[发明专利]一种安全审计方法、装置、设备及可读存储介质

说明书

本发明公开了一种安全审计方法、装置、设备及可读存储介质，该方法包括：获取shell命令，并确定出shell命令的操作记录；判断历史记录文件是否被篡改；如果否，则将操作记录存入历史记录文件；如果是，则输出告警信息，并在新建历史记录文件后，将操作记录存入新建的历史记录文件；存储操作记录后，执行shell命令。该方法不仅可将shell命令的操作记录进行有效存储，还可在存储过程中基于历史记录文件进行安全审计，能够及时且有效地发现恶意攻击，能够有效保障系统信息安全。

技术领域

本发明涉及信息安全技术领域，特别是涉及一种安全审计方法、装置、设备及可读存储介质。

背景技术

在Linux系统下可通过history命令查看用户所有的历史操作记录，在安全审计中起着非常重要的作用。

但是，基于history命令来进行安全审计，存在很多问题，如History命令将操作记录保存于内存中，当退出或登录shell时，会被自动保存或读取。History命令支持将历史操作记录写入磁盘，但写入操作不是实时的，导致“reboot”操作不会记录至磁盘。由此导致系统重启的记录也不能被审计。黑客可通过History命令历史获取用户敏感信息，如通过命令“mysql-h192.168.1.100-u root-p abcd123456”登录远程数据库，很容易暴露数据库用户名及密码。另外，黑客在系统上执行完命令后会删除常用目录/root/.history，管理员经常无法察觉系统被攻击。

综上所述，如何有效地解决安全审计等问题，是目前本领域技术人员急需解决的技术问题。

发明内容

本发明的目的是提供一种安全审计方法、装置、设备及可读存储介质，以在执行shell命令之前，会存储该shell命令的操作记录，且在存储操作记录的过程中，会判断历史记录文件是否被篡改，在确定出现篡改时，输出报警信息。如此，基于历史记录文件便可有效确定系统是否遭受恶意攻击，另外由于对操作记录进行了存储，后续还可基于操作记录进一步确定恶意攻击的具体情况。

为解决上述技术问题，本发明提供如下技术方案：

一种安全审计方法，包括：

获取shell命令，并确定出所述shell命令的操作记录；

判断历史记录文件是否被篡改；

如果否，则将所述操作记录存入所述历史记录文件；

如果是，则输出告警信息，并在新建历史记录文件后，将所述操作记录存入新建的历史记录文件；

存储所述操作记录后，执行所述shell命令。

优选地，将所述操作记录存入所述历史记录文件，包括：

加密所述操作记录，并将加密后的操作记录存入所述历史记录文件。

优选地，将所述操作记录存入所述历史记录文件，包括：

对所述历史记录进行完整性校验，得到校验结果；

将所述校验结果存储在所述历史记录文件中。

优选地，所述判断历史记录文件是否被篡改，包括：

利用所述历史记录文件中各个操作记录的完整性校验结果，得到所述历史记录文件的当前校验值；

判断所述当前校验值与上一次记录了操作记录后得到的标准校验值是否一致；

如果是，则确定所述历史记录文件未被篡改；

如果否，则确定所述历史记录文件已被篡改。

优选地，所述确定出所述shell命令的操作记录，包括：