CN1960273A - Unix终端用户输入逻辑命令动态实时捕获方法 - Google Patents
Unix终端用户输入逻辑命令动态实时捕获方法 Download PDFInfo
- Publication number
- CN1960273A CN1960273A CNA2005100613533A CN200510061353A CN1960273A CN 1960273 A CN1960273 A CN 1960273A CN A2005100613533 A CNA2005100613533 A CN A2005100613533A CN 200510061353 A CN200510061353 A CN 200510061353A CN 1960273 A CN1960273 A CN 1960273A
- Authority
- CN
- China
- Prior art keywords
- user
- real time
- output
- input
- treatment progress
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- User Interface Of Digital Computer (AREA)
Abstract
UNIX终端用户输入逻辑命令动态实时捕获方法为用户提供一种动态实时捕获UNIX类服务器终端用户输入命令的技术,让UNIX类服务器操作和管理更加可视、可控、可管理、可跟踪、可鉴定,增强UNIX类服务器系统安全和应用安全。本发明技术方法简单,占用资源少,不影响UNIX内核,具有非侵害性特点,可扩展性强,适用领域广,对于国家信息安全,有重要的实用价值。
Description
技术领域
本发明涉及一种黑客行为分析技术、黑客行为监控技术以及内部网络管理员行为规范技术,特别涉及UNIX类服务器终端用户所使用的逻辑命令实时捕获技术。
技术背景
UNIX类服务器在社会生产生活中起着至关重要的作用,UNIX类服务器系统的安全,关系到社会各个领域生产生活的正常有序运行。UNIX类服务器往往承担着最大最重的业务,成为黑客或者内部不法份子的攻击目标。同时,网络管理员的操作不当或者处理失误,也有可能对UNIX类服务器造成极大损失,如服务器瘫痪、数据丢失、机密外泄。
正是因为UNIX类服务器的极端重要性,UNIX类服务器的安全,无论是物理安全或者网络安全,都成为UNIX类服务器运营部门首要特别关注的问题。
针对UNIX类服务器系统安全,目前存在系列的解决办法,如:在UNIX服务器前安装防火墙、入侵检测设备等网络安全边界设备,降低UNIX服务器被攻击的风险;通过文件系统数据完整性校验,如Tripwire,可以防止木马感染服务器,降低安全风险;通过主机加固,争强服务器抗攻击能力;通过强化用户权限审计,争强服务器抗攻击能力;另外,键盘记录工具可以记录和审计用户行为过程,可以规范内部用户行为,对于黑客,也有一定的安全防范作用。
总之,UNIX类服务器的操作和管理,基本上处于黑匣子状态,对于服务器上真实发生的事情,对于用户在服务器上的行为过程等,现有安全方案基本无能为力。键盘记录工具只能忠实的记录键盘敲击信息,没有逻辑意义上的语义扩展,如命令等;远程日志系统基本上属于被动解决方案,不能实时响应,需要专人和专用程序进行事后日志分析,才能确定服务器上发生的行为以及行为结果。因此,针对用户行为实时监控,用户命令实时捕获,成为让UNIX服务器摆脱黑匣子状态和无语义状态的迫切需求。
发明内容
本发明的目的在于:为用户提供一种动态实时捕获UNIX类服务器终端用户输入命令的技术,让UNIX类服务器操作和管理更加可视、可控、可管理、可跟踪、可鉴定,增强UNIX类服务器系统安全和应用安全。
本发明的目的是通过下列技术方案来实现的:一种UNIX类服务器终端用户输入命令实时捕获技术,由输入接收进程、输出处理进程(线程)、输出处理进程内部内存虚拟终端、被监控进程四部分组成。
其特征在于:
输入接收进程(主进程)接收用户输入,将用户输入传递给被监控进程,并标记相关捕获标志,同时根据相关捕获完成标记控制用户输入键盘信息到被监控进程的传递行为;被监控进程根据用户输入,执行自己处理动作,并将输出传递到输出处理进程(线程);输出处理进程(线程)将真实输出信息输出到标准输出设备,并根据相关捕获标志,通过其内部独立内存虚拟终端,实施具体命令捕获、命令处理等操作与处理,标记捕获完成标志。以后重复执行上述捕获控制行为,实现用户命令的持续实时捕获。
本发明的优点在于:技术方法简单,占用资源少,不影响UNIX内核,具有非侵害性特点,可扩展性强,适用领域广,对于国家信息安全,有重要的实用价值。
附图说明
图1为本发明UNIX类服务器终端命令实时捕获流程图。
具体实施方式:
输入接收进程(主进程)先启动被监控进程如SHELL进程如bash、sh、csh、ksh等或者任何第三方终端进程如sqlplus、mysql等,输入接收进程(主进程)接着启动输出处理进程(线程)。输出处理进程(线程)接收被监控进程输出,并将输出显示在标准输出设备。随后,输入接收进程(主进程)接收用户键盘输入并标记相关捕获标记,输出处理进程根据标记实施具体捕获动作。输入接收进程在每轮命令捕获开始之前,标记POMPT(提示信息)信息捕获标志,输出处理进程展开POMPT(提示信息)捕获,并标记POMPT(提示信息)捕获完成标志;随后输入接收进程(主进程)将用户输入传递给被监控进程;输入接收进程接收到回车键时,标记命令捕获标志,并将该标志传递给输出处理进程(线程),同时,输入接收进程(主进程)停止将用户键盘信息如回车或者重要功能键传递到被监控进程,防止命令生效;输出处理进程在接收到命令捕获标志后,通过接收被监控进程输出超时机制,一定时间接收超时后,开始命令捕获行为;命令捕获完成后,输出处理进程标记捕获完成标志,输入接收进程(主进程)在接收到命令捕获完成标记后,开始下一轮命令捕获标记准备和传递,实现UNIX类服务器终端命令实时捕获。
在上述的UNIX类服务器终端用户命令实时捕获技术中,输出处理进程(线程)实施真实命令捕获。
具体的捕获方法如下:
输出处理进程(线程)启动之时,开启一个内存虚拟终端,或称后台虚拟终端。后台内存虚拟终端支持各种终端如VT100,VT102,VT220,LINUX,HP等,可以根据用户当前终端类型自动选择。该终端在后台执行,用户不可见。输出处理进程在将被监控进程的输出显示在标准输出设备之时,同时拷贝一份输出到虚拟终端。虚拟终端单向接收输出处理进程(线程)输出信息,并在自己的虚拟内存里完成虚拟输出显示,其显示参数(如行数、列数)与当前输出参数完全同步。后台虚拟终端在输出处理进程(线程)接收到捕获标志时,将当前逻辑行(包括换行)的可见字符拷贝到命令捕获缓冲区,并通过回调机制,实现命令的实时捕获和控制,同时,内存虚拟终端可将虚拟显示内容写入文件或者网络,实现用户屏幕的实时监控、行为结果分析等功能。
Claims (2)
1UNIX终端用户输入逻辑命令动态实时捕获方法,由输入接收进程、输出处理进程(线程)、输出处理进程内部内存虚拟终端、被监控进程四部分组成。其特征在于:
输入接收进程(主进程)接收用户输入,将用户输入传递给被监控进程,并标记相关捕获标志,同时根据相关捕获完成标记控制用户输入键盘信息到被监控进程的传递行为;被监控进程根据用户输入,执行自己处理动作,并将输出传递到输出处理进程(线程);输出处理进程(线程)将真实输出信息输出到标准输出设备,并根据相关捕获标志,通过其内部独立内存虚拟终端,实施具体命令捕获、命令处理等操作与处理,标记捕获完成标志。以后重复执行上述捕获控制行为,实现用户命令的持续实时捕获。
2根据权利要求1、2的UNIX类服务器命令实时捕获组成和特征,可以实时捕获用户输入命令,并在命令生效之前可以对命令执行相关操作,进而控制用户的系统行为,分析用户行为意图和目的,保护UNIX类服务器系统安全和重要应用数据安全。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2005100613533A CN1960273A (zh) | 2005-11-01 | 2005-11-01 | Unix终端用户输入逻辑命令动态实时捕获方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2005100613533A CN1960273A (zh) | 2005-11-01 | 2005-11-01 | Unix终端用户输入逻辑命令动态实时捕获方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1960273A true CN1960273A (zh) | 2007-05-09 |
Family
ID=38071775
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005100613533A Pending CN1960273A (zh) | 2005-11-01 | 2005-11-01 | Unix终端用户输入逻辑命令动态实时捕获方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1960273A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007147339A1 (fr) * | 2006-06-14 | 2007-12-27 | Hangzhou Tipsec Inc Co., Ltd. | Procédé et dispositif pour identifier une ligne de commande de terminal |
| CN101616008B (zh) * | 2008-06-27 | 2012-07-04 | 国际商业机器公司 | 保护网络应用数据的方法和系统 |
| CN102571476A (zh) * | 2010-12-27 | 2012-07-11 | 中国银联股份有限公司 | 一种实时监控终端命令行的方法和装置 |
| CN103532760A (zh) * | 2013-10-18 | 2014-01-22 | 北京奇虎科技有限公司 | 用于分析在各主机上执行的命令的分析设备、系统和方法 |
| US10380345B2 (en) | 2017-07-31 | 2019-08-13 | International Business Machines Corporation | Delivering configuration based security and process workflows |
-
2005
- 2005-11-01 CN CNA2005100613533A patent/CN1960273A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007147339A1 (fr) * | 2006-06-14 | 2007-12-27 | Hangzhou Tipsec Inc Co., Ltd. | Procédé et dispositif pour identifier une ligne de commande de terminal |
| CN101616008B (zh) * | 2008-06-27 | 2012-07-04 | 国际商业机器公司 | 保护网络应用数据的方法和系统 |
| CN102571476A (zh) * | 2010-12-27 | 2012-07-11 | 中国银联股份有限公司 | 一种实时监控终端命令行的方法和装置 |
| CN102571476B (zh) * | 2010-12-27 | 2015-08-19 | 中国银联股份有限公司 | 一种实时监控终端命令行的方法和装置 |
| CN103532760A (zh) * | 2013-10-18 | 2014-01-22 | 北京奇虎科技有限公司 | 用于分析在各主机上执行的命令的分析设备、系统和方法 |
| US10380345B2 (en) | 2017-07-31 | 2019-08-13 | International Business Machines Corporation | Delivering configuration based security and process workflows |
| US10885194B2 (en) | 2017-07-31 | 2021-01-05 | International Business Machines Corporation | Delivering configuration based security and process workflows |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10798121B1 (en) | Intelligent context aware user interaction for malware detection | |
| CN107659543B (zh) | 面向云平台apt攻击的防护方法 | |
| US7945917B2 (en) | Monitoring method, monitoring system, system program and recording medium having program recorded thereon | |
| CN106687971A (zh) | 用来减少软件的攻击面的自动代码锁定 | |
| Li et al. | Security attack analysis using attack patterns | |
| CN101873318B (zh) | 针对应用基础支撑平台上应用系统的应用与数据保全方法 | |
| CN1960273A (zh) | Unix终端用户输入逻辑命令动态实时捕获方法 | |
| CN107004086A (zh) | 安全信息和事件管理 | |
| CN113364750B (zh) | 一种基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法 | |
| CN111191243A (zh) | 一种漏洞检测方法、装置和存储介质 | |
| CN103701783A (zh) | 一种预处理单元、由其构成的数据处理系统以及处理方法 | |
| CN103218561A (zh) | 一种保护浏览器的防篡改方法和装置 | |
| CN106682493B (zh) | 一种防止进程被恶意结束的方法、装置及电子设备 | |
| CN108737373A (zh) | 一种针对大型网络设备隐匿技术的安全取证方法 | |
| Ariffin et al. | API vulnerabilities in cloud computing platform: attack and detection | |
| CN106415577A (zh) | 用于识别可疑事件来源的系统和方法 | |
| CN110737888B (zh) | 虚拟化平台操作系统内核数据攻击行为检测方法 | |
| CN116488872A (zh) | JavaWeb应用的攻击行为的识别和防御方法及其装置 | |
| CN108572594A (zh) | 智能设备控制指令的生成方法、装置及终端设备 | |
| CN202979014U (zh) | 网络隔离装置 | |
| CN104598401A (zh) | 国产平台外围设备管控系统及其管控方法 | |
| CN106911680A (zh) | 一种策略下发方法及装置 | |
| CN110247888A (zh) | 一种计算机网络安全态势感知平台架构 | |
| CN110909349B (zh) | docker容器内反弹shell的检测方法和系统 | |
| Liu | Engineering a distributed intrusion tolerant database system using COTS components |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C57 | Notification of unclear or unknown address | ||
| DD01 | Delivery of document by public notice |
Addressee: Chen Yun Document name: Notice of application for publication of patent for invention and entry into the substantive examination procedure |
|
| C57 | Notification of unclear or unknown address | ||
| DD01 | Delivery of document by public notice |
Addressee: Chen Yun Document name: the First Notification of an Office Action |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |