[发明专利]网络安全监测系统及在终端信息采集中区分操作命令与回显的方法

说明书

本发明涉及一种在终端信息采集中区分操作命令与回显的方法及系统，所述系统包括：网络安全监测系统与接收装置，其中，网络安全监测系统通过接收/发送端口与接收装置连接，接收装置设置为一个以上；网络安全监测系统包括信息采集模块以及命令提示符自适应判定模块，命令提示符自适应判定模块用于将信息采集模块采集到的被监测主机的终端信息进行分析和处理，并将处理后的信息发送给接收装置。本发明提供的在终端信息采集中区分操作命令与回显的方法及系统，通过用户操作命令的提示符来准确区分用户执行命令和用户操作命令回显，实现了用户操作命令和回显的精准区分，提升了远端节点的安全。

技术领域

本发明涉及计算机信息分析技术领域，具体涉及一种在终端信息采集中区分操作命令与回显的方法及系统。

背景技术

当前，国家对网络安全的要求日益提高，已在《网络安全法》中设置了专门章节对关键信息基础设施的网络安全提出：“应采取监测和记录网络运行状态及网络安全事件的技术措施”的要求，对网络安全监测提出了明确要求。

网络安全监测系统是重要基础设施领域必备的防护措施，其中，终端信息采集作为网络安全监测系统的重要组成部分，负责将用户终端操作信息上传到接收装置，对远端节点的安全防护起到了至关重要的作用。终端信息采集需要在不影响系统性能和用户正常使用的前提下，将用户的终端操作信息实时进行采集，采集的用户操作信息需要稳定、准确、及时传输到接收装置，接收装置据此可以更加清晰的判断出远端节点的安全状态，有助于及时发现和排查非法操作或恶意攻击。

一般实现用户终端操作信息采集的方法为：首先采集用户终端操作信息和操作回显，然后传递给信息处理模块，其中，操作信息传递的时候会根据设置的信息量阈值进行发送。信息处理模块接收到用户操作信息和操作回显后，先对操作信息中的特殊字符进行处理。在采集信息中包括操作命令和操作回显，通常情况下第一行是用户操作命令，剩余的信息是操作回显。一般默认将采集信息中以回车分隔的第一行认为用户操作命令，剩余的信息为用户当前操作命令的回显，这样可以将操作命令和操作回显进行分割，最后将经过处理的操作信息发送给远程接收装置，实现了网络安全监测终端用户操作信息的实时采集和传输。

在网络安全监测系统中，当用户从终端输入命令，程序将采集的终端信息进行处理，当发送的数据信息量较大时可能分成多次传输，但是，当用户从终端快速输入多条命令时，系统会在极短的时间内产生多条操作回显，这时采集的信息会是多条操作命令和操作回显并存，如果还是按照上述方法进行处理，这时候上报的一条回显信息会包含多条命令和回显，这就导致了无法准确区分操作命令和回显。

发明内容

为解决已有技术存在的不足，本发明提供了一种网络安全监测系统，所述网络安全监测系统通过接收/发送端口与接收装置连接，接收装置设置为一个以上；

网络安全监测系统包括信息采集模块以及命令提示符自适应判定模块，命令提示符自适应判定模块用于将信息采集模块采集到的被监测主机的终端信息进行分析和处理，并将处理后的信息发送给接收装置。

其中，所述命令提示符自适应判定模块包括信息处理模块、前缀处理模块以及发送模块，分别用于对信息采集模块采集到的被监测主机的终端信息进行信息处理、前缀处理以及发送处理。

本发明另外提供一种在终端信息采集中区分操作命令与回显的方法，包括如下步骤：

步骤S1：配置网络安全监测系统的参数；

步骤S2：信息采集模块采集被监测主机终端的用户操作命令及操作回显，将操作命令及操作回显发送给命令提示符自适应判定模块；

步骤S3：命令提示符自适应判定模块接收信息采集模块发送的用户操作命令及操作回显，依次进行信息处理、前缀处理以及发送处理后，将用户操作命令及操作回显依据命令提示符不同样式进行区分；

步骤S4：命令提示符自适应判定模块将处理后的信息通过发送端发送给接收装置。