專利名稱：優(yōu)利克斯計(jì)算機(jī)系統(tǒng)中安全轉(zhuǎn)換用戶的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及計(jì)算機(jī)用戶安全技術(shù)和訪問(wèn)控制技術(shù)，尤其涉及應(yīng)用在UNIX(優(yōu)利克斯)和類UNIX操作系統(tǒng)中的那些計(jì)算機(jī)用戶的安全技術(shù)和訪問(wèn)控制技術(shù)。
背景技術(shù)：
各種不同形式的UNIX操作系統(tǒng)，也包括類似操作系統(tǒng)，是執(zhí)行關(guān)鍵性任務(wù)的應(yīng)用程序賴以存在的強(qiáng)有力工具。它的安全性、可伸縮性和穩(wěn)健性使它經(jīng)得起時(shí)間的考驗(yàn)，今天，大多數(shù)互聯(lián)網(wǎng)服務(wù)器都以UNIX計(jì)算機(jī)作為寄主。盡管它如此強(qiáng)大，但是，仍然存在著利用其能力的方法。消除、或至少減輕發(fā)生惡意行為的可能性，是UNIX系統(tǒng)管理人員的主要目標(biāo)。
UNIX系統(tǒng)可能易于操縱的一個(gè)方面，是一個(gè)用戶把ID轉(zhuǎn)換成其它不同用戶(“SU′ing”)的方面。在某些情況下，這可能被人惡意利用。在無(wú)安全措施的控制臺(tái)根目錄(root)上，不懷好意的用戶不到15秒內(nèi)就可能為他或她的ID啟用SU功能。之后，那個(gè)用戶可能接管機(jī)器上的根目錄權(quán)限，并窺視或毀壞系統(tǒng)上的敏感數(shù)據(jù)，該系統(tǒng)本是賦予特權(quán)給根用戶、而不是賦予給不懷好意用戶一般ID的。
這樣的“用戶轉(zhuǎn)換”也可能因手指的輕輕一碰而無(wú)意地發(fā)生，或者授權(quán)系統(tǒng)管理員可能粗心大意地把SU權(quán)限授予一個(gè)用戶。
無(wú)論是惡意地還是無(wú)意地實(shí)施了這種轉(zhuǎn)換，其后果是相同的，因?yàn)槭苡绊懙挠脩衄F(xiàn)在已經(jīng)完全控制了整個(gè)系統(tǒng)，并在整個(gè)系統(tǒng)上具有特權(quán)。
有兩種措施可以讓管理人員發(fā)現(xiàn)這樣的權(quán)限已經(jīng)被授予了和/或被使用了。系統(tǒng)管理人員可以人工地審查每個(gè)用戶ID的特性。由于大型機(jī)構(gòu)往往擁有數(shù)百個(gè)、甚至數(shù)千個(gè)被配置成使用他們系統(tǒng)的用戶，因此，這樣的周期性檢查是不切實(shí)際的。
可以使用的第二種方法是用眼睛去審查‘SULOG’文件，這個(gè)文件包含了‘轉(zhuǎn)換用戶’各種活動(dòng)的歷史記錄。由于這個(gè)文件可以是非常巨大的，并在系統(tǒng)目錄結(jié)構(gòu)中埋得很深，因此，對(duì)SULOG文件的審查也只不過(guò)偶爾為之。一般來(lái)說(shuō)，管理人員通常太專心于其它職責(zé)，以致于不能周期性地檢查這個(gè)文件。
應(yīng)該注意到，可以授予SU權(quán)限，以便給予特定用戶以轉(zhuǎn)換成根ID的能力，或者，也可以授予SU權(quán)限，以便使用戶也能夠利用其它ID。后一種情況常發(fā)生的例子包括允許某些用戶把他們的登錄名(log-in)轉(zhuǎn)換成‘oracle’ID或‘備份(backup)’ID。由于這樣的ID往往具有擴(kuò)展的和關(guān)鍵性的功能和可用于它們的數(shù)據(jù)，因此，留意這樣的活動(dòng)也是重要的。
因此，已經(jīng)被授予了低級(jí)或限制級(jí)特權(quán)或“許可訪問(wèn)權(quán)限”的用戶可以具有指定給他的初始登錄ID，然而，通過(guò)對(duì)根ID進(jìn)行SU操作，他可以獲得更高級(jí)的特權(quán)。目前，在一些有此默認(rèn)功能的UNIX或其它類UNIX的操作系統(tǒng)中，這是非常難以跟蹤和檢測(cè)的。
因此，在技術(shù)上，需要一種在基于UNIX和類UNIX的系統(tǒng)上監(jiān)視非授權(quán)用戶轉(zhuǎn)換或用戶替換，以便一旦檢測(cè)到非授權(quán)用戶轉(zhuǎn)換活動(dòng)，就可以采取適當(dāng)?shù)募m正動(dòng)作的系統(tǒng)和方法。最好，這個(gè)系統(tǒng)應(yīng)該是系統(tǒng)管理員無(wú)需對(duì)操作系統(tǒng)或已經(jīng)定義的用戶ID作顯著改變就能夠容易實(shí)現(xiàn)的。最好，該系統(tǒng)和方法將提供諸如電子郵件通知之類的遠(yuǎn)程通知功能，以便把檢測(cè)到的犯規(guī)行為通知系統(tǒng)管理員。

發(fā)明內(nèi)容
這里公開(kāi)的監(jiān)視進(jìn)程，用于在基于UNIX的計(jì)算機(jī)系統(tǒng)中定義和檢測(cè)用戶轉(zhuǎn)換犯規(guī)行為和問(wèn)題，該監(jiān)視進(jìn)程周期性地向系統(tǒng)管理人員發(fā)出存在潛在安全風(fēng)險(xiǎn)的警告。這個(gè)監(jiān)視進(jìn)程優(yōu)選按照預(yù)定的時(shí)間表執(zhí)行，或者通過(guò)人工命令調(diào)用。先由系統(tǒng)管理人員定義一套規(guī)則，在UNIX用戶轉(zhuǎn)換日志中找出的與任何規(guī)則相符的任何用戶轉(zhuǎn)換事件都被標(biāo)記為犯規(guī)行為或潛在安全問(wèn)題，并把警告通知發(fā)送到諸如電子郵件地址之類的特定輸出設(shè)備。
犯規(guī)規(guī)則被方便地以文本文件定義，和在優(yōu)選實(shí)施例中，UNIX時(shí)間安排守護(hù)程序(daemon)CRON被配置成周期性地執(zhí)行監(jiān)視腳本。因此，系統(tǒng)管理員可以制訂各種規(guī)則、監(jiān)視的周期、警告輸出目的地、甚至是源用戶轉(zhuǎn)換日志文件，從而便于系統(tǒng)管理員極其靈活地找出和檢測(cè)各種各樣可能出現(xiàn)的安全問(wèn)題。


如下結(jié)合附圖的詳細(xì)描述將全面公開(kāi)本發(fā)明。
圖1陳列了基于UNIX的計(jì)算機(jī)系統(tǒng)的一般結(jié)構(gòu)；圖2顯示了用戶轉(zhuǎn)換監(jiān)視腳本或進(jìn)程的邏輯流圖。
具體實(shí)施例方式
UNIX操作系統(tǒng)和諸如IBM公司的AIX、BSD、惠普(Hewlett Packard)公司的HP-UX、LINUX、和SUN微系統(tǒng)公司的Solaris操作系統(tǒng)之類的類似操作系統(tǒng)都是使本發(fā)明得以實(shí)施的重要可選對(duì)象。由于在技術(shù)上，這些操作系統(tǒng)都是眾所周知的，因此，在這里公開(kāi)的發(fā)明將一般地針對(duì)UNIX來(lái)描述。使所公開(kāi)的發(fā)明適用于特定的類UNIX操作系統(tǒng)，應(yīng)在本領(lǐng)域普通技術(shù)人員的知識(shí)范圍之內(nèi)。
轉(zhuǎn)到圖1，圖1顯示了基于UNIX的計(jì)算機(jī)系統(tǒng)的一般性結(jié)構(gòu)1。硬件平臺(tái)2通常包括中央處理單元或微處理器、系統(tǒng)存儲(chǔ)器、和諸如鍵盤、顯示器、指示設(shè)備、和多媒體外設(shè)之類的用戶接口設(shè)備。硬件平臺(tái)可以是個(gè)人計(jì)算機(jī)、或多用戶服務(wù)器類計(jì)算機(jī)。UNIX內(nèi)核3提供了系統(tǒng)管理功能，它管理執(zhí)行軟件進(jìn)程和守護(hù)程序的系統(tǒng)存儲(chǔ)器。內(nèi)核3還管理系統(tǒng)硬件設(shè)備、調(diào)度所有命令的執(zhí)行、和包含控制系統(tǒng)硬件的設(shè)備驅(qū)動(dòng)程序。設(shè)備驅(qū)動(dòng)程序是使軟件進(jìn)程和系統(tǒng)守護(hù)程序與諸如硬盤驅(qū)動(dòng)器、網(wǎng)絡(luò)接口卡、顯示器和打印機(jī)之類的硬件平臺(tái)部件配接的設(shè)備專用軟件模塊和文件。
UNIX外殼4是系統(tǒng)的用戶接口命令行部件，該系統(tǒng)允許簡(jiǎn)單自然的命令輸入到其中。通過(guò)外殼4輸入的命令，被傳給內(nèi)核3、軟件進(jìn)程、或系統(tǒng)守護(hù)程序，用以處理和執(zhí)行。
一些基于UNIX的系統(tǒng)配備了諸如窗口環(huán)境之類，用戶界面更加友好的圖形用戶界面(“GUI”)或公用桌面環(huán)境(“CDE”)5。
另外，諸如工作站之類的一些UNIX系統(tǒng)含有諸如鍵盤、監(jiān)視器和指示設(shè)備之類的直接用戶接口設(shè)備6。但是，一些基于UNIX的系統(tǒng)通過(guò)諸如以太網(wǎng)卡和調(diào)制解調(diào)器之類各種形式眾所周知的網(wǎng)絡(luò)接口，與計(jì)算機(jī)網(wǎng)絡(luò)7形成網(wǎng)狀連接，這使得基于UNIX的系統(tǒng)1可以被位于遠(yuǎn)端的許多用戶共享。幾乎所有基于UNIX的系統(tǒng)都配備了諸如硬盤驅(qū)動(dòng)器之類的系統(tǒng)硬盤9。
在優(yōu)選實(shí)施例中，本發(fā)明在圖1所示的基于UNIX的系統(tǒng)上得以實(shí)施。本發(fā)明的邏輯部分以根據(jù)預(yù)定時(shí)間表和/或根據(jù)系統(tǒng)管理員所作的特定調(diào)用執(zhí)行的腳本得以實(shí)施。
以后要作更詳細(xì)描述的腳本，優(yōu)選由系統(tǒng)的“CRON”守護(hù)程序根據(jù)預(yù)定時(shí)間表來(lái)執(zhí)行。CRON守護(hù)程序是讀出配置文件、和按照配置文件的內(nèi)容行事的公用UNIX系統(tǒng)守護(hù)程序。這是根據(jù)周期運(yùn)行SUMON腳本的方便方法，但是，對(duì)于腳本的這種周期性執(zhí)行來(lái)說(shuō)，這不是唯一可能的實(shí)現(xiàn)手段。例如，腳本可以是自定時(shí)的，循環(huán)運(yùn)行直到系統(tǒng)時(shí)鐘到達(dá)預(yù)定值為止；或者可以把它指定成系統(tǒng)定時(shí)器中斷。這樣，CRON守護(hù)程序的使用只不過(guò)是優(yōu)選實(shí)施例的一個(gè)方面，本發(fā)明并不僅限于此。
典型地，CRON配置文件包含要執(zhí)行的一個(gè)命令或數(shù)個(gè)命令，執(zhí)行命令的星期幾、日期和時(shí)間、和應(yīng)該執(zhí)行命令的用戶名。在大多數(shù)類UNIX的系統(tǒng)中，這些配置文件被稱為“CRONTAB”文件。
CRON守護(hù)程序和CRONTAB文件在技術(shù)上是眾所周知的。因此，在優(yōu)選實(shí)施例中，把腳本在基于UNIX的系統(tǒng)上提供，然后，利用要由CRON守護(hù)程序根據(jù)周期執(zhí)行的CRONTAB文件調(diào)度它。這使系統(tǒng)管理員不再需要周期性地或定期地監(jiān)視SULOG文件。但是，任何時(shí)候如果系統(tǒng)管理員想運(yùn)行本發(fā)明，他可以通過(guò)簡(jiǎn)單的命令行輸入調(diào)用它。
被稱為“SUMON”的用戶轉(zhuǎn)換(或用戶替換)監(jiān)視腳本由如表1的例子所示的、象每天一次那樣周期性地執(zhí)行的CRONTAB文件構(gòu)成。表1CRONTAB文件內(nèi)容的例子<time>sumon-f<sourcefile>-e<emailaddress>-r<rulesfilename>
如表1所示，<time>規(guī)定執(zhí)行SUNON腳本的星期幾、某月、該月的某日、某時(shí)和某分。例如，為了把CRON安排成在下午11點(diǎn)55分每天一次地運(yùn)行SUMON腳本，把參數(shù)<time>設(shè)置成“55 23***”，此處，通配符“*”表示該星期的任何一天、任何一個(gè)月、和該月的任何一天。
并且，如表1所示，“-f<sourcefile>”參數(shù)規(guī)定在其中搜索SULOG信息的文件。如果省略，就搜索系統(tǒng)默認(rèn)SULOG文件，譬如“/var/adm/syslog”。
參數(shù)“-e<emailaddress>”規(guī)定了一個(gè)如果檢測(cè)到報(bào)警條件，就向其發(fā)送警告消息的電子郵件地址。如果省略這個(gè)參數(shù)，就可以把警告消息發(fā)送到默認(rèn)電子郵件地址，譬如root@<host-name>，其中<host-name>是正在運(yùn)行SUMON腳本的主計(jì)算機(jī)的名稱。
參數(shù)“-r<rulesfilename>”規(guī)定包含一系列將觸發(fā)警告通知的用戶轉(zhuǎn)換條件的文件。
為了參考起見(jiàn)，表2顯示了SULOG的例子，它包含系統(tǒng)上“替換用戶”命令使用的歷史記錄。SULOG，或它的等效物，是每當(dāng)用戶調(diào)用SU命令時(shí)，由系統(tǒng)內(nèi)核自動(dòng)創(chuàng)建的。表2SULOG文件內(nèi)容的例子SU 07/05 1529+pts/2 notes-rootSU 07/07 1517+pts/1 root-rootSU 07/07 1517+pts/1 root-notesSU 06/31 0925-pts/1 notes-rootSU 09/08 0856+pts/1 root-rootSU 09/08 0906+pts/3 notes-rootSU 09/08 0906+pts/3 notes-root與在真正基于UNIX的系統(tǒng)上找出的典型SULOG文件相比，表2給出的SULOG的例子是非常簡(jiǎn)短的。實(shí)際上，對(duì)于單個(gè)一天的活動(dòng)，大多數(shù)SULOG文件包含數(shù)以百計(jì)、甚至數(shù)以千計(jì)的條目。
一個(gè)報(bào)警條件文件，或“RULES”文件，包含在SULOG中搜索犯規(guī)的次數(shù)或時(shí)間范圍的定義、被認(rèn)為是犯規(guī)的用戶轉(zhuǎn)換條件、和在創(chuàng)建警告消息之前可以容忍多少個(gè)犯規(guī)事件。例如，系統(tǒng)管理人員可以想要接收滿足如下用戶轉(zhuǎn)換條件的警告消息
1.if ANYONE switches to ROOT；(如果任何人轉(zhuǎn)移到根)2.if ANYONE switches to ANY OTHER SPECIFIED ID；(如果任何人轉(zhuǎn)換到任何其它特定ID)3.if SPECIFIC USER switches to another ID between CERTAIN HOURS(如果特定用戶轉(zhuǎn)換到確定時(shí)間的另一個(gè)ID)；或4.if SPECIFIC USER switches over an absolute number of occasionswithin a set window of time。(如果特定用戶在一組時(shí)間窗內(nèi)轉(zhuǎn)換超過(guò)一絕對(duì)次數(shù))表3顯示了RULES文件的示范性內(nèi)容。如果在執(zhí)行SUMON腳本時(shí)，檢測(cè)到由系統(tǒng)管理員設(shè)置的特定規(guī)則的某些條款被違反了，那么，把警告消息發(fā)送到特定的電子郵件地址(通常被配置成指向系統(tǒng)管理員的電子郵件地址)。表3RULES文件內(nèi)容的例子from-idto-idtime-starttime-stop occurences* root * * -1batch oracle 0600 1700-1joebackup * * 5示范性RULES文件的第一行規(guī)定在任何時(shí)候，從任何ID轉(zhuǎn)換到ROOT都是犯規(guī)的。“-1”表示這種情況的任何發(fā)生都是不能容忍的。
在示范性規(guī)則文件的第二行中，把另一種犯規(guī)定義為在600AM與500PM之間，BTACH ID轉(zhuǎn)換成ORACLE的任何時(shí)候。
在示范性規(guī)則文件的第三行中，把第三種犯規(guī)定義為在SULOG文件內(nèi)用戶“joe”轉(zhuǎn)換成BACKUP ID多于5次的任何時(shí)候。這種類型的規(guī)則可用于檢測(cè)通?？稍试S的轉(zhuǎn)換，但是，當(dāng)用得太頻繁時(shí)，可能暗示著安全問(wèn)題。通過(guò)周期性清除SULOG，系統(tǒng)管理人員可以控制允許5次轉(zhuǎn)換的時(shí)間長(zhǎng)度。
因此，如上所述，SUMON腳本用于實(shí)現(xiàn)在SULOG中搜索違反了在規(guī)則文件中所建立的規(guī)則的日志文件中的條目的邏輯部分。UNIX腳本文件，或‘外殼腳本’，包含一系列在那時(shí)可以通過(guò)人工調(diào)用或通過(guò)自動(dòng)系統(tǒng)調(diào)用執(zhí)行的文件中的命令。腳本在技術(shù)上是眾所周知的，通常用于使外殼級(jí)上采取的一系列人工動(dòng)作自動(dòng)化。腳本可以包含執(zhí)行循環(huán)的命令、IS-THEN語(yǔ)句、以及其它命令。此外，腳本可以從命令行或從腳本文件接受把輸入到腳本中進(jìn)行處理的任務(wù)。
轉(zhuǎn)到圖2，圖2公開(kāi)了SUMON腳本的基本邏輯部分。在初始化(21)系統(tǒng)之后，通過(guò)規(guī)定如表1那樣的適當(dāng)CRONTAB文件，調(diào)度(22)要由CRON守護(hù)程序執(zhí)行的SUMON腳本。然后，UNIX CRON守護(hù)程序連續(xù)監(jiān)視(23)系統(tǒng)時(shí)鐘，以確定是否到了運(yùn)行SUMON腳本的時(shí)候。
如果到了運(yùn)行SUMON腳本的時(shí)候(或者，如果腳本被系統(tǒng)管理人員人工調(diào)用)，那么，從RULES文件(25)讀出(24)第一條規(guī)則。然后，在SULOG(27)中搜索(26)與當(dāng)前規(guī)則相匹配或違反當(dāng)前規(guī)則的任何條目。如果找到(28)與當(dāng)前規(guī)則相匹配的條目，那么，創(chuàng)建(29)輸出的警告消息，譬如，發(fā)給特定電子郵件接收者的電子郵件消息，或?qū)懭刖嫖募臈l目。
接著，檢驗(yàn)(30)RULES文件(25)，以確定是否還有什么其它規(guī)則需要檢驗(yàn)。如果存在其它規(guī)則，那么，讀出(31)下一條規(guī)則，和在SULOG(27)中再次搜索(26)相匹配的條目。
一旦所有規(guī)則都經(jīng)過(guò)了處理(30)，SUMON就終止執(zhí)行，并且直到在CRON守護(hù)程序檢測(cè)到是再次執(zhí)行SUMON腳本的時(shí)候(23)，或者，在SUMON腳本被系統(tǒng)管理員人工調(diào)用時(shí)，才再次運(yùn)行。
因此，通過(guò)利用所公開(kāi)的SUMON腳本，周期性地自動(dòng)審查SULOG，提高了UNIX環(huán)境的安全性，系統(tǒng)管理員從查遍數(shù)以百計(jì)到數(shù)以千計(jì)的SULOG條目，找出許多可能犯規(guī)條件的任何一條的乏味工作中解脫出來(lái)。本領(lǐng)域的普通技術(shù)人員應(yīng)該認(rèn)識(shí)到，許多修正、改進(jìn)和替換可以用在本發(fā)明的實(shí)施中，譬如，SUMON功能用C++或Java程序?qū)嵤?，使用另一種操作系統(tǒng)等，均不偏離本發(fā)明的精神和范圍。由于在這里給出的描述只是為了示范的目的，本發(fā)明的范圍應(yīng)該由如下的權(quán)利要求書限定。
權(quán)利要求
1.一種方法，用于在與用戶ID替換和轉(zhuǎn)換相關(guān)的計(jì)算機(jī)系統(tǒng)中檢測(cè)潛在安全犯規(guī)行為和問(wèn)題，所述計(jì)算機(jī)系統(tǒng)含有用戶ID替換和轉(zhuǎn)換的日志，所述方法包括下列步驟提供一套規(guī)則，用于定義將被認(rèn)為存在潛在安全問(wèn)題的用戶ID替換和轉(zhuǎn)換的條件；根據(jù)所述一套規(guī)則，提供適合于評(píng)估用戶ID替換和轉(zhuǎn)換的所述日志的方法；評(píng)估用戶ID替換和轉(zhuǎn)換的所述日志，以找出所述日志中與所述一套規(guī)則中的一個(gè)或多個(gè)所定義條件相符的任何條目；和輸出對(duì)找出符合所述條件的一個(gè)或多個(gè)日志條目作出響應(yīng)的警告消息。
2.根據(jù)權(quán)利要求1所述的方法，其特征在于提供適合于評(píng)估所述日志的方法的所述步驟包括配置一個(gè)由具有類UNIX操作系統(tǒng)的系統(tǒng)中的CRON守護(hù)程序周期性執(zhí)行的腳本。
3.根據(jù)權(quán)利要求1所述的方法，其特征在于提供適合于評(píng)估所述日志的方法的所述步驟包括配置一個(gè)由具有類UNIX操作系統(tǒng)的系統(tǒng)中的CRON守護(hù)程序周期性執(zhí)行的進(jìn)程。
4.根據(jù)權(quán)利要求1所述的方法，其特征在于評(píng)估用戶ID替換和轉(zhuǎn)換的所述日志的所述步驟包括評(píng)估含有類UNIX操作系統(tǒng)的系統(tǒng)中的SULOG文件。
5.根據(jù)權(quán)利要求1所述的方法，其特征在于輸出警告消息的所述步驟包括把電子消息發(fā)送到預(yù)定目的地址。
6.一種計(jì)算機(jī)可讀介質(zhì)，在其中存儲(chǔ)著用于在與用戶ID替換和轉(zhuǎn)換相關(guān)的計(jì)算機(jī)系統(tǒng)中檢測(cè)潛在安全犯規(guī)行為和問(wèn)題的程序代碼，所述計(jì)算機(jī)系統(tǒng)含有用戶ID替換和轉(zhuǎn)換的日志，所述程序代碼當(dāng)被計(jì)算機(jī)系統(tǒng)執(zhí)行時(shí)，使計(jì)算機(jī)系統(tǒng)能夠執(zhí)行下列步驟提供一套規(guī)則，用于定義將被認(rèn)為存在潛在安全問(wèn)題的用戶ID替換和轉(zhuǎn)換的條件；評(píng)估所述用戶ID替換和轉(zhuǎn)換的日志，以找出所述日志中與所述一套規(guī)則中的一個(gè)或多個(gè)所定義條件相符的任何條目；和輸出對(duì)找出符合所述條件的一個(gè)或多個(gè)日志條目作出響應(yīng)的警告消息。
7.根據(jù)權(quán)利要求6所述的計(jì)算機(jī)可讀介質(zhì)，其特征在于執(zhí)行評(píng)估所述日志的步驟的所述程序代碼包括一個(gè)配置腳本的程序代碼，該腳本由具有類UNIX操作系統(tǒng)的系統(tǒng)中的CRON守護(hù)程序周期性執(zhí)行。
8.根據(jù)權(quán)利要求6所述的計(jì)算機(jī)可讀介質(zhì)，其特征在于執(zhí)行評(píng)估所述日志的步驟的所述程序代碼包括配置一個(gè)進(jìn)程的程序代碼，該進(jìn)程由具有類UNIX操作系統(tǒng)的系統(tǒng)中的CRON守護(hù)程序周期性執(zhí)行。
9.根據(jù)權(quán)利要求6所述的計(jì)算機(jī)可讀介質(zhì)，其特征在于執(zhí)行評(píng)估所述用戶ID替換和轉(zhuǎn)換的日志的步驟的所述程序代碼包括評(píng)估含有類UNIX的操作系統(tǒng)的系統(tǒng)中的SULOG文件的程序代碼。
10.根據(jù)權(quán)利要求6所述的計(jì)算機(jī)可讀介質(zhì)，其特征在于執(zhí)行輸出警告消息的步驟的所述程序代碼包括把電子消息發(fā)送到預(yù)定目的地址的程序代碼。
11.一種系統(tǒng)，用于在與用戶ID替換和轉(zhuǎn)換相關(guān)的多用戶計(jì)算機(jī)中檢測(cè)潛在安全犯規(guī)行為和問(wèn)題，所述多用戶計(jì)算機(jī)含有用戶ID替換和轉(zhuǎn)換的日志，所述系統(tǒng)包括一套規(guī)則，用于定義將被認(rèn)為存在潛在安全問(wèn)題的用戶ID替換和轉(zhuǎn)換的條件；日志評(píng)估器，用于評(píng)估所述用戶ID替換和轉(zhuǎn)換的日志，以找出所述日志中與所述一套規(guī)則中的一個(gè)或多個(gè)所定義條件相符的任何條目；和警告消息輸出裝置，用于輸出對(duì)找出符合所述條件的一個(gè)或多個(gè)日志條目作出響應(yīng)的警告消息。
12.根據(jù)權(quán)利要求11所述的系統(tǒng)，其特征在于還包括調(diào)度器，用于周期性地操作所述日志評(píng)估器。
13.根據(jù)權(quán)利要求12所述的系統(tǒng)，其特征在于所述調(diào)度器包括CRON守護(hù)程序，和所述日志評(píng)估器包括含有類UNIX操作系統(tǒng)的多用戶計(jì)算機(jī)中的腳本。
14.根據(jù)權(quán)利要求12所述的系統(tǒng)，其特征在于所述調(diào)度器包括CRON守護(hù)程序，和所述日志評(píng)估器包括含有類UNIX操作系統(tǒng)的多用戶計(jì)算機(jī)中的可執(zhí)行UNIX進(jìn)程。
15.根據(jù)權(quán)利要求11所述的系統(tǒng)，其特征在于所述調(diào)度器適用于評(píng)估含有類UNIX操作系統(tǒng)的多用戶計(jì)算機(jī)系統(tǒng)中的SULOG文件。
16.根據(jù)權(quán)利要求11所述的系統(tǒng)，其特征在于所述警告消息輸出裝置包括發(fā)送器，用于把電子消息發(fā)送到預(yù)定目的地址。
全文摘要
一種監(jiān)視進(jìn)程,用于在基于UNIX的計(jì)算機(jī)系統(tǒng)中定義和檢測(cè)用戶轉(zhuǎn)換犯規(guī)行為和問(wèn)題,該監(jiān)視進(jìn)程周期性地向系統(tǒng)管理員發(fā)出存在潛在安全風(fēng)險(xiǎn)的警告。這個(gè)監(jiān)視進(jìn)程按預(yù)定時(shí)間表執(zhí)行,或者通過(guò)人工命令調(diào)用。先由系統(tǒng)管理員定義一套規(guī)則,并且在UNIX用戶轉(zhuǎn)換日志中找出的與任何規(guī)則相符的任何用戶轉(zhuǎn)換事件都被標(biāo)記為犯規(guī)行為或潛在安全問(wèn)題,并把警告通知發(fā)送到諸如電子郵件地址之類的特定輸出設(shè)備。
文檔編號(hào)G06F21/00GK1369790SQ0210314
公開(kāi)日2002年9月18日 申請(qǐng)日期2002年1月31日 優(yōu)先權(quán)日2001年1月31日
發(fā)明者約翰·S·蘭福德, 里克·A·漢密爾頓第二 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司