CN113821425A - 信任风险事件的追踪方法、装置、电子设备和存储介质 - Google Patents

信任风险事件的追踪方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN113821425A
CN113821425A CN202111160357.2A CN202111160357A CN113821425A CN 113821425 A CN113821425 A CN 113821425A CN 202111160357 A CN202111160357 A CN 202111160357A CN 113821425 A CN113821425 A CN 113821425A
Authority
CN
China
Prior art keywords
snapshot
trust
data
analysis
risk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111160357.2A
Other languages
English (en)
Other versions
CN113821425B (zh
Inventor
李溢
何春林
段继平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Original Assignee
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qax Technology Group Inc, Secworld Information Technology Beijing Co Ltd filed Critical Qax Technology Group Inc
Priority to CN202111160357.2A priority Critical patent/CN113821425B/zh
Publication of CN113821425A publication Critical patent/CN113821425A/zh
Application granted granted Critical
Publication of CN113821425B publication Critical patent/CN113821425B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • G06F16/128Details of file system snapshots on the file-level, e.g. snapshot creation, administration, deletion
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/172Caching, prefetching or hoarding of files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9027Trees
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种信任风险事件的追踪方法、装置、电子设备和存储介质。其中的方法包括:对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中;根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到快照数据库中;根据风险分析结果进行信任分析,根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到快照数据库中。应用本发明可以在获得信任计算结果后,对于产生结果的原因实现对具体风险事件的追踪。

Description

信任风险事件的追踪方法、装置、电子设备和存储介质
技术领域
本申请涉及网络安全技术领域,尤其涉及一种信任风险事件的追踪方法、装置、电子设备和存储介质。
背景技术
在零信任领域中,平台或应用的安全访问边界不再是传统的局域网等物理边界。用户每一次使用资源的权限都是被严格限制的,因此,当用户需要访问某些资源且被动态授权时,管理员和/或用户等都可能希望能够追踪到该用户被动态授权的具体原因。
例如,当用户在使用零信任整体解决方案时,如果用户在使用设备登录并需要访问某个应用时,该用户的访问被阻断,此时的管理员和/或用户可能仅知道该用户的访问被阻断了,但并不知道该用户的访问被阻断的具体原因,管理员也并不清楚现有零信任方案中的实施效果。也就是说,在现有技术中的零信任***中,如果仅获知信任计算结果,虽然能实现实现动态授权和访问控制,但当用户的访问被阻断时,用户无法知道被阻断的具体原因,也就无法知道具体应该如何才能解决现有的风险,恢复或获得相应的访问权限。
另外,现有技术中的零信任***中所使用的很多溯源追踪技术都仅考虑了现有场景和***的溯源需求,而没有对于扩展性有相应的设计。
此外,现有技术中大多是基于单一数据源的数据,而并未考虑不同数据源在溯源***中的数据统一性。
发明内容
有鉴于此,本发明提供了一种信任风险事件的追踪方法、装置、电子设备和存储介质,从而可以在获得信任计算结果后,对于产生结果的原因实现对具体风险事件的追踪。
第一方面,本发明实施例提供了一种信任风险事件的追踪方法,该方法包括:
对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中;
根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到快照数据库中;
根据风险分析结果进行信任分析,根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到快照数据库中。
进一步的,该方法还进一步包括:
根据信任分析结果和对应的信任等级快照数据查询相对应的风险事件。
进一步的,所述根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到快照数据库中包括:
根据预留字段和风险分析结果中的风险事件中的关键数据生成对应的风险分析快照数据,并将所述风险分析快照数据存储到快照数据库中,且在快照数据库中为所述风险分析快照数据设置一个唯一的快照标识。
进一步的,所述根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到快照数据库中包括:
根据预留字段中的字段、信任分析结果中的关键数据以及各个风险事件对应的风险分析快照数据的快照标识,生成对应的信任分析快照数据,并将所述信任分析快照数据存储到快照数据库中,且在快照数据库中为所述信任分析快照数据设置一个唯一的快照标识;
根据预留字段中的字段、信任分析结果中各个事件对应的信任等级以及各个风险事件对应的信任分析快照数据的快照标识,生成信任等级快照数据,并将所述信任等级快照数据存储到快照数据库中,且在快照数据库中为所述信任等级快照数据设置一个唯一的快照标识。
进一步的,所述信任分析快照数据中携带有对应的各个风险分析快照数据的快照标识的信息;
所述信任等级快照数据中携带有各个事件对应的信任分析快照数据的快照标识的信息。
进一步的,根据各种快照数据的快照标识组成一个溯源树,将信任等级快照数据的快照标识作为溯源树的根节点,将对应的各条信任分析快照数据的快照标识作为溯源树的中间结点,将各条风险分析快照数据的快照标识作为溯源树的叶子结点。
进一步的,该方法还进一步包括:
根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据,生成相应的数据列表。
进一步的,所述数据为单一来源或多个来源的日志数据。
进一步的,所述日志数据为应用访问数据、API调用数据、用户认证数据中的任意一种数据或任意多种数据的组合。
进一步的,所述风险事件包括:内部风险事件和外部风险事件。
第二方面,本发明实施例还提供了一种信任风险事件的追踪装置,所述追踪装置包括:数据处理模块、风险分析模块、信任分析模块和快照数据库;
所述数据处理模块,用于对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中;
所述风险分析模块,用于根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据发送给快照数据库,将风险分析结果发送给所述信任分析模块;
所述信任分析模块,用于根据风险分析结果进行信任分析,生成并输出信任分析结果;根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据发送给快照数据库;
所述快照数据库,用于存储风险分析快照数据、信任分析快照数据和信任等级快照数据,为每一条风险分析快照数据、信任分析快照数据和信任等级快照数据均设置一个唯一的快照标识,并将风险分析快照数据、信任分析快照数据和信任等级快照数据的快照标识发送给信任分析模块。
进一步的,所述追踪装置还进一步包括:写入模块;
所述风险分析模块将风险分析快照数据发送给所述写入模块;
所述信任分析模块将信任分析快照数据和信任等级快照数据发送给所述写入模块;
所述写入模块,用于将接收到的风险分析快照数据、信任分析快照数据和信任等级快照数据存储到快照数据库中。
进一步的,所述追踪装置还进一步包括:查询模块;
所述查询模块与所述快照数据库连接,用于根据信任分析结果和对应的信任等级快照数据查询相对应的风险事件。
进一步的,所述查询模块还用于根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据,生成相应的数据列表。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器、总线及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如第一方面所述信任风险事件的追踪方法的步骤。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如第一方面所述信任风险事件的追踪方法的步骤。
如上可见,在本发明中的信任风险事件的追踪方法、装置、电子设备和存储介质中,由于在对数据进行处理时,将数据中的预先指定的字段写入到预设的预留字段中;然后根据处理后的数据进行风险分析,生成风险分析快照数据并存储到快照中;再根据风险分析结果进行信任分析,生成对应的信任分析快照数据和信任等级快照数据并存储到快照中,从而可以在获得信任计算结果(即信任分析结果)后,对于产生结果的原因实现对具体风险事件的追踪。
附图说明
图1为本发明实施例中的信任风险事件的追踪方法的流程示意图。
图2为本发明实施例中的信任风险事件的追踪装置的示意图。
图3为本发明实施例中的溯源树的示意图。
图4为本发明一个实施例中的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
图1为本发明实施例中的信任风险事件的追踪方法的流程图。
如图1所示,本发明实施例中的信任风险事件的追踪方法包括如下所述步骤:
步骤11,对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中。
在本发明的技术方案中,在接收到数据后,将先对所接收到的数据进行处理。
例如,作为示例,在本发明的一个较佳的具体实施例中,所述数据可以是各种日志数据。
例如,作为示例,在本发明的一个较佳的具体实施例中,所述日志数据可以是应用访问数据、API调用数据、用户认证数据中的任意一种数据或任意多种数据的组合。
因此,在本发明的技术方案中,并不仅限于对单一来源的日志数据进行处理和分析,也可以对多源(即多个来源)的日志数据进行处理和分析。
具体来说,例如,作为示例,在本发明的一个较佳的具体实施例中,在接收到日志数据后,可以将该日志数据中的一些字段(即预先指定或确定的字段,例如,用户或管理员比较关注的一些字段)提取出来,并将提取出来的字段写入到与该日志数据对应的预留字段中。
例如,作为示例,在本发明的一个较佳的具体实施例中,当用户A使用一台未曾使用过的且携带有病毒的计算机B在某个“统一登录平台”登录时,所接收到的日志数据为该用户A使用计算机B进行登录时的登录日志数据(用户认证数据中的一种数据)。此时,可以对该登录日志数据进行处理,将该登录日志数据中的预先指定的字段(例如,该用户A的用户ID、用户名、登录时的IP地址以及计算机B的设备ID等)提取出来,并将提取出来的字段写入到与该登录日志数据对应的预留字段中。
步骤12,根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到快照数据库中。
在本发明的技术方案中,在对接收到的日志数据进行处理之后,还将根据处理后的数据进行风险分析,并得到风险分析结果。其中,该风险分析结果中可能会包括风险事件,而所述风险事件可以包括两类事件:内部风险事件和外部风险事件。其中,内部风险事件一般是指***通过自动分析发现的风险事件,而外部风险事件一般是指从***外部获知的风险事件,例如,从***接入的第三方风险发现平台获知的风险事件等。
在根据处理后的数据进行风险分析时,如果产生了风险事件,则可以根据预留字段和风险分析结果生成对应的风险分析快照数据,并将所生成的风险分析快照数据存储到预设的快照数据库中,且为该风险分析快照数据设置一个唯一的快照标识(ID)。
例如,作为示例,在本发明的一个较佳的具体实施例中,假设上述的用户A使用未曾使用过的且携带有病毒的计算机B在“统一登录平台”登录。在对登录日志数据进行处理之后,还将根据处理后的数据进行风险分析,并得到风险分析结果。此时,该风险分析结果包括:内部风险事件和外部风险事件;其中,内部风险事件为:用户A使用了新的设备(即计算机B)登录;而外部风险事件为:计算机B中携带有病毒。
此时,可以根据预留字段和风险分析结果中的风险事件中的关键数据生成对应的风险分析快照数据,并将该风险分析快照数据存储到预设的快照数据库中,且在快照数据库中为该风险分析快照数据设置一个唯一的快照标识(ID)。
例如,作为示例,对于风险分析结果中的上述内部风险事件,可以将预留字段和内部风险事件中的关键数据(举例来说,用于描述事件的关键信息。例如,所述关键数据可以是:用户标识、设备标识、时间和事件标识等信息,也可以是其它的关键信息)传输给写入模块;而写入模块则可将预留字段中的字段取出,并根据所取出的字段以及内部风险事件中的关键数据生成一条风险分析快照数据,并将该风险分析快照数据存储到预设的快照数据库中。快照数据库将为该风险分析快照数据设置一个唯一的快照标识(即快照ID),例如,快照ID01。
同理,作为示例,对于风险分析结果中的上述外部风险事件,也可以将预留字段和外部风险事件中的关键数据(例如,所述关键数据也可以是:用户标识、设备标识、时间、事件标识等信息,也可以是其它的关键信息)传输给写入模块;而写入模块则可将预留字段中的字段取出,并根据所取出的字段以及外部风险事件中的关键数据生成一条风险分析快照数据,并将该风险分析快照数据也存储到预设的快照数据库中。快照数据库也将为该风险分析快照数据设置一个唯一的快照ID,例如,快照ID02。
因此可知,通过上述的步骤,就可以在根据处理后的数据进行风险分析,并在得到的风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到预设的快照数据库中,且为每一条风险分析快照数据都分别设置一个唯一的快照ID。
通过上述的操作,即可完成在风险分析阶段对所接收到的各种日志数据的标记(即如果产生风险事件,则可通过风险分析快照数据以及相应的快照ID对日志数据进行标记)。
步骤13,根据风险分析结果进行信任分析,根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到快照数据库中。
在本发明的技术方案中,在根据处理后的数据进行风险分析得到风险分析结果之后,如果风险分析结果中包括风险事件,则还将对风险分析结果进行信任分析,并得到信任分析结果。其中,该信任分析结果中可以包括:对风险事件的分析结果以及各个风险事件对应的信任等级。
在得到信任分析结果之后,可以根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到预设的快照数据库中,且为信任分析快照数据和信任等级快照数据均设置一个唯一的快照ID。
例如,作为示例,在本发明的一个较佳的具体实施例中,假设上述的用户A使用未曾使用过的且携带有病毒的计算机B在“统一登录平台”登录时,产生了上述的内部风险事件和外部风险事件,则在本步骤中,将根据上述的内部风险事件和外部风险事件分别进行信任分析,并分别得到信任分析结果;然后,再根据上述的预留字段中的字段、信任分析结果中的关键数据以及各个风险事件对应的风险分析快照数据的快照ID,生成对应的信任分析快照数据,并将信任分析快照数据存储到预设的快照数据库中,且在快照数据库中为所述信任分析快照数据设置一个唯一的快照标识。
例如,作为示例,在本发明的一个较佳的具体实施例中,当风险分析结果中出现内部风险事件时,将对该内部风险事件进行信任分析,得到相应的信任分析结果;然后,再根据预留字段中的字段、信任分析结果中的关键数据(举例来说,用于描述结果的关键信息。例如,所述关键数据可以是:用户标识、设备标识、时间等信息,也可以是其它的关键信息)以及该内部风险事件对应的风险分析快照数据的快照ID(例如,快照ID01),生成一条信任分析快照数据,并将该信任分析快照数据也存储到预设的快照数据库中。快照数据库也将为该信任分析快照数据设置一个唯一的快照ID,例如,快照ID03。也就是说,快照ID03所对应的信任分析快照数据中携带有对应的风险分析快照数据的快照ID01的信息。
同理,作为示例,在本发明的一个较佳的具体实施例中,当风险分析结果中出现外部风险事件时,将对该外部风险事件进行信任分析,得到相应的信任分析结果;然后,再根据预留字段中的字段、该信任分析结果中的关键数据(例如,所述关键数据也可以是:用户标识、设备标识、时间等信息,也可以是其它的关键信息)以及该外部风险事件对应的风险分析快照数据的快照ID(例如,快照ID02),生成一条信任分析快照数据,并将该信任分析快照数据也存储到预设的快照数据库中。快照数据库也将为该信任分析快照数据设置一个唯一的快照ID,例如,快照ID04。也就是说,快照ID04所对应的信任分析快照数据中携带有对应的风险分析快照数据的快照ID02的信息。
另外,在本发明的技术方案中,在对风险分析结果进行信任分析时,该信任分析阶段可以由多层的分析组成,从而可以对风险分析结果中的各个风险事件逐层进行多层分析。
当对风险事件进行第一层分析时,可以生成与该风险事件对应的第一层的信任分析快照数据并存储到快照数据库中,具体生成方法与上述内部风险事件和外部风险事件的信任分析快照数据的生成方法相同,在此不再赘述。
当对风险事件进行第二层分析时,可以按照生成上述第一层的信任分析快照数据时所使用的相同或相类似的方法,生成与该风险事件对应的第二层的信任分析快照数据并存储到快照数据库中,并使得该第二层的信任分析快照数据中还携带有第一层的信任分析快照数据的快照ID;依次类推,直至生成最后一层的信任分析快照数据,并存储到快照数据库中。
也就是说,在进行某一层的分析时,所生成的信任分析快照数据中都携带有上一层分析所生成的信任分析快照数据的ID,从而可以便于在后续的查询过程进行溯源。
另外,作为示例,在本发明的一个较佳的具体实施例中,在对风险分析结果进行信任分析之后,还将根据预留字段中的字段、信任分析结果中各个事件对应的信任等级以及各个事件对应的信任分析快照数据的快照ID,生成信任等级快照数据,并将该信任等级快照数据存储到预设的快照数据库中。快照数据库将为该信任等级快照数据也设置一个唯一的快照ID(例如,快照ID05)。也就是说,快照ID05所对应的信任等级快照数据中携带有各个事件对应的信任分析快照数据的快照ID03和快照ID04的信息。
因此可知,通过上述的步骤,就可以在根据风险分析结果进行信任分析,并得到信任分析结果时,根据预留字段和信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到预设的快照数据库中,且为每一条信任分析快照数据和信任等级快照数据都分别设置一个唯一的快照ID。
通过上述的操作,即可完成在信任分析阶段对所接收到的各种日志数据的标记(即通过信任分析快照数据和信任等级快照数据以及相应的快照ID对日志数据进行标记)。
因此,通过上述的步骤11~13,即可在数据进行处理、分析时的每一个环节都做好标记,并在标记环节时每一个关键计算都会产生一个具有唯一快照ID的快照数据。
更进一步的,在本发明的技术方案中,当需要根据信任分析结果做相应的决策处理时,可以将信任分析结果和最后阶段产生的信任等级快照数据的快照ID告知用户和/或管理员,用户和/或管理员即可根据该快照ID追踪到具体的风险事件。
在根据信任分析结果和信任等级快照数据的快照ID追溯风险事件的阶段,实际上就是上述标记阶段的逆向溯源的过程。此时,可以将各种快照数据的快照ID组成一个溯源树,例如,如图3所示。信任等级快照数据的快照ID(即图3中的“等级快照ID”)相当于溯源树的根节点,多次、层次信任分析产生的各条信任分析快照数据的快照ID(即图3中的“分析快照ID”)相当于溯源树的中间结点,而各条风险分析快照数据的快照ID(即图3中的各个风险事件的快照ID)则相当于溯源树的叶子结点。
在上述的标记阶段,由于在每个处理、分析过程中都记录了与相应原因相关的快照数据以及对应的快照ID,因此,溯源树中的每一个结点都能溯源到唯一的子节点。所以,通过信任等级快照数据的的快照ID,层层找到对应的子节点,便能迅速构建并产生对应的唯一溯源树,例如,可以使用广度优先算法构建溯源树,并找到溯源树上的所有结点,也可以找到产生信任等级快照数据的快照ID所对应的所有风险事件。所以,通过上述的溯源树,即可根据信任分析结果和对应的信任等级快照数据查询到相对应的各个风险事件,从而实现对风险事件的追溯操作。
因此,作为示例,在本发明的一个较佳的具体实施例中,所述信任风险事件的追踪方法还可以进一步包括:
步骤14,根据信任分析结果和对应的信任等级快照数据查询相对应的风险事件。
在本发明的技术方案中,在对事件进行信任分析之后,将生产相应的信任分析结果以及对应的信任等级快照数据。因此,如果有需要(例如,当用户被零信任拦截,即信任等级较低,需要查看拦截原因时),则可以根据该信任分析结果和对应的信任等级快照数据的快照ID查询到相对应的所有风险事件。
例如,作为示例,在本发明的一个较佳的具体实施例中,当用户A使用一台未曾使用过的且携带有病毒的计算机B在某个“统一登录平台”登录时,通过上述的步骤11~13可以生成信任分析结果以及多条快照数据,各条快照数据将存储到预设的快照数据库中,且均具有对应的快照ID。
而当用户A完成登录后,在使用上述计算机B访问某一个需要高信任等级才能访问的应用C时,***可以根据信任分析结果查询该用户A和计算机B的信任等级,同时也可以获取对应的信任等级快照数据的快照ID(例如,快照ID05)。
由于信任等级低(即用户A+计算机B这个主体没有访问权限),因此用户A被阻断。当用户A和/或管理员需要查看为何被阻断时,可以通过该用户A对应的信任等级快照数据的快照ID(例如,快照ID05),查询到该快照ID对应的整条信任等级快照数据的内容;然后,可以从该信任等级快照数据中查询到各个事件对应的信任分析快照数据的快照ID的信息(例如,快照ID03和快照ID04);随后,再根据各条信任分析快照数据的快照ID,查询到各条信任分析快照数据,并从查询到的各条信任分析快照数据中查询到各个事件对应的风险分析快照数据的快照ID的信息(例如,快照ID01和快照ID02);接着,就可以根据查询到的各条风险分析快照数据获知各个风险事件的具体情况。例如,计算机B中存在病毒,用户A使用新设备登录。然后,即可将各个风险事件的具体情况告知用户和/或管理员,从而完成了本发明的风险事件的追溯操作。
另外,在本发明的技术方案中,可以根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据,生成相应的数据列表,以便于用户和/或管理员进行查询和/或管理。
例如,作为示例,在本发明的一个较佳的具体实施例中,可以根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据,生成一个如下所述的数据列表:
Figure BDA0003289924410000131
表1
通过上述的列表,用户和/或管理员可以获知从风险事件到信任结果的全过程,并可以通过最上层的信任等级结果,查询找到最底层的风险事件。
例如,在上述列表中,每一列的数据含义如上述列表所示。从每一行来看,首先,用户和/或管理员看到的上述列表的第一行是最终的信任等级结果。当用户和/或管理员对该信任等级结果感兴趣,并需要知道产生信任等级结果的原因时,可以点击展开,可以看到列表的下面几行的具体结果。其中,上述列表的第二行是由信任等级结果下面一层的信任分析过程的结果(即信任分析结果),上述列表的第三行则是风险事件的结果(即风险分析结果)。
另外,在本申请的技术方案中,还提出了一种信任风险事件的追踪装置。
如图2所示,本发明实施例中的信任风险事件的追踪装置包括:数据处理模块21、风险分析模块22、信任分析模块23和快照数据库24;
所述数据处理模块21,用于对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中;
所述风险分析模块22,用于根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据发送给快照数据库24,将风险分析结果发送给所述信任分析模块23;
所述信任分析模块23,用于根据风险分析结果进行信任分析,生成并输出信任分析结果;根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据发送给快照数据库24;
所述快照数据库24,用于存储风险分析快照数据、信任分析快照数据和信任等级快照数据,为每一条风险分析快照数据、信任分析快照数据和信任等级快照数据均设置一个唯一的快照标识,并将风险分析快照数据、信任分析快照数据和信任等级快照数据的快照标识发送给信任分析模块23。
更进一步的,作为示例,在本发明的一个较佳的具体实施例中,所述信任风险事件的追踪装置还可以进一步包括:写入模块25;
所述风险分析模块22将风险分析快照数据发送给所述写入模块25;
所述信任分析模块23将信任分析快照数据和信任等级快照数据发送给所述写入模块25;
所述写入模块25,用于将接收到的风险分析快照数据、信任分析快照数据和信任等级快照数据存储到快照数据库24中。
更进一步的,作为示例,在本发明的一个较佳的具体实施例中,所述信任风险事件的追踪装置还可以进一步包括:查询模块(图2中未示出);
所述查询模块与所述快照数据库24连接,用于根据信任分析结果和对应的信任等级快照数据查询相对应的风险事件。
更进一步的,作为示例,在本发明的一个较佳的具体实施例中,所述查询模块还可以用于根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据,生成相应的数据列表,以便于用户和/或管理员进行查询和/或管理。
另外,本发明实施例提供的信任风险事件的追踪装置,可以用于执行前述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图4示出了本发明一实施例提供的一种电子设备的结构示意图,如图4所示,该电子设备可以包括处理器401、存储器402、总线403以及存储在存储器402上并可在处理器401上运行的计算机程序,其中,处理器401和存储器402通过总线403完成相互间的通信。所述处理器401执行所述计算机程序时实现上述方法的步骤,例如包括:对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中;根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到快照数据库中;根据风险分析结果进行信任分析,根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到快照数据库中。
另外,本发明一实施例中还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤,例如包括:对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中;根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到快照数据库中;根据风险分析结果进行信任分析,根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到快照数据库中。
综上所述,在本发明的技术方案中,由于在对数据进行处理时,将数据中的预先指定的字段写入到预设的预留字段中;然后根据处理后的数据进行风险分析,生成风险分析快照数据并存储到快照中;再根据风险分析结果进行信任分析,生成对应的信任分析快照数据和信任等级快照数据并存储到快照中,从而可以在获得信任计算结果(即信任分析结果)后,对于产生结果的原因实现对具体风险事件的追踪和追溯。
在使用本发明的技术方案后,对于用户来说,当用户被阻断访问后,可以使用户迅速地获知被阻断的具体原因,甚至可以根据该具体原因解决相应的风险,重新获得相应的访问权限;而对于管理员来说,可以清楚零信任中每一次动态策略的具体原因,根据被阻断的结果和预期的偏差及时调整动态策略,达到更好的零信任实施效果。
另外,在本发明的技术方案中,既可以对单一来源的数据进行处理和分析,也可以对多源(即多个来源)数据进行处理和分析。其中,多源数据不仅包括收集来的多种多样的原始数据,也可以包括内部风险事件和外部风险事件的多源数据。
进一步的,在本发明的技术方案中,由于设置了预留字段,在原数据收集和风险事件记录时,都考虑到了扩展性,因此本发明的技术方案具有很好的扩展性,便于在需求和技术演进过程中添加所需要的扩展属性。
例如,上述的扩展性主要考虑了横向扩展。由于数据收集和风险收集分别是由统一的数据处理模块和风险分析模块处理的,例如,当风险事件的上游需求更多的数据时,可以通过进行风险收集的风险分析模块,将数据写入到风险数据源中;或者在数据进入上游时,由数据处理模块将新增的数据统一写入到数据中。例如:比如上游需求中需要新增用户的数据,可以首先在原数据收集时,将需要的用户数据写入预留字段中,此时,预留字段的内容将被带到数据处理模块,数据处理模块可以将用户数据写入需求的数据中。
因此可知,本发明的技术方案具有良好的扩展性,从而便于更快地适应产品和需求的演进。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (16)

1.一种信任风险事件的追踪方法,其特征在于,该方法包括:
对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中;
根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到快照数据库中;
根据风险分析结果进行信任分析,根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到快照数据库中。
2.根据权利要求1所述的方法,其特征在于,该方法还进一步包括:
根据信任分析结果和对应的信任等级快照数据查询相对应的风险事件。
3.根据权利要求1或2所述的方法,其特征在于,所述根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到快照数据库中包括:
根据预留字段和风险分析结果中的风险事件中的关键数据生成对应的风险分析快照数据,并将所述风险分析快照数据存储到快照数据库中,且在快照数据库中为所述风险分析快照数据设置一个唯一的快照标识。
4.根据权利要求3所述的方法,其特征在于,所述根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到快照数据库中包括:
根据预留字段中的字段、信任分析结果中的关键数据以及各个风险事件对应的风险分析快照数据的快照标识,生成对应的信任分析快照数据,并将所述信任分析快照数据存储到快照数据库中,且在快照数据库中为所述信任分析快照数据设置一个唯一的快照标识;
根据预留字段中的字段、信任分析结果中各个事件对应的信任等级以及各个风险事件对应的信任分析快照数据的快照标识,生成信任等级快照数据,并将所述信任等级快照数据存储到快照数据库中,且在快照数据库中为所述信任等级快照数据设置一个唯一的快照标识。
5.根据权利要求4所述的方法,其特征在于:
所述信任分析快照数据中携带有对应的各个风险分析快照数据的快照标识的信息;
所述信任等级快照数据中携带有各个事件对应的信任分析快照数据的快照标识的信息。
6.根据权利要求5所述的方法,其特征在于:
根据各种快照数据的快照标识组成一个溯源树,将信任等级快照数据的快照标识作为溯源树的根节点,将对应的各条信任分析快照数据的快照标识作为溯源树的中间结点,将各条风险分析快照数据的快照标识作为溯源树的叶子结点。
7.根据权利要求5所述的方法,其特征在于,该方法还进一步包括:
根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据,生成相应的数据列表。
8.根据权利要求1所述的方法,其特征在于:
所述数据为单一来源或多个来源的日志数据。
9.根据权利要求8所述的方法,其特征在于:
所述日志数据为应用访问数据、API调用数据、用户认证数据中的任意一种数据或任意多种数据的组合。
10.根据权利要求1所述的方法,其特征在于:
所述风险事件包括:内部风险事件和外部风险事件。
11.一种信任风险事件的追踪装置,其特征在于,所述追踪装置包括:数据处理模块、风险分析模块、信任分析模块和快照数据库;
所述数据处理模块,用于对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中;
所述风险分析模块,用于根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据发送给快照数据库,将风险分析结果发送给所述信任分析模块;
所述信任分析模块,用于根据风险分析结果进行信任分析,生成并输出信任分析结果;根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据发送给快照数据库;
所述快照数据库,用于存储风险分析快照数据、信任分析快照数据和信任等级快照数据,为每一条风险分析快照数据、信任分析快照数据和信任等级快照数据均设置一个唯一的快照标识,并将风险分析快照数据、信任分析快照数据和信任等级快照数据的快照标识发送给信任分析模块。
12.根据权利要求11所述的追踪装置,其特征在于,所述追踪装置还进一步包括:写入模块;
所述风险分析模块将风险分析快照数据发送给所述写入模块;
所述信任分析模块将信任分析快照数据和信任等级快照数据发送给所述写入模块;
所述写入模块,用于将接收到的风险分析快照数据、信任分析快照数据和信任等级快照数据存储到快照数据库中。
13.根据权利要求11或12所述的追踪装置,其特征在于,所述追踪装置还进一步包括:查询模块;
所述查询模块与所述快照数据库连接,用于根据信任分析结果和对应的信任等级快照数据查询相对应的风险事件。
14.根据权利要求13所述的追踪装置,其特征在于:
所述查询模块还用于根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据,生成相应的数据列表。
15.一种电子设备,包括存储器、处理器、总线及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至10任一项所述信任风险事件的追踪方法的步骤。
16.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至10任一项所述信任风险事件的追踪方法的步骤。
CN202111160357.2A 2021-09-30 2021-09-30 信任风险事件的追踪方法、装置、电子设备和存储介质 Active CN113821425B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111160357.2A CN113821425B (zh) 2021-09-30 2021-09-30 信任风险事件的追踪方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111160357.2A CN113821425B (zh) 2021-09-30 2021-09-30 信任风险事件的追踪方法、装置、电子设备和存储介质

Publications (2)

Publication Number Publication Date
CN113821425A true CN113821425A (zh) 2021-12-21
CN113821425B CN113821425B (zh) 2024-03-08

Family

ID=78916011

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111160357.2A Active CN113821425B (zh) 2021-09-30 2021-09-30 信任风险事件的追踪方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN113821425B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109242307A (zh) * 2018-09-04 2019-01-18 中国光大银行股份有限公司***中心 一种反欺诈策略分析方法、服务器、电子设备及存储介质
CN111125042A (zh) * 2019-11-13 2020-05-08 中国建设银行股份有限公司 一种确定风险操作事件的方法和装置
CN112231692A (zh) * 2020-10-13 2021-01-15 中移(杭州)信息技术有限公司 安全认证方法、装置、设备及存储介质
US10922639B2 (en) * 2017-12-27 2021-02-16 Pearson Education, Inc. Proctor test environment with user devices
CN112383503A (zh) * 2020-09-21 2021-02-19 西安交大捷普网络科技有限公司 一种网络安全事件处理方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10922639B2 (en) * 2017-12-27 2021-02-16 Pearson Education, Inc. Proctor test environment with user devices
CN109242307A (zh) * 2018-09-04 2019-01-18 中国光大银行股份有限公司***中心 一种反欺诈策略分析方法、服务器、电子设备及存储介质
CN111125042A (zh) * 2019-11-13 2020-05-08 中国建设银行股份有限公司 一种确定风险操作事件的方法和装置
CN112383503A (zh) * 2020-09-21 2021-02-19 西安交大捷普网络科技有限公司 一种网络安全事件处理方法
CN112231692A (zh) * 2020-10-13 2021-01-15 中移(杭州)信息技术有限公司 安全认证方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN113821425B (zh) 2024-03-08

Similar Documents

Publication Publication Date Title
US20210326885A1 (en) Method and Apparatus of Identifying a Transaction Risk
US11281793B2 (en) User permission data query method and apparatus, electronic device and medium
US20190281067A1 (en) Trust Relationships in a Computerized System
US9569471B2 (en) Asset model import connector
US8949418B2 (en) Firewall event reduction for rule use counting
US8700560B2 (en) Populating a multi-relational enterprise social network with disparate source data
WO2020168692A1 (zh) 海量数据共享方法、开放共享平台及电子设备
US7917759B2 (en) Identifying an application user as a source of database activity
CN114637989B (zh) 基于分布式***的apt攻击追溯方法、***及存储介质
US10225132B2 (en) Serving channelized interactive data collection requests from cache
JP2016519384A (ja) データを処理するための方法、有形機械可読記録可能記憶媒体および装置、ならびにデータ・レコードから抽出された特徴をクエリするための方法、有形機械可読記録可能記憶媒体および装置
CN109783543B (zh) 数据查询方法、装置、设备和存储介质
CN107463839A (zh) 一种管理应用程序的***和方法
CN112364059B (zh) 多规则场景下关联匹配方法、装置、设备和存储介质
EP2926291A1 (en) Distributed pattern discovery
CN113886841A (zh) 一种面向云数据操作行为的可信溯源方法
WO2022206439A1 (zh) 提供跨链消息的方法和装置
US20180240053A1 (en) System and Method for Associating a Multi-segment Component Transaction
CN113821425B (zh) 信任风险事件的追踪方法、装置、电子设备和存储介质
Indhumathil et al. Third-party auditing for cloud service providers in multicloud environment
US10951600B2 (en) Domain authentication
US20090100130A1 (en) System and method for anomalous directory client activity detection
Ussath et al. Automatic multi-step signature derivation from taint graphs
CN113986545A (zh) 用户与角色关联方法及装置
US11528286B2 (en) Network vulnerability detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Applicant after: QAX Technology Group Inc.

Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd.

Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Applicant before: QAX Technology Group Inc.

Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc.

GR01 Patent grant
GR01 Patent grant