操作检测方法、装置、设备及存储介质与流程

1.本发明涉及数据处理技术领域，尤其涉及一种操作检测方法、装置、设备及存储介质。


背景技术：

2.目前，针对一些安全系统级别要求高的场合，存在人员管理不严谨，人员操作不规范的现象，现有的检测方法难以有效地对人员操作不规范的现象进行记录，导致可能出现系统操作存在不安全的情况。
3.上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。


技术实现要素：

4.本发明的主要目的在于提出一种操作检测方法、装置、设备及存储介质，旨在解决现有技术中难以有效地对人员操作不规范的现象进行记录，导致可能出现系统操作存在不安全的技术问题。
5.为实现上述目的，本发明提供一种操作检测方法，所述操作检测方法包括以下步骤：
6.获取操作人员的安全环境登录信息，并根据所述安全环境登录信息确定所述操作人员对应的操作时间；
7.根据所述操作时间确定所述操作人员对应的操作数据；
8.根据所述操作数据和所述操作时间生成操作清单，并将所述操作清单存储至数据库中。
9.可选地，所述根据所述人员操作时间确定所述操作人员对应的操作数据，包括：
10.根据所述操作时间确定操作开始时间和操作结束时间；
11.根据所述操作开始时间和所述操作结束时间确定所述操作人员对应的操作数据。
12.可选地，所述根据所述操作开始时间和所述操作结束时间确定所述操作人员对应的操作数据，包括：
13.根据所述操作开始时间确定劫持开始时间，并根据所述操作结束时间确定劫持结束时间；
14.根据所述劫持开始时间和所述劫持结束时间进行系统操作劫持，以确定所述操作人员对应的操作数据。
15.可选地，所述根据所述劫持开始时间和所述劫持结束时间进行系统操作劫持，以确定所述操作人员对应的操作数据，包括：
16.获取数据库中存储的劫持标志；
17.根据所述劫持标志、所述劫持开始时间和所述劫持结束时间通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
18.可选地，所述根据所述劫持标志、所述劫持开始时间和所述劫持结束时间通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据，包括：
19.根据所述劫持标志确定目标hook函数；
20.根据所述目标hook函数、所述劫持开始时间和所述劫持结束时间通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
21.可选地，所述根据所述目标hook函数、所述劫持开始时间和所述劫持结束时间通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据，包括：
22.根据所述劫持开始时间和所述劫持结束时间确定劫持模式的运行时间；
23.在所述劫持模式下，根据所述目标hook函数通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
24.可选地，所述获取操作人员的安全环境登录信息，并根据所述安全环境登录信息确定所述操作人员对应的操作时间，包括：
25.获取所述操作人员的安全环境登录信息；
26.根据所述安全环境登录信息确定所述操作人员进入安全环境登录的第一时间，以及所述操作人员退出安全环境登录的第二时间；
27.将所述第一时间作为操作开始时间，并将所述第二时间作为操作结束时间；
28.根据所述操作开始时间和所述操作结束时间确定所述操作人员对应的操作时间。
29.可选地，所述根据所述操作数据和所述操作时间生成操作清单，并将所述操作清单存储至数据库中之后，还包括：
30.对所述人员操作清单进行显示，以使所述操作人员基于显示的操作清单进行确认操作。
31.可选地，所述根据所述操作数据和所述操作时间生成操作清单，并将所述操作清单存储至数据库中之后，还包括：
32.根据所述操作清单判断所述操作人员是否存在误操作；
33.在所述操作人员存在误操作时，将所述操作清单作为异常操作清单；
34.根据所述异常操作清单确定异常操作事件，并对所述异常操作事件进行记录。
35.可选地，所述根据所述异常操作清单确定异常操作事件，并对所述异常操作事件进行记录之后，还包括：
36.对记录的同一类型的异常操作事件进行遍历，并将遍历到的异常操作事件作为目标操作事件；
37.获取所述目标操作事件对应的事件次数，并根据所述事件次数确定安全等级。
38.可选地，所述获取所述目标操作事件对应的事件次数，并根据所述事件次数确定安全等级之后，还包括：
39.根据所述安全等级生成标识信息；
40.将所述标识信息与所述目标操作事件进行绑定；
41.在通过hook技术进行系统操作劫持的过程中检测到所述目标操作事件时，根据所述标识信息对操作人员进行提醒。
42.可选地，所述根据所述标识信息对操作人员进行提醒，包括：
43.根据所述标识信息生成警告提示信息；
44.对所述警告提示信息进行显示，以对操作人员进行提醒。
45.此外，为实现上述目的，本发明还提出一种操作检测装置，所述操作检测装置包括：
46.信息检测模块，用于获取操作人员的安全环境登录信息，并根据所述安全环境登录信息确定所述操作人员对应的操作时间；
47.数据记录模块，用于根据所述操作时间确定所述操作人员对应的操作数据；
48.操作检测模块，用于根据所述操作数据和所述操作时间生成操作清单，并将所述操作清单存储至数据库中。
49.可选地，所述数据记录模块，还用于根据所述操作时间确定操作开始时间和操作结束时间；根据所述操作开始时间和所述操作结束时间确定所述操作人员对应的操作数据。
50.可选地，所述数据记录模块，还用于根据所述操作开始时间确定劫持开始时间，并根据所述操作结束时间确定劫持结束时间；根据所述劫持开始时间和所述劫持结束时间进行系统操作劫持，以确定所述操作人员对应的操作数据。
51.可选地，所述数据记录模块，还用于获取数据库中存储的劫持标志；根据所述劫持标志、所述劫持开始时间和所述劫持结束时间通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
52.可选地，所述数据记录模块，还用于获取数据库中存储的劫持标志；根据所述劫持标志、所述劫持开始时间和所述劫持结束时间通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
53.可选地，所述数据记录模块，还用于根据所述劫持标志确定目标hook函数；根据所述目标hook函数、所述劫持开始时间和所述劫持结束时间通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
54.可选地，所述数据记录模块，还用于根据所述劫持开始时间和所述劫持结束时间确定劫持模式的运行时间；在所述劫持模式下，根据所述目标hook函数通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
55.此外，为实现上述目的，本发明还提出一种操作检测设备，所述操作检测设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的操作检测程序，所述操作检测程序被处理器执行时实现如上所述的操作检测方法的步骤。
56.此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有操作检测程序，所述操作检测程序被处理器执行时实现如上所述的操作检测方法的步骤。
57.本发明提出的操作检测方法，通过获取操作人员的安全环境登录信息，并根据所述安全环境登录信息确定所述操作人员对应的操作时间；根据所述操作时间确定所述操作人员对应的操作数据；根据所述操作数据和所述操作时间生成操作清单，并将所述操作清单存储至数据库中，从而能够在操作人员对系统进行操作时对其操作时间以及操作数据进行记录，根据操作时间和操作数据生成操作清单并存储在数据库中，能够有效地对人员操作不规范的现象进行记录，提高了系统操作的安全性。
附图说明
58.图1是本发明实施例方案涉及的硬件运行环境的操作检测设备结构示意图；
59.图2为本发明操作检测方法第一实施例的流程示意图；
60.图3为本发明操作检测方法第二实施例的流程示意图；
61.图4为本发明操作检测方法第三实施例的流程示意图；
62.图5为本发明操作检测方法一实施例的操作流程示意图；
63.图6为本发明操作检测装置第一实施例的功能模块示意图。
64.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
65.应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
66.参照图1，图1为本发明实施例方案涉及的硬件运行环境的操作检测设备结构示意图。
67.如图1所示，该操作检测设备可以包括：处理器1001，例如中央处理器(central processing unit，cpu)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如按键，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如wi-fi接口)。存储器1005可以是高速随机存取存储器(random access memory，ram)存储器，也可以是稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
68.本领域技术人员可以理解，图1中示出的设备结构并不构成对操作检测设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
69.如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及操作检测程序。
70.在图1所示的操作检测设备中，网络接口1004主要用于连接外网，与其他网络设备进行数据通信；用户接口1003主要用于连接用户设备，与所述用户设备进行数据通信；本发明设备通过处理器1001调用存储器1005中存储的操作检测程序，并执行本发明实施例提供的操作检测方法。
71.基于上述硬件结构，提出本发明操作检测方法实施例。
72.参照图2，图2为本发明操作检测方法第一实施例的流程示意图。
73.在第一实施例中，所述操作检测方法包括以下步骤：
74.步骤s10，获取操作人员的安全环境登录信息，并根据所述安全环境登录信息确定所述操作人员对应的操作时间。
75.需要说明的是，本实施例的执行主体可为操作检测设备，例如服务器设备等设备，服务器设备可以包括后台服务器、web服务器等，还可为其他可实现相同或相似功能的设备，本实施例对此不作限制，在本实施例中，以操作检测设备为例进行说明。
76.需要说明的是，本实施例的操作检测方法可运用在linux系统，也可应用在windows系统等系统，本实施例对此不作限制，在本实施例中，以linux系统为例进行说明。
77.应当理解的是，在检测到操作人员进行操作时，可获取操作人员的安全环境登录信息，进而可根据安全环境登录信息确定操作人员对应的操作时间。其中，操作时间可包括操作开始时间和操作结束时间，可根据安全环境登录信息确定操作人员进入安全环境登录的第一时间，以及操作人员退出安全环境登录的第二时间，将第一时间作为操作开始时间，并将第二时间作为操作结束时间。
78.可以理解的是，操作人员对系统进行操作时，服务器可检测并记录操作人员的安全环境登录信息，操作人员从进入安全环境登录开始，到退出安全环境登录结束，在这个时间段内操作人员对系统进行了操作，因此，可对该时间段内的数据进行记录，以确定操作人员对应的操作数据。
79.可以理解的是，由于操作人员进入安全环境登录和退出安全环境登录均有其对应的时间，可将进入安全环境登录的第一时间作为操作开始时间，可将退出安全环境登录的第二时间作为操作结束时间。在确定操作开始时间和操作结束时间后，可根据操作开始时间和操作结束时间计算人员操作事件。例如，假设进入安全环境登录的第一时间为2:00，退出安全环境登录的第二时间为2:10，那么便可确定操作开始时间为2:00、操作结束时间为2:10，进而可确定操作时间为2:00-2:10，说明操作人员的此次操作共持续了10分钟。
80.步骤s20，根据所述操作时间确定所述操作人员对应的操作数据。
81.应当理解的是，在确定操作时间后，可根据操作时间确定操作人员对应的操作数据，具体可为获取操作人员在人员操作时间这一时间段内的操作数据。其中，可通过hook技术来获取操作数据，还可通过其他方式获取，本实施例对此不作限制，在本实施例中，以通过hook技术获取操作数据的方式为例进行说明。
82.应当理解的是，hook(钩子)是一种特殊的消息处理机制，它可以监视系统或者进程中的各种事件消息，截获发往目标窗口的消息并进行处理，所以说，可以在系统中自定义hook函数，用来监视系统中特定事件的发生，完成特定功能。可在ld_preload加载的.so中编写需要hook的同名函数，根据linux对外部动态共享库的符号引入全局符号表的处理，后引入的符号会被省略，即系统原始的.so(/lib64/libc.so.6)中的符号会被省略。本方案可通过hook技术中的ld_preload技术进行api截取，识别后台命令操作，将操作信息记录到数据库。后台访问数据库并将数据发送至前台显示，操作人员在进行操作时开始记录，结束时结束记录并显示操作清单。
83.步骤s30，根据所述操作数据和所述操作时间生成操作清单，并将所述操作清单存储至数据库中。
84.应当理解的是，在确定操作人员的操作数据和操作时间后，可根据操作操作数据和操作时间生成操作清单，然后将操作清单存储至数据库中，可针对安全系统级别要求高的场合，人员管理不严谨，人员操作不规范的现象进行记录，有助于系统发生问题时复查相关人员问题，以及记录问题操作，对于后期人员操作限制添加有一定的帮助，最终实现安全系统安全操作的目的。
85.可以理解的是，除了操作数据和操作时间，还可获取操作人员的操作人员身份信息，根据操作数据、操作时间以及操作人员身份信息生成操作清单。在进行复查时，便可调出该操作对应的操作清单，根据操作清单来确定该操作对应的操作时间、操作数据以及操作人员身份信息，并根据操作人员身份信息便可准确地确定该操作对应的操作人员，提高
了在进行问题复查时的定责效率，更加方便于系统管理，保障了系统操作的安全性。
86.在具体实现中，由于用户在对系统进行操作时，一般都会先登录用户账号，然后再进行操作，因此，可根据登录的用户账号来确定操作人员的操作人员身份信息。例如，假设操作人员a在1月1日2:00-2:10对系统进行操作，可获取操作人员a在2:00-2:10进行的操作对应的操作数据，然后根据操作人员a的操作人员身份信息、操作数据以及操作时间生成人员操作清单a，并将生成的人员操作清单a存储至数据库中。在进行问题复查时，如果需要对该操作进行检查，可获取该操作对应的人员操作清单a，根据人员操作清单a可确定该操作是操作人员a做的，操作的时间是1月1日2:00-2:10，并且还可根据人员操作清单a确定操作人员a的具体操作数据。
87.应当理解的是，在生成操作清单后，还可对操作清单进行显示，以使操作人员基于显示的操作清单进行确认操作。本方案主要用于进行人员管理，可进行操作人员的操作事件记录以及操作清单显示，既可对操作人员操作系统的开始时间与结束时间进行记录，并且对操作人员在操作过程中的操作的数据进行记录，可将人员操作时间和操作数据记录到数据库中，并将数据库中的人员操作记录提取出来进行显示。
88.本实施例中通过获取操作人员的安全环境登录信息，并根据所述安全环境登录信息确定所述操作人员对应的操作时间；根据所述操作时间确定所述操作人员对应的操作数据；根据所述操作数据和所述操作时间生成操作清单，并将所述操作清单存储至数据库中，从而能够在操作人员对系统进行操作时对其操作时间以及操作数据进行记录，根据操作时间和操作数据生成操作清单并存储在数据库中，能够有效地对人员操作不规范的现象进行记录，提高了系统操作的安全性。
89.在一实施例中，如图3所示，基于第一实施例提出本发明操作检测方法第二实施例，所述步骤s20，包括：
90.步骤s201，根据所述操作时间确定操作开始时间和操作结束时间。
91.应当理解的是，由于操作时间是操作人员从开始操作到结束操作的时间，因此，可根据操作时间确定该操作的操作开始时间和操作结束时间。
92.步骤s202，根据所述操作开始时间和所述操作结束时间确定所述操作人员对应的操作数据。
93.可以理解的是，在确定操作开始时间和操作结束时间后，可获取操作人员在操作开始时间至操作结束时间这一时间段内的操作数据。
94.进一步地，为了达到更好的数据获取效果，提高操作检测的准确性以及检测效率，所述步骤s202，包括：
95.根据所述操作开始时间确定劫持开始时间，并根据所述操作结束时间确定劫持结束时间；根据所述劫持开始时间和所述劫持结束时间进行系统操作劫持，以确定所述操作人员对应的操作数据。
96.应当理解的是，本方案可通过hook技术中的hook劫持操作来确定操作人员对应的操作数据。可根据操作开始时间确定劫持开始时间，并根据操作结束时间确定劫持结束时间，进而从劫持开始时间起，至劫持结束时间结束，通过hook劫持操作进行系统操作劫持，以确定操作人员对应的操作数据。
97.进一步地，所述根据所述劫持开始时间和所述劫持结束时间进行系统操作劫持，
以确定所述操作人员对应的操作数据，包括：
98.获取数据库中存储的劫持标志；根据所述劫持标志确定目标hook函数；根据所述目标hook函数、所述劫持开始时间和所述劫持结束时间通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
99.可以理解的是，为了更加有针对性地进行系统操作劫持，得到更好的劫持效果，同时降低服务器的运行功耗，可获取数据库中存储的劫持标志，并根据劫持标志确定目标hook函数通过hook技术进行系统操作劫持。
100.应当理解的是，由于操作人员可能在操作的过程中会产生较多的数据，而有些数据是较为重要的，而有些数据并没有多大意义，不需要对其进行检测以及存储。因此，可预先设定一些劫持标志，并将这些劫持标志存储在数据库中，还可为这些劫持标志设置对应的hook函数，通过hook函数来监视系统中特定的事件的发生。
101.可以理解的是，在确定劫持开始时间和劫持结束时间后，可获取数据库中存储的劫持标志，根据劫持标志确定目标hook函数，进而通过hook技术进行系统操作劫持，有针对性地获取操作人员对应的操作数据。
102.进一步地，所述根据所述目标hook函数、所述劫持开始时间和所述劫持结束时间通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据，包括：
103.根据所述劫持开始时间和所述劫持结束时间确定劫持模式的运行时间；在所述劫持模式下，根据所述目标hook函数通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
104.应当理解的是，可根据劫持开始时间和劫持结束时间确定劫持模式的运行时间，即在操作人员开始操作时开启劫持模式，在操作人员结束操作时关闭劫持模式，在劫持模式下，根据目标hook函数通过hook技术进行系统操作劫持，从而对操作人员的特定操作进行监视，并生成对应的操作数据。
105.本实施例中通过根据所述人员操作时间确定操作开始时间和操作结束时间；根据所述操作开始时间和所述操作结束时间，进而通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据，提高了操作数据获取的效率，也进一步提高了操作检测的效率。
106.在一实施例中，如图4所示，基于第一实施例或第二实施例提出本发明操作检测方法第三实施例，在本实施例中，基于第一实施例进行说明，所述步骤s30之后，还包括：
107.步骤s401，根据所述操作清单判断所述操作人员是否存在误操作。
108.应当理解的是，由于操作清单是根据操作人员在操作过程中的操作数据生成，因此，在后期进行问题排查与总结时，可根据操作清单中的操作数据判断操作人员是否存在误操作。
109.步骤s402，在所述操作人员存在误操作时，将所述操作清单作为异常操作清单。
110.可以理解的是，在操作人员存在误操作时，可将操作人员存在误操作的操作清单作为异常操作清单。
111.步骤s403，根据所述异常操作清单确定异常操作事件，并对所述异常操作事件进行记录。
112.应当理解的是，在确定异常操作清单后，可根据异常操作清单中的操作数据确定
异常操作事件，其中，一份异常操作清单中可能包括一个或多个异常操作事件，本实施例对此不作限制。
113.可以理解的是，由于操作清单是根据操作人员在一段时间内的系统操作对应的操作数据生成，操作人员可能在这段时间内发生了一次误操作，也可能发生了多次误操作。因此，假如操作人员在这段时间内发生了一次误操作，那么该异常操作清单中包含一个异常操作事件，而假如操作人员在这段时间内发生了多次误操作，那么该异常操作清单中包含多个异常操作事件。
114.可以理解的是，在确定异常操作事件后，可对异常操作事件进行记录，其中，可通过表格的方式进行记录，可将各项异常操作事件以及各项异常操作事件对应的操作人员信息、操作时间信息等信息记录在表格中，从而可根据表格非常方便地存储和查看异常操作事件的各种信息。除了上述记录方式外，还可通过其他方式进行记录，本实施例对此不作限制。
115.进一步地，所述步骤s403之后，还包括：
116.对记录的同一类型的异常操作事件进行遍历，并将遍历到的异常操作事件作为目标操作事件；获取所述目标操作事件对应的事件次数，并根据所述事件次数确定安全等级。
117.应当理解的是，对于经常发生误操作的事件，可能需要更加重视，避免操作人员频繁犯错。因此，可对记录的同一类型的异常操作事件进行遍历，并将遍历到的异常操作事件作为目标操作事件，进而根据目标操作事件对应的事件次数确定安全等级。
118.可以理解的是，可预先设置多个安全等级，每个安全等级对应不同的事件次数范围，在确定该类型的异常操作事件的事件次数后，可根据事件次数和各安全等级对应的事件次数范围确定安全等级。
119.在具体实现中，可设置三个安全等级，分别为安全等级a、安全等级b以及安全等级c，并且三个安全等级对应不同的事件次数范围，在确定目标操作事件的事件次数后，假设事件次数在安全等级b对应的事件次数范围内，则可确定目标操作事件对应的安全等级为安全等级b。
120.进一步地，所述获取所述目标操作事件对应的事件次数，并根据所述事件次数确定安全等级之后，还包括：
121.根据所述安全等级生成标识信息；将所述标识信息与所述目标操作事件进行绑定；在通过hook技术进行系统操作劫持的过程中检测到所述目标操作事件时，根据所述标识信息对操作人员进行提醒。
122.可以理解的是，可根据目标操作事件对应的安全等级生成标识信息，并且将标识信息与目标操作事件进行绑定，从而将目标操作事件与标识信息关联起来。
123.可以理解的是，在后续通过hook技术进行系统操作劫持的过程中检测到该目标操作事件时，可根据目标操作事件对应的标识信息生成警告提示信息，并对警告提示信息进行显示，以对操作人员进行提醒。由于操作人员是对后台服务器进行操作，因此，可在后台服务器上对警告提示信息进行显示，达到对操作人员进行提醒的效果，从而可有效的规范操作人员系统操作以及后期的问题排查与总结，对于经常发生误操作的操作事件进行记录并且添加安全等级对应的标识信息，再后续的hook中在进行危险或者警告操作时进行提醒，进一步提高了系统操作的安全性，同时也达到了对人员操作不规范的现象进行限制的
效果。
124.在具体实现中，如图5所示，图5为操作流程示意图，操作人员在操作开始时，可记录操作服务器开始时间，并且服务器开始hook劫持操作，操作人员在操作结束时，可记录操作服务器结束时间，并且服务器结束hook劫持操作，根据hook劫持操作生成劫持清单，即操作清单，并记录到数据库中，同时还可对劫持清单进行显示，由操作人员基于显示的劫持清单进行确认操作。
125.本实施例中通过根据操作清单判断操作人员是否存在误操作，在操作人员存在误操作时，将操作清单作为异常操作清单，根据异常操作清单确定异常操作事件，并对异常操作事件进行记录，对记录的同一类型的异常操作事件进行遍历，将遍历到的异常操作事件作为目标操作事件，根据目标操作事件的事件次数确定安全等级并生成标识信息，在通过hook技术进行系统操作劫持的过程中检测到目标操作事件时，根据标识信息对操作人员进行提醒，从而提高了系统操作的安全性，达到更好的操作检测效果。
126.此外，本发明实施例还提出一种存储介质，所述存储介质上存储有操作检测程序，所述操作检测程序被处理器执行时实现如上文所述的操作检测方法的步骤。
127.由于本存储介质采用了上述所有实施例的全部技术方案，因此至少具有上述实施例的技术方案所带来的所有有益效果，在此不再一一赘述。
128.此外，参照图6，本发明实施例还提出一种操作检测装置，所述操作检测装置包括：
129.信息检测模块10，获取操作人员的安全环境登录信息，并根据所述安全环境登录信息确定所述操作人员对应的操作时间。
130.应当理解的是，在检测到操作人员进行操作时，可获取操作人员的安全环境登录信息，进而可根据安全环境登录信息确定操作人员对应的操作时间。其中，操作时间可包括操作开始时间和操作结束时间，可根据安全环境登录信息确定操作人员进入安全环境登录的第一时间，以及操作人员退出安全环境登录的第二时间，将第一时间作为操作开始时间，并将第二时间作为操作结束时间。
131.可以理解的是，操作人员对系统进行操作时，服务器可检测并记录操作人员的安全环境登录信息，操作人员从进入安全环境登录开始，到退出安全环境登录结束，在这个时间段内操作人员对系统进行了操作，因此，可对该时间段内的数据进行记录，以确定操作人员对应的操作数据。
132.可以理解的是，由于操作人员进入安全环境登录和退出安全环境登录均有其对应的时间，可将进入安全环境登录的第一时间作为操作开始时间，可将退出安全环境登录的第二时间作为操作结束时间。在确定操作开始时间和操作结束时间后，可根据操作开始时间和操作结束时间计算人员操作事件。例如，假设进入安全环境登录的第一时间为2:00，退出安全环境登录的第二时间为2:10，那么便可确定操作开始时间为2:00、操作结束时间为2:10，进而可确定操作时间为2:00-2:10，说明操作人员的此次操作共持续了10分钟。
133.数据记录模块20，用于根据所述操作时间确定所述操作人员对应的操作数据。
134.应当理解的是，在确定操作时间后，可根据操作时间确定操作人员对应的操作数据，具体可为获取操作人员在人员操作时间这一时间段内的操作数据。其中，可通过hook技术来获取操作数据，还可通过其他方式获取，本实施例对此不作限制，在本实施例中，以通过hook技术获取操作数据的方式为例进行说明。
135.应当理解的是，hook(钩子)是一种特殊的消息处理机制，它可以监视系统或者进程中的各种事件消息，截获发往目标窗口的消息并进行处理，所以说，可以在系统中自定义hook函数，用来监视系统中特定事件的发生，完成特定功能。可在ld_preload加载的.so中编写需要hook的同名函数，根据linux对外部动态共享库的符号引入全局符号表的处理，后引入的符号会被省略，即系统原始的.so(/lib64/libc.so.6)中的符号会被省略。本方案可通过hook技术中的ld_preload技术进行api截取，识别后台命令操作，将操作信息记录到数据库。后台访问数据库并将数据发送至前台显示，操作人员在进行操作时开始记录，结束时结束记录并显示操作清单。
136.操作检测模块30，用于根据所述操作数据和所述操作时间生成操作清单，并将所述操作清单存储至数据库中。
137.应当理解的是，在确定操作人员的操作数据和操作时间后，可根据操作操作数据和操作时间生成操作清单，然后将操作清单存储至数据库中，可针对安全系统级别要求高的场合，人员管理不严谨，人员操作不规范的现象进行记录，有助于系统发生问题时复查相关人员问题，以及记录问题操作，对于后期人员操作限制添加有一定的帮助，最终实现安全系统安全操作的目的。
138.可以理解的是，除了操作数据和操作时间，还可获取操作人员的操作人员身份信息，根据操作数据、操作时间以及操作人员身份信息生成操作清单。在进行复查时，便可调出该操作对应的操作清单，根据操作清单来确定该操作对应的操作时间、操作数据以及操作人员身份信息，并根据操作人员身份信息便可准确地确定该操作对应的操作人员，提高了在进行问题复查时的定责效率，更加方便于系统管理，保障了系统操作的安全性。
139.在具体实现中，由于用户在对系统进行操作时，一般都会先登录用户账号，然后再进行操作，因此，可根据登录的用户账号来确定操作人员的操作人员身份信息。例如，假设操作人员a在1月1日2:00-2:10对系统进行操作，可获取操作人员a在2:00-2:10进行的操作对应的操作数据，然后根据操作人员a的操作人员身份信息、操作数据以及操作时间生成人员操作清单a，并将生成的人员操作清单a存储至数据库中。在进行问题复查时，如果需要对该操作进行检查，可获取该操作对应的人员操作清单a，根据人员操作清单a可确定该操作是操作人员a做的，操作的时间是1月1日2:00-2:10，并且还可根据人员操作清单a确定操作人员a的具体操作数据。
140.应当理解的是，在生成人员操作清单后，还可对操作清单进行显示，以使操作人员基于显示的操作清单进行确认操作。本方案主要用于进行人员管理，可进行操作人员的操作事件记录以及操作清单显示，既可对操作人员操作系统的开始时间与结束时间进行记录，并且对操作人员在操作过程中的操作的数据进行记录，可将人员操作时间和操作数据记录到数据库中，并将数据库中的人员操作记录提取出来进行显示。
141.本实施例中通过获取操作人员的安全环境登录信息，并根据所述安全环境登录信息确定所述操作人员对应的操作时间；根据所述操作时间确定所述操作人员对应的操作数据；根据所述操作数据和所述操作时间生成操作清单，并将所述操作清单存储至数据库中，从而能够在操作人员对系统进行操作时对其操作时间以及操作数据进行记录，根据操作时间和操作数据生成操作清单并存储在数据库中，能够有效地对人员操作不规范的现象进行记录，提高了系统操作的安全性。
142.在一实施例中，所述数据记录模块20，还用于根据所述操作时间确定操作开始时间和操作结束时间；根据所述操作开始时间和所述操作结束时间确定所述操作人员对应的操作数据。
143.在一实施例中，所述数据记录模块20，还用于根据所述操作开始时间确定劫持开始时间，并根据所述操作结束时间确定劫持结束时间；根据所述劫持开始时间和所述劫持结束时间进行系统操作劫持，以确定所述操作人员对应的操作数据。
144.在一实施例中，所述数据记录模块20，还用于获取数据库中存储的劫持标志；根据所述劫持标志、所述劫持开始时间和所述劫持结束时间通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
145.在一实施例中，所述数据记录模块20，还用于根据所述劫持标志确定目标hook函数；根据所述目标hook函数、所述劫持开始时间和所述劫持结束时间通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
146.在一实施例中，所述数据记录模块20，还用于根据所述劫持开始时间和所述劫持结束时间确定劫持模式的运行时间；在所述劫持模式下，根据所述目标hook函数通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
147.在一实施例中，获取所述操作人员的安全环境登录信息；根据所述安全环境登录信息确定所述操作人员进入安全环境登录的第一时间，以及所述操作人员退出安全环境登录的第二时间；将所述第一时间作为操作开始时间，并将所述第二时间作为操作结束时间；根据所述操作开始时间和所述操作结束时间确定所述操作人员对应的操作时间。
148.在一实施例中，所述操作检测装置还包括信息显示模块，用于对所述操作清单进行显示，以使所述操作人员基于显示的操作清单进行确认操作。
149.在一实施例中，所述操作检测装置还包括异常事件模块，用于根据所述操作清单判断所述操作人员是否存在误操作；在所述操作人员存在误操作时，将所述操作清单作为异常操作清单；根据所述异常操作清单确定异常操作事件，并对所述异常操作事件进行记录。
150.在一实施例中，所述操作检测装置还包括安全等级模块，用于对记录的同一类型的异常操作事件进行遍历，并将遍历到的异常操作事件作为目标操作事件；获取所述目标操作事件对应的事件次数，并根据所述事件次数确定安全等级。
151.在一实施例中，所述操作检测装置还包括信息提醒模块，用于根据所述安全等级生成标识信息；将所述标识信息与所述目标操作事件进行绑定；在通过hook技术进行系统操作劫持的过程中检测到所述目标操作事件时，根据所述标识信息对操作人员进行提醒。
152.在一实施例中，所述信息提醒模块，还用于根据所述标识信息生成警告提示信息；对所述警告提示信息进行显示，以对操作人员进行提醒。
153.在本发明所述操作检测装置的其他实施例或具体实现方法可参照上述各方法实施例，此处不再赘述。
154.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该
要素的过程、方法、物品或者装置中还存在另外的相同要素。
155.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
156.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该估算机软件产品存储在如上所述的一个估算机可读存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台智能设备(可以是手机，估算机，操作检测设备，或者网络操作检测设备等)执行本发明各个实施例所述的方法。
157.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。
158.本发明公开了a1、一种操作检测方法，所述操作检测方法包括以下步骤：
159.获取操作人员的安全环境登录信息，并根据所述安全环境登录信息确定所述操作人员对应的操作时间；
160.根据所述操作时间确定所述操作人员对应的操作数据；
161.根据所述操作数据和所述操作时间生成操作清单，并将所述操作清单存储至数据库中。
162.a2、如a1所述的操作检测方法，所述根据所述操作时间确定所述操作人员对应的操作数据，包括：
163.根据所述操作时间确定操作开始时间和操作结束时间；
164.根据所述操作开始时间和所述操作结束时间确定所述操作人员对应的操作数据。
165.a3、如a2所述的操作检测方法，所述根据所述操作开始时间和所述操作结束时间确定所述操作人员对应的操作数据，包括：
166.根据所述操作开始时间确定劫持开始时间，并根据所述操作结束时间确定劫持结束时间；
167.根据所述劫持开始时间和所述劫持结束时间进行系统操作劫持，以确定所述操作人员对应的操作数据。
168.a4、如a3所述的操作检测方法，所述根据所述劫持开始时间和所述劫持结束时间进行系统操作劫持，以确定所述操作人员对应的操作数据，包括：
169.获取数据库中存储的劫持标志；
170.根据所述劫持标志、所述劫持开始时间和所述劫持结束时间通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
171.a5、如a4所述的操作检测方法，所述根据所述劫持标志、所述劫持开始时间和所述劫持结束时间通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据，包括：
172.根据所述劫持标志确定目标hook函数；
173.根据所述目标hook函数、所述劫持开始时间和所述劫持结束时间通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
174.a6、如a5所述的操作检测方法，所述根据所述目标hook函数、所述劫持开始时间和所述劫持结束时间通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据，包括：
175.根据所述劫持开始时间和所述劫持结束时间确定劫持模式的运行时间；
176.在所述劫持模式下，根据所述目标hook函数通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
177.a7、如a1～a6中任一项所述的操作检测方法，所述获取操作人员的安全环境登录信息，并根据所述安全环境登录信息确定所述操作人员对应的操作时间，包括：
178.获取所述操作人员的安全环境登录信息；
179.根据所述安全环境登录信息确定所述操作人员进入安全环境登录的第一时间，以及所述操作人员退出安全环境登录的第二时间；
180.将所述第一时间作为操作开始时间，并将所述第二时间作为操作结束时间；
181.根据所述操作开始时间和所述操作结束时间确定所述操作人员对应的操作时间。
182.a8、如a1～a6中任一项所述的操作检测方法，所述根据所述操作数据和所述操作时间生成操作清单，并将所述操作清单存储至数据库中之后，还包括：
183.对所述操作清单进行显示，以使所述操作人员基于显示的操作清单进行确认操作。
184.a9、如a1～a6中任一项所述的操作检测方法，所述根据所述操作数据和所述操作时间生成操作清单，并将所述操作清单存储至数据库中之后，还包括：
185.根据所述操作清单判断所述操作人员是否存在误操作；
186.在所述操作人员存在误操作时，将所述操作清单作为异常操作清单；
187.根据所述异常操作清单确定异常操作事件，并对所述异常操作事件进行记录。
188.a10、如a9所述的操作检测方法，所述根据所述异常操作清单确定异常操作事件，并对所述异常操作事件进行记录之后，还包括：
189.对记录的同一类型的异常操作事件进行遍历，并将遍历到的异常操作事件作为目标操作事件；
190.获取所述目标操作事件对应的事件次数，并根据所述事件次数确定安全等级。
191.a11、如a10所述的操作检测方法，所述获取所述目标操作事件对应的事件次数，并根据所述事件次数确定安全等级之后，还包括：
192.根据所述安全等级生成标识信息；
193.将所述标识信息与所述目标操作事件进行绑定；
194.在通过hook技术进行系统操作劫持的过程中检测到所述目标操作事件时，根据所述标识信息对操作人员进行提醒。
195.a12、如a11所述的操作检测方法，所述根据所述标识信息对操作人员进行提醒，包括：
196.根据所述标识信息生成警告提示信息；
197.对所述警告提示信息进行显示，以对操作人员进行提醒。
198.本发明还公开了b13、一种操作检测装置，所述操作检测装置包括：
199.信息检测模块，用于获取操作人员的安全环境登录信息，并根据所述安全环境登
录信息确定所述操作人员对应的操作时间；
200.数据记录模块，用于根据所述操作时间确定所述操作人员对应的操作数据；
201.操作检测模块，用于根据所述操作数据和所述操作时间生成操作清单，并将所述操作清单存储至数据库中。
202.b14、如b13所述的操作检测装置，所述数据记录模块，还用于根据所述操作时间确定操作开始时间和操作结束时间；根据所述操作开始时间和所述操作结束时间确定所述操作人员对应的操作数据。
203.b15、如b14所述的操作检测装置，所述数据记录模块，还用于根据所述操作开始时间确定劫持开始时间，并根据所述操作结束时间确定劫持结束时间；根据所述劫持开始时间和所述劫持结束时间进行系统操作劫持，以确定所述操作人员对应的操作数据。
204.b16、如b15所述的操作检测装置，所述数据记录模块，还用于获取数据库中存储的劫持标志；根据所述劫持标志、所述劫持开始时间和所述劫持结束时间通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
205.b17、如b16所述的操作检测装置，所述数据记录模块，还用于根据所述劫持标志确定目标hook函数；根据所述目标hook函数、所述劫持开始时间和所述劫持结束时间通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
206.b18、如b17所述的操作检测装置，所述数据记录模块，还用于根据所述劫持开始时间和所述劫持结束时间确定劫持模式的运行时间；在所述劫持模式下，根据所述目标hook函数通过hook技术进行系统操作劫持，以确定所述操作人员对应的操作数据。
207.本发明还公开了c19、一种操作检测设备，所述操作检测设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的操作检测程序，所述操作检测程序配置有实现如上所述的操作检测方法的步骤。
208.本发明还公开了d20、一种存储介质，所述存储介质上存储有操作检测程序，所述操作检测程序被处理器执行时实现如上所述的操作检测方法的步骤。