CN112560033B - 基于用户上下文的基线扫描方法及装置 - Google Patents
基于用户上下文的基线扫描方法及装置 Download PDFInfo
- Publication number
- CN112560033B CN112560033B CN202011455979.3A CN202011455979A CN112560033B CN 112560033 B CN112560033 B CN 112560033B CN 202011455979 A CN202011455979 A CN 202011455979A CN 112560033 B CN112560033 B CN 112560033B
- Authority
- CN
- China
- Prior art keywords
- checking
- user
- operating system
- authority
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本申请公开了一种基于用户上下文的基线扫描方法及装置。所述基于用户上下文的基线扫描方法包括:生成不同的用户上下文;为各个所述用户上下文进行分类,使用选定的分类后的用户上下文进行基线扫描。本申请的基于用户上下文的基线扫描方法通过对系统的用户的访问控制列表、访问令牌、特权转储和比较,将用户上下文进行划分并作为基线检查的上下文,细化了基线检查的环境。
Description
技术领域
本发明涉及基线检查技术领域,具体涉及一种基于用户上下文的基线扫描方法及装置。
背景技术
所有企事业单位网络安全建设都需要满足来自于国家或监管单位的安全基线标准,如等保2.0、CIS安全标准等。安全标准,还有一个叫法就是“安全基线”。安全基线是对服务器安全标准最低的安全要求。
安全基线的意义在于为达到最基本的防护要求而制定的一系列基准,在金融、运营商、互联网等行业应用范围非常广泛。基本上可以说,任何安全检查都是围绕不同安全基线展开。为配合该检查,从集团到省、地市分公司无不通力配合。通过自查、自加固到迎接有关部门的统一抽检,确实可以帮助企业认清自身风险现状和漏洞隐患。
服务器作为最重要网络资产,其安全检查也就成为了重中之重。为此,各大企业纷纷采取全方位的应对措施,包括发布相关的安全基线规范,用以构建最基本的安全防范壁垒与手段。主机安全基线是指为满足安全规范要求,服务器安全配置必需达到的标准,一般通过检查各安全配置参数是否符合标准来度量。以Windows服务器为例,可以配置包括账号、口令、授权、补丁、防护软件、防病毒软件、日志安全要求、启动项、网络访问等方面内容,这些安全配置直接反映了系统自身的安全脆弱性。
现有技术中,通常是在使用系统脚本或软件对系统内的安全基线进行逐条检查。使用脚本的基线检查方式因为系统脚本的功能局限性功能较差,无法进行数据库的存储和可视化报告的生成。以往的技术中对安全基线逐条进行检查,没有考虑到各种基线之间的联系导致检查结果不够全面。同时由于访问控制机制的复杂性,在同一种用户上下中的基线检查也达不到理想的效果。
发明内容
本申请的目的在于提供一种基于用户上下文的基线扫描方法来克服或至少减轻现有技术的至少一个上述缺陷。
为实现上述目的,本申请提供一种基于用户上下文的基线扫描方法,所述基于用户上下文的基线扫描方法包括:
生成不同的用户上下文;
为各个所述用户上下文进行分类,使用选定的分类后的用户上下文进行基线扫描。
可选地,所述为各个所述用户上下文进行分类,使用选定的分类后的用户上下文进行基线扫描包括:
依次使用不同分类的所述用户上下文,对操作系统进行基线扫描。
可选地,所述操作系统包括Linux系统;
所述依次使用不同分类的所述用户上下文,对操作系统进行基线扫描包括包括如下中的一个或多个:
为所述Linux操作系统的策略进行检查,所述系统策略包括系统账户策略,SSH服务远程访问策略,Shell超时锁定策略;
为所诉Linux操作系统的账户检查,所述账户检查包括对Passwd特权用户检查,对空口令账户检查;
为所述Linux操作系统的状态检查,所述状态包括系统信息、root用户连接,SSH等连接服务状态,系统中网络状态,系统主机性能;
为所述Linux操作系统的文件完整性检查;
为所述Linux操作系统的关键文件修改进行检查,所述的关键文件修改检查包括系统密码文件修改时间,关键文件记录检查;
为所述Linux操作系统的日志配置进行检查,所述的日志配置包括Syslog日志审计服务,Syslog日志外发;
为所述Linux系统的恶意文件进行检查,所述恶意文件包括恶意程序,恶意可执行文件。
可选地,为所述Linux操作系统的策略进行检查包括:对所述策略文件进行读取并获取结果从而判断策略是否安全;
为所诉Linux操作系统的账户检查包括:从与用户相关的文件中读取用户信息并找到影响配置安全的特殊用户是否存在;
为所述Linux操作系统的状态检查包括:通过调用所述Linux操作系统中的相关命令检查当前所述Linux操作系统的状态;
为所述Linux操作系统的文件完整性检查包括对所述关键文件进行MD5值计算保存结果,以MD5值的变化判断文件完整性是否被破坏;
为所述Linux操作系统的关键文件修改进行检查包括对所述Linux操作系统中关键文件的修改记录进行检查;
为所述Linux操作系统的日志配置进行检查包括对所述Linux操作系统中的日志服务状态和服务配置文件进行检查;
为所述Linux系统的恶意文件进行检查包括对所述Linux操作系统中的可执行文件脚本内的内容进行检查,通过检查所述文件中是否包含恶意代码判断是否为恶意文件;
为所述Linux系统的权限进行检查包括对所述Linux操作系统中的用户权限策略、用户特权、关键文件权限、关键服务权限进行检查。
可选地,所述操作系统包括Windows操作系统;
所述述依次使用不同分类的所述用户上下文,对操作系统进行基线扫描包括如下中的一个或多个:
为所述Windows系统的状态进行检查,所述状态检查包括系统信息检查、默认共享检查、进程检查、注册表启动项检查、C盘部分文件夹捆绑文件检查;
为所述Windows系统的连接状态检查,包括端口状态检查、通信检查;
为所述Windows系统的记录进行检查,包括添加/卸载记录检查、IE浏览器记录检查、CMD使用记录检查、文件记录检查、程序记录检查;
为所述的Windows系统的用户进行检查,包括用户检查、隐藏用户检查;
为所述的Windows系统的策略进行检查,包括安全策略检查。
可选地,所述为所述Windows系统的状态进行检查包括对所述Windows操作系统中的操作信息、默认开启的共享资源、进程的状态、写入注册表的自启动文件、C盘部分文件的捆绑情况进行检查;
为所述Windows系统的连接状态检查包括对所述Windows操作系统中的端口的状态、操作系统中的连接进行检查;
为所述Windows系统的记录进行检查包括对所述Windows操作系统中的程序的添加/卸载记录、IE浏览器的浏览记录、CMD命令的使用记录、文件的读写记录、程序的使用记录进行检查;
为所述的Windows系统的用户进行检查包括对所述Windows操作系统中的现有用户和隐藏用户进行检查;
为所述的Windows系统的策略进行检查包括对所述Windows操作系统中的安全策略进行检查;
为所述Windows系统的权限进行检查包括对所述Windows操作系统中的用户权限策略、用户特权、关键文件权限、关键服务权限进行检查。
可选地,所述依次使用不同分类的所述用户上下文,对操作系统进行基线扫描包括:
获取每次使用的用户上下文的基本信息;
根据所述用户上下文的基本信息生成基线扫描项;
根据生成的基线扫描项对所述操作系统进行基线扫描。
可选地,所述根据所述用户上下文的基本信息生成基线扫描项包括:
通过判断当前用户上下文的基本信息判断当前用户是否属于之前扫描过的用户所属的权限组,若是,则缩小当前用户上下文的扫描范围,仅对与之前用户拒绝的权限相关的检查项进行检查。
可选地,所述根据所述用户上下文的基本信息生成基线扫描项包括:
判断是否对同一目录下访问控制列表完全相同的文件进行过检查,若是,则
仅对同一目录下访问控制列表中的一项进行检查。
本申请还提供了一种基于用户上下文的基线扫描装置,所述基于用户上下文的基线扫描装置包括:
用户上下文生成模块,所述用户上下文生成模块用于生成不同的用户上下文;
基线扫描模块,所述基线扫描模块用于为各个所述用户上下文进行分类,使用选定的分类后的用户上下文进行基线扫描。
本申请的基于用户上下文的基线扫描方法通过对系统的用户的访问控制列表、访问令牌、特权转储和比较,将用户上下文进行划分并作为基线检查的上下文,细化了基线检查的环境。
附图说明
图1为本发明第一实施例的基于用户上下文的基线扫描方法的流程示意图。
具体实施方式
为使本申请实施的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行更加详细的描述。在附图中,自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。所描述的实施例是本申请一部分实施例,而不是全部的实施例。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。下面结合附图对本申请的实施例进行详细说明。
图1为本发明第一实施例的基于用户上下文的基线扫描方法的流程示意图。
如图1所示的基于用户上下文的基线扫描方法包括:
步骤1:生成不同的用户上下文;
步骤2:为各个所述用户上下文进行分类,使用选定的分类后的用户上下文进行基线扫描。
本申请的基于用户上下文的基线扫描方法通过对系统的用户的访问控制列表、访问令牌、特权转储和比较,将用户上下文进行划分并作为基线检查的上下文,细化了基线检查的环境。
在本实施例中,依次使用不同分类的所述用户上下文,对操作系统进行基线扫描包括:
获取每次使用的用户上下文的基本信息;
根据所述用户上下文的基本信息生成基线扫描项;
根据生成的基线扫描项对所述操作系统进行基线扫描。
通过这种方式,可以防止重复劳动,节省时间与精力,提高系统性能与基线检测速度。
在本实施例中,根据所述用户上下文的基本信息生成基线扫描项包括:
通过判断当前用户上下文的基本信息判断当前用户是否属于之前扫描过的用户所属的权限组,若是,则缩小当前用户上下文的扫描范围,仅对与之前用户拒绝的权限相关的检查项进行检查。
在本实施例中,根据所述用户上下文的基本信息生成基线扫描项包括:
判断是否对同一目录下访问控制列表完全相同的文件进行过检查,若是,则
仅对同一目录下访问控制列表中的一项进行检查。
在本实施例中,为各个用户上下文进行分类,使用选定的分类后的用户上下文进行基线扫描包括:
依次使用不同分类的所述用户上下文,对操作系统进行基线扫描。
在本实施例中,操作系统包括Linux系统;
依次使用不同分类的所述用户上下文,对操作系统进行基线扫描包括包括如下中的一个或多个:
为Linux操作系统的策略进行检查,所述系统策略包括系统账户策略,SSH服务远程访问策略,Shell超时锁定策略;
为Linux操作系统的账户检查,账户检查包括对Passwd特权用户检查,对空口令账户检查;
为Linux操作系统的状态检查,状态包括系统信息、root用户连接,SSH等连接服务状态,系统中网络状态,系统主机性能;
为Linux操作系统的文件完整性检查;
为Linux操作系统的关键文件修改进行检查,所述的关键文件修改检查包括系统密码文件修改时间,关键文件记录检查;
为Linux操作系统的日志配置进行检查,所述的日志配置包括Syslog日志审计服务,Syslog日志外发;
为Linux系统的恶意文件进行检查,所述恶意文件包括恶意程序,恶意可执行文件。
在本实施例中,为Linux操作系统的策略进行检查包括:对所述策略文件进行读取并获取结果从而判断策略是否安全;
为Linux操作系统的账户检查包括:从与用户相关的文件中读取用户信息并找到影响配置安全的特殊用户是否存在;
为Linux操作系统的状态检查包括:通过调用Linux操作系统中的相关命令检查当前所述Linux操作系统的状态;
为Linux操作系统的文件完整性检查包括对关键文件进行MD5值计算保存结果,以MD5值的变化判断文件完整性是否被破坏;
为Linux操作系统的关键文件修改进行检查包括对Linux操作系统中关键文件的修改记录进行检查;
为Linux操作系统的日志配置进行检查包括对Linux操作系统中的日志服务状态和服务配置文件进行检查;
为Linux系统的恶意文件进行检查包括对Linux操作系统中的可执行文件脚本内的内容进行检查,通过检查文件中是否包含恶意代码判断是否为恶意文件。
为Linux系统的权限进行检查,包括用户权限策略检查、用户特权检查、关键文件检查、关键服务的检查。
在本实施例中,操作系统包括Windows操作系统;
依次使用不同分类的所述用户上下文,对操作系统进行基线扫描包括如下中的一个或多个:
为Windows系统的状态进行检查,所述状态检查包括系统信息检查、默认共享检查、进程检查、注册表启动项检查、C盘部分文件夹捆绑文件检查;
为Windows系统的连接状态检查,包括端口状态检查、通信检查;
为Windows系统的记录进行检查,包括添加/卸载记录检查、IE浏览器记录检查、CMD使用记录检查、文件记录检查、程序记录检查;
为Windows系统的用户进行检查,包括用户检查、隐藏用户检查;
为Windows系统的策略进行检查,包括安全策略检查;
为Windows系统的权限进行检查,包括用户权限策略检查、用户特权检查、关键文件检查、关键服务的检查。
在本实施例中,为Windows系统的状态进行检查包括对Windows操作系统中的操作信息、默认开启的共享资源、进程的状态、写入注册表的自启动文件、C盘部分文件的捆绑情况进行检查;
为Windows系统的连接状态检查包括对Windows操作系统中的端口的状态、操作系统中的连接进行检查;
为Windows系统的记录进行检查包括对Windows操作系统中的程序的添加/卸载记录、IE浏览器的浏览记录、CMD命令的使用记录、文件的读写记录、程序的使用记录进行检查;
为Windows系统的用户进行检查包括对所述Windows操作系统中的现有用户和隐藏用户进行检查;
为Windows系统的策略进行检查包括对所述Windows操作系统中的安全策略进行检查。
在本实施例中,系统访问控制领域的用户上下文分类包括:
用户的访问控制列表识别和转储;
用户的访问令牌识别和转储;
用户的特权识别和转储。
本申请的基于用户上下文的基线扫描方法通过对系统的用户的访问控制列表、访问令牌、特权转储和比较,将用户上下文进行划分并作为基线检查的上下文,细化了基线检查的环境。
在本实施例中,步骤2:使用选定用户上下文进行基线检查包括:
步骤21:通过选定的管理员权限用户上下文,在Linux系统中对用户、系统的状态、文件完整性、文件修改、日志配置、恶意文件进行检查,并根据结果判断检查项是否符合标准;
步骤22:通过选定的管理员权限用户上下文,在Windows系统中对系统状态、连接状态、记录、用户、策略进行检查,并根据结果判断检查项是否符合标准;
步骤23:通过选定的某一用户上下文对系统中用户的信息进行修改判断,并根据结果判断系统中当前用户上下文下的账户权限策略的安全基线是否符合标准;
步骤24:通过选定的某一用户上下文调用用户特权的结果进行判断当前用户上下文中用户特权的安全基线是否符合标注;
步骤25:通过选定的用户上下文对关键文件进行读写和执行的结果判断安全基线是否符合标准;
步骤26:通过选定的用户上下文对关键服务进行启动、暂停和停止,修改服务的管理用户和可执行文件判断关键服务的安全基线是否符合标准;
步骤27:将之前的基线检查结果进行分析汇总,并将当前用户上下文的权限和下一步扫描的权限进行对比,去除下一环扫描中不必要的扫描。
本申请还提供了一种基于用户上下文的基线扫描装置,所述基于用户上下文的基线扫描装置包括用户上下文生成模块以及基线扫描模块,其中,用户上下文生成模块用于生成不同的用户上下文;基线扫描模块用于为各个所述用户上下文进行分类,使用选定的分类后的用户上下文进行基线扫描。
本申请的基于用户上下文的基线扫描方法对操作系统安全配置进行检查,相对于现有的技术检查结果更加全面精确。
本申请虽然以较佳实施例公开如上,但其实并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此,本申请的保护范围应当以本申请权利要求所界定的范围为准。
本申请还提供了一种电子设备,包括存储器、处理器以及存储在存储器中并能够在处理器上运行的计算机程序,处理器执行计算机程序时实现如上的基于大数据的生产全流程可视化智能管控方法。
举例来说,电子设备包括输入设备、输入接口、中央处理器、存储器、输出接口以及输出设备。其中,输入接口、中央处理器、存储器以及输出接口通过总线相互连接,输入设备和输出设备分别通过输入接口和输出接口与总线连接,进而与计算设备的其他组件连接。具体地,输入设备接收来自外部的输入信息,并通过输入接口将输入信息传送到中央处理器;中央处理器基于存储器中存储的计算机可执行指令对输入信息进行处理以生成输出信息,将输出信息临时或者永久地存储在存储器中,然后通过输出接口将输出信息传送到输出设备;输出设备将输出信息输出到计算设备的外部供用户使用。
本申请还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时能够实现如上的基于大数据的生产全流程可视化智能管控方法。
本申请虽然以较佳实施例公开如上,但其实并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此,本申请的保护范围应当以本申请权利要求所界定的范围为准。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动,媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数据多功能光盘(DVD)或其他光学存储、磁盒式磁带、磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
此外,显然“包括”一词不排除其他单元或步骤。装置权利要求中陈述的多个单元、模块或装置也可以由一个单元或总装置通过软件或硬件来实现。第一、第二等词语用来标识名称,而不标识任何特定的顺序。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,模块、程序段、或代码的一部分包括一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地标识的方框实际上可以基本并行地执行,他们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或总流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在本实施例中所称处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器可用于存储计算机程序和/或模块,处理器通过运行或执行存储在存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现装置/终端设备的各种功能。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
在本实施例中,装置/终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,计算机程序包括计算机程序代码,计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括:能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减。
虽然,上文中已经用一般性说明及具体实施方案对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (2)
1.一种基于用户上下文的基线扫描方法,其特征在于,所述基于用户上下文的基线扫描方法包括:
生成不同的用户上下文;
为各个所述用户上下文进行分类,使用选定的分类后的用户上下文进行基线扫描;
所述为各个所述用户上下文进行分类,使用选定的分类后的用户上下文进行基线扫描包括:
依次使用不同分类的所述用户上下文,对操作系统进行基线扫描;
所述操作系统包括Linux系统;
所述依次使用不同分类的所述用户上下文,对操作系统进行基线扫描包括包括:
为所述Linux操作系统的策略进行检查,所述Linux操作系统策略包括系统账户策略,SSH服务远程访问策略,Shell超时锁定策略;
为所述Linux操作系统的账户检查,所述Linux操作系统的账户检查包括对Passwd特权用户检查,对空口令账户检查;
为所述Linux操作系统的状态检查,所述状态包括系统信息、root用户连接,SSH等连接服务状态,系统中网络状态,系统主机性能;
为所述Linux操作系统的文件完整性进行检查;
为所述Linux操作系统的关键文件修改进行检查,所述的关键文件修改检查包括系统密码文件修改时间检查,关键文件记录检查;
为所述Linux操作系统的日志配置进行检查,所述的日志配置包括Syslog日志审计服务,Syslog日志外发;
为所述Linux系统的恶意文件进行检查,所述恶意文件包括恶意程序,恶意可执行文件;
为所述Linux系统的权限进行检查,所述Linux系统的权限包括用户权限策略、用户特权、关键文件权限、关键服务权限;
为所述Linux操作系统的策略进行检查包括:对所述Linux操作系统的策略文件进行读取并获取结果从而判断策略是否安全;
为所述Linux操作系统的账户检查包括:从与用户相关的文件中读取用户信息并找到影响配置安全的特殊用户是否存在;
为所述Linux操作系统的状态检查包括:通过调用所述Linux操作系统中的相关命令检查当前所述Linux操作系统的状态;
为所述Linux操作系统的文件完整性检查包括对所述关键文件进行MD5值计算保存结果,以MD5值的变化判断文件完整性是否被破坏;
为所述Linux操作系统的关键文件修改进行检查包括对所述Linux操作系统中关键文件的修改记录进行检查;
为所述Linux操作系统的日志配置进行检查包括对所述Linux操作系统中的日志服务状态和服务配置文件进行检查;
为所述Linux系统的恶意文件进行检查包括对所述Linux操作系统中的可执行文件脚本内的内容进行检查,通过检查所述文件中是否包含恶意代码判断是否为恶意文件;
为所述Linux系统的权限进行检查包括对所述Linux操作系统中的用户权限策略、用户特权、关键文件权限、关键服务权限进行检查;
所述操作系统包括Windows操作系统;
所述依次使用不同分类的所述用户上下文,对操作系统进行基线扫描包括:
为所述Windows系统的状态进行检查,所述Windows系统的状态检查包括系统信息检查、默认共享检查、进程检查、注册表启动项检查、C盘部分文件夹捆绑文件检查;
为所述Windows系统的连接状态进行检查,包括端口状态检查、通信检查;
为所述Windows系统的记录进行检查,包括添加/卸载记录检查、IE浏览器记录检查、CMD使用记录检查、文件记录检查、程序记录检查;
为所述Windows系统的用户进行检查,包括用户检查、隐藏用户检查;
为所述Windows系统的策略进行检查,包括安全策略检查;
为所述Windows系统的权限进行检查,包括用户权限策略、用户特权、关键文件权限、关键服务权限;
所述为所述Windows系统的状态进行检查包括对所述Windows操作系统中的操作信息、默认开启的共享资源、进程的状态、写入注册表的自启动文件、C盘部分文件的捆绑情况进行检查;
为所述Windows系统的连接状态检查包括对所述Windows操作系统中的端口的状态、操作系统中的连接进行检查;
为所述Windows系统的记录进行检查包括对所述Windows操作系统中的程序的添加/卸载记录、IE浏览器的浏览记录、CMD命令的使用记录、文件的读写记录、程序的使用记录进行检查;
为所述Windows系统的用户进行检查包括对所述Windows操作系统中的 现有用户和隐藏用户进行检查;
为所述Windows系统的策略进行检查包括对所述Windows操作系统中的安全策略进行检查;
为所述Windows系统的权限进行检查包括对所述Windows操作系统中的用户权限策略、用户特权、关键文件权限、关键服务权限进行检查;
所述依次使用不同分类的所述用户上下文,对操作系统进行基线扫描包括:
获取每次使用的用户上下文的基本信息;
根据所述用户上下文的基本信息生成基线扫描项;
根据生成的基线扫描项对所述操作系统进行基线扫描;
所述根据所述用户上下文的基本信息生成基线扫描项包括:
通过判断当前用户上下文的基本信息判断当前用户是否属于之前扫描过的用户所属的权限组,若是,则缩小当前用户上下文的扫描范围,仅对与之前用户拒绝的权限相关的检查项进行检查;
所述根据所述用户上下文的基本信息生成基线扫描项包括:
判断是否对同一目录下访问控制列表完全相同的文件进行过检查,若是,则
仅对同一目录下访问控制列表中的一项进行检查;其中,使用选定用户上下文进行基线检查包括:
通过选定的管理员权限用户上下文,在Linux系统中对用户、系统的状态、文件完整性、文件修改、日志配置、恶意文件进行检查,并根据结果判断检查项是否符合标准;
通过选定的管理员权限用户上下文,在Windows系统中对系统状态、连接状态、记录、用户、策略进行检查,并根据结果判断检查项是否符合标准;
通过选定的某一用户上下文对系统中用户的信息进行修改判断,并根据结果判断系统中当前用户上下文下的账户权限策略的安全基线是否符合标准;
通过选定的某一用户上下文调用用户特权的结果进行判断当前用户上下文中用户特权的安全基线是否符合标准;
通过选定的用户上下文对关键文件进行读写和执行的结果判断安全基线是否符合标准;
通过选定的用户上下文对关键服务进行启动、暂停和停止,修改服务的管理用户和可执行文件判断关键服务的安全基线是否符合标准;
将之前的基线检查结果进行分析汇总,并将当前用户上下文的权限和下一步扫描的权限进行对比,去除下一环扫描中不必要的扫描。
2.一种基于用户上下文的基线扫描装置,其特征在于,所述基于用户上下文的基线扫描装置包括:
用户上下文生成模块,所述用户上下文生成模块用于生成不同的用户上下文;
基线扫描模块,所述基线扫描模块用于为各个所述用户上下文进行分类,使用选定的分类后的用户上下文进行基线扫描;其中,
所述为各个所述用户上下文进行分类,使用选定的分类后的用户上下文进行基线扫描包括:
依次使用不同分类的所述用户上下文,对操作系统进行基线扫描;
所述操作系统包括Linux系统;
所述依次使用不同分类的所述用户上下文,对操作系统进行基线扫描包括包括:
为所述Linux操作系统的策略进行检查,所述Linux操作系统策略包括系统账户策略,SSH服务远程访问策略,Shell超时锁定策略;
为所述Linux操作系统的账户检查,所述Linux操作系统的账户检查包括对Passwd特权用户检查,对空口令账户检查;
为所述Linux操作系统的状态检查,所述状态包括系统信息、root用户连接,SSH等连接服务状态,系统中网络状态,系统主机性能;
为所述Linux操作系统的文件完整性进行检查;
为所述Linux操作系统的关键文件修改进行检查,所述的关键文件修改检查包括系统密码文件修改时间检查,关键文件记录检查;
为所述Linux操作系统的日志配置进行检查,所述的日志配置包括Syslog日志审计服务,Syslog日志外发;
为所述Linux系统的恶意文件进行检查,所述恶意文件包括恶意程序,恶意可执行文件;
为所述Linux系统的权限进行检查,所述Linux系统的权限包括用户权限策略、用户特权、关键文件权限、关键服务权限;
为所述Linux操作系统的策略进行检查包括:对所述Linux操作系统的策略文件进行读取并获取结果从而判断策略是否安全;
为所述Linux操作系统的账户检查包括:从与用户相关的文件中读取用户信息并找到影响配置安全的特殊用户是否存在;
为所述Linux操作系统的状态检查包括:通过调用所述Linux操作系统中的相关命令检查当前所述Linux操作系统的状态;
为所述Linux操作系统的文件完整性检查包括对所述关键文件进行MD5值计算保存结果,以MD5值的变化判断文件完整性是否被破坏;
为所述Linux操作系统的关键文件修改进行检查包括对所述Linux操作系统中关键文件的修改记录进行检查;
为所述Linux操作系统的日志配置进行检查包括对所述Linux操作系统中的日志服务状态和服务配置文件进行检查;
为所述Linux系统的恶意文件进行检查包括对所述Linux操作系统中的可执行文件脚本内的内容进行检查,通过检查所述文件中是否包含恶意代码判断是否为恶意文件;
为所述Linux系统的权限进行检查包括对所述Linux操作系统中的用户权限策略、用户特权、关键文件权限、关键服务权限进行检查;
所述操作系统包括Windows操作系统;
所述依次使用不同分类的所述用户上下文,对操作系统进行基线扫描包括:
为所述Windows系统的状态进行检查,所述状态检查包括系统信息检查、默认共享检查、进程检查、注册表启动项检查、C盘部分文件夹捆绑文件检查;
为所述Windows系统的连接状态进行检查,包括端口状态检查、通信检查;
为所述Windows系统的记录进行检查,包括添加/卸载记录检查、IE浏览器记录检查、CMD使用记录检查、文件记录检查、程序记录检查;
为所述Windows系统的用户进行检查,包括用户检查、隐藏用户检查;
为所述Windows系统的策略进行检查,包括安全策略检查;
为所述Windows系统的权限进行检查,包括用户权限策略、用户特权、关键文件权限、关键服务权限;
所述为所述Windows系统的状态进行检查包括对所述Windows操作系统中的操作信息、默认开启的共享资源、进程的状态、写入注册表的自启动文件、C盘部分文件的捆绑情况进行检查;
为所述Windows系统的连接状态检查包括对所述Windows操作系统中的端口的状态、操作系统中的连接进行检查;
为所述Windows系统的记录进行检查包括对所述Windows操作系统中的程序的添加/卸载记录、IE浏览器的浏览记录、CMD命令的使用记录、文件的读写记录、程序的使用记录进行检查;
为所述Windows系统的用户进行检查包括对所述Windows操作系统中的 现有用户和隐藏用户进行检查;
为所述Windows系统的策略进行检查包括对所述Windows操作系统中的安全策略进行检查;
为所述Windows系统的权限进行检查包括对所述Windows操作系统中的用户权限策略、用户特权、关键文件权限、关键服务权限进行检查;
所述依次使用不同分类的所述用户上下文,对操作系统进行基线扫描包括:
获取每次使用的用户上下文的基本信息;
根据所述用户上下文的基本信息生成基线扫描项;
根据生成的基线扫描项对所述操作系统进行基线扫描;
所述根据所述用户上下文的基本信息生成基线扫描项包括:
通过判断当前用户上下文的基本信息判断当前用户是否属于之前扫描过的用户所属的权限组,若是,则缩小当前用户上下文的扫描范围,仅对与之前用户拒绝的权限相关的检查项进行检查;
所述根据所述用户上下文的基本信息生成基线扫描项包括:
判断是否对同一目录下访问控制列表完全相同的文件进行过检查,若是,则
仅对同一目录下访问控制列表中的一项进行检查;其中,使用选定用户上下文进行基线检查包括:
通过选定的管理员权限用户上下文,在Linux系统中对用户、系统的状态、文件完整性、文件修改、日志配置、恶意文件进行检查,并根据结果判断检查项是否符合标准;
通过选定的管理员权限用户上下文,在Windows系统中对系统状态、连接状态、记录、用户、策略进行检查,并根据结果判断检查项是否符合标准;
通过选定的某一用户上下文对系统中用户的信息进行修改判断,并根据结果判断系统中当前用户上下文下的账户权限策略的安全基线是否符合标准;
通过选定的某一用户上下文调用用户特权的结果进行判断当前用户上下文中用户特权的安全基线是否符合标准;
通过选定的用户上下文对关键文件进行读写和执行的结果判断安全基线是否符合标准;
通过选定的用户上下文对关键服务进行启动、暂停和停止,修改服务的管理用户和可执行文件判断关键服务的安全基线是否符合标准;
将之前的基线检查结果进行分析汇总,并将当前用户上下文的权限和下一步扫描的权限进行对比,去除下一环扫描中不必要的扫描。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011455979.3A CN112560033B (zh) | 2020-12-10 | 2020-12-10 | 基于用户上下文的基线扫描方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011455979.3A CN112560033B (zh) | 2020-12-10 | 2020-12-10 | 基于用户上下文的基线扫描方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112560033A CN112560033A (zh) | 2021-03-26 |
CN112560033B true CN112560033B (zh) | 2023-06-16 |
Family
ID=75062047
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011455979.3A Active CN112560033B (zh) | 2020-12-10 | 2020-12-10 | 基于用户上下文的基线扫描方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112560033B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113791973B (zh) * | 2021-08-23 | 2022-09-06 | 湖北省农村信用社联合社网络信息中心 | 基于农信系统的兼容性基线检测方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103034808A (zh) * | 2012-11-30 | 2013-04-10 | 北京奇虎科技有限公司 | 扫描方法、设备和系统以及云端管理方法和设备 |
CN109379373A (zh) * | 2018-11-23 | 2019-02-22 | 中国电子科技网络信息安全有限公司 | 一种云安全评估系统及方法 |
CN110826065A (zh) * | 2019-10-30 | 2020-02-21 | 亚信科技(成都)有限公司 | 一种扫描方法、装置及系统 |
CN110990839A (zh) * | 2019-11-22 | 2020-04-10 | 安徽三实信息技术服务有限公司 | 一种windows主机安全检查方法、装置和平台 |
CN111047309A (zh) * | 2019-12-18 | 2020-04-21 | 北京三快在线科技有限公司 | 安全合规性检测方法、装置、计算机设备及存储介质 |
CN111967778A (zh) * | 2020-08-19 | 2020-11-20 | 杭州铂钰信息科技有限公司 | 一种基于安全基线模型的数据安全检测方法及系统 |
-
2020
- 2020-12-10 CN CN202011455979.3A patent/CN112560033B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103034808A (zh) * | 2012-11-30 | 2013-04-10 | 北京奇虎科技有限公司 | 扫描方法、设备和系统以及云端管理方法和设备 |
CN109379373A (zh) * | 2018-11-23 | 2019-02-22 | 中国电子科技网络信息安全有限公司 | 一种云安全评估系统及方法 |
CN110826065A (zh) * | 2019-10-30 | 2020-02-21 | 亚信科技(成都)有限公司 | 一种扫描方法、装置及系统 |
CN110990839A (zh) * | 2019-11-22 | 2020-04-10 | 安徽三实信息技术服务有限公司 | 一种windows主机安全检查方法、装置和平台 |
CN111047309A (zh) * | 2019-12-18 | 2020-04-21 | 北京三快在线科技有限公司 | 安全合规性检测方法、装置、计算机设备及存储介质 |
CN111967778A (zh) * | 2020-08-19 | 2020-11-20 | 杭州铂钰信息科技有限公司 | 一种基于安全基线模型的数据安全检测方法及系统 |
Non-Patent Citations (1)
Title |
---|
运营平台安全检测方法简介及典型问题剖析;贺赛娜等;《广东通信技术》;20200930;第75-79页 * |
Also Published As
Publication number | Publication date |
---|---|
CN112560033A (zh) | 2021-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220303136A1 (en) | Security privilege escalation exploit detection and mitigation | |
US10154066B1 (en) | Context-aware compromise assessment | |
US9930071B2 (en) | System and methods for secure utilization of attestation in policy-based decision making for mobile device management and security | |
US7853993B2 (en) | Integrated access authorization | |
US7930738B1 (en) | Method and apparatus for secure execution of code | |
US10079835B1 (en) | Systems and methods for data loss prevention of unidentifiable and unsupported object types | |
US20090158385A1 (en) | Apparatus and method for automatically generating SELinux security policy based on selt | |
US20200193031A1 (en) | System and Method for an Automated Analysis of Operating System Samples, Crashes and Vulnerability Reproduction | |
US20200012793A1 (en) | System and Method for An Automated Analysis of Operating System Samples | |
US20130054917A1 (en) | Efficient secure data marshaling through at least one untrusted intermediate process | |
CN112560033B (zh) | 基于用户上下文的基线扫描方法及装置 | |
CN114329367B (zh) | 网盘文件追溯方法、装置、网盘及存储介质 | |
CN105760761A (zh) | 软件行为分析方法和装置 | |
JP5069369B2 (ja) | 統合されたアクセス認可 | |
US10452850B2 (en) | Protected shell for risk validation | |
CN116702126A (zh) | 应用访问控制方法和装置、计算设备和可读存储介质 | |
WO2023151238A1 (zh) | 一种勒索病毒检测方法及相关系统 | |
EP3535681B1 (en) | System and method for detecting and for alerting of exploits in computerized systems | |
Petkovic et al. | A host based method for data leak protection by tracking sensitive data flow | |
CN111241547A (zh) | 一种越权漏洞的检测方法、装置及系统 | |
US20230216871A1 (en) | Detecting compromised cloud users | |
CN113486313B (zh) | 一种学校体系人员的统一身份认证方法和系统 | |
WO2023129351A1 (en) | Detecting compromised cloud users | |
KR101955196B1 (ko) | 휴대용 정보 분석 장치와 이를 이용한 데이터 분석 방법 | |
CN116578968A (zh) | 对电力控制系统中应用程序提供安全防护的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |