CN108512806A - 一种基于虚拟环境的操作行为分析方法及服务器 - Google Patents
一种基于虚拟环境的操作行为分析方法及服务器 Download PDFInfo
- Publication number
- CN108512806A CN108512806A CN201710103858.4A CN201710103858A CN108512806A CN 108512806 A CN108512806 A CN 108512806A CN 201710103858 A CN201710103858 A CN 201710103858A CN 108512806 A CN108512806 A CN 108512806A
- Authority
- CN
- China
- Prior art keywords
- account
- daily record
- business operation
- business
- flow daily
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种基于虚拟环境的操作行为分析方法及服务器。其中,所述方法包括:获取流量数据,并根据所述流量数据生成第一流量日志;根据所述第一流量日志和业务操作模型对用户操作行为进行分析,以获得用户异常操作;其中,所述业务操作模型是根据预设时间段内的第二流量日志以及从账号的操作权限建立的,所述第二流量日志中包括所述从账号。所述服务器用于执行上述方法。本发明提供的基于虚拟环境的操作行为分析方法及服务器,由于能够获取流量数据并生成第一流量日志,根据第一流量日志和业务操作模型对用户操作行为进行分析,从而获得用户异常操作,可以有效识别用户异常操作行为。
Description
技术领域
本发明涉及互联网技术领域,具体涉及一种基于虚拟环境的操作行为分析方法及服务器。
背景技术
虚拟化是目前云计算最为重要的技术支撑,需要整个虚拟化环境中的存储、计算及网络安全等资源的支持。在这个方面,基于服务器的虚拟化技术走在了前面,已开始广泛的部署应用。
现有技术中,针对虚拟环境的主要操作行为管理方式如下:(1)在服务器的虚拟化过程中,以VMware为代表的虚拟化厂商,通过在服务器Hypervisor层集成vSwitch虚拟交换机特性,实现一些基本的访问规则允许或拒绝访问。通过查看与分析日志,实现虚拟环境下用户的操作行为管理。(2)通过直接在服务器内部部署虚拟机安全软件,通过对VMware开放的API接口的利用,将所有VMware之间的流量交换在进入到vSwitch之前,先引入到虚拟机安全软件进行检查,通过虚拟环境下的流量分析,实现虚拟环境下用户的操作行为管理。
上述两种操作行为管理需对现有静态的网络环境下进行分析,对于虚拟服务器在动态迁移的状态下的操作行为,上述方法无法进行监控。由于虚拟机动态迁移,访问权限发生改变,虚拟机之间的访问没有及时的采取安全控制措施,容易造成系统的越权访问。
因此,如何提出一种方法,能够快速实现虚拟系统中用户操作行为分析,有效识别用户异常操作行为成为业界亟待解决的重要课题。
发明内容
针对现有技术中的缺陷,本发明提供一种接单奖励处理方法及服务器。
一方面,本发明提出一种基于虚拟环境的操作行为分析方法,包括:
获取流量数据,并根据所述流量数据生成第一流量日志;
根据所述第一流量日志和业务操作模型对用户操作行为进行分析,以获得用户异常操作;其中,所述业务操作模型是根据预设时间段内的第二流量日志以及从账号的操作权限建立的,所述第二流量日志中包括所述从账号。
另一方面,本发明提供一种服务器,包括:
获取单元,用于获取流量数据,并根据所述流量数据生成第一流量日志;
分析单元,根据所述第一流量日志和业务操作模型对用户操作行为进行分析,以获得用户异常操作;其中,所述业务操作模型是根据预设时间段内的第二流量日志以及从账号的操作权限建立的,所述第二流量日志中包括所述从账号。
本发明提供的基于虚拟环境的操作行为分析方法及服务器,由于能够获取流量数据并生成第一流量日志,根据第一流量日志和业务操作模型对用户操作行为进行分析,从而获得用户异常操作,可以有效识别用户异常操作行为。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例基于虚拟环境的操作行为分析方法的流程示意图;
图2为本发明一实施例服务器的结构示意图;
图3为本发明另一实施例服务器的结构示意图;
图4为本发明又一实施例服务器的结构示意图;
图5为本发明再一实施例服务器的结构示意图;
图6为本发明实施例服务器的实体结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明一实施例基于虚拟环境的操作行为分析方法的流程示意图,如图1所示,本发明提供的基于虚拟环境的操作行为分析方法包括:
S101、获取流量数据,并根据所述流量数据生成第一流量日志;
具体地,服务器可以通过旁路侦听交换机镜像口获取流量数据,所述流量数据可以来源于网络流量TCP和UDP协议的实时数据。所述服务器根据所述流量数据生成第一流量日志。所述第一流量日志可以包括主账号、从账号、业务系统、业务类型、目标地址、统一资源定位器(Uniform Resource Locator,以下简称URL)等信息,上述信息根据需要可以基于所述流量数据获取。
S102、根据所述第一流量日志和业务操作模型对用户操作行为进行分析,以获得用户异常操作;其中,所述业务操作模型是根据预设时间段内的第二流量日志以及从账号的操作权限建立的,所述第二流量日志中包括所述从账号。
具体地,用户对虚拟机访问进行的业务操作可以通过所述第一流量日志获得,所述服务器根据所述第一流量日志和业务操作模型对用户操作行为进行分析,以获得用户异常操作。例如,所述服务器通过将所述用户的业务操作与所述业务操作模型进行对比,可以发现哪些所述业务操作包括在所述业务操作模型中,对于不包括在所述业务操作模型中的所述业务操作,可以视为所述用户异常操作。对于所述用户异常操作可以进行记录,然后发送至4A统一安全管理平台的审计系统进行安全审计,4A包括统一用户账号(Account)管理、统一认证(Authentication)管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。其中,所述业务操作模型是根据第二流量日志以及从账号的操作权限建立的,所述第二流量日志中包括所述从账号。所述第二流量日志可以包括进行当前流量数据采集前预设时间段内所述第一流量日志,所述预设时间段可以根据实际情况进行设定,例如前一天,本发明实施例不做限定;所述从账号是通过所述4A统一安全管理平台设置的,在设置所述从账号时可以限定所述从账号操作权限,例如可以设置所述从账号可以访问哪些虚拟机,所述从账号操作权限可以根据用户的一级角色,例如管理员,营业厅人员,维护人员,以及二级角色,例如长沙,株洲,岳阳等地市来分配,所述从账号与唯一的主账号相对应,每个用户有一个主账号。
本发明提供的基于虚拟环境的操作行为分析方法,由于能够获取流量数据并生成第一流量日志,根据第一流量日志和业务操作模型对用户操作行为进行分析,从而获得用户异常操作,可以有效识别用户异常操作行为。
在上述实施例的基础上,进一步地,所述根据所述流量数据生成第一流量日志包括:
根据所述流量数据获取访问信息;
根据所述访问信息以及预设业务字段获取业务操作、目标地址、业务类型以及所述从账号;
根据所述业务操作访问的目标地址获得对应的业务系统;
根据所述从账号获取所述主账号;
基于所述业务操作、所述目标地址、所述业务类型、所述业务系统、所述从账号以及所述主账号生成所述第一流量日志。
具体地,所述服务器在获得所述流量数据后,可以从所述流量数据中获得访问信息,例如可以是某淘宝账号在天猫购物的信息。对所述访问信息进行解析和过滤可以获得与所述业务操作相关的数据,根据所述预设业务字段在与所述业务操作相关的数据中获得业务操作、目标地址、业务类型以及所述从账号,所述预设业务字段可以是从账号,业务类型、操作动作、目标地址、host地址、URL和对比字符串,所述对比字符串可以有多个,例如name、address、postcode等,通过所述对比字符串可以从所述业务操作相关的数据中匹配相关的业务操作。所述预设业务字段根据实际情况进行设置,本发明实施例不做限定。
对于业务系统,有设定访问的IP地址段,根据所述流量日志中所述业务类型访问的目标地址可以确定所述业务类型所述的业务系统。在所述4A统一安全管理平台中,由于所述从账号与所述主账号唯一对应,根据所述从账号可以确定其属于哪个所述主账号,即可以确定是哪个用户的操作。根据所述业务操作、所述目标地址、所述业务类型、所述业务系统、所述从账号以及所述主账号可以生成所述第一流量日志。
本发明提供的基于虚拟环境的操作行为分析方法,由于能够获取流量数据并生成第一流量日志,根据第一流量日志和业务操作模型对用户操作行为进行分析,从而获得用户异常操作,可以有效识别用户异常操作行为。对第一流量日志的获取内容进行设定,有利于后续对用户操作行为的分析。
在上述各实施例的基础上,进一步地,在获取所述流量数据之前,所述方法还包括:
根据所述第二流量日志以及所述从账号的操作权限建立所述业务操作模型。
建立所述业务操作模型的步骤如下:
根据所述从账号的操作权限以及所述第二流量日志,获得所述从账号对应的正常业务操作日志;其中,所述正常业务操作日志中包括所述从账号、IP地址、业务系统、业务类型和业务操作;
根据所述从账号、所述IP地址、所述业务系统、所述业务类型和所述业务操作进行分层聚类,以建立所述业务操作模型。
具体地,不同的所述从账号具有不同的操作权限,在业务操作层面,通过限定所述从账号访问的目标地址达到设定所述从账号操作权限的目的。所述服务器根据所述从账号的操作权限以及所述第二流量日志,获得所述从账号对应的正常操作日志,所述正常操作日志中包括所述从账号、IP地址、业务系统、业务类型和业务操作。例如,所述第二流量日志中包括所述目标地址,所述服务器通过对比所述从账号对应的业务操作访问的所述目标地址与所述从账号授权访问的所述目标地址,可以获得所述从账号对哪些所述目标地址的访问时授权的,对哪些目标地址的访问时非法的。在所述第二流量日志中所述业务操作对应着业务类型、业务系统、IP地址以及从账号。
对于相同的所述从账号,会有一致的操作权限,相同的业务系统包括相同的业务类型,相同的业务类型会有相似的各种业务操作。基于这些关系,使用分层聚类算法,进行聚类建立所述业务操作模型。首先,所述服务器将相同的所述从账号的进行聚类,根据所述IP地址,进行一次聚类,获得一次登录所述4A统一安全管理平台的所有操作。其次,基于所述业务系统,将相同的所述业务系统聚类,可以识别出相同的业务系统的所有业务操作。接着,根据所述业务类型进行聚类,可以获得不同的业务类型下的业务操作。然后,根据所述业务操作进行聚类,所述业务操作包括不同的业务动作,可以根据业务动作设定关键字,如果存在相同的所述关键字,可以认为是在进行同样一个业务操作中的不同阶段,这样把一个业务操作中所有的不同阶段聚类在一起。最后,根据业务动作的发生时间使用冒泡排序法对所述业务动作进行排序,如果所述业务动作发生的时间相同,再根据系统操作动作确定所述业务动作的先后顺序,最终可以整理出一个所述业务操作的流程中需要哪些所述业务动作,这些所述业务动作的顺序关系,所述业务动作访问的目标地址和URL等类似信息,从而建立所述业务操作模型。
通过所述业务操作模型,可以获知所述从账号下可能产生的所述业务操作,所述业务操作的正常流程以及所述业务动作访问的所述目标地址。所述业务操作模型作为所述从账号的正常业务操作的合集,可以用于发现不符合操作流程或者异常权限的操作。
本发明提供的基于虚拟环境的操作行为分析方法,由于能够获取流量数据并生成第一流量日志,根据第一流量日志和业务操作模型对用户操作行为进行分析,从而获得用户异常操作,可以有效识别用户异常操作行为。通过建立业务操作模型,有助于区别正常业务操作和异常业务操作。
在上述各实施例的基础上,进一步地,本发明提供的基于虚拟环境的操作行为分析方法还包括:
若判断获知虚拟机发生迁移,且所述虚拟机迁移后的IP地址出现在所述第一流量日志包括的目标地址中,则将所述业务操作模型中授权访问所述虚拟机迁移后的IP地址的所述从账号对应的所述虚拟机迁移前的IP地址替换为所述虚拟机迁移后的IP地址;其中,所述数据流量是对所述虚拟机进行访问产生的。
具体地,由于虚拟机可能会发生迁移,所述服务器通过所述虚拟机管理平台的访问日志中所述虚拟机的IP地址是否发生变化可以判断所述虚拟机是否发生迁移,并可以获得所述虚拟机发生迁移后的IP地址,将所述迁移后的IP地址与所述第一流量日志中包括的目标地址进行对比。如果所述迁移后的IP地址包括在所述目标地址中,所述服务器可以通过所述4A统一安全管理平台获得授权访问所述迁移后的IP地址的所述从账号,并在所述业务操作模型中将所述从账号对应的所述虚拟机迁移前的IP地址替换为所述虚拟机迁移后的IP地址。其中,所述数据流量是对所述虚拟机进行访问产生的。
本发明提供的基于虚拟环境的操作行为分析方法,由于能够获取流量数据并生成第一流量日志,根据第一流量日志和业务操作模型对用户操作行为进行分析,从而获得用户异常操作,可以有效识别用户异常操作行为。通过对虚拟机是否迁移的判断,在虚拟机迁移后将业务操作模型中授权访问虚拟机的从账号对应的所述虚拟机迁移前的IP地址替换为所述虚拟机迁移后的IP地址,避免将从账号的正常业务操作识别为异常操作,提高识别用户异常操作的准确性。
在上述各实施例的基础上,进一步地,所述根据所述第一流量日志和业务操作模型对用户操作行为进行分析,以获得用户异常操作包括:
根据所述第一流量日志包括的业务操作以及与所述业务操作对应的目标地址获得所述业务操作的路径;其中,所述第一流量日志包括所述从账号,所述业务操作与所述从账号对应;
若判断获知所述访问路径与所述业务操作模型不匹配,或者所述从账号没有对所述目标地址的访问权限,则所述从账号对应的业务操作为异常操作。
具体地,所述第一流量日志中包括所述从账号、所述从账号对应的业务操作以及所述业务操作访问的目标地址,所述服务器根据所述业务操作和所述目标地址可以获得所述业务操作的路径。例如,在某网站购物,需要经过登陆网站,选购商品、进入购入车和支付四个步骤,对于登陆网站访问的目标地址为166.165.1.1,选购商品访问的目标地址是166.165.1.2,进入购物车访问的目标地址为166.165.1.3,而支付访问的目标地址为166.165.1.4,这里访问的都是虚拟机,购物即为业务操作,所述登陆网站与166.165.1.1共同构成了路径的节点,即所述购物的路径有四个节点,每个节点由业务动作与执行业务动作需要访问的所述目标地址构成。
所述服务器在所述业务操作模型中查找所述路径,如果所述业务操作模型中不存在所述路径,那么所述业务操作为异常操作;或者所述服务器通过所述4A统一安全管理平台可以获得所述从账号对哪所述目标地址具有访问权限,如果所述路径的IP地址中存在未授权给所述从账号的所述目标地址,那么所述业务操作为异常操作。所述服务器可以根据所述业务操作所属的所述从账号,在所述第一流量日志中获得与所述从账号对应的主账号,从而确定进行异常操作的与主账号对应的用户。
本发明提供的基于虚拟环境的操作行为分析方法及服务器,由于能够获取流量数据并生成第一流量日志,根据第一流量日志和业务操作模型对用户操作行为进行分析,从而获得用户异常操作,可以有效识别用户异常操作行为。给出用户异常操作的判断条件,有助于快速识别用户异常操作行为。
图2为本发明一实施例服务器的结构示意图,如图2所示,本发明提供的服务器包括获取单元201和分析单元202,其中:
获取单元201用于获取流量数据,并根据所述流量数据生成第一流量日志;分析单元202根据所述第一流量日志和业务操作模型对用户操作行为进行分析,以获得用户异常操作;其中,所述业务操作模型是根据预设时间段内的第二流量日志以及从账号的操作权限建立的,所述第二流量日志中包括所述从账号。
具体地,获取单元201可以通过旁路侦听交换机镜像口获取流量数据,所述流量数据可以来源于网络流量TCP和UDP协议的实时数据。获取单元201根据所述流量数据生成第一流量日志。所述第一流量日志可以包括主账号、从账号、业务系统、业务类型、目标地址、统一资源定位器(Uniform Resource Locator,以下简称URL)等信息,上述信息根据需要可以基于所述流量数据获取。
用户对虚拟机访问进行的业务操作可以通过所述第一流量日志获得,分析单元202根据所述第一流量日志和业务操作模型对用户操作行为进行分析,以获得用户异常操作。例如,分析单元202通过将所述用户的业务操作与所述业务操作模型进行对比,可以发现哪些所述业务操作包括在所述业务操作模型中,对于不包括在所述业务操作模型中的所述业务操作,可以视为所述用户异常操作。对于所述用户异常操作可以进行记录,然后发送至4A统一安全管理平台的审计系统进行安全审计,4A包括统一用户账号(Account)管理、统一认证(Authentication)管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。其中,所述业务操作模型是根据第二流量数据以及从账号的操作权限建立的,所述第二流量日志中包括所述从账号。所述第二流量日志可以包括进行当前流量数据采集前预设时间段内所述第一流量日志,所述预设时间段可以根据实际情况进行设定,例如前一天,本发明实施例不做限定;所述从账号是通过所述4A统一安全管理平台设置的,在设置所述从账号时可以限定所述从账号操作权限,例如可以设置所述从账号可以访问哪些虚拟机,所述从账号操作权限可以根据用户的一级角色,例如管理员,营业厅人员,维护人员,以及二级角色,例如长沙,株洲,岳阳等地市来分配,所述从账号与唯一的主账号相对应,每个用户有一个主账号。
本发明提供的服务器,由于能够获取流量数据并生成第一流量日志,根据第一流量日志和业务操作模型对用户操作行为进行分析,从而获得用户异常操作,可以有效识别用户异常操作行为。
图3为本发明另一实施例服务器的结构示意图,如图3所示,所述服务器还包括建立单元203,其中:
建立单元203用于根据所述第二流量日志以及所述从账号的操作权限建立模型。
具体地,在获取所示流量数据之前,建立单元203根据所述第二流量日志以及所述从账号的操作权限建立所述业务操作模型。建立所述业务操作模型的步骤如下:建立单元203首先根据所述从账号的操作权限以及所述第二流量日志,获得所述从账号对应的正常业务操作日志;其中,所述正常业务操作日志中包括所述从账号、IP地址、业务系统、业务类型和业务操作;然后根据所述从账号、所述IP地址、所述业务系统、所述业务类型和所述业务操作进行分层聚类,以建立所述业务操作模型。不同的所述从账号具有不同的操作权限,在业务操作层面,通过限定所述从账号访问的目标地址达到设定所述从账号操作权限的目的。建立单元203根据所述从账号操作权限以及所述第二流量日志,获得所述从账号对应的正常操作日志,所述正常操作日志中包括所述从账号、IP地址、业务系统、业务类型和业务操作。例如,所述第二流量日志中包括所述目标地址,建立单元203通过对比所述从账号对应的业务操作访问的所述目标地址与所述从账号授权访问的所述目标地址,可以获得所述从账号对哪些所述目标地址的访问时授权的,对哪些目标地址的访问时非法的。在所述第二流量日志中所述业务操作对应着业务类型、业务系统、IP地址以及从账号。
对于相同的所述从账号,会有一致的操作权限,相同的业务系统包括相同的业务类型,相同的业务类型会有相似的各种业务操作。基于这些关系,使用分层聚类算法,进行聚类建立所述业务操作模型。首先,所述服务器将相同的所述从账号的进行聚类,根据所述IP地址,进行一次聚类,获得一次登录所述4A统一安全管理平台的所有操作。其次,基于所述业务系统,将相同的所述业务系统聚类,可以识别出相同的业务系统的所有业务操作。接着,根据所述业务类型进行聚类,可以获得不同的业务类型下的业务操作。然后,根据所述业务操作进行聚类,所述业务操作包括不同的业务动作,可以根据业务动作设定关键字,如果存在相同的所述关键字,可以认为是在进行同样一个业务操作中的不同阶段,这样把一个业务操作中所有的不同阶段聚类在一起。最后,根据业务动作的发生时间使用冒泡排序法对所述业务动作进行排序,如果所述业务动作发生的时间相同,再根据系统操作动作确定所述业务动作的先后顺序,最终可以整理出一个所述业务操作的流程中需要哪些所述业务动作,这些所述业务动作的顺序关系,所述业务动作访问的目标地址和URL等类似信息,从而建立所述业务操作模型。
通过所述业务操作模型,可以获知所述从账号下可能产生的所述业务操作,所述业务操作的正常流程以及所述业务动作访问的所述目标地址。所述业务操作模型作为所述从账号的正常业务操作的合集,可以用于发现不符合操作流程或者异常权限的操作。
本发明提供的服务器,由于能够获取流量数据并生成第一流量日志,根据第一流量日志和业务操作模型对用户操作行为进行分析,从而获得用户异常操作,可以有效识别用户异常操作行为。通过建立业务操作模型,有助于区别正常业务操作和异常业务操作。
图4为本发明又一实施例服务器的结构示意图,如图4所示,本发明提供的服务器还包括替换单元204,其中:
替换单元204用于若判断获知虚拟机发生迁移,且所述虚拟机迁移后的IP地址出现在所述第一流量日志包括的目标地址中,则将所述业务操作模型中授权访问所述虚拟机迁移后的IP地址的所述从账号对应的所述虚拟机迁移前的IP地址替换为所述虚拟机迁移后的IP地址;其中,所述数据流量是对所述虚拟机进行访问产生的。
具体地,由于虚拟机可能会发生迁移,替换单元204通过所述虚拟机管理平台的访问日志中所述虚拟机的IP地址是否发生变化可以判断所述虚拟机是否发生迁移,并可以获得所述虚拟机发生迁移后的IP地址,将所述迁移后的IP地址与所述第一流量日志中包括的目标地址进行对比。如果所述迁移后的IP地址包括在所述目标地址中,替换单元204可以通过所述4A统一安全管理平台获得授权访问所述迁移后的IP地址的所述从账号,并在所述业务操作模型中将所述从账号对应的所述虚拟机迁移前的IP地址替换为所述虚拟机迁移后的IP地址。其中,所述数据流量是对所述虚拟机进行访问产生的。
本发明提供的服务器,由于能够获取流量数据并生成第一流量日志,根据第一流量日志和业务操作模型对用户操作行为进行分析,从而获得用户异常操作,可以有效识别用户异常操作行为。通过对虚拟机是否迁移的判断,在虚拟机迁移后将业务操作模型中授权访问虚拟机的从账号对应的所述虚拟机迁移前的IP地址替换为所述虚拟机迁移后的IP地址,避免将从账号的正常业务操作识别为异常操作,提高识别用户异常操作的准确性。
图5为本发明再一实施例服务器的结构示意图,如图5所示,分析单元202包括获得子单元2021和判断子单元2022,其中:
获得子单元2021用于根据所述第一流量日志包括的业务操作以及与所述业务操作对应的目标地址获得所述业务操作的路径;其中,所述第一流量日志包括所述从账号,所述业务操作与所述从账号对应;判断子单元2022用于若判断获知所述路径与所述业务操作模型不匹配,或者所述从账号没有对所述目标地址的访问权限,则所述从账号对应的业务操作为异常操作。
具体地,所述第一流量日志中包括所述从账号、所述从账号对应的业务操作以及所述业务操作访问的目标地址,获得子单元2021根据所述业务操作和所述目标地址可以获得所述业务操作的路径。例如,在某网站购物,需要经过登陆网站,选购商品、进入购入车和支付四个步骤,对于登陆网站访问的目标地址为166.165.1.1,选购商品访问的目标地址是166.165.1.2,进入购物车访问的目标地址为166.165.1.3,而支付访问的目标地址为166.165.1.4,这里访问的都是虚拟机,购物即为业务操作,所述登陆网站与166.165.1.1共同构成了路径的节点,即所述购物的路径有四个节点,每个节点由业务动作与执行业务动作需要访问的所述目标地址构成。
判断子单元2022在所述业务操作模型中查找所述路径,如果所述业务操作模型中不存在所述路径,那么所述业务操作为异常操作;或者所述服务器通过所述4A统一安全管理平台可以获得所述从账号对哪所述目标地址具有访问权限,如果所述路径的IP地址中存在未授权给所述从账号的所述目标地址,那么所述业务操作为异常操作。判断子单元2022可以根据所述业务操作所属的所述从账号,在所述第一流量日志中获得与所述从账号对应的主账号,从而确定进行异常操作的与主账号对应的用户。
本发明提供的服务器,由于能够获取流量数据并生成第一流量日志,根据第一流量日志和业务操作模型对用户操作行为进行分析,从而获得用户异常操作,可以有效识别用户异常操作行为。给出用户异常操作的判断条件,有助于快速识别用户异常操作行为。
本发明提供的服务器的实施例具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
图6为本发明实施例服务器的实体结构示意图,如图6所示,本发明提供的统服务器包括:
处理器(processor)601、存储器(memory)602和通信总线603;
其中,
所述处理器601和存储器602通过所述通信总线603完成相互间的通信;
所述处理器601用于调用所述存储器602中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:获取流量数据,并根据所述流量数据生成第一流量日志;根据所述第一流量日志和业务操作模型对用户操作行为进行分析,以获得用户异常操作;其中,所述业务操作模型是根据预设时间段内的第二流量日志以及从账号的操作权限建立的,所述第二流量日志中包括所述从账号。
本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如获取流量数据,并根据所述流量数据生成第一流量日志;根据所述第一流量日志和业务操作模型对用户操作行为进行分析,以获得用户异常操作;其中,所述业务操作模型是根据预设时间段内的第二流量日志以及从账号的操作权限建立的,所述第二流量日志中包括所述从账号。
本发明实施例提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取流量数据,并根据所述流量数据生成第一流量日志;根据所述第一流量日志和业务操作模型对用户操作行为进行分析,以获得用户异常操作;其中,所述业务操作模型是根据预设时间段内的第二流量日志以及从账号的操作权限建立的,所述第二流量日志中包括所述从账号。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于虚拟环境的操作行为分析方法,其特征在于,包括:
获取流量数据,并根据所述流量数据生成第一流量日志;
根据所述第一流量日志和业务操作模型对用户操作行为进行分析,以获得用户异常操作;其中,所述业务操作模型是根据预设时间段内的第二流量日志以及从账号的操作权限建立的,所述第二流量日志中包括所述从账号。
2.根据权利要求1所述的方法,其特征在于,所述根据所述流量数据生成第一流量日志包括:
根据所述流量数据获取访问信息;
根据所述访问信息以及预设业务字段获取业务操作、目标地址、业务类型以及所述从账号;
根据所述业务操作访问的目标地址获得对应的业务系统;
根据所述从账号获取所述主账号;
基于所述业务操作、所述目标地址、所述业务类型、所述业务系统、所述从账号以及所述主账号生成所述第一流量日志。
3.根据权利要求1所述的方法,其特征在于,在获取所述流量数据之前,所述方法还包括:
根据所述第二流量日志以及所述从账号的操作权限建立所述业务操作模型。
4.根据权利要求3所述的方法,其特征在于,建立所述业务操作模型的步骤包括:
根据所述从账号的操作权限以及所述第二流量日志,获得所述从账号对应的正常业务操作日志;其中,所述正常业务操作日志中包括所述从账号、IP地址、业务系统、业务类型和业务操作;
根据所述从账号、所述IP地址、所述业务系统、所述业务类型和所述业务操作进行分层聚类,以建立所述业务操作模型。
5.根据权利要求1所述的方法,其特征在于,还包括:
若判断获知虚拟机发生迁移,且所述虚拟机迁移后的IP地址出现在所述第一流量日志包括的目标地址中,则将所述业务操作模型中授权访问所述虚拟机迁移后的IP地址的所述从账号对应的所述虚拟机迁移前的IP地址替换为所述虚拟机迁移后的IP地址;其中,所述数据流量是对所述虚拟机进行访问产生的。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述根据所述第一流量日志和业务操作模型对用户操作行为进行分析,以获得用户异常操作包括:
根据所述第一流量日志包括的业务操作以及与所述业务操作对应的目标地址获得所述业务操作的路径;其中,所述第一流量日志包括所述从账号,所述业务操作与所述从账号对应;
若判断获知所述路径与所述业务操作模型不匹配,或者所述从账号没有对所述目标地址的访问权限,则所述从账号对应的业务操作为异常操作。
7.一种服务器,其特征在于,包括:
获取单元,用于获取流量数据,并根据所述流量数据生成第一流量日志;
分析单元,根据所述第一流量日志和业务操作模型对用户操作行为进行分析,以获得用户异常操作;其中,所述业务操作模型是根据预设时间段内的第二流量日志以及从账号的操作权限建立的,所述第二流量日志中包括所述从账号。
8.根据权利要求7所述的服务器,其特征在于,所述服务器还包括:
建立单元,用于根据所述第二流量日志以及所述从账号的操作权限建立模型。
9.根据权利要求7所述的服务器,其特征在于,还包括替换单元:
所述替换单元,用于若判断获知虚拟机发生迁移,且所述虚拟机迁移后的IP地址出现在所述第一流量日志包括的目标地址中,则将所述业务操作模型中授权访问所述虚拟机迁移后的IP地址的所述从账号对应的所述虚拟机迁移前的IP地址替换为所述虚拟机迁移后的IP地址;其中,所述数据流量是对所述虚拟机进行访问产生的。
10.根据权利要求7至9任一项所述的服务器,其特征在于,所述分析单元包括:
获得子单元,用于根据所述第一流量日志包括的业务操作以及与所述业务操作对应的目标地址获得所述业务操作的路径;其中,所述第一流量日志包括所述从账号,所述业务操作与所述从账号对应;
判断子单元,用于若判断获知所述路径与所述业务操作模型不匹配,或者所述从账号没有对所述目标地址的访问权限,则所述从账号对应的业务操作为异常操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710103858.4A CN108512806A (zh) | 2017-02-24 | 2017-02-24 | 一种基于虚拟环境的操作行为分析方法及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710103858.4A CN108512806A (zh) | 2017-02-24 | 2017-02-24 | 一种基于虚拟环境的操作行为分析方法及服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108512806A true CN108512806A (zh) | 2018-09-07 |
Family
ID=63372757
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710103858.4A Pending CN108512806A (zh) | 2017-02-24 | 2017-02-24 | 一种基于虚拟环境的操作行为分析方法及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108512806A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111258874A (zh) * | 2018-11-30 | 2020-06-09 | 中国移动通信集团浙江有限公司 | 一种基于web数据的用户操作轨迹分析方法及装置 |
| CN113971187A (zh) * | 2020-07-24 | 2022-01-25 | 中移物联网有限公司 | 一种服务监控方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103902885A (zh) * | 2014-03-04 | 2014-07-02 | 重庆邮电大学 | 面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法 |
| US20140188659A1 (en) * | 2014-03-17 | 2014-07-03 | Hongjian Huang | United navigation method and its system |
| CN104735158A (zh) * | 2015-03-31 | 2015-06-24 | 北京奇艺世纪科技有限公司 | 一种用户行为数据的分类存储方法及装置 |
| CN104935601A (zh) * | 2015-06-19 | 2015-09-23 | 北京奇虎科技有限公司 | 基于云的网站日志安全分析方法、装置及系统 |
| CN104954188A (zh) * | 2015-06-30 | 2015-09-30 | 北京奇虎科技有限公司 | 基于云的网站日志安全分析方法、装置和系统 |
| US20160285828A1 (en) * | 2015-03-26 | 2016-09-29 | International Business Machines Corporation | Virtual firewall load balancer |
| CN106209893A (zh) * | 2016-07-27 | 2016-12-07 | 中国人民解放军信息工程大学 | 基于业务过程模型挖掘的内部威胁检测系统及其检测方法 |
-
2017
- 2017-02-24 CN CN201710103858.4A patent/CN108512806A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103902885A (zh) * | 2014-03-04 | 2014-07-02 | 重庆邮电大学 | 面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法 |
| US20140188659A1 (en) * | 2014-03-17 | 2014-07-03 | Hongjian Huang | United navigation method and its system |
| US20160285828A1 (en) * | 2015-03-26 | 2016-09-29 | International Business Machines Corporation | Virtual firewall load balancer |
| CN104735158A (zh) * | 2015-03-31 | 2015-06-24 | 北京奇艺世纪科技有限公司 | 一种用户行为数据的分类存储方法及装置 |
| CN104935601A (zh) * | 2015-06-19 | 2015-09-23 | 北京奇虎科技有限公司 | 基于云的网站日志安全分析方法、装置及系统 |
| CN104954188A (zh) * | 2015-06-30 | 2015-09-30 | 北京奇虎科技有限公司 | 基于云的网站日志安全分析方法、装置和系统 |
| CN106209893A (zh) * | 2016-07-27 | 2016-12-07 | 中国人民解放军信息工程大学 | 基于业务过程模型挖掘的内部威胁检测系统及其检测方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111258874A (zh) * | 2018-11-30 | 2020-06-09 | 中国移动通信集团浙江有限公司 | 一种基于web数据的用户操作轨迹分析方法及装置 |
| CN111258874B (zh) * | 2018-11-30 | 2023-09-05 | 中国移动通信集团浙江有限公司 | 一种基于web数据的用户操作轨迹分析方法及装置 |
| CN113971187A (zh) * | 2020-07-24 | 2022-01-25 | 中移物联网有限公司 | 一种服务监控方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11044310B2 (en) | Automatic scaling of resource instance groups within compute clusters | |
| CN103379114B (zh) | 用于在MapReduce系统中保护隐私数据的方法和装置 | |
| US8813225B1 (en) | Provider-arbitrated mandatory access control policies in cloud computing environments | |
| CN114514507B (zh) | 在云基础设施环境中支持配额策略语言的系统和方法 | |
| CN109416643A (zh) | 应用程序迁移系统 | |
| US9288219B2 (en) | Data protection in a networked computing environment | |
| CN103946834A (zh) | 虚拟网络接口对象 | |
| US9799003B2 (en) | Context-dependent transactional management for separation of duties | |
| JP2021516811A (ja) | データ匿名化 | |
| EP3805962B1 (en) | Project-based permission system | |
| US11811839B2 (en) | Managed distribution of data stream contents | |
| JP7072574B2 (ja) | ユーザ認可のためのシステムおよび方法 | |
| JP2016514334A (ja) | 推測アプリケーションインベントリ | |
| US20230353505A1 (en) | System and method for tag based resource limits or quotas in a cloud infrastructure environment | |
| CN108512806A (zh) | 一种基于虚拟环境的操作行为分析方法及服务器 | |
| Schmieders et al. | Runtime model-based privacy checks of big data cloud services | |
| US9781220B2 (en) | Identity management in a networked computing environment | |
| Hauck et al. | Challenges and opportunities of cloud computing | |
| Hu et al. | Semantics-enabled policies for information sharing and protection in the cloud | |
| US20230222240A1 (en) | Governed database connectivity (gdbc) through and around data catalog to registered data sources | |
| TW202318325A (zh) | 用於限制使用者存取至系統之自然語言處理 | |
| Maxwell | Policy and Governance of Hybrid and Multi-cloud Infrastructure | |
| CN115801620A (zh) | 一种终端安全管理系统及方法 | |
| CN116248387A (zh) | 防火墙策略管理方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180907 |