人员与设备行为对应关系监测方法及装置
技术领域
本发明涉及电网运维技术领域,尤其涉及一种人员与设备行为对应关系监测方法及装置。
背景技术
信通专业部门为信通运检班,由于长期缺员导致班组重运维轻管理,设备台账更新滞后、遗漏时常发生,缺乏相应管控手段。
在实际工作中,各种信通设备(特别是终端设备)分布广而散,加之人员更替、职责变更。设备使用者的变更时往往会领先于设备台账的更新速度,造成设备使用人非法变更的情况出现。不良的行为习惯还在员工的日常工作中经常发生,如下班后电脑不关机、系统账号未注销、电脑中存在非法软件等。这些不良行为对信息安全构成严重威胁,需要信通运维人员及时对这些不良行为作出判定,并通知其改正不良习惯,降低因人员不良行为习惯所带来的信息安全风险。而整个网络下,设备的活动数据大而散,在大数据环境下面临人工规则提取限制、数据处理能力不足、难以精准定位等新问题。
发明内容
本发明提出一种人员与设备行为对应关系监测方法及装置以解决上述技术问题。
为了达到上述目的,本发明所采用的技术方案为:
根据本发明实施例的第一方面,提供了一种人员与设备行为对应关系监测方法,包括如下步骤:
步骤101,获取系统后台活动记录数据、交换机端口活动状态数据、桌面检测终端记录数据;
步骤102,从系统后台活动记录数据中提取账号、时间,从交换机端口活动状态数据中提取端口UP信息、端口DOWN信息及MAC地址,从桌面检测终端记录数据提取软件名称;
步骤103,根据所提取的账号、时间、端口UP信息、端口DOWN信息、MAC地址和软件名称,对设备所对应的不良行为进行区分和排序。
作为优选,所述步骤102中数据提取所用的方法为AC自动机算法。
作为优选,所述步骤102中数据提取所用的方法为孤立森林算法。
作为优选,所述步骤103中,所述对设备所对应的不良行为包括以下四种行为中的至少一种:账号未及时注销行为b1,电脑未及时关闭行为b2,安装非法软件行为b3,非工作时间登陆行为b4。
作为优选,所述步骤103中,所述对设备所对应的不良行为进行区分和排序包括:
步骤1031,对四种行为分别赋予不同的权重;
步骤1032,对赋值后每个设备对应的各不良行为累加计算后进行排序。
作为优选,所述步骤1031中对四种行为分别赋予不同的权重,是指:
若账号连续在线时间大于48小时,则账号未及时注销行为b1=4,否则账号未及时注销行为b1=0;
若端口连续up时间大于48小时,则电脑未及时关闭行为b2=2,否则电脑未及时关闭行为b2=0;
若桌面系统数据检测到非法软件安装,则安装非法软件行为b3=1,否则安装非法软件行为b3=0;
若从交换机端口日志查询到非工作时间的开机行为,则非工作时间登陆行为b4=0.5,否则非工作时间登陆行为b4=0。
根据本发明实施例的第二方面,提供了一种人员与设备行为对应关系监测装置,基于上述的人员与设备行为对应关系监测方法,包括:
数据获取模块,用于获取系统后台活动记录数据、交换机端口活动状态数据、桌面检测终端记录数据;
信息获取模块,用于从系统后台活动记录数据中提取账号、时间,从交换机端口活动状态数据中提取端口UP信息、端口DOWN信息及MAC地址,从桌面检测终端记录数据提取软件名称;
区分和排序模块,用于根据所提取的账号、时间、端口UP信息、端口DOWN信息、MAC地址和软件名称,对设备所对应的不良行为进行区分和排序。
作为优选,所述区分和排序模块包括:
权重赋予子模块,用于对四种行为分别赋予不同的权重;
权重赋予子模块,用于对赋值后每个设备对应的各不良行为累加计算后进行排序。
与现有技术相比较,本发明通过对防火墙的访问数据、交换机日志数据、系统后台活动数据和桌面终端系统数据,判定人员具体发生的不良行为,并根据不良行为的轻重进行赋值,形成不良行为习惯评价体系。。
附图说明
图1为本发明人员与设备行为对应关系监测方法的一种流程图;
图2为本发明人员与设备行为对应关系监测方法中步骤103的一种流程图;
图3为本发明人员与设备行为对应关系监测装置的一种结构框图;
图4为本发明人员与设备行为对应关系监测装置中区分和排序模块的一种结构框图。
图中,201-数据获取模块,202-数据获取模块,203-区分和排序模块,231-权重赋予子模块,232-权重赋予子模块。
具体实施方式
以下将结合附图所示的具体实施方式对本发明进行详细描述。但这些实施方式并不限制本发明,本领域的普通技术人员根据这些实施方式所做出的结构、方法、或功能上的变换均包含在本发明的保护范围内。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
如图1所示,一种人员与设备行为对应关系监测方法,包括如下步骤:
步骤101,获取系统后台活动记录数据、交换机端口活动状态数据、桌面检测终端记录数据;
步骤102,从系统后台活动记录数据中提取账号、时间,从交换机端口活动状态数据中提取端口UP信息、端口DOWN信息及MAC地址,从桌面检测终端记录数据提取软件名称;
步骤103,根据所提取的账号、时间、端口UP信息、端口DOWN信息、MAC地址和软件名称,对设备所对应的不良行为进行区分和排序。
这里,获取系统后台活动记录数据,主要提取账号、时间,是为了进一步检测账号是否及时注销;获取交换机端口活动状态数据,如交换机端口的up和down状态,主要提取端口UP信息、端口DOWN信息及MAC地址,是为了进一步检测电脑是否及时关闭,非工作时间发生的电脑开机行为;获取桌面检测终端记录数据,主要提取所安装的软件名称,是为了进一步检测电脑软件安装情况,识别非法软件。获取数据时,可以半个月或一个月为数据统计周期。
其中,所述步骤102中数据提取所用的方法为AC自动机算法或孤立森林算法。
AC自动机算法是一个经典的多模式匹配算法,可以保证对于给定的长度为n的文本,和模式集合P{p1,p2,…,pm},在O(n)时间复杂度内,找到文本中的所有目标模式,而与模式集合的规模m无关。AC自动机算法可以说是KMP算法在多模式环境下的扩展。AC自动机算法通过对模式集合P的预处理,去除了模式集合的规模对匹配算法速度的影响。
经典的AC算法由三部分构成,goto表,fail表和output表,共包含四种具体的算法,分别是计算三张查找表的算法以及AC算法本身。goto表是由模式集合P中的所有模式构成的状态转移自动机;failure表作用是在goto表中匹配失败后状态跳转的依据;output表示输出,又称emits,即代表到达某个状态后某个模式串匹配。
孤立森林算法则需要对各个维度的数据构建一系列的随机二叉树,这些随机二叉树每个节点要么有两个孩子,要么就是叶子节点。通过在取值范围内随机取值,将该范围内的数据划分成两个分支,然后在两个分支中继续随机取值进行划分。不断重复这一过程,直到不可分割或者树的高度达到了限制。由于异常点是稀少的,在随机树中会很快被划分到叶子节点中,故而通过计算叶子节点到根节点之问的路径长度,可以快速判断一条记录是否为异常行为。
为了减轻计算量,对n个样本数据,样本点x的路径长度h(x)为从根节点到叶子节点所经过的边的数量,其平均路径的长度c(n)为:
其中n为大于或等于1的整数,H(i)是谐波数,等于In(i)+欧拉常数。
所述步骤103中,所述对设备所对应的不良行为包括以下四种行为中的至少一种:账号未及时注销行为b1,电脑未及时关闭行为b2,安装非法软件行为b3,非工作时间登陆行为b4。
如图2所示,步骤103中所述对设备所对应的不良行为进行区分和排序包括:
步骤1031,对四种行为分别赋予不同的权重;
步骤1032,对赋值后每个设备对应的各不良行为累加计算后进行排序。
具体的,所述步骤1031中对四种行为分别赋予不同的权重,是指:
若账号连续在线时间大于48小时,则账号未及时注销行为b1=4,否则账号未及时注销行为b1=0;
若端口连续up时间大于48小时,则电脑未及时关闭行为b2=2,否则电脑未及时关闭行为b2=0;
若桌面系统数据检测到非法软件安装,则安装非法软件行为b3=1,否则安装非法软件行为b3=0;
若从交换机端口日志查询到非工作时间的开机行为,则非工作时间登陆行为b4=0.5,否则非工作时间登陆行为b4=0。
步骤1032,对赋值后每个设备对应的各不良行为B累加计算,即:
赋值和排序可按下表进行。
基于上述的人员与设备行为对应关系监测方法,本发明提供了一种人员与设备行为对应关系监测装置,如图3所示,包括:
数据获取模块201,用于获取系统后台活动记录数据、交换机端口活动状态数据、桌面检测终端记录数据;
信息提取模块202,用于从系统后台活动记录数据中提取账号、时间,从交换机端口活动状态数据中提取端口UP信息、端口DOWN信息及MAC地址,从桌面检测终端记录数据提取软件名称;
区分和排序模块203,用于根据所提取的账号、时间、端口UP信息、端口DOWN信息、MAC地址和软件名称,对设备所对应的不良行为进行区分和排序。
其中,如图4所示,所述区分和排序模块203包括:
权重赋予子模块231,用于对四种行为分别赋予不同的权重;
计算排序子模块232,用于对赋值后每个设备对应的各不良行为累加计算后进行排序。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
通过本发明,可以定性分析出哪些人员存在不良行为习惯,并督促其及时改正,从人员角度降低信息安全的风险;定量的分析计算可得每位人员的不良行为得分,通过分析具体得分,可以区分具体发生哪些不良行为,形成人员不良行为评价,根据不良行为评价的排名制定具体的应对措施。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由本申请的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。