本发明专利技术公开了一种安全审计方法、装置、设备及可读存储介质,该方法包括:获取shell命令,并确定出shell命令的操作记录;判断历史记录文件是否被篡改;如果否,则将操作记录存入历史记录文件;如果是,则输出告警信息,并在新建历史记录文件后,将操作记录存入新建的历史记录文件;存储操作记录后,执行shell命令。该方法不仅可将shell命令的操作记录进行有效存储,还可在存储过程中基于历史记录文件进行安全审计,能够及时且有效地发现恶意攻击,能够有效保障系统信息安全。
【技术实现步骤摘要】
一种安全审计方法、装置、设备及可读存储介质
本专利技术涉及信息安全
,特别是涉及一种安全审计方法、装置、设备及可读存储介质。
技术介绍
在Linux系统下可通过history命令查看用户所有的历史操作记录,在安全审计中起着非常重要的作用。但是,基于history命令来进行安全审计,存在很多问题,如History命令将操作记录保存于内存中,当退出或登录shell时,会被自动保存或读取。History命令支持将历史操作记录写入磁盘,但写入操作不是实时的,导致“reboot”操作不会记录至磁盘。由此导致系统重启的记录也不能被审计。黑客可通过History命令历史获取用户敏感信息,如通过命令“mysql-h192.168.1.100-uroot-pabcd123456”登录远程数据库,很容易暴露数据库用户名及密码。另外,黑客在系统上执行完命令后会删除常用目录/root/.history,管理员经常无法察觉系统被攻击。综上所述,如何有效地解决安全审计等问题,是目前本领域技术人员急需解决的技术问题。
技术实现思路
本专利技术的目的是提供一种安全审计方法、装置、设备及可读存储介质,以在执行shell命令之前,会存储该shell命令的操作记录,且在存储操作记录的过程中,会判断历史记录文件是否被篡改,在确定出现篡改时,输出报警信息。如此,基于历史记录文件便可有效确定系统是否遭受恶意攻击,另外由于对操作记录进行了存储,后续还可基于操作记录进一步确定恶意攻击的具体情况。为解决上述技术问题,本专利技术提供如下技术方案:一种安全审计方法,包括:获取shell命令,并确定出所述shell命令的操作记录;判断历史记录文件是否被篡改;如果否,则将所述操作记录存入所述历史记录文件;如果是,则输出告警信息,并在新建历史记录文件后,将所述操作记录存入新建的历史记录文件;存储所述操作记录后,执行所述shell命令。优选地,将所述操作记录存入所述历史记录文件,包括:加密所述操作记录,并将加密后的操作记录存入所述历史记录文件。优选地,将所述操作记录存入所述历史记录文件,包括:对所述历史记录进行完整性校验,得到校验结果;将所述校验结果存储在所述历史记录文件中。优选地,所述判断历史记录文件是否被篡改,包括:利用所述历史记录文件中各个操作记录的完整性校验结果,得到所述历史记录文件的当前校验值;判断所述当前校验值与上一次记录了操作记录后得到的标准校验值是否一致;如果是,则确定所述历史记录文件未被篡改;如果否,则确定所述历史记录文件已被篡改。优选地,所述确定出所述shell命令的操作记录,包括:获取所述shell命令的操作信息;所述操作信息包括操作主体和操作时间;利用所述操作信息和所述shell命令,得到所述操作记录。优选地,在确定出所述shell命令的操作记录之后,在执行所述shell命令之前,还包括:将所述操作记录存入异地服务器中的历史记录备份文件。优选地,在确定所述历史记录文件被篡改后,还包括:利用所述历史记录备份文件,确定出被篡改的目标操作记录;利用所述目标操作记录,确定恶意攻击行为。一种安全审计装置,包括:操作记录获取模块,用于获取shell命令,并确定出所述shell命令的操作记录;判断模块,用于判断历史记录文件是否被篡改;操作记录存储模块,用于如果所述历史记录文件未被篡改,则将所述操作记录存入所述历史记录文件;篡改告警模块,用于如果所述历史记录文件被篡改,则输出告警信息,并在新建历史记录文件后,将所述操作记录存入新建的历史记录文件;命令执行模块,用于存储所述操作记录后,执行所述shell命令。一种安全审计设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述安全审计方法的步骤。一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述安全审计方法的步骤。应用本专利技术实施例所提供的方法,获取shell命令,并确定出shell命令的操作记录;判断历史记录文件是否被篡改;如果否,则将操作记录存入历史记录文件;如果是,则输出告警信息,并在新建历史记录文件后,将操作记录存入新建的历史记录文件;存储操作记录后,执行shell命令。在本方法中,在执行shell命令之前,在历史记录文件中记录操作记录的同时,可基于历史记录文件进行安全审计。具体的,在存储操作记录的过程中,判断历史记录文件是否被篡改,如果没有被篡改,则正常存储操作记录在历史记录文件中;如果发现历史记录文件被篡改,即表明当前系统可能遭受恶意攻击,则输出告警信息,且重新建历史记录文件,将本次获取的shell命令的操作记录存入新建的历史记录文件中。可见,在本方法中,不仅可将shell命令的操作记录进行有效存储,还可在存储过程中基于历史记录文件进行安全审计,能够及时且有效地发现恶意攻击,能够有效保障系统信息安全。相应地,本专利技术实施例还提供了与上述安全审计方法相对应的安全审计装置、设备和可读存储介质,具有上述技术效果,在此不再赘述。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例中一种安全审计方法的实施流程图;图2为本专利技术实施例中一种历史记录文件存储格式示意图;图3为本专利技术实施例中一种安全审计方法的具体实施流程图图4为本专利技术实施例中一种安全审计装置的结构示意图;图5为本专利技术实施例中一种安全审计设备的结构示意图;图6为本专利技术实施例中一种安全审计设备的具体结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术方案,下面结合附图和具体实施方式对本专利技术作进一步的详细说明。显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。实施例一:请参考图1,图1为本专利技术实施例中一种安全审计方法的流程图,该方法可应用于集成了若干命令的命令工具(如busybox)中。其中,Busybox是一个集成了许多常用linux命令的工具软件,可实现查找命令(如find、grep等)、编辑命令(如vi、diff、echo等)、文件管理命令(如rm、mv、touch、rmdir等)、网络类命令(如ifconfig、telnet、ftpget等)及系统管理类命令(如reboot、init、kill等)。该方法包括以下步骤:S10本文档来自技高网...
【技术保护点】
1.一种安全审计方法,其特征在于,包括:/n获取shell命令,并确定出所述shell命令的操作记录;/n判断历史记录文件是否被篡改;/n如果否,则将所述操作记录存入所述历史记录文件;/n如果是,则输出告警信息,并在新建历史记录文件后,将所述操作记录存入新建的历史记录文件;/n存储所述操作记录后,执行所述shell命令。/n
【技术特征摘要】
1.一种安全审计方法,其特征在于,包括:
获取shell命令,并确定出所述shell命令的操作记录;
判断历史记录文件是否被篡改;
如果否,则将所述操作记录存入所述历史记录文件;
如果是,则输出告警信息,并在新建历史记录文件后,将所述操作记录存入新建的历史记录文件;
存储所述操作记录后,执行所述shell命令。
2.根据权利要求1所述的安全审计方法,其特征在于,将所述操作记录存入所述历史记录文件,包括:
加密所述操作记录,并将加密后的操作记录存入所述历史记录文件。
3.根据权利要求1所述的安全审计方法,其特征在于,将所述操作记录存入所述历史记录文件,包括:
对所述历史记录进行完整性校验,得到校验结果;
将所述校验结果存储在所述历史记录文件中。
4.根据权利要求3所述的安全审计方法,其特征在于,所述判断历史记录文件是否被篡改,包括:
利用所述历史记录文件中各个操作记录的完整性校验结果,得到所述历史记录文件的当前校验值;
判断所述当前校验值与上一次记录了操作记录后得到的标准校验值是否一致;
如果是,则确定所述历史记录文件未被篡改;
如果否,则确定所述历史记录文件已被篡改。
5.根据权利要求1所述的安全审计方法,其特征在于,所述确定出所述shell命令的操作记录,包括:
获取所述shell命令的操作信息;所述操作信息包括操作主体和操作时间;
利用所述操作信息和所...
【专利技术属性】
技术研发人员:宗琪,
申请(专利权)人:成都卫士通信息产业股份有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。