本发明专利技术涉及一种服务器入侵告警方法及其系统,所述方法包括:实时获取服务器操作指令,并将所述服务器操作指令分解为基本指令和简单指令;其中,所述基本指令为不带选项和参数的系统安装的初始指令,所述简单指令为能完整处理一项操作且仅带一个基本指令的指令;将所述基本指令与基本指令库中的指令进行匹配得到第一匹配结果,若所述基本指令与基本指令库中的指令匹配,则将所述简单指令与简单指令库中的指令进行匹配得到第二匹配结果;根据所述第一匹配结果或第二匹配结果进行告警。所述系统与所述方法对应。实施本发明专利技术,能够实现同时防范专业黑客以及其他不具有服务器管理权限的普通工作人员入侵服务器。
【技术实现步骤摘要】
一种服务器入侵告警方法及其系统
本专利技术涉及服务器运维安全领域,具体涉及一种服务器入侵告警方法及其系统。
技术介绍
目前针对服务器入侵,大多都是通过其他技术手段,在入侵者进入服务器之前进行防护或者设置监控告警。也有通过检测异常指令的,但多是针对黑客,有明显异常特征,如执行bash命令进行提权、建立账户等。如果是普通者入侵,该方案就会失效。而日常工作中,我们需要对服务器进行管理,专人专机,不同的工作人员维护不同的服务器,除了防范专业黑客的入侵,也要防范其他工作人员入侵非他管理的服务器。
技术实现思路
本专利技术的目的在于提出一种服务器入侵告警方法及其系统,以实现同时防范专业黑客以及其他不具有服务器管理权限的普通工作人员入侵服务器。第一方面,本专利技术实施例提供一种服务器入侵告警方法,包括如下步骤:实时获取服务器操作指令,并将所述服务器操作指令分解为基本指令和简单指令;其中,所述基本指令为不带选项的指令,所述简单指令为能完整处理一项操作的指令;将所述基本指令与基本指令库中的指令进行匹配得到第一匹配结果,若所述基本指令与基本指令库中的指令匹配,则将所述简单指令与简单指令库中的指令进行匹配得到第二匹配结果;根据所述第一匹配结果或第二匹配结果进行告警。优选地,所述根据所述第一匹配结果或第二匹配结果进行告警包括:若所述基本指令与基本指令库中的指令不匹配,则以第一方式进行告警。优选地,所述根据所述第一匹配结果或第二匹配结果进行告警包括:若所述基本指令与基本指令库中的指令不匹配,则对基本指令与基本指令库中的指令不匹配的指令数量累加值M1进行加1更新;根据更新后的指令数量M1与第一预设阈值的比较结果进行告警,若更新后的指令数量累加值M1大于第一预设阈值,则以第二方式进行告警并清零所述指令数量累加值M1。优选地,所述根据所述第一匹配结果或第二匹配结果进行告警包括:若所述简单指令与简单指令库中的指令不匹配,则以第三方式进行告警。优选地,所述根据所述第一匹配结果或第二匹配结果进行告警包括:若所述简单指令与简单指令库中的指令不匹配,则对简单指令与简单指令库中的指令不匹配的指令数量累加值M2进行加1更新;根据更新后的指令数量累加值M2与第二预设阈值的比较结果进行告警,若更新后的指令数量累加值M2大于第二预设阈值,则以第四方式进行告警并清零所述指令数量累加值M2。第二方面,本专利技术实施例提供一种服务器入侵告警系统,包括:指令获取单元,用于实时获取服务器操作指令,并将所述服务器操作指令分解为基本指令和简单指令;其中,所述基本指令为不带选项的指令,所述简单指令为能完整处理一项操作的指令;指令匹配单元,用于将所述基本指令与基本指令库中的指令进行匹配得到第一匹配结果,并在所述基本指令与基本指令库中的指令匹配情况下将所述简单指令与简单指令库中的指令进行匹配得到第二匹配结果;告警单元,用于根据所述第一匹配结果或第二匹配结果进行告警。优选地,所述告警单元包括:第一告警子单元,用于在所述基本指令与基本指令库中的指令不匹配时,以第一方式进行告警。优选地,所述告警单元包括:第一计算子单元,用于在所述基本指令与基本指令库中的指令不匹配时,对基本指令与基本指令库中的指令不匹配的指令数量累加值M1进行加1更新;第二告警子单元,用于根据更新后的指令数量累加值M1与第一预设阈值的比较结果进行告警,若更新后的指令数量累加值M1大于第一预设阈值,则以第二方式进行告警并清零所述指令数量累加值M1。优选地,所述告警单元包括:第三告警子单元,用于在所述简单指令与简单指令库中的指令不匹配时,以第三方式进行告警。优选地,所述告警单元包括:第二计算子单元,用于在所述简单指令与简单指令库中的指令不匹配时,对简单指令与简单指令库中的指令不匹配的指令数量累加值M2进行加1更新;第四告警子单元,用于根据更新后的指令数量累加值M2与第一预设阈值的比较结果进行告警,若更新后的指令数量累加值M2大于第一预设阈值,则以第四方式进行告警并清零所述指令数量累加值M2。在本专利技术实施例中,由于不同管理员操作习惯不同,在对服务器进行管理时输入的指令内容不同,因此通过获取管理员一定时间周期内容的指令内容,进行分析得到基本指令数据和简单指令数据,根据基本指令数据和简单指令数据分别得到基本指令库和简单指令库,基本指令库存储有多个基本指令,简单指令库存储有多个简单指令;通过实时获取服务器操作指令,并将所述服务器操作指令分解为基本指令和简单指令;根据分解得到的基本指令和简单指令与基本指令库和简单指令库中的指令数据进行匹配,基于匹配结果判断是否是不具有服务器管理权限的人员入侵服务器,能够同时防范专业黑客以及其他不具有服务器管理权限的普通工作人员入侵服务器。本专利技术实施例可用于服务器安全监控,防范服务器被入侵的风险,维护系统安全、数据安全。本专利技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而得以体现。本专利技术的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。当然,实施本专利技术的任一产品或方法并不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例一中一种服务器入侵告警方法流程图。图2为本专利技术实施例二中一种服务器入侵告警系统示意图。具体实施方式以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。另外,为了更好的说明本专利技术,在下文的具体实施例中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本专利技术同样可以实施。在一些实例中,对于本领域技术人员熟知的手段未作详细描述,以便于凸显本专利技术的主旨。如图1所示,本专利技术实施例一提供本专利技术实施例提供一种服务器入侵告警方法,包括如下步骤:步骤S1、实时获取服务器操作指令,并将所述服务器操作指令分解为基本指令和简单指令;其中,所述基本指令为不带选项和参数的系统安装的初始指令,所述简单指令为能完整处理一项操作且仅带一个基本指令的指令;例如,服务器操作指令为ls-lart,其中,简单指令为ls-lart,基本指令为ls;步骤S2、将所述基本指令与基本指令库中的指令进行匹配得到第一匹配结果,若所述基本指令与基本指令库中的指令匹配,则将所述简单指令与简单指令库中的指令进行匹配得到第二匹配结果;步骤S3、根据所述第一匹配结本文档来自技高网...
【技术保护点】
1.一种服务器入侵告警方法,其特征在于,包括如下步骤:/n实时获取服务器操作指令,并将所述服务器操作指令分解为基本指令和简单指令;其中,所述基本指令为不带选项和参数的系统安装的初始指令,所述简单指令为能完整处理一项操作且仅带一个基本指令的指令;/n将所述基本指令与基本指令库中的指令进行匹配得到第一匹配结果,若所述基本指令与基本指令库中的指令匹配,则将所述简单指令与简单指令库中的指令进行匹配得到第二匹配结果;/n根据所述第一匹配结果或第二匹配结果进行告警。/n
【技术特征摘要】
1.一种服务器入侵告警方法,其特征在于,包括如下步骤:
实时获取服务器操作指令,并将所述服务器操作指令分解为基本指令和简单指令;其中,所述基本指令为不带选项和参数的系统安装的初始指令,所述简单指令为能完整处理一项操作且仅带一个基本指令的指令;
将所述基本指令与基本指令库中的指令进行匹配得到第一匹配结果,若所述基本指令与基本指令库中的指令匹配,则将所述简单指令与简单指令库中的指令进行匹配得到第二匹配结果;
根据所述第一匹配结果或第二匹配结果进行告警。
2.如权利要求1所述的服务器入侵告警方法,其特征在于,所述根据所述第一匹配结果或第二匹配结果进行告警包括:
若所述基本指令与基本指令库中的指令不匹配,则以第一方式进行告警。
3.如权利要求2所述的服务器入侵告警方法,其特征在于,所述根据所述第一匹配结果或第二匹配结果进行告警包括:
若所述基本指令与基本指令库中的指令不匹配,则对基本指令与基本指令库中的指令不匹配的指令数量累加值M1进行加1更新;
根据更新后的指令数量M1与第一预设阈值的比较结果进行告警,若更新后的指令数量累加值M1大于第一预设阈值,则以第二方式进行告警并清零所述指令数量累加值M1。
4.如权利要求1-3任一项所述的服务器入侵告警方法,其特征在于,所述根据所述第一匹配结果或第二匹配结果进行告警包括:
若所述简单指令与简单指令库中的指令不匹配,则以第三方式进行告警。
5.如权利要求4所述的服务器入侵告警方法,其特征在于,所述根据所述第一匹配结果或第二匹配结果进行告警包括:
若所述简单指令与简单指令库中的指令不匹配,则对简单指令与简单指令库中的指令不匹配的指令数量累加值M2进行加1更新;
根据更新后的指令数量累加值M2与第二预设阈值的比较结果进行告警,若更新后的指令数量累加值M2大于第二预设阈值,则以第四方式进行告警并清零所述指令数量累加值M2。
6....
【专利技术属性】
技术研发人员:黄培斌,汤鸿儒,李辉,宋义伟,
申请(专利权)人:广州汽车集团股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。