CN113285962B - 在线操作监测方法与系统 - Google Patents

在线操作监测方法与系统 Download PDF

Info

Publication number
CN113285962B
CN113285962B CN202110827148.2A CN202110827148A CN113285962B CN 113285962 B CN113285962 B CN 113285962B CN 202110827148 A CN202110827148 A CN 202110827148A CN 113285962 B CN113285962 B CN 113285962B
Authority
CN
China
Prior art keywords
vpn
online
login
log
online operation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110827148.2A
Other languages
English (en)
Other versions
CN113285962A (zh
Inventor
邹洪
吕华辉
王皓然
林少广
刘欣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Southern Power Grid Digital Power Grid Group Information Communication Technology Co ltd
Southern Power Grid Digital Grid Research Institute Co Ltd
Original Assignee
Southern Power Grid Digital Grid Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southern Power Grid Digital Grid Research Institute Co Ltd filed Critical Southern Power Grid Digital Grid Research Institute Co Ltd
Priority to CN202110827148.2A priority Critical patent/CN113285962B/zh
Publication of CN113285962A publication Critical patent/CN113285962A/zh
Application granted granted Critical
Publication of CN113285962B publication Critical patent/CN113285962B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Physics (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Analysis (AREA)
  • Algebra (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Optimization (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种在线操作监测方法、系统、计算机设备和存储介质,其中,方法包括:获取VPN设备的在线操作日志,解析所述在线操作日志,生成登录IP、用户名以及操作的三层关联数据;根据所述三层关联数据与预设动态基线模型,识别异常操作;推送与所述异常操作对应的告警信息;其中,所述预设动态基线模型由历史记录中VPN设备正常运行对应的操作日志训练得到。整个过程中,由于预设动态基线模型是VPN设备正常运行对应的操作日志,因此可以根据登录IP、用户名以及操作的三层关联数据以及预设动态基线模型准确识别出异常操作。

Description

在线操作监测方法与系统
技术领域
本申请涉及远程监测技术领域,特别是涉及一种在线操作监测方法、系统、计算机设备和存储介质。
背景技术
随着计算机技术以及通信技术的发展,目前越来越多的操作、工作以及业务可以在线开展,通过在线的方式忽略对“会面”的要求,提高了处理效率,给人们带来巨大的便捷。
以传统技术中在线办公为例,随着公司办公模式多样化的发展,在线办公需求的正在不到提升,为满足公司员工远程办公的时效性、信息化。公司各单位部署了VPN(Virtual Private Network,虚拟专用网络)设备作为远程办公接入节点,公司员工通过登陆VPN设备可实现对公司指定信息化系统的访问,实现高效办公。
然而,在在线办公领域中公司员工利用VPN设备实现远程办公的同时,也增加了公司信息网络与系统被攻陷衍生的安全风险,VPN设备可从互联网出口直达公司信息内网,为确保远程办公的信息系统覆盖面,各单位在VPN设备增加了大量业务系统,增大了暴露面。一旦VPN设备被成功攻陷,攻击者可通过VPN作为通道,横向攻击信息内网其他系统,导致系统被控制、数据被窃取等危害。其他在线操作应用场景下也都存在上述相同或类似的缺陷,因此,因此,目前急需一种针对在线操作检测的方案,来对在线操作过程中的行为进行监测,准确识别出异常的行为,确保在线操作网络的安全。
发明内容
基于此,有必要针对上述技术问题,提供一种可以实现准确监测的在线操作监测方法、系统、计算机设备和存储介质。
一种在线操作监测方法,方法包括:
获取VPN设备的在线操作日志;
解析在线操作日志,生成登录IP、用户名以及操作的三层关联数据;
根据三层关联数据与预设动态基线模型,识别异常操作;
推送与异常操作对应的告警信息;
其中,预设动态基线模型由历史记录中VPN设备正常运行对应的操作日志训练得到。
在其中一个实施例中,获取VPN设备的在线操作日志包括:
采用syslog方式采集VPN设备的在线操作日志。
在其中一个实施例中,采用syslog方式采集VPN设备的在线操作日志包括:
采用syslog方式采集VPN设备的初始在线操作日志;
对初始在线操作日志进行VPN日志范式化处理,提取在线操作记录。
在其中一个实施例中,根据三层关联数据与预设动态基线模型,识别异常操作之前,还包括:
获取历史记录中全网正常运行下VPN设备的在线操作日志,得到常规在线操作日志;
提取常规在线操作日志中的登录IP、用户名以及操作,得到训练数据;
采用训练数据训练初始机器学习模型,得到预设动态基线模型。
在其中一个实施例中,异常操作包括单位时间登录VPN的次数大于预设登录次数阈值、单位时间内访问密钥错误次数大于预设错误次数阈值、相同登录IP使用不同用户名数量大于预设用户名数量阈值以及相同用户名历史累计使用登录IP的数量大于预设登录IP数量阈值。
在其中一个实施例中,推送与异常操作对应的告警信息包括:
获取异常操作对应的用户名以及登录IP;
将异常操作对应的用户名以及登录IP填充预设告警模板中,得到告警信息;
推送告警信息。
在其中一个实施例中,上述在线操作监测方法还包括:
定位组网中发生异常操作的登录IP,得到异常登录IP;
封堵异常登录IP。
一种在线操作监测系统,系统包括:
日志获取模块,用于获取VPN设备的在线操作日志;
解析模块,用于解析在线操作日志,生成登录IP、用户名以及操作的三层关联数据;
异常识别模块,用于根据三层关联数据与预设动态基线模型,识别异常操作;
告警推送模块,用于推送与异常操作对应的告警信息;
其中,预设动态基线模型由历史记录中VPN设备正常运行对应的操作日志训练得到。
一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现以下步骤:
获取VPN设备的在线操作日志;
解析在线操作日志,生成登录IP、用户名以及操作的三层关联数据;
根据三层关联数据与预设动态基线模型,识别异常操作;
推送与异常操作对应的告警信息;
其中,预设动态基线模型由历史记录中VPN设备正常运行对应的操作日志训练得到。
一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
获取VPN设备的在线操作日志;
解析在线操作日志,生成登录IP、用户名以及操作的三层关联数据;
根据三层关联数据与预设动态基线模型,识别异常操作;
推送与异常操作对应的告警信息;
其中,预设动态基线模型由历史记录中VPN设备正常运行对应的操作日志训练得到。
上述在线操作监测方法、系统、计算机设备和存储介质,获取VPN设备的在线操作日志,解析在线操作日志,生成登录IP、用户名以及操作的三层关联数据;根据三层关联数据与预设动态基线模型,识别异常操作;推送与异常操作对应的告警信息;其中,预设动态基线模型由历史记录中VPN设备正常运行对应的操作日志训练得到。整个过程中,由于预设动态基线模型是VPN设备正常运行对应的操作日志,因此可以根据登录IP、用户名以及操作的三层关联数据以及预设动态基线模型准确识别出异常操作。
附图说明
图1为一个实施例中在线操作监测方法的应用环境图;
图2为一个实施例中在线操作监测方法的流程示意图;
图3为另一个实施例中在线操作监测方法的流程示意图;
图4为一个实施例中在线操作监测系统的结构框图;
图5为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的在线操作监测方法,可以应用于如图1所示的应用环境中。其中,VPN设备102通过网络与服务器104进行通信,用户通过VPN设备登录以及进行所需的在线操作。服务器104获取VPN设备102的在线操作日志,解析在线操作日志,生成登录IP、用户名以及操作的三层关联数据;根据三层关联数据与预设动态基线模型,识别异常操作;推送与异常操作对应的告警信息;上述预设动态基线模型由历史记录中VPN设备正常运行对应的操作日志训练得到。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种在线操作监测方法,以该方法应用于图1中的服务器104为例进行说明,包括以下步骤:
S200:获取VPN设备的在线操作日志。
VPN可以把它理解成虚拟的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。虚拟专用网络功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关闭并通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。VPN具有成本低,易于使用的特点。在整个组网中可以设置多个VPN设备,用户通过不同的VPN设备登录、访问服务器并且进行操作,在这个过程中VPN设备会生成对应的在线操作日志,在线操作日志内主要记录有登录IP、用户名、执行的操作以及对应的时间等数据。具体来说,以远程办公为例,用户通过VPN设备在线访问企业核心服务器,实现远程办公,在VPN设备中会生成有对应的在线操作日志,在在线操作日志内主要记录有用户远程办公过程中使用的登录IP(192.168.AAA、BBB)、用户名(zhansan)、执行的操作(审批X业务)以及本次操作对应的时间。服务器可以通过下发指令的方式要求VPN设备定期上传自身的在线操作日志,从而获取VPN设备的在线操作日志。
S400:解析在线操作日志,生成登录IP、用户名以及操作的三层关联数据。
如上S200已述,在线操作日志中主要携带有登录IP、用户名以及操作的数据,将这三个部分的数据进行关联,构建登录IP、用户名以及操作的三层关联数据。具体来说,登录IP主要用于表征用户登录的地址(端口)、用户名用于表征用户身份,即是哪一个用户当前在进行在线操作,操作用于表征具体进行了什么操作。
S600:根据三层关联数据与预设动态基线模型,识别异常操作。
预设动态基线模型是预先构建好的模型,其具体可以采用历史记录中VPN设备正常运行对应的操作日志训练初始机器学习模型得到。可以理解的是,由于预设动态基线模型是正常运行对应的操作日志训练得到,当三层关联数据不符合预设动态基线模型时,即表明很有可能存在异常操作,识别该异常操作。异常操作具体是指危害整个组网网络安全的操作,其包括但不限于针对单位时间内频繁登录VPN的IP进行提取;针对一段时间内密码错误多次的IP进行提取;针对同一IP使用多个用户名登录的操作进行提取;针对同一用户名,多个IP登录的操作进行提取。
在实际应用中,以远程办公为例,在完成对VPN在线操作日志的采集以及操作行为的三层关联后,服务器进行远程办公登陆与操作行为的异常分析,该分析手段利用机器学习算法为支撑,从历史行为过程中,学习形成用户的动态基线,基于动态基线对可能存在的暴力破解/盗号使用等安全威胁进行识别与发现。
S800:推送与异常操作对应的告警信息。
在发现了异常操作之后,生成与异常操作对应的告警信息,并且将该告警信息推送给管理人员,以使管理人员了解到目前组网中存在异常操作行为。非必要的,服务器还可以将一段时间内的异常操作进行统计,例如可以统计这些异常操作对应的登录IP、具体的异常操作事项等,再将统计归集后的数据集中展示给到管理人员。
上述在线操作监测方法,获取VPN设备的在线操作日志,解析在线操作日志,生成登录IP、用户名以及操作的三层关联数据;根据三层关联数据与预设动态基线模型,识别异常操作;推送与异常操作对应的告警信息;其中,预设动态基线模型由历史记录中VPN设备正常运行对应的操作日志训练得到。整个过程中,由于预设动态基线模型是VPN设备正常运行对应的操作日志,因此可以根据登录IP、用户名以及操作的三层关联数据以及预设动态基线模型准确识别出异常操作。
在其中一个实施例中,获取VPN设备的在线操作日志包括:采用syslog方式采集VPN设备的在线操作日志。
syslog方式是指记录至系统记录的方式,即要求VPN设备将自身的在线操作日志都上传至服务器的系统记录中。非必要的,服务器可以要求VPN按照预设周期上传在线操作日志,例如1分钟上传一次数据,即在服务器中1分钟刷新一次全网中各个VPN设备上传的在线操作日志。
在其中一个实施例中,采用syslog方式采集VPN设备的在线操作日志包括:
采用syslog方式采集VPN设备的初始在线操作日志;对初始在线操作日志进行VPN日志范式化处理,提取在线操作记录。
针对采用syslog方式采集的初始在线操作日志还需要进行VPN日志范式化处理,以使方便数据后续标准化处理,提取其中携带的在线操作记录。非必要的,还可以按照预设标准化的语义进行存储与分析。
在其中一个实施例中,根据三层关联数据与预设动态基线模型,识别异常操作之前,还包括:
获取历史记录中全网正常运行下VPN设备的在线操作日志,得到常规在线操作日志;提取常规在线操作日志中的登录IP、用户名以及操作,得到训练数据;采用训练数据训练初始机器学习模型,得到预设动态基线模型。
初始机器学习模型可以采用目前已有的机器学习模型,优选的可以采用线性分类机器学习模型。通过分析在历史记录中全网正常运行下VPN设备的在线操作日志的数据来得到一个常规、标准的训练数据,以该正常运行数据作为“参照对象”来训练训练初始机器学习模型,以使预设动态基线模型能够识别出正常的在线操作日志,反之,在使用过程中可以通过登录IP、用户名以及操作三项关联数据识别异常操作。
在其中一个实施例中,异常操作包括单位时间登录VPN的次数大于预设登录次数阈值、单位时间内访问密钥错误次数大于预设错误次数阈值、相同登录IP使用不同用户名数量大于预设用户名数量阈值以及相同用户名历史累计使用登录IP的数量大于预设登录IP数量阈值。
预设登录次数阈值、预设错误次数阈值、预设用户名数量阈值以及预设登录IP数量阈值是预先设定数量,其具体可以根据实际情况的需要进行设置。具体来说,当存在以下任意一种情况,则判定存在异常操作:a.单位时间内频繁(1分钟内超过5次)登录VPN的IP进行提取;b.一段时间内密码错误多次(24小时内密码错误超过3次)的IP进行提取;c.同一IP使用多个帐号(使用超过5个账号)登录的操作进行提取;d.同一帐号,多个IP登录(采用超过5个IP)的操作进行提取。
如图3所示,在其中一个实施例中,S800包括:
S820:获取异常操作对应的用户名以及登录IP;
S840:将异常操作对应的用户名以及登录IP填充预设告警模板中,得到告警信息;
S860:推送告警信息。
服务器获取异常操作对应的用户名以及登录IP将这部分信息填写到预设告警模板中,采用模板样式将告警信息推送给到管理人员,便于管理人员查阅。预设告警模板是预先创建的专门用于发布告警信息的模板,其具体可以为“请注意,账号AA,使用192.168.XXX的IP地址多次登录”。
在其中一个实施例中,上述在线操作监测方法还包括:
定位组网中发生异常操作的登录IP,得到异常登录IP;封堵异常登录IP。
针对出现异常操作的登录IP对其进封堵,避免其对整个网络或者用户账号造成损失。
在实际应用中,继续以远程办公为例,服务器可以基于远程办公账户及登录源IP地址所在地理位置,并进行统计分析;基于远程办公的账户行为的异常情况进行展示与预警,如短时间多次频繁登录(可能是暴力破解),登录源IP地址为代理IP(可能是账号被盗),短时间内在不同地理位置登录(可能是账号被盗)。进一步的,对出现异常登录行为的IP地址,由系统联动前端安全防护设备进行自动封堵,对异常账户应关闭其权限,排查整改完毕后才允许开通;同时,技术手段与管理机制想结合,对VPN连接增挂系统网络线路进行实时安全监测,如发现网络攻击情况,应及时关闭VPN对增挂系统访问策略,排查整改完毕后才允许开通。
应该理解的是,虽然上述各流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,上述各流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
如图4所示,一种在线操作监测系统,系统包括:
日志获取模块200,用于获取VPN设备的在线操作日志;
解析模块400,用于解析在线操作日志,生成登录IP、用户名以及操作的三层关联数据;
异常识别模块600,用于根据三层关联数据与预设动态基线模型,识别异常操作;
告警推送模块800,用于推送与异常操作对应的告警信息;
其中,预设动态基线模型由历史记录中VPN设备正常运行对应的操作日志训练得到。
上述在线操作监测系统,获取VPN设备的在线操作日志,解析在线操作日志,生成登录IP、用户名以及操作的三层关联数据;根据三层关联数据与预设动态基线模型,识别异常操作;推送与异常操作对应的告警信息;其中,预设动态基线模型由历史记录中VPN设备正常运行对应的操作日志训练得到。整个过程中,由于预设动态基线模型是VPN设备正常运行对应的操作日志,因此可以根据登录IP、用户名以及操作的三层关联数据以及预设动态基线模型准确识别出异常操作
在其中一个实施例中,日志获取模块200还用于采用syslog方式采集VPN设备的在线操作日志。
在其中一个实施例中,日志获取模块200还用于采用syslog方式采集VPN设备的初始在线操作日志;对初始在线操作日志进行VPN日志范式化处理,提取在线操作记录。
在其中一个实施例中,上述在线操作监测系统还包括模型构建模块,用于获取历史记录中全网正常运行下VPN设备的在线操作日志,得到常规在线操作日志;提取常规在线操作日志中的登录IP、用户名以及操作,得到训练数据;采用训练数据训练初始机器学习模型,得到预设动态基线模型。
在其中一个实施例中,异常操作包括单位时间登录VPN的次数大于预设登录次数阈值、单位时间内访问密钥错误次数大于预设错误次数阈值、相同登录IP使用不同用户名数量大于预设用户名数量阈值以及相同用户名历史累计使用登录IP的数量大于预设登录IP数量阈值。
在其中一个实施例中,告警推送模块800还用于获取异常操作对应的用户名以及登录IP;将异常操作对应的用户名以及登录IP填充预设告警模板中,得到告警信息;推送告警信息。
在其中一个实施例中,上述在线操作监测系统还包括封堵模块,用于定位组网中发生异常操作的登录IP,得到异常登录IP;封堵异常登录IP。
关于在线操作监测系统的具体限定可以参见上文中对于在线操作监测方法的限定,在此不再赘述。上述在线操作监测系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种在线操作监测方法。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
获取VPN设备的在线操作日志;
解析在线操作日志,生成登录IP、用户名以及操作的三层关联数据;
根据三层关联数据与预设动态基线模型,识别异常操作;
推送与异常操作对应的告警信息;
其中,预设动态基线模型由历史记录中VPN设备正常运行对应的操作日志训练得到。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
采用syslog方式采集VPN设备的在线操作日志。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
采用syslog方式采集VPN设备的初始在线操作日志;对初始在线操作日志进行VPN日志范式化处理,提取在线操作记录。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取历史记录中全网正常运行下VPN设备的在线操作日志,得到常规在线操作日志;提取常规在线操作日志中的登录IP、用户名以及操作,得到训练数据;采用训练数据训练初始机器学习模型,得到预设动态基线模型。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取异常操作对应的用户名以及登录IP;将异常操作对应的用户名以及登录IP填充预设告警模板中,得到告警信息;推送告警信息。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
定位组网中发生异常操作的登录IP,得到异常登录IP;封堵异常登录IP。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
获取VPN设备的在线操作日志;
解析在线操作日志,生成登录IP、用户名以及操作的三层关联数据;
根据三层关联数据与预设动态基线模型,识别异常操作;
推送与异常操作对应的告警信息;
其中,预设动态基线模型由历史记录中VPN设备正常运行对应的操作日志训练得到。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
采用syslog方式采集VPN设备的在线操作日志。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
采用syslog方式采集VPN设备的初始在线操作日志;对初始在线操作日志进行VPN日志范式化处理,提取在线操作记录。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取历史记录中全网正常运行下VPN设备的在线操作日志,得到常规在线操作日志;提取常规在线操作日志中的登录IP、用户名以及操作,得到训练数据;采用训练数据训练初始机器学习模型,得到预设动态基线模型。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取异常操作对应的用户名以及登录IP;将异常操作对应的用户名以及登录IP填充预设告警模板中,得到告警信息;推送告警信息。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
定位组网中发生异常操作的登录IP,得到异常登录IP;封堵异常登录IP。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (9)

1.一种在线操作监测方法,其特征在于,所述方法包括:
获取VPN设备的在线操作日志;
解析所述在线操作日志,将所述在线操作日志中登录IP、用户名以及操作关联,生成登录IP、用户名以及操作的三层关联数据;
根据所述三层关联数据与预设动态基线模型,识别异常操作;
推送与所述异常操作对应的告警信息;
其中,所述预设动态基线模型由历史记录中VPN设备正常运行对应的操作日志训练得到;
所述根据所述三层关联数据与预设动态基线模型,识别异常操作之前,还包括:获取历史记录中全网正常运行下VPN设备的在线操作日志,得到常规在线操作日志;提取所述常规在线操作日志中的登录IP、用户名以及操作,得到训练数据;采用所述训练数据训练初始机器学习模型,得到预设动态基线模型,所述初始机器学习模型包括线性分类机器学习模型。
2.根据权利要求1所述的方法,其特征在于,所述获取VPN设备的在线操作日志包括:
采用syslog方式采集VPN设备的在线操作日志。
3.根据权利要求2所述的方法,其特征在于,所述采用syslog方式采集VPN设备的在线操作日志包括:
采用syslog方式采集VPN设备的初始在线操作日志;
对所述初始在线操作日志进行VPN日志范式化处理,提取在线操作记录。
4.根据权利要求1所述的方法,其特征在于,所述异常操作包括单位时间登录VPN的次数大于预设登录次数阈值、单位时间内访问密钥错误次数大于预设错误次数阈值、相同登录IP使用不同用户名数量大于预设用户名数量阈值以及相同用户名历史累计使用登录IP的数量大于预设登录IP数量阈值。
5.根据权利要求1所述的方法,其特征在于,所述推送与所述异常操作对应的告警信息包括:
获取异常操作对应的用户名以及登录IP;
将异常操作对应的用户名以及登录IP填充预设告警模板中,得到告警信息;
推送所述告警信息。
6.根据权利要求1所述的方法,其特征在于,还包括:
定位组网中发生异常操作的登录IP,得到异常登录IP;
封堵所述异常登录IP。
7.一种在线操作监测系统,其特征在于,所述系统包括:
日志获取模块,用于获取VPN设备的在线操作日志;
解析模块,用于解析所述在线操作日志,将所述在线操作日志中登录IP、用户名以及操作关联,生成登录IP、用户名以及操作的三层关联数据;
异常识别模块,用于根据所述三层关联数据与预设动态基线模型,识别异常操作;
告警推送模块,用于推送与所述异常操作对应的告警信息;其中,所述预设动态基线模型由历史记录中VPN设备正常运行对应的操作日志训练得到;
模型构建模块,用于获取历史记录中全网正常运行下VPN设备的在线操作日志,得到常规在线操作日志;提取常规在线操作日志中的登录IP、用户名以及操作,得到训练数据;采用训练数据训练初始机器学习模型,得到预设动态基线模型,所述初始机器学习模型包括线性分类机器学习模型。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
CN202110827148.2A 2021-07-21 2021-07-21 在线操作监测方法与系统 Active CN113285962B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110827148.2A CN113285962B (zh) 2021-07-21 2021-07-21 在线操作监测方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110827148.2A CN113285962B (zh) 2021-07-21 2021-07-21 在线操作监测方法与系统

Publications (2)

Publication Number Publication Date
CN113285962A CN113285962A (zh) 2021-08-20
CN113285962B true CN113285962B (zh) 2021-12-17

Family

ID=77286840

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110827148.2A Active CN113285962B (zh) 2021-07-21 2021-07-21 在线操作监测方法与系统

Country Status (1)

Country Link
CN (1) CN113285962B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114615037A (zh) * 2022-03-02 2022-06-10 奇安信科技集团股份有限公司 用于安全分析的实时空间行为安全基线生成方法及装置
CN114912678A (zh) * 2022-05-10 2022-08-16 国网江苏省电力有限公司苏州供电分公司 电网调控异常操作在线自动检测预警方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103905464A (zh) * 2014-04-21 2014-07-02 西安电子科技大学 基于形式化方法的网络安全策略验证系统及方法
CN110674021A (zh) * 2019-09-09 2020-01-10 深圳供电局有限公司 一种移动应用登录日志的检测方法及系统
CN112926048A (zh) * 2021-05-11 2021-06-08 北京天空卫士网络安全技术有限公司 一种异常信息检测方法和装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190141067A1 (en) * 2017-11-09 2019-05-09 Cisco Technology, Inc. Deep recurrent neural network for cloud server profiling and anomaly detection through dns queries
CN110618977B (zh) * 2019-09-12 2023-10-31 腾讯科技(深圳)有限公司 登录异常检测方法、装置、存储介质和计算机设备
CN111177095B (zh) * 2019-12-10 2023-10-27 中移(杭州)信息技术有限公司 日志分析方法、装置、计算机设备及存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103905464A (zh) * 2014-04-21 2014-07-02 西安电子科技大学 基于形式化方法的网络安全策略验证系统及方法
CN110674021A (zh) * 2019-09-09 2020-01-10 深圳供电局有限公司 一种移动应用登录日志的检测方法及系统
CN112926048A (zh) * 2021-05-11 2021-06-08 北京天空卫士网络安全技术有限公司 一种异常信息检测方法和装置

Also Published As

Publication number Publication date
CN113285962A (zh) 2021-08-20

Similar Documents

Publication Publication Date Title
US9560067B2 (en) Correlation based security risk identification
CN109525558B (zh) 数据泄露检测方法、系统、装置及存储介质
KR101883400B1 (ko) 에이전트리스 방식의 보안취약점 점검 방법 및 시스템
CN101924757B (zh) 追溯僵尸网络的方法和系统
CN113285962B (zh) 在线操作监测方法与系统
CN106789935B (zh) 一种终端异常检测方法
US6993683B2 (en) Analysis of pipelined networks
CN111586033A (zh) 一种数据中心的资产数据中台
CN111092845B (zh) 一种访问涉密文件的预警评估方法及系统
CN113614718A (zh) 异常用户会话检测器
US20160294860A1 (en) Honey user
CN113572757B (zh) 服务器访问风险监测方法及装置
CN111327601A (zh) 异常数据响应方法、系统、装置、计算机设备和存储介质
CN106911510B (zh) 网络准入系统的可用性监测系统及方法
CN100379201C (zh) 可控计算机网络的分布式黑客追踪的方法
CN114760083B (zh) 一种攻击检测文件的发布方法、装置及存储介质
CN109600395A (zh) 一种终端网络接入控制系统的装置及实现方法
US9742641B2 (en) System and method for identifying real users behind application servers
US9003514B1 (en) System and method to troubleshoot a defect in operation of a machine
CN113194088B (zh) 访问拦截方法、装置、日志服务器和计算机可读存储介质
CN114301802A (zh) 密评检测方法、装置和电子设备
CN114297712A (zh) 基于数据流转全流程审计的数据防攻击方法及装置
CN114124512A (zh) 基于流量行为分析的微信小程序监管方法、系统和设备
CN102752318B (zh) 一种基于互联网的信息安全验证方法和系统
CN115174270B (zh) 一种行为异常检测方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address

Address after: Room 86, room 406, No.1, Yichuang street, Zhongxin Guangzhou Knowledge City, Huangpu District, Guangzhou City, Guangdong Province

Patentee after: Southern Power Grid Digital Grid Research Institute Co.,Ltd.

Country or region after: China

Address before: Room 86, room 406, No.1, Yichuang street, Zhongxin Guangzhou Knowledge City, Huangpu District, Guangzhou City, Guangdong Province

Patentee before: Southern Power Grid Digital Grid Research Institute Co.,Ltd.

Country or region before: China

CP03 Change of name, title or address
TR01 Transfer of patent right

Effective date of registration: 20240325

Address after: Floor 12, Unit 2, Building 2, No. 11 Spectral Middle Road, Huangpu District, Guangzhou City, Guangdong Province, 510700, China

Patentee after: China Southern Power Grid Digital Power Grid Group Information Communication Technology Co.,Ltd.

Country or region after: China

Address before: Room 86, room 406, No.1, Yichuang street, Zhongxin Guangzhou Knowledge City, Huangpu District, Guangzhou City, Guangdong Province

Patentee before: Southern Power Grid Digital Grid Research Institute Co.,Ltd.

Country or region before: China

TR01 Transfer of patent right