具体实施方式

下面结合附图对本申请作进一步详细描述。

在本申请一个典型的配置中，终端、服务网络的设备和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

如图1所示，本申请一个方面的一种基于运维审计系统的防绕行方法的流程示意图。其中，所述方法包括：步骤S11、步骤S12及步骤S13，具体包括如下步骤：

步骤S11，通过日志采集服务采集目标登录日志，并将所述目标登录日志发送至日志收集服务。在此，将所述日志采集服务部署在目标服务器上，所述日志采集服务实时监控用户的登录日志，实时采集用户的登录日志作为目标登录日志，并将实时采集的所述目标登录日志发送至日志收集服务。其中，日志采集服务的实现方式包括但不限于通过自定义程序实现、Linux类设备通通过日志处理系统(rocket-fast system for log，rsyslog)的方式、通过网络设备自带的日志转发接口等实现方式进行实现，若采用已经集成的日志采集模块，需要对日志的采集作进一步细化，只采集与用户的登录日志有关的信息即可。

步骤S12，所述日志收集服务将从所述日志采集服务接收的所述目标登录日志转发到日志分析服务。在此，所述日志收集服务的部署方式包括但不限于部署在运维审计系统上、部署在一台单独的服务器上等部署方式；当所述日志收集服务接收到所述日志采集服务发送的所述目标登录日志后，可以将所述目标登录日志进行存储，然后再将存储的所述目标登录日志发送给所述日志分析服务，其中，存储的介质包括但不限于是文件或者数据库记录等，这种模式适用于日志量巨大且对结果实时性要求不高的场景；所述日志收集服务接收到所述日志采集服务发送的所述目标登录日志后，也可以实时将所述目标登录日志发送给所述日志分析服务，实现对所述目标登录日志进行实时分析。

步骤S13，所述日志分析服务对从所述日志收集服务接收的所述目标登录日志进行分析，得到对应的目标登录地址，并判断所述目标登录地址与正常登录地址是否一致，若否，则向系统管理员发送用于指示所述目标登录地址为绕行登录地址的告警信息，其中，所述正常登录地址包括目标客户端在运维审计系统中的登录地址以及目标服务器连接的跳转服务器的地址，其中，所述目标客户端包括至少一个，所述跳转服务器包括至少一个。

在此，对所述目标登录日志进行分析，得到目标客户端的实际登录地址、登录用户名及登录时间等信息，所述目标客户端的实际登录地址即为所述目标登录地址，判断所述正常登录地址中是否存在与所述目标登录地址相一致的地址，若没有存在与所述目标登录地址相一致的地址，则说明所述目标登录地址异常，即所述目标登录地址为绕行登录地址，此时，日志分析服务发出告警信息，若存在与所述目标登录地址相一致的地址，则说明所述目标登录地址正常，即所述目标登录地址是通过运维审计系统正常登录的地址或跳转服务器的地址。

所述目标客户端在运维审计系统中的登录地址，表示目标客户端通过运维审计系统访问目标服务器的登录地址，其中，在同一运维审计系统中，存在至少一个目标客户端，与目标服务器进行交互；所述跳转服务器的地址，表示能够与所述目标服务器进行直接交互的其他服务器的地址，其中，存在至少一个跳转服务器，能够与目标服务器进行直接交互；在现实的网络环境中，会存在将一些关键的服务器(比如服务器A)部署在一个隔离的网络环境中的场景，处于隔离的网络环境外部的用户(比如用户1)不能直接访问处于隔离的网络环境内部的服务器A，若用户1需要访问服务器A，则需要通过与服务器A相连接的其他服务器(比如服务器B)间接访问服务器A，若将服务器A作为目标服务器，则此时服务器B即为跳转服务器，当用户1需要访问服务器A时，可以先访问服务器B，然后通过服务器B访问服务器A，此种场景即为跳转运维，在跳转运维的场景下，与目标服务器进行直接交互的是跳转服务器，因此所述跳转服务器的地址也属于所述正常登录地址，因此需要在配置所述正常登录地址时，配置所述目标服务器与所述跳转服务器的对应关系，即配置所述跳转服务器的地址。

通过上述步骤S11至步骤S13，本申请通过日志采集服务采集目标登录日志，并将所述目标登录日志发送至日志收集服务；所述日志收集服务将从所述日志采集服务接收的所述目标登录日志转发到日志分析服务；所述日志分析服务对从所述日志收集服务接收的所述目标登录日志进行分析，得到对应的目标登录地址，并判断所述目标登录地址与正常登录地址是否一致，若否，则向系统管理员发送用于指示所述目标登录地址为绕行登录地址的告警信息，其中，所述正常登录地址包括目标客户端在运维审计系统中的登录地址以及目标服务器连接的其他服务器的地址，其中，所述目标客户端包括至少一个，所述目标服务器连接的其他服务器包括至少一个，实现了在不改变现有网络部署方式的情况下，通过对日志分析的方式，在运维审计系统中进行防绕行控制。

接着本申请的上述实施例，其中，所述判断所述目标登录地址与正常登录地址是否一致，包括：

所述日志分析服务从所述运维数据库中获取所述正常登录地址，判断所述目标登录地址与所述正常登录地址是否一致，若否，则向系统管理员发送用于指示所述目标登录地址为绕行登录地址的告警信息。

例如，若运维数据库中预先存储有所有正常登录地址，则日志分析服务可以直接从运维数据库中进行查询，将查询到的正常登录地址与目标登录地址进行匹配，判断正常登录地址中是否存在与目标登录地址相一致的地址，从而判断目标登录地址是否属于绕行登录地址，其中，从数据库中查询正常登录地址的方式包括但不限于通过sql查询语句等方式进行；若没有存在与目标登录地址相一致的地址，则说明目标登录地址异常，即目标登录地址为绕行登录地址，此时，日志分析服务发出告警信息，若存在与目标登录地址相一致的地址，则说明目标登录地址正常，即目标登录地址是通过运维审计系统正常登录的地址或跳转服务器的地址；其中，将正常登录地址存储于运维数据库中的方式包括但不限于通过人工配置的方式将正常登录地址预存到运维数据库等方式。

接着本申请的上述实施例，其中，所述判断所述目标登录地址与正常登录地址是否一致，还包括：

所述日志分析服务通过所述运维审计系统与所述目标客户端进行交互，获取所述目标客户端在所述运维审计系统中的登录地址；和/或，所述日志分析服务通过所述目标服务器与所述跳转服务器进行交互，获取所述跳转服务器的地址。

例如，若运维数据库中，未预存正常登录地址或仅预存部分正常登录地址，日志分析服务获取所有正常登录地址的方式包括但不限于以下方式：分别与目标客户端及跳转服务器进行交互，以使日志分析服务获取未存储于运维数据库中的正常登录地址；目标客户端及跳转服务器定时将正常登录地址发送到运维数据库进行存储，以使日志分析服务从运维数据库中获取正常登录地址。其中，与目标客户端及跳转服务器进行交互的方式包括但不限于通过网络通讯(socket通讯)等方式进行。

其中，分别与目标客户端及跳转服务器进行交互，以是日志分析服务获取未存储于运维数据库中的正常登录地址，具体而言，若运维数据库中，既缺少目标客户端在运维审计系统中的登录地址，又缺少目标服务器连接的跳转服务器的地址，日志分析服务可以通过运维审计系统与目标客户端进行交互以获取目标客户端在所述运维审计系统中的登录地址，并通过目标服务器与跳转服务器进行交互以获取目标服务器的地址，从而使得日志分析服务获取所有正常登录地址；若运维数据库中，仅缺少目标客户端在运维审计系统中的登录地址，或仅缺少目标服务器连接的跳转服务器的地址，日志分析服务可以通过运维审计系统与目标客户端进行交互以获取目标客户端在所述运维审计系统中的登录地址，或通过目标服务器与跳转服务器进行交互以获取目标服务器的地址，从而使得日志分析服务获取所有正常登录地址。

判断所述目标登录地址与所述目标客户端在所述运维审计系统中的登录地址及所述跳转服务器的地址是否一致，若否，则向系统管理员发送用于指示所述目标登录地址为绕行登录地址的告警信息。

日志分析服务将获取的所有正常登录地址与目标登录地址进行匹配，判断所有正常登录地址中是否存在与目标登录地址相一致的地址，从而判断目标登录地址是否属于绕行登录地址，若没有存在与目标登录地址相一致的地址，则说明目标登录地址异常，即目标登录地址为绕行登录地址，此时，日志分析服务发出告警信息，若存在与目标登录地址相一致的地址，则说明目标登录地址正常，即目标登录地址是通过运维审计系统正常登录的地址或跳转服务器的地址。

接着本申请的上述实施例，所述向系统管理员发送用于指示所述目标登录地址为绕行登录地址的告警信息，包括：

所述日志分析服务将所述告警信息发送到告警服务，所述告警服务收集到所述告警信息后统一发送给系统管理员。在此，为了将告警信息进行模块化处理，日志分析服务将告警信息发送至告警服务，再由告警服务将模块化的告警信息发送给系统管理员，以方便系统管理员对告警信息进行集中处理；其中，向系统管理员发送告警信息的方式包括但不限于通过短信、邮件等方式，以通知系统管理员，使系统管理员尽快对异常登录信息进行跟踪处理。若允许在目标服务器上部署程序，则还可以在目标服务器上部署会话终止服务，告警服务将告警信息发送给会话终止服务，会话终止服务接收到告警信息后，终止异常登录会话。

在本申请的一优选实施例中，如图2所示，用户通过目标客户端对目标服务器进行访问时，部署在目标服务器上的日志采集服务采集目标客户端的登录日志作为目标登录日志，并将目标登录日志发送给部署在运维审计系统中的日志收集服务，日志收集服务接收到目标登录日志后，将目标登录日志转发给日志分析服务，日志分析服务对目标登录日志进行解析，得到目标客户端对应的实际登录地址、登录用户名及登录时间，将实际登录地址作为目标登录地址与运维数据库中的正常登录地址进行匹配，若正常登录地址中不存在与目标登录地址相一致的地址，则表明目标登录地址为异常登录地址，即目标登录地址为绕行登录地址，则日志分析服务将告警信息发送至告警服务，若正常登录地址中存在与目标登录地址相一致的地址，则表明目标登录地址为正常登录地址，则日志分析服务不发送告警信息。

根据本申请的另一方面，还提供了一种非易失性存储介质，其上存储有计算机可读指令，所述计算机可读指令可被处理器执行时，使所述处理器实现上述一种基于运维审计系统的防绕行方法。

根据本申请的另一方面，还提供了一种基于运维审计系统的防绕行设备，其中，所述设备包括：

一个或多个处理器；

非易失性存储介质，用于存储一个或多个计算机可读指令，

当所述一个或多个计算机可读指令被所述一个或多个处理器执行，使得所述一个或多个处理器实现如上述一种基于运维审计系统的防绕行方法。

在此，所述一种基于运维审计系统的防绕行设备中的各实施例的详细内容，具体可参见上述一种基于运维审计系统的防绕行方法的实施例的对应部分，在此，不再赘述。

综上所述，本申请通过日志采集服务采集目标登录日志，并将所述目标登录日志发送至日志收集服务；所述日志收集服务将从所述日志采集服务接收的所述目标登录日志转发到日志分析服务；所述日志分析服务对从所述日志收集服务接收的所述目标登录日志进行分析，得到对应的目标登录地址，并判断所述目标登录地址与正常登录地址是否一致，若否，则向系统管理员发送用于指示所述目标登录地址为绕行登录地址的告警信息，其中，所述正常登录地址包括目标客户端在运维审计系统中的登录地址以及目标服务器连接的其他服务器的地址，其中，所述目标客户端包括至少一个，所述目标服务器连接的其他服务器包括至少一个，实现了在不改变现有网络部署方式的情况下，通过对日志分析的方式，在运维审计系统中进行防绕行控制。

需要注意的是，本申请可在软件和/或软件与硬件的组合体中被实施，例如，可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中，本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地，本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中，例如，RAM存储器，磁或光驱动器或软磁盘及类似设备。另外，本申请的一些步骤或功能可采用硬件来实现，例如，作为与处理器配合从而执行各个步骤或功能的电路。

另外，本申请的一部分可被应用为计算机程序产品，例如计算机程序指令，当其被计算机执行时，通过该计算机的操作，可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令，可能被存储在固定的或可移动的记录介质中，和/或通过广播或其他信号承载媒体中的数据流而被传输，和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此，根据本申请的一个实施例包括一个装置，该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发该装置运行基于前述根据本申请的多个实施例的方法和/或技术方案。

对于本领域技术人员而言，显然本申请不限于上述示范性实施例的细节，而且在不背离本申请的精神或基本特征的情况下，能够以其他的具体形式实现本申请。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本申请的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。