一种Unix类主机用户操作指令审计的方法和系统的利记博彩app
【技术领域】
[0001]本发明涉及一种Unix类主机用户操作指令审计的方法和系统,属于通信领域。
【背景技术】
[0002]互联网数据中心(Internet Data Center,简称IDC)是基于Internet网络,为集中式收集、存储、处理和发送数据的设备提供运行维护的设施基地并提供相关的服务。IDC提供的主要业务包括主机托管(机位、机架、机房出租)、资源出租(如虚拟主机业务、数据存储服务)、系统维护(系统配置、数据备份、故障排除服务)、以及负载均衡、流量分析等其他支撑、运行服务等。
[0003]目前,在绝大多数互联网数据中心内部几乎都部署了防火墙、IDS、IPS系统等安全设施,IDC运营者将这些网络安全设施承租给IDC内高端、重要业务客户使用。同时高端、重要业务客户利用这些防火墙、IDS、IPS等常规的网络安全产品建立了基础的网络安全防护措施,虽然这些基础网络安全防护措施可以解决一部分安全问题,并在实际中取得了一定效果。但是在现实中针对IDC承租客户来说IDC内网络安全事件仍时有发生,造成这些不合规、不合法的行为很多来源于承租IDC计算资源客户中内部“合法”的用户违规操作,这种由于“合法”违规操作而导致数据误删除、数据破坏、数据泄密等致使IDC承租企业利益受损的行为,而上述防火墙、IDS、IPS等常规的网络安全产品却显得无能为力。
[0004]针对IDC内承租客户这种“合法”违规操作发生的情况,由于UNIX类主机系统自身的Syslog日志不记录用户的操作指令日志,所以目前IDC内一般会采用以下两种方式来进行处理,一种方式是人工方式,即在“合法”违规事件发生并对承租人造成具体损失后,由承租人事后聘请专业的安全专家通过人工提取系统环境参数、日志文件等信息,并经过关联分析、逻辑推理来推定是哪位内部“合法”用户的违规操作行为;另一种方式是通过单独部署运维审计型堡垒机方式(公司内部4A方式),即堡垒主机部署在内网中的服务器和网络设备等核心资源的逻辑前端,通过堡垒主机来记录承租IDC内计算资源的用户操作行为,以此来发现“合法”用户的违规操作行为。
[0005]针对IDC承租企业内部“合法”违规操作而致使本企业利益受损后处置追查的第一种方式,即人工方式属于被动式追查方式,这种方式往往要求专业的安全专家依据最后现场所收集到的系统环境参数、日志文件等基础信息并根据自身的经验对该违规操作进行关联分析,来推定具体违规人员,但是一般“合法”用户在进行违规操作后,均会主动清除本次所有的操作信息、日志记录避免被追查,从而无法追踪的具体人员,即使能够推测出具体“合法”用户,也无法最终进行确认,同时该种方式无法满足自定义高危操作指令准实时性提醒的要求。
[0006]针对第二种方式,由于考虑到UNIX类主机自身的Syslog日志自身不包含操作日志,需通过单独部署运维审计型堡垒机方式(公司内部4A方式),这就要求我们IDC运营单位先期购买并部署大量的物理实体堡垒主机,占用公司大量前期投资;同时由于这些堡垒主机均是各个安全厂家专用的物理实体机器,没有统一的标准,所以与目前IDC内基于云计算的虚拟主机难以融合,占用公司的日常维护资源。
[0007]同时对于IDC承租方来说,额外租用这些物理实体堡垒主机,增加了 IDC承租方的经济负担,即使IDC承租人经济上不是问题,由于运维审计型堡垒机(公司内部4A方式)部署在内网中的服务器和网络设备等核心资源的逻辑前端,从目前来看在具体维护人员实际的日常使用过程中还是存在一定的时延、断线等问题,影响具体使用人员的用户感知,针对公司内部员工可通过集团公司规章制度要求让公司具体一线维护人员坚持使用,但是针对IDC承租方外部客户来说这种时延、断线可能造成客户的流失。同时单个堡垒机存在单点故障的可能,最后个别运维审计型堡垒机(公司内部4A方式)要求保存IDC承租人用户的所有账号信息和密码,增加了 IDC承租人的安全管理风险。
【发明内容】
[0008]本发明所要解决的技术问题是提供一种安全和方便的用户操作指令审计的方法和系统。
[0009]本发明解决上述技术问题所采取的技术方案如下:
[0010]一种Unix类主机用户操作指令审计的方法,包括:
[0011]采集当前登录用户在主机上的操作指令和/或屏幕显示内容,并将所述用户操作指令和/或屏幕显示内容发送到一准实时日志中;
[0012]对所述准实时日志进行筛选,并根据关联规则进行关联,形成带有账号的操作日志;
[0013]对所述操作日志进行定期展示或者按照告警提醒规则对所述操作日志进行逐一匹配,并在发现高危操作指令时通知给用户。
[0014]其中,对所述准实时日志进行筛选,并根据关联规则进行关联,形成带有账号的操作日志,包括:
[0015]基于操作日志特征和账号特征对所述准实时日志进行筛选,将所有符合账号日志特征和操作日志特征的日志筛选出来;
[0016]以登录账号为关联主键,对所述筛选出来的账号日志和操作日志进行关联以建立起带有账号的操作日志。
[0017]进一步地,优选的是,基于history指令实时采集当前登录用户在主机上的操作指令;和/或,基于screen指令采集当前登录用户在主机上的屏幕显示内容。
[0018]进一步地,优选的是,基于Syslog的方式将所述用户操作指令和/或屏幕显示内容准实时地发送到所述准实时日志中。
[0019]一种Unix类主机用户操作指令审计的系统,包括:
[0020]日志生成模块,用于采集当前登录用户在主机上的操作指令和/或屏幕显示内容,并将所述用户操作指令和/或屏幕显示内容发送到一准实时日志中;
[0021]日志采集及存储模块,用于接收并存储所述准实时日志;
[0022]日志关联处理模块,用于对对所述准实时日志进行筛选,并根据关联规则进行关联,形成带有账号的操作日志;
[0023]日志触发告警规则过滤模块,用于按照告警提醒规则对所述操作日志进行逐一匹配,并在发现高危操作指令时通知给系统展现及高危操作指令提醒模块;
[0024]系统展现及高危操作指令提醒模块,用于对所述操作日志进行展示或者在发现高危操作指令时通知给用户。
[0025]进一步地,优选的是,所述日志关联处理模块,对所述准实时日志进行筛选,并根据关联规则进行关联,形成带有账号的操作日志,具体包括:
[0026]基于操作日志特征和账号特征对所述准实时日志进行筛选,将所有符合账号日志特征和操作日志特征的日志筛选出来;
[0027]以登录账号为关联主键,对所述筛选出来的账号日志和操作日志进行关联以建立起带有账号的操作日志。
[0028]进一步地,优选的是,所述日志生成模块,进一步用于基于history指令实时采集登录用户在主机上的操作指令;或者,基于screen指令采集登录用户在主机上的屏幕显示内容。
[0029]进一步地,优选的是,还包括:
[0030]日志标准化及分发模块,用于对所述准实时日志按照预设的规则进行标准化,形成标准化的准实时日志。
[0031]本发明采取了上述方案以后具有以下的技术效果:
[0032]本发明能够采集当前登录用户在主机上的操作指令和/或屏幕显示内容,并将所述用户操作指令和/或屏幕显示内容发送到一准实时日志中,从而进行后续的分析,该方法不用部署堡垒主