技術領域

本發明涉及移動通信技術領域，尤其涉及一種用戶登錄提醒方法及系統。

背景技術

IDC（Internet?Data?Center，互聯網數據中心）是專門承接網絡資源外包和專業網絡服務的數據中心。IDC是一個重要的網絡服務平臺，是伴隨著互聯網發展的需求而發展起來的新的網絡時代的數據中心。它通常與骨干網高速連接，借助豐富的網絡及IT資源向企業、網站出租帶寬和計算資源，并提供有品質保證的服務。

由于IDC整體暴露在互聯網上，同時在承租IDC內計算資源的客戶中僅有少量高端客戶會選用VPN（Virtual?Path?Network，虛通道網絡）方式來管理維護自己所租用的計算資源。而大量中低端客戶都是通過SSH協議、Telnet等互聯網直連方式來管理維護自己所租用的計算資源，以這就給互聯網上的惡意人員利用帶來了可乘之機。他們可以通過嗅探、抓包、字典等多種方式來破解IDC內承租人所承租的計算資源上的帳號和口令，從而以承租人的身份從互聯網上直接登錄、控制該計算資源，來盜取、修改各種信息或者破壞系統可用性。

針對這種異常登錄的情況，當前IDC內針對出租的計算資源帳號異常登錄監控一般會采用以下兩種方式來處理：一種方式是人工方式，即在安全事件發生并對承租人造成損失后，由承租人事后通過手工提取登錄日志文件，進行分析發現異常登錄情況；另一種方式是自動方式，考慮到UNIX類主機自身Syslog日志自身不包含SSH、Telnet等登錄日志，而Windows類主機不具備Syslog日志轉發功能，即在IDC內租用計算資源上建立程序帳號，通過定期登錄采集UNIX類主機Last文件中的登錄日志和Windows類主機登錄日志文件分析后發現異常登錄。

具體來說，在實現本發明的過程中，發明人發現現有的方案存在如下缺點：

針對目前IDC內異常登錄發現中的第一種方式，即人工方式屬于被動式查找異常登錄問題，完全是事后分析，往往要求該計算資源承租人依據安全事件現象并結合安全事件處置經驗對該安全事件進行分析，定位登錄異常，追蹤惡意人員，但是具有一定經驗的惡意人員一般都會在控制該計算資源后，對Last文件等登錄日志進行修改或刪除，從而無法追蹤的具體人員。

針對第二種方式，考慮到UNIX類主機自身Syslog日志自身不包含Telnet等登錄日志，即在IDC內租用計算資源上建立程序帳號，通過系統定期登錄采集UNIX類主機Last文件中的登錄日志發現異常登錄；Windows類主機自身包含登錄日志，但不具備Syslog實時日志轉發功能，需要開發相應服務。這就要求承租人要么投入大量人力和物力來建立維護自己的上述系統，經濟上不可取；要么租用第三方該系統，則又要給第三方自己的主機上建立登錄帳號，這又額外造成了很大的管理風險。

兩種方式均無法滿足異常登錄準實時性提醒的要求。

發明內容

本發明的目的在于克服現有技術的缺點和不足，提供一種用戶登錄提醒方法及系統。

一種用戶登錄提醒方法，所述方法包括：

采集生成的日志數據；

從所述日志數據中篩選出所有登錄日志，建立登錄日志隊列；

對所述登錄日志隊列中的登錄日志逐條進行用戶資產組匹配，并按照所述用戶資產組內定義的告警提醒規則進行匹配；

將匹配的告警提醒根據所述用戶資產組內定義的用戶進行發送。

所述采集生成的日志數據，還包括：

對UNIX類計算資源基于命令行SHELL特征方式生成登錄日志，通過系統日志Syslog方式進行準實時發送；對Windows類計算資源通過Syslog日志轉發方式進行準實時發送。

UNIX類計算資源生成日志包含如下步驟：

通過在UNIX類計算資源形成SHELL過程中的特定文件，分別在不同變量中保存獲取的單一信息：所述單一信息包括但不限于登錄源地址、用戶、登錄協議和當前設備名稱tty；

按照系統記錄Syslog日志通用格式，通過記錄logger命令，將所述單一信息進行聚合，形成主機登錄日志信息；

通過trap信號方式，將聚合生成的登錄登出日志信息發送到log日志，生成登錄日志。

所述方法還包括：

按照標準化日志格式，將所述日志數據存儲為統一的標準化日志；

從所述標準化日志中篩選出所有登錄日志。

所述對所述登錄日志隊列中的登錄日志逐條進行用戶資產組匹配，并按照所述用戶資產組內定義的告警提醒規則進行匹配，包括：