一种Unix类主机用户操作指令审计的方法和系统

摘要

本发明公开了一种Unix类主机用户操作指令审计的方法和系统，方法包括：采集当前登录用户在主机上的操作指令和/或屏幕显示内容，并将所述用户操作指令和/或屏幕显示内容发送到一准实时日志中；对所述准实时日志进行筛选，并根据关联规则进行关联，形成带有账号的操作日志；对所述操作日志进行定期展示或者按照告警提醒规则对所述操作日志进行逐一匹配，并在发现高危操作指令时通知给用户。该方法不用部署堡垒主机，解决了UNIX类主机由于“合法”违规操作而导致数据误删除、数据破坏、数据泄密等致使IDC承租企业利益受损的行为。

说明书

技术领域

本发明涉及一种Unix类主机用户操作指令审计的方法和系统，属于通信 领域。

背景技术

互联网数据中心（Internet Data Center，简称IDC）是基于Internet网络， 为集中式收集、存储、处理和发送数据的设备提供运行维护的设施基地并提 供相关的服务。IDC提供的主要业务包括主机托管（机位、机架、机房出租）、 资源出租（如虚拟主机业务、数据存储服务）、系统维护（系统配置、数据备 份、故障排除服务）、以及负载均衡、流量分析等其他支撑、运行服务等。

目前，在绝大多数互联网数据中心内部几乎都部署了防火墙、IDS、IPS 系统等安全设施，IDC运营者将这些网络安全设施承租给IDC内高端、重要 业务客户使用。同时高端、重要业务客户利用这些防火墙、IDS、IPS等常规 的网络安全产品建立了基础的网络安全防护措施，虽然这些基础网络安全防 护措施可以解决一部分安全问题，并在实际中取得了一定效果。但是在现实 中针对IDC承租客户来说IDC内网络安全事件仍时有发生，造成这些不合规、 不合法的行为很多来源于承租IDC计算资源客户中内部“合法”的用户违规操 作，这种由于“合法”违规操作而导致数据误删除、数据破坏、数据泄密等致使 IDC承租企业利益受损的行为，而上述防火墙、IDS、IPS等常规的网络安全 产品却显得无能为力。

针对IDC内承租客户这种“合法”违规操作发生的情况，由于UNIX类主 机系统自身的Syslog日志不记录用户的操作指令日志，所以目前IDC内一般 会采用以下两种方式来进行处理，一种方式是人工方式，即在“合法”违规事件 发生并对承租人造成具体损失后，由承租人事后聘请专业的安全专家通过人 工提取系统环境参数、日志文件等信息，并经过关联分析、逻辑推理来推定 是哪位内部“合法”用户的违规操作行为；另一种方式是通过单独部署运维审计 型堡垒机方式（公司内部4A方式），即堡垒主机部署在内网中的服务器和网 络设备等核心资源的逻辑前端，通过堡垒主机来记录承租IDC内计算资源的 用户操作行为，以此来发现“合法”用户的违规操作行为。

针对IDC承租企业内部“合法”违规操作而致使本企业利益受损后处置追 查的第一种方式，即人工方式属于被动式追查方式，这种方式往往要求专业 的安全专家依据最后现场所收集到的系统环境参数、日志文件等基础信息并 根据自身的经验对该违规操作进行关联分析，来推定具体违规人员，但是一 般“合法”用户在进行违规操作后，均会主动清除本次所有的操作信息、日志记 录避免被追查，从而无法追踪的具体人员，即使能够推测出具体“合法”用户， 也无法最终进行确认，同时该种方式无法满足自定义高危操作指令准实时性 提醒的要求。

针对第二种方式，由于考虑到UNIX类主机自身的Syslog日志自身不包 含操作日志，需通过单独部署运维审计型堡垒机方式（公司内部4A方式）， 这就要求我们IDC运营单位先期购买并部署大量的物理实体堡垒主机，占用 公司大量前期投资；同时由于这些堡垒主机均是各个安全厂家专用的物理实 体机器，没有统一的标准，所以与目前IDC内基于云计算的虚拟主机难以融 合，占用公司的日常维护资源。

同时对于IDC承租方来说，额外租用这些物理实体堡垒主机，增加了IDC 承租方的经济负担，即使IDC承租人经济上不是问题，由于运维审计型堡垒 机（公司内部4A方式）部署在内网中的服务器和网络设备等核心资源的逻辑 前端，从目前来看在具体维护人员实际的日常使用过程中还是存在一定的时 延、断线等问题，影响具体使用人员的用户感知，针对公司内部员工可通过 集团公司规章制度要求让公司具体一线维护人员坚持使用，但是针对IDC承 租方外部客户来说这种时延、断线可能造成客户的流失。同时单个堡垒机存 在单点故障的可能，最后个别运维审计型堡垒机（公司内部4A方式）要求保 存IDC承租人用户的所有账号信息和密码，增加了IDC承租人的安全管理风 险。

发明内容

本发明所要解决的技术问题是提供一种安全和方便的用户操作指令审计 的方法和系统。

本发明解决上述技术问题所采取的技术方案如下：

一种Unix类主机用户操作指令审计的方法，包括：

采集当前登录用户在主机上的操作指令和/或屏幕显示内容，并将所述用 户操作指令和/或屏幕显示内容发送到一准实时日志中；

对所述准实时日志进行筛选，并根据关联规则进行关联，形成带有账号 的操作日志；

对所述操作日志进行定期展示或者按照告警提醒规则对所述操作日志进 行逐一匹配，并在发现高危操作指令时通知给用户。

其中，对所述准实时日志进行筛选，并根据关联规则进行关联，形成带 有账号的操作日志，包括：

基于操作日志特征和账号特征对所述准实时日志进行筛选，将所有符合 账号日志特征和操作日志特征的日志筛选出来；

以登录账号为关联主键，对所述筛选出来的账号日志和操作日志进行关 联以建立起带有账号的操作日志。

进一步地，优选的是，基于history指令实时采集当前登录用户在主机上 的操作指令；和/或，基于screen指令采集当前登录用户在主机上的屏幕显示 内容。

进一步地，优选的是，基于Syslog的方式将所述用户操作指令和/或屏幕 显示内容准实时地发送到所述准实时日志中。

一种Unix类主机用户操作指令审计的系统，包括：

日志生成模块，用于采集当前登录用户在主机上的操作指令和/或屏幕显 示内容，并将所述用户操作指令和/或屏幕显示内容发送到一准实时日志中；

日志采集及存储模块，用于接收并存储所述准实时日志；

日志关联处理模块，用于对对所述准实时日志进行筛选，并根据关联规 则进行关联，形成带有账号的操作日志；

日志触发告警规则过滤模块，用于按照告警提醒规则对所述操作日志进 行逐一匹配，并在发现高危操作指令时通知给系统展现及高危操作指令提醒 模块；

系统展现及高危操作指令提醒模块，用于对所述操作日志进行展示或者 在发现高危操作指令时通知给用户。

进一步地，优选的是，所述日志关联处理模块，对所述准实时日志进行 筛选，并根据关联规则进行关联，形成带有账号的操作日志，具体包括：

基于操作日志特征和账号特征对所述准实时日志进行筛选，将所有符合 账号日志特征和操作日志特征的日志筛选出来；

以登录账号为关联主键，对所述筛选出来的账号日志和操作日志进行关 联以建立起带有账号的操作日志。

进一步地，优选的是，所述日志生成模块，进一步用于基于history指令 实时采集登录用户在主机上的操作指令；或者，基于screen指令采集登录用 户在主机上的屏幕显示内容。

进一步地，优选的是，还包括：

日志标准化及分发模块，用于对所述准实时日志按照预设的规则进行标 准化，形成标准化的准实时日志。

本发明采取了上述方案以后具有以下的技术效果：

本发明能够采集当前登录用户在主机上的操作指令和/或屏幕显示内容， 并将所述用户操作指令和/或屏幕显示内容发送到一准实时日志中，从而进行 后续的分析，该方法不用部署堡垒主机，解决了UNIX类主机由于“合法”违规 操作而导致数据误删除、数据破坏、数据泄密等致使IDC承租企业利益受损 的行为。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说 明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优 点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实 现和获得。

附图说明

下面结合附图对本发明进行详细的描述，以使得本发明的上述优点更加 明确。其中，

图1是本发明实施例Unix类主机用户操作指令审计的方法的流程示意 图；

图2是本发明实施例Unix类主机用户操作指令审计的方法的系统实际架 构图；

图3是本发明实施例Unix类主机用户操作指令审计的系统的结构示意 图；

图4是本发明实施例Unix类主机用户操作指令审计的方法的实施例的示 意图；

图5是本发明实施例Unix类主机用户操作指令审计的方法中基于history 命令方式采集用户操作日志的方法流程图；

图6是本发明实施例Unix类主机用户操作指令审计的方法中基于screen 指令方式采集用户操作日志的方法流程图；

图7是本发明实施例Unix类主机用户操作指令审计的方法中针对账号日 志和操作日志进行关联的方法流程图。

具体实施方式

以下将结合附图及实施例来详细说明本发明的实施方式，借此对本发明 如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解 并据以实施。需要说明的是，只要不构成冲突，本发明中的各个实施例以及 各实施例中的各个特征可以相互结合，所形成的技术方案均在本发明的保护 范围之内。

另外，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的 计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情 况下，可以以不同于此处的顺序执行所示出或描述的步骤。

具体来说，为了克服克服上述已有方式的不足，本发明提供了一种Unix 类主机用户操作指令审计的方法，如图1所示，包括：

步骤101：采集当前登录用户在主机上的操作指令和/或屏幕显示内容， 在优选的实施例中，基于UNIX系统默认history指令和screen指令的SHELL 特征方式生成用户操作指令和屏幕显示内容的日志，例如，基于history指令 实时采集当前登录用户在主机上的操作指令；基于screen指令采集当前登录 用户在主机上的屏幕显示内容。

步骤102：将所述用户操作指令和/或屏幕显示内容存储于一准实时日志 中，具体来说，基于Syslog的方式将所述用户操作指令和/或屏幕显示内容准 实时地发送到所述准实时日志中。

步骤103：对所述准实时日志进行筛选，即根据基于操作日志特征和账号 特征对所述准实时日志进行筛选，将所有符合账号日志特征和操作日志特征 的日志筛选出来。

步骤104：根据关联规则进行关联，形成带有账号的操作日志；

在实施例中，即以登录账号为关联主键，对所述筛选出来的账号日志和 操作日志进行关联以建立起带有账号的操作日志。

步骤105：对所述操作日志进行定期展示或者按照告警提醒规则对所述操 作日志进行逐一匹配，并在发现高危操作指令时通知给用户。

在实施例中，上述操作日志是一个动态的操作日志，由此，该方法能够 实时地进行高危操作指令匹配，从而能够及时地发现那些容易导致数据误删 除、数据破坏、数据泄密的高危指令，并能够及时通知用户，如，操作者本 人或者管理者。

并且，该方法在实施例中，主要基于UNIX系统默认history指令和screen 指令的SHELL特征方式生成用户操作指令和屏幕显示内容的日志，并基于 Syslog方式的UNIX类主机用户操作指令审计的方法和系统中，从而不用部 署堡垒主机。

例如，基于history指令实时采集用户最新的操作指令，并生成本地日志 信息，以Syslog方式发送到所述准实时日志中。

或者，进一步地，基于history指令实时采集用户最新的操作指令；

获取所述最新的操作指令的时间信息，将所述时间信息与所述最新的操 作指令进行聚合生成操作日志信息，将所述操作日志信息存储于本地日志中， 同时以Syslog方式发送到所述准实时日志中。

或者，基于screen指令采集用户执行操作指令后回显的所有屏幕显示内 容，并生成本地日志信息，以Syslog方式发送到所述准实时日志中。

或者，进一步地，基于screen指令采集用户执行操作指令后回显的所有 屏幕显示内容；

基于管道重定向的方式从包含操作日志信息中的本地存储日志中获取到 所述操作指令和时间信息。

对所述操作指令、时间信息和屏幕显示内容进行聚合以形成主机操作日 志信息，以Syslog方式发送到所述准实时日志中。

其中，结合图4，本发明UNIX类主机用户操作指令审计的方法，主要进 一步包括以下的详细步骤：

步骤一：日志数据生成步骤，即针对UNIX类计算资源采用基于系统默 认自带的history指令或screen指令的SHELL脚本生成账号日志和操作日志， 并通过Syslog方式进行准实时发送；

步骤二：日志数据采集步骤，即UNIX类计算资源通过自身的Syslog机 制，将所有info级别的日志准实时发送至日志采集和存储模块；

步骤三：日志数据标准化步骤，即日志数据采集后，通过初试定义的统 一标准化日志格式，将所有生成的日志按照统一的格式进行标准化入库，方 便后续对所有日志进行统一处理；

步骤四：账号和操作日志筛选步骤，即在所有标准化后的Syslog日志将 所有属于账号类日志特征和操作类日志特征的日志筛选出来，单独建立日志 队列；

步骤五：账号日志和操作日志关联步骤，即将账号日志和操作日志根据 登录账号为关联主键，建立单独的操作日志会话队列；

步骤六：日志触发告警规则过滤步骤，即对上述的日志队列中的日志， 逐条按照该用户资产组内用户自定义的高危操作指令告警提醒规则进行匹 配，将符合的规则派发给短信端口；

步骤七：系统WEB展现及高危操作指令告警提醒步骤，即短信提醒模块 将符合的高危操作指令告警提醒信息，例如，以短信的方式发送至当前配置 的用户，以帮助IDC承租人及时准确发现所租用计算资源的异常登录情况； 同时审计系统自带的Web方式，提供固定期限时间内所有IDC承租者设备的 所有操作日志。

以下对本发明的两种采集方法进行详细的说明，具体来说，基于history 指令实时采集当前登录用户在主机上的操作指令；和/或，基于screen指令采 集当前登录用户在主机上的屏幕显示内容。

其中，利用history指令的原理介绍如下，即在UNIX类计算资源中，在用 户进行指令操作时，系统在history指令中自动记录中用户最新的实际指令， 所以我们将每次最新的实际指令通过管道重定向方式到系统message（info级 别）中。

比如，如图5所示，以linux系统为例，历史命令存在于用户目录下 的.bash_history内，通过修改用户环境变量同时将利用tail命令获取最新的操 作指令，通过管道重定向方式到系统message（info级别）中：Tail –f.bash_history|logger来获取操作指令日志。

这种操作日志采集方式优点是无需在UNIX类主机上安装特殊的工具， 且准实时；缺点是只能发送操作记录，每次指令执行后的屏幕显示内容无法 获取。

在实施场景中，其具体的实施步骤为：

步骤一：获取操作日志要求的时间、指令等单一信息；

修改用户环境变量，获取指令执行时间：

vi/etc/profile//修改用户环境变量

HISTTIMEFORMAT=”%Y%m%d-%H%M%S:”

步骤二：聚合生成操作日志统一信息；

通过系统内部自带的logger命令，将上述单一信息进行聚合，形成主机 操作日志信息；

步骤三：发送到自身syslog日志中；

例如，tail–f.bash_history|logger//Linux的历史命令存在于用户目录下 的.bash_history内，通过管道重定向到message（info级别）中。

步骤四：通过自身Syslog方式发送操作日志给采集机。

vi/etc/syslog.conf//修改Syslog配置文件

*.info@采集机IP地址//将所有info级别的日志指向采集机。

其中，如图6所示，利用screen指令实施原理如下，即在UNIX类计算 资源中，在用户进行指令操作时，系统在screen指令（某些UNIX类主机需 安装该命令）中自动记录中用户所有屏幕显示，所以我们通过修改用户环境 变量，在用户登录后自动进入screen模式，这样在开启screen命令后，用户 的所有操作、屏幕显示均会在本地生成日志，同时将利用tail命令获取最新的 操作指令，通过管道重定向方式到系统message（info级别）中：Tail–f screen.log|logger来获取操作指令日志。

这种操作日志采集方式优点是全部记录用户操作的指令和指令执行后返 回的屏幕显示，且准实时；缺点是某些类型UNIX类主机需增加screen指令。

其实施步骤为：

步骤一：获取操作日志要求的时间、指令、指令回显等单一信息

用户登录后，修改配置文件系统自动执行：screen–L指令

修改用户环境变量，获取指令执行时间：

vi/etc/profile//修改用户环境变量

HISTTIMEFORMAT=”%Y%m%d-%H%M%S:”

步骤二：聚合生成操作日志统一信息

通过系统内部自带的logger命令，将上述单一信息进行聚合，形成主机 操作日志信息；

步骤三：发送到自身syslog日志中

tail–f screen.log|logger//开启screen指令后，用户所有的操作、屏幕 显示均会在本地生成日志，通过管道重定向到message（info级别）中，并发 送，其中，tail指令是从指定点开始将文件写到标准输出。

步骤四：通过自身Syslog方式发送操作日志

vi/etc/syslog.conf//修改Syslog配置文件

*.info@采集机IP地址//将所有info级别的日志指向采集机。

以下进一步地对其中的关联步骤进行说明，如图7所示，该方式的具体 实施步骤为：

步骤一：动态用户账号队列建立步骤；

即对于每一个用户账号登录日志建立一个以账号为关键字的动态队列 （同一个设备（相同IP地址）每个不同账号一个队列）。

步骤二：用户操作指令规则匹配步骤；

即对于每一条操作指令日志，根据操作指令日志中账号，分配到步骤一 中建立的用户账号动态队列中，重复往复，同时将符合匹配告警提醒规则的 告警信息，发送到短信提醒模块。

步骤三：每个动态用户账号操作指令队列结束

即当收到用户登出时的账号日志信息的时候，送到该用户账号为关键字 的该队列中，作为本次操作会话的结束标志。

相对于现有技术，本发明具有以下的主要优点：

第一，即通过创新性的SHELL脚本（history、screen）方式，解决了目 前UNIX系统自身Syslog日志中无操作指令日志的问题；

第二，由于在IDC内不用单独部署运维审计型堡垒机方式，减少了IDC 内硬件投资，同时这种方式完全不影响用户正常的操作感知，又无堡垒主机 单点故障的隐患；

第三，通过Syslog准实时方式和短信方式，解决了传统操作审计的时延 问题，确保IDC计算资源承租人能够迅速发现安全事件，更好的服务于IDC 广大用户，且其速度非常快。

其中，如图2和图3所示，是本发明实施例的UNIX类主机用户操作指 令审计系统的结构示意图，其包括：

日志生成模块，用于采集当前登录用户在主机上的操作指令和/或屏幕显 示内容，并将所述用户操作指令和/或屏幕显示内容发送到一准实时日志中；

日志采集及存储模块，用于接收并存储所述准实时日志；

日志关联处理模块，用于对对所述准实时日志进行筛选，并根据关联规 则进行关联，形成带有账号的操作日志；

日志触发告警规则过滤模块，用于按照告警提醒规则对所述操作日志进 行逐一匹配，并在发现高危操作指令时通知给系统展现及高危操作指令提醒 模块；

系统展现及高危操作指令提醒模块，用于对所述操作日志进行展示或者 在发现高危操作指令时通知给用户。

并且，所述日志关联处理模块，对所述准实时日志进行筛选，并根据关 联规则进行关联，形成带有账号的操作日志，具体包括：

基于操作日志特征和账号特征对所述准实时日志进行筛选，将所有符合 账号日志特征和操作日志特征的日志筛选出来；

以登录账号为关联主键，对所述筛选出来的账号日志和操作日志进行关 联以建立起带有账号的操作日志。

更详细地说，所述日志生成模块，用于针对UNIX类计算资源采用基于 系统默认history指令和screen指令的SHELL特征方式生成用户操作指令和 屏幕显示内容日志，并通过Syslog方式进行准实时发送；

日志采集及存储模块，用于以标准Syslog方式收集IDC内被监控主机设 备的Syslog日志；

此外，还包括：日志标准化及分发模块，用于按照配置规则对所有Syslog 日志进行标准化，并将账号日志和操作日志发送至日志关联处理模块处理， 其他日志信息发给审计系统其它模块；

且日志触发告警规则过滤模块，用于按照用户自定义的规则对关联账号 之后操作日志进行过滤；

系统展现及高危操作指令提醒模块，用于将所过滤后的告警提醒信息以 短信方式发送至当前配置的终端用户手机中，同时通过Web方式提供指定期 限之内的操作日志展示查询功能。

其中，系统采用总线模式实现系统内部数据的传递，并将除了生成的账 号日志和操作日志之外的其它传统syslog日志信息发给审计系统其他模块进 行分析。

该系统具有方法实施例的优点，即其能够实时地进行高危操作指令匹配， 从而能够及时地发现那些容易导致数据误删除、数据破坏、数据泄密的高危 指令，并能够及时通知用户，如，操作者本人或者管理者。

需要说明的是，对于上述方法实施例而言，为了简单描述，故将其都表 述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描 述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同 时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属 于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或 计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、 或结合软件和硬件方面的实施例的形式。

而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计 算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等） 上实施的计算机程序产品的形式。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限 制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的 技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或 者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作 的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。