CN117061368A - 绕行堡垒机行为的自动识别方法、装置、设备与介质 - Google Patents
绕行堡垒机行为的自动识别方法、装置、设备与介质 Download PDFInfo
- Publication number
- CN117061368A CN117061368A CN202311052265.1A CN202311052265A CN117061368A CN 117061368 A CN117061368 A CN 117061368A CN 202311052265 A CN202311052265 A CN 202311052265A CN 117061368 A CN117061368 A CN 117061368A
- Authority
- CN
- China
- Prior art keywords
- target
- access
- log
- application
- fort machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 230000006399 behavior Effects 0.000 title claims description 48
- 238000012550 audit Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 16
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 238000012423 maintenance Methods 0.000 abstract description 27
- 238000004891 communication Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种绕行堡垒机行为的自动识别方法、装置、设备与介质。该方法包括:获取预先配置的目标堡垒机的IP白名单,并在预设的时间周期内获取各申请访问信息;其中,申请访问信息中包括:申请来源IP,访问时段以及申请账号ID;通过预设的代理软件获取具有访问目标堡垒机操作的目标服务器的各目标日志;其中,目标日志为所述目标服务器由于所述访问目标堡垒机操作产生的日志数据;基于目标堡垒机的IP白名单、各申请访问信息以及各目标日志,判断各目标服务器的访问目标堡垒机的操作是否为合法操作。通过本发明的技术方案,能够实现对绕行堡垒机行为的自动识别,提高了堡垒机运维工作的安全性与堡垒机审核访问行为的准确性。
Description
技术领域
本发明涉及堡垒机运维领域,尤其涉及一种绕行堡垒机行为的自动识别方法、装置、设备与介质。
背景技术
在企业网络运维工作中,需要远程登录各种设备(如服务器、网络设备、应用系统等)进行部署软件、配置策略、升级功能及故障处理等运维操作。随着企业信息化建设不断加快,企业内网的设备运维问题越来越多,存在大量的登录账号共用或混用、账号越权或高危操作、运维操作审计缺失等问题,违规运维操作不仅给企业带来运维管理混乱,同时存在业务应用停止服务、业务数据丢失及重要数据泄漏等安全风险
堡垒机是一种运维综合管理平台,能够有效解决以上问题,降低各种运维相关的风险。在日常使用时,运维人员需先登录到堡垒机作为一个跳板,再远程跳转到设备进行维护操作,从而实现运维工作的统一安全管理。利用堡垒机可以实现对运维工作账号统一管理、身份统一认证、权限统一分配及全量操作审计功效,保证运维工作可管、高效、合规等。
然而在实际使用中,某些运维人员为了避开管控,采用办法绕过堡垒机直接登录设备进行违规操作,如数据违规下载等,形成运维管控真空,导致堡垒机运维工作的安全性较低,以及堡垒机审核访问行为的准确性较差。
发明内容
本发明提供了一种绕行堡垒机行为的自动识别方法、装置、设备与介质,可以解决现有技术的堡垒机运维工作的安全性较低,以及堡垒机审核访问行为的准确性较差的问题。
第一方面,本发明实施例提供了一种绕行堡垒机行为的自动识别方法,该方法包括:
获取预先配置的目标堡垒机的IP白名单,并在预设的时间周期内获取各申请访问信息;其中,所述申请访问信息中包括:申请来源IP,访问时段以及申请账号ID;
通过预设的代理软件获取具有访问目标堡垒机操作的目标服务器的各目标日志;其中,所述目标日志为所述目标服务器由于所述访问目标堡垒机操作产生的日志数据;
基于目标堡垒机的IP白名单、各申请访问信息以及各目标日志,判断各目标服务器的访问目标堡垒机的操作是否为合法操作。
第二方面,本发明实施例提供了一种绕行堡垒机行为的自动识别装置,该装置包括:
信息获取模块,用于获取预先配置的目标堡垒机的IP白名单,并在预设的时间周期内获取各申请访问信息;其中,所述申请访问信息中包括:申请来源IP,访问时段以及申请账号ID;
日志获取模块,用于通过预设的代理软件获取具有访问目标堡垒机操作的目标服务器的各目标日志;其中,所述目标日志为所述目标服务器由于所述访问目标堡垒机操作产生的日志数据;
合法操作判断模块,用于基于目标堡垒机的IP白名单、各申请访问信息以及各目标日志,判断各目标服务器的访问目标堡垒机的操作是否为合法操作。
第三方面,提供了一种电子设备,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的绕行堡垒机行为的自动识别方法。
第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的绕行堡垒机行为的自动识别方法。
本发明实施例的技术方案,通过首先获取预先配置的目标堡垒机的IP白名单,并在预设的时间周期内获取各申请访问信息,之后通过预设的代理软件获取具有访问目标堡垒机操作的目标服务器的各目标日志,最后基于目标堡垒机的IP白名单、各申请访问信息以及各目标日志,判断各目标服务器的访问目标堡垒机的操作是否为合法操作,解决了现有技术的堡垒机运维工作的安全性较低,以及堡垒机审核访问行为的准确性较差的问题,能够实现对绕行堡垒机行为的自动识别,提高了堡垒机运维工作的安全性与堡垒机审核访问行为的准确性。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例一提供的一种绕行堡垒机行为的自动识别方法的流程图;
图2是根据本发明实施例二提供的一种绕行堡垒机行为的自动识别方法的流程图;
图3是根据本发明实施例三提供的一种绕行堡垒机行为的自动识别装置的结构示意图;
图4是实现本发明实施例的绕行堡垒机行为的自动识别方法的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1为本发明实施例一提供的一种绕行堡垒机行为的自动识别方法的流程图,本实施例可适用于对绕行堡垒机行为进行自动识别的情况,该方法可以由绕行堡垒机行为的自动识别装置来执行,该绕行堡垒机行为的自动识别装置可以采用硬件和/或软件的形式实现,该绕行堡垒机行为的自动识别装置可配置于具有绕行堡垒机行为的自动识别功能的终端或服务器中。
如图1所示,该方法包括:
S110、获取预先配置的目标堡垒机的IP白名单,并在预设的时间周期内获取各申请访问信息。
其中,所述堡垒机为在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责的设备。
在本实施例中,通过运维人员在系统实施之前获取允许通过所述目标堡垒机的所有服务器,将所述各服务器与当前的目标堡垒机建立通信连接,以使所述目标堡垒机可以提取各允许通过的服务器的IP以生成IP白名单;其中,所述IP白名单中包括全部允许通过所述目标堡垒机的所有服务器对应的IP地址。
其中,所述申请访问信息中包括:申请来源IP,访问时段以及申请账号ID。
本领域工作人员应可知,响应于服务器所发出的访问请求,所述目标堡垒机可以根据所述访问请求生成与当前访问请求匹配的申请访问信息;示例性的,若ID为yunwei1的用户使用IP为192.168.1.30的服务器,在2023年8月18日13:28:20-2023年8月18日14:28:28通过堡垒机申请对某应用的一小时访问权限,则此时堡垒机对应上述访问请求生成的申请访问信息包含的内容为:申请来源IP:192.168.1.30,访问时段:2023年8月18日13:28:20-2023年8月18日14:28:28以及申请账号ID:yunwei1。需要注意的是,所述目标堡垒机只针对申请来源IP位于IP白名单的访问请求生成申请访问信息,相应的,对申请来源IP不位于IP白名单的访问请求不生成申请访问信息,故申请IP不位于IP白名单的访问请求在所述目标堡垒机中不存在与之匹配的申请访问信息;本实施例所述方案,可以基于申请访问信息的生成初步将未在IP白名单中的访问请求进行过滤,即识别用户登录系统的源IP不属于堡垒机IP白名单的范围,则判定所述ID违规登录系统并拒绝该访问请求,提高了堡垒机运维工作的安全性与堡垒机审核访问行为的准确性。
S120、通过预设的代理软件获取具有访问目标堡垒机操作的目标服务器的各目标日志。
其中,所述目标日志为所述目标服务器由于所述访问目标堡垒机操作产生的日志数据。
其中,所述预设的代理软件可以为具有信息传输功能的系统日志获取软件;在本实施例中,所述预设的代理软件响应于目标服务器访问目标堡垒机的操作,将通过上述操作产生的各目标日志的日志数据进行上传。
示例性的,在某配置有预设代理软件的目标服务器中,由于所述目标服务器访问目标堡垒机的操作产生的目标日志的日志数据如下,并将如下日志数据作为所述目标服务器的目标日志进行上传:
May 8 09:47:09localhost sshd[1657]:Accepted password forr oot from192.168.114.1port 57115ssh2
May 8 13:14:49localhost sshd[51628]:Failed password for root from192.168.114.1port 49237ssh2
即当前目标服务器在May 8 09:47:09使用IP为192.168.114.1产生了一次访问堡垒机成功的操作;同时,当前目标服务器在May 8 13:14:49使用IP为192.168.114.1产生了一次访问堡垒机失败的操作。
可选的,在上述步骤的基础上,所述目标服务器的访问堡垒机失败的操作对应的目标日志可忽略不进行上传,而只通过所述预设的代理软件上传访问成功对应的目标日志。
S130、基于目标堡垒机的IP白名单、各申请访问信息以及各目标日志,判断各目标服务器的访问目标堡垒机的操作是否为合法操作。
其中,基于目标堡垒机的IP白名单、各申请访问信息以及各目标日志,判断各目标服务器的访问目标堡垒机的操作是否为合法操作,包括:根据各目标服务器的各目标日志提取各目标服务器的访问IP并判断所述访问IP是否位于所述IP白名单内;对于访问IP位于所述IP白名单内的目标服务器,通过预设的审核代码对所述目标服务器对应的目标日志与各申请访问信息进行审核,以判断当前的目标日志的日志数据是否符合至少一个申请访问信息。
本发明实施例的技术方案,通过首先获取预先配置的目标堡垒机的IP白名单,并在预设的时间周期内获取各申请访问信息,之后通过预设的代理软件获取具有访问目标堡垒机操作的目标服务器的各目标日志,最后基于目标堡垒机的IP白名单、各申请访问信息以及各目标日志,判断各目标服务器的访问目标堡垒机的操作是否为合法操作,能够实现对绕行堡垒机行为的自动识别,提高了堡垒机运维工作的安全性与堡垒机审核访问行为的准确性,同时自适应地适应不同品牌堡垒机以及不同类型操作系统的绕行行为,通过自定义IP黑名单与IP白名单,访问IP不在IP白名单且在IP黑名单时即刻触发告警,大幅提升IP黑名单的风险识别效率。
实施例二
图2为本发明实施例二提供的一种绕行堡垒机行为的自动识别方法的流程图,本实施例以上述实施例为基础进行细化,在本实施例中具体是对基于目标堡垒机的IP白名单、各申请访问信息以及各目标日志,判断各目标服务器的访问目标堡垒机的操作是否为合法操作的方法进行细化。
如图2所示,该方法包括:
S210、获取预先配置的目标堡垒机的IP白名单,并在预设的时间周期内获取各申请访问信息。
S220、通过预设的代理软件获取具有访问目标堡垒机操作的目标服务器的各目标日志。
S230、根据各目标服务器的各目标日志提取各目标服务器的访问IP并判断所述访问IP是否位于所述IP白名单内。
在本实施例中,对于访问IP不位于所述IP白名单内但不位于IP黑名单内的目标服务器,将所述访问IP添加至IP黑名单。
在上述步骤的基础上,示例性的,若所述目标服务器的目标日志内容为May 8 09:47:09localhost sshd[1657]:Accepted password forr oot from 192.168.114.1port57115ssh2,则根据所述目标日志提取所述访问IP为192.168.114.1;若上述IP不在预先设置的IP白名单与IP黑名单中,则拒绝上述目标服务器的访问请求,并将192.168.114.1添加至IP黑名单。
S240、对于访问IP位于所述IP白名单内的目标服务器,通过预设的审核代码对所述目标服务器对应的目标日志与各申请访问信息进行审核,以判断当前的目标日志的日志数据是否符合至少一个申请访问信息。
具体的,在本实施例中,判断当前的目标日志的日志数据是否符合至少一个申请访问信息,包括:通过预设的审核代码对当前目标日志进行解析,以获得当前目标日志对应的访问IP、访问时段以及申请账号ID;通过预设的审核代码查找当前日志对应的访问IP、访问时段以及申请账号ID的数据信息是否与至少一个申请访问信息完全相同;若存在至少一个申请访问信息与当前目标日志的日志数据完全相同,则判定当前目标日志对应的目标服务器的访问目标堡垒机的操作为合法操作。
在本实施例的一个具体实施方式中,若当前目标日志的内容为May 8 09:47:09localhost sshd[1657]:Accepted password forr oot from 192.168.114.1port57115ssh2,则可以采用预设的审核代码对上述目标日志的具体内容进行审核,获得上述目标日志对应的访问IP:192.168.114.1、访问时段May 8 09:47:09至当前时间以及申请账号ID;进一步的,所述预设的审核代码具体可以为:
tarttime="now/d-1d"endtime="now/d"appname:linux tag:secure event_name:登录成功事件
|eval time=formatdate(timestamp,"yyyy-MM-dd HH:mm:ss")
|stats count()as cnt by time,src_ip,ip,type,user
|where src_ip!="堡垒机地址"&&linux.src_ip!="申请表地址"|rename timeas"登录时间",src_ip as"来源IP",ip as"目标主机",type as"登录方式",user as"登录用户",cnt as"登录次数"。
在上述步骤的基础上,通过预设的审核代码查找当前日志对应的访问IP、访问时段以及申请账号ID的数据信息是否与至少一个申请访问信息完全相同,若存在至少一个申请访问信息与当前目标日志的日志数据完全相同,则判定当前目标日志对应的目标服务器的访问目标堡垒机的操作为合法操作。
其中,所述申请访问信息与当前目标日志的日志数据完全相同即为通过所述预设的审核代码分析目标日志所获得的访问IP、访问时段以及申请账号ID的数据信息与至少一个申请访问信息的信息内容完全相同;需要注意的是,在本实施例中,在上述步骤的基础上,由于未在IP白名单内的目标服务器的访问请求无法产生相应的申请访问信息,则容易理解的是通过预设的审核代码无法查找到少一个申请访问信息与当前目标日志的日志数据完全相同。
进一步的,若不存在至少一个申请访问信息与当前目标日志的日志数据完全相同,则判定当前目标日志对应的目标服务器的访问目标堡垒机的操作不为合法操作。
示例性的,若存在至少一个申请访问信息与当前目标日志的日志数据在访问时间上存在差异,而其他信息相同,则说明所述访问请求对应的目标服务器在非法的时间内进行了堡垒机的访问;同理,若存在至少一个申请访问信息与当前目标日志的日志数据在访问IP上存在差异,而其他信息相同,则说明所述访问请求对应的目标服务器在进行对堡垒机的访问操作时存在使用跳转IP登录的行为,即产生访问请求的目标服务器与直接访问堡垒机的服务器的地址不一致,属于绕行堡垒机行为,则判定为不合法操作。
在上述实施例步骤的基础上,判定当前目标日志对应的目标服务器的访问目标堡垒机的操作不为合法操作之后,还包括:获取当前的目标日志对应的目标服务器的访问IP,并将所述访问IP添加至IP黑名单中,以对所述访问IP进行实时监管。
进一步的,在本实施例中,对于访问IP不位于所述IP白名单内且位于IP黑名单内的目标服务器,调用预设的防火墙组件对所述访问IP对应的目标服务器的访问操作进行阻断,并生成异常访问警告以对相关工作人员进行提示。
在本实施例中,采用设置动态IP黑名单的方式,将已存在在黑名单中的访问IP在产生访问申请时进行阻断并触发警告,对于存在异常访问行为的访问IP添加至IP黑名单中,以对所述访问IP的下一次访问请求进行监控与告警,能够实现对绕行堡垒机行为的自动识别,提高了堡垒机运维工作的安全性与堡垒机审核访问行为的准确性。
本发明实施例的技术方案,通过首先获取预先配置的目标堡垒机的IP白名单,并在预设的时间周期内获取各申请访问信息,之后通过预设的代理软件获取具有访问目标堡垒机操作的目标服务器的各目标日志,最后基于目标堡垒机的IP白名单、各申请访问信息以及各目标日志,判断各目标服务器的访问目标堡垒机的操作是否为合法操作,能够实现对绕行堡垒机行为的自动识别,提高了堡垒机运维工作的安全性与堡垒机审核访问行为的准确性,同时自适应地适应不同品牌堡垒机以及不同类型操作系统的绕行行为,通过自定义IP黑名单与IP白名单,访问IP不在IP白名单且在IP黑名单时即刻触发告警,大幅提升IP黑名单的风险识别效率。
实施例三
图3为本发明实施例三提供的一种绕行堡垒机行为的自动识别装置的结构示意图。
如图3所示,该装置包括:
信息获取模块310,用于获取预先配置的目标堡垒机的IP白名单,并在预设的时间周期内获取各申请访问信息;其中,所述申请访问信息中包括:申请来源IP,访问时段以及申请账号ID;
日志获取模块320,用于通过预设的代理软件获取具有访问目标堡垒机操作的目标服务器的各目标日志;其中,所述目标日志为所述目标服务器由于所述访问目标堡垒机操作产生的日志数据;
合法操作判断模块330,用于基于目标堡垒机的IP白名单、各申请访问信息以及各目标日志,判断各目标服务器的访问目标堡垒机的操作是否为合法操作。
本发明实施例的技术方案,通过首先获取预先配置的目标堡垒机的IP白名单,并在预设的时间周期内获取各申请访问信息,之后通过预设的代理软件获取具有访问目标堡垒机操作的目标服务器的各目标日志,最后基于目标堡垒机的IP白名单、各申请访问信息以及各目标日志,判断各目标服务器的访问目标堡垒机的操作是否为合法操作,能够实现对绕行堡垒机行为的自动识别,提高了堡垒机运维工作的安全性与堡垒机审核访问行为的准确性。
在上述实施例的基础上,合法操作判断模块330,进一步包括:
IP白名单拉取单元,用于根据各目标服务器的各目标日志提取各目标服务器的访问IP并判断所述访问IP是否位于所述IP白名单内;
审核单元,用于对于访问IP位于所述IP白名单内的目标服务器,通过预设的审核代码对所述目标服务器对应的目标日志与各申请访问信息进行审核,以判断当前的目标日志的日志数据是否符合至少一个申请访问信息。
在上述实施例的基础上,所述审核单元,进一步包括:
日志解析单元,用于通过预设的审核代码对当前目标日志进行解析,以获得当前目标日志对应的访问IP、访问时段以及申请账号ID;
查找单元,用于通过预设的审核代码查找当前日志对应的访问IP、访问时段以及申请账号ID的数据信息是否与至少一个申请访问信息完全相同;
第一判定单元,用于若存在至少一个申请访问信息与当前目标日志的日志数据完全相同,则判定当前目标日志对应的目标服务器的访问目标堡垒机的操作为合法操作。
第二判定单元,用于若不存在至少一个申请访问信息与当前目标日志的日志数据完全相同,则判定当前目标日志对应的目标服务器的访问目标堡垒机的操作不为合法操作。
在上述实施例的基础上,所述第二判定单元,进一步包括:
实时监管单元,用于判定当前目标日志对应的目标服务器的访问目标堡垒机的操作不为合法操作之后,获取当前的目标日志对应的目标服务器的访问IP,并将所述访问IP添加至IP黑名单中,以对所述访问IP进行实时监管。
在上述实施例的基础上,所述IP白名单拉取单元,进一步包括:
黑名单添加单元,用于根据各目标服务器的各目标日志提取各目标服务器的访问IP并判断所述访问IP是否位于所述IP白名单内之后,对于访问IP不位于所述IP白名单内但不位于IP黑名单内的目标服务器,将所述访问IP添加至IP黑名单;
操作阻断单元,用于对于访问IP不位于所述IP白名单内且位于IP黑名单内的目标服务器,调用预设的防火墙组件对所述访问IP对应的目标服务器的访问操作进行阻断,并生成异常访问警告以对相关工作人员进行提示。
本发明实施例所提供的绕行堡垒机行为的自动识别装置可执行本发明任意实施例所提供的绕行堡垒机行为的自动识别方法,具备执行方法相应的功能模块和有益效果。
实施例四
图4示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图4所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如绕行堡垒机行为的自动识别方法。
相应的,该方法包括:
获取预先配置的目标堡垒机的IP白名单,并在预设的时间周期内获取各申请访问信息;其中,所述申请访问信息中包括:申请来源IP,访问时段以及申请账号ID;
通过预设的代理软件获取具有访问目标堡垒机操作的目标服务器的各目标日志;其中,所述目标日志为所述目标服务器由于所述访问目标堡垒机操作产生的日志数据;
基于目标堡垒机的IP白名单、各申请访问信息以及各目标日志,判断各目标服务器的访问目标堡垒机的操作是否为合法操作。
在一些实施例中,绕行堡垒机行为的自动识别方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的绕行堡垒机行为的自动识别方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行绕行堡垒机行为的自动识别方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
Claims (10)
1.一种绕行堡垒机行为的自动识别方法,其特征在于,包括:
获取预先配置的目标堡垒机的IP白名单,并在预设的时间周期内获取各申请访问信息;其中,所述申请访问信息中包括:申请来源IP,访问时段以及申请账号ID;
通过预设的代理软件获取具有访问目标堡垒机操作的目标服务器的各目标日志;其中,所述目标日志为所述目标服务器由于所述访问目标堡垒机操作产生的日志数据;
基于目标堡垒机的IP白名单、各申请访问信息以及各目标日志,判断各目标服务器的访问目标堡垒机的操作是否为合法操作。
2.根据权利要求1所述的方法,其特征在于,基于目标堡垒机的IP白名单、各申请访问信息以及各目标日志,判断各目标服务器的访问目标堡垒机的操作是否为合法操作,包括:
根据各目标服务器的各目标日志提取各目标服务器的访问IP并判断所述访问IP是否位于所述IP白名单内;
对于访问IP位于所述IP白名单内的目标服务器,通过预设的审核代码对所述目标服务器对应的目标日志与各申请访问信息进行审核,以判断当前的目标日志的日志数据是否符合至少一个申请访问信息。
3.根据权利要求2所述的方法,其特征在于,判断当前的目标日志的日志数据是否符合至少一个申请访问信息,包括:
通过预设的审核代码对当前目标日志进行解析,以获得当前目标日志对应的访问IP、访问时段以及申请账号ID;
通过预设的审核代码查找当前日志对应的访问IP、访问时段以及申请账号ID的数据信息是否与至少一个申请访问信息完全相同;
若存在至少一个申请访问信息与当前目标日志的日志数据完全相同,则判定当前目标日志对应的目标服务器的访问目标堡垒机的操作为合法操作。
4.根据权利要求2所述的方法,其特征在于,通过预设的审核代码查找当前日志对应的访问IP、访问时段以及申请账号ID的数据信息是否与至少一个申请访问信息完全相同之后,还包括:
若不存在至少一个申请访问信息与当前目标日志的日志数据完全相同,则判定当前目标日志对应的目标服务器的访问目标堡垒机的操作不为合法操作。
5.根据权利要求4述的方法,其特征在于,判定当前目标日志对应的目标服务器的访问目标堡垒机的操作不为合法操作之后,还包括:
获取当前的目标日志对应的目标服务器的访问IP,并将所述访问IP添加至IP黑名单中,以对所述访问IP进行实时监管。
6.根据权利要求2所述的方法,其特征在于,根据各目标服务器的各目标日志提取各目标服务器的访问IP并判断所述访问IP是否位于所述IP白名单内之后,还包括:
对于访问IP不位于所述IP白名单内但不位于IP黑名单内的目标服务器,将所述访问IP添加至IP黑名单。
7.根据权利要求6所述的方法,其特征在于,还包括:
对于访问IP不位于所述IP白名单内且位于IP黑名单内的目标服务器,调用预设的防火墙组件对所述访问IP对应的目标服务器的访问操作进行阻断,并生成异常访问警告以对相关工作人员进行提示。
8.一种绕行堡垒机行为的自动识别装置,其特征在于,包括:
信息获取模块,用于获取预先配置的目标堡垒机的IP白名单,并在预设的时间周期内获取各申请访问信息;其中,所述申请访问信息中包括:申请来源IP,访问时段以及申请账号ID;
日志获取模块,用于通过预设的代理软件获取具有访问目标堡垒机操作的目标服务器的各目标日志;其中,所述目标日志为所述目标服务器由于所述访问目标堡垒机操作产生的日志数据;
合法操作判断模块,用于基于目标堡垒机的IP白名单、各申请访问信息以及各目标日志,判断各目标服务器的访问目标堡垒机的操作是否为合法操作。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的绕行堡垒机行为的自动识别方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的绕行堡垒机行为的自动识别方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311052265.1A CN117061368A (zh) | 2023-08-21 | 2023-08-21 | 绕行堡垒机行为的自动识别方法、装置、设备与介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311052265.1A CN117061368A (zh) | 2023-08-21 | 2023-08-21 | 绕行堡垒机行为的自动识别方法、装置、设备与介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117061368A true CN117061368A (zh) | 2023-11-14 |
Family
ID=88665936
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311052265.1A Pending CN117061368A (zh) | 2023-08-21 | 2023-08-21 | 绕行堡垒机行为的自动识别方法、装置、设备与介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117061368A (zh) |
-
2023
- 2023-08-21 CN CN202311052265.1A patent/CN117061368A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110417778B (zh) | 访问请求的处理方法和装置 | |
CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
CN112926048B (zh) | 一种异常信息检测方法和装置 | |
CN111416811A (zh) | 越权漏洞检测方法、系统、设备及存储介质 | |
CN115396289B (zh) | 一种故障告警确定方法、装置、电子设备及存储介质 | |
CN113886814A (zh) | 一种攻击检测方法及相关装置 | |
CN114493203A (zh) | 一种安全编排及自动化响应的方法和装置 | |
CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
CN113591096A (zh) | 综合检测大数据漏洞和不安全配置的脆弱性扫描系统 | |
CN117424743A (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
CN107612755A (zh) | 一种云资源的管理方法及其装置 | |
CN116303069A (zh) | 一种车载终端的测试方法、装置、上位机、系统及介质 | |
CN117061368A (zh) | 绕行堡垒机行为的自动识别方法、装置、设备与介质 | |
CN114417349A (zh) | 攻击结果判定方法、装置、电子设备及存储介质 | |
CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
CN115204733A (zh) | 数据审计方法、装置、电子设备及存储介质 | |
CN113297241A (zh) | 网络流量的判断方法、装置、设备、介质和程序产品 | |
CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
CN115871754B (zh) | 轨道交通控制信号系统、检测方法、装置、设备及介质 | |
CN113596051B (zh) | 检测方法、检测装置、电子设备、介质和计算机程序 | |
CN116980239B (zh) | 一种基于sase的网络安全监控预警方法及系统 | |
CN116956310B (zh) | 漏洞防护方法、装置、设备和可读存储介质 | |
CN115190008B (zh) | 故障处理方法、故障处理装置、电子设备及存储介质 | |
CN110166421B (zh) | 基于日志监控的入侵控制方法、装置及终端设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |