CN109120427B - 一种运维审计方法及装置 - Google Patents
一种运维审计方法及装置 Download PDFInfo
- Publication number
- CN109120427B CN109120427B CN201710494973.9A CN201710494973A CN109120427B CN 109120427 B CN109120427 B CN 109120427B CN 201710494973 A CN201710494973 A CN 201710494973A CN 109120427 B CN109120427 B CN 109120427B
- Authority
- CN
- China
- Prior art keywords
- instruction
- server
- jump
- input
- downlink data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种运维审计方法及装置,该方法包括:获取运维终端中输入的第一指令;判断第一指令是否为第一跳转指令,第一跳转指令用于指示运维终端由访问第一服务器跳转至访问第二服务器;若是,创建第二解析器,并将第一解析器入栈,第二解析器用于依据与第二服务器对应的控制策略对第一指令进行访问控制,第一解析器用于依据与第一服务器对应的控制策略对第一指令进行控制;利用第二解析器、依据与第二服务器对应的控制策略对第一指令进行访问控制。由上可见,当服务器发生跳转后,运维装置通过对指令的分析可以获悉与运维终端真正通信的是哪个服务器,从而针对跳转后的服务器对指令进行访问控制,以此提高了第二服务器安全运行的可靠性。
Description
技术领域
本发明涉及运维审计技术领域,特别是涉及一种运维审计方法及装置。
背景技术
运维操作审计,指在特定的网络环境下,为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露,而运用技术手段实时收集和监控网络环境一种技术手段。
常规运维操作系统中,运维审计装置通过串行方式串联在运维终端与远程服务器之间,以实现对运维终端对远程服务器的访问的控制。例如,用户在运维终端输入指令ssh,可以使运维终端由对第一服务器访问跳转为对第二服务器访问,其中,指令ssh中携带第二服务器的网络地址。
发明人在对现有技术的研究过程中发现,由于审计装置串联在运维终端与第一服务器之间,所以,当第一服务器跳转为第二服务器时,运维审计装置并不能对运维终端与第二服务器的交互进行控制。假设针对第二服务器的访问控制策略为禁止执行dpdk指令,而针对第一服务器的访问控制策略并没有禁止执行dpdk指令,当第一服务器跳转为第二服务器后,若用户在运维终端输入dpdk指令,由于运维装置认为与运维终端连接的仅是第一服务器,所以并不拦截该指令,从而使得第二服务器通过第一服务获得并运行dpdk指令,降低了第二服务器安全运行的可靠性。
发明内容
为解决上述技术问题,本发明实施例提供了一种运维审计方法及装置,以解决与运维终端通信的远程服务器由第一服务器跳转为第二服务器后,导致的第二服务器安全运行的可靠性低的问题,技术方案如下:
一种运维审计方法,包括:
获取运维终端中输入的第一指令;
判断所述第一指令是否为第一跳转指令,所述第一跳转指令用于指示所述运维终端由访问第一服务器跳转至访问第二服务器;
若是,创建第二解析器,并将第一解析器入栈,所述第二解析器用于依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制,所述第一解析器用于依据与所述第一服务器对应的控制策略对所述第一指令进行控制;
利用所述第二解析器、依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制。
优选地,还包括:
获取所述运维终端中输入的第二指令;
判断所述第二指令是否为退出指令,所述退出指令用于指示退出所述第二服务器的登陆;
若是,删除所述第二解析器,并将第一解析器出栈。
优选地,若所述第二指令不为所述退出指令,还包括:
判断所述第二指令是否为第二跳转指令,所述第二跳转指令用于指示所述运维终端由访问第二服务器跳转至访问第N服务器,其中,N为正整数;
若是,创建第三解析器,并将所述第二解析器入栈,所述第三解析器用于依据与所述N服务器对应的控制策略对所述第二指令进行访问控制;
利用所述第三解析器、依据与所述N服务器对应的控制策略对所述第二指令进行访问控制。
优选地,还包括:
判断所述运维终端中是否有所述第一指令输入;
若是,获取所述第一服务器返回的第一下行数据,所述第一下行数据为回显数据;
判断所述第一指令是否已输入结束;
若是,将所述第一指令输入结束前的所有所述回显数据、作为所述第一指令,并返回执行步骤判断所述第一指令是否为第一跳转指令的步骤。
优选地,利用所述第二解析器、依据与所述第二服务器对应的控制策略对所述指令进行访问控制,包括:
依据与所述第二服务器对应的控制策略,判断是否允许第二服务器执行所述第一指令;
若是,接收第二下行数据,所述第二下行数据为所述第二服务器执行所述第一指令后的响应结果。
优选地,还包括:
判断所述第一指令是否为特殊指令;
若所述第一指令为特殊指令,判断所述第二下行数据中是否具有预设字符信息,所述预设字符信息指示全部所述第二下行数据返回结束;
若是,返回执行判断所述运维终端中是否有所述第一指令输入的步骤,否则返回执行所述接收第二下行数据的步骤;
若所述第一指令不为特殊指令,判断所述第二下行数据中是否具有与输入所述第一指令前的命令提示符一致的字符信息;
若是,返回执行判断所述运维终端中是否有第一指令输入的步骤,否则返回执行所述接收第二下行数据的步骤。
一种运维审计装置,包括:
第一获取单元,用于获取运维终端中输入的第一指令;
第一判断单元,用于判断所述第一指令是否为第一跳转指令,所述第一跳转指令用于指示所述运维终端由访问第一服务器跳转至访问第二服务器;
第一创建单元,用于当所述第一判断单元确定所述第一指令为跳转指令时,创建第二解析器,并将第一解析器入栈,所述第二解析器用于依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制,所述第一解析器用于依据与所述第一服务器对应的控制策略对所述第一指令进行控制;
第一访问控制单元,用于利用所述第二解析器、依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制。
优选地,还包括:
第二获取单元,用于获取所述运维终端中输入的第二指令;
第二判断单元,用于判断所述第二指令是否为退出指令,所述退出指令用于指示退出所述第二服务器的登陆;
删除单元,用于当所述第二判断单元确定所述第二指令为退出指令时,删除所述第二解析器,并将第一解析器出栈。
优选地,还包括:
第三判断单元,用于若所述第二指令不为所述退出指令,判断所述第二指令是否为第二跳转指令,所述第二跳转指令用于指示所述运维终端由访问第二服务器跳转至访问第N服务器,其中,N为正整数;
第二创建单元,用于当所述第三判断单元确定所述第二指令为跳转指令时,创建第三解析器,并将所述第二解析器入栈,所述第三解析器用于依据与所述N服务器对应的控制策略对所述第二指令进行访问控制;
第二访问控制单元,用于利用所述第三解析器、依据与所述N服务器对应的控制策略对所述第二指令进行访问控制。
优选地,还包括:
第四判断单元,用于判断所述运维终端中是否有所述第一指令输入;
第三获取单元,用于当所述第四判断单元确定所述运维终端中有所述第一指令输入时,获取所述第一服务器返回的第一下行数据,所述第一下行数据为回显数据;
第五判断单元,用于判断所述第一指令是否已输入结束;
确定单元,用于当所述第五判断单元确定所述第一指令输入结束时,将所述第一指令输入结束前的所有所述回显数据、作为所述第一指令,并返回执行步骤判断所述第一指令是否为第一跳转指令的步骤。
优选地,所述第一访问控制单元,包括:
第六判断单元,用于依据与所述第二服务器对应的控制策略,判断是否允许第二服务器执行所述第一指令;
接收单元,用于当所述第六判断单元确定允许第二服务器执行所述第一指令,接收第二下行数据,所述第二下行数据为所述第二服务器执行所述第一指令后的响应结果。
优选地,还包括:
第七判断单元,用于判断所述第一指令是否为特殊指令;
第八判断单元,用于若所述第一指令为特殊指令,判断所述第二下行数据中是否具有预设字符信息,所述预设字符信息指示全部所述第二下行数据返回结束;
第一执行单元,用于若所述第二下行数据中具有预设字符信息时,返回执行判断所述运维终端中是否有所述第一指令输入的步骤,否则返回执行所述接收第二下行数据的步骤;
第九判断单元,用于若所述第一指令不为特殊指令,判断所述第二下行数据中是否具有与输入所述第一指令前的命令提示符一致的字符信息;
第二执行单元,用于若所述第九判断单元确定所受第二下行数据中具有与输入所述第一指令前的命令提示符一致的字符信息时,返回执行判断所述运维终端中是否有第一指令输入的步骤,否则返回执行所述接收第二下行数据的步骤。
本申请实施例提供的技术方案,运维装置当获取到运维终端中输入的指令后,会判断指令是否为跳转指令,如果是,创建与跳转后的第二服务器对应的解析器,并依据与第二服务器对应的第二控制策略对指令进行访问控制,也就是说,当服务器发生跳转后,运维装置通过对指令的分析可以获悉与运维终端真正通信的是哪个服务器,从而针对跳转后的服务器对指令进行访问控制,以此提高了第二服务器安全运行的可靠性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例所提供的一种运维审计方法的一种流程示意图;
图2为本发明实施例所提供的一种运维审计方法的另一种流程示意图;
图3为本发明实施例所提供的一种运维审计方法的另一种流程示意图
图4为本发明实施例所提供的上行数据的显示界面;
图5为本发明实施例所提供的回显数据的显示界面;
图6为本发明实施例所提供的一种运维审计装置的一种结构示意图;
图7为本发明实施例所提供的一种运维审计装置的另一种结构示意图;
图8为本发明实施例所提供的一种运维审计装置的另一种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情下可以互换,以便这里描述的本发明的实施例,例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
请参阅图1,图1为本申请实施例提供的一种运维审计方法的一种实现流程图,所述方法包括:
步骤S101、获取运维终端中输入的第一指令;
通常用户在运维终端上使用telnet、ssh等方式登录远程服务器以对远程服务器进行访问操作。以telnet方式为例,当运维终端连接到远程服务器后,用户可以在运维终端的telnet程序中输入命令,这些命令会在远程服务器上运行,就像直接在远程服务器的控制台上输入命令一样,以此实现了在本地就能控制远程服务器。
本实施例从运维审计装置的角度进行描述,运维审计装置串联于运维终端与远程服务器之间,以实现对运维终端与远程服务器的访问的控制。
步骤S102、判断所述第一指令是否为第一跳转指令,若是,执行步骤S103;
所述第一跳转指令用于指示所述运维终端由访问第一服务器跳转至访问第二服务器。
由于要解决运维终端所访问的服务器发生跳转后,导致的第二服务器安全运行的可靠性低的问题,所以,首先需要确定运维终端所访问的服务器是否发生了跳转。
服务器发生跳转,本质上是用户通过telnet、ssh方式重新登录了第二服务器,所以,实时监测运维终端中输入的指令是否为跳转指令,若监测到当前指令为跳转指令,表明与运维终端通信的服务器由第一服务器跳转为第二服务器。
步骤S103、创建第二解析器,并将第一解析器入栈;
所述第二解析器用于依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制,所述第一解析器用于依据与所述第一服务器对应的控制策略对所述第一指令进行访问控制;
由于跳转指令实质为登陆服务器的登陆指令,所以当有跳转指令时,意味着用户通过运维终端登陆了第二服务器,因此,当服务器未发生跳转、用户登陆第一服务器时,会创建第一解析器。
另外,由于跳转指令中携带第二服务器的网络地址,所以,根据该网络地址可以获取第二服务器的控制策略,该第二服务器的控制策略可以对第一指令对第二服务器的访问进行控制。
若运维终端输入的第一指令不是跳转指令,则采用第一解析器对第一指令对第一服务器的访问进行控制。
步骤S104、利用所述第二解析器、依据与所述第二服务器对应的控制策略对所述指令进行访问控制。
本实施例提供的技术方案,运维装置当获取到运维终端中输入的第一指令后,会判断第一指令是否为第一跳转指令,如果是,创建与跳转后的第二服务器对应的第二解析器,并依据与第二服务器对应的控制策略对第一指令进行访问控制,也就是说,当服务器发生跳转后,运维审计装置通过对第一指令的分析可以获悉与运维终端真正通信的是第二服务器,从而针对跳转后的第二服务器对指令进行访问控制,以此提高了第二服务器安全运行的可靠性。
请参阅图2,图2为本申请实施例提供的一种运维审计方法的另一种实现流程图,所述方法包括:
步骤S201、获取运维终端中输入的第一指令;
步骤S202、判断所述指令是否为第一跳转指令,若是,执行步骤S203;
所述第一跳转指令用于指示所述运维终端由访问第一服务器跳转至访问第二服务器。
步骤S203、创建第二解析器,并将第一解析器入栈;
所述第二解析器用于依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制,所述第一解析器用于依据与所述第一服务器对应的控制策略对所述第一指令进行控制。
步骤S204、利用所述第二解析器、依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制;
其中,步骤S201-S204的执行过程与上述实施例提供的步骤S101-S104的执行过程相同,有关步骤S201-S204的详细过程,请参见上述对步骤S101-S104的描述,在此不做赘述。
步骤S205、获取所述运维终端中输入的第二指令;
步骤S206、判断所述第二指令是否为退出指令,若是,执行步骤S207,若否,执行步骤S208;
所述退出指令用于指示退出所述第二服务器的登陆。
步骤S207、删除所述第二解析器,并将第一解析器出栈;
步骤S208、判断所述第二指令是否为第二跳转指令,若是,执行步骤S209,否则,返回执行步骤S204;
所述第二跳转指令用于指示所述运维终端由访问第二服务器跳转至访问第N服务器,其中,N为正整数。
需要说明的是,第N服务器可以是跳转至第二服务器之前的第一服务器,也可以是跳转至第二服务器之后的第三服务器、第四服务器等中的服务器。例如,当第N服务器为第一服务器时,第二跳转指令指示第二服务器回跳至第一服务器,当第N服务器为第三服务器时,第二跳转指令指示由第二服务器跳转至第三服务器,此时,第三服务器与第一服务器不同。
本实施例中,当运维终端所访问的服务器由第一服务器跳转为第二服务器后,根据运维终端对第二服务器的通信情况,对第二解析器的处理方式不同,具体地,若运维终端退出对第二服务器的访问,则将第二解析器删除;若第二服务器跳转回第一服务器,则将第二解析器入栈,同时为第一服务器创建第三解析器。也就是说,只要服务器发生跳转,就会为跳转后的服务器创建新的解析器。
步骤S209、创建第三解析器,并将所述第二解析器入栈;
所述第三解析器用于依据与所述第N服务器对应的控制策略对所述第二指令进行访问控制。
步骤S210、利用所述第三解析器、依据与所述第N服务器对应的控制策略对所述第二指令进行访问控制。
实际应用中,并不限定步骤S206与步骤S208的执行顺序,因此,可以先执行步骤S208,再执行步骤S206,具体的,改变执行顺序后的步骤S206-步骤S210如下所示:
步骤S206、判断所述第二指令是否为第二跳转指令,若是,执行步骤S207,否则,执行步骤S208;
所述第二跳转指令用于指示所述运维终端由访问第二服务器跳转至访问第N服务器,其中,N为正整数。
步骤S207、创建第三解析器,并将所述第二解析器入栈;
步骤S208、利用所述第三解析器、依据与所述第N服务器对应的控制策略对所述第二指令进行访问控制;
步骤S209、判断所述第二指令是否为退出指令,所述退出指令用于指示退出所述第二服务器的登陆,若是,执行步骤S210;
步骤S210、删除所述第二解析器,并将第一解析器出栈。
本实施例提供的技术方案,运维装置当获取到运维终端中输入的第一指令后,会判断第一指令是否为第一跳转指令,如果是,创建与跳转后的第二服务器对应的第二解析器,并依据与第二服务器对应的控制策略对第一指令进行访问控制,也就是说,当服务器发生跳转后,运维审计装置通过对第一指令的分析可以获悉与运维终端真正通信的是第二服务器,从而针对跳转后的第二服务器对指令进行访问控制,以此提高了第二服务器安全运行的可靠性。另外,根据运维终端对第二服务器的通信情况,对第二解析器设置了不同的处理方式,以此完善了嵌套解析在远程控制中的应用,提高了远程控制中服务器安全运行的可靠性。
请参阅图3,图3为本申请实施例提供的一种运维审计方法的另一种实现流程图,所述方法包括:
步骤S301:判断运维终端中是否有第一指令输入,若是,执行步骤S302;
步骤S302:获取第一服务器返回的第一下行数据;
所述第一下行数据为回显数据,其中,回显数据指的是第一指令输入结束前,第一服务器返回的所有下行数据。由于是在第一指令输入结束前返回的下行数据,所以该第一下行数据并不是响应输入的第一指令的执行所返回的响应结果,而仅表示第一服务器即将执行的指令。
步骤S303:判断所述第一指令是否已输入结束,若是,执行步骤S304;
当运维终端与第一服务器连接后,用户可以在运维终端中输入指令以实现对第一服务器的访问。
当用户在运维终端中输入指令完毕后,通常会点击回车换行功能键,以提示运维终端或服务器指令输入结束,所以,实际应用中可以通过判断是否接收到回车换行指示,来明确运维终端中指令的输入是否结束,当然根据实际的业务需要,并不限于此。
步骤S304:将所述第一指令输入结束前的所有所述回显数据、作为所述第一指令;
由于输入指令时,某些指令可以通过部分字符与Tab键组合的方式进行输入,所以,如果直接从上行数据中获取输入的指令,会出现第一服务器执行的指令与通过运维终端输入的指令不一致的情况。如图4所示,用户在运维终端上输入指令的一部分:cde,然后按下Tab键以补全指令,所以,如果运维审计装置从上行数据中获取指令,所获取的仅是cde;图5为第一服务器返回的所有回显数据:cd examples,可见,第一服务器返回的回显数据与用户在运维终端上输入的字符并不一致。
如果运维审计装置将从上行数据中获取的字符作为用户输入的指令,那么当第一服务器的访问控制策略中具有禁止执行指令cd examples的策略时,即当从上行数据中获得指令中包含cd examples关键字时,禁止执行指令cdexamples,由于所获取的cde中并不包含关键字cd examples,所以,运维审计装置将错误的认为用户输入的指令可以在第一服务器执行,而不会对该指令进行拦截,此时会降低第一服务器安全运行的可靠性。本实施例的方案从回显数据中获取用户输入的指令,由于回显数据能够准确反映用户输入的真实指令,所以,运维审计装置能准确地判断是否需要对指令进行拦截,以此提高了第一服务器安全运行的可靠性。
其中,上行数据指的是从运维终端到第一服务器的数据,下行数据则指的是从第一服务器到运维终端的数据。
步骤S305:判断所有所述回显数据是否为第一跳转指令,若是,执行步骤S306;
所述第一跳转指令用于指示所述运维终端由访问第一服务器跳转至访问第二服务器。
步骤S306:创建第二解析器,并将第一解析器入栈;
所述第二解析器用于依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制,所述第一解析器用于依据与所述第一服务器对应的控制策略对所述第一指令进行控制。
步骤S307:依据与所述第二服务器对应的控制策略,判断是否允许第二服务器执行所述第一指令,若是,执行步骤S308;
步骤S308:接收第二下行数据;
所述第二下行数据为所述第二服务器执行所述第一指令后的响应结果。
步骤S309:判断所有所述回显数据是否为特殊指令,若是,执行步骤S310,否则执行步骤S311;
步骤S310:判断所述第二下行数据中是否具有预设字符信息,若是,执行步骤301,否则,执行步骤S308;
所述预设字符信息指示所述第二下行数据返回结束。
步骤S311:判断所述第二下行数据中是否具有与输入所述第一指令前的命令提示符一致的字符信息,若是,执行步骤S301,否则,执行步骤S308;
若第二下行数据中具有与输入第一指令前的命令提示符一致的字符信息,表示第二下行数据返回结束。
为了判断表示第二响应结果的第二下行数据是否已全部从第二服务器返回,首先判断输入的第二指令是否属于特殊指令,如cd指令,若是特殊指令,由于特殊指令中不具有有效的指令内容,只有某些特殊提示符,所以,根据返回的第二下行数据中是否包含预设字符信息判定响应结果已全部返回。
而对于非特殊指令,由于其包含的有效的指令内容中也可能具有与提示符相同的字符,所以并不依据提示符判定第二下行数据是否已全部返回,而是通过判断第二下行数据中是否具有与输入指令前的命令提示符一致的字符信息来实现。
本实施例提供的技术方案,运维装置当获取到运维终端中输入的第一指令后,会判断第一指令是否为第一跳转指令,如果是,创建与跳转后的第二服务器对应的第二解析器,并依据与第二服务器对应的控制策略对第一指令进行访问控制,也就是说,当服务器发生跳转后,运维审计装置通过对第一指令的分析可以获悉与运维终端真正通信的是第二服务器,从而针对跳转后的第二服务器对指令进行访问控制,以此提高了第二服务器安全运行的可靠性。另外,本实施例从回显数据中获取用户输入的指令,以此解决了运维审计装置从上行数据中获取用户输入的指令时所带来的对用户的指令误控制的问题。
请参阅图6,图6为本申请实施例提供的运维审计装置的一种结构示意图,该装置结构示意图中的各单元的工作过程参照图1对应的实施例中方法的执行过程,该装置包括:
第一获取单元601,用于获取运维终端中输入的第一指令;
第一判断单元602,用于判断所述第一指令是否为第一跳转指令,所述第一跳转指令用于指示所述运维终端由访问第一服务器跳转至访问第二服务器;
第一创建单元603,用于当所述第一判断单元确定所述第一指令为跳转指令时,创建第二解析器,并将第一解析器入栈,所述第二解析器用于依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制,所述第一解析器用于依据与所述第一服务器对应的控制策略对所述第一指令进行控制;
第一访问控制单元604,用于利用所述第二解析器、依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制。
本实施例提供的技术方案,当第一获取单元获取到运维终端中输入的第一指令后,由第一判断单元判断第一指令是否为跳转指令,如果是,由第一创建单元创建与跳转后的第二服务器对应的解析器,并由第一访问控制单元利用第二解析器、依据与第二服务器对应的控制策略对指令进行访问控制,也就是说,当服务器发生跳转后,运维装置通过对指令的分析可以获悉与运维终端真正通信的是是第二服务器,从而针对跳转后的第二服务器对指令进行访问控制,以此提高了第二服务器安全运行的可靠性。
请参阅图7,图7为本申请实施例提供的运维审计装置的另一种结构示意图,该装置结构示意图中的各单元的工作过程参照图2对应的实施例中方法的执行过程,该装置包括:
第一获取单元701,用于获取运维终端中输入的第一指令;
第一判断单元702,用于判断所述第一指令是否为第一跳转指令,所述第一跳转指令用于指示所述运维终端由访问第一服务器跳转至访问第二服务器;
第一创建单元703,用于当所述第一判断单元确定所述第一指令为跳转指令时,创建第二解析器,并将第一解析器入栈,所述第二解析器用于依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制,所述第一解析器用于依据与所述第一服务器对应的控制策略对所述第一指令进行控制;
第一访问控制单元704,用于利用所述第二解析器、依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制;
第二获取单元705,用于获取所述运维终端中输入的第二指令;
第二判断单元706,用于判断所述第二指令是否为退出指令,所述退出指令用于指示退出所述第二服务器的登陆;
删除单元707,用于当所述第二判断单元确定所述第二指令为退出指令时,删除所述第二解析器,并将第一解析器出栈;
第三判断单元708,用于若所述第二指令不为所述退出指令,判断所述第二指令是否为第二跳转指令,所述第二跳转指令用于指示所述运维终端由访问第二服务器跳转至访问第N服务器,其中,N为正整数;
第二创建单元709,用于当所述第三判断单元确定所述第二指令为跳转指令时,创建第三解析器,并将所述第二解析器入栈,所述第三解析器用于依据与所述N服务器对应的控制策略对所述第二指令进行访问控制;
第二访问控制单元710,用于利用所述第三解析器、依据与所述N服务器对应的控制策略对所述第二指令进行访问控制。
本实施例提供的技术方案,第一获取单元获取到运维终端中输入的第一指令后,由第一判断单元判断第一指令是否为第一跳转指令,如果是,第一创建单元创建与跳转后的第二服务器对应的第二解析器,并由第一访问控制单元依据与第二服务器对应的控制策略对第一指令进行访问控制,也就是说,当服务器发生跳转后,运维审计装置通过对第一指令的分析可以获悉与运维终端真正通信的是第二服务器,从而针对跳转后的第二服务器对指令进行访问控制,以此提高了第二服务器安全运行的可靠性。另外,根据运维终端对第二服务器的通信情况,对第二解析器设置了不同的处理方式,以此完善了嵌套解析在远程控制中的应用,提高了远程控制中服务器安全运行的可靠性。
请参阅图8,图8为本申请实施例提供的运维审计装置的另一种结构示意图,该装置结构示意图中的各单元的工作过程参照图3对应的实施例中方法的执行过程,该装置包括:
第一获取单元801,用于获取运维终端中输入的第一指令;
第一判断单元802,用于判断所述第一指令是否为第一跳转指令,所述第一跳转指令用于指示所述运维终端由访问第一服务器跳转至访问第二服务器;
第一创建单元803,用于当所述第一判断单元确定所述第一指令为跳转指令时,创建第二解析器,并将第一解析器入栈,所述第二解析器用于依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制,所述第一解析器用于依据与所述第一服务器对应的控制策略对所述第一指令进行控制;
第一访问控制单元804,用于利用所述第二解析器、依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制;
第六判断单元805,用于依据与所述第二服务器对应的控制策略,判断是否允许第二服务器执行所述第一指令;
接收单元806,用于当所述第六判断单元确定允许第二服务器执行所述第一指令,接收第二下行数据,所述第二下行数据为所述第二服务器执行所述第一指令后的响应结果;
第七判断单元807,用于判断所述第一指令是否为特殊指令;
第八判断单元808,用于若所述第一指令为特殊指令,判断所述第二下行数据中是否具有预设字符信息,所述预设字符信息指示全部所述第二下行数据返回结束;
第一执行单元809,用于若所述第二下行数据中具有预设字符信息时,返回执行判断所述运维终端中是否有所述第一指令输入的步骤,否则返回执行所述接收第二下行数据的步骤;
第九判断单元810,用于若所述第一指令不为特殊指令,判断所述第二下行数据中是否具有与输入所述第一指令前的命令提示符一致的字符信息;
第二执行单元811,用于若所述第九判断单元确定所受第二下行数据中具有与输入所述第一指令前的命令提示符一致的字符信息时,返回执行判断所述运维终端中是否有第一指令输入的步骤,否则返回执行所述接收第二下行数据的步骤。
本实施例提供的技术方案,第一获取单元获取到运维终端中输入的第一指令后,由第一判断单元判断第一指令是否为第一跳转指令,如果是,第一创建单元创建与跳转后的第二服务器对应的第二解析器,并由第一访问控制单元依据与第二服务器对应的控制策略对第一指令进行访问控制,也就是说,当服务器发生跳转后,运维审计装置通过对第一指令的分析可以获悉与运维终端真正通信的是第二服务器,从而针对跳转后的第二服务器对指令进行访问控制,以此提高了第二服务器安全运行的可靠性。另外,本实施例从回显数据中获取用户输入的指令,以此解决了运维审计装置从上行数据中获取用户输入的指令时所带来的对用户的指令误控制的问题。
对于装置或系统实施例而言,由于其基本相应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置或系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,在没有超过本申请的精神和范围内,可以通过其他的方式实现。当前的实施例只是一种示范性的例子,不应该作为限制,所给出的具体内容不应该限制本申请的目的。例如,所述单元或子单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或多个子单元结合一起。另外,多个单元可以或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
另外,所描述系统,装置和方法以及不同实施例的示意图,在不超出本申请的范围内,可以与其它系统,模块,技术或方法结合或集成。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
以上所述仅是本发明的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (12)
1.一种运维审计方法,其特征在于,包括:
获取运维终端中输入的第一指令;
判断所述第一指令是否为第一跳转指令,所述第一跳转指令用于指示所述运维终端由访问第一服务器跳转至访问第二服务器;
若是,创建第二解析器,并将第一解析器入栈,所述第二解析器用于依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制,所述第一解析器用于依据与所述第一服务器对应的控制策略对所述第一指令进行控制;
利用所述第二解析器、依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制。
2.根据权利要求1所述的方法,其特征在于,还包括:
获取所述运维终端中输入的第二指令;
判断所述第二指令是否为退出指令,所述退出指令用于指示退出所述第二服务器的登陆;
若是,删除所述第二解析器,并将第一解析器出栈。
3.根据权利要求2所述的方法,其特征在于,若所述第二指令不为所述退出指令,还包括:
判断所述第二指令是否为第二跳转指令,所述第二跳转指令用于指示所述运维终端由访问第二服务器跳转至访问第N服务器,其中,N为正整数;
若是,创建第三解析器,并将所述第二解析器入栈,所述第三解析器用于依据与所述第N服务器对应的控制策略对所述第二指令进行访问控制;
利用所述第三解析器、依据与所述第N服务器对应的控制策略对所述第二指令进行访问控制。
4.根据权利要求1所述的方法,其特征在于,还包括:
判断所述运维终端中是否有所述第一指令输入;
若是,获取所述第一服务器返回的第一下行数据,所述第一下行数据为回显数据;
判断所述第一指令是否已输入结束;
若是,将所述第一指令输入结束前的所有所述回显数据、作为所述第一指令,并返回执行步骤判断所述第一指令是否为第一跳转指令的步骤。
5.根据权利要求4所述的方法,其特征在于,利用所述第二解析器、依据与所述第二服务器对应的控制策略对所述指令进行访问控制,包括:
依据与所述第二服务器对应的控制策略,判断是否允许第二服务器执行所述第一指令;
若是,接收第二下行数据,所述第二下行数据为所述第二服务器执行所述第一指令后的响应结果。
6.根据权利要求5所述的方法,其特征在于,还包括:
判断所述第一指令是否为特殊指令;
若所述第一指令为特殊指令,判断所述第二下行数据中是否具有预设字符信息,所述预设字符信息指示全部所述第二下行数据返回结束;
若是,返回执行判断所述运维终端中是否有所述第一指令输入的步骤,否则返回执行所述接收第二下行数据的步骤;
若所述第一指令不为特殊指令,判断所述第二下行数据中是否具有与输入所述第一指令前的命令提示符一致的字符信息;
若是,返回执行判断所述运维终端中是否有第一指令输入的步骤,否则返回执行所述接收第二下行数据的步骤。
7.一种运维审计装置,其特征在于,包括:
第一获取单元,用于获取运维终端中输入的第一指令;
第一判断单元,用于判断所述第一指令是否为第一跳转指令,所述第一跳转指令用于指示所述运维终端由访问第一服务器跳转至访问第二服务器;
第一创建单元,用于当所述第一判断单元确定所述第一指令为跳转指令时,创建第二解析器,并将第一解析器入栈,所述第二解析器用于依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制,所述第一解析器用于依据与所述第一服务器对应的控制策略对所述第一指令进行控制;
第一访问控制单元,用于利用所述第二解析器、依据与所述第二服务器对应的控制策略对所述第一指令进行访问控制。
8.根据权利要求7所述的装置,其特征在于,还包括:
第二获取单元,用于获取所述运维终端中输入的第二指令;
第二判断单元,用于判断所述第二指令是否为退出指令,所述退出指令用于指示退出所述第二服务器的登陆;
删除单元,用于当所述第二判断单元确定所述第二指令为退出指令时,删除所述第二解析器,并将第一解析器出栈。
9.根据权利要求8所述的装置,其特征在于,还包括:
第三判断单元,用于若所述第二指令不为所述退出指令,判断所述第二指令是否为第二跳转指令,所述第二跳转指令用于指示所述运维终端由访问第二服务器跳转至访问第N服务器,其中,N为正整数;
第二创建单元,用于当所述第三判断单元确定所述第二指令为跳转指令时,创建第三解析器,并将所述第二解析器入栈,所述第三解析器用于依据与所述第N服务器对应的控制策略对所述第二指令进行访问控制;
第二访问控制单元,用于利用所述第三解析器、依据与所述第N服务器对应的控制策略对所述第二指令进行访问控制。
10.根据权利要求7所述的装置,其特征在于,还包括:
第四判断单元,用于判断所述运维终端中是否有所述第一指令输入;
第三获取单元,用于当所述第四判断单元确定所述运维终端中有所述第一指令输入时,获取所述第一服务器返回的第一下行数据,所述第一下行数据为回显数据;
第五判断单元,用于判断所述第一指令是否已输入结束;
确定单元,用于当所述第五判断单元确定所述第一指令输入结束时,将所述第一指令输入结束前的所有所述回显数据、作为所述第一指令,并返回执行步骤判断所述第一指令是否为第一跳转指令的步骤。
11.根据权利要求10所述的装置,其特征在于,所述第一访问控制单元,包括:
第六判断单元,用于依据与所述第二服务器对应的控制策略,判断是否允许第二服务器执行所述第一指令;
接收单元,用于当所述第六判断单元确定允许第二服务器执行所述第一指令,接收第二下行数据,所述第二下行数据为所述第二服务器执行所述第一指令后的响应结果。
12.根据权利要求11所述的装置,其特征在于,还包括:
第七判断单元,用于判断所述第一指令是否为特殊指令;
第八判断单元,用于若所述第一指令为特殊指令,判断所述第二下行数据中是否具有预设字符信息,所述预设字符信息指示全部所述第二下行数据返回结束;
第一执行单元,用于若所述第二下行数据中具有预设字符信息时,返回执行判断所述运维终端中是否有所述第一指令输入的步骤,否则返回执行所述接收第二下行数据的步骤;
第九判断单元,用于若所述第一指令不为特殊指令,判断所述第二下行数据中是否具有与输入所述第一指令前的命令提示符一致的字符信息;
第二执行单元,用于若所述第九判断单元确定所受第二下行数据中具有与输入所述第一指令前的命令提示符一致的字符信息时,返回执行判断所述运维终端中是否有第一指令输入的步骤,否则返回执行所述接收第二下行数据的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710494973.9A CN109120427B (zh) | 2017-06-26 | 2017-06-26 | 一种运维审计方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710494973.9A CN109120427B (zh) | 2017-06-26 | 2017-06-26 | 一种运维审计方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109120427A CN109120427A (zh) | 2019-01-01 |
CN109120427B true CN109120427B (zh) | 2022-04-01 |
Family
ID=64821759
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710494973.9A Active CN109120427B (zh) | 2017-06-26 | 2017-06-26 | 一种运维审计方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109120427B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117675414B (zh) * | 2024-01-31 | 2024-05-17 | 深圳昂楷科技有限公司 | 命令审计方法、系统及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103188336A (zh) * | 2011-12-31 | 2013-07-03 | 北京市国路安信息技术有限公司 | 一种基于虚拟桌面的运维管理方法 |
CN104135389A (zh) * | 2014-08-14 | 2014-11-05 | 华北电力大学句容研究中心 | 一种基于代理技术的ssh协议运维审计系统及方法 |
CN106598972A (zh) * | 2015-10-14 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 一种信息显示方法、装置及智能终端 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6931530B2 (en) * | 2002-07-22 | 2005-08-16 | Vormetric, Inc. | Secure network file access controller implementing access control and auditing |
-
2017
- 2017-06-26 CN CN201710494973.9A patent/CN109120427B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103188336A (zh) * | 2011-12-31 | 2013-07-03 | 北京市国路安信息技术有限公司 | 一种基于虚拟桌面的运维管理方法 |
CN104135389A (zh) * | 2014-08-14 | 2014-11-05 | 华北电力大学句容研究中心 | 一种基于代理技术的ssh协议运维审计系统及方法 |
CN106598972A (zh) * | 2015-10-14 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 一种信息显示方法、装置及智能终端 |
Non-Patent Citations (1)
Title |
---|
SSH协议审计系统的设计与实现;崔文超等;《电子技术与软件工程》;20140115;第35-36页 * |
Also Published As
Publication number | Publication date |
---|---|
CN109120427A (zh) | 2019-01-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111526529B (zh) | 网络提示方法、装置和电子设备 | |
CN104598380A (zh) | 一种基于控件的自动化测试方法及系统 | |
CN103532797A (zh) | 一种用户登录异常监测方法和装置 | |
CN103997452A (zh) | 多平台之间的信息分享方法及装置 | |
CN106096425A (zh) | 一种系统权限的开启方法、装置及设备 | |
CN105320595A (zh) | 一种应用测试方法和装置 | |
CN101340317B (zh) | 一种嵌入式软件调试的方法及其应用系统 | |
CN110505116A (zh) | 用电信息采集系统及渗透测试方法、装置、可读存储介质 | |
CN106559419A (zh) | 短信验证码的应用识别方法及识别终端 | |
CN105205001A (zh) | 游戏程序的测试方法、装置及系统 | |
CN109120427B (zh) | 一种运维审计方法及装置 | |
CN105142143A (zh) | 一种验证方法及其系统 | |
CN103023757B (zh) | 消息展示装置及展示方法 | |
CN104052630A (zh) | 对网站执行验证的方法和系统 | |
CN105574410A (zh) | 一种应用程序的安全检测方法及装置 | |
CN111767548A (zh) | 一种漏洞捕获方法、装置、设备及存储介质 | |
CN115268841B (zh) | 数据管理方法、装置、电子设备及存储介质 | |
CN110752933A (zh) | 一种验证码输入方法、装置、电子设备及存储介质 | |
CN108306937B (zh) | 短信验证码的发送方法、获取方法、服务器及存储介质 | |
CN110580221A (zh) | 控件测试方法、装置、存储介质及电子设备 | |
CN105893502A (zh) | 代码同步方法及装置 | |
CN114070632B (zh) | 一种自动化渗透测试方法、装置及电子设备 | |
CN103714291A (zh) | 一种信息处理方法及电子设备 | |
CN105844133B (zh) | 应用打开方法和系统 | |
CN106445507A (zh) | 界面切换方法、终端以及服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |