CN108268354B - 数据安全监控方法、后台服务器、终端及系统 - Google Patents
数据安全监控方法、后台服务器、终端及系统 Download PDFInfo
- Publication number
- CN108268354B CN108268354B CN201611264779.3A CN201611264779A CN108268354B CN 108268354 B CN108268354 B CN 108268354B CN 201611264779 A CN201611264779 A CN 201611264779A CN 108268354 B CN108268354 B CN 108268354B
- Authority
- CN
- China
- Prior art keywords
- log file
- terminal
- behavior data
- information
- offset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
- G06F11/3072—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
- G06F11/3079—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting the data filtering being achieved by reporting only the changes of the monitored data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请提供了一种数据安全监控方法、后台服务器、终端以及系统,终端通过监控文件系统的所有操作行为数据,并将据此生成的日志文件存储到虚拟内存盘,避免了对系统资源的占用,保证了终端运行速度;而且,由于日志文件能够反映对终端文件系统的操作行为,所以,后台服务器利用预设分析规则对该日志文件进行数据分析,能够准确且全面判断终端是否产生了异常行为数据,并利用生成的报警信息及时告知处理该异常行为数据的工作人员,从而实现了对终端产生的异常行为数据的及时发现和处理,避免了因病毒文件导致终端产生异常行为数据,对终端运行安全性的不利影响。
Description
技术领域
本申请主要涉及数据安全应用领域,更具体地说是涉及一种数据安全监控方法、后台服务器、终端及系统。
背景技术
随着网络技术的迅猛发展,计算机系统的数据安全成为企业、事业单位、个人家庭等各领域关注的重点之一,在实际应用中,各种重要资料在网络办公、资料传输过程中,往往会被非法入侵盗取或损坏,严重影响了企业集体或个人的利益。
在实际应用中,通常是通过向终端植入病毒文件,更改终端中的文件系统相应文件或程序代码,达到损坏或盗取该终端的重要资料的目的。然而,由于目前很多病毒文件通常都是通过将自身的恶意代码注入到系统进程后删除自身,来隐藏病毒文件自身,这往往导致现有的杀毒软件以及检测工具无法有效检测并处理病毒文件,还会因运行杀毒软件和检测工具而占用终端大量系统资源,不利于终端的安全可靠和快速运行。
发明内容
有鉴于此,本发明提供了一种数据安全监控方法、后台服务器、终端以及系统,通过将针对终端文件系统的所有行为数据生成的日志文件写入虚拟内存盘,避免了对系统资源的占用,且后台服务器通过预设分析规则对该日志文件进行全面分析,及时发现终端产生的异常行为数据并告知用户及时进行处理,有效解决了因病毒文件入侵导致异常行为数据,而影响终端安全可靠运行的技术问题。
为了实现上述目的,本申请提供了以下技术方案:
一种数据安全监控方法,所述方法包括:
获得终端虚拟内存盘中的日志文件,所述日志文件是针对文件系统的行为数据生成的;
利用预设分析规则对所述日志文件进行数据分析;
基于数据分析结果,确定所述日志文件存在异常行为数据时,生成相应的报警信息;
将所述报警信息发送至预设目标设备输出,以提示响应用户对所述异常行为数据进行处理。
本申请实施例还提供了另一种数据安全监控方法,所述方法包括:
检测终端运行过程中针对文件系统的行为数据;
利用检测到的行为数据生成相应的日志文件,并将所述日志文件写入虚拟内存盘;
接收到针对所述虚拟内存盘的读取请求,将所述日志文件发送至后台服务器。
本申请实施例还提供了一种后台服务器,该后台服务器包括:
日志文件记录模块,用于获得终端虚拟内存盘中的日志文件,所述日志文件是针对文件系统的行为数据生成的;
数据分析模块,用于利用预设分析规则对所述日志文件进行数据分析;
报警模块,用于基于数据分析结果,确定所述日志文件存在异常行为数据时,生成相应的报警信息;
第一信息传输模块,用于将所述报警信息发送至预设目标设备输出,以提示响应用户对所述异常行为数据进行处理。
本申请实施例还提供了一种终端,所述终端包括:
检测模块,用于检测终端运行过程中针对文件系统的行为数据,并利用检测到的行为数据生成相应的日志文件;
虚拟内存盘,用于存储所述日志文件;
数据传输模块,用于在接收到针对所述虚拟内存盘的读取请求,将所述日志文件发送至后台服务器。
本申请实施例还提供了一种数据安全监控系统,所述系统包括:至少一个终端以及后台服务器,其中:
所述终端,用于检测终端运行过程中针对文件系统的行为数据,利用检测到的行为数据生成相应的日志文件,并将所述日志文件写入虚拟内存盘;
所述后台服务器,用于获得所述终端虚拟内存盘中的所述日志文件,并利用预设分析规则对所述日志文件进行数据分析,在基于数据分析结果,确定所述日志文件存在异常行为数据时,生成相应的报警信息,并将所述报警信息发送至预设目标设备输出,以提示响应用户对所述异常行为数据进行处理。
由此可见,与现有技术相比,本申请提供了一种数据安全监控方法、后台服务器、终端以及系统,终端通过监控文件系统的所有操作行为数据,并将据此生成的日志文件存储到虚拟内存盘,避免了对IO操作资源的占用,保证了终端运行速度;而且,由于该日志文件能够反映对终端文件系统的操作行为,所以,后台服务器利用预设分析规则对该日志文件进行数据分析,能够准确且全面判断终端是否产生了异常行为数据,并利用生成的报警信息及时告知处理该异常行为数据的工作人员,从而实现了对终端产生的异常行为数据的及时发现和处理,避免了因病毒文件导致终端产生异常行为数据,对终端运行安全性的不利影响。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种数据安全监控系统的结构示意图;
图2为本申请实施例提供的一种数据安全监控方法信令流程图;
图3为本申请实施例提供的一种数据安全监控方法的部分流程图;
图4为本申请实施例提供的另一种数据安全监控方法的部分流程图;
图5为本申请实施例提供的又一种数据安全监控方法的部分流程图;
图6为本申请实施例提供的一种后台服务器的结构框图;
图7为本申请实施例提供的另一种后台服务器的结构框图;
图8(a)为本申请实施例提供的又一种后台服务器的部分结构框图;
图8(b)为本申请实施例提供的又一种后台服务器的部分结构框图;
图9为本申请实施例提供的一种终端的结构框图;
图10为本申请实施例提供的一种后台服务器的硬件结构图;
图11为本申请实施例提供的一种终端的硬件结构图;
图12为本申请实施例提供的一种数据安全监控系统的应用结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了使本发明的上述目的、特征和优点能够更加明显易懂,下面将对本申请实施例涉及到的技术术语或本领域公知技术名称进行以下解释说明结:
文件过滤驱动:文件过滤驱动是一种可选的,为文件系统提供具有附加值功能的驱动程序,且是一种核心模式组件,作为Windows NT(即一种操作系统)执行体的一部分运行,能够拦截针对文件系统或另一个文件过滤器驱动程序的请求,并通过在该请求达到其预期目标之前拦截该请求。其中,过滤器驱动具有记录、扩展或替换由请求的原始目标提供的功能。
虚拟内存盘:通过软件将计算机内存(RAM)的一部分模拟成一个硬盘使用的一种技术。相对于直接的硬盘文件访问来说,这种技术可以极大的提高在虚拟内存盘上进行的文件访问的速度。但是RAM的易失性也意味着当关闭电源后这部分数据将会丢失。。
为了使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
如图1所示,为本申请实施例提供的一种数据安全监控系统的结构示意图,该系统可以包括至少一个终端11和后台服务器12。
其中,终端11可以是手机、笔记本电脑、工控机等通信设备,本申请对终端11的具体产品类型不作限定。在实际应用中,终端11可以通过无线网络或有线网络与后台服务器12进行通信,实现任一个终端11与后台服务器12的信息交互,保证终端安全可靠运行。
后台服务器12可以是多台服务器组成的服务器集群,也可以是单台服务器,当然,也可以是一个云计算服务中心,本申请对此不作限定。
在本申请实际应用中,后台服务器12可以保证终端11安全可靠运行的安全管理中心,通过监控终端11所存储的日志文件,及时发现入侵终端11病毒文件,并告知相关人员及时对该病毒文件进行处理,从而避免病毒文件影响终端11的正常运行,同时也避免了利用病毒文件窃取终端11存储重要资料等,保证了终端11所有者的权益。
基于图1所示的数据安全监控系统,图2示出了本申请实施例提供的一种数据安全监控方法的信令流程图,结合图1和图2所示,在实际应用中,该方法可以包括以下步骤:
步骤S21,终端获取运行期间产生的所有行为数据,生成相应的日志文件;
在实际应用中,对终端主机文件访问控制的方法通常有两种,一种是利用应用编程接口函数,另一种就是开发过滤驱动,本申请将采用更为可靠的第二种方法实现对终端运行期间文件系统的访问记录,实现异常文件的实时检测。
基于此,本实施例可以通过文件过滤驱动,记录终端运行期间所有的文件操作行为,如文件读取、写入、删除等行为数据,并按照预设格式生成相应的日志文件。
可选的,日志文件可以包括:时间、操作用户名、源操作程序全路径名、被操作文件全路径名、访问操作(如增加、修改、删除、复制等)等等。例如,2016-10-12 10:00:00、geminicai、c:\a.exe、c:\b.dll、删除,但对于日志文件包含的行为数据内容,以及该行为数据内容的存储格式,并不局限于本申请列举的这种方式,可以根据实际需要设定,本申请在此不再一一详述。
其中,文件过滤驱动是利用过滤驱动技术对终端的文件系统访问,以便记录针对文件系统的所有操作行为数据的程序,本申请对终端如何利用文件过滤驱动实现文件操作行为监控的具体实现过程不作限定。
步骤S22,终端将该日志文件写入的预设的虚拟内存盘存储;
如上文描述,虚拟内存盘是通过软件直接将终端内存的一部分作为硬盘使用,所以,对于本地生成的文件系统的日志文件,本申请将利用虚拟内存盘临时存储,而不是由终端的磁盘存储该日志文件,从而避免了IO操作资源占用问题,保证了终端操作系统的最小消耗。
其中,本申请对确定终端内存的虚拟内存盘的过程不做限定。
步骤S23,后台服务器读取终端虚拟内存盘存储的日志文件;
可选的,在本实施例实际应用中,终端虚拟内存盘写入日志文件后,可以及时将该日志文件发送至后台服务器;当然,后台服务器也可以每隔预设时间向终端发送日志查询请求,以使终端响应该日志查询请求,将虚拟内存盘存储的日志文件发送至后台服务器等。
由此可见,本申请对后台服务器获得日志文件的具体方式不作限定,可以主动获取,也可以被动接收。
步骤S24,后台服务器利用预设分析规则对该日志文件进行分析;
在本申请中,预设分析规则可以包括用户画像偏移判定规则、黑名单匹配规则以及大数据异常分析规则等,具体实现过程可以参照下文相应实施例的描述,本实施例在此不再详述。
步骤S25,后台服务器根据分析结果,判断日志文件是否存在异常行为数据,如果是,进入步骤S26;如果否,返回步骤S23;
需要说明的是,基于不同的预设分析规则,判断日志文件是否存在异常行为数据过程是不同的,具体实现过程可以参照下文相应实施例的描述,本实施例在此不再一一详述。
其中,日志文件存在异常行为数据说明此时终端可能有病毒文件入侵,导致终端的文件系统的操作行为数据严重偏离预存的标准数据,影响终端的正常使用,甚至会导致终端存储的数据被非法读取,降低终端的使用安全性。
在本实施例中,若后台服务器经分析得知本次读取的文件系统的日志文件不存在异常行为数据,可以按照上述分析,继续读取终端的虚拟内存盘存储的日志文件,从而实现对终端病毒入侵的实时监控,保证终端安全可靠运行。
步骤S26,后台服务器将生成的报警信息发送至预设目标设备输出;
其中,报警信息可以包括异常行为数据,根据需要还可以包括该异常行为数据的其他相关数据,如该异常行为数据的存储路径、产生该异常行为数据的应用等,本申请对该报警信息包含的内容不作限定,也不限定该报警信息的具体输出方式,如短信息方式、语音方式等等。
可选的,预设目标设备可以是预设的用于通知处理异常行为数据的工作人员的其他电子设备,如该工作人员随身携带的移动设备,如手机等;当然,该预设目标设备也可以是存储日志文件的终端,以使终端接收到报警信息后,输出该报警信息,以使该终端的工作人员能够显示的报警信息,及时得到该终端产生了异常行为数据,并及时处理该异常行为数据,从而避免异常行为数据对终端安全运行的威胁。
综上,本实施例中,终端通过监控文件系统的所有操作行为数据,并将据此生成的日志文件存储到虚拟内存盘,避免了对IO操作资源的占用;而且,由于该日志文件能够反映对终端文件系统的所有操作行为,所以,后台服务器通过对该日志文件的分析,能够准确且全面判断终端是否产生了异常行为数据,并利用生成的报警信息,及时告知处理该异常行为数据的工作人员,从而实现了对终端异常行为数据的及时发现和处理,保证了终端安全可靠运行。
由此可见,本申请是对终端的文件系统的所有操作行为进行监控,系统稳定性、病毒变种以及网络数据加密等因素并不会影响异常行为数据的检测,有效实现了入侵病毒文件的发现与处理。
下面将从后台服务器的角度,对终端虚拟内存盘存储的日志文件的分析过程进行说明,本申请仅给出了三种可选的实现方式,但并不局限于列举的这三种实现方式,而且,在实际应用中,可以根据实际需要选择其中的一种或多个,对从终端读取的日志文件进行分析,本申请对各实现方式的组合方式不作限定。
如图3所示,为本申请实施例提供的一种数据安全监控方法流程图,该方法应用后台服务器,关于终端存储日志文件的过程可以参照上述图2所示信令流程图的相应步骤,本实施例在此仅对后台服务器读取终端中的日志文件后的处理过程进行说明,具体可以包括以下步骤:
步骤S31,获得终端虚拟内存盘存储的日志文件;
在本实施例中,主要说明后台服务器如何利用用户画像系统监控终端存储的日志文件,从而监控终端是否产生了异常行为数据。
具体的,在用户对终端进行操作过程中,终端虚拟内存盘将记录文件系统的所有操作行为数据,之后,可以将日志文件发送至后台服务器的用户画像系统;当然,后台服务器的用户画像系统也可以主动读取该终端的日志文件,本申请对获得日志文件的具体方式不作限定。
可选的,在实际应用中,后台服务器可以设置日志记录系统,用来保存各终端的日志文件。其中,日志记录系统可以主动从终端的虚拟内存盘读取日志文件,也可以由终端主动将虚拟内存盘存储的日志文件发送至日志记录系统,即日志记录系统被动接收日志文件,本申请对日志记录系统获得日志文件的方式不作限定。之后,用户画面系统可以从该日志记录系统获得所需的日志文件。
步骤S32,确定与该终端的用户标识对应的群体用户画像信息以及个人用户画像信息;
在本申请实际应用中,通常会根据用户工作类型(如对终端文件系统的操作行为数据类型等,确定用户工作类型,但并不局限于此),将多个用户划分成不同的用户群,并针对每一个用户群,创建相应的群体用户画像。同时,针对每一个用户,还可以构建个人用户画像。需要说明的是,本申请对该用户群的划分方式,以及群体用户画像和个人用户画像的创建过程不作限定。
其中,在本实施例中,创建个人用户画像以及群体用户画像时,可以结合终端生成的日志文件的内容,确定用户画像包含的信息。而且,根据每一类用户画像信息异常对终端安全可靠工作的影响程度,为每一类用户画像信息设定相应的权重,通常该权重越大表示该类用户画像信息异常对终端安全可靠工作的影响越大。
另外,经研究确定,终端的日志文件与其所在群体用户画像的信息不符,比该日志文件与对应的个人用户画像的信息不符,对该终端可靠安全运行的影响更大。
基于上述分析,本申请以企业产品开发应用场景为例,给出了如下表1所示的群体用户画像,以及表2所示的个人用户画像,但并不局限于本文给出的这种用户画像信息内容。
其中,在该实施例中,设定群体用户画像的总权重为70%,个人用户画像的总权重为30%,但并不局限于这一种权重划分方式,可以根据实际需要进行调整,但通常情况下,群体用户画像的总权重大于个人用户画像的总权重。
表1
由上述表1所示,该用户群主要负责产品研发、设计、管理以及运维等工作。在实际应用中,不同用户群体工作时间(即对终端文件系统的操作时间)通常是相对固定且不同的,而且,由于不同用户群体工作内容不同,所使用的工作软件以及生成的工作文件等等通常也会存在差异,所以,本申请可以根据不同用户群体的工作时间以及工作内容,确定各用户群体的时间集合、源程序集合(如工作软件的源程序集合)、目标文件集合(如通过源程序所的工作文件)以及源程序以及目标文件关系集合(即不同用户群通过什么源程序得到什么类型或内容的工作文件等等)等,从而得到各用户群体的群体用户画像,如上表1所示,但并不局限于上表1列举的内容,表1仅仅是对群体用户画像各类信息的示意性说明。
同理,本申请可以通过对每一个终端的日志文件进行分析,结合该终端的用户特点等信息,创建与该终端的日志文件对应的个人用户画像,如下表2所示,但并不局限于表2所示的用户画像内容,在本实施例中,表2与表1对应的应用场景相同,本申请仅以该应用场景为例进行说明,对于其他应用场景的用户画像的创建过程类似,申请在此不再一一详述。
表2
由表2可知,举例说明的该个人用户画像,属于上述表1所示的群体用户画像对应的用户群中的某一个用户的用户画像。
需要说明的是,无论是表1还是表2示出的权重一栏中的具体数值都可以根据实际需要进行调整,并不局限于本申请示出的这一内容。
基于上述分析,本申请可以通过终端的用户标识确定其所在的用户群,进而确定所对应的群体用户画像信息,同时可以利用该用户标识确定与其对应的个人用户画像信息。其中,该用户标识可以是用户登录终端的用户账号、也可以是该终端的终端唯一标识(此时用户与终端是一一对应关系)等等,本申请对该用户标识的具体内容不作限定。
步骤S33,将获得的日志文件分别与确定的群体用户画像信息以及个人用户画像信息进行比较,得到群体用户画像偏移量以及个人用户画像偏移量;
可选的,如上表2所示的正常群体用户画像,本申请后台服务器可以将获得的日志文件中每一类信息,与确定的群体用户画像信息中的对应类型信息进行比较,若比较结果为不一致,说明该日志文件中被比较的该类信息存在异常行为数据;反之,说明该日志文件被比较的这类信息不存在异常行为数据。
经上述用户画像偏移分析后,所得分析结果可以如下表3所示,但并不局限于此。
表3
由上表3可知,当前对终端的操作(即生成日志文件的操作)并非是在该终端的用户所在用户群的通常操作事件内进行的,而且,经过对终端的操作后,所得目标文件也存在该用户群对终端操作通常不会生成的目标文件,生成该目标文件的源程序也不是该用户群通常所使用的源程序。
针对这种情况,本申请可以基于上述信息比较结果,将比较结果为不一致对应的权重进行累加,即存在异常行为数据的类型的信息对应的权重累加,从而得到群用户画像偏移量。如在表3中,经计算所得群用户画像偏移量=10%+25%+20%=55%。
同理,为了提高监控准确性,本申请可以将所的日志文件中的各类信息与相应的个人用户画像信息进行比较,可以得到个人用户画像偏移分析结果,如下表4所示,但并不局限于此。
表4
由表4可知,终端生成目标文件所用的源程序并非是该终端用户通常得到该目标文件所采用的源程序。此时,针对所得日志文件,该终端用户当前的个人用户画像偏移量=10%。
需要说明的是,关于用户画像偏移量的分析过程并不局限于本申请上述列举的实现方式,针对不同的用户画像信息,所采用的偏移量分析方法可以不同,本申请在此不再一一详述。
步骤S34,计算群体用户画像偏移量以及个人用户画像偏移量的总和,得到与该日志文件对应的用户画像总偏移量;
继上述举例进行说明,针对获得终端的日志文件,经上述用户画像偏移分析后,可得到与其对应的用户画像总偏移量=55%+10%=65%。
步骤S35,判断该用户画像总偏移量是否大于预设偏移阈值,若是,执行步骤S36;若否,返回步骤S31;
需要说明的是,本申请对该预设偏移阈值的具体数值不作限定,可以根据实际需要及其应用场景等因素确定。当所得用户画像总偏移量大于该预设偏移阈值,可以认为该终端可能存在异常行为数据,即该终端可以有病毒文件入侵;反之,可以认为该终端的运行一切正常。
在上述举例中,若将预设偏移阀值设置为60%,经比较65%>60%,得知该终端可能存在异常行为数据,需要及时通知相关人员对该终端进行进一步处理,以便及时清除异常行为数据,保证终端安全可靠运行。
步骤S36,向该终端发送至报警信息,该报警信息用于表示终端当前存在异常行为数据;
在本申请中,后台服务器可以设置报警系统,当上述步骤S35的判断结果为是时,可以触发该报警系统输出相应的报警信息,表明该终端存在异常行为数据的报警信息,本申请对该报警信息包含的具体内容及其输出形式不作限定,如该报警信息可以包括经上述用户画像偏移分析得到的异常行为数据等等。
本实施例中,后台服务器可以直接将所得报警信息反馈至终端,以使该终端的用户及时进行处理;当然,也可以预先设定该后台服务器与处理异常行为数据的目标设备之间的通信关联关系,当后台服务器产生报警信息后,直接该报警信息发送至该目标设备,以便用户根据目标设备输出报警信息,实现对终端异常行为数据的及时验证与处理,保证终端运行的安全性以及可靠性。
步骤S37,接收终端反馈的针对该报警信息的处理结果,并根据该处理结果调整预设偏移阈值,以及确定群体用户画像信息和个人用户画像信息。
在本实施例实际应用中,终端用户得知报警信息后,可以进一步验证该终端是否发生了异常,还是后台服务器的误报,并将验证结果即上述处理结果反馈至后台服务器,以使后台服务器据此优化上述预设偏移阈值,以及用户画像信息的权重比例等信息。
综上,本实施例采用用户画像偏移分析方式,通过将获得的日志文件中的信息,与相应的群体用户画像信息和个人用户画像信息进行比较,从而判断该日志文件是否存在相对于该群体用户画像以及个人用户画像的异常行为数据,如果存在,将会及时告知相关人员对该异常行为数据进行验证处理,后台服务器还可以根据该验证处理结果,进一步优化该群体用户画像以及个人用户画像的权重划分比例,以及预设的偏移阈值等,从而提高今后利用该群体用户画像信息、个人用户画像信息以及预设偏移阈值,判断该终端后续生成的日志文件是否存在异常行为数据的准确性以及可靠性。
作为本申请另一实施例,如图4所示,本实施例仍然从后台服务器角度描述其对终端的日志文件的分析过程,与上述图3给出的用户画像分析方式不同,本实施例采用黑名单分析方式,实现对日志文件中异常行为数据的检测,具体可以包括以下步骤:
步骤S41,获得终端虚拟内存盘存储的日志文件;
在本申请中,后台服务器为了实现本实施例提供的这种监控方法,可以设置黑名单匹配系统,在日志记录系统从终端虚拟内存盘读取日志文件后,可以直接将该日志文件发送至黑名单匹配系统,按照本实施例提供的方式,检测该日志文件是否存在异常行为数据;当然,日志记录系统也可以向黑名单匹配系统发送通知消息,以使黑名单匹配系统从该日志记录系统读取需要检测的日志文件等,本申请对黑名单匹配系统获得终端的日志文件的过程不作限定。
可选的,在实际应用中,根据需要,黑名单匹配系统获得日志文件时,还可以同时获得记录该日志文件的终端的用户标识,如该终端的唯一标识或登录该终端的用户账号等,本申请对该用户标识的具体内容不作限定,主要用来区分各终端的日志文件。
步骤S42,将该日志文件与预存黑名单信息进行信息匹配;
在本实施例中,预存黑名单信息可以是该后台服务器通信连接的至少一个终端的共享黑名单信息,也可以是与该终端一一对应的黑名单信息,本申请对此不作限定。
在实际应用中,上述黑名单信息可以包括终端应用过程中曾经出现的异常行为数据,也可以包括本领域公知的一些病毒文件信息等等,本申请对其包含的具体内容不作限定。
由于日志文件可以包括时间、操作用户名、源操作程序全路径名、被操作文件全路径名、访问操作(增加、删除、修改等)等信息,通常情况下,预存的黑名单信息可以针对日志文件包含的信息类型,设置相应的黑名单信息内容,如文件名黑名单、源程序黑名单等等。基于此,本申请可以利用对应日志文件的不同类型信息的黑名单对该类型的信息进行匹配,从而判断预存的黑名单是否有该日志文件中的信息,若有,说明该日志文件存在异常行为数据;反之,说明该日志文件并不存在异常行为数据。
步骤S43,根据信息匹配结果,确定日志文件中存在异常行为数据时,向该终端发送至报警信息;
如上述分析,在确定日志文件中存在与预存黑名单信息相匹配的异常行为数据后,可以向记录该日志文件的终端发送报警信息,也可以向预设的其他目标设备发送该报警信息,以便通过该目标设备通知到响应用户处理该终端的异常行为数据,本申请对该报警信息的接收设备以及该报警信息包含的具体内容都不作限定。
其中,在后台服务器同时对多个终端进行数据安全监控的情况下,后台服务器可以根据终端的用户标识,向对应的终端发送报警信息,从而避免错发报警信息。
步骤S44,接收终端反馈的针对异常行为数据的处理结果,并根据该处理结果调整预存黑名单信息。
在实际应用中,响应用户得知该报警信息后,可以对相应终端进行验证,即验证该终端是否真的发生了病毒文件入侵情况,从而判断后台服务器的报警是否是误报,之后,还可以将经验证所得的处理结果反馈至后台服务器,从而使后台服务器据此调整预存的黑名单信息,具体可以是在确定终端发生了病毒文件入侵,产生了异常行为数据,可以将该病毒文件相关的信息添加到预存的黑名单信息中;反之,若确定本次报警属于误报,即确定的异常行为数据并不是由病毒文件入侵造成的,可以将其相关数据从预存黑名单信息中删除,也可以不会该预存黑名单信息进行删除操作。
由此可见,本申请采用向后台服务器反馈处理结果的方式,提高了后续采用黑名单匹配的方式实现终端数据安全监控方法的可靠性。
作为本申请又一实施例,如图5所示,本实施例仍然从后台服务器角度描述其对终端的日志文件的分析过程,与上述图3给出的用户画像分析方式以及图4给出的黑名单分析方式都不同,本实施例可以采用大数据分析方式,实现对日志文件中异常行为数据的检测,具体可以包括以下步骤:
步骤S51,获得终端虚拟内存盘存储的日志文件;
与上述黑名单匹配系统获得日志文件的过程类型,在本实施例中,可以由预设的大数据分析系统主动或被动从日志记录系统或直接从终端虚拟内存盘获得日志文件,具体过程不作详述。
步骤S52,利用聚类算法对该日志文件进行分析,判断该日志文件是否存在异常行为数据,若存在,执行步骤S53;若不存在,返回步骤S51;
需要说明的是,本申请对大数据分析过程中所采用的大数据分析算法不作限定,即并不局限于本文列举的聚类算法,本实施例在此仅以该聚类算法为例进行说明。
在实际应用中,可以通过聚类算法对各个企业的所有数据进行分析,从而确定各用户的行为数据进行存储,作为后续判断该用户的终端生成的日志文件是否存在异常行为数据的判断标准。具体经分析确定仅有a用户发生“x.exe-*vir.dll-修改”行为,但历史未发生该行为,可以认为该终端的日志文件存在异常行为数据;反之,经分析发现预存的大数据中存在与日志文件相似或相同的行为数据,可以认为该日志文件不存在异常行为数据。
步骤S53,向该终端发送至报警信息。
关于报警信息的生成以及发送过程,可以参照上述实施例相应部分的描述进行分析,本实施例在此不再详述。
综上,在终端记录文件系统的所有操作行为数据,生成日志文件后直接存储至虚拟内存盘,从而使后台服务器通过上述描述的任意一种方式,全面分析该日志文件是否存在异常行为数据,并在确定该日志文件存在异常行为数据时,及时输出报警信息,对该异常行为数据进行处理,避免了因病毒文件入侵产生的异常行为数据对终端安全可靠运行的不利影响,而且,本申请还会将处理结果及时反馈给后台服务器,从而优化后台服务器分析日志文件所用的规则信息,进一步提高了今后分析日志文件的准确性。
如图6所示,为本申请实施例提供的一种后台服务器的结构框图,该后台服务器可以包括:
日志文件记录模块61,用于获得终端虚拟内存盘中的日志文件;在本实施例中,日志文件是针对文件系统的行为数据生成的,获得该日志文件的具体方法过程可以参照上述方法实施例对应部分的描述,本实施在此不再赘述。其中,该日志文件记录模块61可以是上述方法实施例提到的后台服务器中的日志记录系统。
数据分析模块62,用于利用预设分析规则对所述日志文件进行数据分析;
在本申请中,数据分析模块62可以包括:
标准信息获得模块,用于获得预设分析规则对应的标准信息;
比对分析模块,用于将所述日志文件与所述标准信息进行比对分析。
报警模块63,用于基于数据分析结果,确定所述日志文件存在异常行为数据时,生成相应的报警信息;
需要说明书的是,本申请对该报警信息包含的内容以及输出方式不作限定。
第一信息传输模块64,用于将所述报警信息发送至预设目标设备输出,以提示响应用户对所述异常行为数据进行处理。
其中,预设目标设备可以是生成日志文件的终端,也可以是预设的其他设备,本申请对其不作限定,只要能够及时收到报警信息,并对终端的异常行为数据进行处理即可。
可选的,在上述实施例的基础上,如图7所示,后台服务器还可以包括:
第二信息传输模块65,用于接收预设目标设备反馈的响应用户针对所述异常行为数据的异常处理结果;
调整模块66,用于根据异常处理结果,调整预设分析规则的目标参数。
可选的,上述数据分析模块62中的预设分析规则可以包括:用户画像偏移分析规则、黑名单匹配规则以及大数据分析规则等等,本申请对此不作限定。
基于此,如图8(a)所示,该数据分析模块62可以包括:
用户画像信息确定模块6211,用于确定与所述终端的用户标识对应的群体用户画像信息以及个人用户画像信息;
需要说明的是,本申请对群体用户画像以及个人用户画像的创建过程不作限定,在实施例可以通过用户画像系统存储创建的各群体用户画像以及个人用户画像,以及各用户画像信息等。
第一信息比较模块6212,用于将所述日志文件与确定的所述群体用户画像信息进行比较,得到群体用户画像偏移量;
本实施例可以参照上表3以及对应的分析过程,确定该群体用户画像偏移量,但并不局限于此。
其中,该群体用户画像信息可以是登陆该终端的合法用户所属用户群的群体用户画像信息,本申请对其包含的具体内容不作限定,可以根据实际需要确定,如上表1所示。
第二信息比较模块6213,用于将日志文件与确定的个人用户画像信息进行比较,得到个人用户画像偏移量;
本实施例可以参照上表4以及对应的分析过程,确定该个人用户画像偏移量,但并不局限于此。
其中,个人用户画像信息是预先创建的登录该终端的合法用户的用户画像信息,本申请对其包含的具体内容不作限定,可以根据实际需要确定,如上表2所示。
偏移量计算模块6214,用于计算所述群体用户画像偏移量与所述个人用户画像偏移量的总和,得到与所述日志文件对应的用户画像总偏移量;
偏移判断模块6215,用于判断所述用户画像总偏移量是否大于预设偏移阈值。
需要说明的是,本申请对预设偏移阈值的具体数值不作限定,且其可以根据本次监控处理结果进行适应性调整。
作为本申请另一实施例,如图8(b)所示,上述数据分析模块62可以包括:
黑名单匹配模块6221,用于将所述日志文件与预存黑名单信息进行信息匹配。
大数据分析模块6231,用于利用预设聚类算法对所述日志文件进行分析。
其中,关于黑名单匹配模块6221以及大数据分析模块6231具体实现过程,可以参照上述方法实施例对应部分的描述,本实施例在此不再赘述。
综上所述,数据分析模块可以通过用户画像偏移分析规则、黑名单匹配规则和/或大数据分析规则,实现对终端的日志文件的分析,以便根据该分析结果,及时判断终端是否产生了异常行为数据,实现了对病毒文件导致终端产生异常行为数据的及时且有效检测,保证了终端安全可靠运行。
参照图9,为本申请实施例提供的一种终端的结构框图,该终端可以包括:
检测模块91,用于检测终端运行过程中,针对文件系统的行为数据,并利用检测到的行为数据生成相应的日志文件;
在实际应用中,检测模块1具体可以通过文件过滤驱动记录终端运行过程中的行为数据,从而生成相应的日志文件。
虚拟内存盘92,用于存储所述日志文件;
数据传输模块93,用于在接收到针对所述虚拟内存盘的读取请求,将所述日志文件发送至后台服务器。
可选的,该终端还可以包括:
信息输出模块,用于接收并输出所述后台服务器发送的针对所述日志文件的报警信息,所述报警信息用于表明所述日志文件存在异常行为数据;
数据发送模块,用于将针对所述异常行为数据的异常处理结果发送至所述后台服务器。
综上,本实施例中,终端通过监控其文件系统的所有操作文件,并将据此生成的日志文件写入虚拟内存盘,从而避免了对系统资源占用,保证了终端运行速度;而且,由于该日志文件包含了入侵的病毒文件引起的异常行为数据,从而实现了终端入侵病毒文件的有效检测与处理,进而保证了终端安全可靠运行。
上文描述的是后台服务器的软件功能模块结构,下面将从硬件结构来描述后台服务器以及终端的硬件结构:
参照图10,为本申请实施例提供的一种后台服务器的硬件结构框图,如图10所示,该后台服务器可以包括:存储器101、处理器102、报警电路103、通信接口104以及通信总线105;
其中,存储器101、处理器102、报警电路103以及通信接口104通过通信总线105完成相互间的通信。
可选的,该通信接口104可以是USB接口或者其他串口,也可以是无线网络接口或有线网络接口等等。
存储器101,用于存放程序代码以及获得的各种数据等,如各终端的日志文件;
处理器102,用于执行存储器101存储的程序代码;
在本实施例中,该处理器102可以是中央处理器CPU,或者是特定集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器101可以包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器等。
其中,上述程序代码实现本申请提供的数据安全监控方法的过程包括:
获得终端虚拟内存盘中的日志文件,该日志文件可以是终端运行期间,检测到的针对文件系统的行为数据生成的;
利用预设分析规则对所述日志文件进行数据分析;
基于数据分析结果,确定所述日志文件存在异常行为数据时,生成相应的报警信息;
将所述报警信息发送至预设目标设备输出,以提示响应用户对所述异常行为数据进行处理。
需要说明的是,关于程序代码实现上述过程的具体实现方法可以参照上述方法实施例对应部分的描述,本实施在此不再详述。
参照图11,为本申请实施例提供的一种终端的硬件结构图,该终端可以包括:内存111、处理器112、显示器113、通信接口114以及通信总线115;
其中,内存111、处理器112、显示器113以及通信接口114通过通信总线115完成相互间的通信。
可选的,该通信接口114可以是USB接口或者其他串口,也可以是无线网络接口或有线网络接口等等。
内存111,用于存放程序代码以及获得的各种数据等,在本实施例中,可以将内存11至少一部分(记为虚拟内存盘)作为磁盘使用,记录文件系统的各操作行为数据,并存储生成的日志文件;
在本实施例中,内存111可以是高速RAM存储器等,本申请对此不作限定。
处理器112,用于执行存储器111存储的程序代码;
在本实施例中,该处理器112可以是中央处理器CPU,或者是特定集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
在实际应用中,为了实现数据案件监控,上述程序代码具体可以用于:
检测终端运行过程中针对文件系统的行为数据;
利用检测到的行为数据生成相应的日志文件,并将所述日志文件写入虚拟内存盘;
接收到针对所述虚拟内存盘的读取请求,将所述日志文件发送至后台服务器。
参照图1,本申请实施例还可以提供了一种数据案件监控系统,该系统可以包括至少一个终端11以及后台服务器12,其中:
终端11,用于检测终端运行过程中针对文件系统的行为数据,利用检测到的行为数据生成相应的日志文件,并将所述日志文件写入虚拟内存盘;
后台服务器12,用于获得所述终端虚拟内存盘中的所述日志文件,并利用预设分析规则对所述日志文件进行数据分析,在基于数据分析结果,确定所述日志文件存在异常行为数据时,生成相应的报警信息,并将所述报警信息发送至预设目标设备输出,以提示响应用户对所述异常行为数据进行处理。
需要说明的是,关于终端以及后台服务器在实现数据案件监控方案中的具体实现方法可以参照上述方法实施例对应部分的描述,本实施在此不再赘述。
可选的,参照图12所示的本申请实施例提供的一种数据安全监控系统的应用结构图,在实际应用中,终端通过文件过滤确定记录文件系统的所有行为数据,并生成日志文件发送至虚拟内存盘中存储,之后,后台服务器的日志记录系统可以读取该虚拟内存盘中的日志文件,并分别发送至用户画像系统、大数据分析系统和/或黑名单系统,采用相应的方法检测该日志文件是否存在异常行为数据,若存在将触发报警信息向相应的工作人员发送至报警信息,从而使工作人员及时对该异常行为数据进行处理,保证终端的安全可靠运行。
综上所述,本实施例终端将检测到的所有文件系统的行文数据存储到虚拟内存盘中,避免了对系统资源的占用,保证了终端的运行速度;而且,后台服务器通过对记录该行为数据的日志文件进行分析,能够及时有效发现因入侵的病毒文件产生的异常行为数据,并通知用户对异常行为数据进行及时处理,从而保证了终端的安全可靠运行。
此外,需要说明的是,关于上述各实施例中,诸如第一、第二等之类的关系术语仅仅用来将一个操作、单元或模块与另一个操作、单元或模块区分开来,而不一定要求或者暗示这些单元、操作或模块之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法或者系统中还存在另外的相同要素。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的后台服务器、终端以及系统,由于其与实施例公开的方法对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (19)
1.一种数据安全监控方法,其特征在于,所述方法包括:
获得终端虚拟内存盘中的日志文件,所述日志文件是针对文件系统的行为数据生成的;
利用预设分析规则对所述日志文件进行数据分析;
基于数据分析结果,确定所述日志文件存在异常行为数据时,生成相应的报警信息,其中,当用户画像总偏移量大于预设偏移阈值时,确定所述日志文件存在异常行为数据;所述用户画像总偏移量,是基于所述日志文件、所述终端的用户标识对应的群体用户画像信息以及个人用户画像信息得到的;
将所述报警信息发送至预设目标设备输出,以提示响应用户对所述异常行为数据进行处理。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述预设目标设备反馈的所述响应用户针对所述异常行为数据的异常处理结果;
根据所述异常处理结果,调整所述预设分析规则的目标参数。
3.根据权利要求1所述的方法,其特征在于,所述利用预设分析规则对所述日志文件进行数据分析,包括:
获得预设分析规则对应的标准信息;
将所述日志文件与所述标准信息进行比对分析。
4.根据权利要求1所述的方法,其特征在于,所述利用预设分析规则对所述日志文件进行数据分析,基于数据分析结果,确定所述日志文件存在异常行为数据时,生成相应的报警信息,包括:
确定与所述终端的用户标识对应的群体用户画像信息以及个人用户画像信息;
将所述日志文件与确定的所述群体用户画像信息进行比较,得到群体用户画像偏移量;
将所述日志文件与确定的所述个人用户画像信息进行比较,得到个人用户画像偏移量;
计算所述群体用户画像偏移量与所述个人用户画像偏移量的总和,得到与所述日志文件对应的用户画像总偏移量;
判断所述用户画像总偏移量是否大于预设偏移阈值;
所述用户画像总偏移量大于所述预设偏移阈值时,生成相应的报警信息。
5.根据权利要求1所述的方法,其特征在于,所述利用预设分析规则对所述日志文件进行数据分析,基于数据分析结果,确定所述日志文件存在异常行为数据时,生成相应的报警信息,包括:
将所述日志文件与预存黑名单信息进行信息匹配;
所述日志文件存在与所述预存黑名单信息相匹配的异常行为数据时,生成相应的报警信息。
6.根据权利要求1所述的方法,其特征在于,所述利用预设分析规则对所述日志文件进行数据分析,包括:
利用预设聚类算法对所述日志文件进行分析。
7.一种数据安全监控方法,其特征在于,所述方法包括:
检测终端运行过程中针对文件系统的行为数据;
利用检测到的行为数据生成相应的日志文件,并将所述日志文件写入虚拟内存盘;
接收到针对所述虚拟内存盘的读取请求,将所述日志文件发送至后台服务器;
接收并输出所述后台服务器发送的针对所述日志文件的报警信息,所述报警信息用于表明所述日志文件存在异常行为数据,其中,当用户画像总偏移量大于预设偏移阈值时,确定所述日志文件存在异常行为数据;所述用户画像总偏移量,是基于所述日志文件、所述终端的用户标识对应的群体用户画像信息以及个人用户画像信息得到的。
8.根据权利要求7所述的方法,其特征在于,所述检测终端运行过程中针对文件系统的行为数据,包括:
通过文件过滤驱动记录终端运行过程中的行为数据。
9.根据权利要求7所述的方法,其特征在于,所述方法还包括:
将针对所述异常行为数据的异常处理结果发送至所述后台服务器。
10.一种后台服务器,其特征在于,所述后台服务器包括:
日志文件记录模块,用于获得终端虚拟内存盘中的日志文件,所述日志文件是针对文件系统的行为数据生成的;
数据分析模块,用于利用预设分析规则对所述日志文件进行数据分析;
报警模块,用于基于数据分析结果,确定所述日志文件存在异常行为数据时,生成相应的报警信息,其中,当用户画像总偏移量大于预设偏移阈值时,确定所述日志文件存在异常行为数据;所述用户画像总偏移量,是基于所述日志文件、所述终端的用户标识对应的群体用户画像信息以及个人用户画像信息得到的;
第一信息传输模块,用于将所述报警信息发送至预设目标设备输出,以提示响应用户对所述异常行为数据进行处理。
11.根据权利要求10所述的后台服务器,其特征在于,所述后台服务器还包括:
第二信息传输模块,用于接收所述预设目标设备反馈的所述响应用户针对所述异常行为数据的异常处理结果;
调整模块,用于根据所述异常处理结果,调整所述预设分析规则的目标参数。
12.根据权利要求10所述的后台服务器,其特征在于,所述数据分析模块包括:
用户画像信息确定模块,用于确定与所述终端的用户标识对应的群体用户画像信息以及个人用户画像信息;
第一信息比较模块,用于将所述日志文件与确定的所述群体用户画像信息进行比较,得到群体用户画像偏移量;
第二信息比较模块,用于将所述日志文件与确定的所述个人用户画像信息进行比较,得到个人用户画像偏移量;
偏移量计算模块,用于计算所述群体用户画像偏移量与所述个人用户画像偏移量的总和,得到与所述日志文件对应的用户画像总偏移量;
偏移判断模块,用于判断所述用户画像总偏移量是否大于预设偏移阈值。
13.根据权利要求10所述的后台服务器,其特征在于,所述数据分析模块包括:
黑名单匹配模块,用于将所述日志文件与预存黑名单信息进行信息匹配。
14.根据权利要求10所述的后台服务器,其特征在于,所述数据分析模块包括:
大数据分析模块,用于利用预设聚类算法对所述日志文件进行分析。
15.一种数据安全监控终端,其特征在于,所述终端包括:
检测模块,用于检测终端运行过程中针对文件系统的行为数据,并利用检测到的行为数据生成相应的日志文件;
虚拟内存盘,用于存储所述日志文件;
数据传输模块,用于在接收到针对所述虚拟内存盘的读取请求,将所述日志文件发送至后台服务器;
信息输出模块,用于接收并输出所述后台服务器发送的针对所述日志文件的报警信息,所述报警信息用于表明所述日志文件存在异常行为数据,其中,当用户画像总偏移量大于预设偏移阈值时,确定所述日志文件存在异常行为数据;所述用户画像总偏移量,是基于所述日志文件、所述终端的用户标识对应的群体用户画像信息以及个人用户画像信息得到的。
16.一种数据安全监控系统,其特征在于,所述系统包括至少一个终端以及后台服务器,其中:
所述终端,用于检测终端运行过程中针对文件系统的行为数据,利用检测到的行为数据生成相应的日志文件,并将所述日志文件写入虚拟内存盘;
所述后台服务器,用于获得所述终端虚拟内存盘中的所述日志文件,并利用预设分析规则对所述日志文件进行数据分析,在基于数据分析结果,确定所述日志文件存在异常行为数据时,生成相应的报警信息,并将所述报警信息发送至预设目标设备输出,以提示响应用户对所述异常行为数据进行处理,其中,当用户画像总偏移量大于预设偏移阈值时,确定所述日志文件存在异常行为数据;所述用户画像总偏移量,是基于所述日志文件、所述终端的用户标识对应的群体用户画像信息以及个人用户画像信息得到的。
17.一种后台服务器,其特征在于,包括处理器与存储器;
所述存储器用于存放程序代码;
所述处理器用于执行所述存储器存储的程序代码,以实现如权利要求7所述的数据安全监控方法。
18.一种数据安全监控终端,其特征在于,包括处理器与存储器;
所述存储器用于存放程序代码;
所述处理器用于执行所述存储器存储的程序代码,以实现如权利要求1-6任一项所述的数据安全监控方法。
19.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有程序代码,所述程序代码用于被处理器执行,以实现如权利要求1-7任一项所述的数据安全监控方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611264779.3A CN108268354B (zh) | 2016-12-30 | 2016-12-30 | 数据安全监控方法、后台服务器、终端及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611264779.3A CN108268354B (zh) | 2016-12-30 | 2016-12-30 | 数据安全监控方法、后台服务器、终端及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108268354A CN108268354A (zh) | 2018-07-10 |
CN108268354B true CN108268354B (zh) | 2021-02-09 |
Family
ID=62770171
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611264779.3A Active CN108268354B (zh) | 2016-12-30 | 2016-12-30 | 数据安全监控方法、后台服务器、终端及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108268354B (zh) |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108834171B (zh) * | 2018-07-27 | 2021-09-17 | 新华三大数据技术有限公司 | 画像方法及装置 |
CN110263511A (zh) * | 2018-08-15 | 2019-09-20 | 北京立思辰计算机技术有限公司 | 文件自助导入方法和系统 |
CN109344061B (zh) * | 2018-09-25 | 2022-09-16 | 创新先进技术有限公司 | 一种接口的异常检测方法、装置、设备及系统 |
CN109445993A (zh) * | 2018-11-02 | 2019-03-08 | 郑州云海信息技术有限公司 | 一种文件系统健康状况的检测方法及相关装置 |
CN109657475A (zh) * | 2018-12-14 | 2019-04-19 | 平安城市建设科技(深圳)有限公司 | 代码漏洞排查方法、装置、设备及存储介质 |
CN110365698A (zh) * | 2019-07-29 | 2019-10-22 | 杭州数梦工场科技有限公司 | 风险评估方法与装置 |
CN110443040B (zh) * | 2019-08-13 | 2021-08-20 | 杭州安恒信息技术股份有限公司 | 一种基于文件过滤驱动框架的文件实时捕获方法和装置 |
CN110688359A (zh) * | 2019-09-27 | 2020-01-14 | 南京天芯云数据服务有限公司 | 一种日志分析方法与管理平台 |
CN111209171B (zh) * | 2019-12-23 | 2022-09-02 | 中国平安财产保险股份有限公司 | 安全风险的闭环处置方法、装置及存储介质 |
CN111787307A (zh) * | 2020-06-30 | 2020-10-16 | 歌尔科技有限公司 | 一种摄像头启动报警方法、装置、设备及可读存储介质 |
CN113971187A (zh) * | 2020-07-24 | 2022-01-25 | 中移物联网有限公司 | 一种服务监控方法及装置 |
CN111885077A (zh) * | 2020-07-31 | 2020-11-03 | 李垚俊 | 一种数据安全的监测系统 |
CN112507265B (zh) * | 2020-11-23 | 2024-03-01 | 北京八分量信息科技有限公司 | 基于树结构进行异常侦测的方法、装置及相关产品 |
CN112631916A (zh) * | 2020-12-24 | 2021-04-09 | 摩拜(北京)信息技术有限公司 | 数据验证方法、装置及电子设备 |
CN112804196A (zh) * | 2020-12-25 | 2021-05-14 | 北京明朝万达科技股份有限公司 | 日志数据的处理方法及装置 |
CN113190804B (zh) * | 2021-05-26 | 2024-04-12 | 四川坤翔科技有限公司 | 一种数据处理方法、装置、安全系统及电子设备 |
CN113347203B (zh) * | 2021-06-29 | 2023-02-03 | 深信服科技股份有限公司 | 网络攻击的检测方法、装置、电子设备及存储介质 |
CN113391990A (zh) * | 2021-06-30 | 2021-09-14 | 未鲲(上海)科技服务有限公司 | 系统日志的监控方法、装置、设备及存储介质 |
CN113836525A (zh) * | 2021-09-27 | 2021-12-24 | 中国信息安全测评中心 | 云服务商行为风险的分析方法及装置 |
CN114629696A (zh) * | 2022-02-28 | 2022-06-14 | 天翼安全科技有限公司 | 一种安全检测方法、装置、电子设备及存储介质 |
CN114866276A (zh) * | 2022-03-21 | 2022-08-05 | 杭州薮猫科技有限公司 | 异常传输文件的终端检测方法、装置、存储介质及设备 |
CN115328724B (zh) * | 2022-07-18 | 2023-04-11 | 华中科技大学同济医学院附属协和医院 | 一种基于大数据平台的监测方法和系统 |
CN116366308B (zh) * | 2023-03-10 | 2023-11-03 | 广东堡塔安全技术有限公司 | 一种基于云计算的服务器安全监控系统 |
CN117272392B (zh) * | 2023-11-21 | 2024-03-15 | 国网四川省电力公司信息通信公司 | 用于终端的数据安全保护与备份控制方法和系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104202201A (zh) * | 2014-09-16 | 2014-12-10 | 广州金山网络科技有限公司 | 一种日志处理方法、装置及终端 |
CN104503892A (zh) * | 2014-12-19 | 2015-04-08 | 宇龙计算机通信科技(深圳)有限公司 | 终端异常的处理方法、处理装置和终端 |
CN106105112A (zh) * | 2014-03-19 | 2016-11-09 | 日本电信电话株式会社 | 分析规则调整装置、分析规则调整系统、分析规则调整方法以及分析规则调整程序 |
CN106203140A (zh) * | 2016-07-15 | 2016-12-07 | 上海数据交易中心有限公司 | 基于数据结构的数据流通方法、装置及终端 |
CN106254125A (zh) * | 2016-08-18 | 2016-12-21 | 南京联成科技发展有限公司 | 基于大数据的安全事件相关性分析的方法及系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150286650A1 (en) * | 2014-04-03 | 2015-10-08 | Kurt Stump | Decision Making and Activity Recommendations Engine via Online Persona |
CN104572889B (zh) * | 2014-12-24 | 2016-10-05 | 深圳市腾讯计算机系统有限公司 | 一种搜索词推荐方法、装置和系统 |
-
2016
- 2016-12-30 CN CN201611264779.3A patent/CN108268354B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106105112A (zh) * | 2014-03-19 | 2016-11-09 | 日本电信电话株式会社 | 分析规则调整装置、分析规则调整系统、分析规则调整方法以及分析规则调整程序 |
CN104202201A (zh) * | 2014-09-16 | 2014-12-10 | 广州金山网络科技有限公司 | 一种日志处理方法、装置及终端 |
CN104503892A (zh) * | 2014-12-19 | 2015-04-08 | 宇龙计算机通信科技(深圳)有限公司 | 终端异常的处理方法、处理装置和终端 |
CN106203140A (zh) * | 2016-07-15 | 2016-12-07 | 上海数据交易中心有限公司 | 基于数据结构的数据流通方法、装置及终端 |
CN106254125A (zh) * | 2016-08-18 | 2016-12-21 | 南京联成科技发展有限公司 | 基于大数据的安全事件相关性分析的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108268354A (zh) | 2018-07-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108268354B (zh) | 数据安全监控方法、后台服务器、终端及系统 | |
US10893068B1 (en) | Ransomware file modification prevention technique | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
US10225249B2 (en) | Preventing unauthorized access to an application server | |
US20190073483A1 (en) | Identifying sensitive data writes to data stores | |
CN102037472B (zh) | 软件信誉的建立和监控系统及方法 | |
CN113711559B (zh) | 检测异常的系统和方法 | |
WO2019026310A1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
CN112600797A (zh) | 异常访问行为的检测方法、装置、电子设备及存储介质 | |
GB2592132A (en) | Enterprise network threat detection | |
CN113055407A (zh) | 一种资产的风险信息确定方法、装置、设备及存储介质 | |
CN116305290A (zh) | 一种系统日志安全检测方法及装置、电子设备及存储介质 | |
GB2535579A (en) | Preventing unauthorized access to an application server | |
KR20150133370A (ko) | 웹서비스 접속제어 시스템 및 방법 | |
US8353032B1 (en) | Method and system for detecting identity theft or unauthorized access | |
CN110958236A (zh) | 基于风险因子洞察的运维审计系统动态授权方法 | |
WO2020000753A1 (zh) | 一种设备安全监控方法和装置 | |
US11507656B2 (en) | Ransomware detection and remediation | |
US10637877B1 (en) | Network computer security system | |
CN114257404B (zh) | 异常外联统计告警方法、装置、计算机设备和存储介质 | |
CN110365642B (zh) | 监控信息操作的方法、装置、计算机设备及存储介质 | |
US20230132611A1 (en) | Abnormal classic authorization detection systems | |
KR101623266B1 (ko) | Crc 알고리즘을 이용한 메모리 보호 파일의 위변조 검출 방법 및 서버 | |
CN114048455A (zh) | 异常登录检测方法、装置、终端设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |