CN116841971A - 一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备 - Google Patents
一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备 Download PDFInfo
- Publication number
- CN116841971A CN116841971A CN202310231453.4A CN202310231453A CN116841971A CN 116841971 A CN116841971 A CN 116841971A CN 202310231453 A CN202310231453 A CN 202310231453A CN 116841971 A CN116841971 A CN 116841971A
- Authority
- CN
- China
- Prior art keywords
- log
- monitoring
- abnormal behavior
- user
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 89
- 238000012544 monitoring process Methods 0.000 title claims abstract description 79
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000004458 analytical method Methods 0.000 claims abstract description 27
- 238000012550 audit Methods 0.000 claims abstract description 12
- 230000008569 process Effects 0.000 claims abstract description 10
- 230000006399 behavior Effects 0.000 claims description 34
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 230000009471 action Effects 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 abstract description 8
- 238000004590 computer program Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000009469 supplementation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/1734—Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/1805—Append-only file systems, e.g. using logs or journals to store data
- G06F16/1815—Journaling file systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备,该方法包括通过日志监控及分析模块获取源日志并进行解析,得到日志解析后的数据记录文件;通过audit插件日志监控及分析a模块日志解析后的数据记录文件进行监视;当监视的数据记录文件变化时,通过与预先配置的异常行为判定规则进行匹配,确定异常行为,并按照配置的处理方式进行处理。本发明方法结合了日志分析功能与linux系统审计功能,通过对异常行为的预定义,实时监控用户对系统的操作,当检测到异常行为时,系统可以主动做出处理,避免造成更加严重的后果。
Description
技术领域
本发明涉及一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备,属于linux系统安全监控技术领域。
背景技术
目前对于linux操作系统用户的异常行为检测方式较少,主要是对单一的操作指令进行监视,不能很好地反映用户真实行为的性质,且对用户的使用有较大的限制。而且,当检测到异常行为时,系统自身不能做出及时的处理,易造成不可挽回的错误。又或者,人为的定期检查系统日志,不能及时的发现用户的异常行为并让管理员知悉。
发明内容
本发明的目的在于提供一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备,通过将linux操作系统内的audit内核审计模块和日志监控及分析模块结合使用,既可以解决对用户使用有限制的单一行为监视问题,又可以在异常行为出现时系统自身能做出相应的处理。
为了达到上述目的,本发明所采用的技术方案是:
本发明第一方面提供一种监控linux操作系统用户异常行为的方法,包括:
通过日志监控及分析模块获取源日志并进行解析,得到日志解析后的数据记录文件;所述源日志指用户的操作记录;
通过audit插件对所述日志监控及分析模块日志解析后的数据记录文件进行监视,确定异常行为;
根据确定的所述异常行为,通过预先配置的异常行为处理规则确定对应的处理方式。
进一步的,所述预先配置的异常行为处理规则包括至少一条异常行为规则链,且每条异常行为规则链配置相应的处理方式;
所述异常行为规则链包括至少一个规则点,所述规则点配置为用户的操作行为。
进一步的,所述异常行为规则链为操作指令的组合,或者是对文件的读写操作组合。
进一步的,所述通过日志监控及分析模块获取源日志并进行解析,得到日志解析后的数据记录文件,包括:
在日志监控及分析模块的配置文件中配置从审计中获取源日志的文件全路径,通过所述文件全路径获取源日志;
对所获取的源日志进行解析,得到日志解析后的数据记录文件。
进一步的,所述通过audit插件对所述日志监控及分析模块日志解析后的数据记录文件进行监视,确定异常行为,包括:
在所述audit插件中配置inotify机制对所述日志监控及分析模块日志解析后的数据记录文件进行监视;
当监视的文件内容发生变化时确定为异常行为。
进一步的,所述方法还包括:
通过auditctl命令添加审计规则,用于用户进行操作行为时,执行监视。
进一步的,所述根据异常行为通过预先配置的异常行为处理规则确定对应的处理方式,包括:
将数据记录文件中用户的操作行为日志与预先配置的异常行为处理规则的每条规则链逐一进行匹配,在与当前一条规则链进行匹配时,判断数据记录文件中用户的操作行为日志是否与当前一条规则链上的所有规则点均匹配成功;
若是,则判定该用户操作行为组合为符合该规则链的异常行为,并按该规则链配置的处理方式进行异常处理,并结束匹配;
否则,与下一条规则链进行匹配。
进一步的,所述配置的处理方式包括以下至少一种:
终止进程、断开连接和弹窗告警;
所述弹窗告警包括将触发异常行为的用户名、终端号和进程号信息通过桌面弹窗的方式进行告警。
本发明第二方面提供一种监控linux操作系统用户异常行为的系统,用于实现前述的监控linux操作系统用户异常行为的方法,所述系统包括:
日志监控及分析模块,用于获取源日志并进行解析,得到日志解析后的数据记录文件;所述源日志指用户的操作记录;
监视模块,配置于audit插件,用于对所述日志监控及分析模块日志解析后的数据记录文件进行监视,确定异常行为;
异常处理模块,配置于audit插件,用于根据确定的所述异常行为通过预先配置的异常行为处理规则确定对应的处理方式。
本发明第三方面提供一种存储一个或多个程序的计算机可读存储器,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据前述的方法中的任一方法。
本发明第四方面提供一种电子设备,包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据前述的方法中的任一方法的指令。
本发明所达到的有益效果:
1、本发明通过将audit插件和日志监控及分析模块结合使用,通过日志监控及分析模块获取源日志并得到日志解析后的数据记录文件;通过audit插件对日志监控及分析模块日志解析后的数据记录文件进行监视,确定异常行为。既解决对用户使用有限制的单一行为监视问题,又可以在异常行为出现时系统自身能做出相应的处理,并让管理员知悉。本发明可以快捷的对异常行为进行处理,为系统的稳定运行提供保障。
2、本发明方法相较于单一操作行为监视可以提高用户异常行为判断的准确率,有效提高管理水平,降低安全风险。
附图说明
图1为本发明提供的一种监控linux操作系统用户异常行为的方法流程图;
图2为本发明一个实施例提供的判定及处理规则匹配示意图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
audit插件是linux操作系统的重要组成部分,在内核里有内核审计模块,记录系统中的各种动作和事件,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件。
日志监控及分析模块是由两部分功能组成,第一部分,对系统audit审计日志进行监视,第二部分,对审计日志进行解析并生成结果文件。
基于此,本发明提供一种监控linux操作系统用户异常行为的方法,通过将audit内核审计模块和日志监控及分析模块结合使用,对用户异常行为进行监视,解决对用户使用有限制的单一行为监视问题,又可以在异常行为出现时系统自身能做出相应的处理,并让管理员知悉。
基于上述发明构思,本发明提供的一种监控linux操作系统用户异常行为的方法,参见图1,包括:
通过日志监控及分析模块获取源日志并进行解析,得到日志解析后的数据记录文件;
通过audit插件对日志监控及分析模块日志解析后的数据记录文件进行监视,确定异常行为;
根据确定的异常行为,通过预先配置的异常行为处理规则确定对应的处理方式。
需要说明的是,源日志指用户的操作记录。
需要说明的是,需要预先在日志监控及分析模块的audit_rules.xml文件配置异常行为处理规则。
需要说明的是,异常行为处理规则包括至少一条异常行为规则链,且每条规则链配置相应的处理方式。异常行为规则链包括至少一个规则点,规则点配置为用户的操作行为。
需要说明的是,异常行为处理规则可以是操作指令的组合,也可以是对文件的读写操作组合。
本发明的一个实施例中,通过日志监控及分析模块获取源日志并进行解析,得到日志解析后的数据记录文件,具体实现方式为:
在日志监控及分析模块的配置文件nari-ana.conf中配置从审计中获取源日志的文件全路径,通过该文件全路径获取源日志;
对所获取的源日志进行解析,得到日志解析后的数据记录文件alert.json。
本发明的一个实施例中,通过audit插件对日志监控及分析模块日志解析后的数据记录文件进行监视,具体实现方式为:
对audit插件中的审计功能源代码进行功能补充,通过配置inotify机制对日志监控及分析模块日志解析后的数据记录文件alert.json进行监视,当监视的文件内容发生变化时确定为异常行为。
本发明的一个实施例中,还包括:
通过auditctl命令对操作指令或指定文件添加审计规则,当出现命令执行或对文件进行操作时,系统才会对该行为进行监控记录。
本发明的一个实施例中,根据异常行为通过预先配置的异常行为处理规则确定对应的处理方式,包括:
将数据记录文件中用户的操作行为日志与预先配置的异常行为处理规则的每条规则链逐一进行匹配,在与当前一条规则链进行匹配时,判断数据记录文件中用户的操作行为日志是否与当前一条规则链上的所有规则点均匹配成功;
若是,则判定该用户操作行为组合为符合该规则链的异常行为,并按该规则链配置的处理方式进行异常处理,并结束匹配;
否则,与下一条规则链进行匹配。
以图2所示为例,
将数据记录文件中用户的操作行为日志与预先配置的异常行为处理规则的第一条规则链的第一个规则点8001进行匹配,如果匹配不上,再与第二条规则链的第一个规则点9001进行匹配,以此类推,直至最后一个规则链匹配结束;
如果一条规则链的第一个规则点匹配上,如图2中,第一条规则链的第一个规则点8001匹配上,则在规定时间内等待用户的下一步操作,再将该下一步操作的行为日志与该条规则链上的下一个规则点8002进行匹配,以此类推,直至该规则链上的所有规则点匹配结束;
当且仅当规则链上的所有规则点均匹配成功时,判定该用户操作行为组合为符合该规则链的异常行为,并按该规则链制定的处理方式进行异常处理。
比如:配置8001规则为执行系统netstat命令,8002规则为执行系统ncat命令。当审计日志中记录下用户执行netstat命令后,在规定时间内又记录下了用户执行ncat命令,则系统判定该行为组合为异常行为,并根据该规则链的处理方式进行处理。
需要说明的是,对异常行为的处理方式包括终止进程、断开连接和弹窗告警等方式。
进一步的,还包括:
将触发异常行为的用户名、终端号、进程号等信息通过桌面弹窗的方式告知管理员,并写入告警日志文件中。
基于上述发明构思,本发明还提供一种监控linux操作系统用户异常行为的系统,用于实现上述的监控linux操作系统用户异常行为的方法,该系统包括:
日志监控及分析模块,用于获取源日志并进行解析,得到日志解析后的数据记录文件;其中源日志指用户的操作记录;
监视模块,配置于audit插件,用于对日志监控及分析模块日志解析后的数据记录文件进行监视,确定异常行为;
异常处理模块,配置于audit插件,用于根据确定的异常行为通过预先配置的异常行为判定规则确定对应的处理方式。
值得指出的是,该系统实施例是与上述方法实施例对应的,上述方法实施例的实现方式均适用于该系统实施例中,并能达到相同或相似的技术效果,故不在此赘述。
本发明第三方面还提供一种存储一个或多个程序的计算机可读存储器,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据前述的监控linux操作系统用户异常行为的方法中的任一方法。
本发明第四方面还提供一种电子设备,包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据前述的监控linux操作系统用户异常行为的方法中的任一方法的指令。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (11)
1.一种监控linux操作系统用户异常行为的方法,其特征在于,包括:
通过日志监控及分析模块获取源日志并进行解析,得到日志解析后的数据记录文件;所述源日志指用户的操作记录;
通过audit插件对所述日志监控及分析模块日志解析后的数据记录文件进行监视,确定异常行为;
根据确定的所述异常行为,通过预先配置的异常行为处理规则确定对应的处理方式。
2.根据权利要求1所述的一种监控linux操作系统用户异常行为的方法,其特征在于,所述预先配置的异常行为处理规则包括至少一条异常行为规则链,且每条异常行为规则链配置相应的处理方式;
所述异常行为规则链包括至少一个规则点,所述规则点配置为用户的操作行为。
3.根据权利要求2所述的一种监控linux操作系统用户异常行为的方法,其特征在于,所述异常行为规则链为操作指令的组合,或者是对文件的读写操作组合。
4.根据权利要求1所述的一种监控linux操作系统用户异常行为的方法,其特征在于,所述通过日志监控及分析模块获取源日志并进行解析,得到日志解析后的数据记录文件,包括:
在日志监控及分析模块的配置文件中配置从审计中获取源日志的文件全路径,通过所述文件全路径获取源日志;
对所获取的源日志进行解析,得到日志解析后的数据记录文件。
5.根据权利要求4所述的一种监控linux操作系统用户异常行为的方法,其特征在于,所述通过audit插件对所述日志监控及分析模块日志解析后的数据记录文件进行监视,确定异常行为,包括:
在所述audit插件中配置inotify机制对所述日志监控及分析模块日志解析后的数据记录文件进行监视;
当监视的文件内容发生变化时确定为异常行为。
6.根据权利要求5所述的一种监控linux操作系统用户异常行为的方法,其特征在于,所述方法还包括:
通过auditctl命令添加审计规则,用于用户进行操作行为时,执行监视。
7.根据权利要求3所述的一种监控linux操作系统用户异常行为的方法,其特征在于,所述根据异常行为通过预先配置的异常行为处理规则确定对应的处理方式,包括:
将数据记录文件中用户的操作行为日志与预先配置的异常行为处理规则的每条规则链逐一进行匹配,在与当前一条规则链进行匹配时,判断数据记录文件中用户的操作行为日志是否与当前一条规则链上的所有规则点均匹配成功;
若是,则判定该用户操作行为组合为符合该规则链的异常行为,并按该规则链配置的处理方式进行异常处理,并结束匹配;
否则,与下一条规则链进行匹配。
8.根据权利要求7所述的一种监控linux操作系统用户异常行为的方法,其特征在于,所述配置的处理方式包括以下至少一种:
终止进程、断开连接和弹窗告警;
所述弹窗告警包括将触发异常行为的用户名、终端号和进程号信息通过桌面弹窗的方式进行告警。
9.一种监控linux操作系统用户异常行为的系统,其特征在于,用于实现权利要求1至8任意一项所述的监控linux操作系统用户异常行为的方法,所述系统包括:
日志监控及分析模块,用于获取源日志并进行解析,得到日志解析后的数据记录文件;所述源日志指用户的操作记录;
监视模块,配置于audit插件,用于对所述日志监控及分析模块日志解析后的数据记录文件进行监视,确定异常行为;
异常处理模块,配置于audit插件,用于根据确定的所述异常行为,通过预先配置的异常行为处理规则确定对应的处理方式。
10.一种存储一个或多个程序的计算机可读存储器,其特征在于:所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据权利要求1至8所述的方法中的任一方法。
11.一种电子设备,其特征在于:包括,
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据权利要求1至8所述的方法中的任一方法的指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310231453.4A CN116841971A (zh) | 2023-03-10 | 2023-03-10 | 一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310231453.4A CN116841971A (zh) | 2023-03-10 | 2023-03-10 | 一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116841971A true CN116841971A (zh) | 2023-10-03 |
Family
ID=88162311
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310231453.4A Pending CN116841971A (zh) | 2023-03-10 | 2023-03-10 | 一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116841971A (zh) |
-
2023
- 2023-03-10 CN CN202310231453.4A patent/CN116841971A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109271331B (zh) | 日志的生成方法、装置、计算机设备及存储介质 | |
| US8839203B2 (en) | Code coverage-based taint perimeter detection | |
| US8516499B2 (en) | Assistance in performing action responsive to detected event | |
| US20140019403A1 (en) | Transaction server performance monitoring using component performance data | |
| WO2020024376A1 (zh) | 一种处理运维监控告警的方法及设备 | |
| US11853150B2 (en) | Method and device for detecting memory downgrade error | |
| US11099550B2 (en) | Failure location specifying device, failure location specifying method, and failure location specifying program | |
| CN108073499B (zh) | 应用程序的测试方法及装置 | |
| CN111949368A (zh) | 应用程序控制方法及装置 | |
| CN112529528A (zh) | 基于大数据流计算的工作流监控与告警方法、装置及系统 | |
| CN111625386A (zh) | 一种针对系统设备上电超时的监控方法和装置 | |
| CN111897696A (zh) | 服务器集群硬盘状态检测方法、装置、电子设备及存储介质 | |
| CN109871307A (zh) | 一种精确定位启动时间问题的自动化测试方法 | |
| CN111679945A (zh) | 处理器的检测方法、装置及计算机可读存储介质 | |
| US9009671B2 (en) | Crash notification between debuggers | |
| CN116841971A (zh) | 一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备 | |
| CN111475556A (zh) | 一种数据采集方法、设备、服务器及可读存储介质 | |
| CN114610560B (zh) | 系统异常监控方法、装置和存储介质 | |
| CN112416719B (zh) | 针对数据库容器的监控处理方法、系统、设备和存储介质 | |
| CN109445877B (zh) | 一种检测游戏服务器多线程使用同一虚拟机的方法 | |
| CN113608973A (zh) | 一种cpu性能测试的管理方法、装置、设备及存储介质 | |
| CN111813872A (zh) | 一种故障排查模型的生成方法、装置、设备 | |
| CN113704088B (zh) | 一种进程追溯方法、进程追溯系统及相关装置 | |
| CN112035322A (zh) | Jvm监控方法及装置 | |
| CN113778836B (zh) | 云原生应用健康监测方法、装置、设备与可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |