CN111913862A - 一种面向应用系统的用户行为安全监测方法 - Google Patents
一种面向应用系统的用户行为安全监测方法 Download PDFInfo
- Publication number
- CN111913862A CN111913862A CN202010777946.4A CN202010777946A CN111913862A CN 111913862 A CN111913862 A CN 111913862A CN 202010777946 A CN202010777946 A CN 202010777946A CN 111913862 A CN111913862 A CN 111913862A
- Authority
- CN
- China
- Prior art keywords
- user
- probe
- data
- module
- user behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000012544 monitoring process Methods 0.000 title claims abstract description 18
- 239000000523 sample Substances 0.000 claims abstract description 127
- 238000004458 analytical method Methods 0.000 claims abstract description 24
- 238000010276 construction Methods 0.000 claims abstract description 18
- 238000001514 detection method Methods 0.000 claims abstract description 7
- 230000006399 behavior Effects 0.000 claims description 65
- 238000007726 management method Methods 0.000 claims description 15
- 238000012217 deletion Methods 0.000 claims description 6
- 230000037430 deletion Effects 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 6
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 238000012550 audit Methods 0.000 claims description 3
- 238000005422 blasting Methods 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000007405 data analysis Methods 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 3
- 231100000279 safety data Toxicity 0.000 claims description 3
- 238000012986 modification Methods 0.000 claims 1
- 230000004048 modification Effects 0.000 claims 1
- 230000009545 invasion Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3452—Performance evaluation by statistical analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Probability & Statistics with Applications (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种面向应用系统的用户行为安全监测方法,通过包括:JS探针构建模块、JS探针管理控制模块、用户数据采集与存储模块、用户行为分析模块和结果反馈展示模块构建的面向应用系统的用户行为安全检测系统实现。JS探针构建模块完成构建JS探针库,JS探针管理控制模块管理JS探针接入与控制,用户数据采集与存储模块实现用户数据采集与存储,用户行为分析模块分析用户行为数据,结果反馈展示模块反馈用户行为分析结果。本发明的优点是:JS探针一次接入就可以在后台控制全部探针的开关接入情况;JS探针直接捕获用户操作行为,更精确地判断用户操作的安全性;监测结果实时反馈到应用系统页面,用户能清晰知晓自身数据安全状况。
Description
技术领域
本发明涉及一种网络用户行为安全监测方法,特别是一种面向应用系统的用户行为安全监测方法
背景技术
当前的安全防护手段主要用于针对外部入侵,对内部用户行为缺乏有效的监控方法;主要针对应用系统本身安全进行防护,对用户自身数据安全性缺乏智能化的分析。当前面向应用系统的用户行为安全检测方法,通常应用于应用系统服务器端,首先在服务器端设置样本数据库,数据库中存储若干样本用户在执行目标操作时的行为序列样本,以及对应各行为序列样本的风险标签,其次通过获取应用系统的访问流量,使用样本数据库识别用户的操作,通过风险标签计算用户行为风险值,通过设置风险阈值判断用户操作的危险等级。此类方法通过流量和样本序列来反射用户操作,不能记录用户在应用系统前台进行的实际操作,不能判断是否登录他人账号进行违规操作问题。当前针对用户数据的安全防护方法,只针对系统本身数据的安全、用户数据的整体安全,对于单个用户的数据安全问题,如:用户账号是否被盗取,用户数据是否被越权访问缺乏有效的安全防护方法,同时用户自身很难知悉其自身数据安全状况。因此当下亟需一种方法,一方面实现用户操作行为的直接获取与分析,另一方面为用户自身数据的安全情况进行分析和反馈。
发明内容
本发明目的在于提供一种面向应用系统的用户行为安全监测方法,解决当前安全防护方案缺乏对内部用户行为有效监控、缺乏对用户自身数据安全性防护的问题。
一种面向应用系统的用户行为安全监测方法的具体步骤为:
第一步 构建面向应用系统的用户行为安全检测系统
面向应用系统的用户行为安全检测系统,包括:JS探针构建模块、JS探针管理控制模块、用户数据采集与存储模块、用户行为分析模块和结果反馈展示模块。
JS探针构建模块的功能为构建具备各类功能的JS探针;
JS探针管理控制模块的功能为分析JS请求,使用JS配置文件控制JS探针的接入、删除和更改,完成JS探针的接入工作;
用户数据采集与存储模块的功能为使用JS探针获取用户前台的各类操作行为,并将采集结果存储到数据库中;
用户行为分析模块的功能为分析用户分为数据,给出用户行为分析结果;
结果展示反馈模块的功能为将用户分析结果进行统计,供安全审计人员使用,同时将涉及用户自身的安全数据通过JS探针反馈到用户前端。
第二步 JS探针构建模块构建JS探针库
JS探针构建模块构建满足不同需求的JS探针。构建通用性功能JS探针,包括:用户终端计算机硬件及系统信息采集探针、用户身份识别与提取探针、网络请求采集探针、用户操作探针、结果反馈探针;构建专用JS探针,包括:针对不同应用系统提取其重要用户数据、权限控制、管理操作流程内容的JS探针。JS探针库囊括多类针对不同需求的功能性JS探针,对于不同的应用系统可以经过配置文件进行不同的组合,以满足具体需求。
第三步 JS探针管理控制模块管理JS探针接入与控制
JS探针管理控制模块生成总控探针control.js,将总控control.js使用<scriptsrc=”http://IP地址/control.js”></script>的方式植入到应用系统的每个文件中,完成JS探针接入工作,JS总控探针一次接入即可在后台控制全部探针的开关接入情况;其次生成及修订js探针配置文件,控制各类JS探针的接入、删除和修改操作,最后当JS探针管理控制模块接收到对总控探针control.js的请求时,根据具体配置文件配置JS包含文件并返回各类信息采集探针;
第四步 用户数据采集与存储模块实现用户数据采集与存储
用户数据采集与存储模块使用JS探针采集用户终端计算机硬件及系统信息、用户身份信息、网络请求数据、用户对应用系统的操作过程信息、重点数据的访问信息和关键流程的处理过程信息,用户行为数据的采集的信息包括用户键盘输和鼠标点击信息,将采集到的信息传输到控制端,根据数据格式的特点和数据处理的方式,采用大数据框架,实现全属性和全生命周期数据的存储与计算。
第五步 用户行为分析模块分析用户行为数据
用户行为分析模块根据采集的用户行为数据对用户异常登录行为、用户自身数据安全和用户违规操作行为进行分析。通过采集用户终端计算机硬件信息及系统信息判定当前账号的登录者是否为常用登录用户;通过采集用户查看邮件信息和人员信息确定用户自身信息是否被窃取;通过识别网络请求,判定用户是否包含攻击指令,是否进行密码爆破攻击。
第六步 结果反馈展示模块反馈用户行为分析结果
结果反馈展示模块将用户行为数据分析的结果进行统计存储,供安全人员审计使用,同时将涉及用户自身数据安全的问题,包括:账户被他人登录、用户数据被非法读取和非法修改,通过JS探针的方式反馈给用户自身,在应用系统页面进行弹框显示。
本发明的优点是JS探针一次接入就可以在后台控制全部探针的开关接入情况;JS探针直接捕获用户操作行为,更精确地判断用户操作的安全性;监测结果实时反馈到应用系统页面,用户能清晰知晓自身数据安全状况。
具体实施方式
一种面向应用系统的用户行为安全监测方法的具体步骤为:
第一步 构建面向应用系统的用户行为安全检测系统
面向应用系统的用户行为安全检测系统,包括:JS探针构建模块、JS探针管理控制模块、用户数据采集与存储模块、用户行为分析模块和结果反馈展示模块。
JS探针构建模块的功能为构建具备各类功能的JS探针;
JS探针管理控制模块的功能为分析JS请求,使用JS配置文件控制JS探针的接入、删除、更改,完成JS探针的接入工作;
用户数据采集与存储模块的功能为使用JS探针获取用户前台的各类操作行为,并将采集结果存储到数据库中;
用户行为分析模块的功能为分析用户分为数据,给出用户行为分析结果;
结果展示反馈模块的功能为将用户分析结果进行统计,供安全审计人员使用,同时将涉及用户自身的安全数据通过JS探针反馈到用户前端。
第二步 JS探针构建模块构建JS探针库
JS探针构建模块构建满足不同需求的JS探针。构建通用性功能JS探针,包括:用户终端计算机硬件及系统信息采集探针、用户身份识别与提取探针、网络请求采集探针、用户操作探针、结果反馈探针;构建专用JS探针,包括:针对不同应用系统提取其重要用户数据、权限控制、管理操作流程内容的JS探针。JS探针库囊括多类针对不同需求的功能性JS探针,对于不同的应用系统可以经过配置文件进行不同的组合,以满足具体需求。
第三步 JS探针管理控制模块管理JS探针接入与控制
JS探针管理控制模块生成总控探针control.js,将总控control.js使用<scriptsrc=”http://IP地址/control.js”></script>的方式植入到应用系统的每个文件中,完成JS探针接入工作,JS总控探针一次接入即可在后台控制全部探针的开关接入情况;其次生成及修订js探针配置文件,控制各类JS探针的接入、删除和修改操作,最后当JS探针管理控制模块接收到对总控探针control.js的请求时,根据具体配置文件配置JS包含文件并返回各类信息采集探针;
第四步 用户数据采集与存储模块实现用户数据采集与存储
用户数据采集与存储模块使用JS探针采集用户终端计算机硬件及系统信息、用户身份信息、网络请求数据、用户对应用系统的操作过程信息、重点数据的访问信息和关键流程的处理过程信息,用户行为数据的采集的信息包括用户键盘输和鼠标点击信息,将采集到的信息传输到控制端,根据数据格式的特点和数据处理的方式,采用大数据框架,实现全属性和全生命周期数据的存储与计算。
第五步 用户行为分析模块分析用户行为数据
用户行为分析模块根据采集的用户行为数据对用户异常登录行为、用户自身数据安全和用户违规操作行为进行分析。通过采集用户终端计算机硬件信息及系统信息判定当前账号的登录者是否为常用登录用户;通过采集用户查看邮件信息和人员信息确定用户自身信息是否被窃取;通过识别网络请求,判定用户是否包含攻击指令,是否进行密码爆破攻击。
第六步 结果反馈展示模块反馈用户行为分析结果
结果反馈展示模块将用户行为数据分析的结果进行统计存储,供安全人员审计使用,同时将涉及用户自身数据安全的问题,包括:账户被他人登录、用户数据被非法读取和非法修改,通过JS探针的方式反馈给用户自身,在应用系统页面进行弹框显示。
Claims (6)
1.一种面向应用系统的用户行为安全监测方法,其特征在于具体步骤为:
第一步 构建面向应用系统的用户行为安全检测系统
面向应用系统的用户行为安全检测系统,包括:JS探针构建模块、JS探针管理控制模块、用户数据采集与存储模块、用户行为分析模块和结果反馈展示模块;
第二步JS探针构建模块构建JS探针库
JS探针构建模块构建满足不同需求的JS探针;构建通用性功能JS探针,包括:用户终端计算机硬件及系统信息采集探针、用户身份识别与提取探针、网络请求采集探针、用户操作探针、结果反馈探针;构建专用JS探针,包括:针对不同应用系统提取其重要用户数据、权限控制、管理操作流程内容的JS探针;JS探针库囊括多类针对不同需求的功能性JS探针,对于不同的应用系统可以经过配置文件进行不同的组合,以满足具体需求;
第三步JS探针管理控制模块管理JS探针接入与控制
JS探针管理控制模块生成总控探针control.js,将总控control.js使用<script src=”http://IP地址/control.js”></script>的方式植入到应用系统的每个文件中,完成JS探针接入工作,JS总控探针一次接入即可在后台控制全部探针的开关接入情况;其次生成及修订js探针配置文件,控制各类JS探针的接入、删除和修改操作,最后当JS探针管理控制模块接收到对总控探针control.js的请求时,根据具体配置文件配置JS包含文件并返回各类信息采集探针;
第四步 用户数据采集与存储模块实现用户数据采集与存储
用户数据采集与存储模块使用JS探针采集用户终端计算机硬件及系统信息、用户身份信息、网络请求数据、用户对应用系统的操作过程信息、重点数据的访问信息和关键流程的处理过程信息,用户行为数据的采集的信息包括用户键盘输和鼠标点击信息,将采集到的信息传输到控制端,根据数据格式的特点和数据处理的方式,采用大数据框架,实现全属性和全生命周期数据的存储与计算;
第五步 用户行为分析模块分析用户行为数据
用户行为分析模块根据采集的用户行为数据对用户异常登录行为、用户自身数据安全和用户违规操作行为进行分析;通过采集用户终端计算机硬件信息及系统信息判定当前账号的登录者是否为常用登录用户;通过采集用户查看邮件信息和人员信息确定用户自身信息是否被窃取;通过识别网络请求,判定用户是否包含攻击指令,是否进行密码爆破攻击;
第六步 结果反馈展示模块反馈用户行为分析结果
结果反馈展示模块将用户行为数据分析的结果进行统计存储,供安全人员审计使用,同时将涉及用户自身数据安全的问题,包括:账户被他人登录、用户数据被非法读取和非法修改,通过JS探针的方式反馈给用户自身,在应用系统页面进行弹框显示。
2.根据权利要求1所述的一种面向应用系统的用户行为安全监测方法,其特征在于所述JS探针构建模块的功能为构建具备各类功能的JS探针。
3.根据权利要求1所述的一种面向应用系统的用户行为安全监测方法,其特征在于所述JS探针管理控制模块的功能为分析JS请求,使用JS配置文件控制JS探针的接入、删除和更改,完成JS探针的接入工作。
4.根据权利要求1所述的一种面向应用系统的用户行为安全监测方法,其特征在于所述用户数据采集与存储模块的功能为使用JS探针获取用户前台的各类操作行为,并将采集结果存储到数据库中。
5.根据权利要求1所述的一种面向应用系统的用户行为安全监测方法,其特征在于所述用户行为分析模块的功能为分析用户分为数据,给出用户行为分析结果。
6.根据权利要求1所述的一种面向应用系统的用户行为安全监测方法,其特征在于所述结果展示反馈模块的功能为将用户分析结果进行统计,供安全审计人员使用,同时将涉及用户自身的安全数据通过JS探针反馈到用户前端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010777946.4A CN111913862A (zh) | 2020-08-05 | 2020-08-05 | 一种面向应用系统的用户行为安全监测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010777946.4A CN111913862A (zh) | 2020-08-05 | 2020-08-05 | 一种面向应用系统的用户行为安全监测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111913862A true CN111913862A (zh) | 2020-11-10 |
Family
ID=73287212
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010777946.4A Pending CN111913862A (zh) | 2020-08-05 | 2020-08-05 | 一种面向应用系统的用户行为安全监测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111913862A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103279567A (zh) * | 2013-06-18 | 2013-09-04 | 重庆邮电大学 | 一种基于AJAX的Web数据采集方法及系统 |
CN107172091A (zh) * | 2017-07-03 | 2017-09-15 | 山东浪潮云服务信息科技有限公司 | 一种基于大数据的行为验证方法 |
CN110417821A (zh) * | 2019-09-09 | 2019-11-05 | 北京华赛在线科技有限公司 | 一种联网检测方法和系统 |
CN110472178A (zh) * | 2019-08-20 | 2019-11-19 | 北京博睿宏远数据科技股份有限公司 | 一种探针注入方法、装置、计算机设备及存储介质 |
CN110674021A (zh) * | 2019-09-09 | 2020-01-10 | 深圳供电局有限公司 | 一种移动应用登录日志的检测方法及系统 |
-
2020
- 2020-08-05 CN CN202010777946.4A patent/CN111913862A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103279567A (zh) * | 2013-06-18 | 2013-09-04 | 重庆邮电大学 | 一种基于AJAX的Web数据采集方法及系统 |
CN107172091A (zh) * | 2017-07-03 | 2017-09-15 | 山东浪潮云服务信息科技有限公司 | 一种基于大数据的行为验证方法 |
CN110472178A (zh) * | 2019-08-20 | 2019-11-19 | 北京博睿宏远数据科技股份有限公司 | 一种探针注入方法、装置、计算机设备及存储介质 |
CN110417821A (zh) * | 2019-09-09 | 2019-11-05 | 北京华赛在线科技有限公司 | 一种联网检测方法和系统 |
CN110674021A (zh) * | 2019-09-09 | 2020-01-10 | 深圳供电局有限公司 | 一种移动应用登录日志的检测方法及系统 |
Non-Patent Citations (1)
Title |
---|
赵国锋;陈勇;王新恒;: "针对HTTPS的Web前端劫持及防御研究", 信息网络安全, no. 03, pages 20 - 25 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9189634B2 (en) | System and method for information risk management | |
CN111343173B (zh) | 数据访问的异常监测方法及装置 | |
EP3152697A1 (en) | System and method for real-time detection of anomalies in database usage | |
CN103765432A (zh) | 视觉组件和下钻映射 | |
CN101751535A (zh) | 通过应用程序数据访问分类进行的数据损失保护 | |
Landauer et al. | A framework for cyber threat intelligence extraction from raw log data | |
CN111881452A (zh) | 一种面向工控设备的安全测试系统及其工作方法 | |
CN109561092B (zh) | 基于数据流量及数据探测结果进行安全态势建模的方法 | |
US9462014B1 (en) | System and method for tracking and auditing data access in a network environment | |
CN107566350B (zh) | 安全配置漏洞监控方法、装置以及计算机可读存储介质 | |
Singh et al. | Sql injection detection and correction using machine learning techniques | |
CN113132311A (zh) | 异常访问检测方法、装置和设备 | |
CN114461864A (zh) | 一种告警溯源方法和装置 | |
CN113360728A (zh) | 用户操作审计方法、装置、计算机设备和存储介质 | |
CN111913862A (zh) | 一种面向应用系统的用户行为安全监测方法 | |
CN110457351B (zh) | 一种基于政府融资平台数据信息的管理系统及管理方法 | |
CN111651760A (zh) | 一种设备安全状态综合分析的方法及计算机可读存储介质 | |
CN110958236A (zh) | 基于风险因子洞察的运维审计系统动态授权方法 | |
CN111339366A (zh) | 大数据视频检索方法、装置、计算机设备以及存储介质 | |
CN111786991B (zh) | 基于区块链的平台认证登录方法及相关装置 | |
CN110266562B (zh) | 网络应用系统身份认证功能的自动检测的方法 | |
CN110795320A (zh) | 用户行为记录与追溯管理方法、装置、电子设备及系统 | |
CN113656273A (zh) | 一种工控系统在检测时产生扰动的评估方法及装置 | |
CN111970272A (zh) | 一种apt攻击操作识别方法 | |
CN105787075A (zh) | 一种基于数据挖掘的事件预测方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20201110 |