操作事件的檢測方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)服務(wù)領(lǐng)域���,具體而言��,涉及一種操作事件的檢測方法和裝置�。
【背景技術(shù)】
[0002]目前業(yè)界對運維事件進行檢測(B卩�,審計)的主要手段是部署堡壘主機,即要求所有運維人員的操作必須通過堡壘主機進行����,實現(xiàn)堡壘主機對全部操作過程的錄像,并隨意回放��。通過分析錄像等手段���,解析出運維人員的操作流水�、登錄日志等信息(一般為:操作者��、操作IP�、操作命令�����、操作時間)����。
[0003]圖1是現(xiàn)有技術(shù)中一種對運維事件進行檢測的示意圖�����,圖2是圖1中示出的運維檢測的工作原理圖����,如圖2所示��,圖1中示出的運維檢測的主要工作原理是:用戶10要對IDCdnternet Data Center,互聯(lián)網(wǎng)數(shù)據(jù)中心,簡稱IDC)運營機30進行運維操作時���,需要登錄堡壘主機20 (步驟SI)����,登錄堡壘主機20后�����,用戶10通過堡壘主機20登錄到IDC運營機30上,對IDC運營機30進行運維工作(步驟S2)�����,堡壘主機20將用戶10的全部的運維操作記錄下來后傳送至檢測系統(tǒng)40 (步驟S3)���,管理員日后可以在檢測系統(tǒng)40上進行回放等審計工作���,其中,堡壘主機20上記錄有誰(操作者)在哪里(操作IP)什么時候(操作時間)干了什么(操作命令)�。
[0004]上述對運維事件進行檢測的方案,在運營機數(shù)量比較龐大的情況下����,如果每臺運營機的屏幕尺寸都不一樣的話,會出現(xiàn)錄像內(nèi)容的多樣化��,導(dǎo)致堡壘主機上傳至檢測系統(tǒng)的數(shù)據(jù)量龐大�����,進而導(dǎo)致通過特征提取進行運維事件分析的工作量加大�,并且檢測效率和檢測結(jié)果的準(zhǔn)確度也均降低。并且上述檢測方案,僅能記錄交互式操作���,對于非交互式操作����、系統(tǒng)操作或crontab操作均無法記錄�����,而且如果用戶繞過堡壘主機直接對運營機進行運維工作的話�,造成堡壘主機監(jiān)測不到用戶的運維操作,進而導(dǎo)致檢測系統(tǒng)無法根據(jù)堡壘主機的上傳數(shù)據(jù)對運維事件進行分析�����。另外���,現(xiàn)有的檢測方案僅能對操作者、操作IP�����、操作時間和操作命令進行記錄���,由于此種記錄的數(shù)據(jù)緯度較低���,在某些情況下僅根據(jù)這些記錄并不能準(zhǔn)確地運維事件的合法與否進行判定����,造成運維事件的檢測精度降低��。
[0005]針對相關(guān)技術(shù)中運維事件的檢測精度較低的問題���,目前尚未提出有效的解決方案��。
【發(fā)明內(nèi)容】
[0006]本發(fā)明實施例提供了一種操作事件的檢測方法和裝置����,以至少解決現(xiàn)有技術(shù)中運維事件的檢測精度較低的技術(shù)問題��。
[0007]根據(jù)本發(fā)明實施例的一個方面�,提供了一種操作事件的檢測方法,包括:獲取目標(biāo)命令解析器上的操作數(shù)據(jù)��,其中��,所述目標(biāo)命令解析器為用戶客戶端登錄目標(biāo)機器的接口����,所述操作數(shù)據(jù)為所述用戶客戶端通過所述目標(biāo)命令解析器執(zhí)行所述操作事件的數(shù)據(jù)����;從所述操作數(shù)據(jù)中提取目標(biāo)數(shù)據(jù)����,其中,所述目標(biāo)數(shù)據(jù)為用于檢測所述操作事件的數(shù)據(jù)���;以及對所述目標(biāo)數(shù)據(jù)進行處理���,以檢測所述操作事件是否合法。
[0008]根據(jù)本發(fā)明實施例的另一方面��,還提供了一種操作事件的檢測裝置���,包括:獲取單元,用于獲取目標(biāo)命令解析器上的操作數(shù)據(jù)�����,其中�,所述目標(biāo)命令解析器為用戶客戶端登錄目標(biāo)機器的接口,所述操作數(shù)據(jù)為所述用戶客戶端通過所述目標(biāo)命令解析器執(zhí)行所述操作事件的數(shù)據(jù);提取單元�,用于從所述操作數(shù)據(jù)中提取目標(biāo)數(shù)據(jù),其中�,所述目標(biāo)數(shù)據(jù)為用于檢測所述操作事件的數(shù)據(jù);以及檢測單元�����,用于對所述目標(biāo)數(shù)據(jù)進行處理��,以檢測所述操作事件是否合法����。
[0009]在本發(fā)明實施例中,采用獲取目標(biāo)命令解析器上的操作數(shù)據(jù)���,其中��,所述目標(biāo)命令解析器為用戶客戶端登錄目標(biāo)機器的接口����,所述操作數(shù)據(jù)為所述用戶客戶端通過所述目標(biāo)命令解析器執(zhí)行所述操作事件的數(shù)據(jù)�;從所述操作數(shù)據(jù)中提取目標(biāo)數(shù)據(jù),其中�����,所述目標(biāo)數(shù)據(jù)為用于檢測所述操作事件的數(shù)據(jù);以及對所述目標(biāo)數(shù)據(jù)進行處理���,以檢測所述操作事件是否合法��,通過利用目標(biāo)命令解析器獲取用戶客戶端對目標(biāo)機器的操作數(shù)據(jù)���,實現(xiàn)了對用戶客戶端的每一次操作及操作的相關(guān)數(shù)據(jù)均進行獲取,能夠更加及時地對操作事件進行檢測�,并且在用戶繞過堡壘主機直接對運營機進行運維工作的情況下,仍然能夠監(jiān)測獲取到用戶的運維操作數(shù)據(jù)�,而且所獲取到的操作數(shù)據(jù)能夠直接表示用戶的操作行為,大大減少了對運維事件分析的工作量����,提高了利用目標(biāo)數(shù)據(jù)對操作事件進行檢測的檢測效率和檢測結(jié)果的準(zhǔn)確度。同時�,將用戶客戶端的每個操作的每個屬性均格式化記錄下來,實現(xiàn)了能夠涵蓋更多的操作場景�����,以便利用目標(biāo)數(shù)據(jù)精確地判斷表示運維工作的操作事件是否合法���,解決了現(xiàn)有技術(shù)中運維事件的檢測精度較低的問題�,進而達(dá)到了提高檢測精度和檢測效率的效果�����。
【附圖說明】
[0010]此處所說明的附圖用來提供對本發(fā)明的進一步理解��,構(gòu)成本申請的一部分�����,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明��,并不構(gòu)成對本發(fā)明的不當(dāng)限定�����。在附圖中:
[0011]圖1是根據(jù)現(xiàn)有技術(shù)的一種對運維事件進行檢測的示意圖��;
[0012]圖2是圖1中示出的運維檢測的工作原理圖����;
[0013]圖3是應(yīng)用本發(fā)明實施例的操作事件的檢測方法的檢測系統(tǒng)的示意圖;
[0014]圖4是根據(jù)本發(fā)明實施例的操作事件的檢測方法的流程圖����;
[0015]圖5是根據(jù)本發(fā)明實施例的操作事件的檢測裝置的示意圖�����;以及
[0016]圖6是根據(jù)本發(fā)明實施例的終端設(shè)備的示意圖����。
【具體實施方式】
[0017]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案�,下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚��、完整地描述����,顯然,所描述的實施例僅僅是本發(fā)明一部分的實施例��,而不是全部的實施例�。基于本發(fā)明中的實施例����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都應(yīng)當(dāng)屬于本發(fā)明保護的范圍。
[0018]需要說明的是���,本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對象����,而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換�,以便這里描述的本發(fā)明的實施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤4送?���,術(shù)語“包括”和“具有”以及他們的任何變形,意圖在于覆蓋不排他的包含�,例如,包含了一系列步驟或單元的過程���、方法����、系統(tǒng)�����、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元���,而是可包括沒有清楚地列出的或?qū)τ谶@些過程���、方法��、產(chǎn)品或設(shè)備固有的其它步驟或單元����。
[0019]對本發(fā)明實施例中所涉及的技術(shù)術(shù)語做如下解釋:
[0020]運維審計:對運維人員的訪問過程進行全過程的操作記錄�、事后操作過程的回放。
[0021]堡壘主機:一種被強化的可以防御進攻的計算機����,作為進入內(nèi)部網(wǎng)絡(luò)的一個檢查點,以達(dá)到把整個網(wǎng)絡(luò)的安全問題集中在某個主機上解決���。
[0022]IDC:英文全稱是Internet Data Center,是互聯(lián)網(wǎng)數(shù)據(jù)中心,用于對外提供服務(wù)�����。
[0023]Linux:是一套免費使用和自由傳播的類Unix操作系統(tǒng),廣泛用于各種設(shè)備中��。
[0024]SHELL:提供使用者使用界面的軟件�,它接收用戶命令,然后調(diào)用相應(yīng)的應(yīng)用程序��。
[0025]BASH =SHELL的一種��,是許多Linux系統(tǒng)的內(nèi)定SHELL����,利用BASH執(zhí)行的操作會被反饋給操作系統(tǒng)�����,再由操作系統(tǒng)反饋給用戶��。
[0026]IP:網(wǎng)絡(luò)地址���,標(biāo)示互聯(lián)網(wǎng)上的每一臺主機�。
[0027]交互式操作:操作者輸入信息和指令�,系統(tǒng)接收到處理之后顯示出來,操作人員可根據(jù)結(jié)果進一步輸入信息和指令����。
[0028]Crontab:常見于Linux系統(tǒng)中,用于設(shè)置周期性被執(zhí)行的指令���,無需人工操作�。
[0029]進程:是一次程序的執(zhí)行,是一個程序及其數(shù)據(jù)在計算機上順序執(zhí)行時所發(fā)生的活動����。
[0030]進程ID:Process Identifier (PID),進程控制符,即進程的身份標(biāo)識���。
[0031]父進程:指已創(chuàng)建一個或多個進程的進程��,比如某個進程A用于創(chuàng)建一個或多個進程B����,則該進程A可以稱作進程B的父進程�,或者說進程B