[发明专利]一种运维操作审计方法和装置

说明书

本发明公开了一种运维操作审计方法和装置，该方法包括：将第一类风险规则预存在第一风险规则数据库中；实时获取指定系统产生的操作日志，将实时获取的操作日志与第一风险规则数据库中的第一类风险规则进行匹配，如果存在匹配项，则确定存在系统被入侵情况或违规运维操作的情况；将获取的操作日志存入日志数据库中；对日志数据库中的操作日志进行离线分析，判断是否存在系统被入侵情况和违规运维操作的情况。本发明提供的技术方案中的实时分析与离线分析能够对不同形式的不合理运维操作行为进行针对性的判定，相互补充和支持，进一步扩大审计范围，提高审计准确性，及时有效地发现系统中存在的入侵情况和违规运维操作情况，符合系统管理需求。

技术领域

本发明涉及互联网云监控领域，具体涉及一种运维操作审计方法和装置。

背景技术

一个系统的正常运转依赖于大量运维人员对该系统的运营维护，运营维护的完善程度决定了该系统的各方面性能，如果系统被入侵或者系统的运维人员中存在违规人员，入侵者或违规人员对系统所实施的不合理运维操作行为，将导致系统运转出现异常，给系统的使用者和系统的管理者带来不便和损失。

因此，如何高效准确地对指定系统内部的运维操作进行审计，及时有效地发现系统中存在的入侵情况和违规运维操作情况，对于系统的使用者和系统的管理者来说，都具有重要的意义。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种运维操作审计方法和装置。

依据本发明的一个方面，提供了一种运维操作审计方法，该方法包括：

将第一类风险规则预存在第一风险规则数据库中；

实时获取指定系统产生的操作日志，将实时获取的操作日志与第一风险规则数据库中的第一类风险规则进行匹配，如果存在匹配项，则确定存在系统被入侵情况或违规运维操作的情况；

将获取的操作日志存入日志数据库中；

对日志数据库中的操作日志进行离线分析，判断是否存在系统被入侵情况和违规运维操作的情况。

可选地，该方法进一步包括：将第二类风险规则预存在第二风险规则数据库中；

所述对日志数据库中的操作日志进行离线分析，判断是否存在系统被入侵情况和违规运维操作的情况包括：分析日志数据库中的操作日志，判断是否存在与第二风险规则数据库中的第二类风险规则匹配的情况，是则确定存在系统被入侵情况和违规运维操作的情况。

可选地，所述第一风险规则数据库中对应保存有第一类风险规则和风险名称；所述第二风险规则数据库中对应保存有第二类风险规则和风险名称；

风险名称为：系统被入侵的各种情况的描述名称，或各类违规运维操作的名称。

可选地，所述第一风险规则包括如下中的一项或多项：

在异常地点进行登录操作；

修改指定文件的操作；

所述第二风险规则包括如下中的一项或多项：

在预设长度的时间内，在不同地点进行登录操作；

在预设长度时间内，进行了互斥的两种或以上操作。

可选地，该方法进一步包括：

当判断存在违规运维操作的情况时，根据日志数据库确定该违规运维操作的操作者，以及进一步根据日志数据库回溯该操作者的运维操作记录，进行进一步的违规操作判断。

可选地，所述进一步根据日志数据库回溯该操作者的运维操作记录，进行进一步的违规操作判断包括：