CN115544524B - 一种防止数据外泄的it系统自动化运维脚本执行安全保障方法 - Google Patents

一种防止数据外泄的it系统自动化运维脚本执行安全保障方法 Download PDF

Info

Publication number
CN115544524B
CN115544524B CN202211512952.2A CN202211512952A CN115544524B CN 115544524 B CN115544524 B CN 115544524B CN 202211512952 A CN202211512952 A CN 202211512952A CN 115544524 B CN115544524 B CN 115544524B
Authority
CN
China
Prior art keywords
flow
script
command line
downlink
uplink
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211512952.2A
Other languages
English (en)
Other versions
CN115544524A (zh
Inventor
刘东海
徐育毅
刘玉环
庞辉富
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Youyun Software Co ltd
Beijing Guangtong Youyun Technology Co ltd
Original Assignee
Hangzhou Youyun Software Co ltd
Beijing Guangtong Youyun Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Youyun Software Co ltd, Beijing Guangtong Youyun Technology Co ltd filed Critical Hangzhou Youyun Software Co ltd
Priority to CN202211512952.2A priority Critical patent/CN115544524B/zh
Publication of CN115544524A publication Critical patent/CN115544524A/zh
Application granted granted Critical
Publication of CN115544524B publication Critical patent/CN115544524B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Abstract

本发明涉及一种防止数据外泄的IT系统自动化运维脚本执行安全保障方法,通过脚本解析命令行以及预置匹配规则扫描,实现IT运维领域中对于自动化运维脚本执行的安全保障。其步骤如下:(1)、在系统初始化过程中根据运维系统历史数据预置防止数据外泄的规则(2)、逐行解析执行脚本命令,输出解析后的命令行;(3)、根据命令行匹配规则对解析后的命令行进行正则运算,输出敏感命令行并保存;(4)、自动通知审核人员对脚本的敏感命令行进行审核处理。本发明可有效解决IT运维领域中数据外泄的安全问题,并有效降低了人工大规模审核脚本敏感命令的工作量。

Description

一种防止数据外泄的IT系统自动化运维脚本执行安全保障 方法
技术领域
本发明涉及脚本安全技术领域,主要是一种防止数据外泄的IT系统自动化运维脚本执行安全保障方法。
背景技术
现有IT系统包含大量软硬件资源, IT运维人员一般都通过手工方式在资源设备上执行脚本,使得在IT系统运维过程中,缺少自动化。因此产生了自动化运维这样的产品技术,来运维这些软硬件资源信息。
然而传统的自动化运维产品技术,可自动批量下发脚本到资源设备上执行,并结合人工大批量审核脚本的敏感命令来确保脚本在资源设备上执行安全。但这种方式在大型IT环境中,会引起大量的人工审核敏感命令的工作量,也阻碍了自动化运维使用普及推广。同时脚本中也通常使用命令组合动态参数值方式,使用通常的人工审核脚本敏感命令已失去实际意义,也无法做到审核实际执行脚本的目的,对目标设备上执行的安全性更加难以保障。
现有技术的缺点在于无法有针对性的解决运维系统中由于恶意指令导致的数据外泄等安全问题。
发明内容
本发明的目的在于克服现有技术存在的不足,而提供一种防止数据外泄的IT系统自动化运维脚本执行安全保障方法。
本发明的目的是通过如下技术方案来完成的。一种防止数据外泄的IT系统自动化运维脚本执行安全保障方法,该方法包括以下步骤:
(1)、预置规则:在系统初始化时,进行防止数据外泄规则的预置;
(2)、在系统运行一段时间后,根据防止数据外泄规则进行自学习,获得潜在外泄脚本集合,从潜在外泄脚本集合的脚本中得到敏感命令行,形成敏感命令行列表;
(3)、脚本解析:从上至下逐行读取脚本,根据脚本解析器进行命令行解析,输出解析后的命令行,并触发规则扫描;
(4)、规则扫描:根据命令行匹配规则对解析后的命令行进行正则匹配运算,输出敏感命令行并记录;
(5)、动态审核:检查扫描结果是否存在敏感命令行,如存在敏感命令行,则通知脚本审核人员进行审核处理。
更进一步的,所述步骤(2)中,具体方法如下:
(2.1)系统运行后,对系统流量进行监控,定义系统发出的流量为下行流量,系统接收的流量为上行流量,一段流量是指前后流量为0或者与当前流量方向不同,获取下行流量和其上一阶段上行流量的比值,这个比值记作X;
(2.2)对系统运行过程中的各类型脚本的执行过程进行监测,求取每一段下行流量的X,当前下行流量的X超过3M时,M表示数据外传基准值,提取该下行流量开始时刻向前T时刻内运行的脚本,得到的脚本存储到潜在外泄脚本集合;
(2.3)对潜在外泄脚本集合中的脚本进行逐个数量统计并进行降序排序,排序中前N%的命令行由脚本审核人员进行审核,得到敏感命令行列表,其中N为阈值。
更进一步的,所述比值X的计算方式如下:
(3.1)给定一段下行流量,若其前面一段流量为上行流量,则统计该上行流量和该上行流量之前所有上行流量的总流量,直到遇到一段下行流量;X等于(该上行流量和该上行流量之前所有上行流量的总流量)/(给定一段下行流量);
(3.2)给定一段下行流量,若其前面一段流量为下行流量,则先统计遇到上行流量前,所有的下行流量的和,再按(3.1)的方法统计上行流量的总和;X等于(遇到上行流量时,该上行流量之前所有上行流量的总流量)/(遇到上行流量前,所有的下行流量的和);
(3.3)取一段系统稳定运行的时间,当该时间内一共有n段下行流量时,则分别计算这n段下行流量的X,并取平均,记作数据外传基准值M。
更进一步的,对流量进行平整处理,若一段流量持续时间小于设定的阈值,则将这一段流量置零。
本发明的有益效果为:通过预置针对防止数据外泄的脚本敏感命令行匹配,以及指定脚本审核人员,可实现操作脚本在下发目标设备之前对敏感命令行进行规则匹配,匹配上之后则通知审核人员进行审核。本发明对操作脚本自动解析脚本与规则扫描并通知审核有效减少了人工审核的工作,也预防脚本里存在与数据外泄相关的敏感命令行在目标设备上执行带来的破坏,并提高自动化运维脚本安全性。
附图说明
图1为本发明的流程示意图。
图2为流量示意图;
图3为平整后的流量示意图。
具体实施方式
下面将结合附图和实施例对本发明做详细的介绍:
本发明的防止数据外泄的IT系统自动化运维脚本执行安全保障方法,在系统初始化时先进行防止数据外泄规则预置随后开始运行,具体通过4个模块的运行来实现:预置规则模块、脚本解析模块、规则扫描模块、动态审核模块。其中:1. 预置规则模块,根据当前运维系统运行历史数据,按照防止数据外泄规则对敏感命令行进行统计,形成敏感命令行列表并预置于运维系统中。2.脚本解析模块,通过脚本解析器对脚本从上至下逐行读取解析并输出解析后的脚本,再触发规则扫描; 3. 规则扫描模块,获取解析后输出的脚本,根据规则进行正则匹配运算,输出敏感命令行并保存;4. 动态审核模块,检查扫描结果是否存在敏感命令行,存在则自动通知审核人员进行审核处理,否则不处理。
图1为上述各模块的运行流程图;该图描述了数据流向:通常,脚本文件被执行的方式有三种:手工执行、定时执行和第三方调用执行。各系统提交需执行的脚本文件,首先通过脚本解析器对执行脚本进行逐行读取及解析处理,输出解析后的命令行并触发调用规则扫描;其次规则扫描被触发把解析后的命令行根据命令匹配规则进行正则运算,输出敏感命令行并触发调用动态审核;最后动态审核被触发调用后自动对脚本的敏感命令行进行判断,存在则自动通知审核人员进行审核处理,通过后才可继续执行脚本。
具体步骤如下:
(1)、预置规则:当系统安装后,自动调用初始化脚本对预置规则进行初始化,进行防止数据外泄规则的预置,并允许根据需要再进行调整及指定脚本审核人员;
(2)、在系统运行一段时间后,通过监控系统运行状态,根据防止数据外泄规则进行自学习,获得潜在外泄脚本集合,从潜在外泄脚本集合的脚本中得到敏感命令行,形成敏感命令行列表;具体方法如下:
(2.1)系统运行后,对系统流量进行监控,定义系统发出的流量为下行流量,系统接收的流量为上行流量,一段流量在本发明中是指前后流量为0或者与当前流量方向不同,获取下行流量和其上一阶段上行流量的比值,这个比值记作X;
如图2所示,横线上表示的是系统接收的流量(上行流量),而横线下表示的是系统发出的流量(下行流量),在判定系统是否有主动数据外泄行为时,最关键的一个衡量指标就是是否根据接收数据进行数据传输。为此,我们定义了下行流量和其上一阶段上行流量的比值X,比值X是能反映接收-发送流量比例的一个参数X。
所述比值X的计算方式如下:
(2.1.1)我们先对流量进行平整处理,若一段流量持续时间小于设定的阈值,则将这一段流量置零,由图2形成图3。标3中标号1、2、3、4、5、8、9、10、11各称为“一段流量”,而6和7合在一起才能称为“一段流量”。
(2.1.2)给定一段下行流量,若其前面一段流量为上行流量,则统计该上行流量和该上行流量之前所有上行流量的总流量,直到遇到一段下行流量;X等于(该上行流量和该上行流量之前所有上行流量的总流量)/(给定一段下行流量);
如图3所示,对标号3的下行流量来讲,需要统计标号1和标号2的总上行流量。X3=(1的总流量+2的总流量)/3的总流量,/表示除以的意思。对标号11的下行流量来讲,由于10的上行流量前是下行流量9,则X11=11的总流量/10的总流量。
(2.1.3)给定一段下行流量,若其前面一段流量为下行流量,则先统计遇到上行流量前,所有的下行流量的和,再按(2.1.2)的方法统计上行流量的总和;X等于(遇到上行流量时,该上行流量之前所有上行流量的总流量)/(遇到上行流量前,所有的下行流量的和);
X4=(1的总流量+2的总流量)/(3的总流量+4的总流量)
X5=(1的总流量+2的总流量)/(3的总流量+4的总流量+5的总流量)。
(2.1.4)取一段系统稳定运行的时间,时间最好大于30分钟。假设该时间内,一共有n段下行流量时,则分别计算这n段下行流量的X,并取平均,记作数据外传基准值M。
(2.2)系统运行后,对系统运行过程中的各类型脚本的执行过程进行监测,与此同时,监控系统的运行情况,求取每一段下行流量的X,当前下行流量的X超过3M时,M表示数据外传基准值,提取该下行流量开始时刻向前T时刻内运行的脚本,得到的脚本存储到潜在外泄脚本;
(2.3)在经过大量时间积累后(通常7*24小时),潜在外泄脚本集合中将存储大量的脚本序列,对潜在外泄脚本集合中的脚本进行逐个数量统计并按照数量进行降序排序,排序中前N%的命令行由脚本审核人员进行审核,得到敏感命令行列表,其中N为阈值,N一般取30。
(3)、脚本解析:从上至下逐行读取脚本,根据脚本解析器进行命令行解析,输出解析后的命令行,并触发规则扫描;
具体的:当执行脚本时,首先逐行读取脚本内容;其次读取每一行脚本内容通过脚本解析器进行解析,并输出CmdLine,如“脚本文件行内容:rm –rf ${path},path参数值:/,输出CmdLine:{“lineNum”:1,”parsedCmdLine”:”rm –rf /”}”;最后触发调用规则扫描对CmdLine进行扫描。
(4)、规则扫描:根据命令行匹配规则对解析后的命令行进行正则匹配运算,输出敏感命令行并保存记录;
具体的:当被触发调用时,首先读取解析后的命令行CmdLine;其次读取命令行匹配规则对解析后的命令行CmdLine进行正则运算,并输出敏感命令行,如“CmdLine:{“lineNum”:1,” parsedCmdLine”:”rm –rf /”},CmdRegex:rm –rf \/,输出ResultLine:{“lineNum”:1,”parsedCmdLine”:”rm –rf /”}“;最后将所有敏感命令行保存并和脚本文件建立关系,作为动态审核自动通知及审核人员审核脚本依据。
(5)、动态审核:检查扫描结果是否存在敏感命令行,如存在敏感命令行,则通知脚本审核人员进行审核处理,否则不处理。
可以理解的是,对本领域技术人员来说,对本发明的技术方案及发明构思加以等同替换或改变都应属于本发明所附的权利要求的保护范围。

Claims (2)

1.一种防止数据外泄的IT系统自动化运维脚本执行安全保障方法,其特征在于:该方法包括以下步骤:
(1)、预置规则:在系统初始化时,进行防止数据外泄规则的预置;
(2)、在系统运行一段时间后,根据防止数据外泄规则进行自学习,获得潜在外泄脚本集合,从潜在外泄脚本集合的脚本中得到敏感命令行,形成敏感命令行列表,具体方法如下:
(2.1)系统运行后,对系统流量进行监控,定义系统发出的流量为下行流量,系统接收的流量为上行流量,一段流量是指前后流量为0或者与当前流量方向不同,获取下行流量和其上一阶段上行流量的比值,这个比值记作X;
所述比值X的计算方式如下:
(2.1.1)给定一段下行流量,若其前面一段流量为上行流量,则统计该上行流量和该上行流量之前所有上行流量的总流量,直到遇到一段下行流量;X等于(该上行流量和该上行流量之前所有上行流量的总流量)/(给定一段下行流量);
(2.1.2)给定一段下行流量,若其前面一段流量为下行流量,则先统计遇到上行流量前,所有的下行流量的和,再按(2.1.1)的方法统计上行流量的总和;X等于(遇到上行流量时,该上行流量之前所有上行流量的总流量)/(遇到上行流量前,所有的下行流量的和);
(2.1.3)取一段系统稳定运行的时间,当该时间内一共有n段下行流量时,则分别计算这n段下行流量的X,并取平均,记作数据外传基准值M;
(2.2)对系统运行过程中的各类型脚本的执行过程进行监测,求取每一段下行流量的X,当前下行流量的X超过3M时,M表示数据外传基准值,提取该下行流量开始时刻向前T时刻内运行的脚本,得到的脚本存储到潜在外泄脚本集合;
(2.3)对潜在外泄脚本集合中的脚本进行逐个数量统计并进行降序排序,排序中前N%的命令行由脚本审核人员进行审核,得到敏感命令行列表,其中N为阈值;
(3)、脚本解析:从上至下逐行读取脚本,根据脚本解析器进行命令行解析,输出解析后的命令行,并触发规则扫描;
(4)、规则扫描:根据命令行匹配规则对解析后的命令行进行正则匹配运算,输出敏感命令行并记录;
(5)、动态审核:检查扫描结果是否存在敏感命令行,如存在敏感命令行,则通知脚本审核人员进行审核处理。
2.根据权利要求1所述的防止数据外泄的IT系统自动化运维脚本执行安全保障方法,其特征在于:对流量进行平整处理,若一段流量持续时间小于设定的阈值,则将这一段流量置零。
CN202211512952.2A 2022-11-30 2022-11-30 一种防止数据外泄的it系统自动化运维脚本执行安全保障方法 Active CN115544524B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211512952.2A CN115544524B (zh) 2022-11-30 2022-11-30 一种防止数据外泄的it系统自动化运维脚本执行安全保障方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211512952.2A CN115544524B (zh) 2022-11-30 2022-11-30 一种防止数据外泄的it系统自动化运维脚本执行安全保障方法

Publications (2)

Publication Number Publication Date
CN115544524A CN115544524A (zh) 2022-12-30
CN115544524B true CN115544524B (zh) 2023-03-21

Family

ID=84722568

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211512952.2A Active CN115544524B (zh) 2022-11-30 2022-11-30 一种防止数据外泄的it系统自动化运维脚本执行安全保障方法

Country Status (1)

Country Link
CN (1) CN115544524B (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6996844B2 (en) * 2001-01-31 2006-02-07 International Business Machines Corporation Switch-user security for UNIX computer systems
US11252130B2 (en) * 2018-03-07 2022-02-15 Jpmorgan Chase Bank, N.A. System and method for data security management
CN110008707A (zh) * 2019-03-22 2019-07-12 杭州优云软件有限公司 一种it系统自动化运维脚本执行的安全保障方法
CN115242436B (zh) * 2022-06-14 2023-12-01 徐州恒佳电子科技有限公司 一种基于命令行特征的恶意流量检测方法及系统
CN115344868A (zh) * 2022-08-10 2022-11-15 北京广通优云科技股份有限公司 一种自动化运维脚本安全保障方法

Also Published As

Publication number Publication date
CN115544524A (zh) 2022-12-30

Similar Documents

Publication Publication Date Title
CN105354126B (zh) 监控页面脚本文件中异常的方法和装置
CN114185708A (zh) 基于分布式链路追踪的数据分析方法、装置和电子设备
CN112348521A (zh) 基于业务审核的智能风险质检方法、系统和电子设备
CN115544524B (zh) 一种防止数据外泄的it系统自动化运维脚本执行安全保障方法
CN102195791A (zh) 一种告警的分析方法、装置及系统
CN113988690A (zh) 一种风险行为监测方法、装置及设备
CN115344868A (zh) 一种自动化运维脚本安全保障方法
CN112447027A (zh) 状态检测方法、装置、计算机装置及可读存储介质
CN116582410B (zh) 一种基于itsm系统的智能运维服务方法及装置
CN112599215B (zh) 自动审核系统的规则调整方法、装置、设备及存储介质
WO2023093573A1 (zh) 计费消息处理方法、装置、系统、电子设备及存储介质
CN116825140B (zh) 一种用于操作票中规范动作流程的语音交互方法及系统
CN117294024B (zh) 电力数据分析、治理监控方法和系统
CN116599822B (zh) 一种基于日志采集事件的故障告警治理方法
EP3886394A1 (en) Machine learning technique based whitelist self-learning method and device
CN116418712A (zh) 检测方法、装置、终端设备及计算机可读存储介质
CN116739427A (zh) 数据质量链路管理方法、装置、设备及存储介质
CN115481395A (zh) 一种进程链的处理方法及系统、电子设备
CN117495405A (zh) 污染源排口监控数据的造假识别方法及装置
CN117591370A (zh) 系统监控方法和装置
CN111613035A (zh) 一种报警信息自动处理方法、装置及存储介质
CN117632688A (zh) 一种数据处理方法、装置、设备以及存储介质
CN114139909A (zh) 一种政务云的绩效考核方法、装置及计算机存储介质
CN117202116A (zh) 一种it运维系统用的预警短信通知方法
CN114693017A (zh) 异常工时统计方法、装置、终端及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant