操作事件的檢查方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)服務(wù)領(lǐng)域,具體而言���,涉及一種操作事件的檢查方法和裝置���。
【背景技術(shù)】
[0002] 在面對(duì)入侵行為時(shí),需要對(duì)入侵行為這種操作事件進(jìn)行檢查����,以掌握入侵者的操 作行為、影響范圍以及入侵情況等問題�����,對(duì)于進(jìn)行入侵行為的檢查而言,操作記錄是必不可 少的���,現(xiàn)有技術(shù)中通常采用命令記錄和用戶操作記錄的方式來檢查��,其中����,命令記錄是指記 錄每臺(tái)機(jī)器上的命令�����,如圖1所示��,是命令記錄的示意圖�,圖1中示出了對(duì)Linux Shell執(zhí) 行的命令進(jìn)行收集,通過命令收集器收集到這些命令�;用戶操作記錄是指記錄用戶操作,如 圖2所示�����,是記錄用戶操作的示意圖����,圖2中示出了當(dāng)用戶通過SSH登錄到運(yùn)營機(jī)���,操作收 集器通過對(duì)SSHD傳給用戶的回顯信息記錄用戶的操作行為。
[0003] 上述對(duì)入侵行為進(jìn)行檢查的方式����,在命令記錄中,由于命令沒有狀態(tài)��,每條命令之 間都是獨(dú)立的�����,造成命令記錄缺少命令之間的關(guān)聯(lián)性��,造成后續(xù)利用命令評(píng)估確定入侵行 為所帶來的損失的復(fù)雜度比較高���,無法準(zhǔn)確地確定入侵行為所帶來的損失。同時(shí)�,命令記錄 只記錄執(zhí)行的命令,不記錄命令執(zhí)行的結(jié)果�。在用戶操作記錄中,由于記錄的是回顯數(shù)據(jù)���, 對(duì)于同一個(gè)用戶用不同機(jī)器執(zhí)行的命令��,區(qū)分的難度大��。同時(shí)�����,用戶操作記錄不能很好的記 錄腳本的執(zhí)行情況�。
[0004] 針對(duì)相關(guān)技術(shù)中入侵行為的檢查方式造成無法準(zhǔn)確地確定入侵行為所帶來的損 失的問題,目前尚未提出有效的解決方案��。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明實(shí)施例提供了一種操作事件的檢查方法和裝置���,以至少解決現(xiàn)有技術(shù)中入 侵行為的檢查方式造成無法準(zhǔn)確地確定入侵行為所帶來的損失的技術(shù)問題�。
[0006] 根據(jù)本發(fā)明實(shí)施例的一個(gè)方面����,提供了一種操作事件的檢查方法,包括:獲取目標(biāo) 機(jī)器上報(bào)的全局標(biāo)識(shí)信息�,其中,所述目標(biāo)機(jī)器為登錄賬戶通過原始機(jī)器所訪問到的機(jī)器�, 所述登錄賬戶登錄至所述原始機(jī)器后,所述原始機(jī)器產(chǎn)生所述全局標(biāo)識(shí)信息�����,并將所述全 局標(biāo)識(shí)信息傳輸至所述目標(biāo)機(jī)器;獲取所述目標(biāo)機(jī)器上報(bào)的局部標(biāo)識(shí)信息���,其中��,所述登錄 賬戶登錄至所述目標(biāo)機(jī)器后����,所述目標(biāo)機(jī)器產(chǎn)生所述局部標(biāo)識(shí)信息�;以及根據(jù)所述全局標(biāo) 識(shí)信息和所述局部標(biāo)識(shí)信息檢查出所述原始機(jī)器與所述目標(biāo)機(jī)器之間的路徑,其中�����,所述 路徑用于表示所述登錄賬戶通過所述原始機(jī)器所執(zhí)行的操作事件�����。
[0007] 根據(jù)本發(fā)明實(shí)施例的另一方面�,還提供了一種操作事件的檢查裝置��,包括:第一獲 取單元�,用于獲取目標(biāo)機(jī)器上報(bào)的全局標(biāo)識(shí)信息,其中���,所述目標(biāo)機(jī)器為登錄賬戶通過原始 機(jī)器所訪問到的機(jī)器�,所述登錄賬戶登錄至所述原始機(jī)器后,所述原始機(jī)器產(chǎn)生所述全局 標(biāo)識(shí)信息�����,并將所述全局標(biāo)識(shí)信息傳輸至所述目標(biāo)機(jī)器����;第二獲取單元,用于獲取所述目標(biāo) 機(jī)器上報(bào)的局部標(biāo)識(shí)信息���,其中��,所述登錄賬戶登錄至所述目標(biāo)機(jī)器后���,所述目標(biāo)機(jī)器產(chǎn)生 所述局部標(biāo)識(shí)信息;以及檢查單元����,用于根據(jù)所述全局標(biāo)識(shí)信息和所述局部標(biāo)識(shí)信息檢查 出所述原始機(jī)器與所述目標(biāo)機(jī)器之間的路徑,其中��,所述路徑用于表示所述登錄賬戶通過 所述原始機(jī)器所執(zhí)行的操作事件����。
[0008] 在本發(fā)明實(shí)施例中����,采用獲取目標(biāo)機(jī)器上報(bào)的全局標(biāo)識(shí)信息��,其中�����,所述目標(biāo)機(jī)器 為登錄賬戶通過原始機(jī)器所訪問到的機(jī)器����,所述登錄賬戶登錄至所述原始機(jī)器后,所述原 始機(jī)器產(chǎn)生所述全局標(biāo)識(shí)信息�����,并將所述全局標(biāo)識(shí)信息傳輸至所述目標(biāo)機(jī)器�;獲取所述目 標(biāo)機(jī)器上報(bào)的局部標(biāo)識(shí)信息,其中�,所述登錄賬戶登錄至所述目標(biāo)機(jī)器后,所述目標(biāo)機(jī)器產(chǎn) 生所述局部標(biāo)識(shí)信息��;以及根據(jù)所述全局標(biāo)識(shí)信息和所述局部標(biāo)識(shí)信息檢查出所述原始機(jī) 器與所述目標(biāo)機(jī)器之間的路徑�,其中,所述路徑用于表示所述登錄賬戶通過所述原始機(jī)器 所執(zhí)行的操作事件���,通過對(duì)原始機(jī)器所訪問到的目標(biāo)機(jī)器的全局標(biāo)識(shí)信息和局部標(biāo)識(shí)信息 進(jìn)行獲取�����,并基于獲取到信息來確定檢查出原始機(jī)器與目標(biāo)機(jī)器之間的路徑����,實(shí)現(xiàn)了針對(duì) 一起入侵事件��,可以串聯(lián)入侵者的登錄路徑�����,登錄過程跳轉(zhuǎn)或經(jīng)歷的機(jī)器等信息����,描述出入 侵者的入侵手段,操作方法�����,影響機(jī)器等情況,實(shí)現(xiàn)了對(duì)命令之間的關(guān)聯(lián)�,從而為入侵的損 失評(píng)估提供有效的依據(jù),解決了現(xiàn)有技術(shù)中入侵行為的檢查方式造成無法準(zhǔn)確地確定入侵 行為所帶來的損失的問題��,進(jìn)而達(dá)到了提高確定入侵行為的準(zhǔn)確性�����、精確核算入侵行為所 帶來的損失的效果���。
【附圖說明】
[0009] 此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解����,構(gòu)成本申請(qǐng)的一部分��,本發(fā) 明的示意性實(shí)施例及其說明用于解釋本發(fā)明����,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:
[0010] 圖1是根據(jù)現(xiàn)有技術(shù)的一種命令記錄的示意圖���;
[0011] 圖2是根據(jù)現(xiàn)有技術(shù)的一種記錄用戶操作的示意圖�����;
[0012] 圖3是根據(jù)本發(fā)明實(shí)施例的操作事件的檢查方法的流程圖��;
[0013] 圖4是根據(jù)本發(fā)明實(shí)施例的一種滲透到目標(biāo)機(jī)器的示意圖��;
[0014] 圖5是根據(jù)本發(fā)明實(shí)施例的另一種滲透到目標(biāo)機(jī)器的示意圖��;
[0015] 圖6a是根據(jù)本發(fā)明實(shí)施例的一種入侵滲透圖��;
[0016] 圖6b是表不圖6a的全局標(biāo)識(shí)信息和局部標(biāo)識(shí)信息��;
[0017] 圖6c是表示圖6a的路徑圖�;
[0018] 圖7a是根據(jù)本發(fā)明實(shí)施例的另一種入侵滲透圖�;
[0019] 圖7b是表示圖7a的全局標(biāo)識(shí)信息和局部標(biāo)識(shí)信息;
[0020] 圖7c是表TK圖7a的路徑圖���;
[0021] 圖8a是根據(jù)本發(fā)明實(shí)施例的另一種入侵滲透圖����;
[0022] 圖8b是表示圖8a的全局標(biāo)識(shí)信息和局部標(biāo)識(shí)信息��;
[0023] 圖8c是表TK圖8a的路徑圖�����;
[0024] 圖9是根據(jù)本發(fā)明實(shí)施例的MNET跳板機(jī)與運(yùn)營機(jī)之間的操作流程示意圖;
[0025] 圖10是根據(jù)本發(fā)明實(shí)施例的操作事件的檢查裝置的示意圖���;以及
[0026] 圖11是根據(jù)本發(fā)明實(shí)施例的終端設(shè)備的示意圖��。
【具體實(shí)施方式】
[0027] 為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案��,下面將結(jié)合本發(fā)明實(shí)施例中的 附圖�,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完整地描述�,顯然,所描述的實(shí)施例僅僅是 本發(fā)明一部分的實(shí)施例���,而不是全部的實(shí)施例�?�;诒景l(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù) 人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范 圍����。
[0028] 需要說明的是,本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語"第一"�、"第 二"等是用于區(qū)別類似的對(duì)象,而不必用于描述特定的順序或先后次序�。應(yīng)該理解這樣使用 的數(shù)據(jù)在適當(dāng)情況下可以互換,以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或 描述的那些以外的順序?qū)嵤?��。此外,術(shù)語"包括"和"具有"以及他們的任何變形�����,意圖在于 覆蓋不排他的包含��,例如���,包含了一系列步驟或單元的過程��、方法���、系統(tǒng)、產(chǎn)品或設(shè)備不必限 于清楚地列出的那些步驟或單元����,而是可包括沒有清楚地列出的或?qū)τ谶@些過程��、方法��、產(chǎn) 品或設(shè)備固有的其它步驟或單元�。
[0029] 對(duì)本發(fā)明實(shí)施例中所涉及的技術(shù)術(shù)語做如下解釋:
[0030] SSH :英文全稱是Secure Shell�,是傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序,由客戶端和服務(wù)端的軟 件組成的���,是基于SSL的安全登錄和命令交互套件�;
[0031] SSHD :服務(wù)器守護(hù)進(jìn)程配置文件����;
[0032] IDC :英文全稱是Internet Data Center,是互聯(lián)網(wǎng)數(shù)據(jù)中心,用于對(duì)外提供服務(wù)�����;
[0033] 運(yùn)營機(jī):對(duì)外提供服務(wù)的機(jī)器���;
[0034] Cmdlog :記錄運(yùn)營機(jī)上執(zhí)行的命令的命令收集器�����;
[0035] MNET跳板機(jī):進(jìn)入運(yùn)營機(jī)的入口����;
[0036] Linux Shell :linux系統(tǒng)的用戶界面,提供用戶與內(nèi)核進(jìn)行交互操作的一種接口�;
[0037] Shell審計(jì):基于跳板機(jī)記錄用戶客戶端操作的審計(jì)系統(tǒng);
[0038] SecureCRT :是一款支持SSH (SSHl和SSH2)的終端仿真程序����,簡(jiǎn)單的說是Windows 下登錄UNIX或Linux服務(wù)器主機(jī)的軟件���。SecureCRT支持SSH�,同時(shí)支持Telnet和rlogin 協(xié)議����。SecureCRT是一款用于連接運(yùn)行包括Windows�����、UNIX和VMS的理想工具。通過使用 內(nèi)含的VCP命令行程序可以進(jìn)行加密文件的傳輸�����。有流行CRTTelnet客戶機(jī)的所有特點(diǎn), 包括:自動(dòng)注冊(cè)�����、對(duì)不同主機(jī)保持不同的特性�、打印功能���、顏色設(shè)置、可變屏幕尺寸�����、用戶定 義的鍵位圖和優(yōu)良的VT100,VT102����,VT220和ANSI競(jìng)爭(zhēng)�,能從命令行中運(yùn)行或從瀏覽器中運(yùn) 行,其它特點(diǎn)包括文本手稿�、易于使用的工具條�、用戶的鍵位圖編輯器、可定制的ANSI顏色 等�。SecureCRT的SSH協(xié)議支持DES,3DES和RC4密碼和密碼與RSA鑒別����。
[0039] 實(shí)施例1
[0040] 根據(jù)本發(fā)明實(shí)施例,提供了一種可以通過本申請(qǐng)裝置實(shí)施例執(zhí)行的方法實(shí)施例�����, 需要說明的是,在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系 統(tǒng)中執(zhí)行��,并且���,雖然在流程圖中示出了邏輯順序�,但是在某些情況下����,可以以不同于此處 的順序執(zhí)行所示出或描述的步驟����。
[0041] 根據(jù)本發(fā)明實(shí)施例�����,提供了一種操作事件的檢查方法,圖3是根據(jù)本發(fā)明實(shí)施例 的操作事件的檢查方法的流程圖����,如圖3所示,該操作事件的檢查方法包括如下步驟S302 至步驟S304 :
[0042] S302 :獲取目標(biāo)機(jī)器上報(bào)的全局標(biāo)識(shí)信息��,其中�����,目標(biāo)機(jī)器為登錄賬戶通過原始機(jī) 器所訪問到的機(jī)器,用戶利用登錄賬戶登錄至原始機(jī)器后�,原始機(jī)器產(chǎn)生全局標(biāo)識(shí)信息,并 將全局標(biāo)識(shí)信息傳輸至目標(biāo)機(jī)器���,該全局標(biāo)識(shí)信息用于標(biāo)識(shí)登錄賬戶通過原始機(jī)器產(chǎn)生的 訪問�����。
[0043] S303:獲取目標(biāo)機(jī)器上報(bào)的局部標(biāo)識(shí)信息�,其中,用戶利用登錄賬戶��,并通過原始 機(jī)器登錄至目標(biāo)機(jī)器后,目標(biāo)機(jī)器產(chǎn)生局部標(biāo)識(shí)信息��,該局部標(biāo)識(shí)信息用于表示登錄至目 標(biāo)機(jī)器的路徑信息��。
[0044] 其中��,目標(biāo)機(jī)器是指對(duì)外提供服務(wù)的運(yùn)營機(jī)��,用戶既可以通過SecureCRT并采用 登錄賬戶實(shí)名登錄到MNET跳板機(jī),然后以MNET跳板機(jī)作為原始機(jī)器��,通過MNET跳板機(jī)滲 透到目標(biāo)機(jī)器,也可以通過漏洞或者其它入侵手段直接滲透到某一臺(tái)運(yùn)營機(jī),然后以所滲 透到的運(yùn)營機(jī)作為原始機(jī)器滲透到目標(biāo)機(jī)器����,滲透到目標(biāo)機(jī)器即是指登錄到目標(biāo)機(jī)器�。
[0045] 圖4是用戶通過MNET跳板機(jī)滲透到目標(biāo)機(jī)器的示意圖�����,在圖4中,目標(biāo)機(jī)器為IDC 運(yùn)營機(jī)����,當(dāng)用戶采用登錄賬戶登錄到MNET跳板機(jī)��,并且經(jīng)SSHD驗(yàn)證成功后�,SSHD會(huì)生成一 個(gè)全局標(biāo)識(shí)信息和局部標(biāo)識(shí)信息,并且將這些信息傳送給命令收集器,以通過命令收集器 傳輸至存儲(chǔ)平臺(tái)進(jìn)行存儲(chǔ)�����,在MNET跳板機(jī)上SSHD所生成的局部標(biāo)記信息表示登錄至MNET 跳板機(jī)的路徑信息�,全局標(biāo)識(shí)信息可以為全局ID信息,局部標(biāo)識(shí)信息可以為局部ID信息�����, 該全局標(biāo)識(shí)信息表示用戶采用登錄賬戶通過MNET跳板機(jī)進(jìn)行滲透。當(dāng)用戶采用登錄賬戶 在MNET跳板機(jī)上�����,通