CN110334899A - 一种基于机器学习的增强型运维审计方法 - Google Patents

一种基于机器学习的增强型运维审计方法 Download PDF

Info

Publication number
CN110334899A
CN110334899A CN201910423473.5A CN201910423473A CN110334899A CN 110334899 A CN110334899 A CN 110334899A CN 201910423473 A CN201910423473 A CN 201910423473A CN 110334899 A CN110334899 A CN 110334899A
Authority
CN
China
Prior art keywords
machine learning
security risk
risk grade
behavior
learning model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910423473.5A
Other languages
English (en)
Inventor
盛湘新
王娜
杨国玉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Datang Corp Science and Technology Research Institute Co Ltd
Original Assignee
China Datang Corp Science and Technology Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Datang Corp Science and Technology Research Institute Co Ltd filed Critical China Datang Corp Science and Technology Research Institute Co Ltd
Priority to CN201910423473.5A priority Critical patent/CN110334899A/zh
Publication of CN110334899A publication Critical patent/CN110334899A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Strategic Management (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Game Theory and Decision Science (AREA)
  • Educational Administration (AREA)
  • Tourism & Hospitality (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • General Business, Economics & Management (AREA)
  • Development Economics (AREA)
  • Biomedical Technology (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种基于机器学习的增强型运维审计方法,包括:步骤1,基于统一的运维操作入口,采集运维特征,并计入运维特征数据集;运维特征包括运维终端及应用系统服务器MAC地址、运维终端及应用系统服务器IP地址、运维人员账号权限、运维人员操作行为中的一种或多种;步骤2,将运维特征数据集作为机器学习模型的输入层,通过机器学习模型预测运维安全风险等级,获得运维安全风险等级预测结果;步骤3,将运维安全风险等级预测结果与预设的运维安全风险等级进行匹配,按照运维安全风险等级预测结果执行相应的风险控制行为。本发明可对系统运维过程中的违规操作行为进行有效防范,实现对信息系统运维的有效管控,为构建安全的运维环境奠定坚实的基础。

Description

一种基于机器学习的增强型运维审计方法
技术领域
本发明属于网络信息安全技术领域,尤其涉及一种基于机器学习的增强型运维审计方法。
背景技术
随着计算机应用技术的飞速发展,企业在生产经营活动中越来越依赖IT技术。IT技术现已成为诸多企业的神经中枢,而它在为企业带来价值的同时也带来了风险。随着各企业信息系统的不断发展,网络规模和设备数量的迅速扩大,日趋复杂的信息系统与不同背景运维人员的操作行为给信息系统的安全带来较大风险。因此,企业需要通过有效的技术手段来降低运维风险、规范运维操作。
目前,为提高企业IT内控的合规性,主要采用在内网网络设备与服务器前部署运维堡垒机。堡垒机的主要作用是将需要保护的信息系统资源与安全威胁来源进行隔离,它综合了核心系统运维和安全审计管控两大功能,通过采用协议代理的方式切断终端计算机对网络和服务器资源的直接访问,以避免非法访问和恶意攻击。然而,现有的堡垒机在功能上更多关注于事后的审计追踪,对后台风险操作的管控力度无法做到有效的事前预防,对运维人员运用已分配的合规账号和权限的违规操作行为无法做到有效的防范。
发明内容
本发明的目的是提供一种基于机器学习的增强型运维审计方法,可用于将网络环境中需要保护的信息系统资源与运维终端进行隔离,运维操作人员通过统一的入口,对系统账号、认证、授权、审计等进行统一管理,并对系统运维过程中的违规操作行为进行有效防范,确保运维操作管控的事前预防及事后追踪,实现对信息系统运维的有效管控。
本发明提供了一种基于机器学习的增强型运维审计方法,包括如下步骤:
步骤1,基于统一的运维操作入口,采集运维特征,并计入运维特征数据集;其中,所述运维特征包括运维终端及应用系统服务器MAC地址、运维终端及应用系统服务器IP地址、运维人员账号权限、运维人员操作行为中的一种或多种;
步骤2,将所述运维特征数据集作为机器学习模型的输入层,通过所述机器学习模型预测运维安全风险等级,获得运维安全风险等级预测结果;
步骤3,将所述运维安全风险等级预测结果与预设的运维安全风险等级进行匹配,按照所述运维安全风险等级预测结果执行相应的风险控制行为。
进一步地,所述步骤1包括:
在应用系统服务器和运维终端之间部署运维代理及审计系统主机,从物理层面统一运维操作入口。
进一步地,步骤2中,所述机器学习模型采用人工神经网络算法,对运维安全风险等级进行预测。
进一步地,所述步骤2包括:
采集输入信号,将运维特征数据集输入机器学习模型;
计算设备信息激活值,判断是否存在硬件设备信息异常;
计算操作权限激活值,判断是否存在运维操作权限异常;
计算操作行为激活值,判断是否存在运维操作行为异常;
计算得到运维安全风险等级预测函数值;
采集风险控制行为执行反馈,并作为下一次计算输入信号。
进一步地,所述步骤二还包括:
对所述机器学习模型进行训练。
借由上述方案,通过基于机器学习的增强型运维审计方法,可对系统运维过程中的违规操作行为进行有效防范,实现对信息系统运维的有效管控,为构建安全的运维环境奠定坚实的基础。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,并可依照说明书的内容予以实施,以下以本发明的较佳实施例并配合附图详细说明如后。
附图说明
图1为本发明一种基于机器学习的增强型运维审计方法的流程图;
图2为本发明网络环境部署结构示意图;
图3为本发明一具体实施例的流程图;
图4为本发明机器学习模型结构示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
参图1所示,本实施例提供了一种基于机器学习的增强型运维审计方法,包括如下步骤:
步骤1,基于统一的运维操作入口,采集运维特征,并计入运维特征数据集(运维操作特征识别)。
运维特征,是运维过程中所产生的运维终端及应用系统服务器的设备信息、运维操作人员的行为信息等数据信息,包括运维终端及应用系统服务器MAC地址、运维终端及应用系统服务器IP地址、运维人员账号权限、运维人员操作行为等,如图3所示。
步骤2,将所述运维特征数据集作为机器学习模型的输入层,(当发生运维行为时)通过所述机器学习模型预测运维安全风险等级,获得运维安全风险等级预测结果。
步骤3,将所述运维安全风险等级预测结果与预设的运维安全风险等级进行匹配,按照所述运维安全风险等级预测结果执行相应的风险控制行为。
该基于机器学习的增强型运维审计方法,基于机器学习技术实现采集运维特征,计入特征数据集,将特征数据集作为输入端输入机器学习模型中,当发生运维行为时输出运维安全风险等级预测,并根据划分的不同风险等级执行相应的风险控制行为,可对系统运维过程中的违规操作行为进行有效防范,实现对信息系统运维的有效管控,为构建安全的运维环境奠定坚实的基础。
在本实施例中,步骤1包括:
在应用系统服务器和运维终端之间部署运维代理及审计系统主机,从物理层面统一运维操作入口。通过提供运维操作统一入口,可对系统账号、认证、授权、审计等进行统一管理。如图2所示。
参图4所示,本实施例机器学习模型采用人工神经网络算法,将所采集的运维特征数据集作为输入层,经历三层隐藏层,层层向前计算激活值,最终计算出运维安全风险等级预测函数值,从而实现从运维特征学习出安全风险等级,计算过程如下:
采集输入信号,将运维特征数据集输入机器学习模型;
(设备信息计算函数)计算设备信息激活值,判断是否存在硬件设备信息异常;
(操作权限计算函数)计算操作权限激活值,判断是否存在运维操作权限异常;
(操作行为计算函数)计算操作行为激活值,判断是否存在运维操作行为异常;
(安全风险等级预测函数)计算得到运维安全风险等级预测函数值;
采集风险控制行为执行反馈,并作为下一次计算输入信号。
运维安全风险等级,是运维安全风险的衡量标准,本实施例按风险影响程度对运维安全风险等级进行划分,并对风险控制行为进行定义,运维安全风险等级分为高级风险、中级风险、低级风险及日常行为,分别用数字0、1、2、3表示,其中,
高级风险,指发生系统直接阻断的运维行为;
中级风险,指发生系统报警,并需高级管理员审批后方可执行的运维行为;
低级风险,指发生系统提示不安全因素并通知高级管理员的运维行为;
日常行为,指发生系统的日常运维行为,仅对操作行为进行记录。
在本实施例中,所述步骤二还包括:
对所述机器学习模型进行训练,训练得到的模型可对运维安全风险等级进行预测。
以上所述仅是本发明的优选实施方式,并不用于限制本发明,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变型,这些改进和变型也应视为本发明的保护范围。

Claims (5)

1.一种基于机器学习的增强型运维审计方法,其特征在于,包括如下步骤:
步骤1,基于统一的运维操作入口,采集运维特征,并计入运维特征数据集;其中,所述运维特征包括运维终端及应用系统服务器MAC地址、运维终端及应用系统服务器IP地址、运维人员账号权限、运维人员操作行为中的一种或多种;
步骤2,将所述运维特征数据集作为机器学习模型的输入层,通过所述机器学习模型预测运维安全风险等级,获得运维安全风险等级预测结果;
步骤3,将所述运维安全风险等级预测结果与预设的运维安全风险等级进行匹配,按照所述运维安全风险等级预测结果执行相应的风险控制行为。
2.根据权利要求1所述的基于机器学习的增强型运维审计方法,其特征在于,所述步骤1包括:
在应用系统服务器和运维终端之间部署运维代理及审计系统主机,从物理层面统一运维操作入口。
3.根据权利要求1所述的基于机器学习的增强型运维审计方法,其特征在于,步骤2中,所述机器学习模型采用人工神经网络算法,对运维安全风险等级进行预测。
4.根据权利要求3所述的基于机器学习的增强型运维审计方法,其特征在于,所述步骤2包括:
采集输入信号,将运维特征数据集输入机器学习模型;
计算设备信息激活值,判断是否存在硬件设备信息异常;
计算操作权限激活值,判断是否存在运维操作权限异常;
计算操作行为激活值,判断是否存在运维操作行为异常;
计算得到运维安全风险等级预测函数值;
采集风险控制行为执行反馈,并作为下一次计算输入信号。
5.根据权利要求4所述的基于机器学习的增强型运维审计方法,其特征在于,所述步骤二还包括:
对所述机器学习模型进行训练。
CN201910423473.5A 2019-05-21 2019-05-21 一种基于机器学习的增强型运维审计方法 Pending CN110334899A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910423473.5A CN110334899A (zh) 2019-05-21 2019-05-21 一种基于机器学习的增强型运维审计方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910423473.5A CN110334899A (zh) 2019-05-21 2019-05-21 一种基于机器学习的增强型运维审计方法

Publications (1)

Publication Number Publication Date
CN110334899A true CN110334899A (zh) 2019-10-15

Family

ID=68138936

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910423473.5A Pending CN110334899A (zh) 2019-05-21 2019-05-21 一种基于机器学习的增强型运维审计方法

Country Status (1)

Country Link
CN (1) CN110334899A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110826621A (zh) * 2019-11-01 2020-02-21 北京芯盾时代科技有限公司 一种风险事件处理方法及装置
CN110958236A (zh) * 2019-11-25 2020-04-03 杭州安恒信息技术股份有限公司 基于风险因子洞察的运维审计系统动态授权方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105139139A (zh) * 2015-08-31 2015-12-09 国家电网公司 用于运维审计的数据处理方法和装置及系统
WO2016023268A1 (zh) * 2014-08-13 2016-02-18 中兴通讯股份有限公司 集中运维的方法、装置及存储介质
CN205945780U (zh) * 2016-08-31 2017-02-08 山东瑞宁信息技术股份有限公司 运维审计系统
CN107919984A (zh) * 2017-11-06 2018-04-17 深圳狗尾草智能科技有限公司 具备自动升级功能的运维服务器及其管理方法
CN109377016A (zh) * 2018-09-26 2019-02-22 广东电网有限责任公司 运维风险监查方法、装置及计算机可读存储介质
CN109492826A (zh) * 2018-12-06 2019-03-19 远光软件股份有限公司 一种基于机器学习的信息系统运行状态风险预测方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016023268A1 (zh) * 2014-08-13 2016-02-18 中兴通讯股份有限公司 集中运维的方法、装置及存储介质
CN105139139A (zh) * 2015-08-31 2015-12-09 国家电网公司 用于运维审计的数据处理方法和装置及系统
CN205945780U (zh) * 2016-08-31 2017-02-08 山东瑞宁信息技术股份有限公司 运维审计系统
CN107919984A (zh) * 2017-11-06 2018-04-17 深圳狗尾草智能科技有限公司 具备自动升级功能的运维服务器及其管理方法
CN109377016A (zh) * 2018-09-26 2019-02-22 广东电网有限责任公司 运维风险监查方法、装置及计算机可读存储介质
CN109492826A (zh) * 2018-12-06 2019-03-19 远光软件股份有限公司 一种基于机器学习的信息系统运行状态风险预测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王海涛;: "下一代运维安全审计系统研究与设计", 信息网络安全 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110826621A (zh) * 2019-11-01 2020-02-21 北京芯盾时代科技有限公司 一种风险事件处理方法及装置
CN110958236A (zh) * 2019-11-25 2020-04-03 杭州安恒信息技术股份有限公司 基于风险因子洞察的运维审计系统动态授权方法

Similar Documents

Publication Publication Date Title
US10339309B1 (en) System for identifying anomalies in an information system
CN101895578B (zh) 基于综合安全审计的文档监控管理系统
CN104166812B (zh) 一种基于独立授权的数据库安全访问控制方法
CN106789964B (zh) 云资源池数据安全检测方法及系统
CN112329031A (zh) 一种基于数据中台的数据权限控制系统
CN104063756A (zh) 远程用电信息控制系统
CN105139139A (zh) 用于运维审计的数据处理方法和装置及系统
CN102999716A (zh) 虚拟机器监控系统及方法
CN103413088A (zh) 一种计算机文档操作安全审计系统
CN112887268B (zh) 一种基于全面检测和识别的网络安全保障方法及系统
CN107483414A (zh) 一种基于云计算虚拟化环境的安全防护系统及其防护方法
Mohamed et al. Data-driven security for smart city systems: Carving a trail
CN104091098A (zh) 文档操作安全审计系统
CN110334899A (zh) 一种基于机器学习的增强型运维审计方法
CN115314286A (zh) 一种安全保障系统
CN109388949B (zh) 一种数据安全集中管控方法和系统
Liang et al. Information security monitoring and management method based on big data in the internet of things environment
CN114218194A (zh) 数据银行安全系统
CN110378120A (zh) 应用程序接口攻击检测方法、装置以及可读存储介质
Liu et al. Data‐Driven Zero Trust Key Algorithm
Zhou Construction of Computer Network Security Defense System Based On Big Data
Ali et al. Mitis-an insider threats mitigation framework for information systems
Lu et al. The Research on Security Audit for Information System Classified Protection
Yu et al. Construction of Data Security System
KR101007400B1 (ko) 데이터 프로세싱 보안 서비스 제공 방법 및 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination