CN107483409A - 一种面向工控操作系统的操作指令实时监测回显的方法 - Google Patents

一种面向工控操作系统的操作指令实时监测回显的方法 Download PDF

Info

Publication number
CN107483409A
CN107483409A CN201710599376.2A CN201710599376A CN107483409A CN 107483409 A CN107483409 A CN 107483409A CN 201710599376 A CN201710599376 A CN 201710599376A CN 107483409 A CN107483409 A CN 107483409A
Authority
CN
China
Prior art keywords
journal file
operational order
echo
operating system
real time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710599376.2A
Other languages
English (en)
Other versions
CN107483409B (zh
Inventor
陶洪铸
祁龙云
许洪强
郭建成
周劼英
宋子锋
韩勇
程长春
杨维永
朱世顺
刘苇
吕小亮
魏兴慎
杨雨轩
李牧野
景娜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nari Information and Communication Technology Co
Nanjing NARI Group Corp
Original Assignee
Nari Information and Communication Technology Co
Nanjing NARI Group Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nari Information and Communication Technology Co, Nanjing NARI Group Corp filed Critical Nari Information and Communication Technology Co
Priority to CN201710599376.2A priority Critical patent/CN107483409B/zh
Publication of CN107483409A publication Critical patent/CN107483409A/zh
Application granted granted Critical
Publication of CN107483409B publication Critical patent/CN107483409B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种面向工控操作系统的操作指令实时监测回显的方法,包括:用户登录主机时,主机系统为用户创建一个session,并将登录信息记录到日志文件中;用户登录主机后,在session中执行script程序,将session下的所有操作和屏幕回显记录到日志文件中;通过主机系统API接口,将日志文件加入监视列表,日志文件发生变化,进行解析,并将解析结果上报后台。本发明可以实时监测到用户登录主机的所有操作和回显,同时可以对非法操作及非法入侵进行实时阻断,增加主机监测的透明度,降低安全风险。

Description

一种面向工控操作系统的操作指令实时监测回显的方法
技术领域
本发明涉及一种面向工控操作系统的操作指令实时监测回显的方法,属于网络安全领域。
背景技术
在工控操作系统领域存在大量的系统主机,在其安全管理方面,只能进行事后日志回溯,不能实时对主机进行操作回显监控,更无法对非法操作及非法入侵进行实时阻断,存在极大的管理风险和安全隐患。
发明内容
为了解决上述技术问题,本发明提供了一种面向工控操作系统的操作指令实时监测回显的方法。
为了达到上述目的,本发明所采用的技术方案是:
一种面向工控操作系统的操作指令实时监测回显的方法,
用户登录主机时,主机系统为用户创建一个session,并将登录信息记录到日志文件中;
用户登录主机后,在session中执行script程序,将session下的所有操作和屏幕回显记录到日志文件中;
通过主机系统API接口,将日志文件加入监视列表,日志文件发生变化,进行解析,并将解析结果上报后台。
用户登录时,主机系统会对每一个登录的客户端分配一个编号,并将编号记录到日志中。
日志文件发生变化,进行解析的过程为,
用户登录主机后,agent程序对日志文件进行解析,将解析得到登录信息和客户端编号发送给后台,同时根据客户端编号通过PS命令定位到链路进程PID,并将链路进程PID发送给后台;
当日志文件发生变化,在inotify接口的监视下,通知agent程序;
agent程序对日志文件进行解析,得到变化的信息,并将变化的信息发送给后台。
登录信息包括登录的客户端IP、端口、登录时间和登录用户名。
记录的操作和屏幕回显与对应的登录信息进行关联。
后台在需要的时候,向主机系统发送阻断操作命令,在下行报文中携带主机IP和需要阻断的链路进程PID,agent程序收到报文后,根据链路进程PID,进行kill进程操作。
主机和后台之间通过数据总线连接。
本发明所达到的有益效果:本发明可以实时监测到用户登录主机的所有操作和回显,同时可以对非法操作及非法入侵进行实时阻断,增加主机监测的透明度,降低安全风险。
附图说明
图1为本发明的流程图;
图2为信息采集逻辑框图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
如图1所示,一种面向工控操作系统的操作指令实时监测回显的方法,包括以下步骤:
步骤1,用户在客户机的客户端通过SSH登录主机,在登录时,主机系统为用户创建一个session,同时对登录的客户端分配一个编号,并将登录信息和编号记录到日志文件中。
登录信息包括登录的客户端IP、端口、登录时间和登录用户名。
步骤2,用户登录主机后,在session中执行script程序,将session下的所有操作和屏幕回显记录到日志文件中。
记录的操作和屏幕回显与对应的登录信息进行关联,以用于区分不同用户登录的操作日志文件。
步骤3,通过主机系统API接口,将日志文件加入监视列表,日志文件发生变化,进行解析,并将解析结果上报后台,后台就可以实时监测到用户的所有操作和屏幕回显内容。
日志文件发生变化,进行解析的过程为:
1)用户登录主机后,agent程序(即采集agent程序)对日志文件进行解析,将解析得到登录信息和客户端编号发送给后台,同时根据客户端编号通过PS命令定位到链路进程PID,并将链路进程PID发送给后台;
2)当日志文件发生变化,在inotify接口的监视下,通知agent程序;
3)agent程序对日志文件进行解析,一般从上次解析的位置继续往下解析,得到变化的信息,并将变化的信息发送给后台。
后台在需要的时候,向主机系统发送阻断操作命令,在下行报文中携带主机IP和需要阻断的链路进程PID,agent程序收到报文后,根据链路进程PID,进行kill进程操作。
在上述方法中,主机和后台之间通过数据总线连接,来达到安全、稳定传输数据的目的,如图2所示,各个主机系统将信息上报到数据总线中,后台从数据总线中获取各个主机的信息。
上述可以实时监测到用户登录主机的所有操作和回显,同时可以对非法操作及非法入侵进行实时阻断,增加主机监测的透明度,降低安全风险。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (7)

1.一种面向工控操作系统的操作指令实时监测回显的方法,其特征在于:
用户登录主机时,主机系统为用户创建一个session,并将登录信息记录到日志文件中;
用户登录主机后,在session中执行script程序,将session下的所有操作和屏幕回显记录到日志文件中;
通过主机系统API接口,将日志文件加入监视列表,日志文件发生变化,进行解析,并将解析结果上报后台。
2.根据权利要求1所述的一种面向工控操作系统的操作指令实时监测回显的方法,其特征在于:用户登录时,主机系统会对每一个登录的客户端分配一个编号,并将编号记录到日志中。
3.根据权利要求2所述的一种面向工控操作系统的操作指令实时监测回显的方法,其特征在于:日志文件发生变化,进行解析的过程为,
用户登录主机后,agent程序对日志文件进行解析,将解析得到登录信息和客户端编号发送给后台,同时根据客户端编号通过PS命令定位到链路进程PID,并将链路进程PID发送给后台;
当日志文件发生变化,在inotify接口的监视下,通知agent程序;
agent程序对日志文件进行解析,得到变化的信息,并将变化的信息发送给后台。
4.根据权利要求1或3所述的一种面向工控操作系统的操作指令实时监测回显的方法,其特征在于:登录信息包括登录的客户端IP、端口、登录时间和登录用户名。
5.根据权利要求1所述的一种面向工控操作系统的操作指令实时监测回显的方法,其特征在于:记录的操作和屏幕回显与对应的登录信息进行关联。
6.根据权利要求1所述的一种面向工控操作系统的操作指令实时监测回显的方法,其特征在于:后台在需要的时候,向主机系统发送阻断操作命令,在下行报文中携带主机IP和需要阻断的链路进程PID,agent程序收到报文后,根据链路进程PID,进行kill进程操作。
7.根据权利要求1所述的一种面向工控操作系统的操作指令实时监测回显的方法,其特征在于:主机和后台之间通过数据总线连接。
CN201710599376.2A 2017-07-21 2017-07-21 一种面向工控操作系统的操作指令实时监测回显的方法 Active CN107483409B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710599376.2A CN107483409B (zh) 2017-07-21 2017-07-21 一种面向工控操作系统的操作指令实时监测回显的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710599376.2A CN107483409B (zh) 2017-07-21 2017-07-21 一种面向工控操作系统的操作指令实时监测回显的方法

Publications (2)

Publication Number Publication Date
CN107483409A true CN107483409A (zh) 2017-12-15
CN107483409B CN107483409B (zh) 2019-02-26

Family

ID=60595305

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710599376.2A Active CN107483409B (zh) 2017-07-21 2017-07-21 一种面向工控操作系统的操作指令实时监测回显的方法

Country Status (1)

Country Link
CN (1) CN107483409B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109347698A (zh) * 2018-10-25 2019-02-15 北京凝思科技有限公司 一种Linux系统下用户终端操作命令及回显信息监控方法
CN111324872A (zh) * 2018-12-17 2020-06-23 上海擎感智能科技有限公司 一种登录记录及操作记录的重定向集中审计方法、系统
CN111597382A (zh) * 2018-07-13 2020-08-28 北京朋创天地科技有限公司 网络安全审计方法及系统
CN112260903A (zh) * 2020-10-29 2021-01-22 杭州迪普科技股份有限公司 链路监测方法及装置
CN113395287A (zh) * 2021-06-22 2021-09-14 杭州默安科技有限公司 一种记录网络攻击ip和命令执行回显的方法和系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571476A (zh) * 2010-12-27 2012-07-11 中国银联股份有限公司 一种实时监控终端命令行的方法和装置
CN103324565A (zh) * 2012-05-30 2013-09-25 北京神州泰岳软件股份有限公司 日志监控方法
CN104283719A (zh) * 2014-10-28 2015-01-14 北京国双科技有限公司 一种日志的处理方法、装置及服务器

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571476A (zh) * 2010-12-27 2012-07-11 中国银联股份有限公司 一种实时监控终端命令行的方法和装置
CN103324565A (zh) * 2012-05-30 2013-09-25 北京神州泰岳软件股份有限公司 日志监控方法
CN104283719A (zh) * 2014-10-28 2015-01-14 北京国双科技有限公司 一种日志的处理方法、装置及服务器

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111597382A (zh) * 2018-07-13 2020-08-28 北京朋创天地科技有限公司 网络安全审计方法及系统
CN109347698A (zh) * 2018-10-25 2019-02-15 北京凝思科技有限公司 一种Linux系统下用户终端操作命令及回显信息监控方法
CN111324872A (zh) * 2018-12-17 2020-06-23 上海擎感智能科技有限公司 一种登录记录及操作记录的重定向集中审计方法、系统
CN112260903A (zh) * 2020-10-29 2021-01-22 杭州迪普科技股份有限公司 链路监测方法及装置
CN113395287A (zh) * 2021-06-22 2021-09-14 杭州默安科技有限公司 一种记录网络攻击ip和命令执行回显的方法和系统

Also Published As

Publication number Publication date
CN107483409B (zh) 2019-02-26

Similar Documents

Publication Publication Date Title
CN107483409A (zh) 一种面向工控操作系统的操作指令实时监测回显的方法
CN105515180B (zh) 一种智能变电站通信网络动态监控系统及其监控方法
CN104022904B (zh) 分布式机房it设备统一管理平台
CN106775929A (zh) 一种虚拟化平台安全监控方法及系统
CN105630620B (zh) 一种机器故障自动化处理方法
CN103685283B (zh) 一种通信网络管理的认证授权系统及方法
CN104301147A (zh) 一种对业务应用系统中业务及流程活动的监测方法
CN107819633A (zh) 一种快速发现并处理网络故障的系统及其处理方法
CN206237204U (zh) 用于电力系统中监测通讯状态的系统和电力通讯系统
CN101808112A (zh) 一种基于telnet和代理的设备远程维护方法
CN116155610A (zh) 一种基于可视化的网络安全监测方法
CN106330554B (zh) 监控及管理运维操作过程的运维审计系统及运维审计方法
CN103905222A (zh) 一种检测即时通信登录故障的方法和系统
CN105117280A (zh) 虚拟机迁移装置和方法
CN104125115B (zh) 一种日志信息传送方法及装置
CN104333584B (zh) Cdn文件分发系统及方法
CN106712993A (zh) 一种审计设备的管理方法及系统
CN108712247A (zh) 服务器账号密码管理方法、系统及服务器
CN110944031A (zh) 一种配网加密终端远程控制方法及系统
CN106656584A (zh) 一种分布式系统无效节点判定方法
CN205945780U (zh) 运维审计系统
CN103117888A (zh) 通过网络事件进行应用性能评估的方法、装置及系统
CN109150666B (zh) 一种预防网站宕机的方法
CN112738078A (zh) 铁路供电系统网络安全监测系统
CN108234154A (zh) 一种机载交换网络设备故障监控方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant