CN101344941A - 4a管理平台中的智能审计决策树生成方法 - Google Patents
4a管理平台中的智能审计决策树生成方法 Download PDFInfo
- Publication number
- CN101344941A CN101344941A CNA2008100792325A CN200810079232A CN101344941A CN 101344941 A CN101344941 A CN 101344941A CN A2008100792325 A CNA2008100792325 A CN A2008100792325A CN 200810079232 A CN200810079232 A CN 200810079232A CN 101344941 A CN101344941 A CN 101344941A
- Authority
- CN
- China
- Prior art keywords
- audit
- data
- decision tree
- strategy
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种4A管理平台中的智能审计决策树生成方法,本发明的技术要点是根据用户导入的审计资料由机器学习模块自动生成审计决策树,再将其送至审计策略应用模块供4A管理平台进行实际审计应用;所述4A即统一账号管理、统一认证管理、统一授权管理、统一安全审计。本发明的有益效果是:审计策略自主生成;无需规则录入;以树形结构存储,策略遍历性能高;算法多选择;支持人为策略修正。
Description
技术领域
本发明涉及一种4A管理平台中的智能审计决策树生成方法,适用于电信行业,4A管理平台(4A即统一用户账号管理、统一认证管理、统一授权管理、统一安全审计)中的统一安全审计。
背景技术
随着各大电信运营商的业务网发展,其内部用户数量持续增加,网络规模迅速扩大,安全问题不断出现。而每个业务网系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立的以日志形式审计操作者在系统内的操作行为,已远远不能满足自身业务发展需求,及与国际业务接轨的需求。
4A解决方案的提出正是应上述趋势,它包括统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素。其中统一安全审计是4A体现其综合管理价值的一个重要方面,其主要功能为:
(1)安全日志采集;
(2)安全日志多维分析;
(3)安全日志实时展现;
(4)报表分析;
(5)审计策略配置;
(6)数据存储。
4A管理平台的统一安全审计子系统的审计对象是来自认证、授权、网络审计及综合平台的syslog、snmp、snmp trap、ftp、webservice、ODBC/JDBC等日志,其数据量至少可达到每秒5000条-7000条,对于这样的海量数据的处理目前大多数软件产品都是通过定制化实现复杂的审计策略集并人工录入系统再进行应用,这样不但工作量大,而且实际效果不好:顺序遍历策略集的性能是用于处理海量数据的审计系统不能接受的,复杂审计逻辑结构较为凌乱,通用性较差、可移植性差等。
现有的4A管理平台综合审计系统大多都是定制式,由专业人员产生审计策略并录入系统,对日志的审计也是采用规则集顺序遍历,总体来说存在以下缺点:
(1)4A综合审计策略生成工作量大,由于整个过程过多的依赖于人,存在很大的安全隐患。
(2)审计策略集录入复杂逻辑不易实现。
(3)通过定制式方式实现的审计策略逻辑结构较为凌乱,通用性差,审计策略不易优化。
(4)遍历以规则集形式存储的策略遍历效率低,不适合用于处理海量数据的审计系统。
(5)为不同的业务系统建立通用的审计策略模板难度大,使得4A综合审计系统可移植性变差。
(6)业务系统若有变更,审计策略则不易优化。
发明内容
本发明所要解决的技术问题是针对上述现有技术中存在的缺点,而提供一种4A管理平台中的智能审计决策树生成方法。
本发明解决其技术问题所采用的技术方案:
本发明根据用户导入的审计资料由机器学习模块自动生成审计决策树,再将其送至审计策略应用模块供4A管理平台进行实际审计应用;所述4A即统一账号管理、统一认证管理、统一授权管理、统一安全审计;本方法的具体步骤如下:
一、数据输入步骤:
利用4A管理平台中的审计策略配置模块即人机交互模块,在系统初始化时,将用户审计资料导入;
二、机器学习步骤:
利用机器学习模块中的数据预处理子模块、审计决策树生成子模块和算法-决策显示子模块,通过机器学习生成相应的审计决策树:
a)利用数据处理子模块,对用户导入的所述用户审计资料进行预处理,即填充属性值、理顺权限、操作、账号的对应关系、模拟训练集,然后将预处理过的数据存储到数据库;
b)利用审计决策树生成子模块,对已经预处理过的数据进行数据挖掘,通过计算信息增益\增益率\GINI系数确定根节点测试属性以及其各子节点测试属性;
c)利用算法选择-决策显示子模块,实现根据不同的审计数据到方法库中选择不同的决策生成算法;
三、审计策略修正、应用步骤:
通过审计策略应用模块,一方面对由机器学习模块传递过来的审计决策树进行存储、加载及应用,另一方面对用户修正过的审计策略进行存储、加载、应用,并将所有的审计策略按产生时间顺序,添加版本号入知识库。
所述用户审计资料包括有实体权限矩阵表、审计对象列表。
本发明的工作过程如下:
用户通过4A管理平台的审计策略配置模块导入需要审计的用户审计资料,机器学习模块就能通过机器学习自动生成相应的审计决策树并输出到审计策略应用模块供4A管理平台进行实际审计应用。由本方法产生的审计策略将会在4A管理平台的审计策略配置模块展现给用户,用户可根据实际业务系统的需求对其进行修正。修正是通过4A管理平台审计策略配置界面,以规则集的形式将具体要修正的策略输入系统,并加载应用。
本发明有益效果如下:
(1)审计策略自主生成:在一定程度上极大的减少了审计策略制定人员的工作量,使4A管理平台更具人性化、智能化。
(2)无需规则录入:减少了由人为因素而带来的安全隐患。
(3)高性能:由于审计策略是以树的结构进行存储,每次进行审计时按深度或广度优先的方式遍历树比起逐条遍历以规则集形式存储的策略效率要高很多,以二叉树为例最坏的情况其复杂度为o(n)。
(4)算法多选择:本方法提供多种决策树建立算法,针对不同的训练集选用较为合适的分类算法。
(5)支持人为策略修正:在实际4A应用中,本方法建议采用以机器生成策略为主,人工策略修正为辅。决策树生成的策略很大程度上依赖于训练集的好坏,现实中得不到完美的训练集,审计策略一定存在不合理的地方,增加人工修正相当于为审计加了保险。
附图说明
图1为本发明组织框架图(原理框图)。
图2为本发明的用例图。
具体实施方式
现结合图1、2举例说明本方法:
首先通过审计策略配置模块将用户审计资料导入机器学习模块中的数据预处理子模块,在数据预处理子模块中,将不同的业务数据进行融合并对其进行属性概化、模拟训练集等数据预处理,之后输出一条条带有类标号的用于机器学习的数据即形成训练集,训练集中的一部分数据被送至审计决策树生成子模块,另一部分数据直接入数据库;系统配置员可以根据数据本身的特征到方法库中选择适合的决策树生成算法进行数据挖掘,输出审计决策树到审计策略应用模块进行审计应用。
被送去审计应用模块的审计策略一方面直接用于系统审计,另一方面送至4A管理平台审计策略配置模块展示给用户以便用户对其进行修正。如果用户对审计策略的某些部分不满意,可以对其进行修正,如果用户认为系统产生的通用审计策略不能全部覆盖实际的业务审计范围则可以通过审计策略配置模块进行添加;如果用户认为系统产生的某些审计策略不合理,想要删除,则也可以通过审计策略配置模块进行审计策略禁用。
对于4A管理平台审计策略应用模块而言,用户修正过的规则总是处于最高优先级,遇到系统生成的规则与用户修改的审计规则有冲突时,用户修正过的审计规则为有效规则。当系统生成的规则中有部分规则被用户禁用,则系统直接跳过这些规则的判断,执行别的规则。对于用户先添加的规则,系统也总是置于系统生成的规则之前,便于其先被判断。
下面重点介绍一下数据预处理子模块中的模拟训练集和审计策略应用模块:
一、模拟训练集:
数据挖掘顾名思义是要对数据进行分析,但当系统第一次进行应用时,其所管理的业务系统是没有合适的历史数据用于进行审计策略生成训练的,故在系统初始化运行时,需要进行模拟训练集。为了便于理解,先解释一下机器学习的概念,所谓的机器学习实际上就是通过某一算法让电脑去模拟人思维的过程——去掌握某些规则,这些规则是潜藏在海量数据中的规则,也是最终想要的结果。实际上在模拟训练集的过程中已经实现大致能预期到最终生成的部分审计策略,这是基于经验,当然在设计本方法时,借助了已经很成熟的强制访问控制的思想,即:主体、客体和操作。
将其扩展为账号、目标访问对象、及对对象所进行的操作,再结合网络安全审计的特点,增加属性源ip、资源ip(包括设备ip或数据库帐号)或端口号等。为了便于说明,现举最简单的例子选定最普遍的测试属性为:源ip、设备ip(数据库名)、账号、审计对象(表格、文件、脚本或进程)、相应的操作。模拟训练集需要一些审计资料:实体权限矩阵表、审计对象列表。有了这些信息便可以获得相应的资源ip及在其之上相应的账号及其所拥有的权限。
实体权限矩阵表如附表1所示;文件列表如附表2所示。
首先从实体权限矩阵表(附表1)中获得如下信息:
(1)授权用户的合法操作;
(2)敏感设备\数据库列表:dev_ip_list、db_list;
(3)在敏感设备\数据库上建立的账号列表:acc_list;
(4)特殊权限账户列表:sp_acc_list;
(5)公用账号列表:gn_acc_list;
(6)用于外部连接的源ip地址列表:src_ip_list;
(7)待补充:如外部连接类对像列表all_obj_list、全账号列表all_acc_list、全设备ip地址列表all_dev_ip、全源Ip地址列表all_src_ip等。
其中敏感设备\数据库列表和用于外部连接的源Ip地址列表要被用于4A后台采集数据模块在泛化时对日志进行处理,特殊账号和公用账号列表主要用于模拟训练集用来产生非授权用户类数据,值得注意将账号与其相对应的设备ip或数据库账号进行绑定。
由于模拟的数据主要是用来作为训练集以便机器进行学习产生审计策略,所以在此之前必须明确几个重要的概念:
a、审计域——对敏感系统、设备、数据库上的敏感资料的操作(见附表3)。
b、期望的模拟训练集涵盖以下几类数据(见附表4)。
各类数据产生的逻辑为:
(1)授权用户合法操作:直接从实体权限配置表中读出的每一行操作对象单元格不为空的记录,保存并添加类标号:授权用户的合法操作。
(2)随机组合上述获得的各列表值(源Ip列表src_ip_list、设备ip列表dev_ip_list、db_list、账号列表sp_acc_list、gn_acc_list,审计对象列表all_obj_list、相应的操作列表opt_list)。
1、组合二元组(dev_ip_,,sp_acc_)、(dev_ip_,gn_acc_)、(db_,sp_acc)、(db_,gn_acc);
2、增加源Ip列表跟以上二元组进行组合形成3元组:(src_ip,二元组),(any,二元组);
3、随机组合all_obj_list和opt_list产生二元组:(obj,opt);
4、将3元组:(src_ip,二元组),(any,二元组)与二元组:(obj,opt)进行组合生成五元组(src_ip_*,dev_ip*,acc_*,obj_*,opt_*)、(src_ip_*,db_*,acc_*,obj_*,opt_*);
经过上述的四步骤,已经有了原始日志的“标准数据”了,这里是指该五元组已经与4A系统运行以后所采集上来的原始日志经过数据预处理后的数据具有相同的形式只是值可能不一样。
接下来很重要的一步就是从这些由随机产生的5元组中分出哪些是授权用户的合法操作、哪些是授权用户的非法操作亦或是非授权用户、非法连接或是非法用户,其逻辑规则为:
(1)非法用户:账号不是改设备或数据库上应有的账号
(2)非授权用户:账号对此对象不具有任何权限
(3)非法连接:该源ip不是信任源ip
(4)授权用户的非法操作:该账号对此对象具有一定的操作权限但进行了不该做的操作
(5)授权用户的合法操作:与实体权限对应表中直接获得的记录完全一样
根据以上5条原则对随机产生的5元组进行添加相应的类标号,此时产生的六元组(五元组,类标号)既是最终的模拟训练集,将被用于机器学习。
二、审计策略应用模块:
审计策略应用模块实际上是本方法真正使4A管理平台审计策略运行起来的模块,其主要作用就是实现审计策略在4A管理平台的应用。它一方面接收来自机器学习模块生成的审计决策树,一方面接收来自4A管理平台用户修正的审计策略,并将其汇总、添加版本号入知识库存储、备份。无论是来自哪的审计策略,初次输入到审计策略应用模块一律先入库,并放入缓存,由用户手动选择启用时再通过发送命令加载应用。
加载时应当遵守的原则:
(1)初次使用时先添加版本号、入知识库、后直接加载机器学习模块统生成的审计决策树,并标注优先级最低。
(2)对于由4A管理平台中用户修正的审计策略先判断是否启用,如果启用则先添加版本号、入知识库再加载,加载时标准优先级为高,并做计数统计使用频率。
如上加载过程中一律遵循用户修正策略优先级最高,系统生成审计决策树优先级最低。审计策略在审计策略应用模块中的存储方式为树状结构。以树结构进行审计判别时时间复杂度小于规则集形式,与树的高度成线性关系。
附表1:实体权限矩阵表
附表2:文件列表
附表格3审计操作域表
| Src_ip | Any,src_ip(外部链接类) |
| Dev_ip | Db,dev_ip,others |
| Acc | Acc,public(默认,公用账号) |
| Obj | _table,_file,_script,others |
| Opt | Sql,rwx,other |
附表格4审计分类列表
Claims (2)
1、4A管理平台中的智能审计决策树生成方法,其特征在于根据用户导入的审计资料由机器学习模块自动生成审计决策树,再将其送至审计策略应用模块供4A管理平台进行实际审计应用;所述4A即统一账号管理、统一认证管理、统一授权管理、统一安全审计;本方法的具体步骤如下:
一、数据输入步骤:
利用4A管理平台中的审计策略配置模块即人机交互模块,在系统初始化时,将用户审计资料导入;
二、机器学习步骤:
利用机器学习模块中的数据预处理子模块、审计决策树生成子模块和算法-决策显示子模块,通过机器学习生成相应的审计决策树:
a)利用数据预处理子模块,对用户导入的所述用户审计资料进行预处理,即填充属性值、理顺权限、操作、账号的对应关系、模拟训练集,然后将预处理过的数据存储到数据库;
b)利用审计决策树生成子模块,对已经预处理过的数据进行数据挖掘,通过计算信息增益\增益率\GINI系数确定根节点测试属性以及其各子节点测试属性;
c)利用算法选择-决策显示子模块,实现根据不同的审计数据到方法库中选择不同的决策生成算法;
三、审计策略修正、应用步骤:
通过审计策略应用模块,一方面对由机器学习模块传递过来的审计决策树进行存储、加载及应用,另一方面对用户修正过的审计策略进行存储、加载、应用,并将所有的审计策略按产生时间顺序,添加版本号入知识库。
2、根据权利要求1所述的4A管理平台中的智能审计决策树生成方法,其特征在于所述用户审计资料包括有实体权限矩阵表、审计对象列表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100792325A CN101344941A (zh) | 2008-08-21 | 2008-08-21 | 4a管理平台中的智能审计决策树生成方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100792325A CN101344941A (zh) | 2008-08-21 | 2008-08-21 | 4a管理平台中的智能审计决策树生成方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101344941A true CN101344941A (zh) | 2009-01-14 |
Family
ID=40246942
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008100792325A Pending CN101344941A (zh) | 2008-08-21 | 2008-08-21 | 4a管理平台中的智能审计决策树生成方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101344941A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616004B (zh) * | 2009-08-03 | 2011-04-20 | 河北全通通信有限公司 | 4a管理平台的一种应急响应处理方法 |
| CN102368246A (zh) * | 2011-09-15 | 2012-03-07 | 张德长 | 一种自动应答机器人系统 |
| CN102456104A (zh) * | 2010-10-27 | 2012-05-16 | 镇江华扬信息科技有限公司 | 一种菜单权限的建立方法 |
| CN103186637A (zh) * | 2011-12-30 | 2013-07-03 | 中国移动通信集团广东有限公司 | 一种分析boss数据库用户行为的方法及装置 |
| CN104102960A (zh) * | 2013-04-08 | 2014-10-15 | 宁夏新航信息科技有限公司 | 计算机节能审计应用模块 |
| CN105391721A (zh) * | 2015-11-23 | 2016-03-09 | 兰玉杰 | 基于云计算的统一认证管理开放系统 |
| CN108600258A (zh) * | 2018-05-09 | 2018-09-28 | 华东师范大学 | 一种面向综合电子系统自生成白名单的安全审计方法 |
| CN111126461A (zh) * | 2019-12-12 | 2020-05-08 | 山西云海智化大数据科技有限公司 | 基于机器学习模型解释的智慧审计方法 |
| CN111612379A (zh) * | 2020-06-03 | 2020-09-01 | 云南电网有限责任公司 | 一种审计方案自动生成方法及装置 |
| CN112800739A (zh) * | 2021-01-18 | 2021-05-14 | 国网青海省电力公司 | 一种基于Excel的台账的生成方法、装置及电子设备 |
| CN113469578A (zh) * | 2021-07-28 | 2021-10-01 | 支付宝(杭州)信息技术有限公司 | 基于多目标优化的业务策略生成方法、装置及系统 |
-
2008
- 2008-08-21 CN CNA2008100792325A patent/CN101344941A/zh active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616004B (zh) * | 2009-08-03 | 2011-04-20 | 河北全通通信有限公司 | 4a管理平台的一种应急响应处理方法 |
| CN102456104A (zh) * | 2010-10-27 | 2012-05-16 | 镇江华扬信息科技有限公司 | 一种菜单权限的建立方法 |
| CN102368246A (zh) * | 2011-09-15 | 2012-03-07 | 张德长 | 一种自动应答机器人系统 |
| CN103186637A (zh) * | 2011-12-30 | 2013-07-03 | 中国移动通信集团广东有限公司 | 一种分析boss数据库用户行为的方法及装置 |
| CN104102960A (zh) * | 2013-04-08 | 2014-10-15 | 宁夏新航信息科技有限公司 | 计算机节能审计应用模块 |
| CN105391721A (zh) * | 2015-11-23 | 2016-03-09 | 兰玉杰 | 基于云计算的统一认证管理开放系统 |
| CN108600258A (zh) * | 2018-05-09 | 2018-09-28 | 华东师范大学 | 一种面向综合电子系统自生成白名单的安全审计方法 |
| CN111126461A (zh) * | 2019-12-12 | 2020-05-08 | 山西云海智化大数据科技有限公司 | 基于机器学习模型解释的智慧审计方法 |
| CN111126461B (zh) * | 2019-12-12 | 2023-08-11 | 揽云科技有限公司 | 基于机器学习模型解释的智慧审计方法 |
| CN111612379A (zh) * | 2020-06-03 | 2020-09-01 | 云南电网有限责任公司 | 一种审计方案自动生成方法及装置 |
| CN112800739A (zh) * | 2021-01-18 | 2021-05-14 | 国网青海省电力公司 | 一种基于Excel的台账的生成方法、装置及电子设备 |
| CN113469578A (zh) * | 2021-07-28 | 2021-10-01 | 支付宝(杭州)信息技术有限公司 | 基于多目标优化的业务策略生成方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101344941A (zh) | 4a管理平台中的智能审计决策树生成方法 | |
| EP2849098B1 (en) | Cross system analytics for in memory data warehouse | |
| DE69404647T2 (de) | Verfahren und vorrichtung zum verwalten von tischcomputern eines unternehmens | |
| US10824758B2 (en) | System and method for managing enterprise data | |
| CN108475288B (zh) | 一种联合数据库统一访问控制的系统、方法和设备 | |
| CN101226573B (zh) | 一种控制电子文档的访问权限的方法 | |
| US9773048B2 (en) | Historical data for in memory data warehouse | |
| CN107247788A (zh) | 一种基于政府数据的综合治理服务的方法 | |
| CN104123227A (zh) | 一种自动生成测试用例的方法 | |
| CN111125027B (zh) | 一种航空接口控制文件管理系统 | |
| CN103473332A (zh) | 一种虚拟试验体系结构的数据档案库 | |
| CN110348183A (zh) | 基于rbac的可快速配置的权限配置系统、方法和存储介质 | |
| CN114647825A (zh) | 访问权限控制方法、装置、电子设备和计算机存储介质 | |
| CN115758459A (zh) | 数据权限管理方法及装置 | |
| US7555786B2 (en) | Method for providing security mechanisms for data warehousing and analysis | |
| CN106529230A (zh) | 基于角色的权限控制机制 | |
| CN106778136B (zh) | 一种甄别绕行登录事件的审计方法 | |
| CN107392042A (zh) | 电网数据监测方法和装置 | |
| Tseng et al. | A successful application of big data storage techniques implemented to criminal investigation for telecom | |
| Manohar | Design of distributed database system based on improved DES algorithm | |
| CN115017240A (zh) | 数据的提供方法及装置、处理器和电子设备 | |
| CN114528593A (zh) | 数据权限控制方法、装置、设备及存储介质 | |
| DE112022000886T5 (de) | Datenverarbeitungssystem mit manipulation logischer datensatzgruppen | |
| CN105930355A (zh) | 一种新型的多源图像数据库设计方法 | |
| JP6974953B2 (ja) | 集約データ作成装置、集約データ作成方法、及び、集約データ作成プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090114 |