CN113572757B - 服务器访问风险监测方法及装置 - Google Patents

服务器访问风险监测方法及装置 Download PDF

Info

Publication number
CN113572757B
CN113572757B CN202110824847.1A CN202110824847A CN113572757B CN 113572757 B CN113572757 B CN 113572757B CN 202110824847 A CN202110824847 A CN 202110824847A CN 113572757 B CN113572757 B CN 113572757B
Authority
CN
China
Prior art keywords
data
server
access
risk
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110824847.1A
Other languages
English (en)
Other versions
CN113572757A (zh
Inventor
石蕊
敬涛
李新印
楼闯宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202110824847.1A priority Critical patent/CN113572757B/zh
Publication of CN113572757A publication Critical patent/CN113572757A/zh
Application granted granted Critical
Publication of CN113572757B publication Critical patent/CN113572757B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Hardware Design (AREA)
  • Evolutionary Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Probability & Statistics with Applications (AREA)
  • Environmental & Geological Engineering (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请实施例提供一种服务器访问风险监测方法及装置,可用于信息安全技术领域,方法包括:根据预设的访问风险数据特征在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录,确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据;对目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除目标登陆数据记录中的误报数据,若剔除误报数据后的目标登陆数据记录中还存在数据记录,则将该数据记录确定为服务器访问风险数据。本申请能够实现对绕行堡垒机事件的自动监测,能够提高堡垒机绕行事件的检测效率及检测全面性,降低堡垒机绕行事件报警的误报率。

Description

服务器访问风险监测方法及装置
技术领域
本申请涉及数据处理技术领域,特别涉及信息安全技术领域,具体涉及服务器访问风险监测方法及装置。
背景技术
数据中心往往拥有大量的服务器,如何安全并高效的管理这些服务器便成为运维人员的必要工作。比较常见的解决方案就是搭建一套或多套堡垒机环境作为线上服务器的入口,所有服务器只能先通过堡垒机进行登陆再访问,同时堡垒机可以对用户访问权限进行管理,对用户高风险命令进行拦截,并记录所有的运维操作。
由于应急的需要,一般情况下不能封禁非堡垒机登陆的网络防火墙策略,因此可能存在非授权绕过堡垒机进行访问的行为,使堡垒机的安全控制失效,难以对用户操作进行追溯和审计,然而,当前并没有针对搭建有堡垒机环境的服务器***进行堡垒机绕行行为监测的方式,因此极大的增加了服务器访问风险,无法保证服务器***的运行安全性及稳定性。
发明内容
针对现有技术中的问题,本申请提供一种服务器访问风险监测方法及装置,能够有效实现对绕行堡垒机行为的目标登陆数据记录的自动监测,并能够提高堡垒机绕行事件的检测效率及检测全面性,能够有效降低堡垒机绕行事件报警的误报率,提高堡垒机绕行事件的识别准确性及可靠性。
为解决上述技术问题,本申请提供以下技术方案:
第一方面,本申请提供一种服务器访问风险监测方法,包括:
根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录;
自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据;
基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,若剔除误报数据后的所述目标登陆数据记录中还存在数据记录,则将该数据记录确定为服务器访问风险数据。
进一步地,在所述根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录之前,还包括:
实时或以预设的时间间隔周期性采集设有堡垒机的服务器***的当前的新增日志组合,其中,所述新增日志组合中的数据类型包括:服务器***日志、操作终端***日志、堡垒机日志、变更申请单和配置管理应用节点信息和AD域控服务器日志;
对所述新增日志组合进行数据清洗及标准格式化处理,得到所述新增日志组合对应的目标日志清单,其中,该目标日志清单用于存储各个所述数据类型和关键字段之间的对应关系。
进一步地,所述根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录,包括:
获取预存储的访问风险数据特征表,其中,该访问风险数据特征表用于存储服务器***日志、特征字段、特征值和特征描述之间的对应关系;
将所述目标日志清单中数据类型为所述服务器***日志所对应的关键字段与所述访问风险数据特征表进行匹配,识别得到所述服务器***日志对应的关键字段中存在绕行堡垒机行为的初始登陆数据记录;
剔除所述初始登陆数据记录中已授权的访问数据,得到对应的存在绕行堡垒机行为的目标登陆数据记录。
进一步地,所述剔除所述初始登陆数据记录中已授权的访问数据,包括:
根据所述目标日志清单中数据类型为所述堡垒机日志所对应的关键字段,分别剔除所述初始登陆数据记录中未纳入堡垒机管理的设备对应的数据记录以及已审批通过的用户对应的数据记录;
以及,根据所述目标日志清单中数据类型为所述变更申请单所对应的关键字段,剔除所述初始登陆数据记录中已审批通过的变更登陆数据记录。
进一步地,所述自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据,包括:
根据所述目标日志清单中数据类型为所述配置管理应用节点信息对应的关键字段,确定所述目标登陆数据记录中存在关联关系的应用节点;
提取所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据。
进一步地,在所述基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据之前,还包括:
获取设有堡垒机的服务器***的历史日志组合;
对所述历史日志组合进行数据清洗及标准格式化处理,得到所述历史日志组合对应的历史日志清单;
根据预设的访问风险数据特征,自所述历史日志清单中提取对应的存在绕行堡垒机行为的历史登陆数据记录;
自所述历史登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的历史访问数据;
根据每两个关联的应用节点之间的历史访问数据,分别生成每两个关联的应用节点对应的时间序列图;
应用基于密度的聚类算法,分别确定各个所述时间序列图中的应用互访簇和噪声数据;
采用循环迭代参数变量法,分别根据各个所述时间序列图各自对应的应用互访簇和噪声数据,生成每两个关联的应用节点之间的聚类模型。
进一步地,所述基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,包括:
应用所述目标登陆数据记录中的每两个关联的应用节点之间的聚类模型,分别对每两个关联的应用节点之间的新增访问数据进行标记,并剔除每两个关联的应用节点之间的应用互访簇;
若剔除所述应用互访簇后,所述目标登陆数据记录中还存在噪声数据,则将该噪声数据对应的数据记录确定为存在绕过堡垒机且登陆异常行为的服务器访问风险数据。
进一步地,还包括:
获取服务器访问风险数据对应的访问方式;
根据所述服务器访问风险数据对应的访问方式对所述服务器访问风险数据进行对应的风险告警和/或风险阻断处理。
进一步地,所述根据所述服务器访问风险数据对应的访问方式对所述服务器访问风险数据进行对应的风险告警和/或风险阻断处理,包括:
若所述服务器访问风险数据对应的访问方式为终端直接访问,则根据所述服务器访问风险数据对应的用户终端数据,自预设的索引表中查找早于所述服务器访问风险数据对应的登陆时间的最近一次用户登陆记录,以定位到所述服务器访问风险数据的操作用户的用户标识及用户终端标识;
其中,所述索引表预先基于所述新增日志组合中的AD域控服务器日志中的终端用户登陆日志生成;
基于预设的接口标准报警事件格式生成所述服务器访问风险数据对应的告警事件,将所述告警事件发生至预设的监控平台上显示和/或控制对应的告警设备发出针对所述告警事件的声光告警提示;
获取所述服务器访问风险数据对应的目标服务器,并基于所述堡垒机向所述目标服务器发送阻断指令,以使所述目标服务器阻断所述服务器访问风险数据对应的绕行登陆事件。
进一步地,所述根据所述服务器访问风险数据对应的访问方式选取对应的访问风险控制方式,以基于该访问风险控制方式对所述服务器访问风险数据进行风险告警和/或风险阻断处理,包括:
若所述服务器访问风险数据对应的访问方式为服务器跳转访问,则基于预设的接口标准报警事件格式生成所述服务器访问风险数据对应的告警事件,将所述告警事件发生至预设的监控平台上显示和/或控制对应的告警设备发出针对所述告警事件的声光告警提示;
获取所述服务器访问风险数据对应的目标服务器,并基于所述堡垒机向所述目标服务器发送阻断指令,以使所述目标服务器阻断所述服务器访问风险数据对应的绕行登陆事件。
第二方面,本申请提供一种服务器访问风险监测装置,包括:
数据监测模块,用于根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录;
应用关联模块,用于自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据;
风险确认模块,用于基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,若剔除误报数据后的所述目标登陆数据记录中还存在数据记录,则将该数据记录确定为服务器访问风险数据。
第三方面,本申请提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述的服务器访问风险监测方法。
第四方面,本申请提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述的服务器访问风险监测方法。
由上述技术方案可知,本申请提供的一种服务器访问风险监测方法及装置,方法包括:根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录;自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据;基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,若剔除误报数据后的所述目标登陆数据记录中还存在数据记录,则将该数据记录确定为服务器访问风险数据,通过根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录,能够有效实现对绕行堡垒机行为的目标登陆数据记录的自动监测,并能够提高堡垒机绕行事件的检测效率及检测全面性,以及时发现运维违规操作或安全入侵事件;通过自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据,并基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,若剔除误报数据后的所述目标登陆数据记录中还存在数据记录,则将该数据记录确定为服务器访问风险数据,能够实现对绕行堡垒机行为的目标登陆数据记录进行自动识别的基础上,还能够有效降低堡垒机绕行事件报警的误报率,能够有效提高堡垒机绕行事件的识别准确性及可靠性,进而能够有效提高搭建有堡垒机环境的服务器***的运行安全性及稳定性,同时能够大幅度减少人工审计成本,有效提升服务器***所属企业的信息安全管理能力,提高企业及运维人员的用户体验。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例中的服务器访问风险监测装置分别与服务器***、监控平台、告警设备和客户端设备之间的关系示意图。
图2是本申请实施例中的服务器访问风险监测方法的第一种流程示意图。
图3是本申请实施例中的服务器访问风险监测方法的第二种流程示意图。
图4是本申请实施例中的服务器访问风险监测方法的第三种流程示意图。
图5是本申请实施例中的服务器访问风险监测方法的第四种流程示意图。
图6是本申请实施例中的服务器访问风险监测方法的第五种流程示意图。
图7是本申请实施例中的时间序列图的举例示意图。
图8是本申请实施例中的服务器访问风险监测方法的第六种流程示意图。
图9是本申请实施例中的服务器访问风险监测方法的第七种流程示意图。
图10是本申请实施例中的服务器访问风险监测方法的第八种流程示意图。
图11是本申请实施例中的服务器访问风险监测方法的第九种流程示意图。
图12是本申请实施例中的服务器访问风险监测装置的结构示意图。
图13是本申请应用实例提供的应用快速发现堡垒机绕行事件的监测***的结构示意图。
图14是本申请应用实例提供的数据分析模块的内部结构示意图。
图15是本申请应用实例提供的应用快速发现堡垒机绕行事件的监测***实现的服务器访问风险监测方法的流程示意图。
图16是本申请实施例中的电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请公开的服务器访问风险监测方法和装置可用于信息安全技术领域,也可用于除信息安全技术领域之外的任意领域,本申请公开的服务器访问风险监测方法和装置的应用领域不做限定。
针对当前尚未有专门针对搭建有堡垒机环境的服务器***进行堡垒机绕行行为监测的有利方式,因此存在堡垒机的安全控制失效,难以对用户操作进行追溯和审计,以及无法保证服务器***的运行安全性及稳定性等问题,本申请实施例提供一种服务器访问风险监测方法,通过根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录,能够有效实现对绕行堡垒机行为的目标登陆数据记录的自动监测,并能够提高堡垒机绕行事件的检测效率及检测全面性,以及时发现运维违规操作或安全入侵事件;通过自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据,并基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,若剔除误报数据后的所述目标登陆数据记录中还存在数据记录,则将该数据记录确定为服务器访问风险数据,能够实现对绕行堡垒机行为的目标登陆数据记录进行自动识别的基础上,还能够有效降低堡垒机绕行事件报警的误报率,能够有效提高堡垒机绕行事件的识别准确性及可靠性,进而能够有效提高搭建有堡垒机环境的服务器***的运行安全性及稳定性,同时能够大幅度减少人工审计成本,有效提升服务器***所属企业的信息安全管理能力,提高企业及运维人员的用户体验。
基于上述内容,本申请还提供一种用于实现本申请一个或多个实施例中提供的服务器访问风险监测方法的服务器访问风险监测装置,该服务器访问风险监测装置可以为一独立的服务器,也可以为服务器***中的一功能模块,参见图1,该服务器访问风险监测装置可以自行或通过第三方服务器等分别与设有至少一个堡垒机的服务器***、监控平台、告警设备和各个客户端设备之间通信连接,服务器访问风险监测装置可以接收客户端设备发送的服务器访问风险监测开启指令,并根据该服务器访问风险监测开启指令实时或周期性采集设有堡垒机的服务器***的当前的新增日志组合,而后根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录;自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据;基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,若剔除误报数据后的所述目标登陆数据记录中还存在数据记录,则将该数据记录确定为服务器访问风险数据,而后,服务器访问风险监测装置可以将告警事件发生至预设的监控平台上显示和/或控制对应的告警设备发出针对所述告警事件的声光告警提示,和/或,基于所述堡垒机向所述目标服务器发送阻断指令,以使所述目标服务器阻断所述服务器访问风险数据对应的绕行登陆事件。
在另一种实际应用情形中,前述的服务器访问风险监测装置进行服务器访问风险监测的部分可以在如上述内容的服务器中执行,也可以所有的操作都在所述用户端设备中完成。具体可以根据所述用户端设备的处理能力,以及用户使用场景的限制等进行选择。本申请对此不作限定。若所有的操作都在所述用户端设备中完成,所述用户端设备还可以包括处理器,用于服务器访问风险监测的具体处理。
可以理解的是,所述移动终端可以包括智能手机、平板电子设备、网络机顶盒、便携式计算机、个人数字助理(PDA)、车载设备、智能穿戴设备等任何能够装载应用的移动设备。其中,所述智能穿戴设备可以包括智能眼镜、智能手表、智能手环等。
上述的移动终端可以具有通信模块(即通信单元),可以与远程的服务器进行通信连接,实现与所述服务器的数据传输。所述服务器可以包括任务调度中心一侧的服务器,其他的实施场景中也可以包括中间平台的服务器,例如与任务调度中心服务器有通信链接的第三方服务器平台的服务器。所述的服务器可以包括单台计算机设备,也可以包括多个服务器组成的服务器集群,或者分布式装置的服务器结构。
上述服务器与所述移动终端之间可以使用任何合适的网络协议进行通信,包括在本申请提交日尚未开发出的网络协议。所述网络协议例如可以包括TCP/IP协议、UDP/IP协议、HTTP协议、HTTPS协议等。当然,所述网络协议例如还可以包括在上述协议之上使用的RPC协议(Remote Procedure Call Protocol,远程过程调用协议)、REST协议(Representational State Transfer,表述性状态转移协议)等。
具体通过下述各个实施例及应用实例分别进行详细说明。
为了解决当前尚未有专门针对搭建有堡垒机环境的服务器***进行堡垒机绕行行为监测的有利方式,因此存在堡垒机的安全控制失效,难以对用户操作进行追溯和审计,以及无法保证服务器***的运行安全性及稳定性等问题,本申请提供一种服务器访问风险监测方法的实施例,参见图2,基于服务器访问风险监测装置执行的所述服务器访问风险监测方法具体包含有如下内容:
步骤100:根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录。
可以理解的是,访问风险数据特征可以为预先人为设置并存储至所述服务器访问风险监测装置本地或该服务器访问风险监测装置可访问的数据库中,访问风险数据特征也可以为所述服务器访问风险监测装置预先自服务器访问风险历史记录中获取的各类服务器访问风险数据对应的特征,并将这些特征同一存储在访问风险数据特征表中等。
步骤200:自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据。
可以理解的是,由于目前企业中云环境部署较为普遍,应用***的同一类服务器可能有多台,部署有同样的程序模块,行为也一致,因此应将同一应用节点信息作为一类处理。正常情况下,两个应用节点之间会按照基本固定的时间间隔进行互访,如批处理作业、应用监控等。
步骤300:基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,若剔除误报数据后的所述目标登陆数据记录中还存在数据记录,则将该数据记录确定为服务器访问风险数据。
从上述描述可知,本申请实施例提供的服务器访问风险监测方法,通过根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录,能够有效实现对绕行堡垒机行为的目标登陆数据记录的自动监测,并能够提高堡垒机绕行事件的检测效率及检测全面性,以及时发现运维违规操作或安全入侵事件;通过自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据,并基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,若剔除误报数据后的所述目标登陆数据记录中还存在数据记录,则将该数据记录确定为服务器访问风险数据,能够实现对绕行堡垒机行为的目标登陆数据记录进行自动识别的基础上,还能够有效降低堡垒机绕行事件报警的误报率,能够有效提高堡垒机绕行事件的识别准确性及可靠性,进而能够有效提高搭建有堡垒机环境的服务器***的运行安全性及稳定性,同时能够大幅度减少人工审计成本,有效提升服务器***所属企业的信息安全管理能力,提高企业及运维人员的用户体验。
为了进一步提高获取目标登陆数据记录的准确性及全面性,在本申请提供的服务器访问风险监测方法的一个实施例,参见图3,所述服务器访问风险监测方法的步骤100之前具体包含有如下内容:
步骤010:实时或以预设的时间间隔周期性采集设有堡垒机的服务器***的当前的新增日志组合,其中,所述新增日志组合中的数据类型包括:服务器***日志、操作终端***日志、堡垒机日志、变更申请单和配置管理应用节点信息和AD域控服务器日志。
具体来说,服务器访问风险监测装置可以从服务器***的内网服务器、堡垒机、操作终端、AD域控服务器、变更单***、配置管理***中收集分析所需的各类日志和数据,同时进行数据预处理并建立数据索引。
其中的新增日志组合中的数据类型包括:对服务器***日志(包括UNIX、Linux操作***SYSLOG日志、Windows操作***日志)、堡垒机日志、操作终端***日志(Windows操作***日志)、AD域控服务器日志(Windows操作***日志)、变更申请单信息和配置管理应用节点信息。
步骤020:对所述新增日志组合进行数据清洗及标准格式化处理,得到所述新增日志组合对应的目标日志清单,其中,该目标日志清单用于存储各个所述数据类型和关键字段之间的对应关系。
其中,堡垒机日志可以包含有堡垒机设备管理数据和堡垒机用户申请记录。
预处理后的日志清单中的内容格式如表1所示:
表1-预处理后的日志清单
Figure GDA0003817409320000101
从上述描述可知,本申请实施例提供的服务器访问风险监测方法,通过预先采集服务器***的当前的新增日志组合并进行预处理,能够为后续获取存在绕行堡垒机行为的目标登陆数据记录提供准确且全面的数据基础,进而能够进一步提高获取目标登陆数据记录的准确性及全面性,以进一步提高堡垒机绕行事件的检测全面性,进而能够有效发现运维违规操作或安全入侵事件。
为了进一步提高获取存在绕行堡垒机行为的目标登陆数据记录的效率性及可靠性,在本申请提供的服务器访问风险监测方法的一个实施例,参见图4,所述服务器访问风险监测方法的步骤100具体包含有如下内容:
步骤110:获取预存储的访问风险数据特征表,其中,该访问风险数据特征表用于存储服务器***日志、特征字段、特征值和特征描述之间的对应关系。
其中,预设的风险数据特征表的举例参见表2:
表2-风险数据特征表
Figure GDA0003817409320000102
Figure GDA0003817409320000111
步骤120:将所述目标日志清单中数据类型为所述服务器***日志所对应的关键字段与所述访问风险数据特征表进行匹配,识别得到所述服务器***日志对应的关键字段中存在绕行堡垒机行为的初始登陆数据记录。
步骤130:剔除所述初始登陆数据记录中已授权的访问数据,得到对应的存在绕行堡垒机行为的目标登陆数据记录。
从上述描述可知,通过将所述目标日志清单中数据类型为所述服务器***日志所对应的关键字段与所述访问风险数据特征表进行匹配,并剔除已授权的访问数据,能够进一步提高获取存在绕行堡垒机行为的目标登陆数据记录的效率性及可靠性,以进一步提高堡垒机绕行事件的检测效率及可靠性,进而能够及时发现运维违规操作或安全入侵事件。
为了提高剔除已授权的访问数据的准确性及效率,在本申请提供的服务器访问风险监测方法的一个实施例,参见图5,所述服务器访问风险监测方法的步骤130具体包含有如下内容:
步骤131:根据所述目标日志清单中数据类型为所述堡垒机日志所对应的关键字段,分别剔除所述初始登陆数据记录中未纳入堡垒机管理的设备对应的数据记录以及已审批通过的用户对应的数据记录。
步骤132:根据所述目标日志清单中数据类型为所述变更申请单所对应的关键字段,剔除所述初始登陆数据记录中已审批通过的变更登陆数据记录。
具体来说,堡垒机日志、变更申请单信息作为比对样本,剔除掉已授权的访问数据的基本逻辑如下:
1)通过和堡垒机设备管理数据中的IP或主机名比较,剔除未纳入堡垒机管理的设备登陆数据。
2)与堡垒机中的用户申请记录中的账号名称、IP或主机名进行比对,剔除已审批通过的用户登陆数据。
3)与变更申请单中变更方案中变更开始、结束时间、IP或主机名进行比对,剔除已审批通过的变更登陆数据。
从上述描述可知,本申请实施例提供的服务器访问风险监测方法,通过应用堡垒机日志及变更申请单剔除所述初始登陆数据记录中已授权的访问数据,能够有效提高剔除已授权的访问数据的准确性及效率,进而能够进一步提高堡垒机绕行事件的检测效率及准确性,进而能够及时且准确地发现运维违规操作或安全入侵事件。
为了提高确定所述目标登陆数据记录中存在关联关系的应用节点的准确性及效率,在本申请提供的服务器访问风险监测方法的一个实施例,参见图6,所述服务器访问风险监测方法的步骤200具体包含有如下内容:
步骤210:根据所述目标日志清单中数据类型为所述配置管理应用节点信息对应的关键字段,确定所述目标登陆数据记录中存在关联关系的应用节点。
步骤220:提取所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据。
具体来说,访问数据通过IP信息在配置管理***关联出应用节点信息。目前企业中云环境部署较为普遍,应用***的同一类服务器可能有多台,部署有同样的程序模块,行为也一致,因此应将同一应用节点信息作为一类处理。
选取两个应用节点之间历史访问记录,利用Python中Pandas(处理数据)、Matplotlib(绘图)、Plot_date(时间序列图)库生成特征图。
正常情况下,两个应用节点之间会按照基本固定的时间间隔进行互访,如批处理作业、应用监控等,因此使用历史数据可以建立如图7所示的时间序列图。
其中,图7中的点代表第N行访问记录的时间tn,与第(N-1)行访问记录的时间tn-1之差。
从上述描述可知,本申请实施例提供的服务器访问风险监测方法,通过应用配置管理应用节点信息确定所述目标登陆数据记录中存在关联关系的应用节点,能够有效提高确定所述目标登陆数据记录中存在关联关系的应用节点的准确性及效率,进而能够进一步提高堡垒机绕行事件的检测效率及准确性,进而能够及时且准确地发现运维违规操作或安全入侵事件。
为了提高后续对每两个关联的应用节点之间的新增访问数据进行聚类的自动化程度及智能化程度,在本申请提供的服务器访问风险监测方法的一个实施例,所述服务器访问风险监测方法中的步骤300之前还具体包含有如下内容:
步骤001:获取设有堡垒机的服务器***的历史日志组合。
步骤002:对所述历史日志组合进行数据清洗及标准格式化处理,得到所述历史日志组合对应的历史日志清单。
步骤003:根据预设的访问风险数据特征,自所述历史日志清单中提取对应的存在绕行堡垒机行为的历史登陆数据记录。
步骤004:自所述历史登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的历史访问数据。
步骤005:根据每两个关联的应用节点之间的历史访问数据,分别生成每两个关联的应用节点对应的时间序列图。
在步骤001至步骤005中,历史数据与前述步骤100至200等中的目标数据处理的方式相同,区别仅是将实时获取的目标数据换成历史数据,例如,历史日志清单与目标日志清单存储的数据类型及格式等完全相同,仅为数据内容不同。
步骤006:应用基于密度的聚类算法,分别确定各个所述时间序列图中的应用互访簇和噪声数据。
在步骤006中,可以利用基于密度的聚类算法(DBSCAN),在图7所示的时间序列图中找出正常的应用互访的簇。首先根据审计经验确定对象的邻域半径r和邻域最小对象数目minpts的组合范围(r{m,n},minpts{p,q}),从一个未被扫描过的任意数据点P开始,以此点为中心,rm为半径的圆内包含的点的数量是否大于或等于minptsp,如果大于或等于minptsp则此点被标记核心对象centralpts,将这个邻域内的所有点都标记为同一簇,如果P不是一个centralpts,没有其他对象从P密度可达,则被标记为噪音noisepts。重复以上内容,直到所有的点都被扫描一遍,最后密度相连的对象被标记到同一簇中,即为应用之间正常访问记录,不包含在任何簇中的对象为噪声。
步骤007:采用循环迭代参数变量法,分别根据各个所述时间序列图各自对应的应用互访簇和噪声数据,生成每两个关联的应用节点之间的聚类模型。
在步骤007中,可以采用循环迭代参数变量法在组合范围(r{m,n},minpts{p,q})中选取出最优参数组合(r',minpts'),使得轮廓系数
Figure GDA0003817409320000131
最大,且噪声比(噪声数量/所有对象数目)最小,使用最优参数组合标记的结果为这两个应用节点之间的聚类模型。针对每两个应用节点之间历史访问记录,利用DBSCAN算法,重复上述内容,训练出每两个应用节点之间的聚类模型。
从上述描述可知,本申请实施例提供的服务器访问风险监测方法,通过根据每两个关联的应用节点之间的历史访问数据,分别生成每两个关联的应用节点对应的时间序列图;应用基于密度的聚类算法,分别确定各个所述时间序列图中的应用互访簇和噪声数据;采用循环迭代参数变量法,分别根据各个所述时间序列图各自对应的应用互访簇和噪声数据,生成每两个关联的应用节点之间的聚类模型,能够预先训练得到聚类模型,进而能够有效提高后续对每两个关联的应用节点之间的新增访问数据进行聚类的自动化程度及智能化程度,且能够进一步提高堡垒机绕行事件的智能化程度及准确性。
为了提高剔除所述目标登陆数据记录中的误报数据的自动化程度及智能化程度,在本申请提供的服务器访问风险监测方法的一个实施例,参见图8,所述服务器访问风险监测方法中的步骤300具体包含有如下内容:
步骤310:应用所述目标登陆数据记录中的每两个关联的应用节点之间的聚类模型,分别对每两个关联的应用节点之间的新增访问数据进行标记,并剔除每两个关联的应用节点之间的应用互访簇。
步骤320:若剔除所述应用互访簇后,所述目标登陆数据记录中还存在噪声数据,则将该噪声数据对应的数据记录确定为存在绕过堡垒机且登陆异常行为的服务器访问风险数据。
具体来说,可以使用已训练的模型对新数据进行标记。对每两个应用节点之间新的访问记录进行标记,剔除掉正常访问的簇,找到标记为噪声的点,其代表的第N行访问记录即为绕过堡垒机登陆异常行为。
从上述描述可知,本申请实施例提供的服务器访问风险监测方法,通过应用聚类模型对每两个关联的应用节点之间的新增访问数据进行聚类,能够有效提高剔除所述目标登陆数据记录中的误报数据的自动化程度及智能化程度,且能够进一步提高堡垒机绕行事件的智能化程度及准确性。
为了提高用户获知访问风险的效率及可靠性,并能够及时对访问风险进行风险控制,在本申请提供的服务器访问风险监测方法的一个实施例,参见图9,所述服务器访问风险监测方法中的步骤300之后还具体包含有如下内容:
步骤400:获取服务器访问风险数据对应的访问方式。
步骤500:根据所述服务器访问风险数据对应的访问方式对所述服务器访问风险数据进行对应的风险告警和/或风险阻断处理。
具体来说,可以针对通过运维终端直接访问服务器绕行事件,可以自动定位到运维终端及使用人员信息并生成告警信息发送至监控平台,同时中断堡垒机绕行登陆进程,并可以针对通过服务器跳转一次或多次的绕行事件,直接生成告警信息发送至监控平台,同时中断堡垒机绕行登陆进程。
从上述描述可知,本申请实施例提供的服务器访问风险监测方法,通过在将数据记录确定为服务器访问风险数据之后,对该服务器访问风险数据进行风险控制,能够有效提高用户获知访问风险的效率及可靠性,并能够及时对访问风险进行风险控制,以进一步提高搭建有堡垒机环境的服务器***的运行安全性及稳定性,同时能够大幅度减少人工审计成本,有效提升服务器***所属企业的信息安全管理能力,提高企业及运维人员的用户体验。
为了能够进一步提高用户获知访问风险的效率及可靠性,在本申请提供的服务器访问风险监测方法的一个实施例,参见图10,所述服务器访问风险监测方法中的步骤500的一种实现方式具体包含有如下内容:
步骤510:若所述服务器访问风险数据对应的访问方式为终端直接访问,则根据所述服务器访问风险数据对应的用户终端数据,自预设的索引表中查找早于所述服务器访问风险数据对应的登陆时间的最近一次用户登陆记录,以定位到所述服务器访问风险数据的操作用户的用户标识及用户终端标识;其中,所述索引表预先基于所述新增日志组合中的活动目录AD域(Active Directory Web)控服务器日志中的终端用户登陆日志生成。
步骤520:基于预设的接口标准报警事件格式生成所述服务器访问风险数据对应的告警事件,将所述告警事件发生至预设的监控平台上显示和/或控制对应的告警设备发出针对所述告警事件的声光告警提示。
步骤530:获取所述服务器访问风险数据对应的目标服务器,并基于所述堡垒机向所述目标服务器发送阻断指令,以使所述目标服务器阻断所述服务器访问风险数据对应的绕行登陆事件。
从上述描述可知,本申请实施例提供的服务器访问风险监测方法,通过对终端直接访问方式对应的服务器访问风险数据进行风险控制,能够进一步提高用户获知访问风险的效率及可靠性,并能够及时对访问风险进行风险控制,以进一步提高搭建有堡垒机环境的服务器***的运行安全性及稳定性,同时能够大幅度减少人工审计成本,有效提升服务器***所属企业的信息安全管理能力,提高企业及运维人员的用户体验。
为了能够进一步提高用户获知访问风险的效率及可靠性,在本申请提供的服务器访问风险监测方法的一个实施例,参见图11,所述服务器访问风险监测方法中的步骤500的另一种实现方式具体包含有如下内容:
步骤540:若所述服务器访问风险数据对应的访问方式为服务器跳转访问,则基于预设的接口标准报警事件格式生成所述服务器访问风险数据对应的告警事件,将所述告警事件发生至预设的监控平台上显示和/或控制对应的告警设备发出针对所述告警事件的声光告警提示。
步骤550:获取所述服务器访问风险数据对应的目标服务器,并基于所述堡垒机向所述目标服务器发送阻断指令,以使所述目标服务器阻断所述服务器访问风险数据对应的绕行登陆事件。
从上述描述可知,本申请实施例提供的服务器访问风险监测方法,通过对服务器跳转访问方式对应的服务器访问风险数据进行风险控制,能够进一步提高用户获知访问风险的效率及可靠性,并能够及时对访问风险进行风险控制,以进一步提高搭建有堡垒机环境的服务器***的运行安全性及稳定性,同时能够大幅度减少人工审计成本,有效提升服务器***所属企业的信息安全管理能力,提高企业及运维人员的用户体验。
从软件层面来说,为了解决当前尚未有专门针对搭建有堡垒机环境的服务器***进行堡垒机绕行行为监测的有利方式,因此存在堡垒机的安全控制失效,难以对用户操作进行追溯和审计,以及无法保证服务器***的运行安全性及稳定性等问题,本申请提供一种用于执行所述服务器访问风险监测方法中全部或部分内容的服务器访问风险监测装置的实施例,参见图12,所述服务器访问风险监测装置具体包含有如下内容:
数据监测模块10,用于根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录。
应用关联模块20,用于自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据。
风险确认模块30,用于基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,若剔除误报数据后的所述目标登陆数据记录中还存在数据记录,则将该数据记录确定为服务器访问风险数据。
本申请提供的服务器访问风险监测装置的实施例具体可以用于执行上述实施例中的服务器访问风险监测方法的实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
从上述描述可知,本申请实施例提供的服务器访问风险监测装置,通过根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录,能够有效实现对绕行堡垒机行为的目标登陆数据记录的自动监测,并能够提高堡垒机绕行事件的检测效率及检测全面性,以及时发现运维违规操作或安全入侵事件;通过自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据,并基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,若剔除误报数据后的所述目标登陆数据记录中还存在数据记录,则将该数据记录确定为服务器访问风险数据,能够实现对绕行堡垒机行为的目标登陆数据记录进行自动识别的基础上,还能够有效降低堡垒机绕行事件报警的误报率,能够有效提高堡垒机绕行事件的识别准确性及可靠性,进而能够有效提高搭建有堡垒机环境的服务器***的运行安全性及稳定性,同时能够大幅度减少人工审计成本,有效提升服务器***所属企业的信息安全管理能力,提高企业及运维人员的用户体验。
为了进一步说明本方案,本申请应用实例提供一种应用快速发现堡垒机绕行事件的监测***实现的服务器访问风险监测方法,涉及信息技术与信息安全领域,旨在利用收集的服务器日志信息判断是否发生堡垒机绕行事件,并通过堡垒机数据、终端日志、变更单、应用配置等信息提升运维违规操作或安全入侵事件监测的准确性,以及发生事件后定位问题的时效性。
服务器访问风险监测方法利用收集的服务器日志,通过对日志信息进行处理、分析,高效检测出堡垒机绕行事件,及时发现运维违规操作或安全入侵事件,同时降低事件报警的误报率,大幅度减少人工审计成本,有效提升企业信息安全管理能力。
运用特征匹配法和聚类算法,通过从企业内网采集服务器、堡垒机、终端日志和变更单、应用配置等信息,为发现是否存在非授权绕过堡垒机访问线上服务器提供分析基础,并通过自动化装置实现高效的监测、报警和处置,为检查运维违规操作或安全入侵事件提供了统一的监测及审计工具。
其中,参见图13,快速发现堡垒机绕行事件的监测***具体包含有如下内容:
数据采集模块1、数据分析模块2、风险处置模块3这三个部分组成。数据采集模块1的主要功能是从内网服务器、堡垒机、操作终端、AD域控服务器、变更单***、配置管理***中收集分析所需的各类日志和数据,同时进行数据预处理并建立数据索引。数据分析模块2的主要功能是根据输入的标准化数据,进行特征匹配,发现是否有堡垒机绕行行为,同时利用聚类算法,剔除误报数据,进一步提高监测准确性。风险处置模块3的主要功能是在AD域服务器日志中定位到运维终端及使用人员信息,生成告警信息输出至集中监控***,同时阻断风险事件。
1、数据采集模块
数据采集模块主要实现对各类数据的采集及格式化处理。
(1)数据采集单元:负责对服务器***日志(包括UNIX、Linux操作***SYSLOG日志、Windows操作***日志)、堡垒机日志、操作终端***日志(Windows操作***日志)、AD域控服务器日志(Windows操作***日志)、变更申请单信息、配置管理应用节点信息的数据采集。
(2)数据预处理单元:负责对各渠道采集到的数据信息进行清洗和标准化处理,保留后续分析使用的关键字段。预处理后的日志清单中的内容格式如表1所示。
数据索引单元:AD域控服务器日志,使用SQL语句查询出终端用户登陆日志生成索引表,在后续模块中提高查询定位速度。
2、数据分析模块
数据分析模块2负责根据特征匹配识别出堡垒机绕行记录,并自动剔除掉误报情况。参见图14,数据分析模块2,包括:
(1)特征匹配单元21:将预处理后的服务器***日志与预设的风险数据特征表(如表2)进行匹配初步识别出成功的绕行事件。
(2)授权数据处理单元22:将特征匹配单元21数据作为待分析样本,堡垒机日志、变更申请单信息作为比对样本,剔除掉已授权的访问数据。基本逻辑是:
a.通过和堡垒机设备管理数据中的IP或主机名比较,剔除未纳入堡垒机管理的设备登陆数据。
b.与堡垒机中的用户申请记录中的账号名称、IP或主机名进行比对,剔除已审批通过的用户登陆数据。
c.与变更申请单中变更方案中变更开始、结束时间、IP或主机名进行比对,剔除已审批通过的变更登陆数据。
应用互访数据处理单元23:负责对授权数据处理单元22的输出数据进行误报识别,利用聚类算法实现自动化识别模型,剔除应用正常互访记录,提高识别准确率。
访问数据通过IP信息在配置管理***关联出应用节点信息。目前企业中云环境部署较为普遍,应用***的同一类服务器可能有多台,部署有同样的程序模块,行为也一致,因此应将同一应用节点信息作为一类处理。
选取两个应用节点之间历史访问记录,利用Python中Pandas(处理数据)、Matplotlib(绘图)、Plot_date(时间序列图)库生成特征图。
正常情况下,两个应用节点之间会按照基本固定的时间间隔进行互访,如批处理作业、应用监控等,因此使用历史数据可以建立时间序列图(图7示例),图7中的点代表第N行访问记录的时间tn,与第(N-1)行访问记录的时间tn-1之差。
利用基于密度的聚类算法(DBSCAN),在图7中找出正常的应用互访的簇。首先根据审计经验确定对象的邻域半径r和邻域最小对象数目minpts的组合范围(r{m,n},minpts{p,q}),从一个未被扫描过的任意数据点P开始,以此点为中心,rm为半径的圆内包含的点的数量是否大于或等于minptsp,如果大于或等于minptsp则此点被标记核心对象centralpts,将这个邻域内的所有点都标记为同一簇,如果P不是一个centralpts,没有其他对象从P密度可达,则被标记为噪音noisepts。重复以上内容,直到所有的点都被扫描一遍,最后密度相连的对象被标记到同一簇中,即为应用之间正常访问记录,不包含在任何簇中的对象为噪声。
采用循环迭代参数变量法在组合范围(r{m,n},minpts{p,q})中选取出最优参数组合(r',minpts'),使得轮廓系数
Figure GDA0003817409320000191
最大,且噪声比(噪声数量/所有对象数目)最小,使用最优参数组合标记的结果为这两个应用节点之间的聚类模型。
针对每两个应用节点之间历史访问记录,利用DBSCAN算法,重复上述c和d项内容,训练出每两个应用节点之间的聚类模型。
使用已训练的模型对新数据进行标记。对每两个应用节点之间新的访问记录进行标记,剔除掉正常访问的簇,找到标记为噪声的点,其代表的第N行访问记录即为绕过堡垒机登陆异常行为。其中,处理前数据示例参见表3,处理后数据示例参见表4。
表3-处理前数据示例
Figure GDA0003817409320000192
表4-处理后数据示例
Figure GDA0003817409320000193
Figure GDA0003817409320000201
3、风险处置模块
风险处置模块3负责对数据分析模块2最终输出的堡垒机绕行事件进行风险处置,具体分为两种情况:
第一,针对通过运维终端直接访问服务器绕行事件,可以自动定位到运维终端及使用人员信息并生成告警信息发送至监控平台,同时中断堡垒机绕行登陆进程,即执行下述处置策略(1)(2)(3)。
第二,针对通过服务器跳转一次或多次的绕行事件,直接生成告警信息发送至监控平台,同时中断堡垒机绕行登陆进程,即执行下述处置策略(2)(3)。
处置策略具体包含有如下内容:
(1)自动定位单元:将堡垒机绕行事件中涉及源地址、主机名及登陆时间,在数据索引单元生成的索引表(AD域控服务器)中匹配到早于登陆时间的最近一次AD用户登陆记录,从而定位到操作人员的AD用户名及操作终端的主机名。下面定位日志示例中,参见表5;AD用户名为DCCJ-shir,主机名为PDCCJFPGASVR031。
表5-定位日志
Figure GDA0003817409320000202
(2)监控报警单元:按照开放平台集中监控***上送接口标准报警事件格式,输出至集中监控***生成告警信息,并在监控平台上显示。
(3)事件处置单元:从访问记录中获取会话ID,向堡垒机发送指令,通过堡垒机向发生绕行事件的目标服务器发送命令,断开该登陆进程。
参见图15,应用快速发现堡垒机绕行事件的监测***实现的服务器访问风险监测方法具体包含有如下内容:
步骤101:从企业内网获取各渠道日志信息:通过数据采集模块1的数据采集单元,从企业内网获取各渠道日志信息;
步骤102:将非格式化数据进行清洗、标准化处理后存储:通过数据采集模块1的数据预处理单元,将非格式化数据进行清洗、标准化处理后存储;
步骤103:从AD域服务器日志中查询终端用户登陆记录并生成索引表:通过数据采集模块1的数据索引单元,从AD域服务器日志中查询终端用户登陆记录并生成索引表;
步骤104:将预处理后的服务器***日志与预设的特征表进行匹配初步识别出成功的绕行事件:通过数据分析模块2特征匹配单元21,将预处理后的服务器***日志与预设的特征表进行匹配初步识别出成功的绕行事件;
步骤105:从成功的绕行事件中剔除掉已授权的访问数据:通过数据分析模块2授权数据处理单元22,从成功的绕行事件中剔除掉已授权的访问数据;
步骤106:判断授权数据处理单元22后的输出数据是否存在误报情况,通过聚类算法构建分类模型以实现自动化识别模型:通过数据分析模块2应用互访数据处理单元23,判断授权数据处理单元22后的数据是否存在误报情况,通过聚类算法构建分类模型以实现自动化识别模型;
针对通过运维终端直接访问服务器绕行事件,执行步骤107-109,针对通过服务器跳转一次或多次的绕行事件,执行步骤108-109:
步骤107:在索引表中匹配到早于登陆时间的最近一次AD用户登陆记录,定位到人及其终端:通过风险处置模块3自动定位单元,在索引表中匹配到早于登陆时间的最近一次AD用户登陆记录,定位到运维终端及使用人员信息;
步骤108:自动生成告警事件并在监控平台上展示:通过风险处置模块3监控报警单元,自动生成告警事件并在监控平台上展示;
步骤109:通过堡垒机向目标服务器发送命令,阻断绕行登陆事件:通过风险处置模块3事件处置单元,通过堡垒机向目标服务器发送命令,阻断绕行登陆事件。
本申请应用实例通过收集的企业内网服务器、堡垒机、终端日志和变更单、应用配置等信息,高效检测出堡垒机绕行事件。与现有检测及审计手段相比,本申请应用实例的提出具有以下效果和优点:
1、适用范围广。本申请应用实例适用于所有可以产生设备日志的服务器,包括UNIX、Linux、Windows服务器等。
2、对服务器入侵性小,可以覆盖全量服务器。本申请应用实例采用对服务器产生的日志进行处理分析,而服务器日志通常是实施运行监控、满足监管要求等需求的必须项,因此本申请应用实例无需服务器进行升级改造,不额外占用***资源,日志的采集范围有多广,监测的覆盖范围就有多广。
3、提升了监测的准确性和应用灵活性。本申请应用实例利用聚类算法,自动剔除了应用间正常互访的情况,并结合变更单信息及堡垒机、终端日志,识别出已授权的情况,大幅度降低了监测的误报率。此外,本申请应用实例对单台服务器的日志连续性要求不高,对于选取实时日志的情况,可以实现准实时的异常检测;对于选取往期日志的情况,可以实现事后的异常检测,具有较高的应用灵活性。
4、提升了安全运维的审计效率。在日常运维过程中,可以通过逐台登陆服务器查看***日志,人工判断是否发生了非授权的绕行访问。本申请应用实例是基于企业已经收集的服务器日志,进行处理、分析,实现了对堡垒机绕行事件的自动化全量监测,极大地提升了审计效率。
从硬件层面来说,为了解决当前尚未有专门针对搭建有堡垒机环境的服务器***进行堡垒机绕行行为监测的有利方式,因此存在堡垒机的安全控制失效,难以对用户操作进行追溯和审计,以及无法保证服务器***的运行安全性及稳定性等问题,本申请提供一种用于实现所述服务器访问风险监测方法中的全部或部分内容的电子设备的实施例,所述电子设备具体包含有如下内容:
图16为本申请实施例的电子设备9600的***构成的示意框图。如图16所示,该电子设备9600可以包括中央处理器9100和存储器9140;存储器9140耦合到中央处理器9100。值得注意的是,该图16是示例性的;还可以使用其他类型的结构,来补充或代替该结构,以实现电信功能或其他功能。
在一实施例中,服务器访问风险监测功能可以被集成到中央处理器中。其中,中央处理器可以被配置为进行如下控制:
步骤100:根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录。
步骤200:自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据。
步骤300:基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,若剔除误报数据后的所述目标登陆数据记录中还存在数据记录,则将该数据记录确定为服务器访问风险数据。
从上述描述可知,本申请实施例提供的电子设备,通过根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录,能够有效实现对绕行堡垒机行为的目标登陆数据记录的自动监测,并能够提高堡垒机绕行事件的检测效率及检测全面性,以及时发现运维违规操作或安全入侵事件;通过自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据,并基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,若剔除误报数据后的所述目标登陆数据记录中还存在数据记录,则将该数据记录确定为服务器访问风险数据,能够实现对绕行堡垒机行为的目标登陆数据记录进行自动识别的基础上,还能够有效降低堡垒机绕行事件报警的误报率,能够有效提高堡垒机绕行事件的识别准确性及可靠性,进而能够有效提高搭建有堡垒机环境的服务器***的运行安全性及稳定性,同时能够大幅度减少人工审计成本,有效提升服务器***所属企业的信息安全管理能力,提高企业及运维人员的用户体验。
在另一个实施方式中,服务器访问风险监测装置可以与中央处理器9100分开配置,例如可以将服务器访问风险监测装置配置为与中央处理器9100连接的芯片,通过中央处理器的控制来实现服务器访问风险监测功能。
如图16所示,该电子设备9600还可以包括:通信模块9110、输入单元9120、音频处理器9130、显示器9160、电源9170。值得注意的是,电子设备9600也并不是必须要包括图16中所示的所有部件;此外,电子设备9600还可以包括图16中没有示出的部件,可以参考现有技术。
如图16所示,中央处理器9100有时也称为控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该中央处理器9100接收输入并控制电子设备9600的各个部件的操作。
其中,存储器9140,例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息,此外还可存储执行有关信息的程序。并且中央处理器9100可执行该存储器9140存储的该程序,以实现信息存储或处理等。
输入单元9120向中央处理器9100提供输入。该输入单元9120例如为按键或触摸输入装置。电源9170用于向电子设备9600提供电力。显示器9160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器,但并不限于此。
该存储器9140可以是固态存储器,例如,只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器,其即使在断电时也保存信息,可被选择性地擦除且设有更多数据,该存储器的示例有时被称为EPROM等。存储器9140还可以是某种其它类型的装置。存储器9140包括缓冲存储器9141(有时被称为缓冲器)。存储器9140可以包括应用/功能存储部9142,该应用/功能存储部9142用于存储应用程序和功能程序或用于通过中央处理器9100执行电子设备9600的操作的流程。
存储器9140还可以包括数据存储部9143,该数据存储部9143用于存储数据,例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器9140的驱动程序存储部9144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
通信模块9110即为经由天线9111发送和接收信号的发送机/接收机9110。通信模块(发送机/接收机)9110耦合到中央处理器9100,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。
基于不同的通信技术,在同一电子设备中,可以设置有多个通信模块9110,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)9110还经由音频处理器9130耦合到扬声器9131和麦克风9132,以经由扬声器9131提供音频输出,并接收来自麦克风9132的音频输入,从而实现通常的电信功能。音频处理器9130可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器9130还耦合到中央处理器9100,从而使得可以通过麦克风9132能够在本机上录音,且使得可以通过扬声器9131来播放本机上存储的声音。
本申请的实施例还提供能够实现上述实施例中的服务器访问风险监测方法中全部步骤的一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中的执行主体为服务器或客户端的服务器访问风险监测方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
步骤100:根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录。
步骤200:自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据。
步骤300:基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,若剔除误报数据后的所述目标登陆数据记录中还存在数据记录,则将该数据记录确定为服务器访问风险数据。
从上述描述可知,本申请实施例提供的计算机可读存储介质,通过根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录,能够有效实现对绕行堡垒机行为的目标登陆数据记录的自动监测,并能够提高堡垒机绕行事件的检测效率及检测全面性,以及时发现运维违规操作或安全入侵事件;通过自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据,并基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,若剔除误报数据后的所述目标登陆数据记录中还存在数据记录,则将该数据记录确定为服务器访问风险数据,能够实现对绕行堡垒机行为的目标登陆数据记录进行自动识别的基础上,还能够有效降低堡垒机绕行事件报警的误报率,能够有效提高堡垒机绕行事件的识别准确性及可靠性,进而能够有效提高搭建有堡垒机环境的服务器***的运行安全性及稳定性,同时能够大幅度减少人工审计成本,有效提升服务器***所属企业的信息安全管理能力,提高企业及运维人员的用户体验。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (13)

1.一种服务器访问风险监测方法,其特征在于,包括:
根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录;
自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据;
基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,若剔除误报数据后的所述目标登陆数据记录中还存在数据记录,则将该数据记录确定为服务器访问风险数据。
2.根据权利要求1所述的服务器访问风险监测方法,其特征在于,在所述根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录之前,还包括:
实时或以预设的时间间隔周期性采集设有堡垒机的服务器***的当前的新增日志组合,其中,所述新增日志组合中的数据类型包括:服务器***日志、操作终端***日志、堡垒机日志、变更申请单和配置管理应用节点信息和AD域控服务器日志;
对所述新增日志组合进行数据清洗及标准格式化处理,得到所述新增日志组合对应的目标日志清单,其中,该目标日志清单用于存储各个所述数据类型和关键字段之间的对应关系。
3.根据权利要求2所述的服务器访问风险监测方法,其特征在于,所述根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录,包括:
获取预存储的访问风险数据特征表,其中,该访问风险数据特征表用于存储服务器***日志、特征字段、特征值和特征描述之间的对应关系;
将所述目标日志清单中数据类型为所述服务器***日志所对应的关键字段与所述访问风险数据特征表进行匹配,识别得到所述服务器***日志对应的关键字段中存在绕行堡垒机行为的初始登陆数据记录;
剔除所述初始登陆数据记录中已授权的访问数据,得到对应的存在绕行堡垒机行为的目标登陆数据记录。
4.根据权利要求3所述的服务器访问风险监测方法,其特征在于,所述剔除所述初始登陆数据记录中已授权的访问数据,包括:
根据所述目标日志清单中数据类型为所述堡垒机日志所对应的关键字段,分别剔除所述初始登陆数据记录中未纳入堡垒机管理的设备对应的数据记录以及已审批通过的用户对应的数据记录;
以及,根据所述目标日志清单中数据类型为所述变更申请单所对应的关键字段,剔除所述初始登陆数据记录中已审批通过的变更登陆数据记录。
5.根据权利要求2所述的服务器访问风险监测方法,其特征在于,所述自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据,包括:
根据所述目标日志清单中数据类型为所述配置管理应用节点信息对应的关键字段,确定所述目标登陆数据记录中存在关联关系的应用节点;
提取所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据。
6.根据权利要求1所述的服务器访问风险监测方法,其特征在于,在所述基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据之前,还包括:
获取设有堡垒机的服务器***的历史日志组合;
对所述历史日志组合进行数据清洗及标准格式化处理,得到所述历史日志组合对应的历史日志清单;
根据预设的访问风险数据特征,自所述历史日志清单中提取对应的存在绕行堡垒机行为的历史登陆数据记录;
自所述历史登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的历史访问数据;
根据每两个关联的应用节点之间的历史访问数据,分别生成每两个关联的应用节点对应的时间序列图;
应用基于密度的聚类算法,分别确定各个所述时间序列图中的应用互访簇和噪声数据;
采用循环迭代参数变量法,分别根据各个所述时间序列图各自对应的应用互访簇和噪声数据,生成每两个关联的应用节点之间的聚类模型。
7.根据权利要求6所述的服务器访问风险监测方法,其特征在于,所述基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,包括:
应用所述目标登陆数据记录中的每两个关联的应用节点之间的聚类模型,分别对每两个关联的应用节点之间的新增访问数据进行标记,并剔除每两个关联的应用节点之间的应用互访簇;
若剔除所述应用互访簇后,所述目标登陆数据记录中还存在噪声数据,则将该噪声数据对应的数据记录确定为存在绕过堡垒机且登陆异常行为的服务器访问风险数据。
8.根据权利要求1至7任一项所述的服务器访问风险监测方法,其特征在于,还包括:
获取服务器访问风险数据对应的访问方式;
根据所述服务器访问风险数据对应的访问方式对所述服务器访问风险数据进行对应的风险告警和/或风险阻断处理。
9.根据权利要求8所述的服务器访问风险监测方法,其特征在于,所述根据所述服务器访问风险数据对应的访问方式对所述服务器访问风险数据进行对应的风险告警和/或风险阻断处理,包括:
若所述服务器访问风险数据对应的访问方式为终端直接访问,则根据所述服务器访问风险数据对应的用户终端数据,自预设的索引表中查找早于所述服务器访问风险数据对应的登陆时间的最近一次用户登陆记录,以定位到所述服务器访问风险数据的操作用户的用户标识及用户终端标识;
其中,所述索引表预先基于所述新增日志组合中的AD域控服务器日志中的终端用户登陆日志生成;
基于预设的接口标准报警事件格式生成所述服务器访问风险数据对应的告警事件,将所述告警事件发生至预设的监控平台上显示和/或控制对应的告警设备发出针对所述告警事件的声光告警提示;
获取所述服务器访问风险数据对应的目标服务器,并基于所述堡垒机向所述目标服务器发送阻断指令,以使所述目标服务器阻断所述服务器访问风险数据对应的绕行登陆事件。
10.根据权利要求8所述的服务器访问风险监测方法,其特征在于,所述根据所述服务器访问风险数据对应的访问方式选取对应的访问风险控制方式,以基于该访问风险控制方式对所述服务器访问风险数据进行风险告警和/或风险阻断处理,包括:
若所述服务器访问风险数据对应的访问方式为服务器跳转访问,则基于预设的接口标准报警事件格式生成所述服务器访问风险数据对应的告警事件,将所述告警事件发生至预设的监控平台上显示和/或控制对应的告警设备发出针对所述告警事件的声光告警提示;
获取所述服务器访问风险数据对应的目标服务器,并基于所述堡垒机向所述目标服务器发送阻断指令,以使所述目标服务器阻断所述服务器访问风险数据对应的绕行登陆事件。
11.一种服务器访问风险监测装置,其特征在于,包括:
数据监测模块,用于根据预设的访问风险数据特征,在设有堡垒机的服务器***当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录;
应用关联模块,用于自所述目标登陆数据记录中确定存在关联关系的应用节点,并提取每两个关联的应用节点之间的新增访问数据;
风险确认模块,用于基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据,若剔除误报数据后的所述目标登陆数据记录中还存在数据记录,则将该数据记录确定为服务器访问风险数据。
12.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至10任一项所述的服务器访问风险监测方法。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至10任一项所述的服务器访问风险监测方法。
CN202110824847.1A 2021-07-21 2021-07-21 服务器访问风险监测方法及装置 Active CN113572757B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110824847.1A CN113572757B (zh) 2021-07-21 2021-07-21 服务器访问风险监测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110824847.1A CN113572757B (zh) 2021-07-21 2021-07-21 服务器访问风险监测方法及装置

Publications (2)

Publication Number Publication Date
CN113572757A CN113572757A (zh) 2021-10-29
CN113572757B true CN113572757B (zh) 2022-10-11

Family

ID=78166140

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110824847.1A Active CN113572757B (zh) 2021-07-21 2021-07-21 服务器访问风险监测方法及装置

Country Status (1)

Country Link
CN (1) CN113572757B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114117311B (zh) * 2022-01-25 2022-04-19 深圳红途科技有限公司 数据访问风险检测方法、装置、计算机设备及存储介质
CN115083030A (zh) * 2022-05-18 2022-09-20 中诚信征信有限公司 一种业务巡检方法、装置及电子设备
CN117061368A (zh) * 2023-08-21 2023-11-14 北京优特捷信息技术有限公司 绕行堡垒机行为的自动识别方法、装置、设备与介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106778136A (zh) * 2016-12-19 2017-05-31 广州市申迪计算机***有限公司 一种甄别绕行登录事件的审计方法
CN108076012A (zh) * 2016-11-14 2018-05-25 百度在线网络技术(北京)有限公司 异常登录判断方法及装置
CN110300027A (zh) * 2019-06-29 2019-10-01 西安交通大学 一种异常登录检测方法
WO2020016906A1 (en) * 2018-07-16 2020-01-23 Sriram Govindan Method and system for intrusion detection in an enterprise
CN111581046A (zh) * 2020-03-19 2020-08-25 平安科技(深圳)有限公司 数据异常检测方法、装置、电子设备及存储介质
CN111585955A (zh) * 2020-03-31 2020-08-25 中南大学 一种http请求异常检测方法及***

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108076012A (zh) * 2016-11-14 2018-05-25 百度在线网络技术(北京)有限公司 异常登录判断方法及装置
CN106778136A (zh) * 2016-12-19 2017-05-31 广州市申迪计算机***有限公司 一种甄别绕行登录事件的审计方法
WO2020016906A1 (en) * 2018-07-16 2020-01-23 Sriram Govindan Method and system for intrusion detection in an enterprise
CN110300027A (zh) * 2019-06-29 2019-10-01 西安交通大学 一种异常登录检测方法
CN111581046A (zh) * 2020-03-19 2020-08-25 平安科技(深圳)有限公司 数据异常检测方法、装置、电子设备及存储介质
CN111585955A (zh) * 2020-03-31 2020-08-25 中南大学 一种http请求异常检测方法及***

Also Published As

Publication number Publication date
CN113572757A (zh) 2021-10-29

Similar Documents

Publication Publication Date Title
CN113572757B (zh) 服务器访问风险监测方法及装置
CN113098870B (zh) 一种网络诈骗检测方法、装置、电子设备及存储介质
CN110855676B (zh) 网络攻击的处理方法、装置及存储介质
CN109840591A (zh) 模型训练***、方法和存储介质
CN110609937A (zh) 一种爬虫识别方法及装置
CN111404937B (zh) 一种服务器漏洞的检测方法和装置
CN111931189B (zh) Api接口转用风险检测方法、装置和api服务***
CN115134099B (zh) 基于全流量的网络攻击行为分析方法及装置
CN113542227A (zh) 账号安全防护方法、装置、电子装置和存储介质
CN113794276A (zh) 一种基于人工智能的配电网终端安全行为监测***及方法
CN112184241B (zh) 一种身份认证的方法及装置
CN107463839A (zh) 一种管理应用程序的***和方法
CN108123961A (zh) 信息处理方法、装置及***
CN115174205A (zh) 一种网络空间安全实时监测方法、***及计算机存储介质
CN110191097A (zh) 登录页面安全性的检测方法、***、设备及存储介质
CN113836237A (zh) 对数据库的数据操作进行审计的方法及装置
CN115801305B (zh) 一种网络攻击的检测识别方法及相关设备
CN113297583B (zh) 漏洞风险分析方法、装置、设备及存储介质
CN116049822A (zh) 应用程序的监管方法、***、电子设备及存储介质
CN115296888A (zh) 数据雷达监测***
CN114416507A (zh) 通信行为监控方法、装置、计算机设备及存储介质
CN109412861B (zh) 一种终端网络建立安全关联展示方法
CN113297241A (zh) 网络流量的判断方法、装置、设备、介质和程序产品
CN108768987B (zh) 数据交互方法、装置及***
CN114189585A (zh) 骚扰电话异常检测方法、装置及计算设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant