CN112636996A - 网络安全监测系统及在终端信息采集中区分操作命令与回显的方法 - Google Patents

网络安全监测系统及在终端信息采集中区分操作命令与回显的方法 Download PDF

Info

Publication number
CN112636996A
CN112636996A CN202011276376.7A CN202011276376A CN112636996A CN 112636996 A CN112636996 A CN 112636996A CN 202011276376 A CN202011276376 A CN 202011276376A CN 112636996 A CN112636996 A CN 112636996A
Authority
CN
China
Prior art keywords
information
command
module
monitoring system
information acquisition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011276376.7A
Other languages
English (en)
Inventor
张希鹏
吴春光
李国强
齐璇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Standard Software Co Ltd
Original Assignee
China Standard Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Standard Software Co Ltd filed Critical China Standard Software Co Ltd
Priority to CN202011276376.7A priority Critical patent/CN112636996A/zh
Publication of CN112636996A publication Critical patent/CN112636996A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Alarm Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明涉及一种在终端信息采集中区分操作命令与回显的方法及系统,所述系统包括:网络安全监测系统与接收装置,其中,网络安全监测系统通过接收/发送端口与接收装置连接,接收装置设置为一个以上;网络安全监测系统包括信息采集模块以及命令提示符自适应判定模块,命令提示符自适应判定模块用于将信息采集模块采集到的被监测主机的终端信息进行分析和处理,并将处理后的信息发送给接收装置。本发明提供的在终端信息采集中区分操作命令与回显的方法及系统,通过用户操作命令的提示符来准确区分用户执行命令和用户操作命令回显,实现了用户操作命令和回显的精准区分,提升了远端节点的安全。

Description

网络安全监测系统及在终端信息采集中区分操作命令与回显 的方法
技术领域
本发明涉及计算机信息分析技术领域,具体涉及一种在终端信息采集中区分操作命令与回显的方法及系统。
背景技术
当前,国家对网络安全的要求日益提高,已在《网络安全法》中设置了专门章节对关键信息基础设施的网络安全提出:“应采取监测和记录网络运行状态及网络安全事件的技术措施”的要求,对网络安全监测提出了明确要求。
网络安全监测系统是重要基础设施领域必备的防护措施,其中,终端信息采集作为网络安全监测系统的重要组成部分,负责将用户终端操作信息上传到接收装置,对远端节点的安全防护起到了至关重要的作用。终端信息采集需要在不影响系统性能和用户正常使用的前提下,将用户的终端操作信息实时进行采集,采集的用户操作信息需要稳定、准确、及时传输到接收装置,接收装置据此可以更加清晰的判断出远端节点的安全状态,有助于及时发现和排查非法操作或恶意攻击。
一般实现用户终端操作信息采集的方法为:首先采集用户终端操作信息和操作回显,然后传递给信息处理模块,其中,操作信息传递的时候会根据设置的信息量阈值进行发送。信息处理模块接收到用户操作信息和操作回显后,先对操作信息中的特殊字符进行处理。在采集信息中包括操作命令和操作回显,通常情况下第一行是用户操作命令,剩余的信息是操作回显。一般默认将采集信息中以回车分隔的第一行认为用户操作命令,剩余的信息为用户当前操作命令的回显,这样可以将操作命令和操作回显进行分割,最后将经过处理的操作信息发送给远程接收装置,实现了网络安全监测终端用户操作信息的实时采集和传输。
在网络安全监测系统中,当用户从终端输入命令,程序将采集的终端信息进行处理,当发送的数据信息量较大时可能分成多次传输,但是,当用户从终端快速输入多条命令时,系统会在极短的时间内产生多条操作回显,这时采集的信息会是多条操作命令和操作回显并存,如果还是按照上述方法进行处理,这时候上报的一条回显信息会包含多条命令和回显,这就导致了无法准确区分操作命令和回显。
发明内容
为解决已有技术存在的不足,本发明提供了一种网络安全监测系统,所述网络安全监测系统通过接收/发送端口与接收装置连接,接收装置设置为一个以上;
网络安全监测系统包括信息采集模块以及命令提示符自适应判定模块,命令提示符自适应判定模块用于将信息采集模块采集到的被监测主机的终端信息进行分析和处理,并将处理后的信息发送给接收装置。
其中,所述命令提示符自适应判定模块包括信息处理模块、前缀处理模块以及发送模块,分别用于对信息采集模块采集到的被监测主机的终端信息进行信息处理、前缀处理以及发送处理。
本发明另外提供一种在终端信息采集中区分操作命令与回显的方法,包括如下步骤:
步骤S1:配置网络安全监测系统的参数;
步骤S2:信息采集模块采集被监测主机终端的用户操作命令及操作回显,将操作命令及操作回显发送给命令提示符自适应判定模块;
步骤S3:命令提示符自适应判定模块接收信息采集模块发送的用户操作命令及操作回显,依次进行信息处理、前缀处理以及发送处理后,将用户操作命令及操作回显依据命令提示符不同样式进行区分;
步骤S4:命令提示符自适应判定模块将处理后的信息通过发送端发送给接收装置。
本发明提供的网络安全监测系统及在终端信息采集中区分操作命令与回显的方法,通过用户操作命令的提示符来准确区分用户执行命令和用户操作命令回显,实现了用户操作命令和回显的精准区分,提升了远端节点的安全。
附图说明
图1:本发明的网络安全监测系统的架构图。
图2:本发明的在终端信息采集中区分操作命令与回显的方法的工作流程图。
具体实施方式
为了对本发明的技术方案及有益效果有更进一步的了解,下面结合附图详细说明本发明的技术方案及其产生的有益效果。
针对已有技术存在的用户在远端节点中快速输入命令的情况下,操作回显会出现上报信息混乱,从而导致远程接收装置无法准确判断用户在终端的操作信息,不能判断主机的安全状况,造成了很大的安全隐患的情况,本发明通过在网络安全监测系统中使用命令提示符自适应判定法,结合操作系统的特点,根据用户操作命令的提示符来准确区分用户执行命令和用户操作命令回显,实现即使在用户快速输入命令的情况下,也能在网络安全监测系统中准确区分用户操作命令与回显。
图1为本发明的一种在网络安全监测系统中区分操作命令与回显的系统的架构示意图。如图1所示,在本发明中,需要一个用于安装网络安全监测系统的主机,网络安全监测系统需要在root用户下安装,安装成功后根据需要配置参数。网络安全监测系统负责监测主机的安全相关信息,包括:用户登录/退出信息、关键目录变更信息、网络外联事件等,并将采集到的信息上报给接收装置。其中,终端信息处理模块主要包括两大模块:信息采集模块和命令提示符自适应判定模块,信息采集模块会采集用户的终端操作信息,包括操作命令和操作回显信息,既可以监测本地终端的用户操作信息,也可以监测远程连接的终端操作信息。同时,如果用户打开多个终端,每个终端会有对应的监控进程,分别监控对应的终端状态,从而监测各个终端的操作命令和操作回显;命令提示符自适应判定模块将信息采集模块采集到的终端信息进行分析和处理,分别经过信息处理、前缀处理以及发送处理子模块的处理后,将信息发送到远程接收装置。自适应判定方法不仅能够处理root用户的终端操作信息,同时,也能够处理非root用户以及没有主目录用户的终端操作信息,实现了用户操作信息的精准上报,从而接收装置可以根据上报信息判断用户执行的操作和操作回显,以此来判断被监测主机的实时运行状态,同时也记录了用户在远程主机上的操作信息。
至少需要一台主机接收远端节点发送的用户操作信息,即接收装置,接收装置的选择可以在参数配置时进行配置,需要配置对应的IP以及端口,如果同时存在多台接收装置,需要将所有接收装置的IP和端口都配置到网络安全监测系统上。接收装置接收网络安全监测系统的上报信息,并对数据进行解析和显示,接收装置可以查看远端节点的配置参数,同时也可以对网络安全监测系统的参数进行配置。网络安全监测系统配置的各项参数可以在接收装置界面进行显示,从而可以保障远端节点的实时运行安全。
图2为本发明的在网络安全监测系统中使用命令提示符自适应判定法的工作流程图,该流程具体步骤如下所示:
1、对网络安全监测系统的参数进行配置,包括配置本地IP和接收装置IP,并在配置完后进行启动;
2、在安装有网络安全监测系统的主机上,用户在本地或通过远程连接打开终端,监控脚本会产生对应终端的监控进程,该进程负责该终端的信息采集工作;
3、用户在终端中输入一条或多条命令,并产生对应命令的操作回显信息;
4、负责该终端的进程采集用户操作命令和操作回显,将操作命令和操作回显发送给命令提示符自适应判定模块;
5、命令提示符自适应判定模块接收到终端进程发送过来的字符串(一条完整的操作回显可能会分多次进行发送),依次经过信息处理、前缀处理和发送处理,命令提示符自适应判定模块会将用户操作命令和操作回显依据命令提示符不同样式进行区分;
前缀处理的处理过程如下:依次处理接收到的每一行信息,通过特定的判定规则来判断该信息是否带有命令提示符前缀,根据判断结果设置相应的标志位,根据标志位区分操作命令和回显,并将属于一条回显的内容合并到一起,一直循环处理完本次接收的所有信息,判定的情况分两种:
正常命令提示符判断:根据预设的规则进行判断;
特殊情况命令提示符:主要判断的是用户没有主目录的情况,根据预设的规则进行判断。
6、接收到的信息通过命令提示符自适应判定模块的处理后,将处理过的信息发送给发送端,发送端接收到命令提示符自适应判断模块发送过来的信息后,会将信息发送给远程接收装置。
7、接收装置接收到监测装置发送过来的信息后,会对信息进行解析,然后在图形化界面进行显示。
本发明通过在网络安全监测系统中使用命令提示符自适应判定法,成功区分了进程采集的终端操作命令和操作回显,实现了不同用户不同命令提示符的精准判断,保证了操作信息准确实时传输到远程接收装置,解决了网络安全监测系统在用户操作间隔很短的情况下操作信息的精准传输,极大的提升了远端节点的实时运行安全。
本发明的提供命令提示符自适应判定法,适合于网络安全监测系统采集用户终端信息的各种情况,即使用户快速操作,也能准确的记录用户的操作命令和操作回显,支持不同用户在终端操作信息的上报,支持命令提示符的用户名、主机名、工作目录、bash版本等配置,支持用户没有主目录的情况,提高了上报信息的准确性,提升了远端节点的安全性。
虽然本发明已利用上述较佳实施例进行说明,然其并非用以限定本发明的保护范围,任何本领域技术人员在不脱离本发明的精神和范围之内,相对上述实施例进行各种变动与修改仍属本发明所保护的范围,因此本发明的保护范围以权利要求书所界定的为准。

Claims (3)

1.一种网络安全监测系统,其特征在于:所述网络安全监测系统通过接收/发送端口与接收装置连接,接收装置设置为一个以上;
网络安全监测系统包括信息采集模块以及命令提示符自适应判定模块,命令提示符自适应判定模块用于将信息采集模块采集到的被监测主机的终端信息进行分析和处理,并将处理后的信息发送给接收装置。
2.如权利要求1所述的网络安全监测系统,其特征在于:所述命令提示符自适应判定模块包括信息处理模块、前缀处理模块以及发送模块,分别用于对信息采集模块采集到的被监测主机的终端信息进行信息处理、前缀处理以及发送处理。
3.一种在终端信息采集中区分操作命令与回显的方法,其特征在于,包括如下步骤:
步骤S1:配置网络安全监测系统的参数;
步骤S2:信息采集模块采集被监测主机终端的用户操作命令及操作回显,将操作命令及操作回显发送给命令提示符自适应判定模块;
步骤S3:命令提示符自适应判定模块接收信息采集模块发送的用户操作命令及操作回显,依次进行信息处理、前缀处理以及发送处理后,将用户操作命令及操作回显依据命令提示符不同样式进行区分;
步骤S4:命令提示符自适应判定模块将处理后的信息通过发送端发送给接收装置。
CN202011276376.7A 2020-11-16 2020-11-16 网络安全监测系统及在终端信息采集中区分操作命令与回显的方法 Pending CN112636996A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011276376.7A CN112636996A (zh) 2020-11-16 2020-11-16 网络安全监测系统及在终端信息采集中区分操作命令与回显的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011276376.7A CN112636996A (zh) 2020-11-16 2020-11-16 网络安全监测系统及在终端信息采集中区分操作命令与回显的方法

Publications (1)

Publication Number Publication Date
CN112636996A true CN112636996A (zh) 2021-04-09

Family

ID=75303282

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011276376.7A Pending CN112636996A (zh) 2020-11-16 2020-11-16 网络安全监测系统及在终端信息采集中区分操作命令与回显的方法

Country Status (1)

Country Link
CN (1) CN112636996A (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1946039A (zh) * 2006-11-17 2007-04-11 杭州华为三康技术有限公司 基于模板集的命令行回显信息解析方法及装置
US10038711B1 (en) * 2017-01-30 2018-07-31 XM Ltd. Penetration testing of a networked system
CN109347698A (zh) * 2018-10-25 2019-02-15 北京凝思科技有限公司 一种Linux系统下用户终端操作命令及回显信息监控方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1946039A (zh) * 2006-11-17 2007-04-11 杭州华为三康技术有限公司 基于模板集的命令行回显信息解析方法及装置
US10038711B1 (en) * 2017-01-30 2018-07-31 XM Ltd. Penetration testing of a networked system
CN109347698A (zh) * 2018-10-25 2019-02-15 北京凝思科技有限公司 一种Linux系统下用户终端操作命令及回显信息监控方法

Similar Documents

Publication Publication Date Title
CN105159964A (zh) 一种日志监控方法及系统
CN107632918B (zh) 计算存储设备的监控系统及方法
CN107231267B (zh) 一种通讯网络巡检的方法、装置及巡检客户端
US7620848B1 (en) Method of diagnosing and repairing network devices based on scenarios
US5276529A (en) System and method for remote testing and protocol analysis of communication lines
CN104022904A (zh) 分布式机房it设备统一管理平台
CN112306019A (zh) 一种基于协议深度分析的工控安全审计系统及其应用
CN107357713B (zh) 一种事件管理显示方法及系统
CN111078455A (zh) 基于时间轴的异常行为序列关联处理方法以及装置、设备、存储介质
EP1476820B1 (en) Method and apparatus for network problem segment isolation
CN102055615A (zh) 服务器监控方法
CN108737212B (zh) 一种传输协议符合性检测装置、系统及方法
CN111244806B (zh) 一种电力设备安全调试监控系统和处理方法
CN116204386B (zh) 应用服务关系自动识别及监控方法、系统、介质和设备
CN112636996A (zh) 网络安全监测系统及在终端信息采集中区分操作命令与回显的方法
CN104967667A (zh) 一种基于云服务的软件稳定性测试远程监控系统
CN110893616B (zh) 一种远程控制方法、装置、计算机设备和存储介质
CN114500178B (zh) 一种自运维的智慧物联网关
CN112764998A (zh) 一种异构仿真系统及其实时监测方法
CN115623195A (zh) 一种电视故障诊断方法、装置、设备和存储介质
CN108121303A (zh) 一种应用于制造设备统计分析过程的日志记录方法
CN101577839A (zh) 一种智能网平台网元间链路处理的方法及系统
JP2018142092A (ja) 稼動確認装置、稼動確認プログラム、稼動確認方法、及び稼動確認システム
CN114217591B (zh) 一种关于工业控制系统网络行为自学习系统
CN110401576A (zh) 网络交互测试方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210409

RJ01 Rejection of invention patent application after publication