一种运维操作审计方法和装置的制造方法
【技术领域】
[0001]本发明涉及互联网云监控领域,具体涉及一种运维操作审计方法和装置。
【背景技术】
[0002]一个系统的正常运转依赖于大量运维人员对该系统的运营维护,运营维护的完善程度决定了该系统的各方面性能,如果系统被入侵或者系统的运维人员中存在违规人员,入侵者或违规人员对系统所实施的不合理运维操作行为,将导致系统运转出现异常,给系统的使用者和系统的管理者带来不便和损失。
[0003]因此,如何高效准确地对指定系统内部的运维操作进行审计,及时有效地发现系统中存在的入侵情况和违规运维操作情况,对于系统的使用者和系统的管理者来说,都具有重要的意义。
【发明内容】
[0004]鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种运维操作审计方法和装置。
[0005]依据本发明的一个方面,提供了一种运维操作审计方法,该方法包括:
[0006]将第一类风险规则预存在第一风险规则数据库中;
[0007]实时获取指定系统产生的操作日志,将实时获取的操作日志与第一风险规则数据库中的第一类风险规则进行匹配,如果存在匹配项,则确定存在系统被入侵情况或违规运维操作的情况;
[0008]将获取的操作日志存入日志数据库中;
[0009]对日志数据库中的操作日志进行离线分析,判断是否存在系统被入侵情况和违规运维操作的情况。
[0010]可选地,该方法进一步包括:将第二类风险规则预存在第二风险规则数据库中;[0011 ] 所述对日志数据库中的操作日志进行离线分析,判断是否存在系统被入侵情况和违规运维操作的情况包括:分析日志数据库中的操作日志,判断是否存在与第二风险规则数据库中的第二类风险规则匹配的情况,是则确定存在系统被入侵情况和违规运维操作的情况。
[0012]可选地,所述第一风险规则数据库中对应保存有第一类风险规则和风险名称;所述第二风险规则数据库中对应保存有第二类风险规则和风险名称;
[0013]风险名称为:系统被入侵的各种情况的描述名称,或各类违规运维操作的名称。
[0014]可选地,所述第一风险规则包括如下中的一项或多项:
[0015]在异常地点进行登录操作;
[0016]修改指定文件的操作;
[0017]所述第二风险规则包括如下中的一项或多项:
[0018]在预设长度的时间内,在不同地点进行登录操作;
[0019]在预设长度时间内,进行了互斥的两种或以上操作。
[0020]可选地,该方法进一步包括:
[0021]当判断存在违规运维操作的情况时,根据日志数据库确定该违规运维操作的操作者,以及进一步根据日志数据库回溯该操作者的运维操作记录,进行进一步的违规操作判断。
[0022]可选地,所述进一步根据日志数据库回溯该操作者的运维操作记录,进行进一步的违规操作判断包括:
[0023]根据第一风险规则数据库和/或第二风险规则数据库中的风险规则,判断回溯到的该操作者的运维操作记录中是否存在违规操作。
[0024]可选地,该方法进一步包括:
[0025]对判断出的系统被入侵情况和违规运维操作的情况进行统计分析,学习关于系统被入侵和违规运维操作的规律;
[0026]根据学习到的所述规律,确定应对策略。
[0027]可选地,所述学习关于系统被入侵和违规运维操作的规律包括如下中的一种或多种:
[0028]哪些系统被入侵情况频繁发生;
[0029]哪些违规运维操作频繁发生;
[0030]系统被入侵情况的高发时间段;
[0031]运维违规操作的高发时间段。
[0032]可选地,根据学习到的所述规律,确定应对策略包括如下中的一种或多种:
[0033]针对频繁发生的系统入侵情况,针对性地设置的拦截操作或者提高验证力度;
[0034]针对频繁发生的违规运维操作,提高运维操作权限门槛或者禁封频繁出现违规运维操作的操作者的操作账户;
[0035]在系统被入侵情况的高发时间段,针对性地设置拦截操作和提高验证力度;
[0036]在运维违规操作的高发时间段,提高运维操作权限门槛或者禁封频繁出现违规运维操作的操作者的操作账户。
[0037]依据本发明的另一个方面,提供了一种运维操作审计装置,该装置包括:
[0038]获取单元,适于实时获取指定系统产生的操作日志发送给实时审计单元和存储单元;
[0039]所述实时审计单元,适于将实时获取的操作日志与第一风险规则数据库中的第一类风险规则进行匹配,如果存在匹配项,则确定存在系统被入侵情况或违规运维操作的情况;
[0040]所述存储单元,适于存储第一风险规则数据库,所述第一风险规则数据库用于保存第一类风险规则,以及适于存储日志数据库,所述日志数据库用于保存操作日志;
[0041 ] 离线审计单元,适于对日志数据库中的操作日志进行离线分析,判断是否存在系统被入侵情况和违规运维操作的情况。
[0042]可选地,所述存储单元,进一步适于存储第二风险规则数据库,所述第二风险规则数据库用于保存第二类风险规则;
[0043]所述离线审计单元,适于分析日志数据库中的操作日志,判断是否存在与第二风险规则数据库中的第二类风险规则匹配的情况,是则确定存在系统被入侵情况和违规运维操作的情况。
[0044]可选地,所述第一风险规则数据库中对应保存有第一类风险规则和风险名称;所述第二风险规则数据库中对应保存有第二类风险规则和风险名称;
[0045]风险名称为:系统被入侵的各种情况的描述名称,或各类违规运维操作的名称。
[0046]可选地,所述第一风险规则包括如下中的一项或多项:
[0047]在异常地点进行登录操作;
[0048]修改指定文件的操作;
[0049]所述第二风险规则包括如下中的一项或多项:
[0050]在预设长度的时间内,在不同地点进行登录操作;
[0051 ] 在预设长度时间内,进行了互斥的两种或以上操作。
[0052]可选地,该装置进一步包括:
[0053]违规回溯单元,适于当存在违规运维操作的情况时,根据日志数据库确定该违规运维操作的操作者,以及适于进一步根据日志数据库回溯该操作者的运维操作记录,进行进一步的违规操作判断。
[0054]可选地,所述违规回溯单元,适于根据第一风险规则数据库和/或第二风险规则数据库中的风险规则,判断回溯到的该操作者的运维操作记录中是否存在违规操作。
[0055]可选地,该装置进一步包括:
[0056]学习单元,适于对判断出的系统被入侵情况和违规运维操作的情况进行统计分析,学习关于系统被入侵和违规运维操作的规律;
[0057]应对单元,适于根据学习到的所述规律,确定应对策略。
[0058]可选地,所述学习单元,适于学习关于系统被入侵和违规运维操作的如下规律中的一种或多种:
[0059]哪些系统被入侵情况频繁发生;
[0060]哪些违规运维操作频繁发生;
[0061]系统被入侵情况的高发时间段;
[0062]运维违规操作的高发时间段。
[0063]可选地,所述应对单元确定的应对策略包括如下中的一种或多种:
[0064]针对频繁发生的系统入侵情况,针对性地设置的拦截操作或者提高验证力度;
[0065]针对频繁发生的违规运维操作,提高运维操作权限门槛或者禁封频繁出现违规运维操作的操作者的操作账户;
[0066]在系统被入侵情况的高发时间段,针对性地设置的拦截操作和提高验证力度;
[0067]在运维违规操作的高发时间段,提高运维操作权限门槛或者禁封频繁出现违规运维操作的操作者的操作账户。
[0068]由上述可知,本发明提供