Linux Shell 命令的用户异常操作检测方法

　　随着互联网技术的快速发展，数据中心作为一种新型基础设施，被广泛应用于各行各业，数据中心的安全防护问题也开始被广泛关注。目前，对于常见的计算机　　病毒、密钥泄露、非法访问、数据泄密等计算机信息安全问题，数据中心管理员通常采用安装计算机病毒扫描软件、配置网络防火墙、对敏感数据加密、用户访问权限控制等防护手段来解决。这些防护手段可以抵御外部的恶意行为入侵，但是从数据中心内部的安全机制来看，对数据中心合法用户的各种误操作、违规操作或恶意操作等异常行为缺乏有效审计手段。因此，迫切需要一个能够对数据中心服务器进行统一监控，并能检测用户异常操作的系统。

　　在异常检测技术研究方向，国内外学者做了许多卓有成效的工作。李超等人提出了一种基于共生矩阵的用户行为异常检测方法，通过计算当前事件序列构建出的共生矩阵与训练阶段构建的模型矩阵距离来判决用户行为。郭为鸣提出了一种改进的用户入侵行为检测方法，采用基于动态链接库的Shell命令提取方法，以Shell命令记录作为审计数据，提高了入侵检测的准确率。SHONE等人提出了一种用于入侵检测系统的新型深度学习技术，并使用KDDCup99和NSL-KDD数据集进行了实验验证，获得较好的实验结果。SERPEN[10]等人提出了基于Linux主机的异常行为检测系统的设计和性能评估方法，采用了Eigentraces特征提取技术，该特征提取方法是对操作系统调用跟踪数据进行主成分分析，并采用k-NN算法进行分类，具有较高的检测性能。章坚武等人提出了基于模糊理论与关联规则的BVAIDS（BooleanVectorApriori-intrusionDetectionSystem）模型，该模型具有较高的检测准确率和较低的误检率。朱韶平等人提出了一种基于MSNN模型的网络安全入侵检测算法，利用多级Sigmoid神经网络进行模型训练，实验表明该算法具有较高的检测准确率，具有良好的应用价值。YANG提出了一种基于数据挖掘算法的实时入侵检测系统，该系统具有实时检测以及分布式架构等特点，具有良好的应用前景。

　　针对学校数据中心安全防护手段单一、效率低等问题，本文以高校数据中心实际环境为背景，研究并设计了基于规则和基于命令序列的两种异常操作检测方法，在此基础上实现了一种以Shell命令为审计数据的异常操作检测系统。

一、基于规则的异常操作检测

1.1 异常操作检测方法设计

　　在基于LinuxShell命令的异常操作检测系统中，设计了基于规则的异常操作检测方法，对已知的异常操作进行检测，设计思路如图1所示。当用户通过统一的WebShell终端登录到目标服务器时，会触发用户访问属性规则检测。每当用户执行一个命令都会向系统后台发出一个HTTP请求，请求消息体中携带的参数就是用户当前执行的Shell命令，系统后台使用规则库匹配算法对用户当前执行的命令进行检测。如果检测出当前命令与规则库中的高危命令相匹配或者命令操作的文件对象与敏感文件相匹配，则根据匹配规则对应的响应动作对当前用户进行反馈（包括命令提醒、命令阻断、中断会话等）。如果与规则库不匹配，则用户可以继续执行命令。

1.2 规则库设计

　　规则库是基于规则异常操作检测方法的基础，针对不同的异常操作特征所包含的属性可以定义不同的规则类型。规则库中包含3种规则类型 ：高危命令规则、敏感文件规则和用户访问属性规则。高危命令规则的数据表各字段的名称、类型及含义如表1所示。敏感文件规则主要包含敏感数据文件等，敏感文件规则的数据表各字段的名称、类型及含义如表2所示。用户访问属性规则主要用于限制用户访问目标服务器时的主机IP地址和访问时间段，用户访问属性规则的数据表各字段的名称、类型及含义。

1.3 规则库匹配算法

　　规则库匹配算法的核心逻辑如图2所示。当用户通过WebShell终端登录目标服务器时，可获取用户当前的访问时间，通过HttpRequest对象获取用户的主机IP，判断用户的主机IP和访问时间是否满足既定的访问规则。若满足，则监听用户在终端上执行的命令，提取命令名称和命令参数，基于Shell命令库索引判断当前用户执行命令的类型。如果命令类型为文件操作类型，则进一步判断命令参数中的操作文件是否为规则库中定义的敏感文件。如果当前执行的命令不是文件操作类型的命令，则以命令名称为索引，在高危命令库中查找对应的高危命令规则，通过遍历的方式判断当前执行的命令与查找结果中的高危命令规则是否匹配。如果匹配成功，则系统根据匹配规则的响应类型做出相应的反馈。（文/华中科技大学 吴驰，帅俊岚，龙涛，于俊清）

…………………

　　Linux Shell 命令的用户异常操作检测方法研究 PDF 完整版下载（文字可复制）：

https://www.aliyundrive.com/s/cWzHL9iMXAc 提取码: db59