[发明专利]一种面向工控操作系统的操作指令实时监测回显的方法

说明书

本发明公开了一种面向工控操作系统的操作指令实时监测回显的方法，包括：用户登录主机时，主机系统为用户创建一个session，并将登录信息记录到日志文件中；用户登录主机后，在session中执行脚本程序，将session下的所有操作和屏幕回显记录到日志文件中；通过主机系统API接口，将日志文件加入监视列表，日志文件发生变化，进行解析，并将解析结果上报后台。本发明可以实时监测到用户登录主机的所有操作和回显，同时可以对非法操作及非法入侵进行实时阻断，增加主机监测的透明度，降低安全风险。

技术领域

本发明涉及一种面向工控操作系统的操作指令实时监测回显的方法，属于网络安全领域。

背景技术

在工控操作系统领域存在大量的系统主机，在其安全管理方面，只能进行事后日志回溯，不能实时对主机进行操作回显监控，更无法对非法操作及非法入侵进行实时阻断，存在极大的管理风险和安全隐患。

发明内容

为了解决上述技术问题，本发明提供了一种面向工控操作系统的操作指令实时监测回显的方法。

为了达到上述目的，本发明所采用的技术方案是：

一种面向工控操作系统的操作指令实时监测回显的方法，

用户登录主机时，主机系统为用户创建一个session，并将登录信息记录到日志文件中；

用户登录主机后，在session中执行脚本程序，将session下的所有操作和屏幕回显记录到日志文件中；

通过主机系统API接口，将日志文件加入监视列表，日志文件发生变化，进行解析，并将解析结果上报后台。

用户登录时，主机系统会对每一个登录的客户端分配一个编号，并将编号记录到日志中。

日志文件发生变化，进行解析的过程为，

用户登录主机后，agent程序对日志文件进行解析，将解析得到登录信息和客户端编号发送给后台，同时根据客户端编号通过获取PID的PS命令定位到链路进程PID，并将链路进程PID发送给后台；

当日志文件发生变化，在监视接口的监视下，通知agent程序；

agent程序对日志文件进行解析，得到变化的信息，并将变化的信息发送给后台。

登录信息包括登录的客户端IP、端口、登录时间和登录用户名。

记录的操作和屏幕回显与对应的登录信息进行关联。

后台在需要的时候，向主机系统发送阻断操作命令，在下行报文中携带主机IP和需要阻断的链路进程PID，agent程序收到报文后，根据链路进程PID，进行kill进程操作。

主机和后台之间通过数据总线连接。

本发明所达到的有益效果：本发明可以实时监测到用户登录主机的所有操作和回显，同时可以对非法操作及非法入侵进行实时阻断，增加主机监测的透明度，降低安全风险。

附图说明

图1为本发明的流程图；

图2为信息采集逻辑框图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

如图1所示，一种面向工控操作系统的操作指令实时监测回显的方法，包括以下步骤：

步骤1，用户在客户机的客户端通过SSH登录主机，在登录时，主机系统为用户创建一个session，同时对登录的客户端分配一个编号，并将登录信息和编号记录到日志文件中。