CN111639317B - 自动识别高危授权用户方法、装置、电子设备及存储介质 - Google Patents

自动识别高危授权用户方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN111639317B
CN111639317B CN202010445527.0A CN202010445527A CN111639317B CN 111639317 B CN111639317 B CN 111639317B CN 202010445527 A CN202010445527 A CN 202010445527A CN 111639317 B CN111639317 B CN 111639317B
Authority
CN
China
Prior art keywords
risk
user
authorized
users
online
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010445527.0A
Other languages
English (en)
Other versions
CN111639317A (zh
Inventor
李妍
刘明
高士慧
高阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Citic Bank Corp Ltd
Original Assignee
China Citic Bank Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Citic Bank Corp Ltd filed Critical China Citic Bank Corp Ltd
Priority to CN202010445527.0A priority Critical patent/CN111639317B/zh
Publication of CN111639317A publication Critical patent/CN111639317A/zh
Application granted granted Critical
Publication of CN111639317B publication Critical patent/CN111639317B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/242Query formulation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2455Query execution
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5011Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resources being hardware resources other than CPUs, Servers and Terminals
    • G06F9/5022Mechanisms to release resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供了一种自动识别高危授权用户方法、装置、电子设备及存储介质。识别方法包括:在堡垒机中实时采集所有的在线用户的登录数据;根据在线用户的登录数据,确定出疑似高危授权用户;将各个疑似高危授权用户与授权合法用户集进行对比,在疑似高危授权用户中筛选出实际高危授权用户;对筛选出的实际高危授权用户执行安全限制操作。本申请利用堡垒机将庞杂的各类用户进行了统一管理,对数以万计用户的运维活动进行实时处理,精准管理用户授权,提升了对用户高危授权的管理能力。进一步地,通过自动化的分析手段检测出长期授权的高危授权用户,以及时地对高危授权用户执行有效的安全限制操作以避免因高危授权用户带来的攻击性安全风险。

Description

自动识别高危授权用户方法、装置、电子设备及存储介质
技术领域
本申请涉及系统安全保护的技术领域,具体而言,本申请涉及一种自动识别高危授权用户方法、装置、电子设备及存储介质。
背景技术
随着各类应用的衍生或扩展,产生了越来越多的用户用于管理各个应用的服务。面对庞杂的用户体系,有效的对用户授权进行管理以及防止用户的高危授权变得越来越重要。
现有技术中的应用管理服务一般只能在常规的用户授权的方面发挥作用,在某些非常规情况下,例如系统或产品的用户体系被突破时,无法快速的获取到被突破的关键信息,也无法及时地对其即将产生的危害进行阻断,不能有效地保护系统或产品的信息安全。
发明内容
本申请提供了一种自动识别高危授权用户方法、装置、电子设备及存储介质,旨在至少能解决上述的技术缺陷之一。本申请所采用的技术方案如下:
第一方面,本申请实施例提供了一种自动识别高危授权用户的方法,包括:在堡垒机中实时采集所有的在线用户的登录数据;
根据在线用户的登录数据,确定出疑似高危授权用户;
将各个疑似高危授权用户与授权合法用户集进行对比,在疑似高危授权用户中筛选出实际高危授权用户;
对筛选出的实际高危授权用户执行安全限制操作。
在本申请的一个实施例中,根据在线用户的登录数据,确定出疑似高危授权用户,包括:
根据在线用户的登录数据,识别出具有预设账户等级的在线用户的登录记录,将具有预设账户等级的在线用户作为待确认用户;
判断待确认用户的运维信息中的指定字段是否符合预设字段条件,若符合,则确定在线用户为疑似高危授权用户。
在本申请的一个实施例中,具有预设账户等级的在线用户至少包括:账户等级为高权或特权的在线用户;
判断待确认用户的运维信息中的指定字段是否符合预设字段条件,若符合,则确定在线用户为疑似高危授权用户,包括:
判断待确认用户的运维信息中的外部编号字段是否为空;
若外部编号字段为空,则继续判断运维信息的统一登录名是否包括目标字样,若包含,则确定在线用户为疑似高危授权用户。
在本申请的一个实施例中,授权合法用户集通过以下方式获得:
在堡垒机的授权信息库中,收集通过当前通过合法来源所获取到的用户授权信息;
基于获取到的各个用户授权信息生成授权合法用户集;
用户授权信息至少包括生效时间、有效周期和单位。
在本申请的一个实施例中,对筛选出的实际高危授权用户执行安全限制操作,包括:
基于每个实际高危授权用户的授权信息生成对应的唯一标示编号,将每个唯一标示的编号发送至监控平台进行告警。
在本申请的一个实施例中,对筛选出的实际高危授权用户执行安全限制操作,包括:
生成针对每个实际高危授权用户的阻断指令,将每个阻断指令发送至堡垒机,以在堡垒机中对实际高危授权用户进行强制下线并回收实际高危授权用户的授权。
在本申请的一个实施例中,还包括:根据在线用户的登录数据,识别出账户等级为空的在线用户的登录记录;对账户等级为空的在线用户进行释放。
第二方面,本申请实施例提供了一种自动识别高危授权用户的装置,包括:
信息采集模块,用于在堡垒机中实时采集所有的在线用户的登录数据;
疑似信息确认模块,用于根据在线用户的登录数据,确定出疑似高危授权用户;
筛选模块,用于将各个疑似高危授权用户与授权合法用户集进行对比,在疑似高危授权用户中筛选出实际高危授权用户;
执行模块,用于对筛选出的实际高危授权用户执行安全限制操作。
第三方面,本申请实施例提供了一种电子设备,其包括:
处理器;以及
存储器,配置用于存储机器可读指令,指令在由处理器执行时,使得处理器执行本申请实施例提供的自动识别高危授权用户的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本申请实施例提供的自动识别高危授权用户的方法。
本申请实施例提供的技术方案带来的有益技术效果是:
在本申请实施例中,可以利用堡垒机具备的审计特点,将庞杂的用户全部对接堡垒机,因此可以直接在堡垒机中采集到所有在线用户的登录数据,进一步根据登录数据确定出疑似高危授权用户,之后在疑似高危授权用户筛选出实际高危授权用户,最后对实际高危授权用户执行安全限制操作以保护系统的安全。
本申请利用堡垒机将庞杂的各类用户进行了统一管理,对数以万计用户的运维活动进行实时处理,精准管理用户授权,提升了对用户高危授权的管理能力。进一步地,通过自动化的分析手段检测出长期授权的高危授权用户,以及时地对高危授权用户执行有效的安全限制操作(如以自动阻断的方式来隔离解权),避免因高危授权用户带来的攻击性安全风险。
本申请附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本申请实施例提供的一种自动识别高危授权用户的方法的流程示意图;
图2为本申请实施例提供的另一种自动识别高危授权用户的方法的流程示意图;
图3为本申请实施例提供的一种自动识别高危授权用户的装置的模块示意图;
图4为本申请实施例提供的一种电子设备的模块示意图。
具体实施方式
下面详细描述本申请,本申请的实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的部件或具有相同或类似功能的部件。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本申请所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本申请的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本申请实施例提供了一种自动识别高危授权用户的方法,该方法的流程示意图如图1所示,包括:
S101:在堡垒机中实时采集所有的在线用户的登录数据。
在本申请实施例中,可以利用堡垒机具备的审计特点,将庞杂的用户全部对接堡垒机,实现各类用户进行了统一管理,因此可以直接在堡垒机中采集到所有在线用户的登录数据。
S102:根据在线用户的登录数据,确定出疑似高危授权用户。
在本申请实施例中,现在所有的在线用户中初步筛选出疑似高危授权用户,之后在疑似高危授权用户可以进一步筛选出实际高危授权用户,这可以减少计算量,提高工作效率。
在本申请的一个实施例中,步骤S102具体包括:根据在线用户的登录数据,识别出具有预设账户等级的在线用户的登录记录,将具有预设账户等级的在线用户作为待确认用户;判断待确认用户的运维信息中的指定字段是否符合预设字段条件,若符合,则确定在线用户为疑似高危授权用户。
S103:将各个疑似高危授权用户与授权合法用户集进行对比,在疑似高危授权用户中筛选出实际高危授权用户。
在本申请实施例中,授权合法用户集通过以下方式获得:在堡垒机的授权信息库中,收集通过当前通过合法来源所获取到的用户授权信息;基于获取到的各个用户授权信息生成授权合法用户集。用户授权信息至少包括生效时间、有效周期和单位
S104:对筛选出的实际高危授权用户执行安全限制操作。
在本申请的一个实施例中,步骤S104具体包括:基于每个实际高危授权用户的授权信息生成对应的唯一标示编号,将每个唯一标示的编号发送至监控平台进行告警。
在本申请的一个实施例中,步骤S104具体包括:生成针对每个实际高危授权用户的阻断指令,将每个阻断指令发送至堡垒机,以在堡垒机中对实际高危授权用户进行强制下线并回收实际高危授权用户的授权。
本申请实施例提供的自动识别高危授权用户的方法还包括:根据在线用户的登录数据,识别出账户等级为空的在线用户的登录记录;对账户等级为空的在线用户进行释放。
在本申请实施例提供的自动识别高危授权用户的方法中,可以利用堡垒机具备的审计特点,将庞杂的用户全部对接堡垒机,因此可以直接在堡垒机中采集到所有在线用户的登录数据,进一步根据登录数据确定出疑似高危授权用户,之后在疑似高危授权用户筛选出实际高危授权用户,最后对实际高危授权用户执行安全限制操作以保护系统的安全。
本申请利用堡垒机将庞杂的各类用户进行了统一管理,对数以万计用户的运维活动进行实时处理,精准管理用户授权,提升了对用户高危授权的管理能力。进一步地,通过自动化的分析手段检测出长期授权的高危授权用户,以及时地对高危授权用户执行有效的安全限制操作(如以自动阻断的方式来隔离解权),避免因高危授权用户带来的攻击性安全风险。
本申请实施例提供了另一种自动识别高危授权用户的方法,该方法的流程示意图如图2所示,包括:
S201:在堡垒机中实时采集所有的在线用户的登录数据。
在本申请实施例中,可以利用堡垒机具备的审计特点,将庞杂的用户全部对接堡垒机,实现各类用户进行了统一管理,因此可以直接在堡垒机中采集到所有在线用户的登录数据。
S202:根据在线用户的登录数据,识别出具有预设账户等级的在线用户的登录记录,将具有预设账户等级的在线用户作为待确认用户。
在本申请实施例中,具有预设账户等级的在线用户至少包括:账户等级为高权或特权的在线用户。
S203:判断待确认用户的运维信息中的指定字段是否符合预设字段条件,若符合,则确定在线用户为疑似高危授权用户。
在本申请的一个实施例中,步骤S203具体包括:
(a)判断待确认用户的运维信息中的外部编号字段是否为空,若外部编号字段为空,则继续执行步骤(b)。本领域的技术人员可以理解,若外部编号字段为空,则可以确定该待确认用户不是疑似高危授权用户,可以不需要继续执行步骤(b)。
(b)判断运维信息的统一登录名是否包括目标字样,若包含,则确定在线用户为疑似高危授权用户。
可选地,目标字样可以为“*yingji*”。若某一在线用户的运维信息的统一登录名包括*yingji*,则确定该在线用户为疑似高危授权用户;若某一在线用户的运维信息的统一登录名中没有*yingji*,则确定该在线用户不是疑似高危授权用户。
在本申请实施例中,现在所有的在线用户中初步筛选出疑似高危授权用户,之后在疑似高危授权用户可以进一步筛选出实际高危授权用户,这可以减少计算量,提高工作效率。
S204:将各个疑似高危授权用户与授权合法用户集进行对比,在疑似高危授权用户中筛选出实际高危授权用户,之后执行步骤S205和步骤S206中至少一项。
在本申请实施例中,授权合法用户集通过以下方式获得:在堡垒机的授权信息库中,收集通过当前通过合法来源所获取到的用户授权信息;基于获取到的各个用户授权信息生成授权合法用户集。用户授权信息至少包括生效时间、有效周期和单位
S205:基于每个实际高危授权用户的授权信息生成对应的唯一标示编号,将每个唯一标示的编号发送至监控平台进行告警。
监控平台的具体类型可以根据实际情况而定。在本申请实施例中,监控平台可以为ITSM(IT Service Management,IT呼叫中心)。
S206:生成针对每个实际高危授权用户的阻断指令,将每个阻断指令发送至堡垒机,以在堡垒机中对实际高危授权用户进行强制下线并回收实际高危授权用户的授权。
在本申请实施例中,可以通过自动化接口工具将每个阻断指令发送至堡垒机。
在本申请的一个实施例中,在步骤S201之后,还可以执行如下步骤:根据在线用户的登录数据,识别出账户等级为空的在线用户的登录记录;对账户等级为空的在线用户进行释放。及时地释放账户等级为空的在线用户,可以避免占用过多的计算资源,减轻系统的工作负担,提高系统的计算效率。
基于同一发明构思,本申请实施例还提供了一种自动识别高危授权用户的装置。如图3所示,该装置包括信息采集模块301、疑似信息确认模块302、筛选模块303和执行模块304。
信息采集模块301用于在堡垒机中实时采集所有的在线用户的登录数据。
疑似信息确认模块302用于根据在线用户的登录数据,确定出疑似高危授权用户。
筛选模块303用于将各个疑似高危授权用户与授权合法用户集进行对比,在疑似高危授权用户中筛选出实际高危授权用户。
执行模块304用于对筛选出的实际高危授权用户执行安全限制操作。
在本申请的一个实施例中,疑似信息确认模块302用于:根据在线用户的登录数据,识别出具有预设账户等级的在线用户的登录记录,将具有预设账户等级的在线用户作为待确认用户;判断待确认用户的运维信息中的指定字段是否符合预设字段条件,若符合,则确定在线用户为疑似高危授权用户。
在本申请的一个实施例中,具有预设账户等级的在线用户至少包括账户等级为高权或特权的在线用户。
疑似信息确认模块302具体用于:判断待确认用户的运维信息中的外部编号字段是否为空;若外部编号字段为空,则继续判断运维信息的统一登录名是否包括目标字样,若包含,则确定在线用户为疑似高危授权用户。
在本申请的一个实施例中,执行模块304具体用于:基于每个实际高危授权用户的授权信息生成对应的唯一标示编号,将每个唯一标示的编号发送至监控平台进行告警
在本申请的一个实施例中,执行模块304具体用于:生成针对每个实际高危授权用户的阻断指令,将每个阻断指令发送至堡垒机,以在堡垒机中对实际高危授权用户进行强制下线并回收实际高危授权用户的授权。
在本申请实施例中,自动识别高危授权用户的装置还包括用户集生成模块305。用户集生成模块305用于:在堡垒机的授权信息库中,收集通过当前通过合法来源所获取到的用户授权信息;基于获取到的各个用户授权信息生成授权合法用户集。用户授权信息至少包括生效时间、有效周期和单位。
在本申请实施例中,自动识别高危授权用户的装置还包括资源释放模块306。资源释放模块306用于:根据在线用户的登录数据,识别出账户等级为空的在线用户的登录记录;对账户等级为空的在线用户进行释放。
可以理解的是,本实施例中自动识别高危授权用户的装置的上述各模块,具有实现上述实施例中的自动识别高危授权用户的方法相应步骤的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。上述模块可以是软件和/或硬件,上述各模块可以单独实现,也可以多个模块集成实现。对于上述自动识别高危授权用户的装置的各模块的功能描述具体可以参见上述实施例中的自动识别高危授权用户的方法对应描述,在此不再赘述。
基于同一发明构思,本申请实施例还提供了一种电子设备,电子设备包括处理器和存储器。
存储器配置用于存储机器可读指令,指令在由处理器执行时,使得处理器执行本申请实施例提供的自动识别高危授权用户的方法。
电子设备的处理器可以称为下文所述的处理装置401,存储器可以包括下文中的只读存储器(ROM)402、随机访问存储器(RAM)403以及存储装置408中的至少一项,具体如下所示:
如图4所示,电子设备可以包括处理装置(例如中央处理器、图形处理器等)401,其可以根据存储在只读存储器(ROM)402中的程序或者从存储装置408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM403中,还存储有电子设备操作所需的各种程序和数据。处理装置401、ROM402以及RAM403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
通常,以下装置可以连接至I/O接口405:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置406;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置407;包括例如磁带、硬盘等的存储装置408;以及通信装置409。通信装置409可以允许电子设备与其他设备进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的电子设备,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置409从网络上被下载和安装,或者从存储装置408被安装,或者从ROM402被安装。在该计算机程序被处理装置401执行时,执行本申请实施例的方法中限定的上述功能。
需求说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:接收用户针对待处理的多媒体信息中任一段多媒体信息的选中操作,待处理的多媒体信息中包括至少两段多媒体信息,基于选中操作确定目标多媒体信息段,当接收到针对目标多媒体信息段的触发操作时,确定对应的处理方式,基于确定出的处理方式对目标多媒体信息段进行相应的处理。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块或单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,模块或单元的名称在某种情况下并不构成对该单元本身的限定,例如,接收模块还可以被描述为“接收用户针对待处理的多媒体信息中任一段多媒体信息的选中操作的模块”。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
本申请实施例中的电子设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图4示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
本申请实施例提供的电子设备,与前面所述的各实施例具有相同的发明构思及相同的有益效果,该电子设备中未详细示出的内容可参照前面所述的各实施例,在此不再赘述。
基于同一发明构思,本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本申请实施例提供的自动识别高危授权用户的方法。
该计算机可读介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM、RAM、EPROM(Erasable Programmable Read-Only Memory,可擦写可编程只读存储器)、EEPROM、闪存、磁性卡片或光线卡片。也就是,可读介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
本申请实施例提供的计算机可读存储介质,与前面所述的各实施例具有相同的发明构思及相同的有益效果,该计算机可读存储介质中未详细示出的内容可参照前面所述的各实施例,在此不再赘述。
本技术领域技术人员可以理解,本申请中已经讨论过的各种操作、方法、流程中的步骤、措施、方案可以被交替、更改、组合或删除。进一步地,具有本申请中已经讨论过的各种操作、方法、流程中的其他步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。进一步地,现有技术中的具有与本申请中公开的各种操作、方法、流程中的步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。
术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
以上所述仅是本申请的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (9)

1.一种自动识别高危授权用户的方法,其特征在于,包括:
在堡垒机中实时采集所有的在线用户的登录数据;
根据所述在线用户的登录数据,确定出疑似高危授权用户;
将各个所述疑似高危授权用户与授权合法用户集进行对比,在所述疑似高危授权用户中筛选出实际高危授权用户;
对筛选出的所述实际高危授权用户执行安全限制操作;
所述根据所述在线用户的登录数据,确定出疑似高危授权用户,包括:
根据所述在线用户的登录数据,识别出具有预设账户等级的在线用户的登录记录,将所述具有预设账户等级的在线用户作为待确认用户;
判断所述待确认用户的运维信息中的指定字段是否符合预设字段条件,若符合,则确定在所述线用户为所述疑似高危授权用户。
2.根据权利要求1所述的自动识别高危授权用户的方法,其特征在于,
所述具有预设账户等级的在线用户至少包括:账户等级为高权或特权的在线用户;
所述判断所述待确认用户的运维信息中的指定字段是否符合预设字段条件,若符合,则确定在所述线用户为所述疑似高危授权用户,包括:
所述判断所述待确认用户的运维信息中的外部编号字段是否为空;
若所述外部编号字段为空,则继续判断所述运维信息的统一登录名是否包括目标字样,若包含,则确定在所述线用户为所述疑似高危授权用户。
3.根据权利要求1所述的自动识别高危授权用户的方法,其特征在于,所述授权合法用户集通过以下方式获得:
在所述堡垒机的授权信息库中,收集通过当前通过合法来源所获取到的用户授权信息;基于获取到的各个用户授权信息生成授权合法用户集;
所述用户授权信息至少包括生效时间、有效周期和单位。
4.根据权利要求1所述的自动识别高危授权用户的方法,其特征在于,所述对筛选出的所述实际高危授权用户执行安全限制操作,包括:
基于每个所述实际高危授权用户的授权信息生成对应的唯一标示编号,将每个所述唯一标示的编号发送至监控平台进行告警。
5.根据权利要求1所述的自动识别高危授权用户的方法,其特征在于,所述对筛选出的所述实际高危授权用户执行安全限制操作,包括:
生成针对每个所述实际高危授权用户的阻断指令,将每个所述阻断指令发送至所述堡垒机,以在所述堡垒机中对所述实际高危授权用户进行强制下线并回收所述实际高危授权用户的授权。
6.根据权利要求1所述的自动识别高危授权用户的方法,其特征在于,还包括:根据所述在线用户的登录数据,识别出账户等级为空的在线用户的登录记录;对账户等级为空的在线用户进行释放。
7.一种自动识别高危授权用户的装置,其特征在于,包括:
信息采集模块,用于在堡垒机中实时采集所有的在线用户的登录数据;
疑似信息确认模块,用于根据所述在线用户的登录数据,确定出疑似高危授权用户;所述根据所述在线用户的登录数据,确定出疑似高危授权用户,包括:根据所述在线用户的登录数据,识别出具有预设账户等级的在线用户的登录记录,将所述具有预设账户等级的在线用户作为待确认用户;判断所述待确认用户的运维信息中的指定字段是否符合预设字段条件,若符合,则确定在所述线用户为所述疑似高危授权用户;
筛选模块,用于将各个所述疑似高危授权用户与授权合法用户集进行对比,在所述疑似高危授权用户中筛选出实际高危授权用户;
执行模块,用于对筛选出的所述实际高危授权用户执行安全限制操作。
8.一种电子设备,其特征在于,其包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,使得所述处理器执行权利要求1-6任一项所述的自动识别高危授权用户的方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-6任一项所述的自动识别高危授权用户的方法。
CN202010445527.0A 2020-05-24 2020-05-24 自动识别高危授权用户方法、装置、电子设备及存储介质 Active CN111639317B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010445527.0A CN111639317B (zh) 2020-05-24 2020-05-24 自动识别高危授权用户方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010445527.0A CN111639317B (zh) 2020-05-24 2020-05-24 自动识别高危授权用户方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN111639317A CN111639317A (zh) 2020-09-08
CN111639317B true CN111639317B (zh) 2023-05-09

Family

ID=72329718

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010445527.0A Active CN111639317B (zh) 2020-05-24 2020-05-24 自动识别高危授权用户方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN111639317B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6826684B1 (en) * 2000-08-28 2004-11-30 Verizon Corporate Services Group Inc. Sliding scale adaptive self-synchronized dynamic address translation
CN102176266A (zh) * 2011-01-24 2011-09-07 武汉大学 Atm银行卡视觉行为预警提示方法及系统
CN106657091A (zh) * 2016-12-28 2017-05-10 北京奇艺世纪科技有限公司 一种线上服务器授权管理方法及系统
CN109670337A (zh) * 2018-12-24 2019-04-23 北京天融信网络安全技术有限公司 一种检测方法及装置
CN109842628A (zh) * 2018-12-13 2019-06-04 成都亚信网络安全产业技术研究院有限公司 一种异常行为检测方法及装置
CN110765087A (zh) * 2019-10-14 2020-02-07 西安交通大学 一种基于网络安全设备日志数据的用户账户滥用审计方法和系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2001262958A1 (en) * 2000-04-28 2001-11-12 Internet Security Systems, Inc. Method and system for managing computer security information
US7152105B2 (en) * 2002-01-15 2006-12-19 Mcafee, Inc. System and method for network vulnerability detection and reporting
US9781095B2 (en) * 2015-12-18 2017-10-03 International Business Machines Corporation Suppression of authorization risk feedback to mitigate risk factor manipulation in an authorization system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6826684B1 (en) * 2000-08-28 2004-11-30 Verizon Corporate Services Group Inc. Sliding scale adaptive self-synchronized dynamic address translation
CN102176266A (zh) * 2011-01-24 2011-09-07 武汉大学 Atm银行卡视觉行为预警提示方法及系统
CN106657091A (zh) * 2016-12-28 2017-05-10 北京奇艺世纪科技有限公司 一种线上服务器授权管理方法及系统
CN109842628A (zh) * 2018-12-13 2019-06-04 成都亚信网络安全产业技术研究院有限公司 一种异常行为检测方法及装置
CN109670337A (zh) * 2018-12-24 2019-04-23 北京天融信网络安全技术有限公司 一种检测方法及装置
CN110765087A (zh) * 2019-10-14 2020-02-07 西安交通大学 一种基于网络安全设备日志数据的用户账户滥用审计方法和系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
叶挺. 大数据平台安全架构体系研究与应用.《中国优秀硕士学位论文全文数据库 信息科技辑》.2019,全文. *

Also Published As

Publication number Publication date
CN111639317A (zh) 2020-09-08

Similar Documents

Publication Publication Date Title
Ab Rahman et al. Forensic-by-design framework for cyber-physical cloud systems
CN110084034B (zh) 一种基于弱口令检测的密码设置方法、存储介质及电子设备
CN118153059A (zh) 一种数据库安全审计方法、装置、电子设备及存储介质
US9959411B2 (en) Detecting security vulnerabilities on computing devices
CN112884376A (zh) 工单处理方法、装置、电子设备及计算机可读存储介质
CN111639317B (zh) 自动识别高危授权用户方法、装置、电子设备及存储介质
CN116881896A (zh) 设备指纹库的生成方法和装置
CN109542743B (zh) 日志校验方法、装置、电子设备及计算机可读存储介质
CN110727558A (zh) 信息提示方法、装置、存储介质及电子设备
CN115567218A (zh) 基于区块链的安全证书的数据处理方法、装置和服务器
CN113283891A (zh) 信息处理方法、装置和电子设备
CN110633566A (zh) 一种侵入检测方法、装置、终端设备及介质
CN111092758A (zh) 降低告警及恢复误报的方法、装置及电子设备
CN111885006A (zh) 页面访问、授权访问方法和装置
CN110661866A (zh) 一种票据处理方法及设备
CN116527284B (zh) 数据存储安全性确定方法、装置、设备及存储介质
CN110262756B (zh) 用于缓存数据的方法和装置
CN114329066B (zh) 录像数据处理方法、装置、电子设备和存储介质
CN117132245B (zh) 线上物品获取业务流程重组方法、装置、设备和可读介质
CN111291369B (zh) 一种信息检测方法和电子设备
CN116743647A (zh) 云平台服务质量检测方法、装置、设备及存储介质
CN116996561A (zh) 一种数据管理系统及方法、设备
CN117640237A (zh) 业务日志处理方法、装置、电子设备及存储介质
CN117914948A (zh) 服务实例调度方法、装置、电子设备及存储介质
CN117294470A (zh) 网络攻击检测方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant