CN112163198A - 一种主机登录安全检测方法、***、装置及存储介质 - Google Patents
一种主机登录安全检测方法、***、装置及存储介质 Download PDFInfo
- Publication number
- CN112163198A CN112163198A CN202010918943.8A CN202010918943A CN112163198A CN 112163198 A CN112163198 A CN 112163198A CN 202010918943 A CN202010918943 A CN 202010918943A CN 112163198 A CN112163198 A CN 112163198A
- Authority
- CN
- China
- Prior art keywords
- login
- user
- host
- behavior
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 39
- 230000002159 abnormal effect Effects 0.000 claims abstract description 34
- 238000000034 method Methods 0.000 claims abstract description 24
- 230000006399 behavior Effects 0.000 claims description 129
- 238000003062 neural network model Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 3
- UXRDAJMOOGEIAQ-CKOZHMEPSA-N [(8r,9s,10r,13s,14s,17r)-17-acetyl-10,13-dimethyl-16-methylidene-3-oxo-1,2,8,9,11,12,14,15-octahydrocyclopenta[a]phenanthren-17-yl] acetate Chemical compound C1=CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC(=C)[C@](OC(=O)C)(C(C)=O)[C@@]1(C)CC2 UXRDAJMOOGEIAQ-CKOZHMEPSA-N 0.000 description 11
- 238000004590 computer program Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 101100508818 Mus musculus Inpp5k gene Proteins 0.000 description 2
- 101100366438 Rattus norvegicus Sphkap gene Proteins 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000002372 labelling Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Alarm Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种主机登录安全检测方法、***、装置及存储介质,方法包括:获取主机登录事件和主机操作日志;根据主机登录事件得到用户登录信息,并根据主机操作日志得到用户操作链路;根据用户登录信息和用户操作链路生成用户行为画像;根据用户行为画像确定主机登录事件为异常登录事件,并根据预设的主机登录告警策略下发异常登录告警。本发明通过主机登录事件和主机操作日志构建用户行为画像,并根据用户行为画像判断当前主机登录事件是否为异常登录事件,从而可以对绕过管理***的本地登录以及远程登录进行安全检测,提高了主机登录安全检测的准确性与全面性,保障了主机登录的安全,可广泛应用于信息安全技术领域。
Description
技术领域
本发明涉及信息安全技术领域,尤其是一种主机登录安全检测方法、***、装置及存储介质。
背景技术
主机帐户的使用场景多种多样,登录主机的方式也有很多种,例如可以直接本地登录主机,可以通过第三方软件远程登录主机,也可以通过帐户管理***登录代填到主机,用户只要拿到帐户口令就可以登录主机进行操作,这时操作***只记录了该帐户的操作记录,即使做了某些破坏性操作也无法定位操作者是谁。
当前市面上很多堡垒机、帐户管理的平台或管理业务***,都可以对通过管理***登录主机的操作进行追踪和记录,但对于绕过管理***直接登录主机或者非授权的远程登录主机,无法进行实时追踪和定位,如果有人绕过管理***对主机做了某些破坏,这无疑对于主机上的业务***来说是灾难性的。因此,需要对绕过管理***直接登录主机的事件进行记录,并及时通知管理员存在异常操作,阻断危险操作。
现有的主机登录安全检测方法存在以下缺点:
1)只能对通过管理***登录主机的方式进行安全检测,对绕过管理***的本地登录以及远程登录无法进行安全检测;
2)无法根据用户操作的权限要求对主机登录事件进行甄别;
3)当出现非法操作时只能够定位到非法操作的帐户,无法避免同一用户更换帐户进行非法操作。
名词解释:
SPV:特权帐户管理***
MDAP:安全大数据模块
用户行为画像:根据用户在主机的登录行为以及操作行为,进行用户行为分析得到的用户画像,用户行为画像中包括对登录行为和操作行为的标签化数据描述。
发明内容
为解决上述技术问题,本发明的目的在于:提供一种主机登录安全检测方法、***、装置及存储介质,提高了主机登录安全检测的准确性与全面性,保障了主机登录的安全。
本发明一方面所采取的技术方案是:
一种主机登录安全检测方法,包括以下步骤:
获取主机登录事件和主机操作日志;
根据所述主机登录事件得到用户登录信息,并根据所述主机操作日志得到用户操作链路;
根据所述用户登录信息和所述用户操作链路生成用户行为画像;
根据所述用户行为画像确定所述主机登录事件为异常登录事件,并根据预设的主机登录告警策略下发异常登录告警。
进一步,所述用户登录信息包括帐户ID、帐户所属设备IP、登录客户端IP、登录方式、登录端口、登录协议以及登录时间,所述登录方式包括本地登录、远程登录以及特权帐户登录。
进一步,所述根据所述主机操作日志得到用户操作链路这一步骤,其具体包括:
通过大数据模块对所述主机操作日志进行分析,得到用户的所有用户操作;
对所述用户操作进行遍历,得到所述用户操作之间的跳转顺序;
根据所述用户操作和所述跳转顺序,生成用户操作链路。
进一步,所述根据所述用户登录信息和所述用户操作链路生成用户行为画像这一步骤,其具体包括:
获取所述用户操作的源地址和统一资源标识符,判断当前用户操作的源地址是否等于所述用户操作链路中上一个用户操作的统一资源标识符,若是,则将当前用户操作与上一个用户操作划分为一个用户操作行为,反之,则需要重新建立用户操作行为;
重复上述步骤,将所述用户操作划分为若干个用户操作行为,并为各所述用户操作行为添加第一用户行为标签;
根据所述用户登录信息建立用户登录行为,并为所述用户登录行为添加第二用户行为标签;
根据所述第一用户行为标签和所述第二用户行为标签生成用户行为画像。
进一步,所述根据所述用户行为画像确定所述主机登录事件为异常登录事件,并根据预设的主机登录告警策略下发异常登录告警这一步骤,其具体包括:
将所述用户行为画像输入到预先训练好的神经网络模型,识别得到所述用户登录行为的用户权限,以及所述用户操作行为的操作权限;
当所述用户权限为非授权,确定所述主机登录事件为异常登录事件,并根据预设的主机登录告警策略下发非授权登录告警;
当所述用户权限为第一权限,且所述第一权限低于所述操作权限,确定所述主机登录事件为异常登录事件,并根据预设的主机登录告警策略下发非授权操作告警。
进一步,所述主机登录告警策略包括告警下发方式和告警内容,所述告警下发方式包括邮件和短信,所述告警内容包括所述用户登录信息、所述用户权限、所述用户操作链路以及所述操作权限。
进一步,所述主机登录安全检测方法还包括以下步骤:
终止当前用户的用户操作并退出主机登录,保存当前用户的帐户ID、帐户所属设备IP以及登录客户端IP。
本发明另一方面所采取的技术方案是:
一种主机登录安全检测***,包括:
数据获取模块,用于获取主机登录事件和主机操作日志;
数据处理模块,用于根据所述主机登录事件得到用户登录信息,并根据所述主机操作日志得到用户操作链路;
用户行为画像生成模块,用于根据所述用户登录信息和所述用户操作链路生成用户行为画像;
告警下发模块,用于根据所述用户行为画像确定所述主机登录事件为异常登录事件,并根据预设的主机登录告警策略下发异常登录告警。
本发明另一方面所采取的技术方案是:
一种主机登录安全检测装置,包括:
至少一个处理器;
至少一个存储器,用于存储至少一个程序;
当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器实现上述主机登录安全检测方法。
本发明另一方面所采取的技术方案是:
一种计算机可读存储介质,其中存储有处理器可执行的程序,所述处理器可执行的程序在由处理器执行时用于执行上述主机登录安全检测方法。
本发明的有益效果是:本发明一种主机登录安全检测方法、***、装置及存储介质,通过主机登录事件和主机操作日志构建用户行为画像,并根据用户行为画像判断当前主机登录事件是否为异常登录事件,从而可以对绕过管理***的本地登录以及远程登录进行安全检测,且用户行为画像包含了用户操作链路,因此可以根据用户操作的权限要求对主机登录进行安全检测,提高了主机登录安全检测的准确性与全面性,保障了主机登录的安全。
附图说明
图1是本发明实施例提供的主机登录安全检测方法的步骤流程图;
图2是本发明实施例提供的主机登录安全检测***的结构框图;
图3是本发明实施例提供的主机登录安全检测装置的结构框图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步的详细说明。对于以下实施例中的步骤编号,其仅为了便于阐述说明而设置,对步骤之间的顺序不做任何限定,实施例中的各步骤的执行顺序均可根据本领域技术人员的理解来进行适应性调整。
在本发明的描述中,多个的含义是两个以上,如果有描述到第一、第二只是用于区分技术特征为目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。此外,除非另有定义,本文所使用的所有的技术和科学术语与本技术领域的技术人员通常理解的含义相同。本文说明书中所使用的术语只是为了描述具体的实施例,而不是为了限制本发明。
参照图1,本发明实施例提供了一种主机登录安全检测方法,包括以下步骤:
S101、获取主机登录事件和主机操作日志;
具体地,本发明实施例采用MDAP(安全大数据模块)获取主机登录事件和主机操作日志。MDAP可通过目标服务器中的代理服务,采集主机操作***中帐户的登录日志以及操作日志,便于后续进行分析得用户登录行为和用户操作行为。
S102、根据主机登录事件得到用户登录信息,并根据主机操作日志得到用户操作链路;
具体地,用户登录信息包括登录的帐户、帐户设备以及登录客户端等相关信息;用户操作链路是根据当前用户在主机的所有操作进行排序得到的链路,用户操作链路可以反映用户在主机上所有操作的跳转顺序,从而可以对用户操作行为进行分析刻画。根据主机操作日志得到当前用户的用户操作链路这一步骤,具体包括以下步骤:
A1、通过大数据模块对主机操作日志进行分析,得到用户的所有用户操作;
A2、对用户操作进行遍历,得到用户操作之间的跳转顺序;
A3、根据用户操作和跳转顺序,生成用户操作链路。
具体地,在构建用户操作链路时,先通过MDAP对主机操作日志进行分析得到所有用户操作,然后对用户操作进行遍历,获取到用户操作之间的跳转顺序,由此形成用户操作链路,其中,跳转顺序可基于用户操作的时间顺序来确定,也可以根据用户操作的操作命令之间的逻辑关系来确定。
本发明实施例中,用户操作链路准确反映了用户登录主机后的每一步操作,便于后续根据操作的权限要求判断用户是否是异常登录。
进一步作为可选的实施方式,用户登录信息包括帐户ID、帐户所属设备IP、登录客户端IP、登录方式、登录端口、登录协议以及登录时间,登录方式包括本地登录、远程登录以及特权帐户登录。
具体地,用户登录信息用于后续建立用户登录行为,可根据帐户ID、帐户所属设备IP、登录客户端IP、登录方式、登录端口、登录协议以及登录时间等信息对用户登录行为进行标签化描述,以得到准确、全面的用户行为画像。
S103、根据用户登录信息和用户操作链路生成用户行为画像。
具体地,本发明实施例的用户行为画像是根据用户在主机的登录行为以及操作行为,进行用户行为分析并得到的用户画像,用户行为画像中包括对登录行为和操作行为的标签化数据描述。用户行为画像包含了用户登录行为的标签和若干个用户操作行为的标签,因为用户在登录主机之后可能会有多个操作行为,每个操作行为由若干个用户操作组成,因此需要对用户操作链路中的用户操作进行划分,然后对每个操作行为进行打标。步骤S103具体包括以下步骤:
S1031、获取用户操作的源地址和统一资源标识符,判断当前用户操作的源地址是否等于用户操作链路中上一个用户操作的统一资源标识符,若是,则将当前用户操作与上一个用户操作划分为一个用户操作行为,反之,则需要重新建立用户操作行为;
具体地,当前用户操作的源地址与上一个用户操作的统一资源标识符相同时,表示用户操作链路中当前用户操作与上一个用户操作为连续且相关联的用户操作,因此划分为一个用户操作行为;当前用户操作的源地址与上一个用户操作的统一资源标识符不相同时,表示用户操作链路中当前用户操作与上一个用户操作为连续但不关联的用户操作,因此需要重新建立一个新的用户操作行为。换言之,当出现当前用户操作的源地址与上一个用户操作的统一资源标识符不相同时,即表示用户产生了一个新的操作行为。
S1032、重复上述步骤,将用户操作划分为若干个用户操作行为,并为各用户操作行为添加第一用户行为标签;
具体地,根据用户操作行为对其进行打标即为添加用户行为标签,第一用户行为标签可以是“浏览”、“存储”、“拷贝”、“删除”、“编辑”、“运行”等,具体的标签化描述视具体地用户操作行为而定,第一用户行为标签是用于判断用户是否有相关操作权限的重要依据。
S1033、根据用户登录信息建立用户登录行为,并为用户登录行为添加第二用户行为标签;
具体地,第二用户行为标签可以是以登录方式作为标签,也可以是以登录的帐户ID或者使用的IP地址等作为标签,也可以同时将若干个登录信息作为标签,具体可以由管理员进行配置,第二用户行为标签是用于判断用户是否合法登录的重要依据。
S1034、根据第一用户行为标签和第二用户行为标签生成用户行为画像。
本发明实施例中,根据源地址与统一资源标识符将用户操作链路划分为若干个用户操作行为,然后分别添加用户行为标签,并根据用户登录信息得到用户登录行为的用户行为标签,由此可以得到用户在主机上所有行为的标签化描述,从而可以得到精准的用户行为画像。
S104、根据用户行为画像确定主机登录事件为异常登录事件,并根据预设的主机登录告警策略下发异常登录告警。
具体地,用户行为画像中已经包含用户在主机上所有行为的标签化描述,因此根据用户行为画像可以快速分析出当前用户的主机登录事件是否为异常登录事件,然后根据预先配置好的主机登录告警策略下发告警。本发明实施例中,采用神经网络模型对用户行为画像中的用户行为标签进行识别。步骤S104具体包括以下步骤:
S1041、将用户行为画像输入到预先训练好的神经网络模型,识别得到用户登录行为的用户权限,以及用户操作行为的操作权限;
具体地,神经网络模型是根据预设时段内登录主机的所有用户的用户行为标签训练得到的,将用户行为画像输入到神经网络模型后,通过对第二用户行为标签的识别可以得到用户权限(即用户的权限级别),例如,可根据帐户ID、登录方式及IP地址等标签识别用户权限为“非授权”或“一级权限”、“二级权限”等;通过对第一用户行为标签的识别可以得到操作权限(即该操作需求的权限级别),例如,可根据“编辑”的标签识别操作权限为“二级权限”,可根据“运行”的标签识别操作权限为“三级权限”。特别地,当同时存在多个第一用户行为标签时,取其中需求的权限级别最高的作为操作权限,例如,可根据“编辑”、“运行”识别操作权限为“三级权限”。
S1042、当用户权限为非授权,确定主机登录事件为异常登录事件,并根据预设的主机登录告警策略下发非授权登录告警;
具体地,当用户权限为“非授权”,可直接判定该次主机登录事件为异常登录事件,MDAP将该主机登录事件的相关信息及用户行为画像发送至SPV(特权帐户管理***),由SPV根据预先配置的主机登录告警策略下发非授权登录告警;
S1043、当用户权限为第一权限,且第一权限低于操作权限,确定主机登录事件为异常登录事件,并根据预设的主机登录告警策略下发非授权操作告警。
具体地,当用户权限为“一级权限”,而操作权限为“二级权限”时,表示该用户在主机上的操作行为未获得授权,属于高风险非法操作,以此类推。此时也由MDAP将该主机登录事件的相关信息及用户行为画像发送至SPV,由SPV根据预先配置的主机登录告警策略下发非授权操作告警。
本发明实施例中,通过神经网络模型对用户行为画像进行识别,可以准确判断登录是否授权以及操作是否授权,从而进一步提高了主机登录安全检测的准确性和全面性。
进一步作为可选的实施方式,主机登录告警策略包括告警下发方式和告警内容,告警下发方式包括邮件和短信,告警内容包括用户登录信息、用户权限、用户操作链路以及操作权限。
具体地,管理员预先配置正确的短信服务器、邮件服务器,保证可正常发送短信、邮件;在全局配置中配置短信、邮件通知模板,模板内容中可包含登录帐户、设备、主机、使用协议、端口、客户端IP等详细内容,也可包括用户操作链路和用户权限、操作权限等信息。
进一步作为可选的实施方式,主机登录安全检测方法还包括以下步骤:
终止当前用户的用户操作并退出主机登录,保存当前用户的帐户ID、帐户所属设备IP以及登录客户端IP。
具体地,在确定主机登录事件为异常登录事件后,立即终止当前用户的用户操作并退出主机登录,从而及时阻断高风险操作;同时可保存当前用户的帐户ID、帐户所属设备IP以及登录客户端IP,便于后续进行持续监听,避免该用户更换帐户或者IP地址再次登录主机。
可选地,当某些帐户登录到主机时,MDAP通过本身收集到的用户登录行为,将本地登录以及非授权的远程登录信息发送到SPV中,SPV根据MDAP发送的内容记录此事件,并通过配置的主机登录告警策略,短信或邮件通知此设备的管理员,有帐户登录主机行为发生时,及时查看是否是已授权的登录,防止非法操作造成的数据泄露或破坏;MDAP通过分析***日志,分析帐户本地登录、非授权远程登录,以及通过SPV进行的授权登录等日志信息,对大数据信息进行分析,可精确的生成用户行为画像,SPV通过行为分析以及用户配置的主机登录告警事件,将有风险的登录事件通知主机管理员,避免因密码泄露等原因造成主机被破坏,同时及时响应和阻断操作。
本发明实施例提供了一种主机登录安全检测方法,通过主机登录事件和主机操作日志构建用户行为画像,并根据用户行为画像判断当前主机登录事件是否为异常登录事件,从而可以对绕过管理***的本地登录以及远程登录进行安全检测,且用户行为画像包含了用户操作链路,因此可以根据用户操作的权限要求对主机登录进行安全检测,提高了主机登录安全检测的准确性与全面性,保障了主机登录的安全
本发明实施例相较传统的主机登录安全检测方法而言,具有以下优点:
1)可以对绕过管理***的本地登录以及远程登录进行安全检测,也可以根据用户操作的权限要求对主机登录事件进行甄别;
2)通过MDAP大数据分析,生成精准的用户行为画像,可自动判断登录事件是否为异常事件,当有异常登录或异常操作时,可自动、及时进行风险阻断;
3)管理员也可根据自己的意愿对比较敏感的帐户的所有登录事件配置通知策略,当有异常行为发生时,***实时告知主机的管理员,实时监控主机帐户安全;
4)可自定义登录方式告警通知,可选择的登录方式包括直接登录主机、非授权的远程登录、通过SPV的授权的远程登录,以及SPV用户登录。
参照图2,本发明实施例提供了一种主机登录安全检测***,包括:
数据获取模块,用于获取主机登录事件和主机操作日志;
数据处理模块,用于根据主机登录事件得到用户登录信息,并根据主机操作日志得到用户操作链路;
用户行为画像生成模块,用于根据用户登录信息和用户操作链路生成用户行为画像;
告警下发模块,用于根据用户行为画像确定主机登录事件为异常登录事件,并根据预设的主机登录告警策略下发异常登录告警。
上述方法实施例中的内容均适用于本***实施例中,本***实施例所具体实现的功能与上述方法实施例相同,并且达到的有益效果与上述方法实施例所达到的有益效果也相同。
参照图3,本发明实施例还提供了一种主机登录安全检测装置,包括:
至少一个处理器;
至少一个存储器,用于存储至少一个程序;
当至少一个程序被至少一个处理器执行,使得至少一个处理器实现上述一种主机登录安全检测方法。
上述方法实施例中的内容均适用于本装置实施例中,本装置实施例所具体实现的功能与上述方法实施例相同,并且达到的有益效果与上述方法实施例所达到的有益效果也相同。
此外,本发明实施例还提供了一种计算机可读存储介质,其中存储有处理器可执行的程序,处理器可执行的程序在由处理器执行时用于执行上述一种主机登录安全检测方法。
应当认识到,本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。上述方法可以使用标准编程技术—包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现,其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机***通信。然而,若需要,该程序可以以汇编或机器语言实现。在任何情况下,该语言可以是编译或解释的语言。此外,为此目的该程序能够在编程的专用集成电路上运行。
此外,可按任何合适的顺序来执行本文描述的过程的操作,除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机***的控制下执行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。上述计算机程序包括可由一个或多个处理器执行的多个指令。
进一步,上述方法可以在可操作地连接至合适的任何类型的计算平台中实现,包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现,无论是可移动的还是集成至计算平台,如硬盘、光学读取和/或写入存储介质、RAM、ROM等,使得其可由可编程计算机读取,当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外,机器可读代码,或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所描述步骤的指令或程序时,本文所描述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所描述的方法和技术编程时,本发明还包括计算机本身。
计算机程序能够应用于输入数据以执行本文所描述的功能,从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中,转换的数据表示物理和有形的对象,包括显示器上产生的物理和有形对象的特定视觉描绘。
以上所述,只是本发明的较佳实施例而已,本发明并不局限于上述实施方式,只要其以相同的手段达到本发明的技术效果,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。在本发明的保护范围内其技术方案和/或实施方式可以有各种不同的修改和变化。
Claims (10)
1.一种主机登录安全检测方法,其特征在于,包括以下步骤:
获取主机登录事件和主机操作日志;
根据所述主机登录事件得到用户登录信息,并根据所述主机操作日志得到用户操作链路;
根据所述用户登录信息和所述用户操作链路生成用户行为画像;
根据所述用户行为画像确定所述主机登录事件为异常登录事件,并根据预设的主机登录告警策略下发异常登录告警。
2.根据权利要求1所述的一种主机登录安全检测方法,其特征在于:所述用户登录信息包括帐户ID、帐户所属设备IP、登录客户端IP、登录方式、登录端口、登录协议以及登录时间,所述登录方式包括本地登录、远程登录以及特权帐户登录。
3.根据权利要求1所述的一种主机登录安全检测方法,其特征在于,所述根据所述主机操作日志得到用户操作链路这一步骤,其具体包括:
通过大数据模块对所述主机操作日志进行分析,得到用户的所有用户操作;
对所述用户操作进行遍历,得到所述用户操作之间的跳转顺序;
根据所述用户操作和所述跳转顺序,生成用户操作链路。
4.根据权利要求3所述的一种主机登录安全检测方法,其特征在于,所述根据所述用户登录信息和所述用户操作链路生成用户行为画像这一步骤,其具体包括:
获取所述用户操作的源地址和统一资源标识符,判断当前用户操作的源地址是否等于所述用户操作链路中上一个用户操作的统一资源标识符,若是,则将当前用户操作与上一个用户操作划分为一个用户操作行为,反之,则需要重新建立用户操作行为;
重复上述步骤,将所述用户操作划分为若干个用户操作行为,并为各所述用户操作行为添加第一用户行为标签;
根据所述用户登录信息建立用户登录行为,并为所述用户登录行为添加第二用户行为标签;
根据所述第一用户行为标签和所述第二用户行为标签生成用户行为画像。
5.根据权利要求4所述的一种主机登录安全检测方法,其特征在于,所述根据所述用户行为画像确定所述主机登录事件为异常登录事件,并根据预设的主机登录告警策略下发异常登录告警这一步骤,其具体包括:
将所述用户行为画像输入到预先训练好的神经网络模型,识别得到所述用户登录行为的用户权限,以及所述用户操作行为的操作权限;
当所述用户权限为非授权,确定所述主机登录事件为异常登录事件,并根据预设的主机登录告警策略下发非授权登录告警;
当所述用户权限为第一权限,且所述第一权限低于所述操作权限,确定所述主机登录事件为异常登录事件,并根据预设的主机登录告警策略下发非授权操作告警。
6.根据权利要求5所述的一种主机登录安全检测方法,其特征在于:所述主机登录告警策略包括告警下发方式和告警内容,所述告警下发方式包括邮件和短信,所述告警内容包括所述用户登录信息、所述用户权限、所述用户操作链路以及所述操作权限。
7.根据权利要求1至6任一项所述的一种主机登录安全检测方法,其特征在于,所述主机登录安全检测方法还包括以下步骤:
终止当前用户的用户操作并退出主机登录,保存当前用户的帐户ID、帐户所属设备IP以及登录客户端IP。
8.一种主机登录安全检测***,其特征在于,包括:
数据获取模块,用于获取主机登录事件和主机操作日志;
数据处理模块,用于根据所述主机登录事件得到用户登录信息,并根据所述主机操作日志得到用户操作链路;
用户行为画像生成模块,用于根据所述用户登录信息和所述用户操作链路生成用户行为画像;
告警下发模块,用于根据所述用户行为画像确定所述主机登录事件为异常登录事件,并根据预设的主机登录告警策略下发异常登录告警。
9.一种主机登录安全检测装置,其特征在于,包括:
至少一个处理器;
至少一个存储器,用于存储至少一个程序;
当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器实现如权利要求1至7任一项所述的一种主机登录安全检测方法。
10.一种计算机可读存储介质,其中存储有处理器可执行的程序,其特征在于,所述处理器可执行的程序在由处理器执行时用于执行如权利要求1至7任一项所述的一种主机登录安全检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010918943.8A CN112163198B (zh) | 2020-09-04 | 2020-09-04 | 一种主机登录安全检测方法、***、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010918943.8A CN112163198B (zh) | 2020-09-04 | 2020-09-04 | 一种主机登录安全检测方法、***、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112163198A true CN112163198A (zh) | 2021-01-01 |
| CN112163198B CN112163198B (zh) | 2024-06-28 |
Family
ID=73857658
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010918943.8A Active CN112163198B (zh) | 2020-09-04 | 2020-09-04 | 一种主机登录安全检测方法、***、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112163198B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113378127A (zh) * | 2021-06-09 | 2021-09-10 | 中国工商银行股份有限公司 | 异常登录识别方法、异常登录识别装置和电子设备 |
| CN113377718A (zh) * | 2021-05-24 | 2021-09-10 | 石化盈科信息技术有限责任公司 | 日志信息处理方法、装置、计算机设备及存储介质 |
| CN114553720A (zh) * | 2022-02-28 | 2022-05-27 | 中国工商银行股份有限公司 | 用户操作异常检测方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6405318B1 (en) * | 1999-03-12 | 2002-06-11 | Psionic Software, Inc. | Intrusion detection system |
| CN107959673A (zh) * | 2017-11-17 | 2018-04-24 | 广东省信息安全测评中心 | 异常登录检测方法、装置、存储介质和计算机设备 |
| CN110166529A (zh) * | 2019-04-16 | 2019-08-23 | 平安普惠企业管理有限公司 | 保持登录态方法、装置、设备及存储介质 |
| CN111107072A (zh) * | 2019-12-11 | 2020-05-05 | 中国科学院信息工程研究所 | 一种基于认证图嵌入的异常登录行为检测方法及*** |
-
2020
- 2020-09-04 CN CN202010918943.8A patent/CN112163198B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6405318B1 (en) * | 1999-03-12 | 2002-06-11 | Psionic Software, Inc. | Intrusion detection system |
| CN107959673A (zh) * | 2017-11-17 | 2018-04-24 | 广东省信息安全测评中心 | 异常登录检测方法、装置、存储介质和计算机设备 |
| CN110166529A (zh) * | 2019-04-16 | 2019-08-23 | 平安普惠企业管理有限公司 | 保持登录态方法、装置、设备及存储介质 |
| CN111107072A (zh) * | 2019-12-11 | 2020-05-05 | 中国科学院信息工程研究所 | 一种基于认证图嵌入的异常登录行为检测方法及*** |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113377718A (zh) * | 2021-05-24 | 2021-09-10 | 石化盈科信息技术有限责任公司 | 日志信息处理方法、装置、计算机设备及存储介质 |
| CN113378127A (zh) * | 2021-06-09 | 2021-09-10 | 中国工商银行股份有限公司 | 异常登录识别方法、异常登录识别装置和电子设备 |
| CN114553720A (zh) * | 2022-02-28 | 2022-05-27 | 中国工商银行股份有限公司 | 用户操作异常检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112163198B (zh) | 2024-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109525558B (zh) | 数据泄露检测方法、***、装置及存储介质 | |
| CN108848067B (zh) | 智能学习并预置只读白名单规则的opc协议安全防护方法 | |
| CN112163198B (zh) | 一种主机登录安全检测方法、***、装置及存储介质 | |
| US7810156B2 (en) | Automated evidence gathering | |
| KR101883400B1 (ko) | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 | |
| US10671723B2 (en) | Intrusion detection system enrichment based on system lifecycle | |
| US9697352B1 (en) | Incident response management system and method | |
| CN107241229B (zh) | 一种基于接口测试工具的业务监控方法及装置 | |
| US20080183603A1 (en) | Policy enforcement over heterogeneous assets | |
| CN107786551B (zh) | 访问内网服务器的方法及控制访问内网服务器的装置 | |
| KR100926735B1 (ko) | 웹 소스 보안 관리 시스템 및 방법 | |
| CN117852003B (zh) | 一种基于数据分析的账户监测预警管理方法 | |
| CN105930740B (zh) | 软体文件被修改时的来源追溯方法、监测方法、还原方法及*** | |
| CN114238036A (zh) | 一种saas平台异常实时的监控方法及装置 | |
| CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| CN113973193A (zh) | 安全质量管控方法、电子设备及可读介质 | |
| CN106407836B (zh) | 一种数据非法修改行为自动检测的方法及装置 | |
| CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
| CN110086812B (zh) | 一种安全可控的内网安全巡警***及方法 | |
| CN116382952A (zh) | 一种异常处理方法、装置和*** | |
| CN114297712A (zh) | 基于数据流转全流程审计的数据防攻击方法及装置 | |
| CN114490261A (zh) | 一种终端安全事件联动处理方法、装置和设备 | |
| CN112688808A (zh) | 一种互联网数据中心的运维管理方法、***及电子设备 | |
| CN113032744A (zh) | 一种数字水印一体机*** | |
| Cornelius et al. | Recommended practice: Creating cyber forensics plans for control systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |