生成表示登錄至作為目標(biāo)機(jī)器 的IDC-B運(yùn)營(yíng)機(jī)的路徑信息的局部標(biāo)識(shí)信息，并且把這些信息傳遞給IDC-B運(yùn)營(yíng)機(jī)上的命 令收集器。
[0095] 相應(yīng)地，對(duì)IDC-B運(yùn)營(yíng)機(jī)上命令收集器所收集到的全局標(biāo)識(shí)信息和局部標(biāo)識(shí)信息 進(jìn)行獲取，即可得到目標(biāo)機(jī)器上報(bào)的全局標(biāo)識(shí)信息和局部標(biāo)識(shí)信息。
[0096] 檢查單元30用于根據(jù)全局標(biāo)識(shí)信息和局部標(biāo)識(shí)信息檢查出原始機(jī)器與目標(biāo)機(jī)器 之間的路徑，其中，路徑用于表示登錄賬戶(hù)通過(guò)原始機(jī)器所執(zhí)行的操作事件，即，根據(jù)用戶(hù) 利用登錄賬戶(hù)通過(guò)原始機(jī)器產(chǎn)生的訪(fǎng)問(wèn)和登錄至目標(biāo)機(jī)器的路徑信息，來(lái)確定出原始機(jī)器 登錄至目標(biāo)機(jī)器的路徑，并以確定出的路徑來(lái)表示登錄賬戶(hù)通過(guò)原始機(jī)器所執(zhí)行的操作事 件，實(shí)現(xiàn)對(duì)入侵者的入侵行為進(jìn)行描述。
[0097] 本發(fā)明實(shí)施例所提供的操作事件的檢查裝置，通過(guò)對(duì)原始機(jī)器所訪(fǎng)問(wèn)到的目標(biāo)機(jī) 器的全局標(biāo)識(shí)信息和局部標(biāo)識(shí)信息進(jìn)行獲取，并基于獲取到信息來(lái)確定檢查出原始機(jī)器與 目標(biāo)機(jī)器之間的路徑，實(shí)現(xiàn)了針對(duì)一起入侵事件，可以串聯(lián)入侵者的登錄路徑，登錄過(guò)程跳 轉(zhuǎn)或經(jīng)歷的機(jī)器等信息，描述出入侵者的入侵手段，操作方法，影響機(jī)器等情況，實(shí)現(xiàn)了對(duì) 命令之間的關(guān)聯(lián)，從而為入侵的損失評(píng)估提供有效的依據(jù)，解決了現(xiàn)有技術(shù)中入侵行為的 檢查方式造成無(wú)法準(zhǔn)確地確定入侵行為所帶來(lái)的損失的問(wèn)題，進(jìn)而達(dá)到了提高確定入侵行 為的準(zhǔn)確性、精確核算入侵行為所帶來(lái)的損失的效果。
[0098] 具體地，檢查單兀30包括第一獲取模塊、第一判斷模塊和第一確定模塊，其中：
[0099] 第一獲取模塊用于獲取全局標(biāo)識(shí)信息中的源地址和目的地址，并獲取局部標(biāo)識(shí)信 息中的源地址和目的地址，其中，源地址主要包括源IP和源端口，目的地址主要包括目的 IP和目的端口。
[0100] 第一判斷模塊用于判斷全局標(biāo)識(shí)信息中的目的地址與局部標(biāo)識(shí)信息中的源地址 是否相同，具體地，主要是判斷全局標(biāo)識(shí)信息中的目的IP與局部標(biāo)識(shí)信息中的源IP是否相 同，并判斷全局標(biāo)識(shí)信息中的目的端口與局部標(biāo)識(shí)信息中的源端口是否相同，在以上判斷 結(jié)果均為是的情況下，確定全局標(biāo)識(shí)信息中的目的地址與局部標(biāo)識(shí)信息中的源地址相同。
[0101] 第一確定模塊用于在第一判斷模塊判斷出全局標(biāo)識(shí)信息中的目的地址與局部標(biāo) 識(shí)信息中的源地址相同的情況下，確定從全局標(biāo)識(shí)信息中的目的地址至局部標(biāo)識(shí)信息中的 目的地址的路徑為原始機(jī)器與目標(biāo)機(jī)器之間的路徑，因?yàn)槿謽?biāo)識(shí)信息中的目的地址與局 部標(biāo)識(shí)信息中的源地址相同，說(shuō)明用戶(hù)在利用登錄賬戶(hù)滲透到原始機(jī)器后，直接通過(guò)原始 機(jī)器登錄至目標(biāo)機(jī)器，因此，可以確定從全局標(biāo)識(shí)信息中的目的地址至局部標(biāo)識(shí)信息中的 目的地址的路徑為原始機(jī)器與目標(biāo)機(jī)器之間的路徑，也即確定原始機(jī)器與目標(biāo)機(jī)器之間的 路徑直接由原始機(jī)器至目標(biāo)機(jī)器。
[0102] 其中，如果全局標(biāo)識(shí)信息中的目的地址與局部標(biāo)識(shí)信息中的源地址不相同，則說(shuō) 明用戶(hù)在利用登錄賬戶(hù)滲透到原始機(jī)器后，先通過(guò)原始機(jī)器登錄到了其它運(yùn)營(yíng)機(jī)上，中間 經(jīng)歷了一個(gè)或多個(gè)其它運(yùn)營(yíng)機(jī)后，再登錄至目標(biāo)機(jī)器，對(duì)于此種目標(biāo)機(jī)器的數(shù)量為兩個(gè)以 上的情況，檢查單元30主要通過(guò)其所包括的第二獲取模塊、第二判斷模塊、第二確定模塊、 查找模塊和第三確定模塊來(lái)檢查出原始機(jī)器與目標(biāo)機(jī)器之間的路徑的方式，假設(shè)第一目標(biāo) 機(jī)器為兩個(gè)以上目標(biāo)機(jī)器中的任一目標(biāo)機(jī)器，確定原始機(jī)器與第一目標(biāo)機(jī)器之間的路徑的 方式具體如下：
[0103] 第二獲取模塊用于獲取全局標(biāo)識(shí)信息中的源地址和目的地址，并獲取第一目標(biāo)機(jī) 器上報(bào)的第一局部標(biāo)識(shí)信息中的源地址和目的地址，其中，源地址主要包括源IP和源端 口，目的地址主要包括目的IP和目的端口。
[0104] 第二判斷模塊用于判斷全局標(biāo)識(shí)信息中的目的地址與第一局部標(biāo)識(shí)信息中的源 地址是否相同，具體地，主要是判斷全局標(biāo)識(shí)信息中的目的IP與局部標(biāo)識(shí)信息中的源IP是 否相同，并判斷全局標(biāo)識(shí)信息中的目的端口與局部標(biāo)識(shí)信息中的源端口是否相同，在以上 判斷結(jié)果均為是的情況下，確定全局標(biāo)識(shí)信息中的目的地址與局部標(biāo)識(shí)信息中的源地址相 同。
[0105] 第二確定模塊用于在第二判斷模塊判斷出全局標(biāo)識(shí)信息中的目的地址與第一局 部標(biāo)識(shí)信息中的源地址相同的情況下，確定從全局標(biāo)識(shí)信息中的目的地址至第一局部標(biāo)識(shí) 信息中的目的地址的路徑為原始機(jī)器與第一目標(biāo)機(jī)器之間的路徑，因?yàn)槿謽?biāo)識(shí)信息中的 目的地址與第一局部標(biāo)識(shí)信息中的源地址相同，說(shuō)明用戶(hù)在利用登錄賬戶(hù)滲透到原始機(jī)器 后，直接通過(guò)原始機(jī)器登錄至第一目標(biāo)機(jī)器，因此，可以確定從全局標(biāo)識(shí)信息中的目的地址 至第一局部標(biāo)識(shí)信息中的目的地址的路徑為原始機(jī)器與第一目標(biāo)機(jī)器之間的路徑，也即確 定原始機(jī)器與第一目標(biāo)機(jī)器之間的路徑直接由原始機(jī)器至第一目標(biāo)機(jī)器。
[0106] 查找模塊用于在第二判斷模塊判斷出全局標(biāo)識(shí)信息中的目的地址與第一局部標(biāo) 識(shí)信息中的源地址不相同的情況下，從第二目標(biāo)機(jī)器上報(bào)的第二局部標(biāo)識(shí)信息中查找與第 一局部標(biāo)識(shí)信息中的源地址相同的目的地址，得到第一目的地址，并從第二局部標(biāo)識(shí)信息 中查找從第一源地址至第一目的地址的路徑，其中，第二目標(biāo)機(jī)器為兩個(gè)以上目標(biāo)機(jī)器中 任一與第一目標(biāo)機(jī)器不同的目標(biāo)機(jī)器，第一源地址與全局標(biāo)識(shí)信息中的目的地址相同，即， 在判斷出全局標(biāo)識(shí)信息中的目的地址與第一局部標(biāo)識(shí)信息中的源地址不相同的情況下，從 其它目標(biāo)機(jī)器上報(bào)的局部標(biāo)識(shí)信息中查找與第一局部標(biāo)識(shí)信息中的源地址相同的目的地 址，并將查找到的目的地址作為第一目的地址，繼續(xù)從其它目標(biāo)機(jī)器上報(bào)的局部標(biāo)識(shí)信息 中查找從第一源地址至第一目的地址的路徑，具體查找方式可以是先從其它目標(biāo)機(jī)器上報(bào) 的局部標(biāo)識(shí)信息中查找與第一目的地址對(duì)應(yīng)源地址，再查找與該源地址相同的目的地址， 然后查找對(duì)應(yīng)的源地址，直至查找到的源地址與全局標(biāo)識(shí)信息中的目的地址相同，則確定 查找過(guò)程中遍歷源地址和目的地址為第一源地址至第一目的地址的路徑。
[0107] 第三確定模塊用于確定從全局標(biāo)識(shí)信息中的目的地址至第一目的地址至第一局 部標(biāo)識(shí)信息中的目的地址的路徑為原始機(jī)器與第一目標(biāo)機(jī)器之間的路徑。
[0108] 通過(guò)以上描述可以看出，本發(fā)明實(shí)施例所提供的操作事件的檢查裝置，通過(guò)對(duì)全 局標(biāo)識(shí)信息進(jìn)行獲取，并基于全局標(biāo)識(shí)信息檢查出原始機(jī)器與目標(biāo)機(jī)器之間的路徑，實(shí)現(xiàn) 了對(duì)用戶(hù)通過(guò)同一臺(tái)機(jī)器進(jìn)行侵入的關(guān)聯(lián)，如果同一賬戶(hù)通過(guò)不同的機(jī)器進(jìn)行侵入，由于 全部標(biāo)識(shí)信息能夠?qū)⑼ㄟ^(guò)同一臺(tái)機(jī)器的侵入行為進(jìn)行關(guān)聯(lián)，因此，能夠?qū)ν毁~戶(hù)通過(guò)不 同機(jī)器進(jìn)行侵入的行為進(jìn)行區(qū)分，解決了現(xiàn)有技術(shù)中對(duì)同一賬戶(hù)利用不同機(jī)器執(zhí)行的命令 劃分難度大的問(wèn)題。
[0109] 優(yōu)選地，本發(fā)明實(shí)施例所提供的操作事件的檢查裝置還包括第三獲取單元和標(biāo)記 單元，其中，在第一獲取單元10獲取目標(biāo)機(jī)器上報(bào)的全局標(biāo)識(shí)信息之前，第三獲取單元用 于獲取登錄賬戶(hù)在原始機(jī)器上的命令，標(biāo)記單元用于利用獲取到的命令標(biāo)記原始機(jī)器產(chǎn)生 的局部標(biāo)識(shí)信息。即，當(dāng)Linux Shell執(zhí)行命令時(shí)，命令收集器把收集到的命令做原始機(jī)器 產(chǎn)生的局部ID信息的標(biāo)記，由此標(biāo)記就可以確定命令是哪個(gè)用戶(hù)執(zhí)行的，同時(shí)命令上報(bào)到 存儲(chǔ)平臺(tái)。
[0110] 通過(guò)利用登錄賬戶(hù)在原始機(jī)器的命令來(lái)標(biāo)記原始機(jī)器產(chǎn)生的局部標(biāo)識(shí)信息，實(shí)現(xiàn) 了在利用局部標(biāo)識(shí)信息對(duì)表示操作事件的路徑進(jìn)行檢查時(shí)，能夠?qū)⑼毁~戶(hù)在不同機(jī)器之 間的命令進(jìn)行關(guān)聯(lián)，實(shí)現(xiàn)了把命令記錄與用戶(hù)操作記錄之間的有效結(jié)合。
[0111] 進(jìn)一步地，本發(fā)明實(shí)施例所提供的操作事件的檢查裝置還包括修改單元，該修改 單元主要用于在第一獲取單元10獲取目標(biāo)機(jī)器上報(bào)的全局標(biāo)識(shí)信息之前，修改目標(biāo)機(jī)器 上網(wǎng)絡(luò)服務(wù)程序及網(wǎng)絡(luò)服務(wù)程序的驗(yàn)證程序，以使驗(yàn)證程序?qū)W(wǎng)絡(luò)服務(wù)程序驗(yàn)證通過(guò)后， 生成全局標(biāo)識(shí)信息和局部標(biāo)識(shí)信息。
[0112] 其中，MNET跳板機(jī)與運(yùn)營(yíng)機(jī)之間的操作流程在圖9中示出，通過(guò)修改SSH的 Server驗(yàn)證程序（SSHD)以及SSH的程序。同時(shí)，在每臺(tái)機(jī)器上部署命令收集的程序，來(lái)收 集命令，并且上報(bào)到后端的存儲(chǔ)平臺(tái)，得到了圖4和圖5中示出的原始機(jī)器和目標(biāo)機(jī)器之間 的操作，實(shí)現(xiàn)了對(duì)全局標(biāo)識(shí)信息和局部標(biāo)識(shí)信息的獲取。
[0113] 優(yōu)選地，本發(fā)明實(shí)施例所提供的操作事件的檢查裝置還包括判斷單元、生成單元 和控制單元，該判斷單元用于根據(jù)路徑判斷操作事件是否為非法的操作事件，生成單元用 于在判斷單元判斷出操作事件為非法的操作事件的情況下，生成用于對(duì)登錄賬戶(hù)進(jìn)行訪(fǎng)問(wèn) 控制的控制參數(shù)，控制單元用于按照控制參數(shù)控制登錄賬戶(hù)對(duì)目標(biāo)機(jī)器的訪(fǎng)問(wèn)。
[0114] 具體地，控制參數(shù)可以限制登錄賬戶(hù)訪(fǎng)問(wèn)權(quán)限的參數(shù)，按照控制參數(shù)控制登錄賬 戶(hù)對(duì)目標(biāo)機(jī)器的訪(fǎng)問(wèn)，即是控制登錄賬戶(hù)的訪(fǎng)問(wèn)權(quán)限，控制在其權(quán)限范圍的內(nèi)容可以被登 錄賬戶(hù)訪(fǎng)問(wèn)，在其權(quán)限范圍外的內(nèi)容則拒絕對(duì)登錄賬戶(hù)訪(fǎng)問(wèn)。
[0115] 在判斷出操作事件為非法的操作事件的情況下，說(shuō)明執(zhí)行該操作事件的登錄賬戶(hù) 出現(xiàn)被盜用等其它異常，通過(guò)生成對(duì)登錄賬戶(hù)進(jìn)行訪(fǎng)問(wèn)控制的控制參數(shù)，并按照控制參數(shù) 控制登錄賬戶(hù)對(duì)目標(biāo)機(jī)器的訪(fǎng)問(wèn)，實(shí)現(xiàn)了在登錄賬戶(hù)出現(xiàn)被盜用等其它異常情況時(shí)，能夠 避免利用該登錄賬戶(hù)進(jìn)行信息的竊取，提高了系統(tǒng)的安全性。
[0116] 其中，在本發(fā)明實(shí)施例中，還提供了一種判斷單元的結(jié)構(gòu)組成，判斷單元包括第三 判斷模塊和第四確定模塊，其中，第三判斷模塊用于判斷路徑是否是預(yù)設(shè)數(shù)據(jù)庫(kù)中的路徑， 其中，在預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)有多條通過(guò)驗(yàn)證的路徑；第四確定模塊用于在第三判斷模塊判 斷出路徑不是預(yù)設(shè)數(shù)據(jù)庫(kù)中的路徑的情況下，確定操作事件為非法的操作事件。
[0117] 其中，在本發(fā)明實(shí)施例中，還提供了另一種判斷單元的結(jié)構(gòu)組成，判斷單元包括第 三獲取模塊、第四判斷模塊和第五確定模塊，其中，第三獲取模塊用于獲取路徑在預(yù)設(shè)時(shí)間 內(nèi)的出現(xiàn)次數(shù)；第四判斷模塊用于判斷出現(xiàn)次數(shù)是否大于第一預(yù)設(shè)次數(shù)，或判斷出現(xiàn)次數(shù) 是否小于第二預(yù)設(shè)次數(shù)，其中，第一預(yù)設(shè)次數(shù)表示通過(guò)驗(yàn)證的路徑在預(yù)設(shè)時(shí)間內(nèi)出現(xiàn)的最 多次數(shù)，第二預(yù)設(shè)次數(shù)表示通過(guò)驗(yàn)證的路徑在預(yù)設(shè)時(shí)間內(nèi)出現(xiàn)的最少次數(shù)；第五確定模塊 用于在判斷出現(xiàn)次數(shù)大于第一預(yù)設(shè)次數(shù)，或在判斷出現(xiàn)次數(shù)小于第二預(yù)設(shè)次數(shù)的情況下， 確定操作事件為非法的操作事件。即，在判斷出某一路徑在參考周期內(nèi)出現(xiàn)的次數(shù)超過(guò)正 常的最大次數(shù)，或小于正常的最小次數(shù)的情況下，均確定該路徑所表示的操作事件為非法 的操作事件。其中，預(yù)設(shè)時(shí)間、第一預(yù)設(shè)次數(shù)和第二預(yù)設(shè)次數(shù)的具體取值可以根據(jù)系統(tǒng)的安 全級(jí)別進(jìn)行實(shí)際設(shè)置，此處不再具體說(shuō)明具體取值。
[0118] 通過(guò)以上描述可以看出，本發(fā)明實(shí)施例實(shí)現(xiàn)了如下技術(shù)效果：
[0119] 關(guān)聯(lián)性，本發(fā)明實(shí)施例不但可以關(guān)聯(lián)同一臺(tái)命令之間的相互關(guān)系，還可以關(guān)聯(lián)同 一個(gè)用戶(hù)不同機(jī)器之間的命令關(guān)系，同時(shí)把命令記錄與用戶(hù)操作記錄之有效結(jié)合。
[0120] 描述性，針對(duì)一起入侵事件，可以串聯(lián)入侵者的登錄路徑，操作的命令，跳轉(zhuǎn)的機(jī) 器等信息，描述出其入侵手段，操作方法，影響機(jī)器等情況，從而為入侵的損失評(píng)估提供有 效的依據(jù)。
[0121] 實(shí)用性，本發(fā)明實(shí)施例不但可以關(guān)聯(lián)入侵行為，同時(shí)可以定位違規(guī)操作。
[0122] 實(shí)施例3
[0123] 根據(jù)本發(fā)明實(shí)施例，還提供了一種用于實(shí)施上述操作事件的檢查方法的終端設(shè) 備，該終端設(shè)