本发明专利技术公开了一种操作事件的检查方法和装置。其中,操作事件的检查方法包括:获取目标机器上报的全局标识信息,其中,登录账户登录至原始机器后,原始机器产生全局标识信息,并将全局标识信息传输至目标机器;获取目标机器上报的局部标识信息,其中,登录账户登录至目标机器后,目标机器产生局部标识信息;以及根据全局标识信息和局部标识信息检查出原始机器与目标机器之间的路径,其中,路径用于表示登录账户通过原始机器所执行的操作事件。通过本发明专利技术,解决了现有技术中入侵行为的检查方式造成无法准确地确定入侵行为所带来的损失的问题,进而达到了提高确定入侵行为的准确性、精确核算入侵行为所带来的损失的效果。
【技术实现步骤摘要】
本专利技术涉及网络服务领域,具体而言,涉及一种操作事件的检查方法和装置。
技术介绍
在面对入侵行为时,需要对入侵行为这种操作事件进行检查,以掌握入侵者的操 作行为、影响范围以及入侵情况等问题,对于进行入侵行为的检查而言,操作记录是必不可 少的,现有技术中通常采用命令记录和用户操作记录的方式来检查,其中,命令记录是指记 录每台机器上的命令,如图1所示,是命令记录的示意图,图1中示出了对Linux Shell执 行的命令进行收集,通过命令收集器收集到这些命令;用户操作记录是指记录用户操作,如 图2所示,是记录用户操作的示意图,图2中示出了当用户通过SSH登录到运营机,操作收 集器通过对SSHD传给用户的回显信息记录用户的操作行为。 上述对入侵行为进行检查的方式,在命令记录中,由于命令没有状态,每条命令之 间都是独立的,造成命令记录缺少命令之间的关联性,造成后续利用命令评估确定入侵行 为所带来的损失的复杂度比较高,无法准确地确定入侵行为所带来的损失。同时,命令记录 只记录执行的命令,不记录命令执行的结果。在用户操作记录中,由于记录的是回显数据, 对于同一个用户用不同机器执行的命令,区分的难度大。同时,用户操作记录不能很好的记 录脚本的执行情况。 针对相关技术中入侵行为的检查方式造成无法准确地确定入侵行为所带来的损 失的问题,目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种操作事件的检查方法和装置,以至少解决现有技术中入 侵行为的检查方式造成无法准确地确定入侵行为所带来的损失的技术问题。 根据本专利技术实施例的一个方面,提供了一种操作事件的检查方法,包括:获取目标 机器上报的全局标识信息,其中,所述目标机器为登录账户通过原始机器所访问到的机器, 所述登录账户登录至所述原始机器后,所述原始机器产生所述全局标识信息,并将所述全 局标识信息传输至所述目标机器;获取所述目标机器上报的局部标识信息,其中,所述登录 账户登录至所述目标机器后,所述目标机器产生所述局部标识信息;以及根据所述全局标 识信息和所述局部标识信息检查出所述原始机器与所述目标机器之间的路径,其中,所述 路径用于表示所述登录账户通过所述原始机器所执行的操作事件。 根据本专利技术实施例的另一方面,还提供了一种操作事件的检查装置,包括:第一获 取单元,用于获取目标机器上报的全局标识信息,其中,所述目标机器为登录账户通过原始 机器所访问到的机器,所述登录账户登录至所述原始机器后,所述原始机器产生所述全局 标识信息,并将所述全局标识信息传输至所述目标机器;第二获取单元,用于获取所述目标 机器上报的局部标识信息,其中,所述登录账户登录至所述目标机器后,所述目标机器产生 所述局部标识信息;以及检查单元,用于根据所述全局标识信息和所述局部标识信息检查 出所述原始机器与所述目标机器之间的路径,其中,所述路径用于表示所述登录账户通过 所述原始机器所执行的操作事件。 在本专利技术实施例中,采用获取目标机器上报的全局标识信息,其中,所述目标机器 为登录账户通过原始机器所访问到的机器,所述登录账户登录至所述原始机器后,所述原 始机器产生所述全局标识信息,并将所述全局标识信息传输至所述目标机器;获取所述目 标机器上报的局部标识信息,其中,所述登录账户登录至所述目标机器后,所述目标机器产 生所述局部标识信息;以及根据所述全局标识信息和所述局部标识信息检查出所述原始机 器与所述目标机器之间的路径,其中,所述路径用于表示所述登录账户通过所述原始机器 所执行的操作事件,通过对原始机器所访问到的目标机器的全局标识信息和局部标识信息 进行获取,并基于获取到信息来确定检查出原始机器与目标机器之间的路径,实现了针对 一起入侵事件,可以串联入侵者的登录路径,登录过程跳转或经历的机器等信息,描述出入 侵者的入侵手段,操作方法,影响机器等情况,实现了对命令之间的关联,从而为入侵的损 失评估提供有效的依据,解决了现有技术中入侵行为的检查方式造成无法准确地确定入侵 行为所带来的损失的问题,进而达到了提高确定入侵行为的准确性、精确核算入侵行为所 带来的损失的效果。【附图说明】 此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中: 图1是根据现有技术的一种命令记录的示意图; 图2是根据现有技术的一种记录用户操作的示意图; 图3是根据本专利技术实施例的操作事件的检查方法的流程图; 图4是根据本专利技术实施例的一种渗透到目标机器的示意图; 图5是根据本专利技术实施例的另一种渗透到目标机器的示意图; 图6a是根据本专利技术实施例的一种入侵渗透图; 图6b是表不图6a的全局标识信息和局部标识信息; 图6c是表示图6a的路径图; 图7a是根据本专利技术实施例的另一种入侵渗透图; 图7b是表示图7a的全局标识信息和局部标识信息; 图7c是表TK图7a的路径图; 图8a是根据本专利技术实施例的另一种入侵渗透图; 图8b是表示图8a的全局标识信息和局部标识信息; 图8c是表TK图8a的路径图; 图9是根据本专利技术实施例的MNET跳板机与运营机之间的操作流程示意图; 图10是根据本专利技术实施例的操作事件的检查装置的示意图;以及 图11是根据本专利技术实施例的终端设备的示意图。【具体实施方式】 为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的 附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是 本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术 人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范 围。 需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语"第一"、"第 二"等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用 的数据在适当情况下可以互换,以便这里描述的本专利技术的实施例能够以除了在这里图示或 描述的那些以外的顺序实施。此外,术语"包括"和"具有"以及他们的任何变形,意图在于 覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限 于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产 品或设备固有的其它步骤或单元。 对本专利技术实施例中所涉及的技术术语做如下解释: SSH :英文全称是Secure Shell,是传统的网络服务程序,由客户端和服务端的软 件组成的,是基于SSL的安全登录和命令交互套件; SSHD :服务器守护进程配置文件; IDC :英文全称是Internet Data Center,是互联网数据中心,用于对外提供服务; 运营机:对外提供服务的机器; Cmdlog :记录运营机上执行的命令的命令收集器; MNET跳板机:进入运营机的入口; Linux Shell :linux系统的用户界面,提供用户与内核进行交互操作的一种接口; Shell审计:基于跳板机记录用户客户端操作的审计系统; SecureCRT :是一款支持SSH (SSHl和SSH2)的终端仿真程序,简单的说是Windows 下登录UNIX或Linux服务本文档来自技高网...
【技术保护点】
一种操作事件的检查方法,其特征在于,包括:获取目标机器上报的全局标识信息,其中,所述目标机器为登录账户通过原始机器所访问到的机器,所述登录账户登录至所述原始机器后,所述原始机器产生所述全局标识信息,并将所述全局标识信息传输至所述目标机器;获取所述目标机器上报的局部标识信息,其中,所述登录账户登录至所述目标机器后,所述目标机器产生所述局部标识信息;以及根据所述全局标识信息和所述局部标识信息检查出所述原始机器与所述目标机器之间的路径,其中,所述路径用于表示所述登录账户通过所述原始机器所执行的所述操作事件。
【技术特征摘要】
【专利技术属性】
技术研发人员:李宏雷,熊思敏,刘宁,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。