[发明专利]一种运维操作审计方法和装置

权利要求书

1.一种运维操作审计方法，其中，该方法包括：

将第一类风险规则预存在第一风险规则数据库中；所述第一类风险规则描述了判定实时不合理运维操作行为的充分条件；

实时获取指定系统产生的操作日志，将实时获取的操作日志与第一风险规则数据库中的第一类风险规则进行匹配，如果存在匹配项，则确定存在系统被入侵情况或违规运维操作的情况；

将获取的操作日志存入日志数据库中；

对日志数据库中的操作日志进行离线分析，判断是否存在系统被入侵情况和违规运维操作的情况；

该方法进一步包括：将第二类风险规则预存在第二风险规则数据库中；所述第二类风险规则描述了判定一个时间段内不合理运维操作综合行为的充分条件；

所述对日志数据库中的操作日志进行离线分析，判断是否存在系统被入侵情况和违规运维操作的情况包括：分析日志数据库中的操作日志，判断是否存在与第二风险规则数据库中的第二类风险规则匹配的情况，是则确定存在系统被入侵情况和违规运维操作的情况。

2.如权利要求1所述的方法，其中，

所述第一风险规则数据库中对应保存有第一类风险规则和风险名称；所述第二风险规则数据库中对应保存有第二类风险规则和风险名称；

风险名称为：系统被入侵的各种情况的描述名称，或各类违规运维操作的名称。

3.如权利要求1所述的方法，其中，

所述第一风险规则包括如下中的一项或多项：

在异常地点进行登录操作；

修改指定文件的操作；

所述第二风险规则包括如下中的一项或多项：

在预设长度的时间内，在不同地点进行登录操作；

在预设长度时间内，进行了互斥的两种或以上操作。

4.如权利要求1所述的方法，其中，该方法进一步包括：

当判断存在违规运维操作的情况时，根据日志数据库确定该违规运维操作的操作者，以及进一步根据日志数据库回溯该操作者的运维操作记录，进行进一步的违规操作判断。

5.如权利要求4所述的方法，其中，所述进一步根据日志数据库回溯该操作者的运维操作记录，进行进一步的违规操作判断包括：

根据第一风险规则数据库和/或第二风险规则数据库中的风险规则，判断回溯到的该操作者的运维操作记录中是否存在违规操作。

6.如权利要求1所述的方法，其中，该方法进一步包括：

对判断出的系统被入侵情况和违规运维操作的情况进行统计分析，学习关于系统被入侵和违规运维操作的规律；

根据学习到的所述规律，确定应对策略。

7.如权利要求6所述的方法，其中，所述学习关于系统被入侵和违规运维操作的规律包括如下中的一种或多种：

哪些系统被入侵情况频繁发生；

哪些违规运维操作频繁发生；

系统被入侵情况的高发时间段；

运维违规操作的高发时间段。

8.如权利要求7所述的方法，其中，根据学习到的所述规律，确定应对策略包括如下中的一种或多种：

针对频繁发生的系统入侵情况，针对性地设置的拦截操作或者提高验证力度；

针对频繁发生的违规运维操作，提高运维操作权限门槛或者禁封频繁出现违规运维操作的操作者的操作账户；

在系统被入侵情况的高发时间段，针对性地设置拦截操作和提高验证力度；

在运维违规操作的高发时间段，提高运维操作权限门槛或者禁封频繁出现违规运维操作的操作者的操作账户。