CN118245333A - 一种Linux操作***异常行为分析方法及可读存储介质 - Google Patents
一种Linux操作***异常行为分析方法及可读存储介质 Download PDFInfo
- Publication number
- CN118245333A CN118245333A CN202410193369.2A CN202410193369A CN118245333A CN 118245333 A CN118245333 A CN 118245333A CN 202410193369 A CN202410193369 A CN 202410193369A CN 118245333 A CN118245333 A CN 118245333A
- Authority
- CN
- China
- Prior art keywords
- alarm
- information
- server
- control center
- acquiring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 36
- 238000004458 analytical method Methods 0.000 title claims abstract description 34
- 238000013515 script Methods 0.000 claims abstract description 55
- 238000000034 method Methods 0.000 claims description 69
- 230000008569 process Effects 0.000 claims description 49
- 230000008859 change Effects 0.000 claims description 23
- 238000012986 modification Methods 0.000 claims description 10
- 230000004048 modification Effects 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 7
- 238000009434 installation Methods 0.000 claims description 6
- 238000012216 screening Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 abstract description 13
- 238000013461 design Methods 0.000 abstract description 4
- 238000012544 monitoring process Methods 0.000 description 14
- 230000005540 biological transmission Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种Linux操作***异常行为分析方法及可读存储介质,包括:配置告警策略,部署脚本于Linux服务器以获取并发送主机状态信息至控制中心,实现信息登记。脚本从控制中心拉取告警策略,获取并保存***要素信息。定时任务配置在服务器上,定期获取***要素最新信息,与历史信息比对生成差异报告,进一步匹配告警策略生成告警消息,发送至日志服务器和控制中心触发告警。这种设计能快速发现、定位***异常行为,提升***稳定性和安全性,采用集中管理和分析,提高处理效率。
Description
技术领域
本发明涉及***维护技术领域,具体而言,涉及一种Linux操作***异常行为分析方法及可读存储介质。
背景技术
在现有的技术中,Linux操作***由于其开源和灵活性广泛用于各类服务器环境。然而,随着服务器规模的扩大和复杂度的增加,如何准确、高效地检测和分析服务器中的异常行为成为一个重要的问题。传统的方法通常需要人工检查和分析大量的***日志和配置文件,这不仅效率低下,而且难以应对大规模服务器环境中出现的问题。因此,需要一种能够自动化、高效地进行异常行为分析的新技术。
发明内容
本发明的目的在于提供一种Linux操作***异常行为分析方法及可读存储介质。
第一方面,本发明实施例提供一种Linux操作***异常行为分析方法,包括:
获取并登记Linux服务器的主机状态及***要素信息,拉取告警策略,实现脚本的初始化;
在服务器上配置定时任务,定时获取当前Linux服务器的***要素信息,所述***要素信息包括文件状态和进程;
每次获取***要素信息时,将最新的信息与配置文件中的历史信息进行比对,生成差异报告;
将差异报告与告警策略结合,生成告警消息;
将告警消息传输至日志服务器与控制中心,触发告警;
控制中心响应于用户操作进行自定义告警策略的配置与实时下发。
在一种可能的实施方式中,所述获取并登记Linux服务器的主机状态及***要素信息,拉取告警策略,实现脚本的初始化,包括:
获取服务器的主机状态信息主机状态信息包括主机名、IP、操作***和内核,并将其发送至控制中心,实现主机信息的登记;
从控制中心拉取最新的告警策略,实现本地告警策略的初始化;
获取当前服务器的***要素信息,所述***要素信息包括文件状态和进程,存储于本地配置文件中,实现***要素信息及脚本的初始化。
在一种可能的实施方式中,所述在服务器上配置定时任务,定时获取当前Linux服务器的***要素信息,所述***要素信息包括文件状态和进程,包括:
设置crontab定时任务,定时获取Linux服务器的***要素信息;
获取SSH密钥信息,包括用户名、存储文件、远程主机IP、密钥内容和添加日期;
获取计划任务配置信息,包括用户名、任务内容和触发条件;
获取网络连接信息,包括协议类型、远程主机IP和涉及进程;
获取文件状态信息,包括目录、文件名、权限、文件哈希值和修改日期;
获取DNS查询记录信息,包括查询的域名和DNS服务器的响应内容;
获取服务器的进程信息,包括所属用户名、控制终端和命令内容;
获取服务器的软件安装包信息,包括包名、版本号和安装时间。
在一种可能的实施方式中,所述每次获取***要素信息时,将最新的信息与配置文件中的历史信息进行比对,生成差异报告,包括:
比对SSH密钥信息,包括密钥的增减以及每条记录对应属性的变化;
比对计划任务配置信息,包括计划任务的增减以及每条记录对应属性的变化;
比对网络连接信息,包括网络连接的增减以及对应属性的变化;
比对文件状态信息,包括目录、文件的增减以及对应属性的变化;
比对DNS查询记录信息,包括新增的查询记录数量及对应的内容;
比对服务器的进程信息,包括进程的增减以及每个进程对应属性的变化;
比对服务器的软件安装包信息,包括软件包的增减以及每个软件包版本的变化;
将所述服务器的***要素的变化汇总为差异报告。
在一种可能的实施方式中,所述将差异报告与告警策略结合,生成告警消息,包括:
基于所述差异报告,结合告警策略,确定需要告警的内容、触发告警时间以及告警严重性级别;
根据所述告警策略白名单筛选需要告警的内容;
根据所述触发告警时间生成告警时间戳;
将告警内容、告警时间戳与告警严重性级别有机结合,形成***要素差异的告警消息。
在一种可能的实施方式中,所述将告警消息传输至日志服务器与控制中心,触发告警,包括:
脚本将告警消息传输至日志服务器和控制中心;
控制中心根据预设的告警途径发送告警通知;
将所述告警消息和所述主机状态信息展示至预设大屏。
在一种可能的实施方式中,所述控制中心响应于用户操作进行自定义告警策略的配置与实时下发,包括:
响应于用户操作通过控制中心自定义告警策略;
响应于用户操作自定义网络告警策略;
响应于用户操作自定义进程告警策略;
响应于用户操作自定义文件告警策略;
响应于用户操作控制中心连接各个脚本实现告警策略的实时下发和更新。
第二方面,本发明实施例提供一种Linux操作***异常行为分析装置,包括:
获取模块,用于获取并登记Linux服务器的主机状态信息,从控制中心拉取告警策略,实现脚本的初始化;配置定时任务,定时获取当前Linux服务器的***要素信息;
分析模块,用于将当前***要素信息与配置文件中的历史信息进行比对,生成差异报告;将差异报告与告警策略结合,生成告警消息;将告警消息传输至日志服务器与控制中心,触发告警;接受控制中心推送的告警策略,实现策略的实时下发。
第三方面,本发明实施例提供一种计算机设备,所述计算机设备包括处理器及存储有计算机指令的非易失性存储器,所述计算机指令被所述处理器执行时,所述计算机设备执行第一方面至少一种可能的实施方式中所述的Linux操作***异常行为分析方法。
第四方面,本发明实施例提供一种可读存储介质,所述可读存储介质包括计算机程序,所述计算机程序运行时控制所述可读存储介质所在计算机设备执行第一方面至少一种可能的实施方式中所述的Linux操作***异常行为分析方法。
相比现有技术,本发明提供的有益效果包括:采用本发明公开的一种Linux操作***异常行为分析方法及可读存储介质,预先在控制中心配置自定义的告警策略,并在Linux服务器上部署脚本,该脚本首先获取Linux服务器的主机状态信息,将其发送至控制中心,实现服务器信息的登记,并从控制中心拉取告警策略,获取服务器的***要素信息并以配置文件的形式保存,完成脚本的初始化。然后在服务器上配置定时任务,定时获取最新的文件状态、进程信息等***要素信息,并将最新的***要素信息与配置文件中的历史信息进行比对,生成差异报告,并进一步的将差异报告与告警策略进行匹配,生成告警消息。最后,将告警消息发送至日志服务器及控制中心,触发告警。如此设计,可以迅速发现并定位到***的异常行为,从而提高了***稳定性和安全性,同时采用了集中式管理和分析,提高了处理异常的效率。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍。应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的Linux操作***异常行为分析方法的步骤流程示意框图;
图2为本发明实施例提供的Linux操作***异常行为分析装置的结构示意框图;
图3为本发明实施例提供的计算机设备的结构示意框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要理解的是,术语“上”、“下”、“内”、“外”、“左”、“右”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该申请产品使用时惯常摆放的方位或位置关系,或者是本领域技术人员惯常理解的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的设备或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,“设置”、“连接”等术语应做广义理解,例如,“连接”可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接连接,也可以通过中间媒介间接连接,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
下面结合附图,对本发明的具体实施方式进行详细说明。
为了解决前述背景技术中的技术问题,图1为本公开实施例提供的Linux操作***异常行为分析方法的流程示意图,下面对该Linux操作***异常行为分析方法进行详细介绍。
步骤S201,获取并登记Linux服务器的主机状态及***要素信息,拉取告警策略,实现脚本的初始化;
步骤S202,在服务器上配置定时任务,定时获取当前Linux服务器的***要素信息,所述***要素信息包括文件状态和进程;
步骤S203,每次获取***要素信息时,将最新的信息与配置文件中的历史信息进行比对,生成差异报告;
步骤S204,将差异报告与告警策略结合,生成告警消息;
步骤S205,将告警消息传输至日志服务器与控制中心,触发告警;
步骤S206,控制中心响应于用户操作进行自定义告警策略的配置与实时下发。
在本发明实施例中,示例性的,假设有一个网络安全团队想要对公司内部的Linux服务器进行异常行为分析。他们首先通过管理员权限登录到目标服务器,并部署异常行为分析脚本。该脚本会定时检测服务器***要素的变化,并根据告警策略向日志服务器与控制中心发出告警。在首次运行时,该脚本会读取服务器的主机名、IP等状态信息,并将其发送至控制中心进行主机的注册;读取服务器上的文件、网络连接等***要素信息,完成信息的初始化;从服务端拉取告警策略信息,完成脚本的初始化。脚本会在服务器上设置定时任务,定期地扫描当前服务器的***要素信息,并与配置文件中的历史信息做比对,形成差异报告。对于存在差异的信息,将结合自定义的告警策略,生成包括告警内容、时间戳及告警严重性级别在内的告警消息,并将告警消息传输至日志服务器和控制中心。最后,控制中心将对告警消息进行整合、并通知网络安全团队或管理员进行进一步的调查和处理。告警信息可以以电子邮件、短信或***通知的形式发送给相关人员。网络安全团队也可以通过控制中心进行自定义告警策略的配置与实时下发。
在一种可能的实施方式中,前述步骤S201可以通过以下示例执行实施。
(1)获取服务器的主机状态信息主机状态信息包括主机名、IP、操作***和内核,并将其发送至控制中心,实现主机信息的登记;
(2)从控制中心拉取最新的告警策略,实现本地告警策略的初始化;
(3)获取当前服务器的***要素信息,所述***要素信息包括文件状态和进程,存储于本地配置文件中,实现***要素信息及脚本的初始化。
在本发明实施例中,示例性的,网络安全团队登录到了Linux服务器上,需要进行脚本的安装与运行,从而实现对服务器***要素变化的监控。首先需要将脚本的可执行文件通过SSH等方式上传至服务器并运行。脚本首先会读取服务器的主机名、IP、操作***、内核版本以及本身脚本版本信息,并将其发送至控制中心,登记主机信息;然后会利用控制中心提供的API接口,从控制中心同步最新的告警策略;最后读取服务器的SSH密钥、计划任务、网络连接、文件、DNS查询记录、进程状态等***要素的状态(具体方法将在步骤S202部分详细描述),存储于本地的配置文件中,作为后续差异比较的基准,完成数据及脚本的初始化。
在一种可能的实施方式中,前述步骤S202可以通过以下示例执行实施。
(1)设置crontab定时任务,定时获取Linux服务器的***要素信息;
(2)获取SSH密钥信息,包括用户名、存储文件、远程主机IP、密钥内容和添加日期;
(3)获取计划任务配置信息,包括用户名、任务内容和触发条件;
(4)获取网络连接信息,包括协议类型、远程主机IP和涉及进程;
(5)获取文件状态信息,包括目录、文件名、权限、文件哈希值和修改日期;
(6)获取DNS查询记录信息,包括查询的域名和DNS服务器的响应内容;
(7)获取服务器的进程信息,包括所属用户名、控制终端和命令内容;
(8)获取服务器的软件安装包信息,包括包名、版本号和安装时间.
在本发明实施例中,示例性的,脚本想要获取服务器的SSH密钥、计划任务、网络连接、文件、DNS查询记录、进程状态等***要素。该脚本会通过读取known_hosts与authorized_keys文件获取本地保存的SSH密钥的用户名、所属文件、远程服务器IP、以及密钥内容等信息;通过遍历/var/spool/cron/等目录下的全部文件获取服务器当前计划任务的用户名、任务内容以及触发条件等信息;通过netstat等命令获取服务器当前网络连接的远程主机的IP、端口、协议以及参与连接的进程等信息;通过遍历/usr/bin、/usr/sbin等关键目录以及监控/etc/passwd等关键文件的哈希值,获取目录及文件的权限、哈希值以及修改日期等信息;通过python程序等方式监控服务器的DNS查询记录,并获取查询的域名以及对应的响应信息;通过ps等命令查询服务器当前进程的状态,并获取进程所属的用户名、控制终端以及命令内容等信息;通过yum list以及pip list等命令获取服务器当前安装的软件安装包、python第三方库以及其它软件包列表,并获取软件安装包的包名、版本号等信息。
在一种可能的实施方式中,前述步骤S203可以通过以下方式执行实施。
(1)比对SSH密钥信息,包括密钥的增减以及每条记录对应属性的变化;
(2)比对计划任务配置信息,包括计划任务的增减以及每条记录对应属性的变化;
(3)比对网络连接信息,包括网络连接的增减以及对应属性的变化;
(4)比对文件状态信息,包括目录、文件的增减以及对应属性的变化;
(5)比对DNS查询记录信息,包括新增的查询记录数量及对应的内容;
(6)比对服务器的进程信息,包括进程的增减以及每个进程对应属性的变化;
(7)比对服务器的软件安装包信息,包括软件包的增减以及每个软件包版本的变化;
(8)将上述服务器***要素的变化汇总为差异分析报告。
在本发明实施例中,示例性的,脚本需要比对当前的***要素信息与配置文件中的历史信息的差异。该脚本会读取配置文件目录,读取之前缓存的SSH密钥、计划任务等历史的***要素信息内容,并将其与最新的***要素信息作比对:比较当前新增的SSH密钥以及现存SSH密钥的用户名、所属文件、远程服务器IP、以及密钥内容等信息的差异;比较当前新增的计划任务以及现存的计划任务的用户名、任务内容以及触发条件等信息的差异;比较当前新增的网络连接以及现存网络连接的远程主机的IP、端口、协议以及参与连接的进程等信息的差异;比较当前新增的目录及文件以及现存的目录及文件的权限、哈希值以及修改日期等信息的差异;比较当前新增DNS查询记录查询的域名以及对应的响应信息;比较当前新增进程以及现存进程所属的用户名、控制终端以及命令内容等信息的差异;比较当前新增软件安装包以及现存软件安装包的版本包、安装时间等信息的差异。最后脚本将以上的差异总结成差异分析报告。
在一种可能的实施方式中,前述步骤S204可以通过以下示例执行实施。
(1)基于所述差异分析报告,结合告警策略,确定需要告警的内容、告警时间以及告警严重性级别;
(2)根据所述告警策略白名单筛选需要告警的内容;
(3)根据所述触发告警时间生成告警时间戳;
(4)将告警内容、告警时间戳与告警严重性级别有机结合,形成***要素差异的告警消息。
在本发明实施例中,示例性的,脚本得到了***要素信息的差异分析报告。基于这些差异信息,脚本会结合本地存储的告警策略,服务器会确定触发告警的内容(如SSH密钥新增条目),告警的时间(如known_hosts文件的最后修改时间)以及告警的严重性级别(如警告、错误、严重),同时还会根据告警策略的白名单内容对告警的消息做进一步的筛选,降低数据规模。脚本已经确定了触发告警的时间点,在这种情况下,会为该告警事件生成一个告警时间戳,用于记录和跟踪此次告警。脚本确定了告警的严重性级别,例如将SSH密钥的条目变化分类为警告级别。最后,脚本将告警内容、告警时间戳以及告警严重性级别结合形成三元组,构成告警消息。
在一种可能的实施方式中,前述步骤S205可以通过以下示例执行实施。
(1)脚本将告警消息传输至日志服务器和控制中心;
(2)控制中心根据预设的告警途径发送告警通知;
(3)将所述告警统计信息和所述主机状态信息展示至预设大屏。
在本发明实施例中,示例性的,脚本生成了服务器***要素变动的告警消息。脚本会通过UDP协议将告警消息传输至日志服务器(例如ELK),然后控制中心拉取日志服务器的信息,通过预设的渠道发送告警消息(如邮件、短信)。发送告警消息之后,控制中心还会对来自各个脚本的告警消息进行统一展示,还会基于这些告警信息进行统计,生成告警的数量、类型以及其他相关信息。同时,服务器还会获取目标Linux服务器的主机状态信息,例如CPU使用率、内存占用情况、磁盘空间等。为了方便监控和管理团队的查看,在网络安全团队的办公区域设置了一个预设大屏。服务器会将生成的告警统计信息和主机状态信息以图表、表格或其他形式展示在这个大屏上,供团队成员实时监控和分析。如此设计,通过可视化和实时的展示,团队成员可以快速了解待测试对象的告警情况和目标Linux服务器的主机状态,从而及时采取相应的措施
在一种可能的实施方式中,前述步骤S206可以通过以下示例执行实施。
(1)用户可以通过控制中心自定义告警策略;
(2)用户可以自定义网络告警策略;
(3)用户可以自定义进程告警策略;
(4)用户可以自定义文件告警策略;
(5)控制中心可以连接各个脚本实现告警策略的实时下发和更新。
在本发明实施例中,示例性的,网络安全团队需要通过自定义告警策略决定需要接收的告警的内容。他们可以通过控制中心来设置自定义的网络、进程和文件告警策略,包括告警的网络连接的白名单、告警的具体内容、严重级别及发送渠道等,来决定脚本监控以及告警发送的内容。安全团队配置好告警策略点击保存之后,控制中心会与脚本通信,进行实时的策略下发,保证策略及时生效。
下面提供一种本发明实施例的整体实施方式。
(1)数据采集:数据采集是本发明的关键步骤之一,通过在目标Linux服务器上执行脚本,我们可以获取多方面的信息,包括文件、目录、网络连接、进程、计划任务、软件安装包等。这些数据以文本配置文件的形式被生成,以便后续比对。
(2)数据比对:比对是监控的核心过程,每次执行采集脚本后,生成的配置文件与上一次采集的结果进行比对,这一步骤有助于识别出各种变动,例如新文件、目录、删除的进程等,数据比对的目标是检测异常行为和潜在的威胁。
(3)数据传输:一旦有变动被检测到,变动信息与告警策略一起生成告警消息,并将其通过UDP方式传输到预定义的日志平台与控制中心,使用UDP协议有助于减少传输延迟,确保信息的实时性。数据传输使我们能够将监控结果发送到一个集中的位置,以便进一步的分析和处理。
(4)计划任务执行:监控***的执行频率由用户通过计划任务进行配置,这允许用户自定义执行间隔,以满足不同监控需求。例如,用户可以设置监控每分钟一次或每小时一次,根据其对***的需求。
(5)告警策略:在控制中心,用户可以根据具体需求设置告警策略。告警策略可以包括何时触发告警、告警的严重性级别以及通知方式(例如电子邮件、企业微信、钉钉等)。这确保了用户在发生异常事件时及时获得通知。
(6)大屏展示:用户可以通过大屏功能实时观察***安全状况,包括安装统计、版本统计、进程告警统计、网络连接告警统计、文件告警统计等。
具体的可以通过以下流程执行实施。
A.配置脚本:用户需要在需要监控的服务器上运行本发明的脚本。
B.脚本执行:该脚本首次运行时会收集主机的主机名、IP等信息向控制中心完成登记,拉取最新的告警策略,并获取***的文件、目录、网络连接、进程、计划任务、软件安装包等***要素信息保存在配置文件中,同时,设置定时任务,定时获取最新的信息。
C.数据比对:执行结果与上一次执行的配置文件进行比对,比对过程有助于识别***中发生的变化。这可以包括新增文件、删除文件、网络连接状态变化、进程启动或停止、软件包安装或卸载等。
D.数据传输:一旦有变动被检测到,比对的结果将生成告警消息并通过UDP协议传输到预定义的日志平台,UDP协议的使用有助于减少传输延迟,以确保信息的实时性。
E.告警策略设置:在控制中心,用户可以设置告警策略,这些策略确定了何时触发告警,用户可以定义告警的严重性级别,例如警告、紧急、危急等。告警策略会实时的下发至服务器上的脚本并立即生效。
F.告警通知:当本发明检测到潜在的异常行为时,根据用户的告警策略触发相应的告警,用户将通过电子邮件、企业微信、钉钉等方式收到告警通知,以便他们能够采取适当的行动。
如此设计,能够实现自动化监控和比对:本发明的自动化采集和比对过程大大减少了用户手动干预的需求,使监控***更具实时性和效率。综合数据采集:通过采集多个关键数据点,本发明提供了更全面的***监控。灵活的告警策略:用户可以根据具体需求配置告警策略,以满足不同监控场景的要求。实时传输:使用UDP协议进行数据传输,有助于快速获取监控数据,以便在***异常发生时及时采取措施。可扩展性:本发明的技术方案可以轻松扩展,以支持不同的监控目标和数据采集脚本,适用于各种Linux服务器环境。这使得本发明非常灵活,能够满足各种不同监控需求。
请结合参阅图2,图2为本发明实施例提供的一种Linux操作***异常行为分析装置110的结构示意框图,包括:
获取模块,用于获取并登记Linux服务器的主机状态信息,从控制中心拉取告警策略,实现脚本的初始化;配置定时任务,定时获取当前Linux服务器的***要素信息;
分析模块,用于将当前***要素信息与配置文件中的历史信息进行比对,生成差异报告;将差异报告与告警策略结合,生成告警消息;将告警消息传输至日志服务器与控制中心,触发告警;接受控制中心推送的告警策略,实现策略的实时下发。
需要说明的是,前述Linux操作***异常行为分析装置110的实现原理可以参考前述Linux操作***异常行为分析方法的实现原理,在此不再赘述。应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。例如,Linux操作***异常行为分析装置110可以为单独设立的处理元件,也可以集成在上述装置的某一个芯片中实现,此外,也可以以程序代码的形式存储于上述装置的存储器中,由上述装置的某一个处理元件调用并执行以上Linux操作***异常行为分析装置110的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起,也可以独立实现。这里所描述的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
例如,以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(application specific integrated circuit,ASIC),或,一个或多个微处理器(digital signal processor,DSP),或,一个或者多个现场可编程门阵列(fieldprogrammable gate array,FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(centralprocessingunit,CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上***(system-on-a-chip,SOC)的形式实现。
本发明实施例提供一种计算机设备100,计算机设备100包括处理器及存储有计算机指令的非易失性存储器,计算机指令被处理器执行时,计算机设备100执行前述的Linux操作***异常行为分析装置110。如图3所示,图3为本发明实施例提供的计算机设备100的结构框图。计算机设备100包括Linux操作***异常行为分析装置110、存储器111、处理器112及通信单元113。
为实现数据的传输或交互,存储器111、处理器112以及通信单元113各元件相互之间直接或间接地电性连接。例如,可通过一条或多条通讯总线或信号线实现这些元件相互之间电性连接。Linux操作***异常行为分析装置110包括至少一个可以软件或固件(firmware)的形式存储于存储器111中或固化在计算机设备100的操作***(operatingsystem,OS)中的软件功能模块。处理器112用于执行存储器111中存储的Linux操作***异常行为分析装置110,例如Linux操作***异常行为分析装置110所包括的软件功能模块及计算机程序等。
本发明实施例提供一种可读存储介质,可读存储介质包括计算机程序,计算机程序运行时控制可读存储介质所在计算机设备执行前述的Linux操作***异常行为分析方法。
出于说明目的,前面的描述是参考具体实施例而进行的。但是,上述说明性论述并不打算穷举或将本公开局限于所公开的精确形式。根据上述教导,众多修改和变化都是可行的。选择并描述这些实施例是为了最佳地说明本公开的原理及其实际应用,从而使本领域技术人员最佳地利用本公开,并利用具有不同修改的各种实施例以适于预期的特定应用。出于说明目的,前面的描述是参考具体实施例而进行的。但是,上述说明性论述并不打算穷举或将本公开局限于所公开的精确形式。根据上述教导,众多修改和变化都是可行的。选择并描述这些实施例是为了最佳地说明本公开的原理及其实际应用,从而使本领域技术人员最佳地利用本公开,并利用具有不同修改的各种实施例以适于预期的特定应用。
Claims (10)
1.一种Linux操作***异常行为分析方法,其特征在于,包括:
获取并登记Linux服务器的主机状态及***要素信息,拉取告警策略,实现脚本的初始化;
在服务器上配置定时任务,定时获取当前Linux服务器的***要素信息,所述***要素信息包括文件状态和进程;
每次获取***要素信息时,将最新的信息与配置文件中的历史信息进行比对,生成差异报告;
将差异报告与告警策略结合,生成告警消息;
将告警消息传输至日志服务器与控制中心,触发告警;
控制中心响应于用户操作进行自定义告警策略的配置与实时下发。
2.根据权利要求1所述的方法,其特征在于,所述获取并登记Linux服务器的主机状态及***要素信息,拉取告警策略,实现脚本的初始化,包括:
获取服务器的主机状态信息主机状态信息包括主机名、IP、操作***和内核,并将其发送至控制中心,实现主机信息的登记;
从控制中心拉取最新的告警策略,实现本地告警策略的初始化;
获取当前服务器的***要素信息,所述***要素信息包括文件状态和进程,存储于本地配置文件中,实现***要素信息及脚本的初始化。
3.根据权利要求1所述的方法,其特征在于,所述在服务器上配置定时任务,定时获取当前Linux服务器的***要素信息,所述***要素信息包括文件状态和进程,包括:
设置crontab定时任务,定时获取Linux服务器的***要素信息;
获取SSH密钥信息,包括用户名、存储文件、远程主机IP、密钥内容和添加日期;
获取计划任务配置信息,包括用户名、任务内容和触发条件;
获取网络连接信息,包括协议类型、远程主机IP和涉及进程;
获取文件状态信息,包括目录、文件名、权限、文件哈希值和修改日期;
获取DNS查询记录信息,包括查询的域名和DNS服务器的响应内容;
获取服务器的进程信息,包括所属用户名、控制终端和命令内容;
获取服务器的软件安装包信息,包括包名、版本号和安装时间。
4.根据权利要求1所述的方法,其特征在于,所述每次获取***要素信息时,将最新的信息与配置文件中的历史信息进行比对,生成差异报告,包括:
比对SSH密钥信息,包括密钥的增减以及每条记录对应属性的变化;
比对计划任务配置信息,包括计划任务的增减以及每条记录对应属性的变化;
比对网络连接信息,包括网络连接的增减以及对应属性的变化;
比对文件状态信息,包括目录、文件的增减以及对应属性的变化;
比对DNS查询记录信息,包括新增的查询记录数量及对应的内容;
比对服务器的进程信息,包括进程的增减以及每个进程对应属性的变化;
比对服务器的软件安装包信息,包括软件包的增减以及每个软件包版本的变化;
将所述服务器的***要素的变化汇总为差异报告。
5.根据权利要求1所述的方法,其特征在于,所述将差异报告与告警策略结合,生成告警消息,包括:
基于所述差异报告,结合告警策略,确定需要告警的内容、触发告警时间以及告警严重性级别;
根据所述告警策略白名单筛选需要告警的内容;
根据所述触发告警时间生成告警时间戳;
将告警内容、告警时间戳与告警严重性级别有机结合,形成***要素差异的告警消息。
6.根据权利要求5所述的方法,其特征在于,所述将告警消息传输至日志服务器与控制中心,触发告警,包括:
脚本将告警消息传输至日志服务器和控制中心;
控制中心根据预设的告警途径发送告警通知;
将所述告警消息和所述主机状态信息展示至预设大屏。
7.根据权利要求1所述的方法,其特征在于,所述控制中心响应于用户操作进行自定义告警策略的配置与实时下发,包括:
响应于用户操作通过控制中心自定义告警策略;
响应于用户操作自定义网络告警策略;
响应于用户操作自定义进程告警策略;
响应于用户操作自定义文件告警策略;
响应于用户操作控制中心连接各个脚本实现告警策略的实时下发和更新。
8.一种Linux操作***异常行为分析装置,其特征在于,包括:
获取模块,用于获取并登记Linux服务器的主机状态信息,从控制中心拉取告警策略,实现脚本的初始化;配置定时任务,定时获取当前Linux服务器的***要素信息;
分析模块,用于将当前***要素信息与配置文件中的历史信息进行比对,生成差异报告;将差异报告与告警策略结合,生成告警消息;将告警消息传输至日志服务器与控制中心,触发告警;接受控制中心推送的告警策略,实现策略的实时下发。
9.一种计算机设备,其特征在于,所述计算机设备包括处理器及存储有计算机指令的非易失性存储器,所述计算机指令被所述处理器执行时,所述计算机设备执行权利要求1-7中任意一项所述的Linux操作***异常行为分析方法。
10.一种可读存储介质,其特征在于,所述可读存储介质包括计算机程序,所述计算机程序运行时控制所述可读存储介质所在计算机设备执行权利要求1-7中任意一项所述的Linux操作***异常行为分析方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410193369.2A CN118245333A (zh) | 2024-02-21 | 2024-02-21 | 一种Linux操作***异常行为分析方法及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410193369.2A CN118245333A (zh) | 2024-02-21 | 2024-02-21 | 一种Linux操作***异常行为分析方法及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN118245333A true CN118245333A (zh) | 2024-06-25 |
Family
ID=91559460
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410193369.2A Pending CN118245333A (zh) | 2024-02-21 | 2024-02-21 | 一种Linux操作***异常行为分析方法及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN118245333A (zh) |
-
2024
- 2024-02-21 CN CN202410193369.2A patent/CN118245333A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7712133B2 (en) | Integrated intrusion detection system and method | |
US9658914B2 (en) | Troubleshooting system using device snapshots | |
CN103490941B (zh) | 一种云计算环境中实时监控在线配置方法 | |
US8966044B2 (en) | Methods for displaying physical network topology and environmental status by location, organization, or responsible party | |
EP2284757A1 (en) | Security vulnerability information aggregation | |
US11789760B2 (en) | Alerting, diagnosing, and transmitting computer issues to a technical resource in response to an indication of occurrence by an end user | |
CN112486629B (zh) | 微服务状态检测方法、装置、电子设备和存储介质 | |
CN114884838B (zh) | Kubernetes组件的监控方法及服务器 | |
US20110054964A1 (en) | Automatic Documentation of Ticket Execution | |
CN112698915A (zh) | 多集群统一监控告警方法、***、设备及存储介质 | |
CN105404581A (zh) | 一种数据库的评测方法和装置 | |
CN112988439B (zh) | 服务器故障发现方法、装置、电子设备及存储介质 | |
WO2006117832A1 (ja) | 運用中システムチェック処理装置,方法およびそのプログラム | |
CN111953558A (zh) | 敏感信息的监控方法、装置、电子设备及存储介质 | |
CN113138886A (zh) | 一种测试嵌入式设备的方法、装置及测试设备 | |
CN111949483A (zh) | 监控装置和监控*** | |
WO2024119843A1 (zh) | 一种数据采集方法、装置和计算机设备 | |
US20060053021A1 (en) | Method for monitoring and managing an information system | |
Huang et al. | PDA: A Tool for Automated Problem Determination. | |
CN118245333A (zh) | 一种Linux操作***异常行为分析方法及可读存储介质 | |
WO2019241199A1 (en) | System and method for predictive maintenance of networked devices | |
CN110727555A (zh) | 服务接口管理方法、装置、介质和计算机设备 | |
US20210306239A1 (en) | Determining Operational Status of Internet of Things Devices | |
CN115934453A (zh) | 一种故障排查方法、装置及存储介质 | |
CN112667281A (zh) | 一种配置信息处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination |