CN113282474A - 基于堡垒机的用户行为监控方法、系统、设备及介质 - Google Patents

Abstract

本发明属于数据安全审计技术领域，特别适用于日志管理的可视化监控。针对运维、DBA等特权人员访问系统只有历史记录，审计需要人员定期登录并查看而导致异常报警不及时、运维困难不灵活、人力消耗过多等缺陷，提供了基于堡垒机的用户行为监控方法、系统、设备及介质，旨在解决如何基于部署的堡垒机实时数据流的支持，通过结合用户行为习惯的预设判断规则而对监控的用户行为进行是否异常的分析预测的技术问题，以便及时发现敏感操作、减少人力投入进而避免误报，能灵活多变地实现规则和数据分析结合。

Description

基于堡垒机的用户行为监控方法、系统、设备及介质

技术领域

本发明属于数据安全审计技术领域，特别适用于日志管理的可视化监控，更具体的是涉及基于堡垒机的用户行为监控方法、系统、设备及介质。

背景技术

现有技术中，运维、DBA等特权人员访问系统只有历史记录，审计往往需要人员定期登录并查看。而随着数据安全审计的需求、越来越多的海量数据的处理分析需求等等，现有的方式已经不能满足有效发现处理安全问题，无法实时监控发现有问题的用户行为从而无法及时避免线上数据安全隐患导致的线上包括但不限于经济损失、隐私信息泄漏等危害和事故。

因而，需要改进现有的监控方式，构建特定的能够结合自身需求又能及时发现在线安全隐患的监控技术。

发明内容

(一)要解决的技术问题

本发明旨在解决了如何结合工作习惯与运维堡垒机系统，规则化定制监控管理的技术问题；进一步，解决了如何基于部署的堡垒机实时数据流的支持，通过结合用户日常行为习惯与堡垒机日志管理相结合，预设判断规则而对监控的用户行为进行是否异常的分析预测的技术问题，以更准确及时发现敏感操作和安全隐患、及时报警避免安全危害和损失、并减少人力投入以及避免误报，从而能灵活多变地实现规则和数据分析结合而相互辅助。

(二)技术方案

为解决上述技术问题，本发明的一方面提出一种基于堡垒机的用户行为监控方法，包括：预设判断用户行为是否异常的规则；根据所述规则对基于堡垒机日志监控的当前用户行为进行分析，预测所述用户行为是否异常。

根据本发明的优选实施方式，预设判断用户行为是否异常的规则，具体包括：结合用户在应用场景下的行为习惯预设所述规则；其中，所述行为习惯包括用户的行为所在时间段、和/或行为中的操作频次。

根据本发明的优选实施方式，预设判断用户行为是否异常的规则，具体包括：设置敏感操作；所述敏感操作包括存在下列一个条件或多个条件的组合：处于敏感时间段、用户行为的时间长度超过一预设时间阈值、业务操作频次符合一预设条件、业务操作的历史记录状态发生变化、敏感指令、工作状态发生变化、业务操作设备与业务人员不匹配、特定脚本被执行；如果用户行为存在一个或多个所述敏感操作，则预测所述用户行为异常、和/或所述用户行为对应的用户为敏感用户。

根据本发明的优选实施方式，根据所述规则对基于堡垒机日志监控的当前用户行为进行分析，预测所述用户行为是否异常，具体包括：通过部署的所述堡垒机进行扫描或侦听，以监控用户行为；根据所述堡垒机提供的实时数据流中的日志，获取当前用户行为；根据所述规则分析当前所述用户行为中是否存在敏感操作。

根据本发明的优选实施方式，根据所述规则分析当前所述用户行为中是否存在敏感操作，具体包括：结合用户在应用场景下的行为习惯，通过有监督学习和/或无监督学习方式，根据所述规则对当前所述用户行为中是否存在敏感操作进行分析，以预测当前所述用户行为是否异常。

根据本发明的优选实施方式，所述有监督学习采用逻辑回归算法，所述无监督学习采用聚类算法；先通过有监督学习进行分析后再通过无监督学习进行分析；分析结果反馈到所述堡垒机。

根据本发明的优选实施方式，还包括：当预测当前用户行为异常时，进行报警处理。

根据本发明的优选实施方式，当预测当前用户行为异常时，进行报警处理，具体包括：如果当前用户行为被预测为异常，则进行一次报警、进行人工审计以及标记当前用户行为对应的用户为敏感用户；当人工审计确定该敏感用户是进行了敏感操作，反馈到所述堡垒机，由堡垒机对监控的所述敏感用户的账户降权、永久封禁、和/或所述敏感用户操作过的服务器进行排查；和/或，当人工审计确定该敏感用户并非进行敏感操作，人工审核和/或调整所述规则。

为解决上述技术问题，本发明的二方面提出一种基于堡垒机的用户行为监控方法，包括：规则模块，用于预设判断用户行为是否异常的规则；分析模块，用于根据所述规则对基于堡垒机日志监控的当前用户行为进行分析，预测所述用户行为是否异常；和/或，处理模块，用于当预测当前用户行为异常时，进行报警处理。

根据本发明的优选实施方式，规则模块具体包括：结合用户在应用场景下的行为习惯预设所述规则；其中，所述行为习惯包括用户的行为所在时间段、和/或行为中的操作频次。

根据本发明的优选实施方式，规则模块具体包括：设置敏感操作；所述敏感操作包括存在下列一个条件或多个条件的组合：处于敏感时间段、用户行为的时间长度超过一预设时间阈值、业务操作频次符合一预设条件、业务操作的历史记录状态发生变化、敏感指令、工作状态发生变化、业务操作设备与业务人员不匹配、特定脚本被执行；如果用户行为存在一个或多个所述敏感操作，则预测所述用户行为异常、和/或所述用户行为对应的用户为敏感用户。

根据本发明的优选实施方式，分析模块具体包括：通过部署的所述堡垒机进行扫描或侦听，以监控用户行为；根据所述堡垒机提供的实时数据流中的日志，获取当前用户行为；根据所述规则分析当前所述用户行为中是否存在敏感操作。

根据本发明的优选实施方式，分析模块具体还包括：结合用户在应用场景下的行为习惯，通过有监督学习和/或无监督学习方式，根据所述规则对当前所述用户行为中是否存在敏感操作进行分析，以预测当前所述用户行为是否异常。

根据本发明的优选实施方式，所述有监督学习采用逻辑回归算法，所述无监督学习采用聚类算法；先通过有监督学习进行分析后再通过无监督学习进行分析；分析结果反馈到所述堡垒机。

根据本发明的优选实施方式，处理模块具体包括：如果当前用户行为被预测为异常，则进行一次报警、进行人工审计以及标记当前用户行为对应的用户为敏感用户；当人工审计确定该敏感用户是进行了敏感操作，反馈到所述堡垒机，由堡垒机对监控的所述敏感用户的账户降权、永久封禁、和/或所述敏感用户操作过的服务器进行排查；和/或，当人工审计确定该敏感用户并非进行敏感操作，人工审核和/或调整所述规则。

本发明第三方面提出一种电子设备，包括处理器和存储器，所述存储器用于存储计算机可执行程序，当所述计算机程序被所述处理器执行时，所述处理器执行所述第一方面的方法。

本发明第四方面还提出一种计算机可读存储介质，存储有计算机可执行程序，所述计算机可执行程序被执行时，实现所述第一方面的方法。

(三)有益效果

本发明通过预设与用户行为习惯有关的规则、尤其是通过分析与实际应用场景的业务操作密切相关的日常行为习惯来预设判断用户行为是否异常的判断规则，能有效结合部署的堡垒机系统提供监控的实时数据流，分析日志中用户行为是否有敏感操作或者说是否为异常行为，实现了动态的规则化定制的监控管理。

本发明通过结合用户的日常行为习惯定制的规则和堡垒机日志管理，对监控的用户行为是否异常的分析预测，采用了两个方向的模型预测方式，自由组合规则和模型，能更及时准确发现敏感操作和安全隐患，及时报警避免安全危害和损失，减少人力投入。进一步，结合人工审计和人工规则审核和/或调整，灵活多变地实现了规则和数据分析相互结合辅助，有效避免误报。

附图说明

图1是根据本发明的基于堡垒机的用户行为监控方法的一个实施例的主要流程图；

图2是根据本发明的基于堡垒机的用户行为监控系统的一个实施例的主要结构框图；

图3是根据本发明的电子设备的一个实施例的主要结构示框图；

图4是根据本发明的更具体的一个电子设备的一个实施例的主要结构示意图；

图5是根据本发明的计算机可读存储介质的一个实施例的主要结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明作进一步的详细说明。

在对于具体实施例的介绍过程中，对结构、性能、效果或者其他特征的细节描述是为了使本领域的技术人员对实施例能够充分理解。但是，并不排除本领域技术人员可以在特定情况下，以不含有上述结构、性能、效果或者其他特征的技术方案来实施本发明。

附图中的流程图仅是一种示例性的流程演示，不代表本发明的方案中必须包括流程图中的所有的内容、操作和步骤，也不代表必须按照图中所显示的的顺序执行。例如，流程图中有的操作/步骤可以分解，有的操作/步骤可以合并或部分合并，等等，在不脱离本发明的发明主旨的情况下，流程图中显示的执行顺序可以根据实际情况改变。

附图中的框图一般表示的是功能实体，并不一定必然与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理单元装置和/或微控制器装置中实现这些功能实体。

各附图中相同的附图标记表示相同或类似的元件、组件或部分，因而下文中可能省略了对相同或类似的元件、组件或部分的重复描述。还应理解，虽然本文中可能使用第一、第二、第三等表示编号的定语来描述各种器件、元件、组件或部分，但是这些器件、元件、组件或部分不应受这些定语的限制。也就是说，这些定语仅是用来将一者与另一者区分。例如，第一器件亦可称为第二器件，但不偏离本发明实质的技术方案。此外，术语“和/或”、“及/或”是指包括所列出项目中的任一个或多个的所有组合。

为解决上述技术问题，本发明提出一种基于堡垒机日志的用户行为监控报警的方案。其主要基于部署的堡垒机提供实时数据流，并预设用户行为是否异常的判断规则，对数据流中日志记录的当前用户行为结合用户行为习惯和时间区域进行分析以判断是否为异常行为，当判断为异常行为时报警并对相应的用户信息进行相应的处理。

【实施例1】

下面结合图1所示本发明的方法的一个实施例的主要步骤流程图进行说明。

在步骤S110，预设判断用户行为是否为异常行为的规则。

一个实施方式中，基于实际应用场景中相应业务操作，预设对检测到的用户行为进行判断的规则。具体比如，可以基于相应的实际应用场景与对应的业务的操作行为相结合，根据业务人员(用户)的正常行为、或误操作行为以及诸如非法用户(黑客等)侵入人员的行为等情况，来设定不同的规则。

进一步，可以根据实际应用场景中，正确/正常业务操作的业务人员通常是多数，而异常操作人员是少数的这类情形，以该实际应用场景及其相应的业务为基础，确定业务操作并结合数据分析，建立或者说预设判断检测到的用户行为是否为异常操作的规则，比如根据哪些规则或者条件标记或筛选出来是异常行为，和/或，相应用户行为的操作人员(例如执行该操作的业务人员)是敏感操作人员等等。

进一步，可以将实际应用场景的业务所对应的业务操作以及数据分析更加细化，构建多个分支对检测的用户行为进行判断，比如本实施例中提供的两个分支，互相辅助，判断检测到的用户行为是否为异常操作是从规则和数据分析细化而来，不仅仅对某个实际应用场景仅仅依据某个规则或某个算法模型单独训练后来进行判断。预设的该规则例如，规则可以有基于该场景的业务操作的原始数据进行匹配的规则、在构建的模型训练结果进行匹配的规则，而构建的模型算法可以基于规则计算出预定的某些维度的平均值进行训练后去预测等，从而完成对检测到的用户行为进行判断。在该实施方式中，预设的规则主要可以是判断检测到的用户行为是否为异常操作的规则。除去这部分异常操作之外就是正常操作，根据业务人员的习惯，将会根据实际应用场景下的业务和数据，设置一个或多个敏感操作规则，即预设判断异常行为的规则。

一个应用的例1，以时间维度为例，从几个方面设置敏感操作规则如：

某公司业务场景的具体业务特点为早上7点至晚上9点，将这个时间段设置为工作时间，即通常正常执行业务操作的时间段/时间区域，但结合该公司实际应用业务场景，对于其运维人员而言，通常当晚的9点至12点(0点)，也是正常的工作时间段，因为很多高峰期不方便处理的工作会在这个时间段进行处理，大约晚10点左右。其中，在整个时间区域中划分更加精细的时间段，例如：8:00～10:00，10:00～12:00，12:00～14:00，14:00～16:00，16:00～18:00，18:00～19:00，19:00～21:00，21:00～00:00，00:00～7:00，其中，十个时间段中0点至次日8点可以默认为非业务工作时间。因而，可以根据业务操作时间段，预设规则例如：对于检测到的非工作时间内出现业务操作、并且该业务操作的时间超过20分钟、并且该业务操作中存在敏感指令操作，则将此类用户行为对应的业务人员标记为高敏感操作业务人员；和/或，工作时间内对操作频次进行求取平均值，以及对同部门同业务线人员进行记录，若操作频次与近一个月的平均值相差较大则判断此类用户行为属于高疑似敏感行为。

一个应用的例2，以历史状态为例，设置敏感操作规则如：

某公司业务场景的业务操作都有历史记录等，可以根据业务操作历史记录，预设规则，具体例如：检索每位业务人员平均每日使用服务器ip历史记录，若该业务人员使用了过往未使用的服务器ip，需要对其进行进一步检索业务人员的服务器指令操作，进一步，即便不存在该种情况也可以对业务人员进行指令检索判断。指令存在指令参数部分，指令内容以及指令中存在的远程地址，这三种有效字段，在负责运维的安全人员所设置的敏感指令库中进行匹配，过滤指令非使用最高权限root权限进行操作部分，若指令参数中存在-p密码，指令内容中存在服务器敏感文件和ssh命令等，以及指令中远程地址为非关联公司地址则将其视为敏感操作等。

一个应用的例3，以工作状态为例，设置敏感操作规则如：

结合业务场景，对业务人员进行工作状态筛选，若为已经申请离职的人员，则将堡垒机操作报警等级全部提升为最高等级，将敏感规则触发条件降低。例如：根据工作状态，将特定工作状态的业务人员的特定时间段的用户行为作为异常行为，具体地，一旦存在在异常时间段内出现申请离职的人员的业务操作、和/或指令操作匹配到不安全指令库，则立刻进行报警。这是本实施例结合业务场景中与其他堡垒机监控方式所不同的地方。

一个应用的例4，以业务操作设备与业务人员的信息关联为例，设置敏感操作规则如：

在某公司业务场景中，公司内部可以对员工电脑ip和员工信息进行关联(业务操作设备和业务人员的信息关联)，这样，在堡垒机日志中主要可以结合该公司业务场景，当发现有员工登录来源ip与个人账号信息不匹配时，默认标记该个人账号为敏感账号，对其进行详细监控。

另外，除却例子中的情况外，预定其他特定行为也为异常行为，例如：附加执行shell脚本的行为会标记为高度敏感操作进行优先报警，等等。

可见，本发明该实施例中，结合了应用场景实际业务操作以及相应的数据分析，预设异常行为的判断规则，以便能够对基于堡垒机日志的监控的用户行为通过规则和数据分析细化，从两个分支相互辅助进行检测到的行为的判断以确定哪些属于异常行为。由此可以结合通过与运维堡垒机系统相结合，对应实际应用场景实现规则化定制，同时结合业务人员日常工作习惯，以便能精确快速发现异常等安全隐患问题。

在步骤S120，根据所述规则对基于堡垒机日志监控的用户行为进行分析，确定是否为异常行为。

一个实施方式中，基于堡垒机的部署，为数据分析例如预测模型提供了数据流支持，进而，可以通过数据分析(例如：预先训练的模型算法/算法模型，或者说预测模型)，对根据实际工作人员的日常工作习惯所设定的周期性扫描或实时侦听方式等所监控到的用户行为进行预测或者说预先判断，预测产生该用户行为的用户是否存在风险，比如该用户的行为是否为异常行为、是否存在异常行为的用户等。

一个实施方式中，根据工作/业务人员日常工作习惯所设定的扫描或侦听方式，可以基于堡垒机日志对业务人员的业务操作等进行扫描或侦听，并根据预设的所述规则进行数据分析得出判断结果。

一个应用场景下的例5，基于堡垒机获得用户日志，其中有相应的用户行为，可以经过处理作为数据流实时传送，获取到当前用户行为。具体地，本实施例中需要运维人员结合实际应用场景的业务情况在一个或多个方面对于判断规则进行定时或非定时的调整，从而，优选地，需要结合运维人员工作时间来获得用户日志，扫描或侦听实时数据流中的当前用户行为。首先，可以结合时间段，在正常的业务人员行为习惯中，早10点至晚7点就可以视为正常工作时间，在这个时间段中基于运维人员的岗位特殊性可能还需要进行一些特殊添加，比如晚10点左右可能是作为运维人员基础工作时间；进而，可以结合日常指令，不同于其他可能使用服务器的人员，运维人员的指令操作可能更为敏感，所以在指令库进行匹配度判断的时候需要对业务人员的业务岗位/范畴或者说工作职能/身份进行区分，比如运维人员使用的指令也许正常但是对于一般用户可能就是异常。由此，结合相应的时间段和业务岗位，监控当前用户行为，进入后续根据判断规则的数据分析。

一个实施方式中，可以根据判断规则，对监控的当前用户行为进行判断。具体例如：分析如果当前用户登录的时候ip和账户不匹配，则进行风险预测，同时，若还在用户登陆后进行了shell指令操作，则风险等级会直接提升到立即报警，从而实现及时报警。

进一步，还可以通过两种分析方式(方向)进行：

一、有监督学习。例如采用逻辑回归，将线性回归的结果代入Sigmoid函数，对样本数据进行学习，样本数据来源于历史数据(如：基于堡垒机日志可以获得)，这些样本数据曾经已经被内部系统标记为敏感数据的操作日志，对用户/业务人员的业务操作进行量化，学习过程中通过人为审计的办法进行不断地调整，在拟合度达到想要标准的时候进行预测，判断业务人员某业务操作时出现属于异常用户时的概率进行记录。

二、无监督学习。由于有监督学习是建立在人工审计历史数据的基础上进行训练出的模型，带有人工的主观想法，所以无监督学习对其进行逻辑上的再次判断，作为有监督学习的辅助作用，不对数据进行划分，不进行分类，而是寻找集中规律性。例如，在无监督学习中可以采用聚类分析，聚类分析中采集用户特征，具体可以包括但不限于下述一种或多种：业务人员的业务操作基础时间、业务操作的频次平均值、账号与ip匹配信息、不安全指令匹配度等一个或多个特征的均值和方差，等等。

二者可以结合也可以单独使用，结合时优选地可以先通过有监督学习再进行无监督学习，由此对堡垒机日志进行数据分析。

在上述两种分析采用的模型算法/算法模型对数据进行分析的时候，还可以进行风险评估，对两种分析结果与判断规则进行多种结合，不同的触发情况能够得出不同的风险可能，从而可以对判断结果风险较大的情形进行报警。同时，维护了可视化界面，一定程度上能降低人工审计的难度。

可见，本发明的该实施例，主要通过堡垒机的部署，为数据分析例如预测模型提供了数据流支持，预测模型可以将该分析的结果提供给人工审计，在获取模型结果后，将操作返回给堡垒机，从而对已经标记为敏感的业务人员进行账号封禁或者相应的降权，同时会调用之前人员维护的排查脚本，自动排查短期内该敏感账户所登陆过的服务器ip进行简单的重要进程或文件排查，之后再给人工审计反馈，人工介入。由此根据一套完整的流程，即堡垒机进行处理。

在步骤S130，当确定的当前用户行为属于异常时，进行报警处理。

一个实施方式中，若当前用户行为被判断为异常行为，则可以对其进行报警，并进行人工审计，进而，可以通报公司内审内控有关人员与安全人员对其可疑行为进行审查，在此人工处理的基础上，还可以自动为此业务人员进行标记。一旦有过一次报警异常，之后等待人工处理结果，人工反馈若进一步确定为异常行为还可以对其进行更一层的特殊标记，之后可以对该用户如业务人员调整相应的一系列规则的报警阈值，以及优先报警等。

进一步，还可以对敏感用户比如公司的业务人员进行信息调研，包含例如：该业务人员在公司内部的注册信息以及所负责业务线、近一个月的各类审计内容、以及关联安全内部其他审计产品等等，整理成为邮件和数据流，发送给安全运维人员进行处理，若安全运维人员处理结果确认是敏感操作后还可以对堡垒机进行一个反馈，对该敏感账户进行降权或者永久封禁、甚至对该账户短期内可能操作过的服务器进行程序自动排查、人工反馈等处理。

另外，若当前用户行为被判断为异常行为但人工审计后并无异常，则对触发的判断规则进行核查，审核包括但不限于诸如：是否因为程序问题而产生误报等。若人工审核后无异常则对其进行结单，阐明理由，自动记录，每周进行一次盘查，查看误报是否是个别还是有相同特征的业务人员会被误报。之后对规则进行调整，等等。

可见，本发明的该实施例除了对出现异常行为进行报警，还通过堡垒机的一整套监控机制，结合人工审计和规则审核等，能更准确迅速地确定哪个用户存在安全隐患并快速报警，进而还能及时排除误报、及时调整存在问题的规则。

由此，本发明的该实施例提供的方法，基于堡垒机的部署，提供交互界面和实时监控数据流，能有效调整和预设判断用户行为是否异常的规则，减少人力投入；结合实际应用场景的业务操作和业务人员习惯，能够更及时发现敏感操作锁定敏感用户；基于用户行为习惯结合人工审计审核，能有效防止误报及时调整规则。

【实施例2】

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明的系统实现作进一步的详细说明。

本发明的一个实施例中，基于堡垒机的用户行为监控系统主要包括规则模块，用于预设判断规则；分析模块，用于基于堡垒机日志的实时数据流中当前用户行为依据判断规则进行数据分析以预测是否为异常行为；处理模块，用于用户行为异常时报警。

这里，将结合图3所示本发明的系统的一个实施例的主要结构框图进行说明。在本实施例中，该系统至少包括规则模块110，分析模块120，处理模块130。

规则模块110，用于预设判断用户行为是否为异常行为的规则。

一个实施方式中，基于实际应用场景中相应业务操作，预设对检测到的用户行为进行判断的规则。具体比如，可以基于相应的实际应用场景与对应的业务的操作行为相结合，根据业务人员(用户)的正常行为、或误操作行为以及诸如非法用户(黑客等)侵入人员的行为等情况，来设定不同的规则。

进一步，可以根据实际应用场景中，正确/正常业务操作的业务人员通常是多数，而异常操作人员是少数的这类情形，以该实际应用场景及其相应的业务为基础，确定业务操作并结合数据分析，建立或者说预设判断检测到的用户行为是否为异常操作的规则，比如根据哪些规则或者条件标记或筛选出来是异常行为，和/或，相应用户行为的操作人员(例如执行该操作的业务人员)是敏感操作人员等等。

进一步，可以将实际应用场景的业务所对应的业务操作以及数据分析更加细化，构建多个分支对检测的用户行为进行判断，比如本实施例中提供的两个分支，互相辅助，判断检测到的用户行为是否为异常操作是从规则和数据分析细化而来，不仅仅对某个实际应用场景仅仅依据某个规则或某个算法模型单独训练后来进行判断。预设的该规则例如，规则可以有基于该场景的业务操作的原始数据进行匹配的规则、在构建的模型训练结果进行匹配的规则，而构建的模型算法可以基于规则计算出预定的某些维度的平均值进行训练后去预测等，从而完成对检测到的用户行为进行判断。在该实施方式中，预设的规则主要可以是判断检测到的用户行为是否为异常操作的规则。除去这部分异常操作之外就是正常操作，根据业务人员的习惯，将会根据实际应用场景下的业务和数据，设置一个或多个敏感操作规则，即预设判断异常行为的规则。

一个应用的例1，以时间维度为例，从几个方面设置敏感操作规则如：

某公司业务场景的具体业务特点为早上7点至晚上9点，将这个时间段设置为工作时间，即通常正常执行业务操作的时间段/时间区域，但结合该公司实际应用业务场景，对于其运维人员而言，通常当晚的9点至12点(0点)，也是正常的工作时间段，因为很多高峰期不方便处理的工作会在这个时间段进行处理，大约晚10点左右。其中，在整个时间区域中划分更加精细的时间段，例如：8:00～10:00，10:00～12:00，12:00～14:00，14:00～16:00，16:00～18:00，18:00～19:00，19:00～21:00，21:00～00:00，00:00～7:00，其中，十个时间段中0点至次日8点可以默认为非业务工作时间。因而，可以根据业务操作时间段，预设规则例如：对于检测到的非工作时间内出现业务操作、并且该业务操作的时间超过20分钟、并且该业务操作中存在敏感指令操作，则将此类用户行为对应的业务人员标记为高敏感操作业务人员；和/或，工作时间内对操作频次进行求取平均值，以及对同部门同业务线人员进行记录，若操作频次与近一个月的平均值相差较大则判断此类用户行为属于高疑似敏感行为。

一个应用的例2，以历史状态为例，设置敏感操作规则如：

某公司业务场景的业务操作都有历史记录等，可以根据业务操作历史记录，预设规则，具体例如：检索每位业务人员平均每日使用服务器ip历史记录，若该业务人员使用了过往未使用的服务器ip，需要对其进行进一步检索业务人员的服务器指令操作，进一步，即便不存在该种情况也可以对业务人员进行指令检索判断。指令存在指令参数部分，指令内容以及指令中存在的远程地址，这三种有效字段，在负责运维的安全人员所设置的敏感指令库中进行匹配，过滤指令非使用最高权限root权限进行操作部分，若指令参数中存在-p密码，指令内容中存在服务器敏感文件和ssh命令等，以及指令中远程地址为非关联公司地址则将其视为敏感操作等。

一个应用的例3，以工作状态为例，设置敏感操作规则如：

结合业务场景，对业务人员进行工作状态筛选，若为已经申请离职的人员，则将堡垒机操作报警等级全部提升为最高等级，将敏感规则触发条件降低。例如：根据工作状态，将特定工作状态的业务人员的特定时间段的用户行为作为异常行为，具体地，一旦存在在异常时间段内出现申请离职的人员的业务操作、和/或指令操作匹配到不安全指令库，则立刻进行报警。这是本实施例结合业务场景中与其他堡垒机监控方式所不同的地方。

一个应用的例4，以业务操作设备与业务人员的信息关联为例，设置敏感操作规则如：

在某公司业务场景中，公司内部可以对员工电脑ip和员工信息进行关联(业务操作设备和业务人员的信息关联)，这样，在堡垒机日志中主要可以结合该公司业务场景，当发现有员工登录来源ip与个人账号信息不匹配时，默认标记该个人账号为敏感账号，对其进行详细监控。

另外，除却例子中的情况外，预定其他特定行为也为异常行为，例如：附加执行shell脚本的行为会标记为高度敏感操作进行优先报警，等等。

可见，本发明该实施例中，结合了应用场景实际业务操作以及相应的数据分析，预设异常行为的判断规则，以便能够对基于堡垒机日志的监控的用户行为通过规则和数据分析细化，从两个分支相互辅助进行检测到的行为的判断以确定哪些属于异常行为。由此可以结合通过与运维堡垒机系统相结合，对应实际应用场景实现规则化定制，同时结合业务人员日常工作习惯，以便能精确快速发现异常等安全隐患问题。

分析模块120，用于根据所述规则对基于堡垒机日志监控的用户行为进行分析，确定是否为异常行为。

一个实施方式中，基于堡垒机的部署，为数据分析例如预测模型提供了数据流支持，进而，可以通过数据分析(例如：预先训练的模型算法/算法模型，或者说预测模型)，对根据实际工作人员的日常工作习惯所设定的周期性扫描或实时侦听方式等所监控到的用户行为进行预测或者说预先判断，预测产生该用户行为的用户是否存在风险，比如该用户的行为是否为异常行为、是否存在异常行为的用户等。

一个实施方式中，根据工作/业务人员日常工作习惯所设定的扫描或侦听方式，可以基于堡垒机日志对业务人员的业务操作等进行扫描或侦听，并根据预设的所述规则进行数据分析得出判断结果。

一个应用场景下的例5，基于堡垒机获得用户日志，其中有相应的用户行为，可以经过处理作为数据流实时传送，获取到当前用户行为。具体地，本实施例中需要运维人员结合实际应用场景的业务情况在一个或多个方面对于判断规则进行定时或非定时的调整，从而，优选地，需要结合运维人员工作时间来获得用户日志，扫描或侦听实时数据流中的当前用户行为。首先，可以结合时间段，在正常的业务人员行为习惯中，早10点至晚7点就可以视为正常工作时间，在这个时间段中基于运维人员的岗位特殊性可能还需要进行一些特殊添加，比如晚10点左右可能是作为运维人员基础工作时间；进而，可以结合日常指令，不同于其他可能使用服务器的人员，运维人员的指令操作可能更为敏感，所以在指令库进行匹配度判断的时候需要对业务人员的业务岗位/范畴或者说工作职能/身份进行区分，比如运维人员使用的指令也许正常但是对于一般用户可能就是异常。由此，结合相应的时间段和业务岗位，监控当前用户行为，进入后续根据判断规则的数据分析。

一个实施方式中，可以根据判断规则，对监控的当前用户行为进行判断。具体例如：分析如果当前用户登录的时候ip和账户不匹配，则进行风险预测，同时，若还在用户登陆后进行了shell指令操作，则风险等级会直接提升到立即报警，从而实现及时报警。

进一步，还可以通过两种分析方式(方向)进行：

一、有监督学习。例如采用逻辑回归，将线性回归的结果代入Sigmoid函数，对样本数据进行学习，样本数据来源于历史数据(如：基于堡垒机日志可以获得)，这些样本数据曾经已经被内部系统标记为敏感数据的操作日志，对用户/业务人员的业务操作进行量化，学习过程中通过人为审计的办法进行不断地调整，在拟合度达到想要标准的时候进行预测，判断业务人员某业务操作时出现属于异常用户时的概率进行记录。

二、无监督学习。由于有监督学习是建立在人工审计历史数据的基础上进行训练出的模型，带有人工的主观想法，所以无监督学习对其进行逻辑上的再次判断，作为有监督学习的辅助作用，不对数据进行划分，不进行分类，而是寻找集中规律性。例如，在无监督学习中可以采用聚类分析，聚类分析中采集用户特征，具体可以包括但不限于下述一种或多种：业务人员的业务操作基础时间、业务操作的频次平均值、账号与ip匹配信息、不安全指令匹配度等一个或多个特征的均值和方差，等等。

二者可以结合也可以单独使用，结合时优选地可以先通过有监督学习再进行无监督学习，由此对堡垒机日志进行数据分析。

在上述两种分析采用的模型算法/算法模型对数据进行分析的时候，还可以进行风险评估，对两种分析结果与判断规则进行多种结合，不同的触发情况能够得出不同的风险可能，从而可以对判断结果风险较大的情形进行报警。同时，维护了可视化界面，一定程度上能降低人工审计的难度。

可见，本发明的该实施例，主要通过堡垒机的部署，为数据分析例如预测模型提供了数据流支持，预测模型可以将该分析的结果提供给人工审计，在获取模型结果后，将操作返回给堡垒机，从而对已经标记为敏感的业务人员进行账号封禁或者相应的降权，同时会调用之前人员维护的排查脚本，自动排查短期内该敏感账户所登陆过的服务器ip进行简单的重要进程或文件排查，之后再给人工审计反馈，人工介入。由此根据一套完整的流程，即堡垒机进行处理。

处理模块130，当确定的当前用户行为属于异常时，进行报警处理。

一个实施方式中，若当前用户行为被判断为异常行为，则可以对其进行报警，并进行人工审计，进而，可以通报公司内审内控有关人员与安全人员对其可疑行为进行审查，在此人工处理的基础上，还可以自动为此业务人员进行标记。一旦有过一次报警异常，之后等待人工处理结果，人工反馈若进一步确定为异常行为还可以对其进行更一层的特殊标记，之后可以对该用户如业务人员调整相应的一系列规则的报警阈值，以及优先报警等。

进一步，还可以对敏感用户比如公司的业务人员进行信息调研，包含例如：该业务人员在公司内部的注册信息以及所负责业务线、近一个月的各类审计内容、以及关联安全内部其他审计产品等等，整理成为邮件和数据流，发送给安全运维人员进行处理，若安全运维人员处理结果确认是敏感操作后还可以对堡垒机进行一个反馈，对该敏感账户进行降权或者永久封禁、甚至对该账户短期内可能操作过的服务器进行程序自动排查、人工反馈等处理。

另外，若当前用户行为被判断为异常行为但人工审计后并无异常，则对触发的判断规则进行核查，审核包括但不限于诸如：是否因为程序问题而产生误报等。若人工审核后无异常则对其进行结单，阐明理由，自动记录，每周进行一次盘查，查看误报是否是个别还是有相同特征的业务人员会被误报。之后对规则进行调整，等等。

可见，本发明的该实施例除了对出现异常行为进行报警，还通过堡垒机的一整套监控机制，结合人工审计和规则审核等，能更准确迅速地确定哪个用户存在安全隐患并快速报警，进而还能及时排除误报、及时调整存在问题的规则。

由此，本发明的该实施例提供的系统，是基于堡垒机部署的系统，提供交互界面和实时监控数据流，能有效调整和预设判断用户行为是否异常的规则，减少人力投入；结合实际应用场景的业务操作和业务人员习惯，能够更及时发现敏感操作锁定敏感用户；基于用户行为习惯结合人工审计审核，能有效防止误报及时调整规则。

【实施例3】

下面结合一个应用场景，对本发明的实施例1和2的具体实现过程进行进一步说明。

某公司将工作时间区域划分如下：8:00～10:00，10:00～12:00，12:00～14:00，14:00～16:00，16:00～18:00，18:00～19:00，19:00～21:00，21:00～00:00，00:00～7:00。其中，正常的业务人员进行业务操作时间为早8点至晚9点，安全运维人员的操作则可以上下浮动1至2小时以避开高峰期。从几个方面预设用户行为是否为异常行为的判断规则，例如在部署的堡垒机系统提供的实时数据流中(堡垒机日志)，出现包括但不限于下列一种或多种条件/状态：处于敏感时间段(如非一般业务人员的工作时间)、业务操作(即用户行为)时间长度超过某预设的一时间阈值、存在敏感指令操作、存在业务操作频次符合某一预设的条件(可求取频次平均值并对同部门同业务线人员进行记录对比操作频次与近一个月的平均值相差是否大于某个阈值等)、业务操作的历史记录状态发生变化、敏感指令检测、工作状态发生变化、业务操作设备与业务人员不匹配、特定脚本被执行、等等，可以作为判断规则，可以预测或判断该用户行为异常、和/或该用户行为的相应的操作用户为敏感用户。

在实际应用时，已经部署的堡垒机系统提供实时数据流，其日志中的相关数据可以按照前述规则进行分析，分析当前监控的该用户行为是否为异常行为。具体可以结合用户行为习惯，例如当前用户行为所处时间段、日常指令等，根据前述规则，分析是否存在该用户行为出现了敏感指令操作且非安全运维岗位、是否使用的设备与其账户不匹配等等，结合前述规则涉及的各个条件、状态等与构建的预测模型算法结合，实现更有效准确及时的分析。一旦确定用户行为异常则可以通过堡垒机系统发出监控警报，进而进入人工审计和规则审核环节。具体地，分析一用户行为中，该用户为非安全运维人员，在0点的业务操作中执行了敏感指令shell，立即做出一次异常报警，反馈到堡垒机系统端，并给该用户行为对应的用户(账号)做存在安全隐患的标记。安全运维人员对此标记用户和用户行为进行审计，如果确实是非法账户非法行为，封禁该用户账户。

由此，通过部署的系统提供的软件/应用程序执行分析、并通过部署的系统界面交互预设和动态调整规则，减少了人工消耗的时间等成本、安全运维更简单便捷灵活，且计算和预测发现敏感操作、危险用户都更加准确及时，进而基于用户行为习惯包括时间段划分所预设和及时调整的判断规则，能有效避免误报。

【实施例4】

图3是根据本发明的一个实施例的电子设备的结构示意框图，该电子设备包括处理器和存储器，所述存储器用于存储计算机可执行程序，当所述计算机程序被所述处理器执行时，所述处理器执行如前述实施例1中的题目识别方法。

如图3所示，电子设备以通用计算设备的形式表现。其中处理器可以是一个，也可以是多个并且协同工作。本发明也不排除进行分布式处理，即处理器可以分散在不同的实体设备中。本发明的电子设备并不限于单一实体，也可以是多个实体设备的总和。

所述存储器存储有计算机可执行程序，通常是机器可读的代码。所述计算机可读程序可以被所述处理器执行，以使得电子设备能够执行本发明的方法，或者方法中的至少部分步骤。

所述存储器包括易失性存储器，例如随机存取存储单元(RAM)和/或高速缓存存储单元，还可以是非易失性存储器，如只读存储单元(ROM)。

可选的，该实施例中，电子设备还包括有I/O接口，其用于电子设备与外部的设备进行数据交换。I/O接口可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

更具体地，参见图4所示的该实施例所述的电子设备的更具体的一个例子的结构框图。该示例性实施例的电子设备200以通用数据处理设备的形式表现。电子设备200的组件可以包括但不限于：至少一个处理单元210、至少一个存储单元220、连接不同系统组件(包括存储单元220和处理单元210)的总线230、显示单元240等。

其中，所述存储单元220存储有计算机可读程序，其可以是源程序或都只读程序的代码。所述程序可以被处理单元210执行，使得所述处理单元210执行本发明各种实施方式的步骤。例如，所述处理单元210可以执行前述实施例2至5的方法的各个步骤。

所述存储单元220可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(RAM)2201和/或高速缓存存储单元2202，还可以进一步包括只读存储单元(ROM)2203。所述存储单元220还可以包括具有一组(至少一个)程序模块2205的程序/实用工具2204，这样的程序模块2205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线230可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备200也可以与一个或多个外部设备300(例如键盘、显示器、网络设备、蓝牙设备等)通信，使得用户能经由这些外部设备300与该电子设备200交互，和/或使得该电子设备200能与一个或多个其它数据处理设备(例如路由器、调制解调器等等)进行通信。这种通信可以通过输入/输出(I/O)接口250进行，还可以通过网络适配器260与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)进行。网络适配器260可以通过总线230与电子设备200的其它模块通信。应当明白，尽管图中未示出，电子设备200中可使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

应当理解，图3、4显示的电子设备仅仅是本发明的一个示例，本发明的电子设备中还可以包括上述示例中未示出的元件或组件。例如，有些电子设备中还包括有显示屏等显示单元，有些电子设备还包括人机交互元件，例如按扭、键盘等。只要该电子设备能够执行存储器中的计算机可读程序以实现本发明方法或方法的至少部分步骤，均可认为是本发明所涵盖的电子设备。

【实施例5】

图5是本发明的一个实施例的计算机可读记录介质的示意图。如图5所示，计算机可读记录介质中存储有计算机可执行程序，所述计算机可执行程序被执行时，实现本发明上述的题目识别方法。所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

通过以上对实施方式的描述，本领域的技术人员易于理解，本发明可以由能够执行特定计算机程序的硬件来实现，例如本发明的系统，以及系统中包含的电子处理单元、服务器、客户端、手机、控制单元、处理器等，本发明也可以由包含上述系统或部件的至少一部分的车辆来实现。本发明也可以由执行本发明的方法的计算机软件来实现，例如由机车端的微处理器、电子控制单元，客户端、服务器端等执行的控制软件来实现。但需要说明的是，执行本发明的方法的计算机软件并不限于由一个或特定个的硬件实体中执行，其也可以是由不特定具体硬件的以分布式的方式来实现，例如计算机程序执行的某些方法步骤可以在机车端执行，另一部分可以在移动终端或智能头盔等中执行。对于计算机软件，软件产品可以存储在一个计算机可读的存储介质(可以是CD-ROM，U盘，移动硬盘等)中，也可以分布式存储于网络上，只要其能使得电子设备执行根据本发明的方法。

通过以上对实施方式的描述，本领域的技术人员易于理解，本发明本发明描述的示例性实施例可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。

以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，应理解的是，本发明不与任何特定计算机、虚拟装置或者电子设备固有相关，各种通用装置也可以实现本发明。以上所述仅为本发明的具体实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于堡垒机的用户行为监控方法，其特征在于，包括：

预设判断用户行为是否异常的规则；

根据所述规则对基于堡垒机日志监控的当前用户行为进行分析，预测所述用户行为是否异常。

2.根据权利要求1所述的方法，其特征在于，预设判断用户行为是否异常的规则，具体包括：

结合用户在应用场景下的行为习惯预设所述规则；

其中，所述行为习惯包括用户的行为所在时间段、和/或行为中的操作频次。

3.根据权利要求1或2所述的方法，其特征在于，预设判断用户行为是否异常的规则，具体包括：

设置敏感操作；

所述敏感操作包括存在下列一个条件或多个条件的组合：处于敏感时间段、用户行为的时间长度超过一预设时间阈值、业务操作频次符合一预设条件、业务操作的历史记录状态发生变化、敏感指令、工作状态发生变化、业务操作设备与业务人员不匹配、特定脚本被执行；

如果用户行为存在一个或多个所述敏感操作，则预测所述用户行为异常、和/或所述用户行为对应的用户为敏感用户。

4.根据权利要求3所述的方法，其特征在于，根据所述规则对基于堡垒机日志监控的当前用户行为进行分析，预测所述用户行为是否异常，具体包括：

通过部署的所述堡垒机进行扫描或侦听，以监控用户行为；

根据所述堡垒机提供的实时数据流中的日志，获取当前用户行为；

根据所述规则分析当前所述用户行为中是否存在敏感操作。

5.根据权利要求4所述的方法，其特征在于，根据所述规则分析当前所述用户行为中是否存在敏感操作，具体包括：

结合用户在应用场景下的行为习惯，通过有监督学习和/或无监督学习方式，根据所述规则对当前所述用户行为中是否存在敏感操作进行分析，以预测当前所述用户行为是否异常。

6.根据权利要求5所述的方法，其特征在于，

所述有监督学习采用逻辑回归算法，所述无监督学习采用聚类算法；

先通过有监督学习进行分析后再通过无监督学习进行分析；

分析结果反馈到所述堡垒机。

7.根据权利要求1至6任一项所述的方法，其特征在于，还包括：

当预测当前用户行为异常时，进行报警处理；

和/或，

如果当前用户行为被预测为异常，则进行一次报警、进行人工审计以及标记当前用户行为对应的用户为敏感用户，以及，当人工审计确定该敏感用户是进行了敏感操作时、反馈到所述堡垒机并由堡垒机对监控的所述敏感用户的账户降权、永久封禁和/或对所述敏感用户操作过的服务器进行排查，和/或，当人工审计确定该敏感用户并非进行敏感操作时、人工审核和/或调整所述规则。

8.一种基于堡垒机的用户行为监控方法，其特征在于，包括：

规则模块，用于预设判断用户行为是否异常的规则；

分析模块，用于根据所述规则对基于堡垒机日志监控的当前用户行为进行分析，预测所述用户行为是否异常；

和/或，

处理模块，用于当预测当前用户行为异常时，进行报警处理。

9.一种电子设备，包括处理器和存储器，所述存储器用于存储计算机可执行程序，其特征在于：

当所述计算机程序被所述处理器执行时，所述处理器执行如权利要求1至7中任一项所述的方法。

10.一种计算机可读存储介质，存储有计算机可执行程序，其特征在于，所述计算机可执行程序被执行时，实现如权利要求1至7中任一项所述的方法。

Images