CN112288329A - 一种操作行为记录的风险预估方法及装置 - Google Patents

一种操作行为记录的风险预估方法及装置 Download PDF

Info

Publication number
CN112288329A
CN112288329A CN202011323287.3A CN202011323287A CN112288329A CN 112288329 A CN112288329 A CN 112288329A CN 202011323287 A CN202011323287 A CN 202011323287A CN 112288329 A CN112288329 A CN 112288329A
Authority
CN
China
Prior art keywords
risk value
risk
operation behavior
behavior information
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011323287.3A
Other languages
English (en)
Inventor
陈润生
胡亦恩
刘佳杰
王敏锋
蒋伟雯
叶青晟
张静林
叶奇青
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Agricultural Bank of China
Original Assignee
Agricultural Bank of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Agricultural Bank of China filed Critical Agricultural Bank of China
Priority to CN202011323287.3A priority Critical patent/CN112288329A/zh
Publication of CN112288329A publication Critical patent/CN112288329A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/067Enterprise or organisation modelling

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Strategic Management (AREA)
  • Theoretical Computer Science (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Educational Administration (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • Game Theory and Decision Science (AREA)
  • Development Economics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种操作行为记录的风险预估方法及装置,可以从待进行风险预估的一个操作行为记录中,识别上述预设种类的至少一条操作行为信息,分别确定已识别出的各条操作行为信息的风险值,将确定的各风险值输入至风险值计算模型中,获得风险值计算模型输出的操作行为记录的整体风险值,根据整体风险值对操作行为记录进行风险预估。本发明可以对操作行为记录的风险性自动进行相同过程的风险预估,而无需审计人员进行人为的风险预估,可以在初步筛选过程中有效避免高风险的用户操作行为的遗漏,避免人力资源的消耗,提高审计效率和审计准确性,并可以避免审计人员基于经验的主观判断造成的对用户操作行为的风险的预估错误,进一步提高审计准确性。

Description

一种操作行为记录的风险预估方法及装置
技术领域
本发明涉及计算机技术领域,尤其涉及一种操作行为记录的风险预估方法及装置。
背景技术
随着计算机网络技术的普遍应用,互联网企业的网络业务量日益增加,互联网企业对用户操作行为的风险性的监控需求也随之增加。
当前,互联网企业可以通过堡垒机来全量记录用户在办理网络业务中的操作行为,包括用户操作命令、用户操作时间和用户操作对象等。而审计人员在对堡垒机中记录的用户操作行为进行审计时,通常会先行凭借经验来初步筛选出可能存在风险的用户操作行为,之后再对筛选出的用户操作行为进行逐一审计,以检查用户在业务生产运维过程中的操作行为是否符合已制定的业务流程及规章制度。
但是,当用户操作行为的数量较多时,审计人员由于人力有限而无法对所有的用户操作行为一一进行准确的评估,导致初步筛选过程中可能会遗漏存在风险的用户操作行为,从而导致审计准确性降低。
发明内容
鉴于上述问题,本发明提供一种克服上述问题或者至少部分地解决上述问题的操作行为记录的风险预估方法及装置,技术方案如下:
一种操作行为记录的风险预估方法,包括:
从待进行风险预估的一个操作行为记录中,识别预设种类的至少一条操作行为信息,其中,所述预设种类为具有操作风险的操作行为所对应的操作行为种类;
分别确定已识别出的各条所述操作行为信息的风险值;
将确定的各所述风险值输入至风险值计算模型中,获得所述风险值计算模型输出的所述操作行为记录的整体风险值;
根据所述整体风险值与预设风险阈值的大小关系,对所述操作行为记录进行风险预估。
可选的,当所述预设种类的操作行为信息为包括有用户操作时间的操作行为信息时,所述从待进行风险预估的一个操作行为记录中,识别预设种类的至少一条操作行为信息,包括:
从所述操作行为记录中,识别包括有用户操作时间的至少一条操作行为信息,所述用户操作时间包括业务运营时段和非业务运营时段;其中,所述预设种类的操作行为信息的风险值包括有操作时间风险值,操作时间风险值为用户操作时间对应的风险值;
所述分别确定已识别出的各条所述操作行为信息的风险值,包括:
在已识别出的包括有用户操作时间的各条操作行为信息中,识别出用户操作时间为业务运营时段的各条操作行为信息,识别出用户操作时间为非业务运营时段的各条操作行为信息;将用户操作时间为业务运营时段的各条操作行为信息的操作时间风险值分别设置为与业务运营时段匹配的风险值,将用户操作时间为非业务运营时段的各条操作行为信息的操作时间风险值分别设置为与非业务运营时段匹配的风险值。
可选的,当所述预设种类的操作行为信息为包括有用户操作命令的操作行为信息时,所述从待进行风险预估的一个操作行为记录中,识别预设种类的至少一条操作行为信息,包括:
从所述操作行为记录中,识别包括有用户操作命令的至少一条操作行为信息;其中,所述预设种类的操作行为信息的风险值包括有操作命令风险值,所述操作命令风险值为用户操作命令对应的风险值;
所述分别确定已识别出的各条所述操作行为信息的风险值,包括:
在已识别出的包括有用户操作命令的各条操作行为信息中,分别确定各条操作行为信息中的用户操作命令;分别根据包括有用户操作命令的各条操作行为信息中的用户操作命令,在操作命令风险表中查找相应的操作命令风险值,所述操作命令风险表中对应保存有用户操作命令和操作命令风险值;分别将包括有用户操作命令的各条操作行为信息的操作命令风险值设置为根据用户操作命令在所述操作命令风险表中查找到的相应的操作命令风险值。
可选的,当所述预设种类的操作行为信息为包括有用户账户类型的操作行为信息时,所述从待进行风险预估的一个操作行为记录中,识别预设种类的至少一条操作行为信息,包括:
从所述操作行为记录中,识别包括有用户账户类型的至少一条操作行为信息,所述用户账户类型包括根账户、管理员账户、一般运维账户和查询账户;其中,所述预设种类的操作行为信息的风险值包括有账户类型风险值,账户类型风险值为用户账户类型对应的风险值;
所述分别确定已识别出的各条所述操作行为信息的风险值,包括:
在已识别出的包括有用户账户类型的各条操作行为信息中,识别出用户账户类型为根账户的各条操作行为信息,识别出用户账户类型为管理员账户的各条操作行为信息,识别出用户账户类型为一般运维账户的各条操作行为信息,识别出用户账户类型为查询账户的各条操作行为信息;
将用户账户类型为根账户的各条操作行为信息的账户类型风险值分别设置为与根账户匹配的风险值,将用户账户类型为管理员账户的各条操作行为信息的账户类型风险值分别设置为与管理员账户匹配的风险值,将用户账户类型为一般运维账户的各条操作行为信息的账户类型风险值分别设置为与一般运维账户匹配的风险值,将用户账户类型为查询账户的各条操作行为信息的账户类型风险值分别设置为与查询账户匹配的风险值;
可选的,当所述预设种类的操作行为信息为包括有用户操作对象的操作行为信息时,所述从待进行风险预估的一个操作行为记录中,识别预设种类的至少一条操作行为信息,包括:
从所述操作行为记录中,识别包括有用户操作对象的至少一条操作行为信息,所述用户操作对象包括系统、数据库、文件和设备;其中,所述预设种类的操作行为信息的风险值包括有操作对象风险值,操作对象风险值为用户操作对象对应的风险值;
所述分别确定已识别出的各条所述操作行为信息的风险值,包括:
在包括有用户操作对象的各条操作行为信息中,分别确定各条操作行为信息中的用户操作对象;
当一个操作行为信息中的用户操作对象为系统时,确定该系统的系统名称,并在系统级别规则表中查找与该系统名称匹配的系统级别,在系统级别风险表中查找与该系统级别对应的风险值,将该操作行为信息的操作对象风险值设置为查找到的该风险值,所述系统级别规则表中对应保存有系统名称和系统级别,所述系统级别风险表中对应保存有系统级别和风险值;
当一个操作行为信息中的用户操作对象为数据库时,确定该数据库的数据库名称,并在数据库级别规则表中查找与该数据库名称匹配的数据库级别,在数据库级别风险表中查找与该数据库级别对应的风险值,将该操作行为信息的操作对象风险值设置为查找到的该风险值,所述数据库级别规则表中对应保存有数据库名称和数据库级别,所述数据库级别风险表中对应保存有数据库级别和风险值;
当一个操作行为信息中的用户操作对象为文件时,确定该文件的文件名称,并在文件类别规则表中查找与该文件名称匹配的文件类别,在文件类别风险表中查找与该文件类别对应的风险值,将该操作行为信息的操作对象风险值设置为查找到的该风险值,所述文件类别规则表中对应保存有文件名称和文件类别,所述文件类别风险表中对应保存有文件类别和风险值;
当一个操作行为信息中的用户操作对象为设备时,确定该设备的设备名称,并在设备类别规则表中查找与该设备名称匹配的设备类别,在设备类别风险表中查找与该设备类别对应的风险值,将该操作行为信息的操作对象风险值设置为查找到的该风险值,所述设备类别规则表中对应保存有设备名称和设备类别,所述设备类别风险表中对应保存有设备类别和风险值。
可选的,所述与业务运营时段的操作时间风险值为第一风险值,所述与非业务运营时段的操作时间风险值为第二风险值,所述第一风险值大于所述第二风险值。
可选的,与根账户匹配的风险值为第三风险值,与管理员账户匹配的风险值为第四风险值,与一般运维账户匹配的风险值为第五风险值,与查询账户匹配的风险值为第六风险值,所述第三风险值、所述第四风险值、所述第五风险值和所述第六风险值的数值依次减小。
可选的,当所述预设种类的操作行为信息为包括有用户操作时间、用户操作命令、用户账户类型和用户操作对象的操作行为信息时,所述预设种类的操作行为信息的风险值包括有操作时间风险值、操作命令风险值、账户类型风险值和操作对象风险值,其中,操作时间风险值为用户操作时间对应的风险值,操作命令风险值为用户操作命令对应的风险值,账户类型风险值为用户账户类型对应的风险值,操作对象风险值为用户操作对象对应的风险值,所述风险值计算模型为
Figure BDA0002793571060000041
其中,Ni为序号为i的一个操作行为记录,TR(Ni)为序号为i的操作行为记录的整体风险值,W(Ni)为序号为i的操作行为记录中的操作行为信息的操作时间风险值,n为某个操作行为记录中操作行为信息的总条数,j为某个操作行为记录中操作行为信息的条序号,Cj(Ni)为序号为i的操作行为记录中条序号为j的操作行为信息的操作命令风险值,T(Ni)序号为i的操作行为记录中操作行为信息的账户类型风险值,k为根指数,Gj(Ni)为序号为i的操作行为记录中条序号为j的操作行为信息的操作对象风险值。
可选的,所述方法还包括:
在重点审计对象出现变化时,对当前的重点审计对象对应的风险值进行调整。
一种操作行为记录的风险预估装置,包括:信息识别单元、风险值确定单元、风险值输入单元、风险值获得单元和风险预估单元,其中:
所述信息识别单元,被配置为执行:从待进行风险预估的一个操作行为记录中,识别预设种类的至少一条操作行为信息,其中,所述预设种类为具有操作风险的操作行为所对应的操作行为种类;
所述风险值确定单元,被配置为执行:分别确定已识别出的各条所述操作行为信息的风险值;
所述风险值输入单元,被配置为执行:将确定的各所述风险值输入至风险值计算模型中;
所述风险值获得单元,被配置为执行:获得所述风险值计算模型输出的所述操作行为记录的整体风险值;
所述风险预估单元,被配置为执行:根据所述整体风险值与预设风险阈值的大小关系,对所述操作行为记录进行风险预估。
本实施例提出的操作行为记录的风险预估方法及装置,可以从待进行风险预估的一个操作行为记录中,识别上述预设种类的至少一条操作行为信息,其中,上述预设种类为具有操作风险的操作行为所对应的操作行为种类,分别确定已识别出的各条操作行为信息的风险值,将确定的各风险值输入至风险值计算模型中,获得风险值计算模型输出的操作行为记录的整体风险值,根据整体风险值与预设风险阈值的大小关系,对操作行为记录进行风险预估。该方法可以对一个或多个操作行为记录的风险性自动进行相同过程的风险预估,而无需审计人员进行人为的风险预估,可以在初步筛选过程中有效避免高风险的用户操作行为的遗漏,有效避免人力资源的消耗,提高审计效率和审计准确性,并可以避免审计人员基于经验的主观判断造成的对用户操作行为的风险的预估错误,进一步提高审计准确性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1示出了本发明实施例提供的一种操作行为记录的风险预估方法的流程图;
图2示出了本发明实施例提供的另一种操作行为记录的风险预估方法的流程图;
图3示出了本发明实施例提供的另一种操作行为记录的风险预估方法的流程图;
图4示出了本发明实施例提供的另一种操作行为记录的风险预估装置的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
如图1所示,本实施例提出了一种操作行为记录的风险预估方法,该方法可以包括以下步骤:
S101、从待进行风险预估的一个操作行为记录中,识别预设种类的至少一条操作行为信息,其中,预设种类为具有操作风险的操作行为所对应的操作行为种类。
其中,一个操作行为记录可以为用户在一个会话中进行的操作行为的集合。需要说明的是,本发明可以周期性的(如每隔一小时)采集堡垒机中记录的用户操作行为,对采集到的用户操作行为进行汇总分类,将归属于同一会话ID的用户操作行为确定为一个操作行为记录。
其中,一个操作行为记录中可以包括至少一条操作行为信息,一条操作行为信息可以为用户进行某个操作行为时的相关信息。
其中,操作行为信息中可以包括用户在进行操作行为时的时间(即用户操作时间)、输入的操作命令(即用户操作命令)、所使用的账户(即用户账户)以及操作对象(即用户操作对象)等信息内容。其中,用户可以为企业的服务对象,也可以为企业内部的技术人员,本发明对此不做限定。其中,用户操作命令可以包括写入、删除、修改、重启和查询等不同类型的操作命令;用户操作对象可以为系统、设备、数据库或文件等。
需要说明的是,同一操作行为记录中的每条操作行为信息均可以设置有唯一标识符,本发明可以根据唯一标识符来对同一操作行为记录中不同的操作行为信息进行识别。
其中,当操作行为信息中包括具有操作风险的信息内容时,本发明可以将操作行为信息识别为上述预设种类的操作行为信息。可以理解的是,本发明可以由技术人员根据实际情况确定具有操作风险的信息内容的内容类型,比如,可以将上述用户操作时间、用户操作命令、用户账户和/或用户操作对象均确定为具有操作风险的信息内容。
为更好的对操作行为记录和操作行为信息进行说明,本发明提出表1所示的一条操作行为记录。如表1所示,该条操作行为记录为用户张三在ID为20190802的会话中进行的操作行为的集合,该条操作行为记录可以包括流水号(即操作行为信息在操作行为记录中的唯一标识符)分别为1234、1235、1236、1237和1238)的五条操作行为信息,每条操作行为信息中均包括用户进行操作行为时的时间(即用户操作时间)、所使用的账户和操作命令(即用户操作命令)。
表1操作行为记录
Figure BDA0002793571060000071
Figure BDA0002793571060000081
在实际应用中,本发明可以将操作行为记录中的每一条操作行为信息均确定为上述预设种类的操作行为信息,使得本发明可以对操作行为记录进行全面的风险预估,提高风险预估的准确性。
S102、分别确定已识别出的各条操作行为信息的风险值。
其中,本发明可以分别对操作行为记录中属于上述预设种类的各条操作行为信息的风险值进行确定。比如,当操作行为记录中的第一操作行为信息、第二操作行为信息和第三操作行为信息为属于上述预设种类的操作行为信息时,本发明可以对第一操作行为信息的风险值进行确定,对第二操作行为信息的风险值进行确定,以及对第三操作行为信息的风险值进行确定。
具体的,本发明在对属于上述预设种类的操作行为信息的风险值进行确定时,可以分别对操作行为信息所包含的各信息内容的风险值进行确定,并将各信息内容的风险值确定为操作行为信息的风险值。比如,本发明在确定第一操作行为信息的风险值时,如果第一操作行为信息中的信息内容包括有用户操作时间、用户操作命令、用户账户和用户操作对象时,本发明可以对其用户操作时间的风险值进行确定,对其用户操作命令的风险值进行确定,对其用户账户所属的用户账户类型的风险值进行确定,对其用户操作对象的风险值进行确定,并将已确定的用户操作时间的风险值、用户操作命令的风险值、用户账户类型的风险值和用户操作对象的风险值确定为第一操作行为信息的风险值。
需要说明的是,各信息内容的风险值可以由技术人员进行预先设置,本发明可以在确定属于上述预设种类的操作行为信息中的信息内容后,查找与信息内容对应的技术人员已预先设置的风险值,并将查找到的风险值确定为信息内容的风险值。
S103、将确定的各风险值输入至风险值计算模型中,获得风险值计算模型输出的操作行为记录的整体风险值。
其中,本发明在确定操作行为记录中属于上述预设种类的各条操作行为信息的风险值后,可以将各条操作行为信息的风险值输入至风险值计算模型中,由风险值计算模型根据各条操作行为信息的风险值计算操作行为记录的整体风险值,并获得风险值计算模型计算出的操作行为记录的整体风险值。
其中,风险值计算模型在对操作行为记录中各条操作行为信息的风险值进行计算时,可以先行通过对各条操作行为信息中相同类型的信息内容的风险值进行计算,来获得计算出的操作行为记录中各类型的信息内容的风险值,之后再根据计算出的操作行为记录中各类型的信息内容的风险值,计算操作行为记录的整体风险值。比如,对于上述表1中的操作行为记录,本发明在确定五条操作行为信息的风险值后,可以先行通过对五条操作行为信息中的用户操作时间的风险值进行计算,来获得操作行为记录中的用户操作时间的风险值,通过对五条操作行为信息中的用户账户类型的风险值进行计算,来获得操作行为记录中的用户账户类型的风险值,通过对五条操作行为信息中的用户操作命令的风险值进行计算,来获得操作行为记录中的用户操作命令的风险值,之后再根据计算出的操作行为记录中的用户操作时间的风险值、用户账户类型的风险值和用户操作命令的风险值,计算操作行为记录的整体风险值。
需要说明的是,本发明对于计算操作行为记录中某个类型的信息内容的风险值所采用的计算方式不做限定,比如,在对操作行为记录中的用户操作时间的风险值进行计算时,本发明可以对操作行为记录中各条操作行为信息中的用户操作时间的风险值进行求和计算,并将求和计算所获得的值确定为操作行为记录中的用户操作时间的风险值,另,本发明也可以对操作行为记录中各条操作行为信息中的用户操作时间的风险值进行平均值计算,将平均值计算所获得的值确定为操作行为记录中的用户操作时间的风险值,另,本发明也可以在对操作行为记录中各条操作行为信息中的用户操作时间的风险值进行求和计算后,对求和计算所获得的值再进行开平方根计算,将开平方根计算所获得的值确定为操作行为记录中的用户操作时间的风险值。
其中,对于风险值计算模型根据操作行为记录中各类型的信息内容的风险值计算操作行为记录的整体风险值所采用的计算方式,本发明也不做限定。比如,本发明在获得操作行为记录中各类型的信息内容的风险值后,可以将各类型的信息内容的风险值进行相乘,将相乘所获得的值确定为操作行为记录的整体风险值,比如,本发明在获得操作行为记录中各类型的信息内容的风险值后,可以对各类型的信息内容的风险值进行求和,将求和所获得的值确定为操作行为记录的整体风险值,再比如,本发明在获得操作行为记录中各类型的信息内容的风险值后,可以将各类型的信息内容的风险值进行相乘,将相乘所获得的值进行开平方根计算,将开平方根计算所获得的值确定为操作行为记录的整体风险值。
S104、根据整体风险值与预设风险阈值的大小关系,对操作行为记录进行风险预估。
其中,本发明可以根据操作行为记录的整体风险值和预设风险阈值的大小关系,来预估操作行为记录的风险性。需要说明的是,预设风险阈值可以由技术人员根据实际情况进行制定,本发明对此不做限定。
具体的,本发明可以通过判断操作行为记录的整体风险值是否小于预设风险阈值,来预估操作行为记录的风险性。可选的,操作行为记录的风险性可以包括高风险和低风险,本发明可以在判断操作行为记录的整体风险值小于预设风险阈值时,预估操作行为记录的风险性为低风险,本发明可以在判断操作行为记录的整体风险值不小于预设风险阈值时,预估操作行为记录的风险性为高风险。
在实际应用中,本发明可以由技术人员根据审计标准的变化来调整预设风险阈值的取值。比如,在审计标准规定整体风险值不小于50的操作行为记录为高风险的操作行为记录时,本发明可以由技术人员将预设风险阈值设置为50或者50以下的值;在审计标准规定整体风险值不小于40的操作行为记录为高风险的操作行为记录时,本可以由技术人员将预设风险阈值设置为40或者40以下的值。
需要说明的是,本发明可以同时或先后对多个操作行为记录分别进行处理,在对每个操作行为记录处理时均可以采用图1所示的方法,即对每个操作行为记录均可以执行步骤S101、S102、S103和S104。
还需要说明的是,现有技术由审计人员在对用户操作行为进行初步筛选的过程中,也会采取经随机抽样来随机抽取部分的用户操作行为,并仅对抽取出的该部分的用户操作行为进行风险预估的方式,来减少对人力资源的消耗,但是,该方式也可能会遗漏存在风险的用户操作行为。相对于现有技术采取的该方式,本发明可以采用图1所示的方法来全面的对用户操作行为进行初步筛选,避免在初步筛选过程中对高风险的用户操作行为的遗漏,可以在有效减少人力资源消耗的同时,提高审计效率和审计准确性。
本实施例提出的操作行为记录的风险预估方法,可以从待进行风险预估的一个操作行为记录中,识别上述预设种类的至少一条操作行为信息,其中,上述预设种类为具有操作风险的操作行为所对应的操作行为种类,分别确定已识别出的各条操作行为信息的风险值,将确定的各风险值输入至风险值计算模型中,获得风险值计算模型输出的操作行为记录的整体风险值,根据整体风险值与预设风险阈值的大小关系,对操作行为记录进行风险预估。该方法可以对一个或多个操作行为记录的风险性自动进行相同过程的风险预估,而无需审计人员进行人为的风险预估,可以在初步筛选过程中有效避免高风险的用户操作行为的遗漏,有效避免人力资源的消耗,提高审计效率和审计准确性,并可以避免审计人员基于经验的主观判断造成的对用户操作行为的风险的预估错误,进一步提高审计准确性。
基于图1所示的步骤,当上述预设种类的操作行为信息为包括有用户操作时间的操作行为信息时,本发明可以提出如图2所示的另一种操作行为记录的风险预估方法,该方法可以包括以下步骤:
S201、从操作行为记录中,识别包括有用户操作时间的至少一条操作行为信息,用户操作时间包括业务运营时段和非业务运营时段;其中,所述预设种类的操作行为信息的风险值可以包括有操作时间风险值,操作时间风险值可以为用户操作时间对应的风险值。
其中,本发明可以在操作行为记录中识别出包括用户操作时间的操作行为信息。需要说明的是,当操作行为记录中的操作行为信息均包括用户操作时间时,本发明可以识别出操作行为记录中的所有操作行为信息。
其中,业务运营时段为业务系统所处于的可以办理用户提出的事务,为用户提供服务的时段。比如在银行中,业务运营时段可以为银行业务系统的对外营业时段,银行业务系统在对外营业时段内可以办理用户提出的事务,为用户提供服务。
S202、在已识别出的包括有用户操作时间的各条操作行为信息中,识别出用户操作时间为业务运营时段的各条操作行为信息,识别出用户操作时间为非业务运营时段的各条操作行为信息。
其中,本发明可以在已识别出的包含有用户操作时间的各条操作行为信息中,分别识别出用户操作时间处于业务运营时段内的操作行为信息,和用户操作时间处于非业务运营时段内的操作行为信息。
S203、将用户操作时间为业务运营时段的各条操作行为信息的操作时间风险值分别设置为与业务运营时段匹配的风险值,将用户操作时间为非业务运营时段的各条操作行为信息的操作时间风险值分别设置为与非业务运营时段匹配的风险值。
具体的,对于用户操作时间为业务运营时段的操作行为信息,本发明均可以将其操作时间风险值设置为与业务运营时段对应的操作风险值;对于用户操作时间为非业务运营时段的操作行为信息,本发明均可以将其操作时间风险值设置为与非业务运营时段对应的操作风险值。
需要说明的是,上述步骤S202和S203可以为分别确定已识别出的各条操作行为信息的操作时间风险值的具体实施过程。
其中,本发明可以由技术人员根据实际情况来预先设置业务运营时段匹配的风险值和非业务运营时段匹配的风险值。
可选的,与业务运营时段的操作时间风险值为第一风险值,与非业务运营时段的操作时间风险值为第二风险值,第一风险值大于第二风险值。
在实际应用中,用户在业务运营时段进行的操作行为的风险可以比在非业务运营时段进行的操作行为的风险高,此时,本发明可以设置的上述第一风险值的值大于第二风险值的值,可以更准确的识别出相对风险更高的用户操作行为。需要说明的是,第一风险值和第二风险值的取值可以由技术人员根据实际情况进行制定,本发明对此不做限定。比如,第一风险值可以为1,第二风险值可以为0.5。
S204、将确定的各风险值输入至风险值计算模型中,获得风险值计算模型输出的操作行为记录的整体风险值。
其中,本发明在识别出操作行为记录中各条操作行为信息的操作时间风险值后,可以分别将各条操作行为信息的操作时间风险值输入至风险值计算模型中,以获得由风险值计算模型输出的操作行为记录的整体风险值。
需要说明的是,当各条操作行为信息的风险值均只包括操作时间风险值时,风险值计算模型可以仅根据各条操作行为信息的操作时间风险值来计算操作行为记录的整体风险值,即可以将计算出的操作行为记录中信息内容为用户操作时间的风险值直接确定为操作行为记录的整体风险值。
S205、根据整体风险值与预设风险阈值的大小关系,对操作行为记录进行风险预估。
可以理解的是,步骤S205与上述步骤S104一致,此处不再对步骤S205的相关内容进行赘述。
本实施例提出操作行为记录的风险预估方法,可以对包括有用户操作时间的操作行为记录的风险性进行预估,可以有效避免人力资源的消耗,提高审计效率和审计准确性。
基于图1所示的步骤,当预设种类的操作行为信息为包括有用户操作命令的操作行为信息时,本发明可以提出如图3所示的另一种操作行为记录的风险预估方法,该方法可以包括以下步骤:
S301、从操作行为记录中,识别包括有用户操作命令的至少一条操作行为信息;其中,所述预设种类的操作行为信息的风险值可以包括有操作命令风险值,所述操作命令风险值可以为用户操作命令对应的风险值。
其中,本发明可以在操作行为记录中识别出包括用户操作命令的操作行为信息。需要说明的是,当操作行为记录中的操作行为信息均包括用户操作命令时,本发明可以识别出操作行为记录中的所有操作行为信息。
S302、在已识别出的包括有用户操作命令的各条操作行为信息中,分别确定各条操作行为信息中的用户操作命令。
具体的,本发明可以在已识别出的包括有类型为用户操作命令的信息内容的各条操作行为信息中,查找并确定各条操作行为信息包含的用户操作命令。比如,对于包括有类型为用户操作命令的信息内容的第四操作行为信息和第五操作行为信息,本发明可以在第四操作行为信息中查找并确定第四操作行为信息包含的用户操作命令,在第五操作行为信息中查找并确定第五操作行为信息包含的用户操作命令。
S303、分别根据包括有用户操作命令的各条操作行为信息中的用户操作命令,在操作命令风险表中查找相应的操作命令风险值,操作命令风险表中对应保存有用户操作命令和操作命令风险值。
需要说明的是,各用户操作命令对应的操作命令风险值可以由技术人员根据实际情况进行制定,本发明对此不做限定。
可选的,由于用户操作命令可以包括写入命令、删除命令、修改命令、查询命令和重启命令等不同类型的操作命令,而不同类型的操作命令所涉及的风险可以是不同的,比如写入命令、删除命令、修改命令和重启命令所涉及的风险可以比查询命令所涉及的风险大,因此,本发明可以由技术人员根据不同类型的操作命令的风险,对不同用户操作命令对应的操作命令风险值进行设置。
为更好的说明操作命令风险表中包含的用户操作命令与操作命令风险值的对应关系,本发明提出表2所示的操作命令风险表。如表2所示,当用户操作命令为shutdown\reboot\restart(实施过程中需要重启操作系统)时,用户操作命令对应的操作命令风险值可以为4;当用户操作命令为alter\delete\insert\grant(改变系统配置操作)时,用户操作命令对应的操作命令风险值可以为2;当用户操作命令为erase starrup-config(删除路由器配置及重新加载路由器)时,用户操作命令对应的操作命令风险值可以为3;当用户操作命令为rm---f*(Linux系统删除文件)时,用户操作命令对应的操作命令风险值可以为3;当用户操作命令为copy tftp flash(恢复或升级Ciscoluyouqi IOS)时,用户操作命令对应的操作命令风险值可以为2;当用户操作命令为chmod+\chmod-(Linux系统修改文件权限)时,用户操作命令对应的操作命令风险值可以为2。
表2操作命令风险表
Figure BDA0002793571060000141
具体的,本发明在确定各条操作行为信息的用户操作命令后,可以分别根据各条操作行为信息的用户操作命令,在操作命令风险表中查找出相应的操作命令风险值。比如,对于已确定的上述第四操作行为信息和第五操作行为信息包含的用户操作命令后,本发明可以根据第四操作行为信息包含的用户操作命令在操作命令风险表中查找相应的操作命令风险值,根据第五操作行为信息包含的用户操作命令在操作命令风险表中查找相应的操作命令风险值。
S304、分别将包括有用户操作命令的各条操作行为信息的操作命令风险值设置为根据用户操作命令在操作命令风险表中查找到的相应的操作命令风险值。
具体的,在查找出某条操作信息的用户操作命令对应的操作命令风险值后,本发明可以将查找到的操作命令风险值确定为该条操作行为信息的操作命令风险值。
需要说明的是,上述步骤S302、S303和S304可以为分别确定已识别出的各条操作行为信息的操作命令风险值的具体实施过程。
S305、将确定的各风险值输入至风险值计算模型中,获得风险值计算模型输出的操作行为记录的整体风险值。
其中,本发明在识别出操作行为记录中各条操作行为信息的操作命令风险值后,可以将各条操作行为信息的操作命令风险值分别输入至风险值计算模型中,以获得由风险值计算模型输出的操作行为记录的整体风险值。
需要说明的是,当各条操作行为信息的风险值均只包括操作命令风险值时,风险值计算模型可以仅根据各条操作行为信息的操作命令风险值来计算操作行为记录的整体风险值,即可以将计算出的操作行为记录中信息内容为用户操作命令的风险值直接确定为操作行为记录的整体风险值。
S306、根据整体风险值与预设风险阈值的大小关系,对操作行为记录进行风险预估。
可以理解的是,步骤S306与上述步骤S104一致,此处不再对步骤S306的相关内容进行赘述。
需要说明的是,上述预设种类的操作行为信息可以为同时包括有用户操作时间和用户操作命令的操作行为信息,上述预设种类的操作行为信息的风险值可以同时包括有操作时间风险值和操作命令风险值。此时,本发明可以先行从操作行为记录中识别出包括有用户操作时间和用户操作命令的各条操作行为信息,之后,分别识别各条操作行为信息中的操作时间风险值和操作命令风险值,分别将各条操作行为信息的操作时间风险值和操作命令风险值输入至风险值计算模型中,以获得由风险值计算模型计算出的操作行为记录的整体风险值。比如,如果操作行为记录中的第六操作行为信息和第七操作行为信息为同时包括有操作时间风险值和操作命令风险值的操作行为信息,则本发明可以识别出第六操作行为信息的操作时间风险值和操作命令风险值,识别出第七操作行为信息的操作时间风险值和操作命令风险值,将第六操作行为信息的操作时间风险值和操作命令风险值,以及第七操作行为信息的操作时间风险值和操作命令风险值输入至风险值计算模型,以获得由风险值计算模型计算出的操作行为记录的整体风险值。
其中,当各条操作行为信息的风险值均只包括操作时间风险值和操作命令风险值时,风险值计算模型可以仅根据各条操作行为信息的操作时间风险值和操作命令风险值来计算操作行为记录的整体风险值。
本实施例提出的操作行为记录的风险预估方法,可以对包括有用户操作命令的操作行为记录的风险性进行预估,可以有效避免人力资源的消耗,提高审计效率和审计准确性。
基于图1所示的方法,当上述预设种类的操作行为信息为包括有用户账户类型的操作行为信息时,本发明可以提出另一种操作行为记录的风险预估方法,该方法可以包括以下步骤:
S401、从操作行为记录中,识别包括有用户账户类型的至少一条操作行为信息,用户账户类型包括根账户、管理员账户、一般运维账户和查询账户;其中,所述预设种类的操作行为信息的风险值可以包括有账户类型风险值,账户类型风险值可以为用户账户类型对应的风险值;
其中,用户账户类型可以为用户在进行操作行为时所使用的账户所属的类型。可以理解的是,本发明可以在识别操作行为信息中用户所使用的账户时,通过识别用户所使用的账户所属的类型,来确定操作行为信息中的用户账户类型。
其中,本发明可以在操作行为记录中识别出包括用户账户类型的操作行为信息。需要说明的是,当操作行为记录中的操作行为信息均包括用户账户类型时,本发明可以识别出操作行为记录中的所有操作行为信息。
S402、在已识别出的包括有用户账户类型的各条操作行为信息中,识别出用户账户类型为根账户的各条操作行为信息,识别出用户账户类型为管理员账户的各条操作行为信息,识别出用户账户类型为一般运维账户的各条操作行为信息,识别出用户账户类型为查询账户的各条操作行为信息;
其中,本发明可以在已识别出的包含有用户账户类型的各条操作行为信息中,分别识别出用户账户类型为根账户的操作行为信息、用户账户类型为管理员账户的操作行为信息、用户账户类型为一般运维账户的操作行为信息和用户账户类型为查询账户的操作行为信息。
S403、将用户账户类型为根账户的各条操作行为信息的账户类型风险值分别设置为与根账户匹配的风险值,将用户账户类型为管理员账户的各条操作行为信息的账户类型风险值分别设置为与管理员账户匹配的风险值,将用户账户类型为一般运维账户的各条操作行为信息的账户类型风险值分别设置为与一般运维账户匹配的风险值,将用户账户类型为查询账户的各条操作行为信息的账户类型风险值分别设置为与查询账户匹配的风险值;
具体的,对于用户账户类型为根账户的操作行为信息,本发明可以将其账户类型风险值设置为根账户对应的操作风险值;对于用户账户类型为管理员账户的操作行为信息,本发明可以将其账户类型风险值设置为管理员账户对应的操作风险值;对于用户账户类型为一般运维账户的操作行为信息,本发明可以将其账户类型风险值设置为一般运维账户对应的操作风险值;对于用户账户类型为查询账户的操作行为信息,本发明可以将其账户类型风险值设置为查询账户对应的操作风险值。
需要说明的是,各用户账户类型所对应的账户类型风险值可以由技术人员根据实际情况进行制定,本发明对此不做限定。
可选的,与根账户匹配的风险值为第三风险值,与管理员账户匹配的风险值为第四风险值,与一般运维账户匹配的风险值为第五风险值,与查询账户匹配的风险值为第六风险值,第三风险值、第四风险值、第五风险值和第六风险值的数值依次减小。
在实际应用中,由于使用账户分别为根账户、管理员账户、一般运维账户和查询账户的用户所进行的操作行为信息中,按照操作风险由高至低排序,使用账户为根账户的用户所进行的操作行为信息的风险可以为最高,其次可以是使用账户为管理员账户的用户所进行的操作行为信息,再其次可以是使用账户为一般运维账户的用户所进行的操作行为信息,最后可以是使用账户为查询账户的用户所进行的操作行为信息,因此,本发明对上述第三风险值、第四风险值、第五风险值和第六风险值所设置的数值依次减小时,比如,将第三风险值设置为2,第四风险值设置为1.5,第五风险值设置为1,第六风险值设置为0.5,可以更准确的识别出相对风险更高的操作行为信息。
需要说明的是,上述步骤S402和S403可以为分别确定已识别出的各条操作行为信息的账户类型风险值的具体实施过程。
S404、将确定的各风险值输入至风险值计算模型中,获得风险值计算模型输出的操作行为记录的整体风险值;
其中,本发明在识别出操作行为记录中各条操作行为信息的账户类型风险值后,可以分别将各条操作行为信息的账户类型风险值输入至风险值计算模型中,以获得由风险值计算模型输出的操作行为记录的整体风险值。
需要说明的是,当各条操作行为信息的风险值均只包括账户类型风险值时,风险值计算模型可以仅根据各条操作行为信息的账户类型风险值来计算操作行为记录的整体风险值,即可以将计算出的操作行为记录中信息内容为用户账户类型的风险值直接确定为操作行为记录的整体风险值。
S405、根据整体风险值与预设风险阈值的大小关系,对操作行为记录进行风险预估。
可以理解的是,步骤S405与上述步骤S104一致,此处不再对步骤S405的相关内容进行赘述。
本实施例提出的操作行为记录的风险预估方法,可以对包括有用户账户类型的操作行为记录的风险性进行预估,可以有效避免人力资源的消耗,提高审计效率和审计准确性。
基于图1所示的方法,当上述预设种类的操作行为信息为包括有用户操作对象的操作行为信息时,本发明可以提出另一种操作行为记录的风险预估方法,该方法可以包括以下步骤:
S501、从操作行为记录中,识别包括有用户操作对象的至少一条操作行为信息,用户操作对象可以包括系统、数据库、文件和设备;其中,所述预设种类的操作行为信息的风险值可以包括有操作对象风险值,操作对象风险值可以为用户操作对象对应的风险值。
可选的,本发明可以从操作行为信息所包含的用户操作命令中,识别出操作行为信息所包含的用户操作对象。
具体的,本发明可以在操作行为记录中识别出包括用户操作对象的操作行为信息。需要说明的是,当操作行为记录中的操作行为信息均包括用户操作对象时,本发明可以识别出操作行为记录中的所有操作行为信息。
S502、在包括有用户操作对象的各条操作行为信息中,分别确定各条操作行为信息中的用户操作对象。
具体的,本发明可以在已识别出的包括有类型为用户操作对象的信息内容的各条操作行为信息中,查找并确定各条操作行为信息包含的用户操作对象。
S503、当一个操作行为信息中的用户操作对象为系统时,确定该系统的系统名称,并在系统级别规则表中查找与该系统名称匹配的系统级别,在系统级别风险表中查找与该系统级别对应的风险值,将该操作行为信息的操作对象风险值设置为查找到的该风险值,系统级别规则表中对应保存有系统名称和系统级别,系统级别风险表中对应保存有系统级别和风险值;
需要说明的是,系统级别规则表和系统级别风险表可以由技术人员根据实际情况进行设置,本发明对此不做限定。
其中,为更好的对系统级别风险表中包含的系统级别和风险值的对应关系进行说明,本发明提出表3所示的系统级别风险表。如表3所示,二级系统对应的风险值可以为1,三级系统对应的风险值可以为2,四级系统对应的风险值可以为3。
表3系统级别风险表
Figure BDA0002793571060000191
S504、当一个操作行为信息中的用户操作对象为数据库时,确定该数据库的数据库名称,并在数据库级别规则表中查找与该数据库名称匹配的数据库级别,在数据库级别风险表中查找与该数据库级别对应的风险值,将该操作行为信息的操作对象风险值设置为查找到的该风险值,数据库级别规则表中对应保存有数据库名称和数据库级别,数据库级别风险表中对应保存有数据库级别和风险值;
需要说明的是,数据库级别规则表和数据库级别风险表可以由技术人员根据实际情况进行设置,本发明对此不做限定。
其中,为更好的对数据库级别风险表中包含的数据库级别和风险值的对应关系进行说明,本发明提出表4所示的数据库级别风险表。如表4所示,二级数据库对应的风险值可以为1,三级数据库对应的风险值可以为2,四数据库对应的风险值可以为3。
表4数据库级别风险表
Figure BDA0002793571060000192
S505、当一个操作行为信息中的用户操作对象为文件时,确定该文件的文件名称,并在文件类别规则表中查找与该文件名称匹配的文件类别,在文件类别风险表中查找与该文件类别对应的风险值,将该操作行为信息的操作对象风险值设置为查找到的该风险值,文件类别规则表中对应保存有文件名称和文件类别,文件类别风险表中对应保存有文件类别和风险值;
需要说明的是,文件类别规则表和文件类别风险表可以由技术人员根据实际情况进行设置,本发明对此不做限定。
其中,为更好的对文件类别风险表中包含的文件类别和风险值的对应关系进行说明,本发明提出表5所示的文件类别风险表。如表5所示,普通文件对应的风险值可以为1,目录文件对应的风险值可以为2,链接文件对应的风险值可以为0.5,字符设备文件对应的风险值可以为0.5,块设备文件对应的风险值可以为0.5。
表5文件类别风险表
Figure BDA0002793571060000201
S506、当一个操作行为信息中的用户操作对象为设备时,确定该设备的设备名称,并在设备类别规则表中查找与该设备名称匹配的设备类别,在设备类别风险表中查找与该设备类别对应的风险值,将该操作行为信息的操作对象风险值设置为查找到的该风险值,设备类别规则表中对应保存有设备名称和设备类别,设备类别风险表中对应保存有设备类别和风险值。
需要说明的是,设备类别规则表和设备类别风险表可以由技术人员根据实际情况进行设置,本发明对此不做限定。
其中,为更好的对设备类别风险表中包含的设备类别和风险值的对应关系进行说明,本发明提出表6所示的设备类别风险表。如表6所示,存储设备对应的风险值可以为1,应用服务器对应的风险值可以为2,数据库服务器对应的风险值可以为2,网络设备对应的风险值可以为2,安全设备对应的风险值可以为2。
表6设备类别风险表
Figure BDA0002793571060000202
S507、将确定的各风险值输入至风险值计算模型中,获得风险值计算模型输出的操作行为记录的整体风险值;
其中,本发明在识别出操作行为记录中各条操作行为信息的操作对象风险值后,可以将各条操作行为信息的操作对象风险值分别输入至风险值计算模型中,以获得由风险值计算模型输出的操作行为记录的整体风险值。
需要说明的是,当各条操作行为信息的风险值均只包括操作对象风险值时,风险值计算模型可以仅根据各条操作行为信息的操作对象风险值来计算操作行为记录的整体风险值,即可以将计算出的操作行为记录中信息内容为用户操作对象的风险值直接确定为操作行为记录的整体风险值。
S508、根据整体风险值与预设风险阈值的大小关系,对操作行为记录进行风险预估
可以理解的是,步骤S508与上述步骤S104一致,此处不再对步骤S508的相关内容进行赘述。
需要说明的是,上述预设种类的操作行为信息可以为同时包括有用户账户类型和用户操作对象的操作行为信息,上述预设种类的操作行为信息的风险值可以同时包括有账户类型风险值和操作对象风险值。此时,本发明可以先行从操作行为记录中识别出包括有用户账户类型和用户操作对象的各条操作行为信息,之后,分别识别各条操作行为信息中的账户类型风险值和操作对象风险值,分别将各条操作行为信息的账户类型风险值和操作对象风险值输入至风险值计算模型中,以获得由风险值计算模型计算出的操作行为记录的整体风险值。
其中,当各条操作行为信息的风险值均只包括账户类型风险值和操作对象风险值时,风险值计算模型可以仅根据各条操作行为信息的账户类型风险值和操作对象风险值来计算操作行为记录的整体风险值。
本实施例提出的操作行为记录的风险预估方法,可以对包括有用户操作对象的操作行为记录的风险性进行预估,可以有效避免人力资源的消耗,提高审计效率和审计准确性。
基于图1所示的方法,本发明可以提出另一种操作行为记录的风险预估方法。在该方法中,预设种类的操作行为信息为包括有用户操作时间、用户操作命令、用户账户类型和用户操作对象中至少一种信息内容的操作行为信息,上述预设种类的操作行为信息的风险值包括有操作时间风险值、操作命令风险值、账户类型风险值和操作对象风险值中的至少一种,其中,操作时间风险值为用户操作时间对应的风险值,操作命令风险值为用户操作命令对应的风险值,账户类型风险值为用户账户类型对应的风险值,操作对象风险值为用户操作对象对应的风险值。
其中,当上述预设种类的操作行为信息为包括有用户操作时间、用户操作命令、用户账户类型和用户操作对象的操作行为信息时,风险值计算模型可以为
Figure BDA0002793571060000211
其中,Ni为序号为i的一个操作行为记录,TR(Ni)为序号为i的操作行为记录的整体风险值,W(Ni)为序号为i的操作行为记录中的操作行为信息的操作时间风险值,n为某个操作行为记录中操作行为信息的总数,j为某个操作行为记录中操作行为信息的行号,Cj(Ni)为序号为i的操作行为记录中行号为j的操作行为信息的操作命令风险值,T(Ni)序号为i的操作行为记录中操作行为信息的账户类型风险值,k为根指数,Gj(Ni)为序号为i的操作行为记录中行号为j的操作行为信息的操作对象风险值。
具体的,本发明可以在操作行为记录中识别出属于上述预设种类的操作行为信息,从识别出的各操作行为信息中确定出各操作行为信息的操作时间风险值、操作命令风险值、账户类型风险值和操作对象风险值,之后将识别出的各操作行为信息的操作时间风险值、操作命令风险值、账户类型风险值和操作对象风险值输入至风险值计算模型中,以获得风险值计算模型输出的操作行为记录的整体风险值。
在实际应用中,一个操作行为记录可以是一个用户使用同一个账户在某次登录系统的时间段内所进行的操作行为的集合。此时,操作行为记录中的用户和用户所使用的账户可以是不变的,操作行为记录中用户在进行操作行为时所处的时间段也可以是相同的,比如均处于业务运营时段。相应的,操作行为记录中各条操作行为信息的用户账户类型可以是相同的,各条操作行为信息的账户类型风险值可以是相同的,操作行为记录中各条操作行为信息的用户操作时间可以是相同的,各条操作行为信息的操作时间风险值可以是相同的。因此,本发明可以将操作行为记录中某一条操作行为信息的操作时间风险值确定为操作行为记录的操作时间风险值,可以将操作行为记录中某一条操作行为信息的账户类型风险值确定为操作行为记录的账户类型风险值,即上述公式(1)中的W(Ni)可以是操作行为记录中某一条操作行为信息的操作时间风险值,上述公式(1)中的T(Ni)可以是操作行为记录中某一条操作行为信息的账户类型风险值。
需要说明的是,风险值计算模型计算出的操作行为记录的操作对象风险值可以是较大的,甚至可以远大于操作行为记录的其它风险值。为避免各类风险值之间差异过大导致的对风险预估的负面影响,本发明可以对操作行为记录的操作对象风险值进行转换,比如,在上述公式(1)中对操作行为记录的操作对象风险值进行根指数为k的开根号计算。
本实施例提出的操作行为记录的风险预估方法,可以通过上述公式(1)来计算操作行为记录的整体风险值,以进行对操作行为记录的风险性的预估,避免人力资源的消耗及提高审计效率和审计准确性。
基于图1所示的方法,本发明可以提出另一种操作行为记录的风险预估方法,该方法还可以包括以下步骤:
S105、在重点审计对象出现变化时,对当前的重点审计对象对应的风险值进行调整。
其中,重点审计对象可以为重点审计的信息内容。重点审计对象可以由技术人员根据审计标准进行设置,比如,当审计的侧重点为“是否有人违规修改linux系统的文件权限”时,技术人员可以将重点审计对象设置为“违规修改linux系统的文件权限”。
具体的,本发明可以通过对重点审计对象对应的风险值进行调整,提高重点审计对象在风险值计算模型中的风险值权重,比如适当增大重点审计对象对应的风险值,使得操作行为记录在包括重点审计对象时,本发明可以将其识别为高风险的操作行为记录,从而提高对高风险的操作行为记录的识别准确性。
还需要说明的是,本发明可以根据不同的审计需求,对相应信息内容对应的风险值进行调整,优化筛选策略和实现对包含特定信息内容的操作行为记录的筛选。
本实施例提出的操作行为记录的风险预估方法,可以根据不同的审计需求,对相应信息内容对应的风险值进行调整,实现对包含特定信息内容的操作行为记录的筛选,增强对高风险的操作行为记录进行筛选的针对性。
基于图1所示的方法,本实施例提出一种操作行为记录的风险预估装置,如图4所示,该装置可以包括:信息识别单元、风险值确定单元、风险值输入单元、风险值获得单元和风险预估单元,其中:
所述信息识别单元,被配置为执行:从待进行风险预估的一个操作行为记录中,识别预设种类的至少一条操作行为信息,其中,所述预设种类为具有操作风险的操作行为所对应的操作行为种类。
其中,一个操作行为记录可以为用户在一个会话中进行的操作行为的集合。需要说明的是,本发明可以周期性的采集堡垒机中记录的用户操作行为,对采集到的用户操作行为进行汇总分类,将归属于同一会话ID的用户操作行为确定为一个操作行为记录。
其中,一个操作行为记录中可以包括至少一条操作行为信息,一条操作行为信息可以为用户进行某个操作行为时的相关信息。
其中,操作行为信息中可以包括用户在进行操作行为时的时间(即用户操作时间)、输入的操作命令(即用户操作命令)、所使用的账户(即用户账户)以及操作对象(即用户操作对象)等信息内容。其中,用户可以为企业的服务对象,也可以为企业内部的技术人员,本发明对此不做限定。其中,用户操作命令可以包括写入、删除、修改、重启和查询等不同类型的操作命令;用户操作对象可以为系统、设备、数据库或文件等。
需要说明的是,同一操作行为记录中的每条操作行为信息均可以设置有唯一标识符,本发明可以根据唯一标识符来对同一操作行为记录中不同的操作行为信息进行识别。
其中,当操作行为信息中包括具有操作风险的信息内容时,本发明可以将操作行为信息识别为上述预设种类的操作行为信息。可以理解的是,本发明可以由技术人员根据实际情况确定具有操作风险的信息内容的内容类型,比如,可以将上述用户操作时间、用户操作命令、用户账户和/或用户操作对象均确定为具有操作风险的信息内容。
在实际应用中,本发明可以将操作行为记录中的每一条操作行为信息均确定为上述预设种类的操作行为信息,使得本发明可以对操作行为记录进行全面的风险预估,提高风险预估的准确性。
所述风险值确定单元,被配置为执行:分别确定已识别出的各条所述操作行为信息的风险值。
其中,本发明可以分别对操作行为记录中属于上述预设种类的各条操作行为信息的风险值进行确定。
具体的,本发明在对属于上述预设种类的操作行为信息的风险值进行确定时,可以分别对操作行为信息所包含的各信息内容的风险值进行确定,并将各信息内容的风险值确定为操作行为信息的风险值。
需要说明的是,各信息内容的风险值可以由技术人员进行预先设置,本发明可以在确定属于上述预设种类的操作行为信息中的信息内容后,查找与信息内容对应的技术人员已预先设置的风险值,并将查找到的风险值确定为信息内容的风险值。
所述风险值输入单元,被配置为执行:将确定的各所述风险值输入至风险值计算模型中。
所述风险值获得单元,被配置为执行:获得所述风险值计算模型输出的所述操作行为记录的整体风险值;
其中,本发明在确定操作行为记录中属于上述预设种类的各条操作行为信息的风险值后,可以将各条操作行为信息的风险值输入至风险值计算模型中,由风险值计算模型根据各条操作行为信息的风险值计算操作行为记录的整体风险值,并获得风险值计算模型计算出的操作行为记录的整体风险值。
其中,风险值计算模型在对操作行为记录中各条操作行为信息的风险值进行计算时,可以先行通过对各条操作行为信息中相同类型的信息内容的风险值进行计算,来获得计算出的操作行为记录中各类型的信息内容的风险值,之后再根据计算出的操作行为记录中各类型的信息内容的风险值,计算操作行为记录的整体风险值。
需要说明的是,本发明对于计算操作行为记录中某个类型的信息内容的风险值所采用的计算方式不做限定。
其中,对于风险值计算模型根据操作行为记录中各类型的信息内容的风险值计算操作行为记录的整体风险值所采用的计算方式,本发明也不做限定。
所述风险预估单元,被配置为执行:根据所述整体风险值与预设风险阈值的大小关系,对所述操作行为记录进行风险预估。
其中,本发明可以根据操作行为记录的整体风险值和预设风险阈值的大小关系,来预估操作行为记录的风险性。需要说明的是,预设风险阈值可以由技术人员根据实际情况进行制定,本发明对此不做限定。
具体的,本发明可以通过判断操作行为记录的整体风险值是否小于预设风险阈值,来预估操作行为记录的风险性。可选的,操作行为记录的风险性可以包括高风险和低风险,本发明可以在判断操作行为记录的整体风险值小于预设风险阈值时,预估操作行为记录的风险性为低风险,本发明可以在判断操作行为记录的整体风险值不小于预设风险阈值时,预估操作行为记录的风险性为高风险。
在实际应用中,本发明可以由技术人员根据审计标准的变化来调整预设风险阈值的取值。
本实施例提出的操作行为记录的风险预估装置,可以对一个或多个操作行为记录的风险性自动进行相同过程的风险预估,而无需审计人员进行人为的风险预估,可以在初步筛选过程中有效避免高风险的用户操作行为的遗漏,有效避免人力资源的消耗,提高审计效率和审计准确性,并可以避免审计人员基于经验的主观判断造成的对用户操作行为的风险的预估错误,进一步提高审计准确性。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种操作行为记录的风险预估方法,其特征在于,包括:
从待进行风险预估的一个操作行为记录中,识别预设种类的至少一条操作行为信息,其中,所述预设种类为具有操作风险的操作行为所对应的操作行为种类;
分别确定已识别出的各条所述操作行为信息的风险值;
将确定的各所述风险值输入至风险值计算模型中,获得所述风险值计算模型输出的所述操作行为记录的整体风险值;
根据所述整体风险值与预设风险阈值的大小关系,对所述操作行为记录进行风险预估。
2.根据权利要求1所述的方法,其特征在于,当所述预设种类的操作行为信息为包括有用户操作时间的操作行为信息时,所述从待进行风险预估的一个操作行为记录中,识别预设种类的至少一条操作行为信息,包括:
从所述操作行为记录中,识别包括有用户操作时间的至少一条操作行为信息,所述用户操作时间包括业务运营时段和非业务运营时段;其中,所述预设种类的操作行为信息的风险值包括有操作时间风险值,操作时间风险值为用户操作时间对应的风险值;
所述分别确定已识别出的各条所述操作行为信息的风险值,包括:
在已识别出的包括有用户操作时间的各条操作行为信息中,识别出用户操作时间为业务运营时段的各条操作行为信息,识别出用户操作时间为非业务运营时段的各条操作行为信息;将用户操作时间为业务运营时段的各条操作行为信息的操作时间风险值分别设置为与业务运营时段匹配的风险值,将用户操作时间为非业务运营时段的各条操作行为信息的操作时间风险值分别设置为与非业务运营时段匹配的风险值。
3.根据权利要求1所述的方法,其特征在于,当所述预设种类的操作行为信息为包括有用户操作命令的操作行为信息时,所述从待进行风险预估的一个操作行为记录中,识别预设种类的至少一条操作行为信息,包括:
从所述操作行为记录中,识别包括有用户操作命令的至少一条操作行为信息;其中,所述预设种类的操作行为信息的风险值包括有操作命令风险值,所述操作命令风险值为用户操作命令对应的风险值;
所述分别确定已识别出的各条所述操作行为信息的风险值,包括:
在已识别出的包括有用户操作命令的各条操作行为信息中,分别确定各条操作行为信息中的用户操作命令;分别根据包括有用户操作命令的各条操作行为信息中的用户操作命令,在操作命令风险表中查找相应的操作命令风险值,所述操作命令风险表中对应保存有用户操作命令和操作命令风险值;分别将包括有用户操作命令的各条操作行为信息的操作命令风险值设置为根据用户操作命令在所述操作命令风险表中查找到的相应的操作命令风险值。
4.根据权利要求1所述的方法,其特征在于,当所述预设种类的操作行为信息为包括有用户账户类型的操作行为信息时,所述从待进行风险预估的一个操作行为记录中,识别预设种类的至少一条操作行为信息,包括:
从所述操作行为记录中,识别包括有用户账户类型的至少一条操作行为信息,所述用户账户类型包括根账户、管理员账户、一般运维账户和查询账户;其中,所述预设种类的操作行为信息的风险值包括有账户类型风险值,账户类型风险值为用户账户类型对应的风险值;
所述分别确定已识别出的各条所述操作行为信息的风险值,包括:
在已识别出的包括有用户账户类型的各条操作行为信息中,识别出用户账户类型为根账户的各条操作行为信息,识别出用户账户类型为管理员账户的各条操作行为信息,识别出用户账户类型为一般运维账户的各条操作行为信息,识别出用户账户类型为查询账户的各条操作行为信息;
将用户账户类型为根账户的各条操作行为信息的账户类型风险值分别设置为与根账户匹配的风险值,将用户账户类型为管理员账户的各条操作行为信息的账户类型风险值分别设置为与管理员账户匹配的风险值,将用户账户类型为一般运维账户的各条操作行为信息的账户类型风险值分别设置为与一般运维账户匹配的风险值,将用户账户类型为查询账户的各条操作行为信息的账户类型风险值分别设置为与查询账户匹配的风险值。
5.根据权利要求1所述的方法,其特征在于,当所述预设种类的操作行为信息为包括有用户操作对象的操作行为信息时,所述从待进行风险预估的一个操作行为记录中,识别预设种类的至少一条操作行为信息,包括:
从所述操作行为记录中,识别包括有用户操作对象的至少一条操作行为信息,所述用户操作对象包括系统、数据库、文件和设备;其中,所述预设种类的操作行为信息的风险值包括有操作对象风险值,操作对象风险值为用户操作对象对应的风险值;
所述分别确定已识别出的各条所述操作行为信息的风险值,包括:
在包括有用户操作对象的各条操作行为信息中,分别确定各条操作行为信息中的用户操作对象;
当一个操作行为信息中的用户操作对象为系统时,确定该系统的系统名称,并在系统级别规则表中查找与该系统名称匹配的系统级别,在系统级别风险表中查找与该系统级别对应的风险值,将该操作行为信息的操作对象风险值设置为查找到的该风险值,所述系统级别规则表中对应保存有系统名称和系统级别,所述系统级别风险表中对应保存有系统级别和风险值;
当一个操作行为信息中的用户操作对象为数据库时,确定该数据库的数据库名称,并在数据库级别规则表中查找与该数据库名称匹配的数据库级别,在数据库级别风险表中查找与该数据库级别对应的风险值,将该操作行为信息的操作对象风险值设置为查找到的该风险值,所述数据库级别规则表中对应保存有数据库名称和数据库级别,所述数据库级别风险表中对应保存有数据库级别和风险值;
当一个操作行为信息中的用户操作对象为文件时,确定该文件的文件名称,并在文件类别规则表中查找与该文件名称匹配的文件类别,在文件类别风险表中查找与该文件类别对应的风险值,将该操作行为信息的操作对象风险值设置为查找到的该风险值,所述文件类别规则表中对应保存有文件名称和文件类别,所述文件类别风险表中对应保存有文件类别和风险值;
当一个操作行为信息中的用户操作对象为设备时,确定该设备的设备名称,并在设备类别规则表中查找与该设备名称匹配的设备类别,在设备类别风险表中查找与该设备类别对应的风险值,将该操作行为信息的操作对象风险值设置为查找到的该风险值,所述设备类别规则表中对应保存有设备名称和设备类别,所述设备类别风险表中对应保存有设备类别和风险值。
6.根据权利要求2所述的方法,其特征在于,所述与业务运营时段的操作时间风险值为第一风险值,所述与非业务运营时段的操作时间风险值为第二风险值,所述第一风险值大于所述第二风险值。
7.根据权利要求4所述的方法,其特征在于,与根账户匹配的风险值为第三风险值,与管理员账户匹配的风险值为第四风险值,与一般运维账户匹配的风险值为第五风险值,与查询账户匹配的风险值为第六风险值,所述第三风险值、所述第四风险值、所述第五风险值和所述第六风险值的数值依次减小。
8.根据权利要求1所述的方法,其特征在于,当所述预设种类的操作行为信息为包括有用户操作时间、用户操作命令、用户账户类型和用户操作对象的操作行为信息时,所述预设种类的操作行为信息的风险值包括有操作时间风险值、操作命令风险值、账户类型风险值和操作对象风险值,其中,操作时间风险值为用户操作时间对应的风险值,操作命令风险值为用户操作命令对应的风险值,账户类型风险值为用户账户类型对应的风险值,操作对象风险值为用户操作对象对应的风险值,所述风险值计算模型为
Figure FDA0002793571050000041
其中,Ni为序号为i的一个操作行为记录,TR(Ni)为序号为i的操作行为记录的整体风险值,W(Ni)为序号为i的操作行为记录中的操作行为信息的操作时间风险值,n为某个操作行为记录中操作行为信息的总条数,j为某个操作行为记录中操作行为信息的条序号,Cj(Ni)为序号为i的操作行为记录中条序号为j的操作行为信息的操作命令风险值,T(Ni)序号为i的操作行为记录中操作行为信息的账户类型风险值,k为根指数,Gj(Ni)为序号为i的操作行为记录中条序号为j的操作行为信息的操作对象风险值。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在重点审计对象出现变化时,对当前的重点审计对象对应的风险值进行调整。
10.一种操作行为记录的风险预估装置,其特征在于,包括:信息识别单元、风险值确定单元、风险值输入单元、风险值获得单元和风险预估单元,其中:
所述信息识别单元,被配置为执行:从待进行风险预估的一个操作行为记录中,识别预设种类的至少一条操作行为信息,其中,所述预设种类为具有操作风险的操作行为所对应的操作行为种类;
所述风险值确定单元,被配置为执行:分别确定已识别出的各条所述操作行为信息的风险值;
所述风险值输入单元,被配置为执行:将确定的各所述风险值输入至风险值计算模型中;
所述风险值获得单元,被配置为执行:获得所述风险值计算模型输出的所述操作行为记录的整体风险值;
所述风险预估单元,被配置为执行:根据所述整体风险值与预设风险阈值的大小关系,对所述操作行为记录进行风险预估。
CN202011323287.3A 2020-11-23 2020-11-23 一种操作行为记录的风险预估方法及装置 Pending CN112288329A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011323287.3A CN112288329A (zh) 2020-11-23 2020-11-23 一种操作行为记录的风险预估方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011323287.3A CN112288329A (zh) 2020-11-23 2020-11-23 一种操作行为记录的风险预估方法及装置

Publications (1)

Publication Number Publication Date
CN112288329A true CN112288329A (zh) 2021-01-29

Family

ID=74425107

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011323287.3A Pending CN112288329A (zh) 2020-11-23 2020-11-23 一种操作行为记录的风险预估方法及装置

Country Status (1)

Country Link
CN (1) CN112288329A (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140324519A1 (en) * 2013-04-25 2014-10-30 Bank Of America Corporation Operational Risk Decision-Making Framework
CN106067088A (zh) * 2016-05-30 2016-11-02 中国邮政储蓄银行股份有限公司 电子银行访问行为的检测方法和装置
US9798883B1 (en) * 2014-10-06 2017-10-24 Exabeam, Inc. System, method, and computer program product for detecting and assessing security risks in a network
CN109344613A (zh) * 2018-10-09 2019-02-15 北京北信源信息安全技术有限公司 应用系统操作人员行为审计预警方法及系统
CN110515975A (zh) * 2019-07-17 2019-11-29 阿里巴巴集团控股有限公司 风险检测系统、方法以及装置
CN111046382A (zh) * 2019-12-30 2020-04-21 武汉英迈信息科技有限公司 数据库审计方法、设备、存储介质及装置
CN111181757A (zh) * 2019-07-26 2020-05-19 腾讯科技(深圳)有限公司 信息安全风险预测方法、装置以及计算设备、存储介质
JP2020119493A (ja) * 2019-01-22 2020-08-06 株式会社日立製作所 業務支援システム、および業務支援方法
CN111950829A (zh) * 2019-05-17 2020-11-17 泰康保险集团股份有限公司 风险对象定位方法、装置、计算机存储介质和电子设备

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140324519A1 (en) * 2013-04-25 2014-10-30 Bank Of America Corporation Operational Risk Decision-Making Framework
US9798883B1 (en) * 2014-10-06 2017-10-24 Exabeam, Inc. System, method, and computer program product for detecting and assessing security risks in a network
CN106067088A (zh) * 2016-05-30 2016-11-02 中国邮政储蓄银行股份有限公司 电子银行访问行为的检测方法和装置
CN109344613A (zh) * 2018-10-09 2019-02-15 北京北信源信息安全技术有限公司 应用系统操作人员行为审计预警方法及系统
JP2020119493A (ja) * 2019-01-22 2020-08-06 株式会社日立製作所 業務支援システム、および業務支援方法
CN111950829A (zh) * 2019-05-17 2020-11-17 泰康保险集团股份有限公司 风险对象定位方法、装置、计算机存储介质和电子设备
CN110515975A (zh) * 2019-07-17 2019-11-29 阿里巴巴集团控股有限公司 风险检测系统、方法以及装置
CN111181757A (zh) * 2019-07-26 2020-05-19 腾讯科技(深圳)有限公司 信息安全风险预测方法、装置以及计算设备、存储介质
CN111046382A (zh) * 2019-12-30 2020-04-21 武汉英迈信息科技有限公司 数据库审计方法、设备、存储介质及装置

Similar Documents

Publication Publication Date Title
CN111737101B (zh) 基于大数据的用户行为监测方法、装置、设备及介质
CN106708738B (zh) 一种软件测试缺陷预测方法及系统
CN110088744A (zh) 一种数据库维护方法及其系统
CN109039710B (zh) 路由数据稽核方法、装置、服务器及存储介质
CN113420026B (zh) 数据库表结构变更方法、装置、设备及存储介质
CN113590556A (zh) 一种基于数据库的日志处理方法、装置及设备
CN106575254A (zh) 日志分析装置、日志分析系统、日志分析方法以及计算机程序
CN112749167A (zh) 确定断链数据的方法、装置及非易失性存储介质
CN115719283A (zh) 一种智能化会计管理系统
CN114356712A (zh) 数据处理方法、装置、设备、可读存储介质及程序产品
JP7470235B2 (ja) 語彙抽出支援システムおよび語彙抽出支援方法
CN112966897A (zh) 一种基于维修平台的多维度数据分析方法
CN112365269A (zh) 风险检测方法、装置、设备以及存储介质
CN112288329A (zh) 一种操作行为记录的风险预估方法及装置
CN116739408A (zh) 基于数据标签的电网调度安全监控方法、系统及电子设备
CN115187122A (zh) 一种企业政策推演方法、装置、设备及介质
CN117135038A (zh) 网络故障监测方法、装置及电子设备
CN114721945A (zh) 基于图数据库的分配方法及其装置、电子设备及存储介质
CN111240873A (zh) 一种代码错误记录管理方法和装置
CN111352818A (zh) 应用程序性能分析方法、装置、存储介质及电子设备
CN108764607A (zh) 用户月数据复检方法、装置、设备及存储介质
CN110727538A (zh) 一种基于模型命中概率分布的故障定位系统及方法
CN118276933B (zh) 软件兼容性问题的处理方法、装置、设备和介质
CN109992475A (zh) 一种日志的处理方法、服务器及存储介质
CN117290889B (zh) 一种基于区块链实现电子劳务合同的安全存储方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination