專利名稱:Unix終端用戶輸入邏輯命令動態(tài)實時捕獲方法
技術領域:
本發(fā)明涉及一種黑客行為分析技術�、黑客行為監(jiān)控技術以及內部網絡管理員行為規(guī)范技術,特別涉及UNIX類服務器終端用戶所使用的邏輯命令實時捕獲技術����。
背景技術:
UNIX類服務器在社會生產生活中起著至關重要的作用��,UNIX類服務器系統(tǒng)的安全����,關系到社會各個領域生產生活的正常有序運行��。UNIX類服務器往往承擔著最大最重的業(yè)務����,成為黑客或者內部不法份子的攻擊目標���。同時��,網絡管理員的操作不當或者處理失誤����,也有可能對UNIX類服務器造成極大損失�����,如服務器癱瘓�、數據丟失、機密外泄。
正是因為UNIX類服務器的極端重要性�,UNIX類服務器的安全,無論是物理安全或者網絡安全����,都成為UNIX類服務器運營部門首要特別關注的問題。
針對UNIX類服務器系統(tǒng)安全���,目前存在系列的解決辦法����,如在UNIX服務器前安裝防火墻�、入侵檢測設備等網絡安全邊界設備,降低UNIX服務器被攻擊的風險���;通過文件系統(tǒng)數據完整性校驗�����,如Tripwire�����,可以防止木馬感染服務器���,降低安全風險�;通過主機加固���,爭強服務器抗攻擊能力�����;通過強化用戶權限審計�,爭強服務器抗攻擊能力�;另外�,鍵盤記錄工具可以記錄和審計用戶行為過程,可以規(guī)范內部用戶行為��,對于黑客����,也有一定的安全防范作用。
總之�,UNIX類服務器的操作和管理,基本上處于黑匣子狀態(tài)�,對于服務器上真實發(fā)生的事情,對于用戶在服務器上的行為過程等���,現有安全方案基本無能為力��。鍵盤記錄工具只能忠實的記錄鍵盤敲擊信息�����,沒有邏輯意義上的語義擴展�����,如命令等���;遠程日志系統(tǒng)基本上屬于被動解決方案��,不能實時響應�,需要專人和專用程序進行事后日志分析�����,才能確定服務器上發(fā)生的行為以及行為結果�。因此,針對用戶行為實時監(jiān)控��,用戶命令實時捕獲�,成為讓UNIX服務器擺脫黑匣子狀態(tài)和無語義狀態(tài)的迫切需求�。
發(fā)明內容
本發(fā)明的目的在于為用戶提供一種動態(tài)實時捕獲UNIX類服務器終端用戶輸入命令的技術��,讓UNIX類服務器操作和管理更加可視����、可控、可管理��、可跟蹤�、可鑒定,增強UNIX類服務器系統(tǒng)安全和應用安全����。
本發(fā)明的目的是通過下列技術方案來實現的一種UNIX類服務器終端用戶輸入命令實時捕獲技術,由輸入接收進程����、輸出處理進程(線程)��、輸出處理進程內部內存虛擬終端�、被監(jiān)控進程四部分組成。
其特征在于輸入接收進程(主進程)接收用戶輸入�,將用戶輸入傳遞給被監(jiān)控進程,并標記相關捕獲標志��,同時根據相關捕獲完成標記控制用戶輸入鍵盤信息到被監(jiān)控進程的傳遞行為;被監(jiān)控進程根據用戶輸入�����,執(zhí)行自己處理動作���,并將輸出傳遞到輸出處理進程(線程)���;輸出處理進程(線程)將真實輸出信息輸出到標準輸出設備,并根據相關捕獲標志�����,通過其內部獨立內存虛擬終端�����,實施具體命令捕獲�、命令處理等操作與處理,標記捕獲完成標志���。以后重復執(zhí)行上述捕獲控制行為�,實現用戶命令的持續(xù)實時捕獲����。
本發(fā)明的優(yōu)點在于技術方法簡單����,占用資源少���,不影響UNIX內核����,具有非侵害性特點�����,可擴展性強����,適用領域廣,對于國家信息安全�����,有重要的實用價值���。
圖1為本發(fā)明UNIX類服務器終端命令實時捕獲流程圖�����。
具體實施例方式輸入接收進程(主進程)先啟動被監(jiān)控進程如SHELL進程如bash��、sh�、csh����、ksh等或者任何第三方終端進程如sqlplus、mysql等��,輸入接收進程(主進程)接著啟動輸出處理進程(線程)�����。輸出處理進程(線程)接收被監(jiān)控進程輸出�����,并將輸出顯示在標準輸出設備��。隨后����,輸入接收進程(主進程)接收用戶鍵盤輸入并標記相關捕獲標記���,輸出處理進程根據標記實施具體捕獲動作。輸入接收進程在每輪命令捕獲開始之前�����,標記POMPT(提示信息)信息捕獲標志��,輸出處理進程展開POMPT(提示信息)捕獲��,并標記POMPT(提示信息)捕獲完成標志����;隨后輸入接收進程(主進程)將用戶輸入傳遞給被監(jiān)控進程;輸入接收進程接收到回車鍵時��,標記命令捕獲標志�����,并將該標志傳遞給輸出處理進程(線程)��,同時�����,輸入接收進程(主進程)停止將用戶鍵盤信息如回車或者重要功能鍵傳遞到被監(jiān)控進程���,防止命令生效���;輸出處理進程在接收到命令捕獲標志后,通過接收被監(jiān)控進程輸出超時機制���,一定時間接收超時后�,開始命令捕獲行為�;命令捕獲完成后,輸出處理進程標記捕獲完成標志�����,輸入接收進程(主進程)在接收到命令捕獲完成標記后���,開始下一輪命令捕獲標記準備和傳遞���,實現UNIX類服務器終端命令實時捕獲。
在上述的UNIX類服務器終端用戶命令實時捕獲技術中����,輸出處理進程(線程)實施真實命令捕獲����。
具體的捕獲方法如下輸出處理進程(線程)啟動之時�����,開啟一個內存虛擬終端���,或稱后臺虛擬終端��。后臺內存虛擬終端支持各種終端如VT100�,VT102�,VT220,LINUX���,HP等���,可以根據用戶當前終端類型自動選擇。該終端在后臺執(zhí)行�����,用戶不可見。輸出處理進程在將被監(jiān)控進程的輸出顯示在標準輸出設備之時�,同時拷貝一份輸出到虛擬終端。虛擬終端單向接收輸出處理進程(線程)輸出信息��,并在自己的虛擬內存里完成虛擬輸出顯示��,其顯示參數(如行數�、列數)與當前輸出參數完全同步����。后臺虛擬終端在輸出處理進程(線程)接收到捕獲標志時,將當前邏輯行(包括換行)的可見字符拷貝到命令捕獲緩沖區(qū)�,并通過回調機制,實現命令的實時捕獲和控制���,同時��,內存虛擬終端可將虛擬顯示內容寫入文件或者網絡��,實現用戶屏幕的實時監(jiān)控�、行為結果分析等功能�。
權利要求
1UNIX終端用戶輸入邏輯命令動態(tài)實時捕獲方法,由輸入接收進程���、輸出處理進程(線程)�����、輸出處理進程內部內存虛擬終端�����、被監(jiān)控進程四部分組成�。其特征在于輸入接收進程(主進程)接收用戶輸入,將用戶輸入傳遞給被監(jiān)控進程��,并標記相關捕獲標志�,同時根據相關捕獲完成標記控制用戶輸入鍵盤信息到被監(jiān)控進程的傳遞行為;被監(jiān)控進程根據用戶輸入��,執(zhí)行自己處理動作�����,并將輸出傳遞到輸出處理進程(線程)��;輸出處理進程(線程)將真實輸出信息輸出到標準輸出設備�����,并根據相關捕獲標志,通過其內部獨立內存虛擬終端�����,實施具體命令捕獲����、命令處理等操作與處理,標記捕獲完成標志�。以后重復執(zhí)行上述捕獲控制行為����,實現用戶命令的持續(xù)實時捕獲。
2根據權利要求1���、2的UNIX類服務器命令實時捕獲組成和特征��,可以實時捕獲用戶輸入命令��,并在命令生效之前可以對命令執(zhí)行相關操作���,進而控制用戶的系統(tǒng)行為,分析用戶行為意圖和目的�����,保護UNIX類服務器系統(tǒng)安全和重要應用數據安全。
全文摘要
UNIX終端用戶輸入邏輯命令動態(tài)實時捕獲方法為用戶提供一種動態(tài)實時捕獲UNIX類服務器終端用戶輸入命令的技術�,讓UNIX類服務器操作和管理更加可視、可控�、可管理、可跟蹤����、可鑒定,增強UNIX類服務器系統(tǒng)安全和應用安全���。本發(fā)明技術方法簡單�����,占用資源少�,不影響UNIX內核����,具有非侵害性特點,可擴展性強�����,適用領域廣,對于國家信息安全���,有重要的實用價值����。
文檔編號G06F9/46GK1960273SQ20051006135
公開日2007年5月9日 申請日期2005年11月1日 優(yōu)先權日2005年11月1日
發(fā)明者陳云 申請人:杭州帕拉迪網絡科技有限公司