[发明专利]一种检测方法及装置

说明书

本公开的实施例公开了一种检测方法及装置，所述检测方法包括：判断网络交互过程中指令的类型；在所述指令的类型为提升可执行权限类指令的情况下，判断所述文件的特征属性参数是否符合预设值；在所述文件的特征属性参数不符合预设值的情况下，检测所述文件中是否存在高危指令。本公开的实施例所提供的检测方法及装置，通过在进行高危指令检测之前首先判断文件的特征属性参数是否符合预设值，能够有效过滤高危指令，防止服务器出现异常或者敏感数据泄露，并且缩小了文件的检测范围，缩短了运维过程的响应时间。

技术领域

本公开涉及互联网领域，尤其涉及一种检测方法及装置。

背景技术

堡垒机是一种面向运维用户的运维安全审计产品，支持运维终端通过字符型协议SSH协议来运维后端资产。运维用户在运维过程中发生的一些违规操作可能会导致后端资产异常。故通过安全外壳协议运维过程中的指令检测是当前堡垒机必备功能。如果运维人员在运维过程中，通过将运维指令写入脚本并在运维终端执行该脚本的方式，则可绕过堡垒机的常规指令检测。这种行为可能会导致资产上的敏感数据和信息被篡改或破坏。

目前，现有技术是通过识别两类指令，识别出后再执行阻断、审批或告警等动作，两类指令包括提升文件可执行权限类指令和执行脚本文件类指令，对于提升文件可执行权限类指令，通过检测并控制提升文件可执行权限类指令，防止运维用户提升文件的可执行权限，而执行脚本文件类指令则不需要脚本文件有可执行权限也能被执行。通过识别提升文件可执行权限类指令和执行脚本文件类指令并进行相应动作，可能会导致这些指令的正常功能受到限制，使得在脚本中携带高危指令的情况下，这些指令不能被准确检测和处理。

发明内容

针对现有技术中存在的上述技术问题，本公开的实施例提供了一种检测方法及装置，能够有效过滤高危指令，并且缩小文件的检测范围，缩短运维过程的响应时间。

根据本公开的第一方案，提供了一种检测方法，包括：判断网络交互过程中指令的类型；在所述指令的类型为提升可执行权限类指令的情况下，判断所述文件的特征属性参数是否符合预设值；在所述文件的特征属性参数不符合预设值的情况下，检测所述文件中是否存在高危指令。

在一些实施例中，在所述文件的特征属性参数不符合预设值的情况下，检测所述文件中是否存在高危指令，包括：在所述文件的特征属性参数不符合预设值的情况下，将所述文件添加到规则库中，并将所述文件的检测状态标记为未检测；在接收到与所述文件相对应的执行命令时，查询所述规则库中所述文件的检测状态；在所述文件的检测状态为未检测的情况下，检测所述文件中是否存在高危指令。

在一些实施例中，所述检测方法还包括：在完成对所述文件的高危指令的检测后，将所述规则库中所述文件的检测状态标记为已检测，并将检测结果记录到所述规则库，以更新所述规则库。

在一些实施例中，在判断网络交互过程中指令的类型之后，还包括：在所述指令的类型为执行脚本文件类指令的情况下，查询所述规则库中是否存在所述文件；在不存在所述文件的情况下，判断所述文件的特征属性参数是否符合预设值；在所述文件的特征属性参数不符合预设值的情况下，将所述文件添加到规则库中，并将所述文件的检测状态标记为未检测。

在一些实施例中，在所述文件的特征属性参数不符合预设值的情况下，将所述文件添加到规则库中，并将所述文件的检测状态标记为未检测之后，还包括：检测所述文件中是否存在高危指令；在完成对所述文件的高危指令的检测后，将所述规则库中所述文件的检测状态标记为已检测，以更新所述规则库。

根据本公开的第二方案，本公开的实施例还提供了一种检测装置，所述检测装置包括：第一判断模块，用于判断网络交互过程中指令的类型；第二判断模块，用于在所述指令的类型为提升可执行权限类指令的情况下，判断所述文件的特征属性参数是否符合预设值；检测模块，用于在所述文件的特征属性参数不符合预设值的情况下，检测所述文件中是否存在高危指令。