CN111209171A - 安全风险的闭环处置方法、装置及存储介质 - Google Patents
安全风险的闭环处置方法、装置及存储介质 Download PDFInfo
- Publication number
- CN111209171A CN111209171A CN201911338362.0A CN201911338362A CN111209171A CN 111209171 A CN111209171 A CN 111209171A CN 201911338362 A CN201911338362 A CN 201911338362A CN 111209171 A CN111209171 A CN 111209171A
- Authority
- CN
- China
- Prior art keywords
- log
- violation
- operation log
- platform
- logs
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及云安全领域,提出一种安全风险的闭环处置方法、装置及计算机可读存储介质,该方法包括:对操作日志数据包中的操作日志进行内容分析,并对所述操作日志中短时异常、长期规律性操作进行实时监控,对可疑操作日志进行违规确认,提取出所述违规操作日志中的违规操作行为及其操作账号,判定所述操作账号信息执行操作日志的风险违规级别,并根据违规级别调用信息安全执行程序对所述操作日志中的操作行为进行核实确认。
Description
技术领域
本发明涉及平台安全领域,尤其涉及一种安全风险的闭环处置方法、装置及计算机可读存储介质。
背景技术
目前各项业务系统繁多,现有的监控机制只是针对单个系统、单个操作行为做监控,而无法监控用户跨多个业务系统的综合操作行为,而现有的监控规则也基本是从操作时间、频率来进行判断,对长时间低频率的数据爬取,有规律的机器外挂行为,以及内外勾结进行数据泄露行为等很难进行发掘和监控。
对于触发监控规则的告警,需要再次通过日志进行人工判断,然后再到风控系统进行账号拉黑或冻结处置,风险行为的监控→告警→处置的整个响应时间延迟较长(平均需一个小时),人工干预较多。
现有的风控系统一般只能在登录验证环节进行控制,且目前的处置机制缺少联动闭环机制,拉黑账号后,风控系统无法及时杀掉风险账号的会话,若账号一直没有登出系统,就无法及时阻止其违规风险行为,且因为各个环节需要沟通不同单位、部门进行落实,处置效率极低。
因此,亟须一种基于多业务系统安全风险的闭环处置方法,以减少人工干预,大大提高风险违规行为发现能力,减少人工和时间成本,有效且及时发现和遏制信息安全风险。
发明内容
本发明提供一种安全风险的闭环处置方法、电子装置及计算机可读存储介质,其主要目的在于通过创建日志平台对操作日志进行统一汇总,形成操作日志数据包,对操作日志数据包中的操作日志进行内容分析,并对操作日志中短时异常、长期规律性操作进行实时监控,在监控过程中若出现可疑操作,则通过邮件、HTTP等方式进行实时告警,并将告警信息及可疑操作日志同步到作业平台,进而解析违规操作日志,提取出所述违规操作日志中的违规操作行为及其操作账号,判定操作账号信息执行操作日志的风险违规级别,并根据违规级别调用信息安全执行程序对所述操作日志中的操作行为进行核实确认以减少人工干预,大大提高风险违规行为发现能力,减少人工和时间成本,有效且及时发现和遏制信息安全风险。
为实现上述目的,本发明提供的方法,应用于电子装置,所述安全风险的闭环处置方法包括:
S110:安全闭环系统创建日志平台,所述日志平台用于将操作日志统一汇总为操作日志数据包,并对所述操作日志数据包中的操作日志进行内容分析,对所述操作日志中短时异常、长期规律性操作进行监控;以及,在所述监控过程中若出现可疑操作,则发出实时告警,并将告警信息及可疑操作日志同步到作业平台;
S120:根据预设的违规标准对所接收到的告警信息及可疑操作日志进行违规确认,将确认违规的操作日志上传至自动化处置单元,自动生成对所述确认违规的操作日志的检查通知,并将所述检查通知发送到调查问责控件;
S130:使用SPL高级查询语言进行日志检视以解析所述违规操作日志,提取出所述违规操作日志中的违规操作行为及其操作账号,根据预设的违规操作处理规则对所述违规操作日志的操作账号进行自动化处置处理,并将所述操作账号的信息及操作账号处置结果同步到调查问责控件;
S140:根据所述检查通知及所述操作账号处置结果,确定所述操作账号信息执行操作日志的风险违规级别,并根据违规级别调用信息安全执行程序对所述操作日志中的违规操作行为进行核实确认。
优选地,所述日志平台通过采集器对业务系统的日志进行采集,将采集到的日志输入到日志云的kafka形成操作日志,所述操作日志中的数据经过ES API的处理后统一汇总为操作日志数据包;
所述日志平台基于J2EE技术体系,采用微服务架构;
所述操作日志携带操作行为及操作账号的相关信息,包括:员工操作日志、终端操作日志、堡垒机和数据库的审计日志;其中,
所述员工操作日志包括:出单、查询客户信息、核保、理赔;
所述终端操作日志包括;邮件外发、大文件上传。
优选地,对所述操作日志中短时异常、长期规律性操作进行监控的过程中,包括:
利用所述操作日志中的数据,结合AI建立准实时、轻量级的监控规则;
根据所述监控规则判断所述操作日志中是否出现可疑操作;
所述告警规则包括:若同一用户一小时内访问敏感链接次数大于阈值,则通过日志平台自动发送邮件或通过HTTP方式进行告警;
告警内容可自定义,包括异常用户账号、访问的敏感链接、访问次数。
优选地,所述作业平台通过接口形式对接所述日志平台、自动化处置单元及调查问责控件。
优选地,对所接收到的告警信息及可疑操作日志进行违规确认,将确认违规的操作日志上传至自动化处置单元过程包括:
所述作业平台对应所接收到的告警信息及可疑操作日志生成作业任务;
所述作业任务包括:对告警进行分析,对于确认存在风险违规的操作日志,作业平台通过openapi形式,自动将处置的操作日志信息发送给自动化处置单元,由所述自动化处置单元实施账号冻结或拉黑操作。
优选地,提取出所述违规操作日志中的违规操作行为及其操作账号,将所述违规操作日志的操作账号进行自动化处置处理的过程包括:
通过接口方式将所述违规操作账号及告警详情同步到风控插件,所述风控插件用于设置风控规则,对所述违规操作日志中的操作行为进行自动冻结,对所述可疑操作账号进行拉黑处置。
优选地,设置风控规则包括:对设置账号高频操作、多IP访问、外挂程序、非工作时间异常操作等行为进行监控。
优选地,根据违规级别调用信息安全执行程序对所述操作日志中的操作行为进行核实确认的过程包括:
所述信息安全执行程序对所述操作日志中的操作行为进行核实确认;其中,对于核实确认所述操作账号存在违规行为、信息泄露的,由所述信息安全执行程序对所述操作账号使用人进行量级问责和处罚,并将问责和处罚结果录入到法律合规平台,所述法律合规平台在接收到问责和处罚结果后,根据所述问责和处罚结果通知相关惩处部门以便对所述操作账号使用人进行处罚。
为实现上述目的,本发明还提供一种电子装置,该装置包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现权前述的安全风险的闭环处置方法中的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有安全风险的闭环处置程序,所述安全风险的闭环处置程序被处理器执行时,实现前述的安全风险的闭环处置方法的步骤。
本发明提出的安全风险的闭环处置方法、电子装置及计算机可读存储介质,其中通过创建日志平台对操作日志进行统一汇总,形成操作日志数据包,对操作日志数据包中的操作日志进行内容分析,并对操作日志中短时异常、长期规律性操作进行实时监控,在监控过程中若出现可疑操作,则通过邮件、HTTP等方式进行实时告警,并将告警信息及可疑操作日志同步到作业平台,进而解析违规操作日志,提取出所述违规操作日志中的违规操作行为及其操作账号,判定操作账号信息执行操作日志的风险违规级别,并根据违规级别调用信息安全执行程序对所述操作日志中的操作行为进行核实确认以减少人工干预,大大提高风险违规行为发现能力,减少人工和时间成本,有效且及时发现和遏制信息安全风险。
附图说明
图1为根据本发明实施例的安全风险的闭环处置方法的流程图;
图2为根据本发明实施例的安全风险的闭环处置电子装置中的系统框架图;
图3为根据本发明实施例的电子装置的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
前述风控系统由于无法及时杀掉风险账号的会话,若账号一直没有登出系统,就无法及时阻止其违规风险行为,且因为各个环节需要沟通不同单位、部门进行落实,处置效率极低。为了解决这些问题,本发明从闭环处置入手,首先监控操作日志,然后对可疑操作日志进行违规确认,将确认违规的操作日志上传至自动化处置单元,自动生成检查通知,将检查通知发送到调查问责控件,对操作行为进行核实确认。
具体的,本发明提供一种安全风险的闭环处置方法,应用于一种电子装置30。
图1为根据本发明实施例的安全风险的闭环处置方法的流程图。如图1所示,在本实施例中,安全风险的闭环处置包括如下步骤:
S110:安全闭环系统创建日志平台,日志平台用于将操作日志统一汇总为操作日志数据包,并对操作日志数据包中的操作日志进行内容分析,对操作日志中短时异常、长期规律性操作进行监控;以及,在监控过程中若出现可疑操作,则发出实时告警,并将告警信息及可疑操作日志同步到作业平台;
日志平台对业务系统中的操作日志进行统一汇总的过程包括:日志平台通过采集器对业务系统的日志进行采集;将采集到的日志输入到日志云的kafka形成操作日志,操作日志中的数据经过ES API的处理后统一汇总为操作日志数据包;
日志平台基于J2EE技术体系,采用微服务架构实现高性能,以实现对日志进行统一运维管理;
其中,操作日志中包含操作行为及操作账号的相关信息,比如,可以包括员工操作日志、终端操作日志、堡垒机和数据库的审计日志等;员工操作日志为企业员工因其本职工作而展开的一系列操作,在本实施例中包括:出单、查询客户信息、核保、理赔;终端操作日志为企业员工在终端进行的文件转移,一般包括:邮件外发、大文件上传;
对操作日志中短时异常、长期规律性操作进行实时监控的过程包括:利用操作日志中的数据,结合AI建立准实时、轻量级的监控规则;根据监控规则判断操作日志中是否出现可疑操作;若操作日志中出现可疑操作,则通过邮件、HTTP等方式进行实时告警,并将告警信息及可疑操作日志同步到作业平台;
告警规则包括:若同一用户一小时内访问敏感链接次数大于阈值,则通过日志平台自动发送邮件等方式进行告警,也可通过有HTTP方式将告警传输给对接的作业平台;告警内容可自定义(包括异常用户账号、访问的敏感链接、访问次数等)。
S120:根据预设的违规标准对所接收到的告警信息及可疑操作日志进行违规确认,将确认违规的操作日志上传至自动化处置单元,自动生成对确认违规的操作日志的检查通知,并将检查通知发送到调查问责控件。
具体的,作业平台通过接口形式对接日志平台、自动化处置单元及调查问责控件,首先,日志平台将触发监控规则的告警以HTTP发送给作业平台,作业平台对应生成一个作业任务,通过作业平台进入作业任务,对告警进行分析,对于确认存在风险违规的,作业平台通过openapi形式,自动将处置的操作日志信息发送给自动化处置单元,由自动化处置单元来实施账号冻结或拉黑操作。
S130:使用SPL高级查询语言进行日志检视以解析违规操作日志,提取出违规操作日志中的违规操作行为及其操作账号,根据预设的违规操作处理规则对违规操作日志的操作账号进行自动化处置处理,并将操作账号的信息及操作账号处置结果同步到调查问责控件。
具体的,首先自动化处理单元解析违规操作日志,提取出违规操作日志中的操作行为及其操作账号,然后通过接口方式将违规操作账号及告警详情同步到风控插件,风控插件设置风控规则,调用出违规操作日志,对违规操作日志中的操作行为进行自动冻结,对可疑操作账号进行拉黑处置;
其中,在自动化处理单元解析可疑操作日志时,使用SPL高级查询语言进行日志检视;
设置风控规则包括:对设置账号高频操作、多IP访问、外挂程序、非工作时间异常操作等行为进行监控;
S140:根据检查通知及操作账号处置结果确定操作账号信息执行操作日志的风险违规级别,并根据违规级别调用信息安全执行程序对操作日志中的违规操作行为进行核实确认。
信息安全执行程序对操作日志中的操作行为进行核实确认;其中,对于核实确认操作账号存在违规行为、信息泄露的,由信息安全执行程序对操作账号使用人进行量级问责和处罚,并将问责和处罚结果录入到法律合规平台,法律合规平台在接收到问责和处罚结果后,根据问责和处罚结果通知相关惩处部门以便对操作账号使用人进行处罚。
具体的,作为示例,调查问责控件收到检查通知及账号处置结果后,对违规账号的相关信息进行分析,判定操作账号信息执行操作日志的风险违规级别;相关信息包括:账号、姓名、所属机构、违规时间与违规详情等;然后调用信息安全执行程序,对于核实确认操作账号存在违规行为、信息泄露的,由信息安全执行程序对操作账号使用人进行量级问责和处罚,并将问责和处罚结果录入到法律合规平台,法律合规平台在接收到问责和处罚结果后,通过机构代码将问责通知派发到违规账号使用人所属部门、机构已完成问责,并对操作账号使用人进行处罚。
图2为根据本发明实施例的安全风险的闭环处置系统200的框架图,该系统对应于安全风险的闭环处置方法,置于安全风险的闭环处置电子装置30中。该系统包括日志平台210、作业平台220、自动化处置单元230和调查问责对单元240。
日志平台210用于对操作日志进行统一汇总,形成操作日志数据包,对操作日志数据包中的操作日志进行内容分析,并对操作日志中短时异常、长期规律性操作进行实时监控,在监控过程中若出现可疑操作,则通过邮件、HTTP等方式进行实时告警,并将告警信息及可疑操作日志同步到作业平台;
作业平台220用于对所接收到的告警信息及可疑操作日志进行违规确认,将确认违规的操作日志上传至自动化处置单元,自动生成检查通知,将检查通知发送到调查问责控件;
自动化处置单元230用于使用SPL高级查询语言进行日志检视以解析违规操作日志,提取出违规操作日志中的违规操作行为及其操作账号,将违规操作日志的操作账号进行自动化处置处理,并将操作账号的信息及操作账号处置结果同步到调查问责控件;
调查问责控件240用于接收检查通知及账号处置结果,收到检查通知及账号处置结果后,判定操作账号信息执行操作日志的风险违规级别,并根据违规级别调用信息安全执行程序对操作日志中的操作行为进行核实确认。
图3为根据本发明实施例的电子装置的逻辑结构示意图,在本实施例中,电子装置30可以是服务器、平板计算机、便携计算机、桌上型计算机等具有运算功能的终端设备。
该电子装置30包括:处理器31、存储器32、计算机程序33、网络接口及通信总线。
电子装置30可以是平板电脑、台式电脑、智能手机,但不限于此。
存储器32包括至少一种类型的可读存储介质。至少一种类型的可读存储介质可为如闪存、硬盘、多媒体卡、卡型存储器等的非易失性存储介质。在一些实施例中,可读存储介质可以是电子装置30的内部存储单元,例如该电子装置30的硬盘。在另一些实施例中,可读存储介质也可以是电子装置30的外部存储器,例如电子装置30上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。
在本实施例中,存储器32的可读存储介质通常用于存储安装于电子装置30的计算机程序33等。
处理器31在一些实施例中可以是一中央处理器(Central Processing Unit,CPU),微处理器或其他数据处理芯片,用于运行存储器32中存储的程序代码或处理数据,例如安全风险的闭环处置程序33等。
网络接口可选地可以包括标准的有线接口、无线接口(如WI-FI接口),通常用于在该电子装置30与其他电子设备之间建立通信连接。
通信总线用于实现这些组件之间的连接通信。
图3仅示出了具有组件31-33的电子装置30,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
在图3所示的电子装置实施例中,作为一种计算机存储介质的存储器32中可以包括操作系统、以及安全风险的闭环处置程序33;处理器31执行存储器32中存储的安全风险的闭环处置程序33时实现如下步骤:
S110:安全闭环系统创建日志平台,日志平台用于将操作日志统一汇总为操作日志数据包,并对操作日志数据包中的操作日志进行内容分析,对操作日志中短时异常、长期规律性操作进行监控;以及,在监控过程中若出现可疑操作,则发出实时告警,并将告警信息及可疑操作日志同步到作业平台;
S120:根据预设的违规标准对所接收到的告警信息及可疑操作日志进行违规确认,将确认违规的操作日志上传至自动化处置单元,自动生成对确认违规的操作日志的检查通知,并将检查通知发送到调查问责控件;
S130:使用SPL高级查询语言进行日志检视以解析违规操作日志,提取出违规操作日志中的违规操作行为及其操作账号,根据预设的违规操作处理规则对违规操作日志的操作账号进行自动化处置处理,并将操作账号的信息及操作账号处置结果同步到调查问责控件;
S140:根据检查通知及账号处置结果,确定操作账号信息执行操作日志的风险违规级别,并根据违规级别调用信息安全执行程序对操作日志中的违规操作行为进行核实确认。
日志平台通过采集器对业务系统的日志进行采集,将采集到的日志输入到日志云的kafka形成操作日志,操作日志中的数据经过ES API的处理后统一汇总为操作日志数据包;
日志平台基于J2EE技术体系,采用微服务架构实现高性能,以实现对日志进行统一运维管理;
操作日志携带操作行为及操作账号的相关信息,包括:员工操作日志、终端操作日志、堡垒机和数据库的审计日志;
员工操作日志包括:出单、查询客户信息、核保、理赔;
终端操作日志包括;邮件外发、大文件上传。
对操作日志中短时异常、长期规律性操作进行实时监控的过程中,包括:
利用操作日志中的数据,结合AI建立准实时、轻量级的监控规则;
根据监控规则判断操作日志中是否出现可疑操作;
告警规则包括:若同一用户一小时内访问敏感链接次数大于阈值,则通过日志平台自动发送邮件或通过HTTP方式进行告警;
告警内容可自定义,包括异常用户账号、访问的敏感链接、访问次数。
作业平台通过接口形式对接日志平台、自动化处置单元及调查问责控件。
对所接收到的告警信息及可疑操作日志进行违规确认,将确认违规的操作日志上传至自动化处置单元过程包括:
日志平台将触发监控规则的告警以HTTP方式发送给作业平台,作业平台对应生成一个作业任务,通过作业平台进入作业任务,对告警进行分析,对于确认存在风险违规的,作业平台通过openapi形式,自动将处置的操作日志信息发送给自动化处置单元,由自动化处置单元来实施账号冻结或拉黑操作。
提取出违规操作日志中的违规操作行为及其操作账号,将违规操作日志的操作账号进行自动化处置处理的过程包括:
通过接口方式将违规操作账号及告警详情同步到风控插件;
风控插件设置风控规则,调用出违规操作日志,对违规操作日志中的操作行为进行自动冻结,对可疑操作账号进行拉黑处置。
设置风控规则包括:对设置账号高频操作、多IP访问、外挂程序、非工作时间异常操作等行为进行监控。
根据违规级别调用信息安全执行程序对操作日志中的操作行为进行核实确认的过程包括:
调查问责控件收到检查通知及账号处置结果后,对违规账号的相关信息进行分析,判定操作账号信息执行操作日志的风险违规级别;
调查问责控件根据接收的调查问责通知发起调查问责任务,调用信息安全执行程序,并通过机构代码将问责通知派发到违规账号使用人所属部门、机构;
对于核实确认操作账号存在违规行为、信息泄露的,由信息安全执行程序对操作账号使用人进行量级问责和处罚,并将问责和处罚结果录入到法律合规平台,法律合规平台在接收到问责和处罚结果后,根据问责和处罚结果通知相关惩处部门以便对操作账号使用人进行处罚。
此外,本发明实施例还提出一种计算机可读存储介质,该计算机可读存储介质中包括安全风险的闭环处置程序,该安全风险的闭环处置程序被处理器执行时实现安全风险的闭环处置方法的步骤。
本发明之计算机可读存储介质的具体实施方式与安全风险的闭环处置方法、电子装置的具体实施方式大致相同,在此不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种安全风险的闭环处置方法,应用于电子装置,其特征在于,所述方法包括:
S110:安全闭环系统创建日志平台,所述日志平台将操作日志统一汇总为操作日志数据包,并对所述操作日志数据包中的操作日志进行内容分析,对所述操作日志中短时异常、长期规律性操作进行监控;以及,在所述监控过程中若出现可疑操作,则发出实时告警,并将告警信息及可疑操作日志同步到作业平台;
S120:根据预设的违规标准对所接收到的告警信息及可疑操作日志进行违规确认,将确认违规的操作日志上传至自动化处置单元,自动生成对所述确认违规的操作日志的检查通知,并将所述检查通知发送到调查问责控件;
S130:使用SPL高级查询语言进行日志检视以解析所述违规操作日志,提取出所述违规操作日志中的违规操作行为及其操作账号,根据预设的违规操作处理规则对所述违规操作日志的操作账号进行自动化处置处理,并将所述操作账号的信息及操作账号处置结果同步到调查问责控件;
S140:根据所述检查通知及所述操作账号处置结果,确定所述操作账号信息执行操作日志的风险违规级别,并根据违规级别调用信息安全执行程序对所述操作日志中的违规操作行为进行核实确认。
2.根据权利要求1所述的安全风险的闭环处置方法,其特征在于,所述日志平台通过采集器对业务系统的日志进行采集,将采集到的日志输入到日志云的kafka形成操作日志,所述操作日志中的数据经过ES API的处理后统一汇总为操作日志数据包;
所述日志平台基于J2EE技术体系,采用微服务架构;
所述操作日志携带操作行为及操作账号的相关信息,包括:员工操作日志、终端操作日志、堡垒机和数据库的审计日志;其中,
所述员工操作日志包括:出单、查询客户信息、核保、理赔;
所述终端操作日志包括;邮件外发、大文件上传。
3.根据权利要求1所述的安全风险的闭环处置方法,其特征在于,对所述操作日志中短时异常、长期规律性操作进行监控的过程中,包括:
利用所述操作日志中的数据,结合AI建立准实时、轻量级的监控规则;
根据所述监控规则判断所述操作日志中是否出现可疑操作;
所述告警规则包括:若同一用户一小时内访问敏感链接次数大于阈值,则通过日志平台自动发送邮件或通过HTTP方式进行告警;
告警内容可自定义,包括异常用户账号、访问的敏感链接、访问次数。
4.根据权利要求1所述的安全风险的闭环处置方法,其特征在于,所述作业平台通过接口形式对接所述日志平台、自动化处置单元及调查问责控件。
5.根据权利要求1所述的安全风险的闭环处置方法,其特征在于,对所接收到的告警信息及可疑操作日志进行违规确认,将确认违规的操作日志上传至自动化处置单元过程包括:
所述作业平台对应所接收到的告警信息及可疑操作日志生成作业任务;
所述作业任务包括:对告警进行分析,对于确认存在风险违规的操作日志,作业平台通过openapi形式,自动将处置的操作日志信息发送给自动化处置单元,由所述自动化处置单元实施账号冻结或拉黑操作。
6.根据权利要求1所述的安全风险的闭环处置方法,其特征在于,提取出所述违规操作日志中的违规操作行为及其操作账号,将所述违规操作日志的操作账号进行自动化处置处理的过程包括:
通过接口方式将所述违规操作账号及告警详情同步到风控插件,所述风控插件用于设置风控规则,对所述违规操作日志中的操作行为进行自动冻结,对所述可疑操作账号进行拉黑处置。
7.根据权利要求6所述的安全风险的闭环处置方法,其特征在于,设置风控规则包括:对设置账号高频操作、多IP访问、外挂程序、非工作时间异常操作等行为进行监控。
8.根据权利要求1所述的安全风险的闭环处置方法,其特征在于,根据违规级别调用信息安全执行程序对所述操作日志中的操作行为进行核实确认的过程包括:
所述信息安全执行程序对所述操作日志中的操作行为进行核实确认;其中,对于核实确认所述操作账号存在违规行为、信息泄露的,由所述信息安全执行程序对所述操作账号使用人进行量级问责和处罚,并将问责和处罚结果录入到法律合规平台,所述法律合规平台在接收到问责和处罚结果后,根据所述问责和处罚结果通知相关惩处部门以便对所述操作账号使用人进行处罚。
9.一种电子装置,其特征在于,该电子装置包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述的安全风险的闭环处置方法中的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有安全风险的闭环处置方法程序,所述安全风险的闭环处置方法程序被处理器执行时,实现如权利要求1至8中任一项所述的安全风险的闭环处置方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911338362.0A CN111209171B (zh) | 2019-12-23 | 2019-12-23 | 安全风险的闭环处置方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911338362.0A CN111209171B (zh) | 2019-12-23 | 2019-12-23 | 安全风险的闭环处置方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111209171A true CN111209171A (zh) | 2020-05-29 |
| CN111209171B CN111209171B (zh) | 2022-09-02 |
Family
ID=70782573
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911338362.0A Active CN111209171B (zh) | 2019-12-23 | 2019-12-23 | 安全风险的闭环处置方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111209171B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111866016A (zh) * | 2020-07-29 | 2020-10-30 | 中国平安财产保险股份有限公司 | 日志的分析方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007233661A (ja) * | 2006-02-28 | 2007-09-13 | Intelligent Wave Inc | ログ統合管理システム及びログ統合管理方法 |
| CN107911387A (zh) * | 2017-12-08 | 2018-04-13 | 国网河北省电力有限公司电力科学研究院 | 用电信息采集系统账号异常登陆和异常操作的监控方法 |
| CN108268354A (zh) * | 2016-12-30 | 2018-07-10 | 腾讯科技(深圳)有限公司 | 数据安全监控方法、后台服务器、终端及系统 |
| CN108737170A (zh) * | 2018-05-09 | 2018-11-02 | 中国银行股份有限公司 | 一种批量日志异常数据告警方法及装置 |
| CN108763957A (zh) * | 2018-05-29 | 2018-11-06 | 电子科技大学 | 一种数据库的安全审计系统、方法及服务器 |
-
2019
- 2019-12-23 CN CN201911338362.0A patent/CN111209171B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007233661A (ja) * | 2006-02-28 | 2007-09-13 | Intelligent Wave Inc | ログ統合管理システム及びログ統合管理方法 |
| CN108268354A (zh) * | 2016-12-30 | 2018-07-10 | 腾讯科技(深圳)有限公司 | 数据安全监控方法、后台服务器、终端及系统 |
| CN107911387A (zh) * | 2017-12-08 | 2018-04-13 | 国网河北省电力有限公司电力科学研究院 | 用电信息采集系统账号异常登陆和异常操作的监控方法 |
| CN108737170A (zh) * | 2018-05-09 | 2018-11-02 | 中国银行股份有限公司 | 一种批量日志异常数据告警方法及装置 |
| CN108763957A (zh) * | 2018-05-29 | 2018-11-06 | 电子科技大学 | 一种数据库的安全审计系统、方法及服务器 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111866016A (zh) * | 2020-07-29 | 2020-10-30 | 中国平安财产保险股份有限公司 | 日志的分析方法及系统 |
| CN111866016B (zh) * | 2020-07-29 | 2023-04-18 | 中国平安财产保险股份有限公司 | 日志的分析方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111209171B (zh) | 2022-09-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109688105B (zh) | 一种威胁报警信息生成方法及系统 | |
| CN102160048B (zh) | 收集和分析恶意软件数据 | |
| US20120311562A1 (en) | Extendable event processing | |
| CN111866016B (zh) | 日志的分析方法及系统 | |
| CN105138709B (zh) | 一种基于物理内存分析的远程取证系统 | |
| CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
| CN111131253A (zh) | 基于场景的安全事件全局响应方法以及装置、设备、存储介质 | |
| CN110266670A (zh) | 一种终端网络外联行为的处理方法及装置 | |
| CN108551449B (zh) | 防病毒管理系统及方法 | |
| CN113225339B (zh) | 网络安全监测方法、装置、计算机设备及存储介质 | |
| CN114024764A (zh) | 数据库异常访问的监控方法、监控系统、设备和存储介质 | |
| CN114208114B (zh) | 每参与者的多视角安全上下文 | |
| CN114050937B (zh) | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 | |
| CN111209171B (zh) | 安全风险的闭环处置方法、装置及存储介质 | |
| CN116431344A (zh) | 金融服务资源降级策略的配置方法及其装置、电子设备 | |
| KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 | |
| CN115525897A (zh) | 终端设备的系统检测方法、装置、电子装置和存储介质 | |
| US20220391500A1 (en) | Automated adjustment of security alert components in networked computing systems | |
| CN114124453B (zh) | 网络安全信息的处理方法、装置、电子设备及储存介质 | |
| CN114760083B (zh) | 一种攻击检测文件的发布方法、装置及存储介质 | |
| CN114157504A (zh) | 一种基于Servlet拦截器的安全防护方法 | |
| CN109032647A (zh) | 基于软件监控和策略的软件升级方法 | |
| CN109327433B (zh) | 基于运行场景分析的威胁感知方法及系统 | |
| CN113407942A (zh) | 基于风险管理的云计算安全实时控制系统及方法 | |
| CN113596051B (zh) | 检测方法、检测装置、电子设备、介质和计算机程序 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |