日志审计方法、装置、状态机及存储介质与流程

1.本发明涉及信息安全技术领域，尤其涉及一种日志审计方法、装置、状态机及存储介质。


背景技术：

2.现有的操作日志审计方法，主要是通过人工审计和关键字识别两种方式对用户的操作日志进行分析，识别操作日志中的特殊指令，从而根据识别结果判断用户是否存在违规操作，但是上述两种方式比较局限，无法监测到系统路径的访问情况。


技术实现要素：

3.本技术实施例通过提供一种日志审计方法、装置、状态机及存储介质，旨在解决通过人工审计方式和关键字识别方式分析操作日志，无法监测到系统路径的访问情况的技术问题。
4.本技术实施例提供了一种日志审计方法，应用于有限状态机，所述日志审计方法包括：
5.获取待审计操作日志中包含的访问路径；
6.根据所述访问路径对应的操作命令控制所述有限状态机转换至目标工作状态，并获取所述有限状态机转换至所述目标工作状态的状态转换过程信息；
7.根据所述状态转换过程信息生成所述访问路径的路径切换过程信息；
8.在所述路径切换过程信息中包括预设敏感路径时，输出所述路径切换过程信息和违规操作告警信息。
9.在一实施例中，所述目标工作状态包括初始状态、所述初始状态对应的第一滞留状态、敏感状态以及所述敏感状态对应的第二滞留状态。
10.在一实施例中，所述根据所述访问路径对应的操作命令控制所述有限状态机转换至目标工作状态的步骤包括：
11.获取所述访问路径对应的操作命令；
12.在所述操作命令中包含预设命令对应的第一命令符号，且所述操作命令中包含所述预设敏感路径对应的敏感操作命令时，控制所述有限状态机由所述初始状态转换至所述敏感状态；
13.在所述操作命令中不包含所述第一命令符号，且所述操作命令中包含所述敏感操作命令时，控制所述有限状态机由当前工作状态转换至所述敏感状态。
14.在一实施例中，所述获取所述访问路径对应的操作命令的步骤之后，还包括：
15.在所述操作命令中包含所述第一命令符号，且所述操作命令中不包含所述敏感操作命令时，控制所述有限状态机由所述初始状态转换至所述第一滞留状态；
16.在所述操作命令中不包含所述第一命令符号，且所述操作命令中不包含所述敏感操作命令时，控制所述有限状态机由所述当前工作状态转换至所述第一滞留状态或所述第
二滞留状态。
17.在一实施例中，所述当前工作状态为所述第一滞留状态或所述第二滞留状态时，所述控制所述有限状态机由所述当前工作状态转换至所述第一滞留状态或所述第二滞留状态的步骤包括：
18.确定所述访问路径对应的全路径深度以及敏感路径深度；
19.根据所述全路径深度和所述敏感路径深度确定深度参数；
20.在所述敏感路径深度未发生变化且所述深度参数增大或者所述敏感路径深度未发生变化时，控制所述有限状态机保持所述当前工作状态为所述第一滞留状态或所述第二滞留状态。
21.在一实施例中，所述获取所述访问路径对应的操作命令的步骤之后，还包括：
22.在所述操作命令中包含所述预设命令对应的第二命令符号，且所述操作命令中包含所述敏感操作命令时，控制所述有限状态机由所述当前工作状态转换至前一工作状态，并按照所述操作命令控制所述有限状态机由所述前一工作状态转换至所述敏感状态；
23.在所述操作命令中包含所述第二命令符号，且所述操作命令中不包含所述敏感操作命令时，控制所述有限状态机由所述当前工作状态转换至所述前一工作状态，并按照所述操作命令控制所述有限状态机由所述前一工作状态转换至所述第一滞留状态或所述第二滞留状态。
24.在一实施例中，所述日志审计方法，还包括：
25.获取原始操作日志；
26.对所述原始操作日志进行筛选和排序以得到所述待审计操作日志。
27.此外，为实现上述目的，本发明还提供了一种日志审计装置，所述日志审计装置包括：
28.路径获取模块，用于获取待审计操作日志中包含的访问路径；
29.状态转换模块，用于根据所述访问路径对应的操作命令控制有限状态机转换至目标工作状态，并获取所述有限状态机转换至所述目标工作状态的状态转换过程信息；
30.路径生成模块，用于根据所述状态转换过程信息生成所述访问路径的路径切换过程信息；
31.路径输出模块，用于在所述路径切换过程信息中包括预设敏感路径时，输出所述路径切换过程信息和违规操作告警信息。
32.此外，为实现上述目的，本发明还提供了一种有限状态机，所述有限状态机包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的日志审计程序，所述日志审计程序被所述处理器执行时实现上述的日志审计方法的步骤。
33.此外，为实现上述目的，本发明还提供了一种存储介质，其上存储有日志审计程序，所述日志审计程序被处理器执行时实现上述的日志审计方法的步骤。
34.本技术实施例中提供的一种日志审计方法、装置、状态机及存储介质的技术方案，至少具有如下技术效果或优点：
35.本发明采用获取待审计操作日志中包含的访问路径，根据访问路径对应的操作命令控制有限状态机转换至目标工作状态，并获取有限状态机转换至目标工作状态的状态转换过程信息，根据状态转换过程信息生成访问路径的路径切换过程信息，在路径切换过程
信息中包括预设敏感路径时，输出径切换过程信息和违规操作告警信息的技术方案，通过有限状态机模拟用户访问系统路径的操作过程，解决了通过人工审计方式和关键字识别方式分析操作日志，无法监测到系统路径的访问情况的技术问题，实现了用户访问系统时整个访问路径的监测，不仅增强了违规操作日志审计的准确性，还提高了操作日志审计的效率。
附图说明
36.图1为本发明实施例方案涉及的硬件运行环境的结构示意图；
37.图2为本发明日志审计方法的一实施例的流程示意图；
38.图3为原始操作日志的数据示意图；
39.图4为待审计操作日志的数据示意图；
40.图5为本发明有限状态机的工作原理示意图；
41.图6为本发明滞留状态下有限状态机的执行机制示意图；
42.图7为本发明日志审计装置的功能模块图。
具体实施方式
43.为了更好的理解上述技术方案，下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
44.如图1所示，图1为本发明实施例方案涉及的硬件运行环境的结构示意图。
45.需要说明的是，图1即可为有限状态机的硬件运行环境的结构示意图。
46.作为一种实现方式，可以如图1所示，本发明实施例方案涉及的是有限状态机，所述有限状态机包括：处理器1001，例如cpu，存储器1002，通信总线1003。其中，通信总线1003用于实现这些组件之间的连接通信。
47.存储器1002可以是高速rax存储器，也可以是稳定的存储器(non-volatilexexory)，例如磁盘存储器。如图1所示，作为一种存储介质的存储器1002中可以包括日志审计程序；而处理器1001可以用于调用存储器1002中存储的日志审计程序，并执行以下操作：
48.应用于有限状态机，所述日志审计方法包括：
49.获取待审计操作日志中包含的访问路径；
50.根据所述访问路径对应的操作命令控制所述有限状态机转换至目标工作状态，并获取所述有限状态机转换至所述目标工作状态的状态转换过程信息；
51.根据所述状态转换过程信息生成所述访问路径的路径切换过程信息；
52.在所述路径切换过程信息中包括预设敏感路径时，输出所述路径切换过程信息和违规操作告警信息。
53.进一步的，处理器1001可以用于调用存储器1002中存储的日志审计程序，并执行以下操作：
54.获取所述访问路径对应的操作命令；
55.在所述操作命令中包含预设命令对应的第一命令符号，且所述操作命令中包含所述预设敏感路径对应的敏感操作命令时，控制所述有限状态机由所述初始状态转换至所述敏感状态；
56.在所述操作命令中不包含所述第一命令符号，且所述操作命令中包含所述敏感操作命令时，控制所述有限状态机由当前工作状态转换至所述敏感状态。
57.进一步的，处理器1001可以用于调用存储器1002中存储的日志审计程序，并执行以下操作：
58.在所述操作命令中包含所述第一命令符号，且所述操作命令中不包含所述敏感操作命令时，控制所述有限状态机由所述初始状态转换至所述第一滞留状态；
59.在所述操作命令中不包含所述第一命令符号，且所述操作命令中不包含所述敏感操作命令时，控制所述有限状态机由所述当前工作状态转换至所述第一滞留状态或所述第二滞留状态。
60.进一步的，处理器1001可以用于调用存储器1002中存储的日志审计程序，并执行以下操作：
61.确定所述访问路径对应的全路径深度以及敏感路径深度；
62.根据所述全路径深度和所述敏感路径深度确定深度参数；
63.在所述敏感路径深度未发生变化且所述深度参数增大或者所述敏感路径深度未发生变化时，控制所述有限状态机保持所述当前工作状态为所述第一滞留状态或所述第二滞留状态。
64.进一步的，处理器1001可以用于调用存储器1002中存储的日志审计程序，并执行以下操作：
65.在所述操作命令中包含所述预设命令对应的第二命令符号，且所述操作命令中包含所述敏感操作命令时，控制所述有限状态机由所述当前工作状态转换至前一工作状态，并按照所述操作命令控制所述有限状态机由所述前一工作状态转换至所述敏感状态；
66.在所述操作命令中包含所述第二命令符号，且所述操作命令中不包含所述敏感操作命令时，控制所述有限状态机由所述当前工作状态转换至所述前一工作状态，并按照所述操作命令控制所述有限状态机由所述前一工作状态转换至所述第一滞留状态或所述第二滞留状态。
67.进一步的，处理器1001可以用于调用存储器1002中存储的日志审计程序，并执行以下操作：
68.获取原始操作日志；
69.对所述原始操作日志进行筛选和排序以得到所述待审计操作日志。
70.本发明实施例提供了日志审计方法的实施例，需要说明的是，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
71.如图2所示，在本技术的第一实施例中，本技术的日志审计方法，应用于有限状态机，所述有限状态机(finite-state machine,fsm)，又称有限状态有限状态机，简称状态机。所述日志审计方法包括以下步骤：
72.步骤s210：获取待审计操作日志中包含的访问路径。
73.本实施例中，所述待审计操作日志是指系统记录的用户过去对系统进行的系列操
作，其可能包括有日志清除、权限授予，服务启动和暂停以及软件安装等操作。待审计操作日志包括了多条访问路径以及各条访问路径对应的操作命令，例如，“vi/var/log/message”，其中“/var/log/message”表示访问路径，vi/var/log/message”表示操作命令。
74.具体的，待审计操作日志包括的每条访问路径是不相同的，且也是按照顺序排列的。由于系统中记录的是原始操作日志，原始操作日志可能存在格式错误的日志数据，也可能存在无关的日志数据，也可能存在时间顺序混乱的日志数据，也可能存在重复的日志数据。基于此，得到待审计操作日志之前，需要对原始操作日志进行清洗，即将格式错误、无关、时间顺序混乱以及重复的日志数据进行清洗，得到待审计操作日志。其中，所述的重复是指在同一路径下的重复操作。清洗过程包括：获取原始操作日志，对所述原始操作日志进行筛选和排序以得到所述待审计操作日志。其中，筛选设置将格式错误、无关、重复的日志数据去除，保留下来的日志数据即为构成待审计操作日志的数据，再将保留下来的日志数据按照时间进行排序，从而得到待审计操作日志。得到保留下来的日志数据执行，步骤s210获取待审计操作日志中包含的访问路径的步骤。
75.如图3所示，图3为原始操作日志，区域
①
的第一条操作日志时间是2021年5月13日，应排在第1条操作日志前面，区域
①
的第二条操作日志和第三条操作日志，时间是16时，要晚于15时，应位于第1条操作日志的后面。区域
②
、区域
③
表示在同一个路径下执行了重复的指令，日志预处理将这种重复的指令依据上下文进行去重处理。对图3中的原始操作日志清洗之后，得到待审计操作日志，待审计操作日志如图4所示。
76.步骤s220：根据所述访问路径对应的操作命令控制所述有限状态机转换至目标工作状态，并获取所述有限状态机转换至所述目标工作状态的状态转换过程信息。
77.步骤s230：根据所述状态转换过程信息生成所述访问路径的路径切换过程信息。
78.由于不同的服务器涉敏的路径、文件夹以及文件内容不一样，排除通用的日志路径，例如“/var/log”，“～/.bash_history”。部分服务器上还运行着各自的数据库、特定网站等服务。本实施例中，有限状态机提供了个性化设置功能，支持日志审计按需配置监控的路径、目录和文件，具有很强的灵活性，满足个性化监控的需求。例如，假设服务器安装了mysql数据库，数据库的安装路径为“/var/lib/mysql/，需要对mysql数据库进行监测。用户通过为有限状态机配置相应的配置文件，在配置文件中添加需要监控的路径，实现个性化配置。例如，需要监控的路径为“/var/lib/mysql”、“/usr/share/mysql”、“/var/log/*.cnf”等。其中，本实施例称需要监控的路径为预设敏感路径，如果用户不进行预设敏感路径的配置，则有限状态机以自身存储的默认路径作为预设敏感路径。
79.本实施例中，有限状态机具有多个目标工作状态，多个目标工作状态包括初始状态、初始状态对应的第一滞留状态、敏感状态以及敏感状态对应的第二滞留状态。初始状态表示有限状态机从头开始工作，敏感状态可以理解为通过有限状态机模拟用户访问的路径进入到了预设敏感路径，也可以理解为用户访问的路径是预设敏感路径。初始状态对应的一个第一滞留状态，敏感状态对应的一个第二滞留状态，第一滞留状态和第二滞留状态表示用户访问的路径是非预设敏感路径，用户访问的路径也可能包含部分预设敏感路径。敏感状态根据预设敏感路径的深度决定，预设敏感路径的深度越大，敏感状态越多。例如，预设敏感路径是“/var”，预设敏感路径的深度是1，则敏感状态是1个，该敏感状态对应一个第二滞留状态。又如，预设敏感路径是“/var/lib/”，则敏感状态是2个，预设敏感路径的深度
是2，2个敏感状态分别对应一个第二滞留状态。
80.通常用户在需要访问某个路径时，会通过相应的操作命令进入到所有访问的路径。如果用户需要访问的路径是预设敏感路径，即该路径是被系统监测的，如果该用户需要对应所述预设敏感路径中的文件进行操作，为了规避系统监测，可能会通过绕行的方式，即通过输入各种不同的操作命令最终进入到预设敏感路径中，进而预设敏感路径中在进行违规操作。基于此，本实施例所述的有限状态机可以对用户已经访问的路径进行模拟还原，从而得到用户进入访问的路径具体都经过可哪些过程，也就是整个访问路径的访问过程是什么。其中，整个访问路径的访问过程可能是直接到达所要访问的路径的过程，也可能存在绕行的路径，然后最终到达了所要访问的路径的过程，本实施例称所述整个访问路径的访问过程为路径切换过程信息。例如，用户需要访问的路径是“/var/lib”，其中，用户输入操作命令后，先进入了“/var”，然后又输入又一操作命令进入到了“/message”，接着又输入又一操作命令返回到了“/var”，接着又输入又一操作命令进入了“/lib/”，即到达了“lib”下，那么/var
”‑“
/message
”‑
/var
”‑“
/lib”的过程就是路径切换过程信息。
81.具体的，获取到待审计操作日志中包含的访问路径之后，根据访问路径对应的操作命令控制有限状态机转换至目标工作状态。其中，有限状态机的当前工作状态可能是初始状态、第一滞留状态、敏感状态和第二滞留状态中任意一个，如果访问路径中没有包括预设敏感路径，当前工作状态为初始状态，则从当前工作状态转换至第一滞留状态，即当前工作状态为第一滞留状态，下一时间对应的用户输入的操作命令，访问路径中包括了预设敏感路径，则先从第一滞留状态转换至初始状态，再从初始状态转换至敏感状态，下一时间对应的用户输入的操作命令，该操作命令是在预设敏感路径的基础上访问下一个路径，即该路径不是预设敏感路径，则从敏感状态转换至第二滞留状态。由此可以得到，有限状态机转换至目标工作状态的状态转换过程信息为初始状态-第一滞留状态-初始状态-敏感状态-第二滞留状态，通过初始状态-第一滞留状态-初始状态-敏感状态-第二滞留状态可以确定出路径切换过程信息。例如，预设敏感路径是“/var”，初始状态-第一滞留状态对应的操作命令是“cd etc”，第一滞留状态-初始状态-敏感状态对应的操作命令“cd/var”，敏感状态-第二滞留状态对应的操作命令是“cd message”，路径切换过程信息为“/etc
”‑“
/var
”‑“
/message”。
82.如果访问路径中包括预设敏感路径，当前工作状态为初始状态，则从当前工作状态转换至敏感状态，即当前工作状态为敏感状态，下一时间对应的用户输入的操作命令，下一时间对应的用户输入的操作命令，该操作命令是在预设敏感路径的基础上访问下一个路径，即该路径不是预设敏感路径，则从敏感状态转换至第二滞留状态。由此可以得到，有限状态机转换至目标工作状态的状态转换过程信息为初始状态-敏感状态-第二滞留状态，通过初始状态-敏感状态-第二滞留状态可以确定出路径切换过程信息。例如，预设敏感路径是“/var”，初始状态-敏感状态对应的操作命令“cd/var”，敏感状态-第二滞留状态对应的操作命令是“cd message”，路径切换过程信息为“/var/message”。
83.步骤s240：在所述路径切换过程信息中包括预设敏感路径时，输出所述路径切换过程信息和违规操作告警信息。
84.本实施例中，得到路径切换过程信息之后，判断路径切换过程信息是否包括了预设敏感路径，如果路径切换过程信息包括了预设敏感路径，则输出路径切换过程信息和违
规操作告警信息。例如，预设敏感路径是“/var/lib/”，路径切换过程信息为/var
”‑“
/message
”‑
/var
”‑“
/lib”，可以得到路径切换过程信息中包含了/var/lib”，则输出路径切换过程信息和违规操作告警信息。其中，违规操作告警信息用于提示后台监测人员有用户疑似对预设敏感路径进行了违规操作，后台监测人员根据违规操作告警信息可以进行相应处置。以及，后台监测人员也可以通过输出的路径切换过程信息检测出用户具体通过哪些操作进入到了预设敏感路径中，如果用户进入到预设敏感路径经过了路径绕行，通过路径切换过程信息可以清楚的看到绕行的路径包括哪些。另外，得到路径切换过程信息之后，有限状态机也可以直接输出路径切换过程信息，后台监测人员通过输出的路径切换过程信息分析用户访问路径的情况，从而判断用户进入到预设敏感路径是否经过了路径绕行。如此，实现了用户访问系统时整个访问路径的访问过程的监测，不仅增强了违规操作日志审计的准确性，还提高了操作日志审计的效率。
85.本实施例采用获取待审计操作日志中包含的访问路径，根据访问路径对应的操作命令控制有限状态机转换至目标工作状态，并获取有限状态机转换至目标工作状态的状态转换过程信息，根据状态转换过程信息生成访问路径的路径切换过程信息，在路径切换过程信息中包括预设敏感路径时，输出径切换过程信息和违规操作告警信息的技术方案，通过有限状态机模拟用户访问系统路径的操作过程，实现了用户访问系统时整个访问路径的监测，不仅增强了违规操作日志审计的准确性，还提高了操作日志审计的效率。
86.进一步的，基于上述实施例，所述根据所述访问路径对应的操作命令控制所述有限状态机转换至目标工作状态的步骤包括：
87.获取所述访问路径对应的操作命令；
88.在所述操作命令中包含预设命令对应的第一命令符号，且所述操作命令中包含所述预设敏感路径对应的敏感操作命令时，控制所述有限状态机由所述初始状态转换至所述敏感状态；
89.在所述操作命令中不包含所述第一命令符号，且所述操作命令中包含所述敏感操作命令时，控制所述有限状态机由当前工作状态转换至所述敏感状态。
90.为了便于理解，本实施例使用0表示初始状态，记为状态0，a表示第一滞留状态，1表示敏感状态，记为状态1，2也表示敏感状态，记为状态2，b1和b2均表示第二滞留状态，具体如图5所示。其中，图5中是有限状态机工作的一种方式，表示设置的预设敏感路径的深度是2，则存在2个敏感状态，即状态1和状态2，状态1对应的第二滞留状态是b1，状态2对应的第二滞留状态是b2，状态0对应的第一滞留状态是a。a、b1和b2均可以转换至状态0，状态0与状态1可以互相转换，状态1与状态2可以互相转换，状态0与a可以互相转换，状态1与b1可以互相转换，状态2与b2可以互相转换，
91.上述系统是指linux系统，linux系统的操作命令主要分为两类，第一类是能够改变当前路径的命令，例如“cd”、“pushd”，另一类是不能够改变当前路径的命令，例如“vi”、“vim”、“cp”等。在有限状态机的每一个状态下，当执行第一类操作命令时，例如用户执行“cd/var/tmp”、“cd/etc”等操作命令时，有限状态机首先判定路径是否以“/”开头，如果是，则从有限状态机的状态0开始进行路径转换，如果不是则从当前工作状态开始转换。
92.当执行第二类操作命令时，如图5所示，有限状态机在状态2时，当前用户输入“vi/var/log/message”操作命令时，有限状态机需要先解析vi后面的路径。若是以“/”开头则从
有限状态机的0状态开始，读取“var”，转到状态1，再读取log，转到状态2。若vi后面的路径不是“/”开头，则有限状态机从当前工作状态，即“var”路径下开始进行状态转换。若vi后面的路径以“..”开头，则有限状态机需要从当前工作状态转移到前一个状态后再输入路径进行转换。
93.具体的，预设命令包括所述的第一类操作命令和第二类操作命令，“/”表示为第一命令符号，“..”表示为第二命令符号。在得到待审计操作日志之后，获取待审计操作日志中包含的访问路径对应的操作命令，如果判定操作命令中包含预设命令对应的第一命令符号，即以“/”开头，且操作命令中包含预设敏感路径对应的敏感操作命令，则有限状态机由初始状态转换至所述敏感状态。其中，敏感操作命令是指用户输入敏感操作命令后，系统会进入到预设敏感路径中。假设，“/var/log”是预设敏感路径，操作命令是“cd/var/log”，则有限状态机由状态0开始转换，由状态0先转换至状态1，然后由状态1转换至状态2。
94.如果判定操作命令中不包含“/”，即不以“/”开头，且操作命令中包含敏感操作命令时，有限状态机由当前工作状态转换至敏感状态。其中，当前工作状态可以是状态0、状态1、状态2、a、b1和b2中的一个，则如当前工作状态是a，先从a转换至状态0，再由状态0转换至状态1，再由状态1转换至状态2。
95.进一步的，所述获取所述访问路径对应的操作命令的步骤之后，还包括：
96.在所述操作命令中包含所述第一命令符号，且所述操作命令中不包含所述敏感操作命令时，控制所述有限状态机由所述初始状态转换至所述第一滞留状态；
97.在所述操作命令中不包含所述第一命令符号，且所述操作命令中不包含所述敏感操作命令时，控制所述有限状态机由所述当前工作状态转换至所述第一滞留状态或所述第二滞留状态。
98.如果判定操作命令以“/”开头，且操作命令中不包含敏感操作命令，有限状态机由状态0转换至a；如果判定操作命令不以“/”开头，且操作命令中不包含敏感操作命令，有限状态机由当前工作状态转换至a、b1和b2中的一个。其中，具体由当前工作状态转换至a、b1和b2中的哪一个，根据当前工作状态具体是什么确定。例如，当前工作状态是状态0，则由状态0转换至a；如果当前工作状态是状态1，则由状态1转换至b1；如果当前工作状态是状态2，则由状态2转换至b2。
99.进一步的，所述获取所述访问路径对应的操作命令的步骤之后，还包括：
100.在所述操作命令中包含所述预设命令对应的第二命令符号，且所述操作命令中包含所述敏感操作命令时，控制所述有限状态机由所述当前工作状态转换至前一工作状态，并按照所述操作命令控制所述有限状态机由所述前一工作状态转换至所述敏感状态；
101.在所述操作命令中包含所述第二命令符号，且所述操作命令中不包含所述敏感操作命令时，控制所述有限状态机由所述当前工作状态转换至所述前一工作状态，并按照所述操作命令控制所述有限状态机由所述前一工作状态转换至所述第一滞留状态或所述第二滞留状态。
102.具体的，如果判定操作命令中包含预设命令对应的第二命令符号，即操作命令以“..”开头，且操作命令中包含敏感操作命令，则有限状态机由当前工作状态转换至前一工作状态，然后按照操作命令由前一工作状态转换至敏感状态。其中，当前工作状态可以是状态0、状态1、状态2、a、b1和b2中的一个，前一工作状态也可以是状态0、状态1、状态2、a、b1和
b2中的一个。例如，当前工作状态是状态1，前一工作状态是a，敏感操作命令是要进入到状态2中，则有限状态机由状态1转换至a，然后再由a转换至状态1，然后由状态1转换至状态2。
103.如果判定操作命令以“..”开头，且操作命令中不包含敏感操作命令，则有限状态机由当前工作状态转换至前一工作状态，并按照操作命令由前一工作状态转换至第一滞留状态或所述第二滞留状态。同样，当前工作状态可以是状态0、状态1、状态2、a、b1和b2中的一个，前一工作状态也可以是状态0、状态1、状态2、a、b1和b2中的一个。
104.例如，当前工作状态是状态1，前一工作状态是状态0，在状态1下检测到“cd../yum/”，则有限状态机由状态1转换至状态0，然后再状态0由转换至a。又例如，当前工作状态是状态2，前一工作状态是b2，在状态2下检测到“cd../yum/”，则有限状态机由状态2转换至b2，然后保持在b2不变。
105.进一步的，如图6所示，图6为滞留状态下有限状态机的执行机制。如果当前工作状态为所述第一滞留状态或所述第二滞留状态时，所述控制所述有限状态机由所述当前工作状态转换至所述第一滞留状态或所述第二滞留状态的步骤包括：
106.确定所述访问路径对应的全路径深度以及敏感路径深度；
107.根据所述全路径深度和所述敏感路径深度确定深度参数；
108.在所述敏感路径深度未发生变化且所述深度参数增大或者所述敏感路径深度未发生变化时，控制所述有限状态机保持所述当前工作状态为所述第一滞留状态或所述第二滞留状态。
109.应理解的是，深度参表示为depth，depth＝全路径深度-敏感路径深度。例如，“/var/log”是预设敏感路径，访问路径是“var/lib”，全路径深度是2，敏感路径深度是1，depth＝2-1＝1。又例如，用户位于“var/lib”路径下，全路径深度为2，当前路径又位于敏感路径“var”下，有限状态机处于状态1的b1，该敏感路径深度为1，因此depth＝2-1＝1；假如用户位于“usr/local”路径下，全路径的深度为2，当前路径不包含敏感路径，状态机处于状态0的滞留状态，因此该敏感路径深度为0，因此depth＝2-0＝2。
110.在操作命令中不包含第一命令符号，且操作命令中不包含敏感操作命令的前提下，计算出depth后，如果敏感路径深度不发生变化，例如始终是1，且深度参数增大，则在当前工作状态为a、b1和b2中的一个时，保持当前工作状态不改变，如当前工作状态为b1，则有限状态机保持在b1不进行转换。或者在操作命令中不包含第一命令符号，且操作命令中不包含敏感操作命令的前提下，计算出depth后，敏感路径深度未发生变化，有限状态机保持当前工作状态不改变，即当前工作状态如果为第一滞留状态，则保持处于第一滞留状态，当前工作状态如果为第二滞留状态，则保持处于第二滞留状态。
111.假设，“/var/log”是预设敏感路径，以下对状态0、状态1、状态2、a、b1和b2的转换过程进行说明，该转换过程可以通过图5和图6示出：
112.对于状态0，当检测到“cd/var”或者“pushd/var”，有限状态机由状态0转换至状态1；当检测执行“cd/var/log”时，有限状态机由状态1转换至状态2；当检测执行除“cd/var”、“cd/var/log”之外等操作时，有限状态机由状态0转换至a；当检测执行“cd/var/lib”、“cd/var/games”等能够进入“var”路径但没有进入“var/log”路径时，有限状态机同样处于状态1对应的b1中。
113.对于状态1，当检测执行到“cd log”等操作命令时，有限状态机由当前工作状态转
换至状态2，表示有限状态机当前位于“var/log”路径下；当检测到“cd/usr”、“cd../lib”等转换其他路径的操作命令时，有限状态机由状态2转换至b2；当检测执行到“cd lib”、“cd games”等操作命令时，此时用户进入到非敏感路径，但包含部分敏感路径即“var”，这时限状态机处于状态1对应的b1中。
114.对于状态2，当检测到“cd../”、“cd/var”等操作命令时，有限状态机由状态2转换至状态1，表示当前路径在敏感路径“var”路径下；当检测到“cd/etc”，限状态机处于状态2对应的b2中；当检测到“cd../../lib”时，有限状态机由状态0转换至a；当检测执行到“cd../lib”、“cd../games”等命令时，此时用户进入到了非敏感路径，但包含部分敏感路径即“var”，限状态机处于状态1对应的b1中。
115.对于滞留状态，每一状态都包含一个滞留状态，滞留状态表明当前用户在非敏感路径下，滞留状态分两种情况，一是处于非敏感路径，但是父路径包含敏感路径，见状态1和状态2的滞留状态，例如“var/games”位于“var”敏感路径下，表示状态1的滞留状态，即b1，“var/log/tmp”位于“var/log”敏感路径下，表示状态2的滞留状态，即b2；另一种不包含任意敏感路径，例如“etc/lib”，位于状态0的滞留状态，即a。如图6所示，滞留状态包含深度参数depth，初始值为0，用来记录当前操作命令的路径深度。每当有限状态机由状态0-2中的任一状态进入到滞留状态或者由滞留状态转换到状态0-2中的任一状态时，会依据depth来进行状态转换。
116.例如，有限状态机检测到用户执行了“cd/etc”，此时处于状态0对应的滞留状态，即a，depth＝1。如果检测到执行“cd..”操作命令，则depth减去1，depth＝0，有限状态机回到初始状态0；如果检测到“cd/”、“cd/var/log”等包含绝对路径的命令，从a直接切换到初始0状态，之后从状态0开始进行转换。
117.例如，有限状态机检测到用户执行了“cd/var/lib”，用户位于“var/lib”路径下，此时处于状态1的滞留状态，即b1，depth＝1，当此时检测到“cd rpm”操作命令，如果“var/lib”路径下包含“rpm”路径则深度加1，即depth＝2，状态保持不变；如果“var/lib”路径下不包含“rpm”路径，即视为无效输入，则深度和状态都不变；如果检测到“cd/”、“cd/var/lib”等包含绝对路径的操作命令，从b1直接切换到状态0，之后从状态0重新开始进行转换。
118.例如，有限状态机处于状态2的滞留状态，即b2，并处于“var/log/lib/rpm”路径下时，检测到“cd..”路径时，有限状态机的depth将会减1，状态保持不变。当检测到“cd../../”时，depth变为0，此时有限状态机由b2转换到了状态2；当检测到“cd../yum/”时状态深度，虽然depth先减去1，但是由进入了“yum”路径，此时有限状态机仍处于b2，同时depth同样保持不变；如果检测到“cd/”、“cd/var/lib”等包含绝对路径的操作命令，从b2直接切换到状态0，之后从状态0开始进行转换。
119.有限状态机基于上述方式根据访问路径对应的操作命令进行目标工作状态的转换，可以根据状态0、状态1、状态2、a、b1和b2之间的转换过程信息，确定出待审计操作日志对应的路径切换过程信息，从而根据得到的对应的路径切换过程信息确定用户是否为访问自己所需的路径进行了违规绕行，如果检测出了违规绕行，可以根据路径切换过程信息找出具体的绕行路径，提高了违规操作日志审计的准确性以及操作日志审计的效率。
120.如图7所示，本技术提供的一种日志审计装置，所述日志审计装置包括：
121.路径获取模块310，用于获取待审计操作日志中包含的访问路径；
122.状态转换模块320，用于根据所述访问路径对应的操作命令控制有限状态机转换至目标工作状态，并获取所述有限状态机转换至所述目标工作状态的状态转换过程信息；
123.路径生成模块330，用于根据所述状态转换过程信息生成所述访问路径的路径切换过程信息；
124.路径输出模块340，用于在所述路径切换过程信息中包括预设敏感路径时，输出所述路径切换过程信息和违规操作告警信息。
125.进一步的，所述目标工作状态包括初始状态、所述初始状态对应的第一滞留状态、敏感状态以及所述敏感状态对应的第二滞留状态。
126.进一步的，所述状态转换模块320在根据所述访问路径对应的操作命令控制所述有限状态机转换至目标工作状态方面，包括：
127.命令获取单元，用于获取所述访问路径对应的操作命令；
128.第一控制单元，用于在所述操作命令中包含预设命令对应的第一命令符号，且所述操作命令中包含所述预设敏感路径对应的敏感操作命令时，控制所述有限状态机由所述初始状态转换至所述敏感状态；
129.第二控制单元，用于在所述操作命令中不包含所述第一命令符号，且所述操作命令中包含所述敏感操作命令时，控制所述有限状态机由当前工作状态转换至所述敏感状态。
130.进一步的，所述状态转换模块320在根据所述访问路径对应的操作命令控制所述有限状态机转换至目标工作状态方面，还包括：
131.第三控制单元，用于在所述操作命令中包含所述第一命令符号，且所述操作命令中不包含所述敏感操作命令时，控制所述有限状态机由所述初始状态转换至所述第一滞留状态；
132.第四控制单元，用于在所述操作命令中不包含所述第一命令符号，且所述操作命令中不包含所述敏感操作命令时，控制所述有限状态机由所述当前工作状态转换至所述第一滞留状态或所述第二滞留状态。
133.进一步的，所述当前工作状态为所述第一滞留状态或所述第二滞留状态时，所述第四控制单元在控制所述有限状态机由所述初始状态转换至所述第一滞留状态方面，包括：
134.深度获取子单元，用于确定所述访问路径对应的全路径深度以及敏感路径深度；
135.参数计算子单元，用于根据所述全路径深度和所述敏感路径深度确定深度参数；
136.状态控制子单元，用于在所述敏感路径深度未发生变化且所述深度参数增大或者所述敏感路径深度未发生变化时，控制所述有限状态机保持所述当前工作状态为所述第一滞留状态或所述第二滞留状态。
137.进一步的，所述状态转换模块320在根据所述访问路径对应的操作命令控制所述有限状态机转换至目标工作状态方面，还包括：
138.第五控制单元，用于在所述操作命令中包含所述预设命令对应的第二命令符号，且所述操作命令中包含所述敏感操作命令时，控制所述有限状态机由所述当前工作状态转换至前一工作状态，并按照所述操作命令控制所述有限状态机由所述前一工作状态转换至所述敏感状态；
139.第六控制单元，用于在所述操作命令中包含所述第二命令符号，且所述操作命令中不包含所述敏感操作命令时，控制所述有限状态机由所述当前工作状态转换至所述前一工作状态，并按照所述操作命令控制所述有限状态机由所述前一工作状态转换至所述第一滞留状态或所述第二滞留状态。
140.进一步的，所述日志审计装置，还包括：
141.日志获取单元，用于获取原始操作日志；
142.日志清洗单元，用于对所述原始操作日志进行筛选和排序以得到所述待审计操作日志。
143.本发明日志审计装置具体实施方式与上述日志审计方法各实施例基本相同，在此不再赘述。
144.进一步的，本发明还提供了一种有限状态机，所述有限状态机包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的日志审计程序，所述日志审计程序被所述处理器执行时实现上述的日志审计方法的步骤。
145.进一步的，本发明还提供了一种存储介质，其上存储有日志审计程序，所述日志审计程序被处理器执行时实现上述的日志审计方法的步骤。
146.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
147.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
148.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
149.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
150.应当注意的是，在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的单词“一”或“一个”不排除存在多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不
表示任何顺序。可将这些单词解释为名称。
151.尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
152.显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

技术特征：
1.一种日志审计方法，其特征在于，应用于有限状态机，所述日志审计方法包括：获取待审计操作日志中包含的访问路径；根据所述访问路径对应的操作命令控制所述有限状态机转换至目标工作状态，并获取所述有限状态机转换至所述目标工作状态的状态转换过程信息；根据所述状态转换过程信息生成所述访问路径的路径切换过程信息；在所述路径切换过程信息中包括预设敏感路径时，输出所述路径切换过程信息和违规操作告警信息。2.如权利要求1所述的方法，其特征在于，所述目标工作状态包括初始状态、所述初始状态对应的第一滞留状态、敏感状态以及所述敏感状态对应的第二滞留状态。3.如权利要求2所述的方法，其特征在于，所述根据所述访问路径对应的操作命令控制所述有限状态机转换至目标工作状态的步骤包括：获取所述访问路径对应的操作命令；在所述操作命令中包含预设命令对应的第一命令符号，且所述操作命令中包含所述预设敏感路径对应的敏感操作命令时，控制所述有限状态机由所述初始状态转换至所述敏感状态；在所述操作命令中不包含所述第一命令符号，且所述操作命令中包含所述敏感操作命令时，控制所述有限状态机由当前工作状态转换至所述敏感状态。4.如权利要求3所述的方法，其特征在于，所述获取所述访问路径对应的操作命令的步骤之后，还包括：在所述操作命令中包含所述第一命令符号，且所述操作命令中不包含所述敏感操作命令时，控制所述有限状态机由所述初始状态转换至所述第一滞留状态；在所述操作命令中不包含所述第一命令符号，且所述操作命令中不包含所述敏感操作命令时，控制所述有限状态机由所述当前工作状态转换至所述第一滞留状态或所述第二滞留状态。5.如权利要求4所述的方法，其特征在于，所述当前工作状态为所述第一滞留状态或所述第二滞留状态时，所述控制所述有限状态机由所述当前工作状态转换至所述第一滞留状态或所述第二滞留状态的步骤包括：确定所述访问路径对应的全路径深度以及敏感路径深度；根据所述全路径深度和所述敏感路径深度确定深度参数；在所述敏感路径深度未发生变化且所述深度参数增大或者所述敏感路径深度未发生变化时，控制所述有限状态机保持所述当前工作状态为所述第一滞留状态或所述第二滞留状态。6.如权利要求3所述的方法，其特征在于，所述获取所述访问路径对应的操作命令的步骤之后，还包括：在所述操作命令中包含所述预设命令对应的第二命令符号，且所述操作命令中包含所述敏感操作命令时，控制所述有限状态机由所述当前工作状态转换至前一工作状态，并按照所述操作命令控制所述有限状态机由所述前一工作状态转换至所述敏感状态；在所述操作命令中包含所述第二命令符号，且所述操作命令中不包含所述敏感操作命令时，控制所述有限状态机由所述当前工作状态转换至所述前一工作状态，并按照所述操
作命令控制所述有限状态机由所述前一工作状态转换至所述第一滞留状态或所述第二滞留状态。7.如权利要求1所述的方法，其特征在于，所述日志审计方法，还包括：获取原始操作日志；对所述原始操作日志进行筛选和排序以得到所述待审计操作日志。8.一种日志审计装置，其特征在于，所述日志审计装置包括：路径获取模块，用于获取待审计操作日志中包含的访问路径；状态转换模块，用于根据所述访问路径对应的操作命令控制有限状态机转换至目标工作状态，并获取所述有限状态机转换至所述目标工作状态的状态转换过程信息；路径生成模块，用于根据所述状态转换过程信息生成所述访问路径的路径切换过程信息；路径输出模块，用于在所述路径切换过程信息中包括预设敏感路径时，输出所述路径切换过程信息和违规操作告警信息。9.一种有限状态机，其特征在于，所述有限状态机包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的日志审计程序，所述日志审计程序被所述处理器执行时实现如权利要求1-7中任一项所述的日志审计方法的步骤。10.一种存储介质，其特征在于，其上存储有日志审计程序，所述日志审计程序被处理器执行时实现权利要求1-7中任一项所述的日志审计方法的步骤。

技术总结
本发明公开了日志审计方法、装置、状态机及存储介质，该方法包括：获取待审计操作日志中包含的访问路径；根据访问路径对应的操作命令控制有限状态机转换至目标工作状态，并获取有限状态机转换至目标工作状态的状态转换过程信息；根据状态转换过程信息生成访问路径的路径切换过程信息；在路径切换过程信息中包括预设敏感路径时，输出径切换过程信息和违规操作告警信息。本发明实现了用户访问系统时整个访问路径的监测，不仅提高了违规操作日志审计的准确性以及操作日志审计的效率。的准确性以及操作日志审计的效率。的准确性以及操作日志审计的效率。


技术研发人员：顾宁伦 谢懿 陈敏时 徐世权 刘佳 杜刚 武星宇 张晨 杜雪涛
受保护的技术使用者：中国移动通信集团有限公司
技术研发日：2022.03.10
技术公布日：2023/9/20