WO2021136317A1 - 一种基于组织内部邮件日志分析的安全可视化方法及*** - Google Patents

Abstract

一种基于组织内部邮件日志分析的安全可视化方法及统，方法包括：数据清洗（S1）、数据传输（S2）、数据存储（S3）、数据处理（S4）以及数据可视化（S5）。通过挖掘研判分析邮件日志的多维数据，并以可视化方式呈现组织内部人员的行为，有效实现内部人员网络安全威胁隐患行为的排查。采用仅聚焦邮件日志数据分析挖掘的方式，无需分析除邮件日志数据以外的日志数据，减少了多维异构数据的分析难度耗时，提升工作效率。由于分析的邮件数据具备多样性，从而能够实现整体与个体的有效融合分析可视化，且几乎每个组织都会使用邮件沟通，因而上述方法的目标对象具备普遍性。

Description

一种基于组织内部邮件日志分析的安全可视化方法及*** 技术领域

本发明属于网络安全技术领域，尤其涉及一种基于组织内部邮件日志分析的安全可视化方法及***。

背景技术

随着互联网的飞速发展，通过网络所承载的各类生产、生活等活动已成为日常不可缺少的环节。随着不断演进的网络攻击手段和传统网络安全边界的逐渐模糊，导致了日益严峻的网络安全形势。针对当下网络所面临的各类内外部安全威胁隐患，我们迫切需要对网络中的安全威胁行为进行识别和应对。

邮件作为最基础的应用，各组织单位基本上都会有所配置，因此造成邮件一直都是网络安全威胁的重灾区。通过邮件导致的数据泄密、网络攻击、木马病毒入侵、内部间谍攻击等事件不胜枚举。

针对邮件安全的传统的防御分析手段都是侧重对外攻击的防御，比如过滤检测垃圾恶意邮件行为，但对于组织内部人员通过邮件渠道遭到的安全威胁以及内部违规越界行为却无法进行有效的监测。

发明内容

本发明的目的在于提供一种基于组织内部邮件日志分析的安全可视化***，通过挖掘研判分析邮件日志的多维数据，并以可视化方式呈现组织内部人员的行为，能够有效地对内部人员的安全威胁隐患行为进行排查。

第一方面，本发明实施例提供一种基于组织内部邮件日志分析的安全可视化方法，包括：

S1、数据清洗，所述数据清洗包括：

将组织内部产生的邮件日志数据以天为单位向大数据分析平台的分布式***中存入；

根据设定的安全威胁隐患挖掘分析需求，通过Spark数据处理模块对所述邮件日志数据进行清洗操作，并将清洗后的邮件日志数据存储在分布式文件***中；其中，所述清洗操作包括：对邮件日志数据进行拆分、去重和缺省值填充；

S2、数据传输，所述数据传输包括：

采用数据迁移工具从分布式文件***中将相关的经预处理后的数据传输到关系型数据库；其中，相关的数据表和字段需提前进行定义；

S3、数据存储，所述数据存储包括：

存储邮件日志关联到的各类安全日志；

采用分布式搜索分析引擎实现对存储的数据进行全文搜索和分析，以及采用关系型数据库用于邮件日志数据的关联聚合分析和作为提供前端数据可视化的后端数据接口；

S4、数据处理，所述数据处理包括：

对邮件日志涉及到的时间信息、收发IP信息、收发人通信力导向图、登录信息、主题词云、接收发送垃圾恶意邮件信息以及附件信息进行分析统计，并把处理后数据存入关系型数据库，以便于可视化呈现的调用；

S5、数据可视化，所述数据可视化包括：

基于邮件主题、收发件人关联关系、IP地址、域名信息、登录***设备以及时间通过使用前端可视化呈现组件进行可视化的图标呈现，输出围绕邮件日志深度分析后的内部人员画像。

进一步地，所述内部人员画像包括：根据某内部人员一段时间内邮件主题所绘制的词云信息图、内部人员的基于时间维度的邮件***接入信息图和内部人员接收到垃圾恶意邮件统计信息图。

进一步地，所述基于组织内部邮件日志分析的安全可视化方法，还包括：

对组织内部邮件日志进行整体统计，获取组织内部邮件日志的整体统计信息，并以可视化的形式展示，包括：内部人员邮件收发关联关系信息图，垃圾恶意邮件按填的数量统计信息图、垃圾恶意识别分类信息图和安全威胁重灾区的账户统计信息图。

进一步地，将Hadoop作为所述大数据分析平台，将Hadoop的HDFS作为所述分布式***，将Sqoop作为所述数据迁移工具，将ElasticSearch作为所述分布式搜索分析引擎，将MySQL作为所述关系型数据库；所述可视化呈现组件包括Echarts、Highcharts、inMap、D3和AntV。第二方面，本发明实施例提供一种基于组织内部邮件日志分析的安全可视化***，包括：

数据清洗模块，数据传输模块、数据存储模块、数据处理模块以及数据可视化模块

所述数据清洗模块，用于将组织内部产生的邮件日志数据以天为单位向大数据分析平台的分布式***中存入，根据设定的安全威胁隐患挖掘分析需求，通过Spark数据处理模块对所述邮件日志数据进行清洗操作，将清洗后的邮件日志数据存储在分布式文件***中；其中，所述清洗操作包括：对邮件日志数据进行拆分、去重和缺省值填充；

所述数据传输模块，用于采用数据迁移工具从分布式文件系中将相关的经预处理后的数据传输到关系型数据库；其中，相关的数据表和字段需提前进行定义；

数据存储模块，用于存储邮件日志关联到的各类安全日志、采用分布式搜索分析引擎实现对存储的数据进行全文搜索和分析以及采用关系型数据库用于邮件日志数据的关联聚合分析和作为提供前端数据可视化的后端数据接口；

数据处理模块，用于对邮件日志涉及到的时间信息、收发IP信息、收发人通信力导向图、登录信息、主题词云、接收发送垃圾恶意邮件信息以及附件信息进行分析统计，并把处理后数据存入关系型数据库，以便于可视化呈现的调用；

数据可视化模块，用于基于邮件主题、收发件人关联关系、IP地址、域名信息、登录***设备以及时间通过使用前端可视化呈现组件进行可视化的图标呈现，输出围绕邮件日志深度分析后的内部人员画像。

进一步地，所述内部人员画像包括：根据某内部人员一段时间内邮件主题所绘制的词云信息图、内部人员的基于时间维度的邮件***接入信息图和内部人员接收到垃圾恶意邮件统计信息图。

进一步地，所述基于组织内部邮件日志分析的安全可视化***，还包括：

所述数据处理模块还用于对组织内部邮件日志进行整体统计，获取组织内部邮件日志的整体统计信息，以使所述数据可视化模块对所述组织内部日志的整体统计信息进行展示。

进一步地，将Hadoop作为所述大数据分析平台，将Hadoop的HDFS作为所述分布式***，将Sqoop作为所述数据迁移工具，将ElasticSearch作为所述分布式搜索分析引擎，将MySQL作为所述关系型数据库；所述可视化呈现组件包括Echarts、Highcharts、inMap、D3和AntV。

相对于现有技术，本发明实施例具备以下有益效果：

(1)本发明实施例通过挖掘研判分析邮件日志的多维数据，并以可视化方式呈现组织内部人员的行为，有效实现内部人员网络安全威胁隐患行为的排查。

(2)本发明实施例仅聚焦邮件日志数据分析挖掘，无需分析除邮件日志数据以外的日志数据，减少了多维异构数据的分析难度耗时，提升工作效率。

(3)本发明实施例分析的邮件数据具备多样性，从而能够实现整体与个体的有效融合分析可视化。

(4)由于几乎每个组织都会使用邮件沟通，本发明实施例的目标对象具备普适性。

附图说明

图1为本发明实施例提供的一种基于组织内部邮件日志分析的安全可视化方法的流程示意图；

图2为本发明一个优选实施例提供的根据某内部人员一段时间内邮件主题所绘制的词云信息示意图；

图3为本发明一个优选实施例提供的内部人员基于时间维度的邮件***接入信息图；

图4为本发明一个优选实施例提供的内部人员接收到垃圾恶意邮件统计信息图；

图5为本发明一个优选实施例提供的内部人员邮件收发关联关系网络导向图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

需要说明的是，文中所使用的步骤编号仅是为了方便描述，不对作为对步骤执行先后顺序的限定。

请参阅图1，本发明实施例提供一种基于组织内部邮件日志分析的安全可视化方法，包括：

S1、数据清洗，所述数据清洗包括：

将组织内部产生的邮件日志数据以天为单位向大数据分析平台的分布式***中存入；

根据设定的安全威胁隐患挖掘分析需求，通过Spark数据处理模块对所述邮件日志数据进行清洗操作，并将清洗后的邮件日志数据存储在分布式文件***中；其中，所述清洗操作包括：对邮件日志数据进行拆分、去重和缺省值填充；

在本发明实施例中，组织是指人们为实现一定的目标，互相协作结合而成的集体或团体，如党团组织、工会组织、企业、军事组织、学校等等。狭义的组织专门指人群而言，运用于社会管理之中。在现代社会生活中.组织是人们按照一定的目的、任务和形式编制起来的社会集团。

S2、数据传输，所述数据传输包括：

采用数据迁移工具从分布式文件系中将相关的经预处理后的数据传输到关系型数据库；其中，相关的数据表和字段需提前进行定义；

S3、数据存储，所述数据存储包括：

存储邮件日志关联到的各类安全日志；

采用分布式搜索分析引擎实现对存储的数据进行全文搜索和分析，以及采用关系型数据库用于邮件日志数据的关联聚合分析和作为提供前端数据可视化的后端数据接口；

S4、数据处理，所述数据处理包括：

对邮件日志涉及到的时间信息、收发IP信息、收发人通信力导向图、登录信息、主题词云、接收发送垃圾恶意邮件信息以及附件信息进行分析统计，并把处理后数据存入关系型数据库，以便于可视化呈现的调用。

S5、数据可视化，所述数据可视化包括：

基于邮件主题、收发件人关联关系、IP地址、域名信息、登录***设备以及时间通过使用前端可视化呈现组件进行可视化的图标呈现，输出围绕邮件日志深度分析后的内部人员画像。

对于内部人员画像，具体的，可包括：根据某内部人员一段时间内邮件主题所绘制的词云信息图、内部人员的基于时间维度的邮件***接入信息图和内部人员接收到垃圾恶意邮件统计信息图。

请参阅图2，图2为表示某内部人员一段时间内邮件主题所绘制的词云信息示意图，其原理是频次高的主题在词云图中位置居中且字体越大；基于该视图，可以有效分析内部人员在一段时间内的通过邮件通信所反映出来的日常事物关注度。

请参阅图3，图3展示内部人员基于时间维度的邮件***接入信息图，包含登录的时间、IP地址、登录方式以及登录结果信息；基于该视图，可从成功接入***的数据中有效分析统计人员的使用习惯，从登录失败的数据中分析原因(外部破解、攻击等)，有效对比异常行为，开展有针对性的防护。

请参阅图4，图4为内部人员接收到垃圾恶意邮件统计信息图，包括日期、垃圾恶意特征、来源IP、出现次数以及研判分类等维度。基于该视图能够帮助分析和判断受外部侵扰的程度，还能够挑出重点关注的人员进行安全防御教育以及底层技术防御措辞的增强。

在其中一种优选的实施例中，所述基于组织内部邮件日志分析的安全可视化方法，还包括；

对组织内部邮件日志进行整体统计，获取组织内部邮件日志的整体统计信息，并以可视化的形式展示。

所述组织内部邮件日志的整体统计信息包括：内部人员邮件收发关联关系信息，垃圾恶意邮件按填的数量统计信息、垃圾恶意识别分类信息和安全威胁重灾区的账户统计信息。

其中，内部人员邮件收发关联关系信息通过以关系网络导向图的形式进行展示，请参阅图5，图5展示内部人员邮件收发关联关系网络导向图；其中每个节点代表一个人员，线代表两个人员彼此间的通信。此外，频次越高线条的颜色加深并***，收发次数较多的节点通常表明是组织内部重要的人员，其节点的大小也越大；同时组织内部有聚焦不同业务的团队或者部门，因此会存在分簇聚类的效果；基于该视图便于分析观察组织内部整体的邮件通信状态，并通过通信状态的改变趋势挖掘可能存在的异常行为。

在其中一种优选的实施例中，将Hadoop作为所述大数据分析平台，将Hadoop的HDFS作为所述分布式***，将Sqoop作为所述数据迁移工具，将ElasticSearch作为所述分布式搜索分析引擎，将MySQL作为所述关系型数据库；所述可视化呈现组件包括Echarts、Highcharts、inMap、D3和AntV。

在本发明实施例中，ElasticSearch是一个针对海量数据的一个搜索分析引擎，主要是对于存储的何种数据进行全文搜索和分析。MySQL作为导入到Hadoop大数据分析平台的其中一个维度的数据。

需要说明的是，本发明并不限制所述大数据分析平台仅为Hadoop、所述分布式***仅为HDFS、所述数据迁移工具仅为Sqoop、所述分布式搜索分析引擎仅为ElasticSearch、所述关系型数据库仅为MySQL，所述可视化呈现组件仅包括Echarts、Highcharts、inMap、D和AntV。上述实施例只是本发明一个优选的实施例。

本发明实施例还提供一基于组织内部邮件日志分析的安全可视化***，包括：

数据清洗模块，数据传输模块、数据存储模块、数据处理模块以及数据可视化模块

所述数据清洗模块，用于将组织内部产生的邮件日志数据以天为单位向大数据分析平台的分布式***中存入，根据设定的安全威胁隐患挖掘分析需求，通过Spark数据处理模块对所述邮件日志数据进行清洗操作，将清洗后的邮件日志数据存储在分布式文件***中；其中，所述清洗操作包括：对邮件日志数据进行拆分、去重和缺省值填充；

在本发明实施例中，组织是指人们为实现一定的目标，互相协作结合而成的集体或团体，如党团组织、工会组织、企业、军事组织、学校等等。狭义的组织专门指人群而言，运用于社会管理之中。在现代社会生活中.组织是人们按照一定的目的、任务和形式编制起来的社会集团。

所述数据传输模块，用于采用数据迁移工具从分布式文件系中将相关的经预处理后的数据传输到关系型数据库；其中，相关的数据表和字段需提前进行定义；

数据存储模块，用于存储邮件日志关联到的各类安全日志、采用分布式搜索分析引擎实现对存储的数据进行全文搜索和分析以及采用关系型数据库用于邮件日志数据的关联聚合分析和作为提供前端数据可视化的后端数据接口；

数据处理模块，用于对邮件日志涉及到的时间信息、收发IP信息、收发人通信力导向图、登录信息、主题词云、接收发送垃圾恶意邮件信息以及附件信息进行分析统计，并把处理后数据存入关系型数据库，以便于可视化呈现的调用；

数据可视化模块，用于基于邮件主题、收发件人关联关系、IP地址、域名信息、登录***设备以及时间通过使用前端可视化呈现组件进行可视化的图标呈现，输出围绕邮件日志深度分析后的内部人员画像。

对于内部人员画像，具体的，包括：根据某内部人员一段时间内邮件主题所绘制的词云信息图、内部人员的基于时间维度的邮件***接入信息图和内部人员接收到垃圾恶意邮件统计信息图。

请参阅图2，图2为表示某内部人员一段时间内邮件主题所绘制的词云信息示意图，其原理是频次高的主题在词云图中位置居中且字体越大；基于该视图，可以有效分析内部人员一段时间内的通过邮件通信所反映出来的日常事物关注度。

请参阅图3，图3展示内部人员基于时间维度的邮件***接入信息图，包含登录的时间、IP地址、登录方式以及登录结果信息；基于该视图，可从成功接入***的数据中有效分析统计人员的使用习惯，从登录失败的数据中分析原因(外部破解、攻击等)，有效对比异常行为，开展有针对性的防护。

请参阅图4，图4为内部人员接收到垃圾恶意邮件统计信息图，包括日期、垃圾恶意特征、来源IP、出现次数以及研判分类等维度。基于该视图能够帮助分析和判断受外部侵扰的程度，还能够挑出重点关注的人员进行安全防御教育以及底层技术防御措辞的增强。

在其中一种优选的实施例中，所述基于组织内部邮件日志分析的安全可视化***，所述数据处理模块还用于对组织内部邮件日志进行整体统计，获取组织内部邮件日志的整体统计信息，以使所述数据可视化模块对所述组织内部日志的整体统计信息进行展示。

其中，内部人员邮件收发关联关系信息通过以关系网络导向图的形式进行展示，请参阅图5，图5展示内部人员邮件收发关联关系网络导向图；其中每个节点代表一个人员，线代表两个人员彼此间的通信。此外，频次越高线条的颜色加深并***，收发次数较多的节点通常表明是组织内部重要的人员，其节点的大小也越大；同时组织内部有聚焦不同业务的团队或者部门，因此会存在分簇聚类的效果；基于该视图便于分析观察组织内部整体的邮件通信状态，并通过通信状态的改变趋势挖掘可能存在的异常行为。

在其中一种优选的实施例中，将Hadoop作为所述大数据分析平台，将Hadoop的HDFS作为所述分布式***，将Sqoop作为所述数据迁移工具，将ElasticSearch作为所述分布式搜索分析引擎，将MySQL作为所述关系型数据库；所述可视化呈现组件包括Echarts、Highcharts、inMap、D3和AntV。

在本发明实施例中，ElasticSearch是一个针对海量数据的一个搜索分析引擎，主要是对于存储的何种数据进行全文搜索和分析。MySQL作为导入到Hadoop大数据分析平台的其中一个维度的数据。

需要说明的是，本发明并不限制所述大数据分析平台仅为Hadoop、所述分布式***仅为HDFS、所述数据迁移工具仅为Sqoop、所述分布式搜索分析引擎仅为ElasticSearch、所述关系型数据库仅为MySQL，所述可视化呈现组件仅为Echarts、Highcharts、inMap、D3和AntV。上述实施例只是本发明一个优选的实施例。

相对于现有技术，本发明实施例具备以下有益效果：

(1)本发明实施例通过挖掘研判分析邮件日志的多维数据，并以可视化方式呈现组织内部人员的行为，有效实现内部人员网络安全威胁隐患行为的排查。

(2)本发明实施例仅聚焦邮件日志数据分析挖掘，无需分析除邮件日志数据以外的日志数据，减少了多维异构数据的分析难度耗时，提升工作效率。

(3)本发明实施例分析的邮件数据具备多样性，从而能够实现整体与个体的有效 融合分析可视化。

(4)由于几乎每个组织都会使用邮件沟通，本发明实施例的目标对象具备普适性。

本领域技术人对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。

Claims (8)

1. 一种基于组织内部邮件日志分析的安全可视化方法，包括：

   S1、数据清洗，所述数据清洗包括：

   将组织内部产生的邮件日志数据以天为单位向大数据分析平台的分布式***中存入；

   根据设定的安全威胁隐患挖掘分析需求，通过Spark数据处理模块对所述邮件日志数据进行清洗操作，并将清洗后的邮件日志数据存储在分布式文件***中；其中，所述清洗操作包括：对邮件日志数据进行拆分、去重和缺省值填充；

   S2、数据传输，所述数据传输包括：

   采用数据迁移工具从分布式文件***中将相关的经预处理后的数据传输到关系型数据库；其中，相关的数据表和字段需提前进行定义；

   S3、数据存储，所述数据存储包括：

   存储邮件日志关联到的各类安全日志；

   采用分布式搜索分析引擎实现对存储的数据进行全文搜索和分析，以及采用关系型数据库用于邮件日志数据的关联聚合分析和作为提供前端数据可视化的后端数据接口；

   S4、数据处理，所述数据处理包括：

   对邮件日志涉及到的时间信息、收发IP信息、收发人通信力导向图、登录信息、主题词云、接收发送垃圾恶意邮件信息以及附件信息进行分析统计，并把处理后数据存入关系型数据库，以便于可视化呈现的调用；

   S5、数据可视化，所述数据可视化包括：

   基于邮件主题、收发件人关联关系、IP地址、域名信息、登录***设备以及时间通过使用前端可视化呈现组件进行可视化的图标呈现，输出围绕邮件日志深度分析后的内部人员画像。
2. 根据权利要求1所述的基于组织内部邮件日志分析的安全可视化方法，其特征在于，所述内部人员画像包括：根据某内部人员一段时间内邮件主题所绘制的词云信息图、内部人员的基于时间维度的邮件***接入信息图和内部人员接收到垃圾恶意邮件统计信息图。
3. 根据权利要求1或2所述的基于组织内部邮件日志分析的安全可视化方法，其特征在于，还包括；

   对组织内部邮件日志进行整体统计，获取组织内部邮件日志的整体统计信息，并以可视化的形式展示，包括：内部人员邮件收发关联关系信息图，垃圾 恶意邮件按填的数量统计信息图、垃圾恶意识别分类信息图和安全威胁重灾区的账户统计信息图。
4. 根据权利要求3所述的基于组织内部邮件日志分析的安全可视化方法，其特征在于，将Hadoop作为所述大数据分析平台，将Hadoop的HDFS作为所述分布式***，将Sqoop作为所述数据迁移工具，将ElasticSearch作为所述分布式搜索分析引擎，将MySQL作为所述关系型数据库；所述可视化呈现组件包括Echarts、Highcharts、inMap、D3和AntV。
5. 一种基于组织内部邮件日志分析的安全可视化***，包括：

   数据清洗模块，数据传输模块、数据存储模块、数据处理模块以及数据可视化模块

   所述数据清洗模块，用于将组织内部产生的邮件日志数据以天为单位向大数据分析平台的分布式***中存入，根据设定的安全威胁隐患挖掘分析需求，通过Spark数据处理模块对所述邮件日志数据进行清洗操作，将清洗后的邮件日志数据存储在分布式文件***中；其中，所述清洗操作包括：对邮件日志数据进行拆分、去重和缺省值填充；

   所述数据传输模块，用于采用数据迁移工具从分布式文件系中将相关的经预处理后的数据传输到关系型数据库；其中，相关的数据表和字段需提前进行定义；

   数据存储模块，用于存储邮件日志关联到的各类安全日志、采用分布式搜索分析引擎实现对存储的数据进行全文搜索和分析以及采用关系型数据库用于邮件日志数据的关联聚合分析和作为提供前端数据可视化的后端数据接口；

   数据处理模块，用于对邮件日志涉及到的时间信息、收发IP信息、收发人通信力导向图、登录信息、主题词云、接收发送垃圾恶意邮件信息以及附件信息进行分析统计，并把处理后数据存入关系型数据库，以便于可视化呈现的调用；

   数据可视化模块，用于基于邮件主题、收发件人关联关系、IP地址、域名信息、登录***设备以及时间通过使用前端可视化呈现组件进行可视化的图标呈现，输出围绕邮件日志深度分析后的内部人员画像。
6. 根据权利要求5所述的基于组织内部邮件日志分析的安全可视化***，其特征在于，所述内部人员画像包括：根据某内部人员一段时间内邮件主题所绘制的词云信息图、内部人员的基于时间维度的邮件***接入信息图和内部人员接收到垃圾恶意邮件统计信息图。
7. 根据权利要求5或6所述的基于组织内部邮件日志分析的安全可视化***，其特征在于，所述数据处理模块还用于对组织内部邮件日志进行整体统计，获取组织内部邮件日志的整体统计信息，以使所述数据可视化模块对所述组织内部日志的整体统计信息进行展示。
8. 根据权利要求7所述的基于组织内部邮件日志分析的安全可视化***，其特征在于，将Hadoop作为所述大数据分析平台，将Hadoop的HDFS作为所述分布式***，将Sqoop作为所述数据迁移工具，将ElasticSearch作为所述分布式搜索分析引擎，将MySQL作为所述关系型数据库；所述可视化呈现组件包括Echarts、Highcharts、inMap、D3和AntV。

Images