一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备与流程

本发明涉及一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备，属于linux系统安全监控。

背景技术：

1、目前对于linux操作系统用户的异常行为检测方式较少，主要是对单一的操作指令进行监视，不能很好地反映用户真实行为的性质，且对用户的使用有较大的限制。而且，当检测到异常行为时，系统自身不能做出及时的处理，易造成不可挽回的错误。又或者，人为的定期检查系统日志，不能及时的发现用户的异常行为并让管理员知悉。

技术实现思路

1、本发明的目的在于提供一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备，通过将linux操作系统内的audit内核审计模块和日志监控及分析模块结合使用，既可以解决对用户使用有限制的单一行为监视问题，又可以在异常行为出现时系统自身能做出相应的处理。

2、为了达到上述目的，本发明所采用的技术方案是：

3、本发明第一方面提供一种监控linux操作系统用户异常行为的方法，包括：

4、通过日志监控及分析模块获取源日志并进行解析，得到日志解析后的数据记录文件；所述源日志指用户的操作记录；

5、通过audit插件对所述日志监控及分析模块日志解析后的数据记录文件进行监视，确定异常行为；

6、根据确定的所述异常行为，通过预先配置的异常行为处理规则确定对应的处理方式。

7、进一步的，所述预先配置的异常行为处理规则包括至少一条异常行为规则链，且每条异常行为规则链配置相应的处理方式；

8、所述异常行为规则链包括至少一个规则点，所述规则点配置为用户的操作行为。

9、进一步的，所述异常行为规则链为操作指令的组合，或者是对文件的读写操作组合。

10、进一步的，所述通过日志监控及分析模块获取源日志并进行解析，得到日志解析后的数据记录文件，包括：

11、在日志监控及分析模块的配置文件中配置从审计中获取源日志的文件全路径，通过所述文件全路径获取源日志；

12、对所获取的源日志进行解析，得到日志解析后的数据记录文件。

13、进一步的，所述通过audit插件对所述日志监控及分析模块日志解析后的数据记录文件进行监视，确定异常行为，包括：

14、在所述audit插件中配置inotify机制对所述日志监控及分析模块日志解析后的数据记录文件进行监视；

15、当监视的文件内容发生变化时确定为异常行为。

16、进一步的，所述方法还包括：

17、通过auditctl命令添加审计规则，用于用户进行操作行为时，执行监视。

18、进一步的，所述根据异常行为通过预先配置的异常行为处理规则确定对应的处理方式，包括：

19、将数据记录文件中用户的操作行为日志与预先配置的异常行为处理规则的每条规则链逐一进行匹配，在与当前一条规则链进行匹配时，判断数据记录文件中用户的操作行为日志是否与当前一条规则链上的所有规则点均匹配成功；

20、若是，则判定该用户操作行为组合为符合该规则链的异常行为，并按该规则链配置的处理方式进行异常处理，并结束匹配；

21、否则，与下一条规则链进行匹配。

22、进一步的，所述配置的处理方式包括以下至少一种：

23、终止进程、断开连接和弹窗告警；

24、所述弹窗告警包括将触发异常行为的用户名、终端号和进程号信息通过桌面弹窗的方式进行告警。

25、本发明第二方面提供一种监控linux操作系统用户异常行为的系统，用于实现前述的监控linux操作系统用户异常行为的方法，所述系统包括：

26、日志监控及分析模块，用于获取源日志并进行解析，得到日志解析后的数据记录文件；所述源日志指用户的操作记录；

27、监视模块，配置于audit插件，用于对所述日志监控及分析模块日志解析后的数据记录文件进行监视，确定异常行为；

28、异常处理模块，配置于audit插件，用于根据确定的所述异常行为通过预先配置的异常行为处理规则确定对应的处理方式。

29、本发明第三方面提供一种存储一个或多个程序的计算机可读存储器，所述一个或多个程序包括指令，所述指令当由计算设备执行时，使得所述计算设备执行根据前述的方法中的任一方法。

30、本发明第四方面提供一种电子设备，包括，

31、一个或多个处理器、存储器以及一个或多个程序，其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序包括用于执行根据前述的方法中的任一方法的指令。

32、本发明所达到的有益效果：

33、1、本发明通过将audit插件和日志监控及分析模块结合使用，通过日志监控及分析模块获取源日志并得到日志解析后的数据记录文件；通过audit插件对日志监控及分析模块日志解析后的数据记录文件进行监视，确定异常行为。既解决对用户使用有限制的单一行为监视问题，又可以在异常行为出现时系统自身能做出相应的处理，并让管理员知悉。本发明可以快捷的对异常行为进行处理，为系统的稳定运行提供保障。

34、2、本发明方法相较于单一操作行为监视可以提高用户异常行为判断的准确率，有效提高管理水平，降低安全风险。

技术特征：

1.一种监控linux操作系统用户异常行为的方法，其特征在于，包括：

2.根据权利要求1所述的一种监控linux操作系统用户异常行为的方法，其特征在于，所述预先配置的异常行为处理规则包括至少一条异常行为规则链，且每条异常行为规则链配置相应的处理方式；

3.根据权利要求2所述的一种监控linux操作系统用户异常行为的方法，其特征在于，所述异常行为规则链为操作指令的组合，或者是对文件的读写操作组合。

4.根据权利要求1所述的一种监控linux操作系统用户异常行为的方法，其特征在于，所述通过日志监控及分析模块获取源日志并进行解析，得到日志解析后的数据记录文件，包括：

5.根据权利要求4所述的一种监控linux操作系统用户异常行为的方法，其特征在于，所述通过audit插件对所述日志监控及分析模块日志解析后的数据记录文件进行监视，确定异常行为，包括：

6.根据权利要求5所述的一种监控linux操作系统用户异常行为的方法，其特征在于，所述方法还包括：

7.根据权利要求3所述的一种监控linux操作系统用户异常行为的方法，其特征在于，所述根据异常行为通过预先配置的异常行为处理规则确定对应的处理方式，包括：

8.根据权利要求7所述的一种监控linux操作系统用户异常行为的方法，其特征在于，所述配置的处理方式包括以下至少一种：

9.一种监控linux操作系统用户异常行为的系统，其特征在于，用于实现权利要求1至8任意一项所述的监控linux操作系统用户异常行为的方法，所述系统包括：

10.一种存储一个或多个程序的计算机可读存储器，其特征在于：所述一个或多个程序包括指令，所述指令当由计算设备执行时，使得所述计算设备执行根据权利要求1至8所述的方法中的任一方法。

11.一种电子设备，其特征在于：包括，

技术总结
本发明公开了一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备，该方法包括通过日志监控及分析模块获取源日志并进行解析，得到日志解析后的数据记录文件；通过audit插件日志监控及分析a模块日志解析后的数据记录文件进行监视；当监视的数据记录文件变化时，通过与预先配置的异常行为判定规则进行匹配，确定异常行为，并按照配置的处理方式进行处理。本发明方法结合了日志分析功能与linux系统审计功能，通过对异常行为的预定义，实时监控用户对系统的操作，当检测到异常行为时，系统可以主动做出处理，避免造成更加严重的后果。

技术研发人员：孙柏颜,孙连文,祁龙云,要天乐,犹锋,刘苇,俞建业,刘家铭,吕小亮,魏兴慎,杨维永,杨康乐,李向南,徐项帅,李晨
受保护的技术使用者：南京南瑞信息通信科技有限公司
技术研发日：
技术公布日：2024/1/15