一种防止数据外泄的IT系统自动化运维脚本执行安全保障方法与流程

一种防止数据外泄的it系统自动化运维脚本执行安全保障方法
技术领域
1.本发明涉及脚本安全技术领域，主要是一种防止数据外泄的it系统自动化运维脚本执行安全保障方法。


背景技术：

2.现有it系统包含大量软硬件资源， it运维人员一般都通过手工方式在资源设备上执行脚本，使得在it系统运维过程中，缺少自动化。因此产生了自动化运维这样的产品技术，来运维这些软硬件资源信息。
3.然而传统的自动化运维产品技术，可自动批量下发脚本到资源设备上执行，并结合人工大批量审核脚本的敏感命令来确保脚本在资源设备上执行安全。但这种方式在大型it环境中，会引起大量的人工审核敏感命令的工作量，也阻碍了自动化运维使用普及推广。同时脚本中也通常使用命令组合动态参数值方式，使用通常的人工审核脚本敏感命令已失去实际意义，也无法做到审核实际执行脚本的目的，对目标设备上执行的安全性更加难以保障。
4.现有技术的缺点在于无法有针对性的解决运维系统中由于恶意指令导致的数据外泄等安全问题。


技术实现要素：

5.本发明的目的在于克服现有技术存在的不足，而提供一种防止数据外泄的it系统自动化运维脚本执行安全保障方法。
6.本发明的目的是通过如下技术方案来完成的。一种防止数据外泄的it系统自动化运维脚本执行安全保障方法，该方法包括以下步骤：（1）、预置规则：在系统初始化时，进行防止数据外泄规则的预置；（2）、在系统运行一段时间后，根据防止数据外泄规则进行自学习，获得潜在外泄脚本集合，从潜在外泄脚本集合的脚本中得到敏感命令行，形成敏感命令行列表；（3）、脚本解析：从上至下逐行读取脚本，根据脚本解析器进行命令行解析，输出解析后的命令行，并触发规则扫描；（4）、规则扫描：根据命令行匹配规则对解析后的命令行进行正则匹配运算，输出敏感命令行并记录；（5）、动态审核：检查扫描结果是否存在敏感命令行，如存在敏感命令行，则通知脚本审核人员进行审核处理。
7.更进一步的，所述步骤（2）中，具体方法如下：（2.1）系统运行后，对系统流量进行监控，定义系统发出的流量为下行流量，系统接收的流量为上行流量，一段流量是指前后流量为0或者与当前流量方向不同，获取下行流量和其上一阶段上行流量的比值，这个比值记作x；
（2.2）对系统运行过程中的各类型脚本的执行过程进行监测，求取每一段下行流量的x，当前下行流量的x超过3m时，m表示数据外传基准值，提取该下行流量开始时刻向前t时刻内运行的脚本，得到的脚本存储到潜在外泄脚本集合；（2.3）对潜在外泄脚本集合中的脚本进行逐个数量统计并进行降序排序，排序中前n%的命令行由脚本审核人员进行审核，得到敏感命令行列表，其中n为阈值。
8.更进一步的，所述比值x的计算方式如下：（3.1）给定一段下行流量，若其前面一段流量为上行流量，则统计该上行流量和该上行流量之前所有上行流量的总流量，直到遇到一段下行流量；x等于（该上行流量和该上行流量之前所有上行流量的总流量）/（给定一段下行流量）；（3.2）给定一段下行流量，若其前面一段流量为下行流量，则先统计遇到上行流量前，所有的下行流量的和，再按（3.1）的方法统计上行流量的总和；x等于（遇到上行流量时，该上行流量之前所有上行流量的总流量）/（遇到上行流量前，所有的下行流量的和）；（3.3）取一段系统稳定运行的时间，当该时间内一共有n段下行流量时，则分别计算这n段下行流量的x，并取平均，记作数据外传基准值m。
9.更进一步的，对流量进行平整处理，若一段流量持续时间小于设定的阈值，则将这一段流量置零。
10.本发明的有益效果为：通过预置针对防止数据外泄的脚本敏感命令行匹配，以及指定脚本审核人员，可实现操作脚本在下发目标设备之前对敏感命令行进行规则匹配，匹配上之后则通知审核人员进行审核。本发明对操作脚本自动解析脚本与规则扫描并通知审核有效减少了人工审核的工作，也预防脚本里存在与数据外泄相关的敏感命令行在目标设备上执行带来的破坏，并提高自动化运维脚本安全性。
附图说明
11.图1为本发明的流程示意图。
12.图2为流量示意图；图3为平整后的流量示意图。
具体实施方式
13.下面将结合附图和实施例对本发明做详细的介绍：本发明的防止数据外泄的it系统自动化运维脚本执行安全保障方法，在系统初始化时先进行防止数据外泄规则预置随后开始运行，具体通过4个模块的运行来实现：预置规则模块、脚本解析模块、规则扫描模块、动态审核模块。其中：1. 预置规则模块，根据当前运维系统运行历史数据，按照防止数据外泄规则对敏感命令行进行统计，形成敏感命令行列表并预置于运维系统中。2.脚本解析模块，通过脚本解析器对脚本从上至下逐行读取解析并输出解析后的脚本，再触发规则扫描； 3. 规则扫描模块，获取解析后输出的脚本，根据规则进行正则匹配运算，输出敏感命令行并保存；4. 动态审核模块，检查扫描结果是否存在敏感命令行，存在则自动通知审核人员进行审核处理，否则不处理。
14.图1为上述各模块的运行流程图；该图描述了数据流向：通常，脚本文件被执行的方式有三种：手工执行、定时执行和第三方调用执行。各系统提交需执行的脚本文件，首先
通过脚本解析器对执行脚本进行逐行读取及解析处理，输出解析后的命令行并触发调用规则扫描；其次规则扫描被触发把解析后的命令行根据命令匹配规则进行正则运算，输出敏感命令行并触发调用动态审核；最后动态审核被触发调用后自动对脚本的敏感命令行进行判断，存在则自动通知审核人员进行审核处理，通过后才可继续执行脚本。
15.具体步骤如下：（1）、预置规则：当系统安装后，自动调用初始化脚本对预置规则进行初始化，进行防止数据外泄规则的预置，并允许根据需要再进行调整及指定脚本审核人员；（2）、在系统运行一段时间后，通过监控系统运行状态，根据防止数据外泄规则进行自学习，获得潜在外泄脚本集合，从潜在外泄脚本集合的脚本中得到敏感命令行，形成敏感命令行列表；具体方法如下：（2.1）系统运行后，对系统流量进行监控，定义系统发出的流量为下行流量，系统接收的流量为上行流量，一段流量在本发明中是指前后流量为0或者与当前流量方向不同，获取下行流量和其上一阶段上行流量的比值，这个比值记作x；如图2所示，横线上表示的是系统接收的流量（上行流量），而横线下表示的是系统发出的流量（下行流量），在判定系统是否有主动数据外泄行为时，最关键的一个衡量指标就是是否根据接收数据进行数据传输。为此，我们定义了下行流量和其上一阶段上行流量的比值x，比值x是能反映接收-发送流量比例的一个参数x。
16.所述比值x的计算方式如下：（2.1.1）我们先对流量进行平整处理，若一段流量持续时间小于设定的阈值，则将这一段流量置零，由图2形成图3。标3中标号1、2、3、4、5、8、9、10、11各称为“一段流量”，而6和7合在一起才能称为“一段流量”。
17.（2.1.2）给定一段下行流量，若其前面一段流量为上行流量，则统计该上行流量和该上行流量之前所有上行流量的总流量，直到遇到一段下行流量；x等于（该上行流量和该上行流量之前所有上行流量的总流量）/（给定一段下行流量）；如图3所示，对标号3的下行流量来讲，需要统计标号1和标号2的总上行流量。x3=(1的总流量 2的总流量)/3的总流量，/表示除以的意思。对标号11的下行流量来讲，由于10的上行流量前是下行流量9，则x11=11的总流量/10的总流量。
18.（2.1.3）给定一段下行流量，若其前面一段流量为下行流量，则先统计遇到上行流量前，所有的下行流量的和，再按（2.1.2）的方法统计上行流量的总和；x等于（遇到上行流量时，该上行流量之前所有上行流量的总流量）/（遇到上行流量前，所有的下行流量的和）；x4=(1的总流量 2的总流量)/(3的总流量 4的总流量)x5=(1的总流量 2的总流量)/(3的总流量 4的总流量 5的总流量)。
19.（2.1.4）取一段系统稳定运行的时间，时间最好大于30分钟。假设该时间内，一共有n段下行流量时，则分别计算这n段下行流量的x，并取平均，记作数据外传基准值m。
20.（2.2）系统运行后，对系统运行过程中的各类型脚本的执行过程进行监测，与此同时，监控系统的运行情况，求取每一段下行流量的x，当前下行流量的x超过3m时，m表示数据外传基准值，提取该下行流量开始时刻向前t时刻内运行的脚本，得到的脚本存储到潜在外泄脚本；（2.3）在经过大量时间积累后（通常7*24小时），潜在外泄脚本集合中将存储大量
的脚本序列，对潜在外泄脚本集合中的脚本进行逐个数量统计并按照数量进行降序排序，排序中前n%的命令行由脚本审核人员进行审核，得到敏感命令行列表，其中n为阈值，n一般取30。
21.（3）、脚本解析：从上至下逐行读取脚本，根据脚本解析器进行命令行解析，输出解析后的命令行，并触发规则扫描；具体的：当执行脚本时，首先逐行读取脚本内容；其次读取每一行脚本内容通过脚本解析器进行解析，并输出cmdline，如“脚本文件行内容：rm
ꢀ–
rf ${path}，path参数值：/ ,输出cmdline：{“linenum”:1，”parsedcmdline”：”rm
ꢀ–
rf /”}”；最后触发调用规则扫描对cmdline进行扫描。
22.（4）、规则扫描：根据命令行匹配规则对解析后的命令行进行正则匹配运算，输出敏感命令行并保存记录；具体的：当被触发调用时，首先读取解析后的命令行cmdline；其次读取命令行匹配规则对解析后的命令行cmdline进行正则运算，并输出敏感命令行，如“cmdline：{“linenum”：1，
”ꢀ
parsedcmdline”：”rm
ꢀ–
rf /”}，cmdregex：rm
ꢀ–
rf /，输出resultline： {“linenum”：1，”parsedcmdline”：”rm
ꢀ–
rf /”}“；最后将所有敏感命令行保存并和脚本文件建立关系，作为动态审核自动通知及审核人员审核脚本依据。
23.（5）、动态审核：检查扫描结果是否存在敏感命令行，如存在敏感命令行，则通知脚本审核人员进行审核处理，否则不处理。
24.可以理解的是，对本领域技术人员来说，对本发明的技术方案及发明构思加以等同替换或改变都应属于本发明所附的权利要求的保护范围。