小于100%的其它比例值,具体地,可以根据目标机器的安全级别进行具体设置。
在本发明实施例中,可以采用以下方式来获取绝对路径,首先,获取操作命令在目标机器的操作系统内的工作目录,其中,工作目录是指用户在操作系统内所在的目录,用户可在此工作目录下用相对文件名访问文件,然后根据操作命令和工作目录确定绝对路径,即,根据用户的操作命令和所处的工作命令来确定出执行操作命令的绝对路径。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实施上述操作事件的检测方法的操作事件的检测装置,该操作事件的检测装置主要用于执行本发明实施例上述内容所提供的操作事件的检测方法,以下对本发明实施例所提供的操作事件的检测装置做具体介绍:
图5是根据本发明实施例的操作事件的检测装置的示意图,如图5所示,该操作事件的检测装置主要包括获取单元100、提取单元200检测单元300,其中:
获取单元100用于获取目标命令解析器上的操作数据,其中,目标命令解析器为用户客户端登录目标机器的接口,操作数据为用户客户端通过目标命令解析器执行操作事件的数据,具体地,目标命令解析器为目标机器上的BASH,在本发明实施例中,通过改造BASH,将目标机器上的BASH的操作数据实时传送至检测系统并存储,来获取到操作数据。操作数据包含但不限于以下内容:操作者(自然人/本地用户)、操作IP、操作命令、操作时间、执行进程名、进程ID、父进程、父进程ID、工作目录、是否交互式命令。需要说明的是,本发明实施例并不限定BASH的具体改造方式,对于任一种改造方式,只要该改造方式能够实现将目标机器上的BASH的操作数据实时传送至检测系统,那么这种改造方式就可以本发明实施例所提供的操作事件的检测方法所应用。
提取单元200用于从操作数据中提取目标数据,其中,目标数据为用于检测操作事件的数据,即,从操作数据中选择能够用来检测检测事件的数据,在本发明实施例中,可以根据操作数据的属性来进行目标数据的具体选择。
检测单元300用于对目标数据进行处理,以检测操作事件是否合法,具体地,主要是将目标数据与事先配置好的规则进行比对,如果根据比对结果检测出操作数据所表示的操作事件属于违规操作的话,则检测出操作事件非法,其中,在检测出操作事件非法的情况下,可以进一步发送相关信息给管理员,以通知管理员进行处理。
本发明实施例所提供的操作事件的检测装置,通过利用目标命令解析器获取用户客户端对目标机器的操作数据,此种从目标机器的BASH上获取操作数据的方式,能够全面记录交互式操作、非交互式操作、系统或crontab操作,实现了对用户客户端的每一次操作及操作的相关数据均进行获取,相对现有技术中利用堡垒主机采集操作数据的方式,通过将用户客户端的每个操作的每个属性均格式化记录下来,无需像利用堡垒主机采集操作数据的方式重放录像,实现了更加及时地对操作事件进行检测,并且在用户绕过堡垒主机直接对运营机进行运维工作的情况下,仍然能够监测获取到用户的运维操作数据,而且所获取到的操作数据能够直接表示用户的操作行为,相对现有技术中通过分析录像内容获取用户操作行为的方式,大大减少了对运维事件分析的工作量,提高了利用目标数据对操作事件进行检测的检测效率和检测结果的准确度。同时,将用户客户端的每个操作的每个属性均格式化记录下来,实现了能够涵盖更多的操作场景,以便利用目标数据精确地判断表示运维工作的操作事件是否合法,解决了现有技术中运维事件的检测精度较低的问题,进而达到了提高检测精度和检测效率的效果。
以下具体说明针对所提取的不同的目标数据,来说明提取单元200和检测单元300的结构组成:
提取单元200包括第一提取子单元,检测单元300包括第一检测子单元,其中,第一
提取子单元用于从操作数据中提取操作命令和进程数据,即,目标数据是从操作数据中提
取到的操作命令和进程数据,操作命令为用户客户端通过目标命令解析器执行操作事件的
命令,进程数据为执行操作事件的数据,对应地,第一检测子单元用于对操作命令和进程数
据进行处理,以检测操作事件是否合法。具体地,第一检测子单元包括第一获取模块、第一
判断模块和第一检测模块,其中,第一获取模块用于获取进程数据中执行操作事件的进程
的父进程,比如某个进程X是执行操作事件的进程,则需要获取该进程X的父进程;第一判断
模块用于判断判断父进程是否是目标进程,并判断操作命令是否是第一目标命令,其中,目
标进程为在目标机器上运行的与防火墙相关的进程,即,目标进程是在目标机器上执行防
火墙工程的进程,一般可以表示为“firewall”进程,第一目标命令表示请求修改进程;第一
检测模块用于在判断出父进程非目标进程,并且操作命令是第一目标命令的情况下,检测
出操作事件非法,即,如果执行某个操作事件是修改目标机器的系统防火墙,并且执行该操
作事件的进程的父进程不是firewall进程,则确定该操作事件是非法操作事件,以此实现
了对iptables使用的监控。
其中,第一判断模块主要包括获取子模块和判断子模块,获取子模块用于获取父进程的进程标识和目标进程的进程标识;判断子模块用于判断父进程的进程标识与目标进程的进程标识是否相同,其中,在判断出父进程的进程标识与目标进程的进程标识不相同的情况下,确定父进程非目标进程。
提取单元200还可以包括第二提取子单元,检测单元300还可以包括第二检测子单元,其中,第二提取子单元用于从操作数据中提取操作命令和绝对路径,即,目标数据是从操作数据中提取到的操作命令和绝对路径,操作命令为用户客户端通过目标命令解析器执行操作事件的命令,绝对路径为操作命令在目标机器上的执行路径,对应地,第二检测子单元用于对绝对路径和操作命令进行处理,以检测操作事件是否合法。
具体地,第二检测子单元可以包括第二判断模块和第二检测模块,第二判断模块用于判断操作命令是否是第二目标命令,并判断绝对路径是否是第一预设路径,其中,第二目标命令表示请求删除绝对路径下的文件;第二检测模块,用于在判断出操作命令是第二目标命令,并且绝对路径是第一预设路径的情况下,检测出操作事件非法。在本发明实施例中,第一预设路径可以是“/data/important_file”,即,如果判断出某个操作事件是将请求删除“/data/important_file”下的文件,则检测出该操作事件属于非法操作事件。
检测单元300还可以包括第三判断模块、第二获取模块、第四判断模块、和第三检测模块,其中,第三判断模块用于判断操作命令是否是第三目标命令,并判断绝对路径是否是第二预设路径,其中,第三目标命令表示请求下载或打包绝对路径下的文件;第二获取模块用于在判断出操作命令是第三目标命令,并且绝对路径是第二预设路径的情况下,获取操作命令所请求的文件在绝对路径下的文件中所占的比例;第四判断模块用于判断比例是否达到预设阈值;第三检测模块用于在判断出比例达到预设阈值的情况下,检测出操作事件非法。在本发明实施例中,第二预设路径可以是“/data/log/”,即,如果判断出某个操作事件是将请求下载或打包“/data/log/”下的文件,由于“/data/log/”下的文件可以不允许全部下载,也不允许打包后下载,因此进一步判断操作命令所请求的文件在绝对路径下的文件中所占的比例是否达到预设阈值,并在判断出所占比例达到预设阈值的情况下,检测出该操作事件属于非法操作事件,其中,预设阈值可以是100%,也可以是小于100%的其它比例值,具体地,可以根据目标机器的安全级别进行具体设置。
在本发明实施例中,可以通过获取单元100所包括的获取子单元和确定子单元来获取绝对路径,其中,获取子单元用于获取操作命令在目标机器的操作系统内的工作目录,工作目录是指用户在操作系统内所在的目录,用户可在此工作目录下用相对文件名访问文件;确定子单元用于根据操作命令和工作目录确定绝对路径,即,根据用户的操作命令和所处的工作命令来确定出执行操作命令的绝对路径。
从以上的描述中,可以看出,本发明实现了实时性、全面性、不可绕过和多维度对操作事件进行检测,达到了提高运维操作响应的及时性和提高检测精度和检测效率的效果。
实施例3
根据本发明实施例,还提供了一种用于实施上述操作事件的检测方法的终端设备,该终端设备可以是移动终端或者计算机,可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(Mobile Internet Devices,MID)、PAD等终端设备。
图6是根据本发明实施例的终端设备的示意图,如图6所示,该终端设备主要包括处理器601、显示器602和存储器603。
显示器602用于显示根据操作数据检测出的操作事件合法与否的结果,存储器603用于操作数据。处理器601用于根据操作数据检测操作事件是否合法。
其中,处理器601还用于执行以下操作:
获取进程数据中执行操作事件的进程的父进程;判断父进程是否是目标进程,并判断操作命令是否是第一目标命令,其中,目标进程为在目标机器上运行的与防火墙相关的进程,第一目标命令表示请求修改进程;以及在判断出父进程非目标进程,并且操作命令是第一目标命令的情况下,检测出操作事件非法。
获取父进程的进程标识和目标进程的进程标识;以及判断父进程的进程标识与目标进程的进程标识是否相同,其中,在判断处父进程的进程标识与目标进程的进程标识不相同的情况下,确定父进程非目标进程。
判断操作命令是否是第二目标命令,并判断绝对路径是否是第一预设路径,其中,第二目标命令表示请求删除绝对路径下的文件;以及在判断出操作命令是第二目标命令,并且绝对路径是第一预设路径的情况下,检测出操作事件非法。
判断操作命令是否是第三目标命令,并判断绝对路径是否是第二预设路径,其中,第三目标命令表示请求下载或打包绝对路径下的文件;在判断出操作命令是第三目标命令,并且绝对路径是第二预设路径的情况下,获取操作命令所请求的文件在绝对路径下的文件中所占的比例;判断比例是否达到预设阈值;以及在判断出比例达到预设阈值的情况下,检测出操作事件非法。
获取操作命令在目标机器的操作系统内的工作目录;以及根据操作命令和工作目录确定绝对路径。
实施例4
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于存储本发明实施例操作事件的检测方法的程序代码。
可选地,在本实施例中,上述存储介质可以位于运维事件检测系统网络中的多个网络设备中的至少一个网络设备。
可选地,在本实施例中,上述存储介质可以位于移动终端设备和计算机中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
S1,获取目标命令解析器上的操作数据,其中,目标命令解析器为用户客户端登录目标机器的接口,操作数据为用户客户端通过目标命令解析器执行操作事件的数据;
S2,根据操作数据检测操作事件是否合法。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行获取进程数据中执行操作事件的进程的父进程;判断父进程是否是目标进程,并判断操作命令是否是第一目标命令,其中,目标进程为在目标机器上运行的与防火墙相关的进程,第一目标命令表示请求修改进程;以及在判断出父进程非目标进程,并且操作命令是第一目标命令的情况下,检测出操作事件非法。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行获取父进程的进程标识和目标进程的进程标识;以及判断父进程的进程标识与目标进程的进程标识是否相同,其中,在判断处父进程的进程标识与目标进程的进程标识不相同的情况下,确定父进程非目标进程。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行判断操作命令是否是第二目标命令,并判断绝对路径是否是第一预设路径,其中,第二目标命令表示请求删除绝对路径下的文件;以及在判断出操作命令是第二目标命令,并且绝对路径是第一预设路径的情况下,检测出操作事件非法。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行判断操作命令是否是第三目标命令,并判断绝对路径是否是第二预设路径,其中,第三目标命令表示请求下载或打包绝对路径下的文件;在判断出操作命令是第三目标命令,并且绝对路径是第二预设路径的情况下,获取操作命令所请求的文件在绝对路径下的文件中所占的比例;判断比例是否达到预设阈值;以及在判断出比例达到预设阈值的情况下,检测出操作事件非法。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行获取操作命令在目标机器的操作系统内的工作目录;以及根据操作命令和工作目录确定绝对路径。
可选地,本实施例中的具体示例可以参考上述实施例1和实施例2中所描述的示例,本实施例在此不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。