CN113821425B - 信任风险事件的追踪方法、装置、电子设备和存储介质 - Google Patents
信任风险事件的追踪方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN113821425B CN113821425B CN202111160357.2A CN202111160357A CN113821425B CN 113821425 B CN113821425 B CN 113821425B CN 202111160357 A CN202111160357 A CN 202111160357A CN 113821425 B CN113821425 B CN 113821425B
- Authority
- CN
- China
- Prior art keywords
- snapshot
- trust
- data
- analysis
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000004458 analytical method Methods 0.000 claims abstract description 203
- 238000012502 risk assessment Methods 0.000 claims abstract description 160
- 238000012545 processing Methods 0.000 claims abstract description 22
- 238000004590 computer program Methods 0.000 claims description 11
- 238000004364 calculation method Methods 0.000 abstract description 6
- 241000700605 Viruses Species 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000011144 upstream manufacturing Methods 0.000 description 3
- 238000013480 data collection Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/11—File system administration, e.g. details of archiving or snapshots
- G06F16/128—Details of file system snapshots on the file-level, e.g. snapshot creation, administration, deletion
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/172—Caching, prefetching or hoarding of files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9027—Trees
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种信任风险事件的追踪方法、装置、电子设备和存储介质。其中的方法包括:对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中;根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到快照数据库中;根据风险分析结果进行信任分析,根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到快照数据库中。应用本发明可以在获得信任计算结果后,对于产生结果的原因实现对具体风险事件的追踪。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种信任风险事件的追踪方法、装置、电子设备和存储介质。
背景技术
在零信任领域中,平台或应用的安全访问边界不再是传统的局域网等物理边界。用户每一次使用资源的权限都是被严格限制的,因此,当用户需要访问某些资源且被动态授权时,管理员和/或用户等都可能希望能够追踪到该用户被动态授权的具体原因。
例如,当用户在使用零信任整体解决方案时,如果用户在使用设备登录并需要访问某个应用时,该用户的访问被阻断,此时的管理员和/或用户可能仅知道该用户的访问被阻断了,但并不知道该用户的访问被阻断的具体原因,管理员也并不清楚现有零信任方案中的实施效果。也就是说,在现有技术中的零信任***中,如果仅获知信任计算结果,虽然能实现实现动态授权和访问控制,但当用户的访问被阻断时,用户无法知道被阻断的具体原因,也就无法知道具体应该如何才能解决现有的风险,恢复或获得相应的访问权限。
另外,现有技术中的零信任***中所使用的很多溯源追踪技术都仅考虑了现有场景和***的溯源需求,而没有对于扩展性有相应的设计。
此外,现有技术中大多是基于单一数据源的数据,而并未考虑不同数据源在溯源***中的数据统一性。
发明内容
有鉴于此,本发明提供了一种信任风险事件的追踪方法、装置、电子设备和存储介质,从而可以在获得信任计算结果后,对于产生结果的原因实现对具体风险事件的追踪。
第一方面,本发明实施例提供了一种信任风险事件的追踪方法,该方法包括:
对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中;
根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到快照数据库中;
根据风险分析结果进行信任分析,根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到快照数据库中。
进一步的,该方法还进一步包括:
根据信任分析结果和对应的信任等级快照数据查询相对应的风险事件。
进一步的,所述根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到快照数据库中包括:
根据预留字段和风险分析结果中的风险事件中的关键数据生成对应的风险分析快照数据,并将所述风险分析快照数据存储到快照数据库中,且在快照数据库中为所述风险分析快照数据设置一个唯一的快照标识。
进一步的,所述根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到快照数据库中包括:
根据预留字段中的字段、信任分析结果中的关键数据以及各个风险事件对应的风险分析快照数据的快照标识,生成对应的信任分析快照数据,并将所述信任分析快照数据存储到快照数据库中,且在快照数据库中为所述信任分析快照数据设置一个唯一的快照标识;
根据预留字段中的字段、信任分析结果中各个事件对应的信任等级以及各个风险事件对应的信任分析快照数据的快照标识,生成信任等级快照数据,并将所述信任等级快照数据存储到快照数据库中,且在快照数据库中为所述信任等级快照数据设置一个唯一的快照标识。
进一步的,所述信任分析快照数据中携带有对应的各个风险分析快照数据的快照标识的信息;
所述信任等级快照数据中携带有各个事件对应的信任分析快照数据的快照标识的信息。
进一步的,根据各种快照数据的快照标识组成一个溯源树,将信任等级快照数据的快照标识作为溯源树的根节点,将对应的各条信任分析快照数据的快照标识作为溯源树的中间结点,将各条风险分析快照数据的快照标识作为溯源树的叶子结点。
进一步的,该方法还进一步包括:
根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据,生成相应的数据列表。
进一步的,所述数据为单一来源或多个来源的日志数据。
进一步的,所述日志数据为应用访问数据、API调用数据、用户认证数据中的任意一种数据或任意多种数据的组合。
进一步的,所述风险事件包括:内部风险事件和外部风险事件。
第二方面,本发明实施例还提供了一种信任风险事件的追踪装置,所述追踪装置包括:数据处理模块、风险分析模块、信任分析模块和快照数据库;
所述数据处理模块,用于对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中;
所述风险分析模块,用于根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据发送给快照数据库,将风险分析结果发送给所述信任分析模块;
所述信任分析模块,用于根据风险分析结果进行信任分析,生成并输出信任分析结果;根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据发送给快照数据库;
所述快照数据库,用于存储风险分析快照数据、信任分析快照数据和信任等级快照数据,为每一条风险分析快照数据、信任分析快照数据和信任等级快照数据均设置一个唯一的快照标识,并将风险分析快照数据、信任分析快照数据和信任等级快照数据的快照标识发送给信任分析模块。
进一步的,所述追踪装置还进一步包括:写入模块;
所述风险分析模块将风险分析快照数据发送给所述写入模块;
所述信任分析模块将信任分析快照数据和信任等级快照数据发送给所述写入模块;
所述写入模块,用于将接收到的风险分析快照数据、信任分析快照数据和信任等级快照数据存储到快照数据库中。
进一步的,所述追踪装置还进一步包括:查询模块;
所述查询模块与所述快照数据库连接,用于根据信任分析结果和对应的信任等级快照数据查询相对应的风险事件。
进一步的,所述查询模块还用于根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据,生成相应的数据列表。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器、总线及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如第一方面所述信任风险事件的追踪方法的步骤。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如第一方面所述信任风险事件的追踪方法的步骤。
如上可见,在本发明中的信任风险事件的追踪方法、装置、电子设备和存储介质中,由于在对数据进行处理时,将数据中的预先指定的字段写入到预设的预留字段中;然后根据处理后的数据进行风险分析,生成风险分析快照数据并存储到快照中;再根据风险分析结果进行信任分析,生成对应的信任分析快照数据和信任等级快照数据并存储到快照中,从而可以在获得信任计算结果(即信任分析结果)后,对于产生结果的原因实现对具体风险事件的追踪。
附图说明
图1为本发明实施例中的信任风险事件的追踪方法的流程示意图。
图2为本发明实施例中的信任风险事件的追踪装置的示意图。
图3为本发明实施例中的溯源树的示意图。
图4为本发明一个实施例中的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
图1为本发明实施例中的信任风险事件的追踪方法的流程图。
如图1所示,本发明实施例中的信任风险事件的追踪方法包括如下所述步骤:
步骤11,对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中。
在本发明的技术方案中,在接收到数据后,将先对所接收到的数据进行处理。
例如,作为示例,在本发明的一个较佳的具体实施例中,所述数据可以是各种日志数据。
例如,作为示例,在本发明的一个较佳的具体实施例中,所述日志数据可以是应用访问数据、API调用数据、用户认证数据中的任意一种数据或任意多种数据的组合。
因此,在本发明的技术方案中,并不仅限于对单一来源的日志数据进行处理和分析,也可以对多源(即多个来源)的日志数据进行处理和分析。
具体来说,例如,作为示例,在本发明的一个较佳的具体实施例中,在接收到日志数据后,可以将该日志数据中的一些字段(即预先指定或确定的字段,例如,用户或管理员比较关注的一些字段)提取出来,并将提取出来的字段写入到与该日志数据对应的预留字段中。
例如,作为示例,在本发明的一个较佳的具体实施例中,当用户A使用一台未曾使用过的且携带有病毒的计算机B在某个“统一登录平台”登录时,所接收到的日志数据为该用户A使用计算机B进行登录时的登录日志数据(用户认证数据中的一种数据)。此时,可以对该登录日志数据进行处理,将该登录日志数据中的预先指定的字段(例如,该用户A的用户ID、用户名、登录时的IP地址以及计算机B的设备ID等)提取出来,并将提取出来的字段写入到与该登录日志数据对应的预留字段中。
步骤12,根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到快照数据库中。
在本发明的技术方案中,在对接收到的日志数据进行处理之后,还将根据处理后的数据进行风险分析,并得到风险分析结果。其中,该风险分析结果中可能会包括风险事件,而所述风险事件可以包括两类事件:内部风险事件和外部风险事件。其中,内部风险事件一般是指***通过自动分析发现的风险事件,而外部风险事件一般是指从***外部获知的风险事件,例如,从***接入的第三方风险发现平台获知的风险事件等。
在根据处理后的数据进行风险分析时,如果产生了风险事件,则可以根据预留字段和风险分析结果生成对应的风险分析快照数据,并将所生成的风险分析快照数据存储到预设的快照数据库中,且为该风险分析快照数据设置一个唯一的快照标识(ID)。
例如,作为示例,在本发明的一个较佳的具体实施例中,假设上述的用户A使用未曾使用过的且携带有病毒的计算机B在“统一登录平台”登录。在对登录日志数据进行处理之后,还将根据处理后的数据进行风险分析,并得到风险分析结果。此时,该风险分析结果包括:内部风险事件和外部风险事件;其中,内部风险事件为:用户A使用了新的设备(即计算机B)登录;而外部风险事件为:计算机B中携带有病毒。
此时,可以根据预留字段和风险分析结果中的风险事件中的关键数据生成对应的风险分析快照数据,并将该风险分析快照数据存储到预设的快照数据库中,且在快照数据库中为该风险分析快照数据设置一个唯一的快照标识(ID)。
例如,作为示例,对于风险分析结果中的上述内部风险事件,可以将预留字段和内部风险事件中的关键数据(举例来说,用于描述事件的关键信息。例如,所述关键数据可以是:用户标识、设备标识、时间和事件标识等信息,也可以是其它的关键信息)传输给写入模块;而写入模块则可将预留字段中的字段取出,并根据所取出的字段以及内部风险事件中的关键数据生成一条风险分析快照数据,并将该风险分析快照数据存储到预设的快照数据库中。快照数据库将为该风险分析快照数据设置一个唯一的快照标识(即快照ID),例如,快照ID01。
同理,作为示例,对于风险分析结果中的上述外部风险事件,也可以将预留字段和外部风险事件中的关键数据(例如,所述关键数据也可以是:用户标识、设备标识、时间、事件标识等信息,也可以是其它的关键信息)传输给写入模块;而写入模块则可将预留字段中的字段取出,并根据所取出的字段以及外部风险事件中的关键数据生成一条风险分析快照数据,并将该风险分析快照数据也存储到预设的快照数据库中。快照数据库也将为该风险分析快照数据设置一个唯一的快照ID,例如,快照ID02。
因此可知,通过上述的步骤,就可以在根据处理后的数据进行风险分析,并在得到的风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到预设的快照数据库中,且为每一条风险分析快照数据都分别设置一个唯一的快照ID。
通过上述的操作,即可完成在风险分析阶段对所接收到的各种日志数据的标记(即如果产生风险事件,则可通过风险分析快照数据以及相应的快照ID对日志数据进行标记)。
步骤13,根据风险分析结果进行信任分析,根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到快照数据库中。
在本发明的技术方案中,在根据处理后的数据进行风险分析得到风险分析结果之后,如果风险分析结果中包括风险事件,则还将对风险分析结果进行信任分析,并得到信任分析结果。其中,该信任分析结果中可以包括:对风险事件的分析结果以及各个风险事件对应的信任等级。
在得到信任分析结果之后,可以根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到预设的快照数据库中,且为信任分析快照数据和信任等级快照数据均设置一个唯一的快照ID。
例如,作为示例,在本发明的一个较佳的具体实施例中,假设上述的用户A使用未曾使用过的且携带有病毒的计算机B在“统一登录平台”登录时,产生了上述的内部风险事件和外部风险事件,则在本步骤中,将根据上述的内部风险事件和外部风险事件分别进行信任分析,并分别得到信任分析结果;然后,再根据上述的预留字段中的字段、信任分析结果中的关键数据以及各个风险事件对应的风险分析快照数据的快照ID,生成对应的信任分析快照数据,并将信任分析快照数据存储到预设的快照数据库中,且在快照数据库中为所述信任分析快照数据设置一个唯一的快照标识。
例如,作为示例,在本发明的一个较佳的具体实施例中,当风险分析结果中出现内部风险事件时,将对该内部风险事件进行信任分析,得到相应的信任分析结果;然后,再根据预留字段中的字段、信任分析结果中的关键数据(举例来说,用于描述结果的关键信息。例如,所述关键数据可以是:用户标识、设备标识、时间等信息,也可以是其它的关键信息)以及该内部风险事件对应的风险分析快照数据的快照ID(例如,快照ID01),生成一条信任分析快照数据,并将该信任分析快照数据也存储到预设的快照数据库中。快照数据库也将为该信任分析快照数据设置一个唯一的快照ID,例如,快照ID03。也就是说,快照ID03所对应的信任分析快照数据中携带有对应的风险分析快照数据的快照ID01的信息。
同理,作为示例,在本发明的一个较佳的具体实施例中,当风险分析结果中出现外部风险事件时,将对该外部风险事件进行信任分析,得到相应的信任分析结果;然后,再根据预留字段中的字段、该信任分析结果中的关键数据(例如,所述关键数据也可以是:用户标识、设备标识、时间等信息,也可以是其它的关键信息)以及该外部风险事件对应的风险分析快照数据的快照ID(例如,快照ID02),生成一条信任分析快照数据,并将该信任分析快照数据也存储到预设的快照数据库中。快照数据库也将为该信任分析快照数据设置一个唯一的快照ID,例如,快照ID04。也就是说,快照ID04所对应的信任分析快照数据中携带有对应的风险分析快照数据的快照ID02的信息。
另外,在本发明的技术方案中,在对风险分析结果进行信任分析时,该信任分析阶段可以由多层的分析组成,从而可以对风险分析结果中的各个风险事件逐层进行多层分析。
当对风险事件进行第一层分析时,可以生成与该风险事件对应的第一层的信任分析快照数据并存储到快照数据库中,具体生成方法与上述内部风险事件和外部风险事件的信任分析快照数据的生成方法相同,在此不再赘述。
当对风险事件进行第二层分析时,可以按照生成上述第一层的信任分析快照数据时所使用的相同或相类似的方法,生成与该风险事件对应的第二层的信任分析快照数据并存储到快照数据库中,并使得该第二层的信任分析快照数据中还携带有第一层的信任分析快照数据的快照ID;依次类推,直至生成最后一层的信任分析快照数据,并存储到快照数据库中。
也就是说,在进行某一层的分析时,所生成的信任分析快照数据中都携带有上一层分析所生成的信任分析快照数据的ID,从而可以便于在后续的查询过程进行溯源。
另外,作为示例,在本发明的一个较佳的具体实施例中,在对风险分析结果进行信任分析之后,还将根据预留字段中的字段、信任分析结果中各个事件对应的信任等级以及各个事件对应的信任分析快照数据的快照ID,生成信任等级快照数据,并将该信任等级快照数据存储到预设的快照数据库中。快照数据库将为该信任等级快照数据也设置一个唯一的快照ID(例如,快照ID05)。也就是说,快照ID05所对应的信任等级快照数据中携带有各个事件对应的信任分析快照数据的快照ID03和快照ID04的信息。
因此可知,通过上述的步骤,就可以在根据风险分析结果进行信任分析,并得到信任分析结果时,根据预留字段和信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到预设的快照数据库中,且为每一条信任分析快照数据和信任等级快照数据都分别设置一个唯一的快照ID。
通过上述的操作,即可完成在信任分析阶段对所接收到的各种日志数据的标记(即通过信任分析快照数据和信任等级快照数据以及相应的快照ID对日志数据进行标记)。
因此,通过上述的步骤11~13,即可在数据进行处理、分析时的每一个环节都做好标记,并在标记环节时每一个关键计算都会产生一个具有唯一快照ID的快照数据。
更进一步的,在本发明的技术方案中,当需要根据信任分析结果做相应的决策处理时,可以将信任分析结果和最后阶段产生的信任等级快照数据的快照ID告知用户和/或管理员,用户和/或管理员即可根据该快照ID追踪到具体的风险事件。
在根据信任分析结果和信任等级快照数据的快照ID追溯风险事件的阶段,实际上就是上述标记阶段的逆向溯源的过程。此时,可以将各种快照数据的快照ID组成一个溯源树,例如,如图3所示。信任等级快照数据的快照ID(即图3中的“等级快照ID”)相当于溯源树的根节点,多次、层次信任分析产生的各条信任分析快照数据的快照ID(即图3中的“分析快照ID”)相当于溯源树的中间结点,而各条风险分析快照数据的快照ID(即图3中的各个风险事件的快照ID)则相当于溯源树的叶子结点。
在上述的标记阶段,由于在每个处理、分析过程中都记录了与相应原因相关的快照数据以及对应的快照ID,因此,溯源树中的每一个结点都能溯源到唯一的子节点。所以,通过信任等级快照数据的的快照ID,层层找到对应的子节点,便能迅速构建并产生对应的唯一溯源树,例如,可以使用广度优先算法构建溯源树,并找到溯源树上的所有结点,也可以找到产生信任等级快照数据的快照ID所对应的所有风险事件。所以,通过上述的溯源树,即可根据信任分析结果和对应的信任等级快照数据查询到相对应的各个风险事件,从而实现对风险事件的追溯操作。
因此,作为示例,在本发明的一个较佳的具体实施例中,所述信任风险事件的追踪方法还可以进一步包括:
步骤14,根据信任分析结果和对应的信任等级快照数据查询相对应的风险事件。
在本发明的技术方案中,在对事件进行信任分析之后,将生产相应的信任分析结果以及对应的信任等级快照数据。因此,如果有需要(例如,当用户被零信任拦截,即信任等级较低,需要查看拦截原因时),则可以根据该信任分析结果和对应的信任等级快照数据的快照ID查询到相对应的所有风险事件。
例如,作为示例,在本发明的一个较佳的具体实施例中,当用户A使用一台未曾使用过的且携带有病毒的计算机B在某个“统一登录平台”登录时,通过上述的步骤11~13可以生成信任分析结果以及多条快照数据,各条快照数据将存储到预设的快照数据库中,且均具有对应的快照ID。
而当用户A完成登录后,在使用上述计算机B访问某一个需要高信任等级才能访问的应用C时,***可以根据信任分析结果查询该用户A和计算机B的信任等级,同时也可以获取对应的信任等级快照数据的快照ID(例如,快照ID05)。
由于信任等级低(即用户A+计算机B这个主体没有访问权限),因此用户A被阻断。当用户A和/或管理员需要查看为何被阻断时,可以通过该用户A对应的信任等级快照数据的快照ID(例如,快照ID05),查询到该快照ID对应的整条信任等级快照数据的内容;然后,可以从该信任等级快照数据中查询到各个事件对应的信任分析快照数据的快照ID的信息(例如,快照ID03和快照ID04);随后,再根据各条信任分析快照数据的快照ID,查询到各条信任分析快照数据,并从查询到的各条信任分析快照数据中查询到各个事件对应的风险分析快照数据的快照ID的信息(例如,快照ID01和快照ID02);接着,就可以根据查询到的各条风险分析快照数据获知各个风险事件的具体情况。例如,计算机B中存在病毒,用户A使用新设备登录。然后,即可将各个风险事件的具体情况告知用户和/或管理员,从而完成了本发明的风险事件的追溯操作。
另外,在本发明的技术方案中,可以根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据,生成相应的数据列表,以便于用户和/或管理员进行查询和/或管理。
例如,作为示例,在本发明的一个较佳的具体实施例中,可以根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据,生成一个如下所述的数据列表:
表1
通过上述的列表,用户和/或管理员可以获知从风险事件到信任结果的全过程,并可以通过最上层的信任等级结果,查询找到最底层的风险事件。
例如,在上述列表中,每一列的数据含义如上述列表所示。从每一行来看,首先,用户和/或管理员看到的上述列表的第一行是最终的信任等级结果。当用户和/或管理员对该信任等级结果感兴趣,并需要知道产生信任等级结果的原因时,可以点击展开,可以看到列表的下面几行的具体结果。其中,上述列表的第二行是由信任等级结果下面一层的信任分析过程的结果(即信任分析结果),上述列表的第三行则是风险事件的结果(即风险分析结果)。
另外,在本申请的技术方案中,还提出了一种信任风险事件的追踪装置。
如图2所示,本发明实施例中的信任风险事件的追踪装置包括:数据处理模块21、风险分析模块22、信任分析模块23和快照数据库24;
所述数据处理模块21,用于对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中;
所述风险分析模块22,用于根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据发送给快照数据库24,将风险分析结果发送给所述信任分析模块23;
所述信任分析模块23,用于根据风险分析结果进行信任分析,生成并输出信任分析结果;根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据发送给快照数据库24;
所述快照数据库24,用于存储风险分析快照数据、信任分析快照数据和信任等级快照数据,为每一条风险分析快照数据、信任分析快照数据和信任等级快照数据均设置一个唯一的快照标识,并将风险分析快照数据、信任分析快照数据和信任等级快照数据的快照标识发送给信任分析模块23。
更进一步的,作为示例,在本发明的一个较佳的具体实施例中,所述信任风险事件的追踪装置还可以进一步包括:写入模块25;
所述风险分析模块22将风险分析快照数据发送给所述写入模块25;
所述信任分析模块23将信任分析快照数据和信任等级快照数据发送给所述写入模块25;
所述写入模块25,用于将接收到的风险分析快照数据、信任分析快照数据和信任等级快照数据存储到快照数据库24中。
更进一步的,作为示例,在本发明的一个较佳的具体实施例中,所述信任风险事件的追踪装置还可以进一步包括:查询模块(图2中未示出);
所述查询模块与所述快照数据库24连接,用于根据信任分析结果和对应的信任等级快照数据查询相对应的风险事件。
更进一步的,作为示例,在本发明的一个较佳的具体实施例中,所述查询模块还可以用于根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据,生成相应的数据列表,以便于用户和/或管理员进行查询和/或管理。
另外,本发明实施例提供的信任风险事件的追踪装置,可以用于执行前述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图4示出了本发明一实施例提供的一种电子设备的结构示意图,如图4所示,该电子设备可以包括处理器401、存储器402、总线403以及存储在存储器402上并可在处理器401上运行的计算机程序,其中,处理器401和存储器402通过总线403完成相互间的通信。所述处理器401执行所述计算机程序时实现上述方法的步骤,例如包括:对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中;根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到快照数据库中;根据风险分析结果进行信任分析,根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到快照数据库中。
另外,本发明一实施例中还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤,例如包括:对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中;根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到快照数据库中;根据风险分析结果进行信任分析,根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到快照数据库中。
综上所述,在本发明的技术方案中,由于在对数据进行处理时,将数据中的预先指定的字段写入到预设的预留字段中;然后根据处理后的数据进行风险分析,生成风险分析快照数据并存储到快照中;再根据风险分析结果进行信任分析,生成对应的信任分析快照数据和信任等级快照数据并存储到快照中,从而可以在获得信任计算结果(即信任分析结果)后,对于产生结果的原因实现对具体风险事件的追踪和追溯。
在使用本发明的技术方案后,对于用户来说,当用户被阻断访问后,可以使用户迅速地获知被阻断的具体原因,甚至可以根据该具体原因解决相应的风险,重新获得相应的访问权限;而对于管理员来说,可以清楚零信任中每一次动态策略的具体原因,根据被阻断的结果和预期的偏差及时调整动态策略,达到更好的零信任实施效果。
另外,在本发明的技术方案中,既可以对单一来源的数据进行处理和分析,也可以对多源(即多个来源)数据进行处理和分析。其中,多源数据不仅包括收集来的多种多样的原始数据,也可以包括内部风险事件和外部风险事件的多源数据。
进一步的,在本发明的技术方案中,由于设置了预留字段,在原数据收集和风险事件记录时,都考虑到了扩展性,因此本发明的技术方案具有很好的扩展性,便于在需求和技术演进过程中添加所需要的扩展属性。
例如,上述的扩展性主要考虑了横向扩展。由于数据收集和风险收集分别是由统一的数据处理模块和风险分析模块处理的,例如,当风险事件的上游需求更多的数据时,可以通过进行风险收集的风险分析模块,将数据写入到风险数据源中;或者在数据进入上游时,由数据处理模块将新增的数据统一写入到数据中。例如:比如上游需求中需要新增用户的数据,可以首先在原数据收集时,将需要的用户数据写入预留字段中,此时,预留字段的内容将被带到数据处理模块,数据处理模块可以将用户数据写入需求的数据中。
因此可知,本发明的技术方案具有良好的扩展性,从而便于更快地适应产品和需求的演进。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (15)
1.一种信任风险事件的追踪方法,其特征在于,该方法包括:
对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中;
根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到快照数据库中;
根据风险分析结果进行信任分析,根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到快照数据库中;
其中,所述根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据,并将信任分析快照数据和信任等级快照数据存储到快照数据库中包括:
根据预留字段中的字段、信任分析结果中的关键数据以及各个风险事件对应的风险分析快照数据的快照标识,生成对应的信任分析快照数据,并将所述信任分析快照数据存储到快照数据库中,且在快照数据库中为所述信任分析快照数据设置一个唯一的快照标识;
根据预留字段中的字段、信任分析结果中各个事件对应的信任等级以及各个风险事件对应的信任分析快照数据的快照标识,生成信任等级快照数据,并将所述信任等级快照数据存储到快照数据库中,且在快照数据库中为所述信任等级快照数据设置一个唯一的快照标识。
2.根据权利要求1所述的方法,其特征在于,该方法还进一步包括:
根据信任分析结果和对应的信任等级快照数据查询相对应的风险事件。
3.根据权利要求1或2所述的方法,其特征在于,所述根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据存储到快照数据库中包括:
根据预留字段和风险分析结果中的风险事件中的关键数据生成对应的风险分析快照数据,并将所述风险分析快照数据存储到快照数据库中,且在快照数据库中为所述风险分析快照数据设置一个唯一的快照标识。
4.根据权利要求1所述的方法,其特征在于:
所述信任分析快照数据中携带有对应的各个风险分析快照数据的快照标识的信息;
所述信任等级快照数据中携带有各个事件对应的信任分析快照数据的快照标识的信息。
5.根据权利要求4所述的方法,其特征在于:
根据各种快照数据的快照标识组成一个溯源树,将信任等级快照数据的快照标识作为溯源树的根节点,将对应的各条信任分析快照数据的快照标识作为溯源树的中间结点,将各条风险分析快照数据的快照标识作为溯源树的叶子结点。
6.根据权利要求4所述的方法,其特征在于,该方法还进一步包括:
根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据,生成相应的数据列表。
7.根据权利要求1所述的方法,其特征在于:
所述数据为单一来源或多个来源的日志数据。
8.根据权利要求7所述的方法,其特征在于:
所述日志数据为应用访问数据、API调用数据、用户认证数据中的任意一种数据或任意多种数据的组合。
9.根据权利要求1所述的方法,其特征在于:
所述风险事件包括:内部风险事件和外部风险事件。
10.一种信任风险事件的追踪装置,其特征在于,所述追踪装置包括:数据处理模块、风险分析模块、信任分析模块和快照数据库;
所述数据处理模块,用于对接收到的数据进行处理,将数据中的预先指定的字段写入到预设的预留字段中;
所述风险分析模块,用于根据处理后的数据进行风险分析;当风险分析结果中包括风险事件时,根据预留字段和风险分析结果生成对应的风险分析快照数据,并将风险分析快照数据发送给快照数据库,将风险分析结果发送给所述信任分析模块;
所述信任分析模块,用于根据风险分析结果进行信任分析,生成并输出信任分析结果;根据预留字段中的字段、信任分析结果中的关键数据以及各个风险事件对应的风险分析快照数据的快照标识,生成对应的信任分析快照数据,根据预留字段中的字段、信任分析结果中各个事件对应的信任等级以及各个风险事件对应的信任分析快照数据的快照标识,生成信任等级快照数据,并将信任分析快照数据和信任等级快照数据发送给快照数据库;
所述快照数据库,用于存储风险分析快照数据、信任分析快照数据和信任等级快照数据,为每一条风险分析快照数据、信任分析快照数据和信任等级快照数据均设置一个唯一的快照标识,并将风险分析快照数据、信任分析快照数据和信任等级快照数据的快照标识发送给信任分析模块。
11.根据权利要求10所述的追踪装置,其特征在于,所述追踪装置还进一步包括:写入模块;
所述风险分析模块将风险分析快照数据发送给所述写入模块;
所述信任分析模块将信任分析快照数据和信任等级快照数据发送给所述写入模块;
所述写入模块,用于将接收到的风险分析快照数据、信任分析快照数据和信任等级快照数据存储到快照数据库中。
12.根据权利要求10或11所述的追踪装置,其特征在于,所述追踪装置还进一步包括:查询模块;
所述查询模块与所述快照数据库连接,用于根据信任分析结果和对应的信任等级快照数据查询相对应的风险事件。
13.根据权利要求12所述的追踪装置,其特征在于:
所述查询模块还用于根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据,生成相应的数据列表。
14.一种电子设备,包括存储器、处理器、总线及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至9任一项所述信任风险事件的追踪方法的步骤。
15.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至9任一项所述信任风险事件的追踪方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111160357.2A CN113821425B (zh) | 2021-09-30 | 2021-09-30 | 信任风险事件的追踪方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111160357.2A CN113821425B (zh) | 2021-09-30 | 2021-09-30 | 信任风险事件的追踪方法、装置、电子设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113821425A CN113821425A (zh) | 2021-12-21 |
CN113821425B true CN113821425B (zh) | 2024-03-08 |
Family
ID=78916011
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111160357.2A Active CN113821425B (zh) | 2021-09-30 | 2021-09-30 | 信任风险事件的追踪方法、装置、电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113821425B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109242307A (zh) * | 2018-09-04 | 2019-01-18 | 中国光大银行股份有限公司***中心 | 一种反欺诈策略分析方法、服务器、电子设备及存储介质 |
CN111125042A (zh) * | 2019-11-13 | 2020-05-08 | 中国建设银行股份有限公司 | 一种确定风险操作事件的方法和装置 |
CN112231692A (zh) * | 2020-10-13 | 2021-01-15 | 中移(杭州)信息技术有限公司 | 安全认证方法、装置、设备及存储介质 |
US10922639B2 (en) * | 2017-12-27 | 2021-02-16 | Pearson Education, Inc. | Proctor test environment with user devices |
CN112383503A (zh) * | 2020-09-21 | 2021-02-19 | 西安交大捷普网络科技有限公司 | 一种网络安全事件处理方法 |
-
2021
- 2021-09-30 CN CN202111160357.2A patent/CN113821425B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10922639B2 (en) * | 2017-12-27 | 2021-02-16 | Pearson Education, Inc. | Proctor test environment with user devices |
CN109242307A (zh) * | 2018-09-04 | 2019-01-18 | 中国光大银行股份有限公司***中心 | 一种反欺诈策略分析方法、服务器、电子设备及存储介质 |
CN111125042A (zh) * | 2019-11-13 | 2020-05-08 | 中国建设银行股份有限公司 | 一种确定风险操作事件的方法和装置 |
CN112383503A (zh) * | 2020-09-21 | 2021-02-19 | 西安交大捷普网络科技有限公司 | 一种网络安全事件处理方法 |
CN112231692A (zh) * | 2020-10-13 | 2021-01-15 | 中移(杭州)信息技术有限公司 | 安全认证方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113821425A (zh) | 2021-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11831668B1 (en) | Using a logical graph to model activity in a network environment | |
US20240031390A1 (en) | Detecting Threats Against Computing Resources Based on User Behavior Changes | |
US11757945B2 (en) | Collaborative database and reputation management in adversarial information environments | |
US20210326885A1 (en) | Method and Apparatus of Identifying a Transaction Risk | |
US10929345B2 (en) | System and method of performing similarity search queries in a network | |
JP6490059B2 (ja) | データを処理するための方法、有形機械可読記録可能記憶媒体および装置、ならびにデータ・レコードから抽出された特徴をクエリするための方法、有形機械可読記録可能記憶媒体および装置 | |
US8949418B2 (en) | Firewall event reduction for rule use counting | |
US11157652B2 (en) | Obfuscation and deletion of personal data in a loosely-coupled distributed system | |
US11770464B1 (en) | Monitoring communications in a containerized environment | |
US20200104292A1 (en) | Method and apparatus for integrating multi-data source user information | |
CN114637989B (zh) | 基于分布式***的apt攻击追溯方法、***及存储介质 | |
CN104123288A (zh) | 一种数据查询方法及装置 | |
CN112364059B (zh) | 多规则场景下关联匹配方法、装置、设备和存储介质 | |
US20150317476A1 (en) | Distributed Pattern Discovery | |
CN113886841A (zh) | 一种面向云数据操作行为的可信溯源方法 | |
WO2022048359A1 (zh) | 一种数据归档方法、装置、电子设备和存储介质 | |
WO2022206439A1 (zh) | 提供跨链消息的方法和装置 | |
CN111966967A (zh) | 一种基于区块链技术和cdn的版权存证方法及*** | |
WO2022057525A1 (zh) | 一种数据找回方法、装置、电子设备及存储介质 | |
US20180240053A1 (en) | System and Method for Associating a Multi-segment Component Transaction | |
CN111259062B (zh) | 一种能够保证分布式数据库全表查询语句结果集顺序的方法和装置 | |
CN113821425B (zh) | 信任风险事件的追踪方法、装置、电子设备和存储介质 | |
CN111885088A (zh) | 基于区块链的日志监测方法及装置 | |
KR20100108609A (ko) | 이벤트 이력 기억 장치, 이벤트 이력 추적 장치, 이벤트 이력 기억 방법, 이벤트 이력 기억 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체 및 데이터 구조를 기록한 컴퓨터 판독 가능한 기록 매체 | |
CN104462392A (zh) | 分享回流量的统计方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |