CN116541815B - 一种计算机设备运维数据安全管理*** - Google Patents
一种计算机设备运维数据安全管理*** Download PDFInfo
- Publication number
- CN116541815B CN116541815B CN202310821307.7A CN202310821307A CN116541815B CN 116541815 B CN116541815 B CN 116541815B CN 202310821307 A CN202310821307 A CN 202310821307A CN 116541815 B CN116541815 B CN 116541815B
- Authority
- CN
- China
- Prior art keywords
- login
- user
- data
- time
- data type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012423 maintenance Methods 0.000 title claims abstract description 18
- 230000002159 abnormal effect Effects 0.000 claims abstract description 67
- 230000005856 abnormality Effects 0.000 claims abstract description 31
- 238000012795 verification Methods 0.000 claims description 33
- 238000000034 method Methods 0.000 claims description 32
- 230000003068 static effect Effects 0.000 claims description 10
- 238000010606 normalization Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/50—Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及用于数据处理技术领域,具体涉及一种计算机设备运维数据安全管理***,包括:采集***数据模块,获取***登录日志数据;用户登录强度获取模块,对***登录日志数据进行划分,得到每个用户不同数据类型的登录数据;根据每个用户在每个数据类型中的第一登录时间、第一输入次数、输入时间以及错误位数得到每个用户在每个数据类型中的登录强度;用户异常程度获取模块,根据登录强度、第二登录时间、第二输入次数以及登录次数得到每个用户在每个数据类型中的异常程度;异常用户判定模块,根据异常程度判定异常用户,并对异常用户进行拦截。本发明可以有效识别出异常用户,避免企业的***受到了攻击,避免损失。
Description
技术领域
本发明涉及数据处理技术领域,具体涉及一种计算机设备运维数据安全管理***。
背景技术
计算机设备运维数据主要包括敏感信息,如***访问记录、账号密码、设备安全漏洞等敏感信息,对于***而言,这些敏感信息保存着重要信息,因此需要采取措施确保敏感信息的安全性和可靠性。对***的数据进行管理时,***会根据登录日志记录用户的登录时间、地点、对象、操作以及登录用户的身份等信息,对违规访问行为进行纠正和监控,避免数据泄露和滥用。而在现有技术中,***在对登录用户进行监控时,主要是通过防火墙对异常登录行为进行识别拦截。但是当异常用户通过伪装,改变自己的登录习惯,将其伪装成与正常用户相似的登录习惯,防火墙无法有效识别出异常用户的异常登录行为,从而无法进行有效拦截,导致异常用户成功进入***。
发明内容
本发明提供一种计算机设备运维数据安全管理***,以解决现有的问题。
本发明的一种计算机设备运维数据安全管理***采用如下技术方案:
本发明一个实施例提供了一种计算机设备运维数据安全管理***,该***包括以下模块:
采集***数据模块,获取超级管理员权限,获取***登录日志数据;
用户登录强度获取模块,对***登录日志数据进行划分,得到每个用户不同数据类型的登录数据;将每个用户在每个数据类型中进行登录操作时所花费的总时间记为第一登录时间;将每个用户在每个数据类型中进行登录操作时输入密码的总次数记为第一输入次数;根据每个用户在每个数据类型中的第一登录时间、第一输入次数、输入时间以及错误位数得到每个用户在每个数据类型中的登录强度;
用户异常程度获取模块,将每个用户在每个数据类型中每次进行登录操作时所花费的时间记为第二登录时间;将每个用户在每个数据类型中每次进行登录操作时输入密码的次数记为第二输入次数;根据每个用户在每个数据类型中的登录强度、第二登录时间、第二输入次数以及登录次数得到每个用户在每个数据类型中的异常程度;
异常用户判定模块,根据每个用户在每个数据类型中的异常程度判定异常用户,并对异常用户进行拦截。
优选的,所述对***登录日志数据进行划分,得到每个用户不同数据类型的登录数据,包含的具体方法为:
将满足一次密码验证后,成功登录的登录日志数据记为第一种数据类型;将满足四次密码验证后,成功登录的登录日志数据记为第二种数据类型;将满足五次至七次密码验证后,通过超级管理员找回密码后成功登录的登录日志数据记为第三种数据类型;将满足五次包括五次以上次数密码验证后,成功登录的登录日志数据记为第四种数据类型;将满足无论验证次数多少,只要密码验证错误放弃登录操作而未成功登录的登录日志数据记为第五种数据类型。
优选的,所述输入时间,包含的具体方法为:
每个用户在每个数据类型中每次进行登录时,每次输入密码的时间记为输入时间。
优选的,所述错误位数,包含的具体方法为:
每个用户在每个数据类型中的每次输入密码时,输入的密码与正确密码相差的正确数字的位数记为错误位数。
优选的,所述每个用户在每个数据类型中的登录强度,包含的具体方法为:
式中,表示第/>个用户在第/>个数据类型的登录强度;/>表示第/>个用户在第/>个数据类型的登录时间,记为第一登录时间;/>表示第/>个数据类型中所有用户的登录时间的均值;/>表示第/>个用户在第/>个数据类型第/>次登录时的输入时间;/>表示第/>个用户在第/>个数据类型的输入次数,记为第一输入次数;/>表示第/>个用户在第/>个数据类型的第/>次输入时输入的密码与正确密码相差的正确数字的位数,记为错误位数。
优选的,所述每个用户在每个数据类型中的异常程度,包含的具体方法为:
式中,表示第/>个用户在第/>个数据类型的登录强度;/>表示第/>个用户在第/>个数据类型的登录日志数据中的异常程度;/>表示第/>个用户在第/>个数据类型中第/>次登录时的输入次数,即每一次登录时输入密码的次数,记为第二输入次数;/>表示第/>个用户在第/>个数据类型中第/>次登录的登录时间,记为第二登录时间;/>表示第/>个用户在第/>个数据类型中登录时间的方差;/>表示在登录日志数据中第/>个用户在第/>个数据类型的登录次数;/>表示线性归一化。
优选的,所述根据每个用户在每个数据类型中的异常程度判定异常用户,包含的具体方法为:
预设一个异常程度阈值,若异常程度大异常程度阈值时,则***将登录账号进行锁定,并将用户所对应的登录静态IP地址拉入黑名单,禁止该静态IP地址再次进行登录。
本发明的技术方案的有益效果是:通过对登录用户的登录日志数据与当前数据进行分析,将当前数据与登录日志数据进行对比,通过分析每一次对***的登录时数据的变化,获得点击次数与登录时间之间的关系,进而确定每个用户的在对***登录时的异常;其能够根据每个用户对***的登录习惯进行描述,来区分正常用户与异常用户;因为在对***登录时,无论入侵者是直接进行攻击,还是进行伪装后进行攻击,都能够通过当前数据与历史数据的变化进行判断,因此能够识别出异常用户,避免企业的***受到了攻击,避免损失。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种计算机设备运维数据安全管理***的结构框图。
具体实施方式
为了更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的一种计算机设备运维数据安全管理***,其具体实施方式、结构、特征及其功效,详细说明如下。在下述说明中,不同的“一个实施例”或“另一个实施例”指的不一定是同一实施例。此外,一或多个实施例中的特定特征、结构或特点可由任何合适形式组合。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。
下面结合附图具体的说明本发明所提供的一种计算机设备运维数据安全管理***的具体方案。
请参阅图1,其示出了本发明一个实施例提供的一种计算机设备运维数据安全管理***的结构框图,该***包括以下结构:
采集***数据模块101,获取***登录日志数据,对数据进行预处理。
需要说明的是,计算机设备运维数据主要包括敏感信息,如***访问记录、账号密码、设备安全漏洞等敏感信息,对于***而言,这些敏感信息保存着重要信息,因此需要采取措施确保敏感信息的安全性和可靠性。对***的数据进行管理时,***会根据登录日志记录用户的登录时间、地点、对象、操作以及登录用户的身份等信息,对违规访问行为进行纠正和监控,避免数据泄露和滥用。而在现有技术中,***在对登录用户进行监控时,主要是通过防火墙对异常登录行为进行识别拦截。但是当异常用户通过伪装,改变自己的登录习惯,将其伪装成与正常用户相似的登录习惯,防火墙无法有效识别出异常用户的异常登录行为,从而无法进行有效拦截,导致异常用户成功进入***。
具体的,本实施例不针对某一企业的计算机设备运维数据安全管理***,此处以小型商场的后台管理***为例作为表述对象。首先打开***的超级管理员登录界面,输入超级管理员的账号与密码登录超级管理员账号,获取超级管理员权限,打开***中的操作***查看与当前操作时间相距一年时间范围内的历史登录日志,导出这一年的登录日志数据,其中登录日志数据中包含登录时间、静态IP地址、登录时长等登录数据。
然后对***一年的登录日志数据进行分析,将其划分为不同的数据类型,通过分析每个用户在不同数据类型中每次登录时登录数据的登录时间、输入次数的变化,得到每个用户的登录强度;根据每个用户的登录强度结合多次登录的登录次数,得到每个用户在登录***时的异常程度。通过异常程度反映每个用户对***的登录习惯,识别正常用户与异常用户并进行拦截。
至此,通过***超级管理员权限获取登录日志数据;划分不同类型,通过分析不同类型中登录数据的变化,得到每个用户的登录强度;根据登录强度与登录数据的变化得到每个用户的异常程度。根据异常程度识别异常用户,并进行拦截。
用户登录强度获取模块102,对登录日志数据进行分析划分,获得不同用户所属的数据类型,根据登录数据的变化来得到不同用户登录时的登录强度。
需要说明的是,为了对***的登录日志数据进行分析,需要根据正常用户的登录习惯来识别异常登录的异常用户,从而来决定是否允许该用户继续对***进行登录。例如:为了保障储户的资金的安全,银行的手机银行***设置的防护等级普遍较高,用户通过手机银行APP登录手机银行***时,需要进行身份验证。一般设置账号和密码的信息作为***的识别指令。当该用户的手机丢失或被植入病毒时,***会被异常用户进行异常登录,此时由于异常用户不知道密码,所以异常用户在进行登录***时就需要进行多次尝试,来筛查准确的密码。而用户在进行***登录时一般只有三次机会,当三次输入的密码都不正确时,***将自行锁定,无法再次输入账号与密码,此时***进入用户身份验证环节。而***在进行用户身份验证时,一般需要校验验证码和人脸识别这双重验证操作来保证是否为用户本人在进行操作。若身份验证成功,则可以修改密码;若身份验证失败,则该账号将被锁定为异常账号,需要前往柜台进行处理。
进一步需要说明的是,上述流程由于企业性质的特殊性,导致流程是一套较为完整的***登录流程,而在一般情况下,为降低运营成本,一般企业在登录***时只保留账号和密码验证,没有账号与密码输入次数的限制,也没有身份验证的环节,所以该类***在验证账号与密码时,可以进行多次尝试,即使账号和密码不匹配,也不会对账号进行锁定,从而导致其他异常用户在多次验证密码的过程中可能获得正确的密码,从而登入后台管理***中,造成信息泄露,造成企业的损失。另外,本实施例选取的小型商场的后台管理***的验证流程则是符合上述一般情况下***的验证流程。
本实施例通过对这些用户的登录日志数据进行分析,来识别异常登录的异常用户。若发现异常登录时,对该账号进行锁定,锁定后需要超级管理员进行操作后才能再次登录。在登录日志数据中会存在五种情况:第一种情况是通过账号和密码进行正常登录;第二种情况是经过较少次数的密码验证后,通过账号和密码登录成功,该情况下可能是用户输错密码导致的;第三种情况是经过较多次数的密码验证后,通过超级管理员找回密码后登录成功;第四种情况是经过较多次数的密码验证后,通过账号和密码登录成功,该情况下极有可能是异常登录;第五种情况是无论次数多少,只要密码验证错误放弃登录操作从而未登录成功。
针对上述的五种情况,由于***自身没有区分登录行为是登录人为登录还是电脑恶意登录的能力,所以需要对其进行分类。而由于在实际的***登录中,人为登录和电脑恶意登录存在不同情况的差异,例如相同时间内登录的次数不相同、登录的静态IP地址不同等,所以可根据不同的登录情况对数据进行归类,获得不同登录情况的数据类型,然后根据每个数据类型中的数据变化来判断登录数据的异常。
具体的,对登录日志数据进行归类的具体分类如下:将满足一次密码验证后,成功登录的登录日志数据记为第一种数据类型;将满足四次密码验证后,成功登录的登录日志数据记为第二种数据类型;将满足五次至七次密码验证后,通过超级管理员找回密码后成功登录的登录日志数据记为第三种数据类型;将满足五次包括五次以上次数密码验证后,成功登录的登录日志数据记为第四种数据类型;将满足无论验证次数多少,只要密码验证错误放弃登录操作而未成功登录的登录日志数据记为第五种数据类型。
至此通过上述分类方法得到五种数据类型的登录日志数据。
进一步的,而在五种数据类型中,第一种数据类型是通过账号和密码进行正常登录,由于这种登录情况是一次通过账号和密码验证成功登录***,不存在因账号和密码验证错误而二次验证的情况,所以第一种数据类型登录的异常程度最小,是无法有效检测出用户的异常情况;而其余四种数据类型,由于均存在因账号和密码验证错误而二次验证的情况,所以其余四种数据类型都可能存在异常的登录情况,导致其余四种数据类型的异常程度均可以检测用户的异常情况。因此根据登录数据的变化来判断登录的异常情况,区分不同登录情况下的登录强度。其计算公式如下:
式中,表示第/>个用户在第/>个数据类型的登录强度;/>表示第/>个用户在第/>个数据类型的登录时间,即第一登录时间;/>表示第/>个数据类型中所有用户的登录时间的均值;/>表示第/>个用户在第/>个数据类型的第/>次登录时的输入时间;/>表示第/>个用户在第/>个数据类型的输入次数,即第一输入次数;/>表示第/>个用户在第/>个数据类型的第次输入时输入的密码与正确密码相差的正确数字的位数,即错误位数;/>表示该用户的登录时间与该数据类型下的登录时间均值的差值的绝对值;/>表示该用户的异常登录程度,异常登录程度越大,其异常的程度越大;/>表示第/>个用户在第/>个数据类型中进行登录时的总时间。
至此,通过上述公式可以获得所有用户除第一种数据类型外的其余所有数据类型中的登录强度。
需要补充说明的是,第个用户在第/>个数据类型的第/>次登录时输入时间表示的是在每次进行登录时,每次输入密码的时间就是登录时的输入时间,输入时间越短,则说明越不可能时人为输入的。而用户是以登录数据中的静态IP地址而定,一个静态IP地址代表一个用户。
另外需要说明的是,表示输入的密码与正确密码错误的位数。因为用户在输入密码时,密码验证错误主要分为两种情况:第一种情况是输入密码时点错了某位数;第二种情况是忘记正确密码,选择经常使用的密码遍历验证。本实施例以第一种情况为例,例如:登录***时正确的密码是六位数372104,但输入的密码为373104或672104等情况,其中每一次正确的位数为五个数字。而异常用户或电脑在恶意登录时,输入的密码是随机的,根据一定的规则生成随机数,进行不断的尝试,输入的密码可能为645182或361002等情况,其与正确密码相同的位数时很少的,因此根据登录者在进行登录时输入的密码进行对比,来获得登录者的异常程度。/>表示该用户的登录时间与该数据类型下的登录时间均值的差值的绝对值,因为用户在输入账号和密码进行登录时,一定是具有一定是时间的,而恶意登录的程序在进行登录时在很短的时间内会多次输入密码进行尝试登录,因此根据输入账号和密码在进行登录时的时间来判断用户的登录强度。
用户异常程度获取模块103,根据登录强度通过分析用户的登录习惯,获得用户的异常程度。
需要说明的是,若本次登录操作是一次异常的登录操作,则该***的防火墙会在一定的时间内受到多次攻击,从而进行多次验证密码的环节,其结果只会存在两种情况:一是验证成功,进入***;二是验证失败。但上述获取的登录强度是根据限定在一定程度下***的攻击频率获取的,若异常用户通过伪装,去模拟正常用户的登录习惯,保证一定程度下***的攻击频率,***则会无法识别是人为登录还是恶意攻击。因此还需要对每个数据类型中每个用户的登录日志数据进行登录习惯的分析,来获得其登录的异常程度。
因为用户在进行***登录时,对于正常的用户不会在短时间内出现大量次数的登录,而是具有一定的频次,并且其历史登录日志中会存在登录日志数据,若是一个企业的新员工其必然会通过账号和密码进行登录,而不会出短时间内的大量登录。但是对于恶意攻击其目的是为了获取该***内的数据,因此会在短时间内进行不断的尝试。
具体的,由于在上述模块102计算登录强度时,是根据每个用户在每次登录时产生的登录数据分析个人登录习惯,而每个用户的个人登录习惯会随着时间的推移可能发生一定程度的改变,导致根据每个用户在每次登录时产生的登录数据进行分析的个人登录习惯无法表示整体时间变化方面的个人登录习惯,因此对登录日志数据进行结合多次登录方面的分析,获得每个用户的数据登录特征,其计算公式如下:
式中,表示第/>个用户在第/>个数据类型的登录强度;/>表示第/>个用户在第/>个数据类型的登录日志数据中的异常程度;/>表示第/>个用户在第/>个数据类型中第/>次登录时的输入次数,即每一次登录时输入密码的次数,即第二输入次数;/>表示第/>个用户在第/>个数据类型中第/>次登录的登录时间,即第二登录时间;/>表示第/>个用户在第/>个数据类型中登录时间的方差;/>表示在登录日志数据中第/>个用户在第/>个数据类型的登录次数。/>表示线性归一化。
表示第/>个用户在第/>个数据类型在第/>次登录时输入次数的频率,因为对于正常登录的用户来说,其每一次登录的次数时一定的,并且每一次登录的时间也是区域一个定值的,那么其比值区域一个定值;而对于恶意攻击在进行登录时,会在短时间内进行多次登录,那么登录的次数较多,并且时间较短,其比值较大。/>表示每一次登录在整个登录日志数据中所占的比重,其比重越大,越说明可能是遭受到了恶意攻击。相当于是第/>个用户在第/>个数据类型的登录日志数据中的变化获得的权重。
至此,通过上述公式可以获得所有用户除第一种数据类型外的其余所有数据类型中的异常程度。
进一步需要说明的是,对前四种数据类型而言,每一次登录成功记为一次登录次数;对第五种数据类型而言,每个用户在连续一段时间T0内的输入次数记为一次登录次数,其中本实施例以T0=7秒为例进行叙述,本实施例不进行具体限定,其中T0可根据具体实施情况而定。根据每个用户的登录日志数据的历史数据的变化来计算获得每个用户登录日志数据的异常程度,因为在对登录数据进行分析时,通过分析每一次对***的登录时数据的变化,获得点击次数与登录时间之间的关系,进而确定每个用户的在对***登录时的异常。其能够根据每个用户对***的登录习惯进行描述,当出现新的用户时,根据该用户的登录数据就能够获得该用户的登录异常程度值。
异常用户判定模块104,根据用户异常程度来判断用户的异常。
具体的,由于异常用户是通过获取某一***的账号和网址,通过多次密码验证的方法进入***,因此通过计算每个用户在进行登录时的异常程度,然后根据异常程度进行判断,预设一个异常程度阈值T1,若异常程度大于T1时,则说明当前用户是异常登录,***将该登录账号进行锁定,并将当前用户所对应的登录静态IP地址拉入黑名单,禁止该静态IP地址再次进行登录。
需要说明的是,其中本实施例以T1=0.24为例进行叙述,本实施例不进行具体限定,其中T1可根据具体实施情况而定。
至此,本实施例完成。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种计算机设备运维数据安全管理***,其特征在于,该***包括以下模块:
采集***数据模块,获取超级管理员权限,获取***登录日志数据;
用户登录强度获取模块,对***登录日志数据进行划分,得到每个用户不同数据类型的登录数据;将每个用户在每个数据类型中进行登录操作时所花费的总时间记为第一登录时间;将每个用户在每个数据类型中进行登录操作时输入密码的总次数记为第一输入次数;根据每个用户在每个数据类型中的第一登录时间、第一输入次数、输入时间以及错误位数得到每个用户在每个数据类型中的登录强度;
用户异常程度获取模块,将每个用户在每个数据类型中每次进行登录操作时所花费的时间记为第二登录时间;将每个用户在每个数据类型中每次进行登录操作时输入密码的次数记为第二输入次数;根据每个用户在每个数据类型中的登录强度、第二登录时间、第二输入次数以及登录次数得到每个用户在每个数据类型中的异常程度;
异常用户判定模块,根据每个用户在每个数据类型中的异常程度判定异常用户,并对异常用户进行拦截;
所述对***登录日志数据进行划分,得到每个用户不同数据类型的登录数据,包含的具体方法为:
将满足一次密码验证后,成功登录的登录日志数据记为第一种数据类型;将满足四次密码验证后,成功登录的登录日志数据记为第二种数据类型;将满足五次至七次密码验证后,通过超级管理员找回密码后成功登录的登录日志数据记为第三种数据类型;将满足五次包括五次以上次数密码验证后,成功登录的登录日志数据记为第四种数据类型;将满足无论验证次数多少,只要密码验证错误放弃登录操作而未成功登录的登录日志数据记为第五种数据类型;
所述每个用户在每个数据类型中的登录强度,包含的具体方法为:
式中,表示第/>个用户在第/>个数据类型的登录强度;/>表示第/>个用户在第/>个数据类型的登录时间,记为第一登录时间;/>表示第/>个数据类型中所有用户的登录时间的均值;/>表示第/>个用户在第/>个数据类型第/>次登录时的输入时间;/>表示第/>个用户在第个数据类型的输入次数,记为第一输入次数;/>表示第/>个用户在第/>个数据类型的第/>次输入时输入的密码与正确密码相差的正确数字的位数,记为错误位数;
所述每个用户在每个数据类型中的异常程度,包含的具体方法为:
式中,表示第/>个用户在第/>个数据类型的登录强度;/>表示第/>个用户在第/>个数据类型的登录日志数据中的异常程度;/>表示第/>个用户在第/>个数据类型中第/>次登录时的输入次数,即每一次登录时输入密码的次数,记为第二输入次数;/>表示第/>个用户在第个数据类型中第/>次登录的登录时间,记为第二登录时间;/>表示第/>个用户在第/>个数据类型中登录时间的方差;/>表示在登录日志数据中第/>个用户在第/>个数据类型的登录次数;/>表示线性归一化。
2.根据权利要求1所述一种计算机设备运维数据安全管理***,其特征在于,所述输入时间,包含的具体方法为:
每个用户在每个数据类型中每次进行登录时,每次输入密码的时间记为输入时间。
3.根据权利要求1所述一种计算机设备运维数据安全管理***,其特征在于,所述错误位数,包含的具体方法为:
每个用户在每个数据类型中的每次输入密码时,输入的密码与正确密码相差的正确数字的位数记为错误位数。
4.根据权利要求1所述一种计算机设备运维数据安全管理***,其特征在于,所述根据每个用户在每个数据类型中的异常程度判定异常用户,包含的具体方法为:
预设一个异常程度阈值,若异常程度大异常程度阈值时,则***将登录账号进行锁定,并将用户所对应的登录静态IP地址拉入黑名单,禁止该静态IP地址再次进行登录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310821307.7A CN116541815B (zh) | 2023-07-06 | 2023-07-06 | 一种计算机设备运维数据安全管理*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310821307.7A CN116541815B (zh) | 2023-07-06 | 2023-07-06 | 一种计算机设备运维数据安全管理*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116541815A CN116541815A (zh) | 2023-08-04 |
| CN116541815B true CN116541815B (zh) | 2024-04-05 |
Family
ID=87451069
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310821307.7A Active CN116541815B (zh) | 2023-07-06 | 2023-07-06 | 一种计算机设备运维数据安全管理*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116541815B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118155784B (zh) * | 2024-05-09 | 2024-07-12 | 江苏法迈生医学科技有限公司 | 临床试验管理***的数据安全管理方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107276982A (zh) * | 2017-05-08 | 2017-10-20 | 微梦创科网络科技(中国)有限公司 | 一种异常登录检测方法及装置 |
| CN107911396A (zh) * | 2017-12-30 | 2018-04-13 | 世纪龙信息网络有限责任公司 | 登录异常检测方法和*** |
| CN110674021A (zh) * | 2019-09-09 | 2020-01-10 | 深圳供电局有限公司 | 一种移动应用登录日志的检测方法及*** |
| CN114154147A (zh) * | 2021-12-08 | 2022-03-08 | 重庆化工职业学院 | 一种人机行为检测方法、***、设备及介质 |
| CN114389871A (zh) * | 2021-12-31 | 2022-04-22 | 新浪网技术(中国)有限公司 | 一种账号异常登录自动分析方法和装置 |
| WO2022147564A1 (en) * | 2021-01-04 | 2022-07-07 | Saudi Arabian Oil Company | Detecting suspicious user logins in private networks using machine learning |
-
2023
- 2023-07-06 CN CN202310821307.7A patent/CN116541815B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107276982A (zh) * | 2017-05-08 | 2017-10-20 | 微梦创科网络科技(中国)有限公司 | 一种异常登录检测方法及装置 |
| CN107911396A (zh) * | 2017-12-30 | 2018-04-13 | 世纪龙信息网络有限责任公司 | 登录异常检测方法和*** |
| CN110674021A (zh) * | 2019-09-09 | 2020-01-10 | 深圳供电局有限公司 | 一种移动应用登录日志的检测方法及*** |
| WO2022147564A1 (en) * | 2021-01-04 | 2022-07-07 | Saudi Arabian Oil Company | Detecting suspicious user logins in private networks using machine learning |
| CN114154147A (zh) * | 2021-12-08 | 2022-03-08 | 重庆化工职业学院 | 一种人机行为检测方法、***、设备及介质 |
| CN114389871A (zh) * | 2021-12-31 | 2022-04-22 | 新浪网技术(中国)有限公司 | 一种账号异常登录自动分析方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 统一身份认证日志集中管理与账号风险检测;章思宇;黄保青;姜开达;;东南大学学报(自然科学版)(S1);第117-121页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116541815A (zh) | 2023-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112182519B (zh) | 一种计算机存储***安全访问方法及访问*** | |
| US20210328969A1 (en) | Systems and methods to secure api platforms | |
| US20210084062A1 (en) | Method and Apparatus for Network Fraud Detection and Remediation Through Analytics | |
| US20230032660A1 (en) | Machine learning for identity access management | |
| US10911437B2 (en) | Detection of anomalous authentication attempts in a client-server architecture | |
| CN113542279B (zh) | 一种网络安全风险评估方法、***及装置 | |
| US20210234877A1 (en) | Proactively protecting service endpoints based on deep learning of user location and access patterns | |
| CA2535542A1 (en) | System and method for determining a computer user profile from a motion-based input device | |
| CN111083165B (zh) | 基于联合防撞库平台的登录拦截方法和*** | |
| CN116541815B (zh) | 一种计算机设备运维数据安全管理*** | |
| CN110753038A (zh) | 一种异常检测自适应权限控制***及方法 | |
| US10956543B2 (en) | System and method for protecting online resources against guided username guessing attacks | |
| CN116915515B (zh) | 用于工控网络的访问安全控制方法及*** | |
| CN116611116B (zh) | 一种数据的安全存储管理方法及*** | |
| JP4843546B2 (ja) | 情報漏洩監視システムおよび情報漏洩監視方法 | |
| CN110958236A (zh) | 基于风险因子洞察的运维审计***动态授权方法 | |
| US10580004B2 (en) | System and method of identifying new devices during a user's interaction with banking services | |
| EP4068125B1 (en) | Method of monitoring and protecting access to an online service | |
| KR101900494B1 (ko) | 계정 도용 탐지 방법 및 장치 | |
| Hakkoymaz | Classifying database users for intrusion prediction and detection in data security | |
| CN114297712A (zh) | 基于数据流转全流程审计的数据防攻击方法及装置 | |
| Osop et al. | Quality evidence, quality decisions: ways to improve security and privacy of EHR systems | |
| Lunt | Using statistics to track intruders | |
| Ikuomola et al. | A framework for collaborative, adaptive and cost sensitive intrusion response system | |
| CN117150459A (zh) | 零信任用户身份安全检测方法和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240426 Address after: 518000, Room 602-603, Qing'an Building, Nanhu Road, Nanhu Street, Luohu District, Shenzhen, Guangdong Province Patentee after: Shenzhen Benhuibao Technology Co.,Ltd. Country or region after: China Address before: 518000 Room 301, building 3, Shangyuan Industrial Park, Liantang Industrial City, Shangcun community, Gongming street, Guangming District, Shenzhen City, Guangdong Province Patentee before: SHENZHEN POINT ELECTRONIC TECH. CO.,LTD. Country or region before: China Patentee before: Shenzhen Benhuibao Technology Co.,Ltd. |