一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备技术方案

本发明专利技术公开了一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备，该方法包括通过日志监控及分析模块获取源日志并进行解析，得到日志解析后的数据记录文件；通过audit插件日志监控及分析a模块日志解析后的数据记录文件进行监视；当监视的数据记录文件变化时，通过与预先配置的异常行为判定规则进行匹配，确定异常行为，并按照配置的处理方式进行处理。本发明专利技术方法结合了日志分析功能与linux系统审计功能，通过对异常行为的预定义，实时监控用户对系统的操作，当检测到异常行为时，系统可以主动做出处理，避免造成更加严重的后果。的后果。的后果。

【技术实现步骤摘要】
一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备


[0001]本专利技术涉及一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备，属于linux系统安全监控


技术介绍

[0002]目前对于linux操作系统用户的异常行为检测方式较少，主要是对单一的操作指令进行监视，不能很好地反映用户真实行为的性质，且对用户的使用有较大的限制。而且，当检测到异常行为时，系统自身不能做出及时的处理，易造成不可挽回的错误。又或者，人为的定期检查系统日志，不能及时的发现用户的异常行为并让管理员知悉。

技术实现思路

[0003]本专利技术的目的在于提供一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备，通过将linux操作系统内的audit内核审计模块和日志监控及分析模块结合使用，既可以解决对用户使用有限制的单一行为监视问题，又可以在异常行为出现时系统自身能做出相应的处理。
[0004]为了达到上述目的，本专利技术所采用的技术方案是：本专利技术第一方面提供一种监控linux操作系统用户异常行为的方法，包括：通过日志监控及分析模块获取源日志并进行解析，得到日志解析后的数据记录文件；所述源日志指用户的操作记录；通过audit插件对所述日志监控及分析模块日志解析后的数据记录文件进行监视，确定异常行为；根据确定的所述异常行为，通过预先配置的异常行为处理规则确定对应的处理方式。
[0005]进一步的，所述预先配置的异常行为处理规则包括至少一条异常行为规则链，且每条异常行为规则链配置相应的处理方式；所述异常行为规则链包括至少一个规则点，所述规则点配置为用户的操作行为。
[0006]进一步的，所述异常行为规则链为操作指令的组合，或者是对文件的读写操作组合。
[0007]进一步的，所述通过日志监控及分析模块获取源日志并进行解析，得到日志解析后的数据记录文件，包括：在日志监控及分析模块的配置文件中配置从审计中获取源日志的文件全路径，通过所述文件全路径获取源日志；对所获取的源日志进行解析，得到日志解析后的数据记录文件。
[0008]进一步的，所述通过audit插件对所述日志监控及分析模块日志解析后的数据记录文件进行监视，确定异常行为，包括：
在所述audit插件中配置inotify机制对所述日志监控及分析模块日志解析后的数据记录文件进行监视；当监视的文件内容发生变化时确定为异常行为。
[0009]进一步的，所述方法还包括：通过auditctl命令添加审计规则，用于用户进行操作行为时，执行监视。
[0010]进一步的，所述根据异常行为通过预先配置的异常行为处理规则确定对应的处理方式，包括：将数据记录文件中用户的操作行为日志与预先配置的异常行为处理规则的每条规则链逐一进行匹配，在与当前一条规则链进行匹配时，判断数据记录文件中用户的操作行为日志是否与当前一条规则链上的所有规则点均匹配成功；若是，则判定该用户操作行为组合为符合该规则链的异常行为，并按该规则链配置的处理方式进行异常处理，并结束匹配；否则，与下一条规则链进行匹配。
[0011]进一步的，所述配置的处理方式包括以下至少一种：终止进程、断开连接和弹窗告警；所述弹窗告警包括将触发异常行为的用户名、终端号和进程号信息通过桌面弹窗的方式进行告警。
[0012]本专利技术第二方面提供一种监控linux操作系统用户异常行为的系统，用于实现前述的监控linux操作系统用户异常行为的方法，所述系统包括：日志监控及分析模块，用于获取源日志并进行解析，得到日志解析后的数据记录文件；所述源日志指用户的操作记录；监视模块，配置于audit插件，用于对所述日志监控及分析模块日志解析后的数据记录文件进行监视，确定异常行为；异常处理模块，配置于audit插件，用于根据确定的所述异常行为通过预先配置的异常行为处理规则确定对应的处理方式。
[0013]本专利技术第三方面提供一种存储一个或多个程序的计算机可读存储器，所述一个或多个程序包括指令，所述指令当由计算设备执行时，使得所述计算设备执行根据前述的方法中的任一方法。
[0014]本专利技术第四方面提供一种电子设备，包括，一个或多个处理器、存储器以及一个或多个程序，其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序包括用于执行根据前述的方法中的任一方法的指令。
[0015]本专利技术所达到的有益效果：1、本专利技术通过将audit插件和日志监控及分析模块结合使用，通过日志监控及分析模块获取源日志并得到日志解析后的数据记录文件；通过audit插件对日志监控及分析模块日志解析后的数据记录文件进行监视，确定异常行为。既解决对用户使用有限制的单一行为监视问题，又可以在异常行为出现时系统自身能做出相应的处理，并让管理员知悉。本专利技术可以快捷的对异常行为进行处理，为系统的稳定运行提供保障。
[0016]2、本专利技术方法相较于单一操作行为监视可以提高用户异常行为判断的准确率，有
效提高管理水平，降低安全风险。
附图说明
[0017]图1为本专利技术提供的一种监控linux操作系统用户异常行为的方法流程图；图2为本专利技术一个实施例提供的判定及处理规则匹配示意图。
具体实施方式
[0018]下面结合附图对本专利技术作进一步描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案，而不能以此来限制本专利技术的保护范围。
[0019]audit插件是linux操作系统的重要组成部分，在内核里有内核审计模块，记录系统中的各种动作和事件，比如系统调用，文件修改，执行的程序，系统登入登出和记录所有系统中所有的事件。
[0020]日志监控及分析模块是由两部分功能组成，第一部分，对系统audit审计日志进行监视，第二部分，对审计日志进行解析并生成结果文件。
[0021]基于此，本专利技术提供一种监控linux操作系统用户异常行为的方法，通过将audit内核审计模块和日志监控及分析模块结合使用，对用户异常行为进行监视，解决对用户使用有限制的单一行为监视问题，又可以在异常行为出现时系统自身能做出相应的处理，并让管理员知悉。
[0022]基于上述专利技术构思，本专利技术提供的一种监控linux操作系统用户异常行为的方法，参见图1，包括：通过日志监控及分析模块获取源日志并进行解析，得到日志解析后的数据记录文件；通过audit插件对日志监控及分析模块日志解析后的数据记录文件进行监视，确定异常行为；根据确定的异常行为，通过预先配置的异常行为处理规则确定对应的处理方式。
[0023]需要说明的是，源日志指用户的操作记录。
[0024]需要说明的是，需要预先在日志监控及分析模块的audit_rules.xml文件配置异常行为处理规则。
[0025]需要说明的是，异常行为处理规则包括至少一条异常行为规则链，且每条规则链配置相应的处理方式。异常行为规则链包括至少一个规则点，规则点配置为用户的操作行为。
[0026本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种监控linux操作系统用户异常行为的方法，其特征在于，包括：通过日志监控及分析模块获取源日志并进行解析，得到日志解析后的数据记录文件；所述源日志指用户的操作记录；通过audit插件对所述日志监控及分析模块日志解析后的数据记录文件进行监视，确定异常行为；根据确定的所述异常行为，通过预先配置的异常行为处理规则确定对应的处理方式。2.根据权利要求1所述的一种监控linux操作系统用户异常行为的方法，其特征在于，所述预先配置的异常行为处理规则包括至少一条异常行为规则链，且每条异常行为规则链配置相应的处理方式；所述异常行为规则链包括至少一个规则点，所述规则点配置为用户的操作行为。3.根据权利要求2所述的一种监控linux操作系统用户异常行为的方法，其特征在于，所述异常行为规则链为操作指令的组合，或者是对文件的读写操作组合。4.根据权利要求1所述的一种监控linux操作系统用户异常行为的方法，其特征在于，所述通过日志监控及分析模块获取源日志并进行解析，得到日志解析后的数据记录文件，包括：在日志监控及分析模块的配置文件中配置从审计中获取源日志的文件全路径，通过所述文件全路径获取源日志；对所获取的源日志进行解析，得到日志解析后的数据记录文件。5.根据权利要求4所述的一种监控linux操作系统用户异常行为的方法，其特征在于，所述通过audit插件对所述日志监控及分析模块日志解析后的数据记录文件进行监视，确定异常行为，包括：在所述audit插件中配置inotify机制对所述日志监控及分析模块日志解析后的数据记录文件进行监视；当监视的文件内容发生变化时确定为异常行为。6.根据权利要求5所述的一种监控linux操作系统用户异常行为的方法，其特征在于，所述方法还包括：通过auditctl命令添加审计规则，用于用户进行操作行为时，执行监视。7.根据权利要求3所述的一种监控linux操作系统...

【专利技术属性】
技术研发人员：孙柏颜，孙连文，祁龙云，要天乐，犹锋，刘苇，俞建业，刘家铭，吕小亮，魏兴慎，杨维永，杨康乐，李向南，徐项帅，李晨，
申请(专利权)人：国网电力科学研究院有限公司国网北京市电力公司国家电网有限公司，
类型：发明
国别省市：