操作事件的檢測(cè)方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)服務(wù)領(lǐng)域，具體而言，涉及一種操作事件的檢測(cè)方法和裝置。
【背景技術(shù)】
[0002]目前業(yè)界對(duì)運(yùn)維事件進(jìn)行檢測(cè)(B卩，審計(jì))的主要手段是部署堡壘主機(jī)，即要求所有運(yùn)維人員的操作必須通過(guò)堡壘主機(jī)進(jìn)行，實(shí)現(xiàn)堡壘主機(jī)對(duì)全部操作過(guò)程的錄像，并隨意回放。通過(guò)分析錄像等手段，解析出運(yùn)維人員的操作流水、登錄日志等信息(一般為:操作者、操作IP、操作命令、操作時(shí)間)。
[0003]圖1是現(xiàn)有技術(shù)中一種對(duì)運(yùn)維事件進(jìn)行檢測(cè)的示意圖，圖2是圖1中示出的運(yùn)維檢測(cè)的工作原理圖，如圖2所示，圖1中示出的運(yùn)維檢測(cè)的主要工作原理是:用戶10要對(duì)IDCdnternet Data Center,互聯(lián)網(wǎng)數(shù)據(jù)中心,簡(jiǎn)稱IDC)運(yùn)營(yíng)機(jī)30進(jìn)行運(yùn)維操作時(shí)，需要登錄堡壘主機(jī)20 (步驟SI)，登錄堡壘主機(jī)20后，用戶10通過(guò)堡壘主機(jī)20登錄到IDC運(yùn)營(yíng)機(jī)30上，對(duì)IDC運(yùn)營(yíng)機(jī)30進(jìn)行運(yùn)維工作(步驟S2)，堡壘主機(jī)20將用戶10的全部的運(yùn)維操作記錄下來(lái)后傳送至檢測(cè)系統(tǒng)40 (步驟S3)，管理員日后可以在檢測(cè)系統(tǒng)40上進(jìn)行回放等審計(jì)工作，其中，堡壘主機(jī)20上記錄有誰(shuí)(操作者)在哪里(操作IP)什么時(shí)候(操作時(shí)間)干了什么(操作命令)。
[0004]上述對(duì)運(yùn)維事件進(jìn)行檢測(cè)的方案，在運(yùn)營(yíng)機(jī)數(shù)量比較龐大的情況下，如果每臺(tái)運(yùn)營(yíng)機(jī)的屏幕尺寸都不一樣的話，會(huì)出現(xiàn)錄像內(nèi)容的多樣化，導(dǎo)致堡壘主機(jī)上傳至檢測(cè)系統(tǒng)的數(shù)據(jù)量龐大，進(jìn)而導(dǎo)致通過(guò)特征提取進(jìn)行運(yùn)維事件分析的工作量加大，并且檢測(cè)效率和檢測(cè)結(jié)果的準(zhǔn)確度也均降低。并且上述檢測(cè)方案，僅能記錄交互式操作，對(duì)于非交互式操作、系統(tǒng)操作或crontab操作均無(wú)法記錄，而且如果用戶繞過(guò)堡壘主機(jī)直接對(duì)運(yùn)營(yíng)機(jī)進(jìn)行運(yùn)維工作的話，造成堡壘主機(jī)監(jiān)測(cè)不到用戶的運(yùn)維操作，進(jìn)而導(dǎo)致檢測(cè)系統(tǒng)無(wú)法根據(jù)堡壘主機(jī)的上傳數(shù)據(jù)對(duì)運(yùn)維事件進(jìn)行分析。另外，現(xiàn)有的檢測(cè)方案僅能對(duì)操作者、操作IP、操作時(shí)間和操作命令進(jìn)行記錄，由于此種記錄的數(shù)據(jù)緯度較低，在某些情況下僅根據(jù)這些記錄并不能準(zhǔn)確地運(yùn)維事件的合法與否進(jìn)行判定，造成運(yùn)維事件的檢測(cè)精度降低。
[0005]針對(duì)相關(guān)技術(shù)中運(yùn)維事件的檢測(cè)精度較低的問(wèn)題，目前尚未提出有效的解決方案。

【發(fā)明內(nèi)容】

[0006]本發(fā)明實(shí)施例提供了一種操作事件的檢測(cè)方法和裝置，以至少解決現(xiàn)有技術(shù)中運(yùn)維事件的檢測(cè)精度較低的技術(shù)問(wèn)題。
[0007]根據(jù)本發(fā)明實(shí)施例的一個(gè)方面，提供了一種操作事件的檢測(cè)方法，包括:獲取目標(biāo)命令解析器上的操作數(shù)據(jù)，其中，所述目標(biāo)命令解析器為用戶客戶端登錄目標(biāo)機(jī)器的接口，所述操作數(shù)據(jù)為所述用戶客戶端通過(guò)所述目標(biāo)命令解析器執(zhí)行所述操作事件的數(shù)據(jù)；從所述操作數(shù)據(jù)中提取目標(biāo)數(shù)據(jù)，其中，所述目標(biāo)數(shù)據(jù)為用于檢測(cè)所述操作事件的數(shù)據(jù)；以及對(duì)所述目標(biāo)數(shù)據(jù)進(jìn)行處理，以檢測(cè)所述操作事件是否合法。
[0008]根據(jù)本發(fā)明實(shí)施例的另一方面，還提供了一種操作事件的檢測(cè)裝置，包括:獲取單元，用于獲取目標(biāo)命令解析器上的操作數(shù)據(jù)，其中，所述目標(biāo)命令解析器為用戶客戶端登錄目標(biāo)機(jī)器的接口，所述操作數(shù)據(jù)為所述用戶客戶端通過(guò)所述目標(biāo)命令解析器執(zhí)行所述操作事件的數(shù)據(jù)；提取單元，用于從所述操作數(shù)據(jù)中提取目標(biāo)數(shù)據(jù)，其中，所述目標(biāo)數(shù)據(jù)為用于檢測(cè)所述操作事件的數(shù)據(jù)；以及檢測(cè)單元，用于對(duì)所述目標(biāo)數(shù)據(jù)進(jìn)行處理，以檢測(cè)所述操作事件是否合法。
[0009]在本發(fā)明實(shí)施例中，采用獲取目標(biāo)命令解析器上的操作數(shù)據(jù)，其中，所述目標(biāo)命令解析器為用戶客戶端登錄目標(biāo)機(jī)器的接口，所述操作數(shù)據(jù)為所述用戶客戶端通過(guò)所述目標(biāo)命令解析器執(zhí)行所述操作事件的數(shù)據(jù)；從所述操作數(shù)據(jù)中提取目標(biāo)數(shù)據(jù)，其中，所述目標(biāo)數(shù)據(jù)為用于檢測(cè)所述操作事件的數(shù)據(jù)；以及對(duì)所述目標(biāo)數(shù)據(jù)進(jìn)行處理，以檢測(cè)所述操作事件是否合法，通過(guò)利用目標(biāo)命令解析器獲取用戶客戶端對(duì)目標(biāo)機(jī)器的操作數(shù)據(jù)，實(shí)現(xiàn)了對(duì)用戶客戶端的每一次操作及操作的相關(guān)數(shù)據(jù)均進(jìn)行獲取，能夠更加及時(shí)地對(duì)操作事件進(jìn)行檢測(cè)，并且在用戶繞過(guò)堡壘主機(jī)直接對(duì)運(yùn)營(yíng)機(jī)進(jìn)行運(yùn)維工作的情況下，仍然能夠監(jiān)測(cè)獲取到用戶的運(yùn)維操作數(shù)據(jù)，而且所獲取到的操作數(shù)據(jù)能夠直接表示用戶的操作行為，大大減少了對(duì)運(yùn)維事件分析的工作量，提高了利用目標(biāo)數(shù)據(jù)對(duì)操作事件進(jìn)行檢測(cè)的檢測(cè)效率和檢測(cè)結(jié)果的準(zhǔn)確度。同時(shí)，將用戶客戶端的每個(gè)操作的每個(gè)屬性均格式化記錄下來(lái)，實(shí)現(xiàn)了能夠涵蓋更多的操作場(chǎng)景，以便利用目標(biāo)數(shù)據(jù)精確地判斷表示運(yùn)維工作的操作事件是否合法，解決了現(xiàn)有技術(shù)中運(yùn)維事件的檢測(cè)精度較低的問(wèn)題，進(jìn)而達(dá)到了提高檢測(cè)精度和檢測(cè)效率的效果。
【附圖說(shuō)明】
[0010]此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解，構(gòu)成本申請(qǐng)的一部分，本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明，并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:
[0011]圖1是根據(jù)現(xiàn)有技術(shù)的一種對(duì)運(yùn)維事件進(jìn)行檢測(cè)的示意圖；
[0012]圖2是圖1中示出的運(yùn)維檢測(cè)的工作原理圖；
[0013]圖3是應(yīng)用本發(fā)明實(shí)施例的操作事件的檢測(cè)方法的檢測(cè)系統(tǒng)的示意圖；
[0014]圖4是根據(jù)本發(fā)明實(shí)施例的操作事件的檢測(cè)方法的流程圖；
[0015]圖5是根據(jù)本發(fā)明實(shí)施例的操作事件的檢測(cè)裝置的示意圖；以及
[0016]圖6是根據(jù)本發(fā)明實(shí)施例的終端設(shè)備的示意圖。
【具體實(shí)施方式】
[0017]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。
[0018]需要說(shuō)明的是，本發(fā)明的說(shuō)明書和權(quán)利要求書及上述附圖中的術(shù)語(yǔ)“第一”、“第二”等是用于區(qū)別類似的對(duì)象，而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換，以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤?。此外，術(shù)語(yǔ)“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過(guò)程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元，而是可包括沒(méi)有清楚地列出的或?qū)τ谶@些過(guò)程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。
[0019]對(duì)本發(fā)明實(shí)施例中所涉及的技術(shù)術(shù)語(yǔ)做如下解釋:
[0020]運(yùn)維審計(jì):對(duì)運(yùn)維人員的訪問(wèn)過(guò)程進(jìn)行全過(guò)程的操作記錄、事后操作過(guò)程的回放。
[0021]堡壘主機(jī):一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中在某個(gè)主機(jī)上解決。
[0022]IDC:英文全稱是Internet Data Center,是互聯(lián)網(wǎng)數(shù)據(jù)中心,用于對(duì)外提供服務(wù)。
[0023]Linux:是一套免費(fèi)使用和自由傳播的類Unix操作系統(tǒng),廣泛用于各種設(shè)備中。
[0024]SHELL:提供使用者使用界面的軟件，它接收用戶命令，然后調(diào)用相應(yīng)的應(yīng)用程序。
[0025]BASH =SHELL的一種，是許多Linux系統(tǒng)的內(nèi)定SHELL，利用BASH執(zhí)行的操作會(huì)被反饋給操作系統(tǒng)，再由操作系統(tǒng)反饋給用戶。
[0026]IP:網(wǎng)絡(luò)地址，標(biāo)示互聯(lián)網(wǎng)上的每一臺(tái)主機(jī)。
[0027]交互式操作:操作者輸入信息和指令，系統(tǒng)接收到處理之后顯示出來(lái)，操作人員可根據(jù)結(jié)果進(jìn)一步輸入信息和指令。
[0028]Crontab:常見(jiàn)于Linux系統(tǒng)中，用于設(shè)置周期性被執(zhí)行的指令，無(wú)需人工操作。
[0029]進(jìn)程:是一次程序的執(zhí)行，是一個(gè)程序及其數(shù)據(jù)在計(jì)算機(jī)上順序執(zhí)行時(shí)所發(fā)生的活動(dòng)。
[0030]進(jìn)程ID:Process Identifier (PID),進(jìn)程控制符，即進(jìn)程的身份標(biāo)識(shí)。
[0031]父進(jìn)程:指已創(chuàng)建一個(gè)或多個(gè)進(jìn)程的進(jìn)程，比如某個(gè)進(jìn)程A用于創(chuàng)建一個(gè)或多個(gè)進(jìn)程B，則該進(jìn)程A可以稱作進(jìn)程B的父進(jìn)程，或者說(shuō)進(jìn)程B