主机的安全管理方法、装置、存储介质及电子设备

技术领域

本申请涉及信息安全领域，具体而言，涉及一种主机的安全管理方法、装置、存储介质及电子设备。

背景技术

金融行业常使用主机承接核心业务系统，主机系统的安全稳定运行是运维人员的重要职责。运维人员需要通过登录主机系统进行相关运维操作，因此，对登录主机的用户进行安全管理具有重大意义。

相关技术中，主机用户安全管理的方式主要有三个层面，其一是从网络层面设置防火墙策略对可能存在安全风险的用户进行访问限制，其二是从通信角度设置加密性传输规避泄密隐患，其三是从用户权限精细化管理方面进行最小化授权避免用户的高危操作风险。

然而，相关技术中从网络、通信、权限三个角度对主机用户安全进行管理，可预防性规避网络攻击、密码泄露、操作风险，实现主机用户安全的事前管理，但对于突破事前管理的用户安全攻击，缺少事中监控和事后审计功能，有一定的局限性。

针对相关技术中主机在用户登录过程中缺乏对登录行为的监控，存在安全风险的问题，目前尚未提出有效的解决方案。

发明内容

本申请的主要目的在于提供一种主机的安全管理方法、装置、存储介质及电子设备，以解决相关技术中主机在用户登录过程中缺乏对登录行为的监控，存在安全风险的问题。

为了实现上述目的，根据本申请的一个方面，提供了一种主机的安全管理方法。该方法包括：从主机日志中提取出主机的登录信息，判断登录信息是否为登录失败信息，其中，登录信息包括登录成功信息和登录失败信息；在登录信息是登录失败信息的情况下，确定登录失败信息对应的目标登录用户；确定登录失败信息的登录时间，从主机日志中提取目标时间段内的所有登录主机的用户的登录信息，得到登录信息集合，其中，目标时间段为以登录时间为起点的预设时长内的时间段；基于登录信息集合判断目标登录用户是否为风险用户；在目标登录用户是风险用户的情况下，限制风险用户对主机的登录行为，并发出第一提示信息，其中，第一提示信息用于提示主机存在安全风险。

可选地，判断登录信息是否为登录失败信息包括：获取登录信息中的消息提示标识，其中，消息提示标识包括第一标识和第二标识；在消息提示标识为第一标识的情况下，确定登录信息为登录成功信息；在消息提示标识为第二标识的情况下，确定登录信息为登录失败信息，并确定登录失败信息的失败原因，其中，失败原因至少包括以下之一：密码验证失败和用户锁定失败。

可选地，基于登录信息集合判断目标登录用户是否为风险用户包括：确定登录信息集合中的所有登录失败信息，并确定每个登录失败信息对应的登录用户，得到一组登录用户；确定一组登录用户中目标登录用户出现的次数，得到登录失败次数，并判断登录失败次数是否大于等于失败次数阈值；在登录失败次数大于等于失败次数阈值的情况下，确定目标登录用户是风险用户；在登录失败次数小于失败次数阈值的情况下，确定目标登录用户不是风险用户。

可选地，该方法还包括：从主机日志中获取预设周期内的所有登录信息，并确定所有登录信息中的多条登录失败信息；确定每条登录失败信息的登录时间，得到登录失败时间分布情况，确定每条登录失败信息的登录用户，得到登录失败的用户的清单和每个用户的登录失败次数，确定每条登录失败信息的失败原因，得到登录失败原因分布情况；基于登录失败时间分布情况、登录失败的用户的清单、每个用户的登录失败次数和登录失败原因分布情况生成审计文件，并将审计文件发送给主机的运维人员。

可选地，在限制风险用户对主机的登录行为，并发出第一提示信息之后，该方法还包括：获取风险用户的所有登录信息，判断风险用户的所有登录信息中是否包含登录成功信息；在风险用户的所有登录信息中包含登录成功信息的情况下，确定登录成功信息的登录时间；确定从登录时间开始的风险用户登录主机的登录时长，检测主机在登录时长内是否存在入侵行为；在主机在登录时长内存在入侵行为的情况下，发出第二提示信息，其中，第二提示信息用于提示运维人员维护主机。

可选地，在基于登录信息集合判断目标登录用户是否为风险用户之后，该方法还包括：在目标登录用户不是风险用户的情况下，确定目标登录用户的登录失败信息的登录失败原因；在登录失败原因是密码验证失败的情况下，发出第三提示信息，其中，第三提示信息用于提示目标登录用户输入的登录密码有误；在登录失败原因是用户锁定失败的情况下，判断目标登录用户是否具有登录主机的权限；在目标登录用户具有登录主机的权限的情况下，发出第四提示信息，其中，第四提示信息用于提示目标登录用户重新登录主机；在目标登录用户不具有登录主机的权限的情况下，发出第五提示信息，其中，第五提示信息用于提示目标登录用户无权登录主机。

可选地，限制风险用户对主机的登录行为包括：将风险用户的用户信息输入预设脚本，通过预设脚本将风险用户从登录清单中剔除，其中，登录清单是包含所有允许登录主机的用户的清单。

为了实现上述目的，根据本申请的另一方面，提供了一种主机的安全管理装置。该装置包括：提取单元，用于从主机日志中提取出主机的登录信息，判断登录信息是否为登录失败信息，其中，登录信息包括登录成功信息和登录失败信息；第一确定单元，用于在登录信息是登录失败信息的情况下，确定登录失败信息对应的目标登录用户；第二确定单元，用于确定登录失败信息的登录时间，从主机日志中提取目标时间段内的所有登录主机的用户的登录信息，得到登录信息集合，其中，目标时间段为以登录时间为起点的预设时长内的时间段；判断单元，用于基于登录信息集合判断目标登录用户是否为风险用户；限制单元，用于在目标登录用户是风险用户的情况下，限制风险用户对主机的登录行为，并发出第一提示信息，其中，第一提示信息用于提示主机存在安全风险。

通过本申请，采用以下步骤：从主机日志中提取出主机的登录信息，判断登录信息是否为登录失败信息，其中，登录信息包括登录成功信息和登录失败信息；在登录信息是登录失败信息的情况下，确定登录失败信息对应的目标登录用户；确定登录失败信息的登录时间，从主机日志中提取目标时间段内的所有登录主机的用户的登录信息，得到登录信息集合，其中，目标时间段为以登录时间为起点的预设时长内的时间段；基于登录信息集合判断目标登录用户是否为风险用户；在目标登录用户是风险用户的情况下，限制风险用户对主机的登录行为，并发出第一提示信息，其中，第一提示信息用于提示主机存在安全风险，解决了相关技术中主机在用户登录过程中缺乏对登录行为的监控，存在安全风险的问题。通过在用户登录主机之前，基于登录信息对主机的安全风险进行监控，实现了对主机的事前风险监控，进而达到了提高主机的安全性的效果。

附图说明

构成本申请的一部分的附图用来提供对本申请的进一步理解，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是根据本申请实施例提供的主机的安全管理方法的流程图；

图2是根据本申请实施例提供的主机的安全管理系统的示意图；

图3是根据本申请实施例提供的主机的安全管理装置的示意图；

图4是根据本申请实施例提供的电子设备的示意图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

需要说明的是，本公开所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。

下面结合优选的实施步骤对本发明进行说明，图1是根据本申请实施例提供的主机的安全管理方法的流程图，如图1所示，该方法包括如下步骤：

步骤S101，从主机日志中提取出主机的登录信息，判断登录信息是否为登录失败信息，其中，登录信息包括登录成功信息和登录失败信息。

具体地，主机日志可以为SYSLOG(System Log，系统日志)，SYSLOG自动将主机的用户的登录行为进行记录，其中登录行为主要分为两种，登录成功与登录失败。从SYSLOG中可以提取出主机的登录信息，登录信息包括登录成功信息和登录失败信息，通过监控登录信息中的登录失败信息来判断主机是否存在被入侵的风险。

步骤S102，在登录信息是登录失败信息的情况下，确定登录失败信息对应的目标登录用户。

具体地，通过SA(System Automation，自动化系统)中的信息表(MESSGE TABLE)功能对SYSLOG中提取出的登录失败信息自动转存，例如，对SA设置消息策略，将ICH408I(登录失败信息的标记)的AUTO(自动转存)属性设置为YES，实现将主机系统日志SYSLOG的ICH408I信息自动转发至SA系统的SALOG(自动化系统的日志)中；同时通过预先设置的SA处理策略，在信息控制表中设置“IF MSGID＝'ICH408I'THEN EXEC(CMD('USRLG')，实现在监控到SALOG中的ICH408I信息后自动执行SA处理脚本USRLOG(一种自动化执行脚本)，通过提取ICH408I信息中的目标登录用户和登录失败原因等关键信息，作为USRLOG脚本的输入参数。进而基于USRLOG脚本将系统日志SYSLOG中分散的不同用户的登录信息提取后转存至文件中集中存储，便于后续对文件中的登录失败信息集中处理。通过主机自动化工具SA的消息转发、处理机制，实现主机系统日志SYSLOG指定消息ICH408I的实时监控及再处理功能。

例如，每次监控到SYSLOG中存在登录失败信息ICH408I后，将登录失败信息转发至SALOG并触发自动处理脚本USRLOG。USRLOG通过提取ICH408I的用户信息、登录失败信息、日志时间戳、IP和环境名等信息，按指定格式组装成标准信息行，采用追加写的方式写入指定日志转存文件F中。这样，SYSLOG中不同用户的登录信息集中转存至日志文件。其中日志文件示例如下：在时间为1:00:43时，IP为X.X.X.X的用户1由于用户锁定失败导致登录失败，在时间为09:08:07时，IP为X.X.X.X的用户3由于密码验证失败导致登录失败。

01:00:43，USRER1,X.X.X.X,PT15,REVOKED_USER_ACCESS_ATTEMPT；

09:08:07，USRER3,X.X.X.X,PT11,INVALID_PASSWORD。

步骤S103，确定登录失败信息的登录时间，从主机日志中提取目标时间段内的所有登录主机的用户的登录信息，得到登录信息集合，其中，目标时间段为以登录时间为起点的预设时长内的时间段。

具体地，确定当前监控到的登录失败信息的登录时间，例如1:00:43，预设时长可以设置为5分钟，从SYSLOG中获取1:00:43到1:05:43内的所有登录主机的用户的登录信息，得到登录信息集合。

步骤S104，基于登录信息集合判断目标登录用户是否为风险用户。

具体地，通过登录信息集中的属于目标登录用户的登录失败信息的数量来确定其是否为风险用户，也即通过确定目标登录用户是否在一段时间内多次登录失败来确定其是否存在入侵主机的风险。

步骤S105，在目标登录用户是风险用户的情况下，限制风险用户对主机的登录行为，并发出第一提示信息，其中，第一提示信息用于提示主机存在安全风险。

具体地，若确定目标登录用户是风险用户，则通过主机自动化工具SA的消息自动处理功能来发出第一提示信息，例如在确定目标登录用户是风险用户后自动转邮件报警功能。通过预先设置的SA处理策略：在SA的信息控制表中设置“IF MSGID＝'AU001I'THENEXEC(CMD('MAIL')，实现监控到SALOG中的AU001I(目标登录用户是风险用户的标志)信息后自动执行SA处理脚本MAIL，通过提取AU001I中的消息内容，作为MAIL脚本的传入参数，根据传入参数组装邮件内容，将目标登录用户是风险用户的消息实时转发给指定人员的邮箱，实现用户安全的事中监控报警功能。

同时，在监控到AU001I信息后，通过预先设置的SA处理策略，在信息控制表中设置“IF MSGID＝'AU001I'THEN EXEC(CMD('REVOKE')，实现监控到SALOG中的AU001I信息后自动执行SA处理脚本REVOKE，通过提取AU001I中的目标登录用户的信息U，作为REVOKE脚本的传入参数，REVOKE脚本对目标登录用户U进行自动应急锁定，避免后续继续产生用户登录风暴，造成用户安全攻击后果。

本申请实施例提供的主机的安全管理方法，通过从主机日志中提取出主机的登录信息，判断登录信息是否为登录失败信息，其中，登录信息包括登录成功信息和登录失败信息；在登录信息是登录失败信息的情况下，确定登录失败信息对应的目标登录用户；确定登录失败信息的登录时间，从主机日志中提取目标时间段内的所有登录主机的用户的登录信息，得到登录信息集合，其中，目标时间段为以登录时间为起点的预设时长内的时间段；基于登录信息集合判断目标登录用户是否为风险用户；在目标登录用户是风险用户的情况下，限制风险用户对主机的登录行为，并发出第一提示信息，其中，第一提示信息用于提示主机存在安全风险，解决了相关技术中主机在用户登录过程中缺乏对登录行为的监控，存在安全风险的问题。通过在用户登录主机之前，基于登录信息对主机的安全风险进行监控，实现了对主机的事前风险监控，进而达到了提高主机的安全性的效果。

通过消息提示标识来判断登录信息是否为登录失败信息，可选地，在本申请实施例提供的主机的安全管理方法中，判断登录信息是否为登录失败信息包括：获取登录信息中的消息提示标识，其中，消息提示标识包括第一标识和第二标识；在消息提示标识为第一标识的情况下，确定登录信息为登录成功信息；在消息提示标识为第二标识的情况下，确定登录信息为登录失败信息，并确定登录失败信息的失败原因，其中，失败原因至少包括以下之一：密码验证失败和用户锁定失败。

具体地，第一标识可以为IEF125I，第二标识可以为ICH408I，如果用户登录成功，则显示IEF125I消息，同时记录登录用户和登录时间。如果登录失败，则显示ICH408I消息，同时记录登录用户和失败原因，其中登录失败的原因分为密码验证失败和用户锁定失败。主机用户登录日志SYSLOG示例如下：用户0在09：37：24登录成功，用户1由于密码验证失败登录失败，用户2由于户锁定失败登录失败。本实施例通过判断登录信息是否为登录失败信息进而筛选登录用户中是否存在风险用户。

(1)IEF125I USER0-LOGGED ON-TIME＝09.37.24；

(2)ICH408I USER(USER1)GROUP(#GRP1)NAME(NAME1)；

LOGON/JOB INITIATION-INVALID PASSWORD；

(3)ICH408I USER(USER2)GROUP(#GRP2)NAME(NAME2)；

LOGON/JOB INITIATION-REVOKED USER ACCESS ATTEMPT。

通过登录失败次数来判断目标登录用户是否为风险用户，可选地，在本申请实施例提供的主机的安全管理方法中，基于登录信息集合判断目标登录用户是否为风险用户包括：确定登录信息集合中的所有登录失败信息，并确定每个登录失败信息对应的登录用户，得到一组登录用户；确定一组登录用户中目标登录用户出现的次数，得到登录失败次数，并判断登录失败次数是否大于等于失败次数阈值；在登录失败次数大于等于失败次数阈值的情况下，确定目标登录用户是风险用户；在登录失败次数小于失败次数阈值的情况下，确定目标登录用户不是风险用户。

具体地，通过对目标登录用户进行登录失败信息风暴检测来确定风险用户，在从SYSLOG抓取标志为ICH408I(登录失败信息标志)的消息后，触发登录失败信息风暴检测，例如，对SA设置消息风暴策略：在检测到登录失败信息后的M分钟(也即预设时长)内，若检测到同一用户登录失败N次，N≥5(也即失败次数阈值)，则定义该用户存在登录失败信息风暴，也即确定目标登录用户是风险用户，若N<5，则说明目标登录用户不是风险用户。通过确定风险用户进而对风险用户进行管控，避免主机遭受恶意入侵。

例如，对于SA系统，初始化计数器NUM＝1。针对最新一条ICH408I消息，记录登录用户U、登录时间T。对于日志转存文件F，逐行遍历。对于每行日志，提取登录用户U1、登录时间T1，并作如下判断逻辑：判断如果T>T1+M，说明转存日志为M分钟前消息，跳过此行。判断如果U1≠U，说明转存日志非当前用户登录信息，跳过此行。判断如果T≤T1+M且U1＝U，说明转存日志与最新日志为同用户信息，且转存日志为M分钟内消息，则将计数器NUM加1。转存文件遍历后，对计数器NUM进行判断，如果NUM≥N，则说明M分钟内用户U登录失败次数大于N，即触发消息风暴，调用日志写入模块，将消息风暴信息写入SALOG中，便于后续监控报警和应急联动处理。消息格式示例如下：AU001I U LOGON FAILED NUM TIMES IN M MINITES。

可选地，在本申请实施例提供的主机的安全管理方法中，该方法还包括：从主机日志中获取预设周期内的所有登录信息，并确定所有登录信息中的多条登录失败信息；确定每条登录失败信息的登录时间，得到登录失败时间分布情况，确定每条登录失败信息的登录用户，得到登录失败的用户的清单和每个用户的登录失败次数，确定每条登录失败信息的失败原因，得到登录失败原因分布情况；基于登录失败时间分布情况、登录失败的用户的清单、每个用户的登录失败次数和登录失败原因分布情况生成审计文件，并将审计文件发送给主机的运维人员。

具体地，本实施例提供的主机的安全管理方法还可以定期备份日志文件，将转存的日志文件可以按天、按周、按月进行归档，形成用户登录历史日志文档，作为事后用户安全审计的数据源，再利用统计方法对归档文档进行分析，例如统计登录失败的用户的清单、每个用户的登录失败次数、登录失败时间分布等，形成审计文件发送给主机的运维人员，作为后续主机用户安全管理优化的数据依据。

在确定目标登录用户是风险用户后还需要检测目标登录用户的登录成功信息，可选地，在本申请实施例提供的主机的安全管理方法中，在限制风险用户对主机的登录行为，并发出第一提示信息之后，该方法还包括：获取风险用户的所有登录信息，判断风险用户的所有登录信息中是否包含登录成功信息；在风险用户的所有登录信息中包含登录成功信息的情况下，确定登录成功信息的登录时间；确定从登录时间开始的风险用户登录主机的登录时长，检测主机在登录时长内是否存在入侵行为；在主机在登录时长内存在入侵行为的情况下，发出第二提示信息，其中，第二提示信息用于提示运维人员维护主机。

具体地，在检测到目标登录用户是风险用户后，为了保障主机未被非法入侵窃取重要资料，从SYSLOG中调去风险用户的所有登录信息，检测SYSLOG中是否存在风险用户的登录成功信息，若存在风险用户的登录成功信息，则说明主机存在被风险用户入侵的可能，因此确定登录成功信息的登录时间，并通过判断主机的防火墙是否遭到入侵来检测主机在登录时长内是否存在入侵行为，若存在入侵行为则需要通知运维人员维护主机，进而保障主机的正常运行。

对于非风险用户的登录失败信息及时对相关人员进行提示，可选地，在本申请实施例提供的主机的安全管理方法中，在基于登录信息集合判断目标登录用户是否为风险用户之后，该方法还包括：在目标登录用户不是风险用户的情况下，确定目标登录用户的登录失败信息的登录失败原因；在登录失败原因是密码验证失败的情况下，发出第三提示信息，其中，第三提示信息用于提示目标登录用户输入的登录密码有误；在登录失败原因是用户锁定失败的情况下，判断目标登录用户是否具有登录主机的权限；在目标登录用户具有登录主机的权限的情况下，发出第四提示信息，其中，第四提示信息用于提示目标登录用户重新登录主机；在目标登录用户不具有登录主机的权限的情况下，发出第五提示信息，其中，第五提示信息用于提示目标登录用户无权登录主机。

具体地，若目标登录用户不是风险用户，则需要通过SA系统及时对登录失败信息进行处理，通过确定目标登录用户的登录失败原因，若登录失败原因是密码验证失败，则通过第三提示信息提示目标登录用户输入的登录密码有误，若登录失败原因是用户锁定失败，则可能存在网络异常或用户名错误等问题，进而通过第四提示信息提示目标登录用户重新登录主机，也可能是目标登录用户登录主机的权限被解除导致无法登录主机，此时通过第五提示信息提示目标登录用户无权登录主机，进而让目标登录用户及时获取主机登录权限。

可选地，在本申请实施例提供的主机的安全管理方法中，限制风险用户对主机的登录行为包括：将风险用户的用户信息输入预设脚本，通过预设脚本将风险用户从登录清单中剔除，其中，登录清单是包含所有允许登录主机的用户的清单。

具体地，预设脚本可以为REVOKE脚本，预设脚本在接收到风险用户的用户信息作为输入参数后，通过执行预设脚本将主机的登录清单中风险用户的用户名剔除，进而实现限制风险用户对主机的登录行为。

根据本申请的另一实施例，还提供了一种主机的安全管理系统，图2是根据本申请实施例提供的主机的安全管理系统的示意图。如图2所示，该系统包括：日志写入装置201、消息监控装置202、日志转存装置203、文件解析装置204、监控报警装置205、应急联动装置206和审计报表装置207。

具体地，日志写入装置201用于将主机用户的登录行为记录到主机日志SYSLOG中，消息监控装置202是监控主机日志SYSLOG中主机用的户登录失败信息，并提取日志中的登录失败信息供后续日志转存装置203处理。日志转存装置203是将系统日志SYSLOG中分散的主机用户登录日志信息提取后转存至转存文件中集中存储，便于后续文件解析装置204处理。文件解析装置204是基于日志转存文件进行用户登录失败消息风暴检测，通过抓取ICH408I消息触发日志转存装置203后自动执行文件解析。监控报警装置205是利用主机自动化工具SA的消息自动处理功能，监控到文件解析装置204生成的消息风暴AU001I后自动转邮件报警功能。应急联动装置206是利用主机自动化工具SA的消息自动处理功能，监控到文件解析装置204生成的消息风暴AU001I后自动转应急联动功能。审计报表装置207是定期备份日志转存装置203生成的转存文件，将转存的日志文件可以按天、按周、按月进行归档，形成用户登录历史日志文档。

本实施例通过主机的安全管理系统聚焦主机用户的登录攻击，从日志角度进行主机用户登录关键信息提取、转存和分析等操作，实现主机用户行为的监控、报警、应急、审计等功能。克服了现有主机用户安全管理的不足，提供主机用户安全管理的事中监控和事后审计功能，弥补主机用户安全事前管理的局限性，提升主机用户安全管理时效性和全面性。

需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本申请实施例还提供了一种主机的安全管理装置，需要说明的是，本申请实施例的主机的安全管理装置可以用于执行本申请实施例所提供的用于主机的安全管理方法。以下对本申请实施例提供的主机的安全管理装置进行介绍。

图3是根据本申请实施例提供的主机的安全管理装置的示意图。如图3所示，该装置包括：

提取单元10，用于从主机日志中提取出主机的登录信息，判断登录信息是否为登录失败信息，其中，登录信息包括登录成功信息和登录失败信息；

第一确定单元20，用于在登录信息是登录失败信息的情况下，确定登录失败信息对应的目标登录用户；

第二确定单元30，用于确定登录失败信息的登录时间，从主机日志中提取目标时间段内的所有登录主机的用户的登录信息，得到登录信息集合，其中，目标时间段为以登录时间为起点的预设时长内的时间段；

判断单元40，用于基于登录信息集合判断目标登录用户是否为风险用户；

限制单元50，用于在目标登录用户是风险用户的情况下，限制风险用户对主机的登录行为，并发出第一提示信息，其中，第一提示信息用于提示主机存在安全风险。

本申请实施例提供的主机的安全管理装置，通过提取单元10，从主机日志中提取出主机的登录信息，判断登录信息是否为登录失败信息，其中，登录信息包括登录成功信息和登录失败信息；第一确定单元20，在登录信息是登录失败信息的情况下，确定登录失败信息对应的目标登录用户；第二确定单元30，确定登录失败信息的登录时间，从主机日志中提取目标时间段内的所有登录主机的用户的登录信息，得到登录信息集合，其中，目标时间段为以登录时间为起点的预设时长内的时间段；判断单元40，基于登录信息集合判断目标登录用户是否为风险用户；限制单元50，在目标登录用户是风险用户的情况下，限制风险用户对主机的登录行为，并发出第一提示信息，其中，第一提示信息用于提示主机存在安全风险，解决了相关技术中主机在用户登录过程中缺乏对登录行为的监控，存在安全风险的问题，通过在用户登录主机之前，基于登录信息对主机的安全风险进行监控，实现了对主机的事前风险监控，进而达到了提高主机的安全性的效果。

可选地，在本申请实施例提供的主机的安全管理装置中，提取单元10包括：获取模块，用于获取登录信息中的消息提示标识，其中，消息提示标识包括第一标识和第二标识；第一确定模块，用于在消息提示标识为第一标识的情况下，确定登录信息为登录成功信息；第二确定模块，用于在消息提示标识为第二标识的情况下，确定登录信息为登录失败信息，并确定登录失败信息的失败原因，其中，失败原因至少包括以下之一：密码验证失败和用户锁定失败。

可选地，在本申请实施例提供的主机的安全管理装置中，判断单元40包括：第三确定模块，用于确定登录信息集合中的所有登录失败信息，并确定每个登录失败信息对应的登录用户，得到一组登录用户；第四确定模块，用于确定一组登录用户中目标登录用户出现的次数，得到登录失败次数，并判断登录失败次数是否大于等于失败次数阈值；第五确定模块，用于在登录失败次数大于等于失败次数阈值的情况下，确定目标登录用户是风险用户；第六确定模块，用于在登录失败次数小于失败次数阈值的情况下，确定目标登录用户不是风险用户。

可选地，在本申请实施例提供的主机的安全管理装置中，该装置还包括：第一获取单元，用于从主机日志中获取预设周期内的所有登录信息，并确定所有登录信息中的多条登录失败信息；第三确定单元，用于确定每条登录失败信息的登录时间，得到登录失败时间分布情况，确定每条登录失败信息的登录用户，得到登录失败的用户的清单和每个用户的登录失败次数，确定每条登录失败信息的失败原因，得到登录失败原因分布情况；生成单元，用于基于登录失败时间分布情况、登录失败的用户的清单、每个用户的登录失败次数和登录失败原因分布情况生成审计文件，并将审计文件发送给主机的运维人员。

可选地，在本申请实施例提供的主机的安全管理装置中，该装置还包括：第二获取单元，用于获取风险用户的所有登录信息，判断风险用户的所有登录信息中是否包含登录成功信息；第四确定单元，用于在风险用户的所有登录信息中包含登录成功信息的情况下，确定登录成功信息的登录时间；第五确定单元，用于确定从登录时间开始的风险用户登录主机的登录时长，检测主机在登录时长内是否存在入侵行为；第一提示单元，用于在主机在登录时长内存在入侵行为的情况下，发出第二提示信息，其中，第二提示信息用于提示运维人员维护主机。

可选地，在本申请实施例提供的主机的安全管理装置中，该装置还包括：第六确定单元，用于在目标登录用户不是风险用户的情况下，确定目标登录用户的登录失败信息的登录失败原因；第二提示单元，用于在登录失败原因是密码验证失败的情况下，发出第三提示信息，其中，第三提示信息用于提示目标登录用户输入的登录密码有误；权限判断单元，用于在登录失败原因是用户锁定失败的情况下，判断目标登录用户是否具有登录主机的权限；第三提示单元，用于在目标登录用户具有登录主机的权限的情况下，发出第四提示信息，其中，第四提示信息用于提示目标登录用户重新登录主机；第四提示单元，用于在目标登录用户不具有登录主机的权限的情况下，发出第五提示信息，其中，第五提示信息用于提示目标登录用户无权登录主机。

可选地，在本申请实施例提供的主机的安全管理装置中，限制单元50包括：剔除模块，用于将风险用户的用户信息输入预设脚本，通过预设脚本将风险用户从登录清单中剔除，其中，登录清单是包含所有允许登录主机的用户的清单。

主机的安全管理装置包括处理器和存储器，上述提取单元10、第一确定单元20、第二确定单元30、判断单元40和限制单元50等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。

处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来提高主机的安全性。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。

本发明实施例提供了一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现主机的安全管理方法。

本发明实施例提供了一种处理器，处理器用于运行程序，其中，程序运行时执行主机的安全管理方法。

图4是根据本申请实施例提供的电子设备的示意图。如图4所示，电子设备401包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：从主机日志中提取出主机的登录信息，判断登录信息是否为登录失败信息，其中，登录信息包括登录成功信息和登录失败信息；在登录信息是登录失败信息的情况下，确定登录失败信息对应的目标登录用户；确定登录失败信息的登录时间，从主机日志中提取目标时间段内的所有登录主机的用户的登录信息，得到登录信息集合，其中，目标时间段为以登录时间为起点的预设时长内的时间段；基于登录信息集合判断目标登录用户是否为风险用户；在目标登录用户是风险用户的情况下，限制风险用户对主机的登录行为，并发出第一提示信息，其中，第一提示信息用于提示主机存在安全风险。本文中的设备可以是服务器、PC、PAD、手机等。

本申请还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：从主机日志中提取出主机的登录信息，判断登录信息是否为登录失败信息，其中，登录信息包括登录成功信息和登录失败信息；在登录信息是登录失败信息的情况下，确定登录失败信息对应的目标登录用户；确定登录失败信息的登录时间，从主机日志中提取目标时间段内的所有登录主机的用户的登录信息，得到登录信息集合，其中，目标时间段为以登录时间为起点的预设时长内的时间段；基于登录信息集合判断目标登录用户是否为风险用户；在目标登录用户是风险用户的情况下，限制风险用户对主机的登录行为，并发出第一提示信息，其中，第一提示信息用于提示主机存在安全风险。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。