CN113515493B - 日志关联方法和装置 - Google Patents

日志关联方法和装置 Download PDF

Info

Publication number
CN113515493B
CN113515493B CN202110818264.8A CN202110818264A CN113515493B CN 113515493 B CN113515493 B CN 113515493B CN 202110818264 A CN202110818264 A CN 202110818264A CN 113515493 B CN113515493 B CN 113515493B
Authority
CN
China
Prior art keywords
account identifier
account
operation log
log
label
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110818264.8A
Other languages
English (en)
Other versions
CN113515493A (zh
Inventor
关泰璐
于林涛
周莉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Unicom Big Data Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Unicom Big Data Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd, Unicom Big Data Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202110818264.8A priority Critical patent/CN113515493B/zh
Publication of CN113515493A publication Critical patent/CN113515493A/zh
Application granted granted Critical
Publication of CN113515493B publication Critical patent/CN113515493B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/1805Append-only file systems, e.g. using logs or journals to store data
    • G06F16/1815Journaling file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供一种日志关联方法和装置,该方法包括:获取堡垒机在SSH跳转时间内第一操作日志以及第一主机在SSH跳转时间内的第二操作日志;获取第一操作日志对应的各个第一账号标识以及第二操作日志对应的第二账号标识;确定第二账号标识与每个第一账号标识之间的相似度;在第一操作日志中,获取最大相似度对应的第一账号标识的第三操作日志,并将第三操作日志与第二操作日志进行关联。本发明的方法,在堡垒机进行SSH操作前后时间内的操作日志中,找到与SSH跳转的主机的账号的堡垒操作日志,并将主机操作日志与找打的堡垒机日志进行关联,使得堡垒机能够获取SSH跳转后的主机操作情况,提高了风险溯源的准确性。

Description

日志关联方法和装置
技术领域
本发明涉及信息安全技术,尤其涉及一种日志关联方法和装置。
背景技术
随着信息技术的发展,企业内部对数据安全的重视程度日趋增强,内部严控数据泄露、数据篡改和高风险操作。当企业内部出现此类风险情况时,需做到及时风险溯源,确认内部威胁源头,最大程度控制风险,防止风险蔓延。
根据各类操作日志对风险溯源是安全运维常使用的方法,主机日志和堡垒机日志均可记录各类操作行为。因堡垒机日志中含有用户账号和系统账号,当风险发生时,可准确定位到操作人员。
但堡垒机日志仅包含无安全外壳协议(Secure Shell,简称SSH)跳转操作的主机日志,日常溯源可主要以堡垒机日志为依据,但当内部员工在主机操作中出现SSH跳转时,由于堡垒机无法记录跳转后主机的操作情况,造成部分日志丢失,无法实行全面溯源。可见,风险溯源的准确性较低。
发明内容
本发明提供一种日志关联方法和装置,用以解决风险溯源的准确性较低的问题。
一方面,本发明提供一种日志关联方法,包括:
在堡垒机执行安全外壳协议SSH操作使所述SSH跳转至第一主机时,获取所述堡垒机在目标时间段内第一操作日志以及所述第一主机在所述目标时间段内的第二操作日志,其中,所述目标时间段包括所述SSH跳转的时间点;
获取所述第一操作日志对应的各个第一账号标识以及所述第二操作日志对应的第二账号标识,所述第一账号标识由用户账号和系统账号组成,所述第二账号标识由IP地址和系统账号组成;
确定所述第二账号标识与每个所述第一账号标识之间的相似度;
在所述第一操作日志中,获取最大相似度对应的第一账号标识的第三操作日志,并将所述第三操作日志与所述第二操作日志进行关联。
在一实施例中,所述确定所述第二账号标识与每个所述第一账号标识之间的相似度的步骤包括:
在堡垒机账号标签库中,获取每个所述第一账号标识对应的第一标签,所述第一标签根据第一账号标识对应的用户在堡垒机进行操作所得到的数据确定;
在主机账号标签库中,获取所述第二账号标识对应的第二标签,所述第二标签根据第二账号标识对应的用户在主机进行的操作数据确定;
根据所述第一标签以及所述第二标签,确定所述第二账号标识与每个所述第一账号标识之间的相似度。
在一实施例中,所述根据所述第一标签以及所述第二标签,确定所述第二账号标识与每个所述第一账号标识之间的相似度的步骤包括:
根据所述第一账号标识对应的各个第一标签,生成每个所述第一账号标识对应的第一特征向量;
根据所述第二账号标识对应的各个第二标签,生成所述第二账号标识对应的第二特征向量;
确定所述第二特征向量与所述第一特征向量之间的距离,并根据所述距离确定所述第一账户标识与所述第二账户标识之间的相似度。
在一实施例中,所述在堡垒机账号标签库中,获取每个所述第一账号标识对应的第一标签的步骤之前,还包括:
获取堡垒机的历史操作日志,并在所述堡垒机的历史操作日志中获取各个第三账号标识;
在所述堡垒机的历史操作日志中,获取所述第三账号标识在每种第一指标对应的数值,所述第一指标包括操作习惯、业务类型和风险操作;
根据所述第一指标以及所述第一指标对应的数值生成所述第三账号标识对应的第三标签;
根据所述第三账号标识与所述第三账号标识对应的各个所述第三标签,构建所述堡垒机账号标签库。
在一实施例中,所述在主机账号标签库中,获取所述第二账号标识对应的第二标签的步骤之前,还包括:
获取每个第二主机对应的历史操作日志,并在所述第二主机对应的历史操作日志中确定第四账号标识;
在所述第二主机对应的历史操作日志中,获取所述第四账号标识在每种第二指标对应的数值,所述第二指标包括操作习惯、业务类型和风险操作;
根据所述第二指标以及所述第二指标对应的数值生成所述第四账号标识对应的第四标签;
根据所述第四账号标识与所述第四账号标识对应的各个所述第四标签,构建所述主机账号标签库。
在一实施例中,所述将所述第三操作日志与所述第二操作日志进行关联的步骤之后,还包括:
按照各个所述SSH跳转的时间,对每个所述SSH跳转对应的关联日志进行排序,其中,所述关联日志根据所述SSH跳转所对应的第三操作日志与第二操作日志关联得到。
另一方面,本发明还提供一种日志关联装置,包括:
获取模块,用于在堡垒机执行安全外壳协议SSH操作使所述SSH跳转至第一主机时,获取所述堡垒机在目标时间段内第一操作日志以及所述第一主机在所述目标时间段内的第二操作日志,其中,所述目标时间段包括所述SSH跳转的时间点;
所述获取模块,还用于获取所述第一操作日志对应的各个第一账号标识以及所述第二操作日志对应的第二账号标识,所述第一账号标识由用户账号和系统账号组成,所述第二账号标识由IP地址和系统账号组成确定模块,用于确定所述第二账号标识与每个所述第一账号标识之间的相似度;
所述获取模块,还用于在所述第一操作日志中,获取最大相似度对应的第一账号标识的第三操作日志,并将所述第三操作日志与所述第二操作日志进行关联。
另一方面,本发明还提供一种日志关联设备,包括:存储器和处理器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,使得所述处理器执行如上所述的日志关联方法。
另一方面,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上所述的日志关联方法。
另一方面,本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时,实现如上所述的日志关联方法。
本发明提供的日志关联方法和装置,在堡垒机执行SSH操作使SSH跳转至第一主机时,装置获取堡垒机在SSH跳转前后时间内的第一操作日志,且获取第一主机在目标时间段内的第二操作日志,再获取第一操作日志的各个第一账号标识以及第二操作日志的第二账号标识,计算第二账号标识与每个第一账号标识之间的相似度,从而在第一操作日志中提取最大相似度的第一账号标识所对应的第三操作日志,最后将第三操作日志与第二操作日志进行关联。本发明装置在堡垒机进行SSH操作前后时间内的操作日志中,找到与SSH跳转的主机的账号的堡垒操作日志,最后将查找的堡垒操作日志与主机的操作日志进行关联,使得堡垒机能够基于关联的操作日志获取SSH跳转后的主机操作情况,进而可以进行全面的风险溯源,提高了风险溯源的准确性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1为本发明实现日志关联方法的系统构架图;
图2为本发明日志关联方法第一实施例的流程示意图;
图3为本发明日志关联方法第二实施例中步骤S30的细化流程示意图;
图4为本发明日志关联装置的功能模块示意图;
图5为本发明日志关联装置的硬件结构示意图。
通过上述附图,已示出本公开明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围,而是通过参考特定实施例为本领域技术人员说明本公开的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
本发明提供一种日志关联方法,日志关联方法可以通过图1所示的系统构架图实现。如图1所示,实现日志关联方法设计的装置包括堡垒机100、第一主机200、第二主机300以及日志关联装置400。第一主机200以及第二主机300与堡垒机100通信连接。在需要进行SSH跳转时,用户先登录到堡垒机100的第一主机200,且堡垒机100执行一些操作指令,堡垒机100在执行SSH跳转,从而使得SSH跳转至第二主机300。
第二主机300将SSH跳转前后的操作日志发送至日志关联装置400,且堡垒机100将SSH跳转前后的操作日志发送至日志管理装置400。日志管理装置400整合堡垒机100的操作日志,以操作日志中的用户账号以及系统账号作为堡垒机日志的标识,并基于操作日志获取标识在每种指标下的操作数据,操作数据即可形成标识对应的标签,日志关联装置400将标识以及标识对应的各个标签进行关联,并基于每个标识以及标识对应的标签构建成堡垒机账号标签库。日志管理装置400整合各个第二主机100的操作日志,以操作日志中的源IP地址和系统账号中作为第二主机日志的标识,并基于操作日志获取标识在每种指标下的操作数据,操作数据即可形成标识对应的标签,日志关联装置400将标识以及标识对应的各个标签进行关联,并基于每个标识以及标识对应的标签构建成主机账号标签库。日志关联装置400获取堡垒机100进行SSH跳转的操作日志,且获取SSH跳转至第二主机300的操作日志,通过两个操作日志对有的标识,从堡垒机100的操作日志确定第二主机对应的账号在堡垒机进行的目标操作日志,再将目标操作日志与第二主机300的操作日志进行关联。
下面以具体地实施例对本发明的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本发明的实施例进行描述。
参照图2,图2为本发明日志关联方法的第一实施例,日志关联方法包括以下步骤:
步骤S10,在堡垒机执行安全外壳协议SSH操作使SSH跳转至第一主机时,获取堡垒机在目标时间段内第一操作日志以及第一主机在目标时间段内的第二操作日志,其中,目标时间段包括SSH跳转的时间点。
在本实施例中,执行主体为日志关联装置。为了便于描述,以下采用装置指代日志关联装置。堡垒机在执行SSH操作使得SSH跳转至第一主机时,堡垒机会获取堡垒机在目标时间段内的第一操作日志。目标时间段包括SSH跳转的时间点,也即第一操作日志是SSH跳转前后堡垒机的操作日志。例如,堡垒机获取跳转时间点前后5min的所有操作日志作为第一操作日志。堡垒机将第一操作日志传输至装置。需要说明的是,堡垒机在提取到操作日志,会通过正则表达式提起日志字段,日志字段包括操作内容、系统账号用户账号等,堡垒机通过提取的日志字段构成第一操作日志。
此外,在进行SSH跳转时,第一主机会获取目标时间段内的第二操作日志,第一主机会将第二操作日志发送至装置。进一步的,主机日志在提取到操作日志,会通过正则表达式提起日志字段,日志字段包括源IP地址、主机IP地址、系统账号等,第一主机通过提取的日志字段构成第二操作日志。
步骤S20,获取第一操作日志对应的各个第一账号标识以及第二操作日志对应的第二账号标识,第一账号标识由用户账号和系统账号组成,第二账号标识由IP地址和系统账号组成。
装置在获取到第一操作日志后,在第一操作日志中查找用户账号以及系统账号,从而得到堡垒机的操作日志的标识,该标识定义为第一账号标识,也即第一账号标识由用户账号与系统账号组成。由于各个用户均可以登录堡垒机进行实用,因而第一操作日志中包括了多个用户账号以及系统账号,也即装置可以基于第一操作日志得到多个第一账号标识。
装置在获取到第二操作日志后,基于第二操作日志内的IP地址以及系统账号确定第二账号标识,也即第二账号标识由IP地址以及系统账号组成。IP地址可以是源IP地址以及主机IP地址中的至少一个。
步骤S30,确定第二账号标识与每个第一账号标识之间的相似度。
装置得到一个第二账号标识以及多个第一账号标识之后,需要在第二操作信息中查找第一主机对应的账号在堡垒机上进行的操作。而同一个账号的用户在不同终端上进行的操作有一定的相似性。对此,装置可以获取第二账号标识对应的操作数据,且获取每个第一账号标识对应的操作数据,基于操作数据计算第一账号标识以及第二账号标识的相似度。
步骤S40,在第一操作日志中,获取最大相似度对应的第一账号标识的第三操作日志,并将第三操作日志与第二操作日志进行关联。
相似度体现了第一账号标识对应的用户以及第二账号标识对应的用户的操作相似性,相似度越大,则两个账号标识对应的用户为同一用户的可能性越大。对此,装置获取最大相似度对应的第一账号标识,将其定义为目标账号标识,并在第一操作日志中提取出目标账号标识所对应的第三操作日志,最后将第三操作日志与第二操作日志进行关联。
进一步的,装置会将堡垒机所对应的各个关联日志进行合并。关联日志指的是第三操作日志与第二操作日志关联后所形成的操作日志。堡垒机每进行SSH跳转后,即可得到一个关联日志。装置将各个关联日志按照SSH跳转的时间对每个SSH跳转对应的关联日志进行排序,再将各个排序后的关联日志进行合并,从而形成操作日志链条,便于后续高危操作溯源以及风险告警。
在本实施例提供技术方案中,在堡垒机执行SSH操作使SSH跳转至第一主机时,装置获取堡垒机在SSH跳转前后时间内的第一操作日志,且获取第一主机在目标时间段内的第二操作日志,再获取第一操作日志的各个第一账号标识以及第二操作日志的第二账号标识,计算第二账号标识与每个第一账号标识之间的相似度,从而在第一操作日志中提取最大相似度的第一账号标识所对应的第三操作日志,最后将第三操作日志与第二操作日志进行关联。本发明装置在堡垒机进行SSH操作前后时间内的操作日志中,找到与SSH跳转的主机的账号的堡垒操作日志,最后将查找的堡垒操作日志与主机的操作日志进行关联,使得堡垒机能够基于关联的操作日志获取SSH跳转后的主机操作情况,进而可以进行全面的风险溯源,提高了风险溯源的准确性。
参照图3,图3为本发明日志关联方法第二实施例,基于第一实施例,步骤S30包括:
步骤S31,在堡垒机账号标签库中,获取每个第一账号标识对应的第一标签,第一标签根据第一账号标识对应的用户在堡垒机进行操作所得到的数据确定。
步骤S32,在主机账号标签库中,获取第二账号标识对应的第二标签,第二标签根据第二账号标识对应的用户在主机进行操作所得到的数据确定。
步骤S33,根据第一标签以及第二标签,确定第二账号标识与每个第一账号标识之间的相似度。
在本实施例中,装置设有堡垒机账号标签库以及主机账号标签库。堡垒机账号标签库中存储有各个堡垒机操作日志的账号标识以及账号标识关联的各个标签。标签通过账号标识在堡垒机进行操作的数值确定。
主机账号标签库中存储有各个主机操作日志的账号标识以及账号标识关联的各个标签。标签通过账号标识在主机进行操作的数值确定。
装置在得到第一账号标识后,在堡垒机账号标签库中获取每个第一账号标识对应的第一标签,且第一账号标签对应有对个第一标签。可以理解的是,第一标签基于第一账号标识对应的用户在堡垒机进行操作所得到的操作数据确定。
装置在得到第二账号标识后,在主机账号标签库中获取第二账号标识对应的各个第二标签,第二标签基于第二账号标识对应的用户在主机进行操作所得到的操作数据确定。
第一标签上有第一账户标识对应的用户进行操作的数据,第二标签有第二账户标签进行操作的数据。装置基于第一账号标识的各个第一标签,以及第二账户标识标签对应的各个第二标签,计算第一账户标识与第二账户标识之间的相似度。例如,装置比对相同类型的第一标签与第二标签的数值差值,基于每种差值以及每种类型的权重计算分值,分值对应一个相似度,因而可以得到第一账户标识与第二账户标识之间的相似度。
进一步的,装置基于第一账号标识的各个第一标签生成第一账户标识对的第一特征向量,且基于第二账号标识对有的各个第二标签生成第二特征向量。具体的,装置将标签作为维度、标签的数值作为维度数值,构建特征向量。
装置在计算第二特征向量与每个第一特征向量之间的距离,也即计算两个特征向量之间的欧式距离。距离即可表征第一账号标识以及第二账户标识之间的相似度,也即根据距离作为第一账号标识与第二账户标识之间的相似度。第二特征向量与每个第一特征向量之间的最小距离Aj可以通过如下公式计算得到:
Figure BDA0003170957470000091
其中,Ail为第一特征向量,H1l为第二特征向量。
本实施例中,由于主机操作存在多个用户共用同一系统账号的情况,并且同一出口IP地址可对应多个系统账号。当用户进行SSH操作时,堡垒机上无法记录SSH跳转后的操作日志,本实施例提供根据用户的操作习惯和业务类型等特点,将主机SSH跳转日志与该段时间内的堡垒机日志关联。
在本实施例提供的技术方案中,装置在堡垒机账号标签库中获取每个第一账号标识对应的第一标签,且在主机账号标签库中获取第二账号标识对应的第二标签,从而基于第一标签以及第二标签准确的确定第二账户标识与每个第一账户标识之间的相似度。
在一实施例中,步骤S31之前,还包括:
获取堡垒机的历史操作日志,并在堡垒机的历史操作日志中获取各个第三账号标识。
在堡垒机的历史操作日志中,获取第三账号标识在每种第一指标对应的数值,第一指标包括操作习惯、业务类型和风险操作。
根据第一指标以及第一指标对应的数值生成第三账号标识对应的第三标签。
根据第三账号标识与第三账号标识对应的各个第三标签,构建堡垒机账号标签库。
在本实施例中,装置基于获取堡垒机的历史操作日志构建堡垒机账号标签库。具体的,装置以预设天数为准获取堡垒机的历史操作日志,例如,获取30天内的堡垒机的历史操作日志。将其定义为第一历史操作日志。第一历史操作日志至少包含产生时间、操作详情、源IP地址、系统账号和用户账号
装置以用户账号和系统账号为堡垒机日志唯一标识A,标识A也即为第三账户标识。装置在第一历史操作日志中,获取第三账号标识在每种第一指标所对应的数值。第一指标包括操作习惯、业务类型以及风险操作。也即装置在第一历史操作日志中,获取第三账号标识在操作习惯、业务类型以及风险操作的数值分布情况,每种第一指标以及第一指标对应的数值即可生成第三账户标识对应的第三标签。装置通过每个第三账户标识以及账户标识对应的各个第三标签即可构建堡垒机账号标签库。
例如,根据近30天的堡垒机日志详情,使用用户账号username和系统账号systemuser为唯一标识A(username,systemuser),并依照操作习惯、业务类型、风险操作三类指标对该唯一标识打标得到标签。标签内容包含工作日操作、休息日操作、工作类型、有SQL操作、高危操作数量、文件传输数量、日均操作时长等。
操作习惯:该类指标反映用户的操作特点,如日均工作时长、工作日操作时长、节假日操作时长、活跃天数。
业务类型:该类指标反映用户的业务属性,可分为日常运维操作、Hadoop操作、SQL操作、python脚本等。
风险操作:该类指标反映用户在历史操作情况中是否存在风险操作,可分为数据库类风险操作、文件上传下载、外网登录、SSH跳转操作等。
在本实施例中,装置基于堡垒机的历史操作日志对堡垒机IDE第三账户标识进行打标得到第三账户标识对应的各个第三标签,从而构建堡垒机账号标签库。
在一实施例中,步骤S32之前,还包括:
获取每个第二主机对应的历史操作日志,并在第二主机对应的历史操作日志中确定第四账号标识。
在第二主机对应的历史操作日志中,获取第四账号标识在每种第二指标对应的数值,第二指标包括操作习惯、业务类型和风险操作。
根据第二指标以及第二指标对应的数值生成第四账号标识对应的第四标签。
根据第四账号标识与第四账号标识对应的各个第四标签,构建主机账号标签库。
在本实施例中,装置基于获取的第二主机的历史操作日志构建主机账号标签库。具体的,装置以预设天数为准获取第二主机的历史操作日志,例如,获取30天内的第二主机的历史操作日志。将其定义为第二历史操作日志。第二历史操作日志至少包含主机IP地址、操作详情、系统账号、源IP地址和产生时间
装置以源IP地址src_ip和系统账号systemuser为主机日志的唯一标识H(src_ip,systemuser),标识H也即为第四账户标识。装置在第二历史操作日志中,获取第四账号标识在每种第二指标所对应的数值。第二指标包括操作习惯、业务类型以及风险操作。也即装置在第二历史操作日志中,获取第四账号标识在操作习惯、业务类型以及风险操作的数值分布情况,每种第二指标以及第二指标对应的数值即可生成第四账户标识对应的第四标签。装置通过每个第四账户标识以及第四账户标识对应的各个第四标签即可构建主机账号标签库。
以下对本发明日志关联方法进行简要说明:
a、以30天为时间窗口、以源IP地址和系统账号为主机日志唯一标识H,动态更新每个主机日志唯一H在操作习惯、业务类型和风险操作三类指标下的数值分布情况,形成主机账号标签库;
b、以30天为时间窗口、以用户账号和系统账号为堡垒机日志唯一标识A,动态更新每个堡垒机日志唯一A在操作习惯、业务类型和风险操作三类指标下的数值分布情况,形式堡垒机账号标签库;
c、利用正则表达式,提取主机日志的操作详情,提取存在SSH跳转操作的主机日志;
d、确认存在SSH操作的主机日志唯一标识H1,对比主机账号标签库,提取该唯一标识的标签;
e、以主机SSH跳转时间为时间节点,提取堡垒机日志中前后5分钟的堡垒机操作记录;确认该段时间的堡垒机日志唯一标识A1......An,对比堡垒机账号标签库,提取该段时间内所有相关唯一标识的标签;
f、分别计算主机日志唯一标识H1与A1......An的欧氏距离;选取最小距离对应的堡垒机唯一标识Aj为最优匹配,将Aj对应的操作日志与H对应的日志关联。
本发明还提供一种日志关联装置400,参照图4,日志关联装置400包括:
获取模块401,用于在堡垒机执行安全外壳协议SSH操作使SSH跳转至第一主机时,获取堡垒机在目标时间段内第一操作日志以及第一主机在目标时间段内的第二操作日志,其中,目标时间段包括SSH跳转的时间点;
获取模块401,用于获取第一操作日志对应的各个第一账号标识以及第二操作日志对应的第二账号标识,第一账号标识由用户账号和系统账号组成,第二账号标识由IP地址和系统账号组成;
确定模块402,用于确定第二账号标识与每个第一账号标识之间的相似度;
获取模块401,用于在第一操作日志中,获取最大相似度对应的第一账号标识的第三操作日志,并将第三操作日志与第二操作日志进行关联。
在一实施例中,日志关联装置400包括:
获取模块401,用于在堡垒机账号标签库中,获取每个第一账号标识对应的第一标签,第一标签根据第一账号标识对应的用户在堡垒机进行操作所得到的数据确定;
获取模块401,用于在主机账号标签库中,获取第二账号标识对应的第二标签,第二标签根据第二账号标识对应的用户在主机进行的操作数据确定;
确定模块402,用于根据第一标签以及第二标签,确定第二账号标识与每个第一账号标识之间的相似度。
在一实施例中,日志关联装置400包括:
生成模块,用于根据第一账号标识对应的各个第一标签,生成每个第一账号标识对应的第一特征向量;
生成模块,用于根据第二账号标识对应的各个第二标签,生成第二账号标识对应的第二特征向量;
确定模块402,用于确定第二特征向量与第一特征向量之间的距离,并根据距离确定第一账户标识与第二账户标识之间的相似度。
在一实施例中,日志关联装置400包括:
获取模块401,用于获取堡垒机的历史操作日志,并在堡垒机的历史操作日志中获取各个第三账号标识;
获取模块401,用于在堡垒机的历史操作日志中,获取第三账号标识在每种第一指标对应的数值,第一指标包括操作习惯、业务类型和风险操作;
生成模块,用于根据第一指标以及第一指标对应的数值生成第三账号标识对应的第三标签;
构建模块,用于根据第三账号标识与第三账号标识对应的各个第三标签,构建堡垒机账号标签库。
在一实施例中,日志关联装置400包括:
获取模块401,用于获取每个第二主机对应的历史操作日志,并在第二主机对应的历史操作日志中确定第四账号标识;
获取模块401,用于在第二主机对应的历史操作日志中,获取第四账号标识在每种第二指标对应的数值,第二指标包括操作习惯、业务类型和风险操作;
生成模块,用于根据第二指标以及第二指标对应的数值生成第四账号标识对应的第四标签;
构建模块,用于根据第四账号标识与第四账号标识对应的各个第四标签,构建主机账号标签库。
在一实施例中,日志关联装置400包括:
排序模块,用于按照各个SSH跳转的时间,对每个SSH跳转对应的关联日志进行排序,其中,关联日志根据SSH跳转所对应的第三操作日志与第二操作日志关联得到。
图5是根据一示例性实施例示出的一种日志关联装置的框图。
日志关联装置500可以包括:处理器51,例如CPU,存储器52以及接发器53。本领域技术人员可以理解,图5中示出的结构并不构成对日志关联装置的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。存储器52可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
处理器51可以调用存储器52内存储的计算机程序,以完成上述的日志关联方法的全部或部分步骤。
接发器53用于接收外部设备发送的信息以及向外部设备发送信息。
一种非临时性计算机可读存储介质,当该存储介质中的指令由终端设备的处理器执行时,使得终端设备能够执行上述日志关联方法。
一种计算机程序产品,包括计算机程序,当该计算机程序由终端设备的处理器执行时,使得终端设备能够执行上述日志关联方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本发明旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求书指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求书来限制。

Claims (6)

1.一种日志关联方法,其特征在于,包括:
在堡垒机执行安全外壳协议SSH操作使所述SSH跳转至第一主机时,获取所述堡垒机在目标时间段内第一操作日志以及所述第一主机在所述目标时间段内的第二操作日志,其中,所述目标时间段包括所述SSH跳转的时间点;
获取所述第一操作日志对应的各个第一账号标识以及所述第二操作日志对应的第二账号标识,所述第一账号标识由用户账号和系统账号组成,所述第二账号标识由IP地址和系统账号组成;
确定所述第二账号标识与每个所述第一账号标识之间的相似度;
在所述第一操作日志中,获取最大相似度对应的第一账号标识的第三操作日志,并将所述第三操作日志与所述第二操作日志进行关联;
所述确定所述第二账号标识与每个所述第一账号标识之间的相似度的步骤包括:
在堡垒机账号标签库中,获取每个所述第一账号标识对应的第一标签,所述第一标签根据第一账号标识对应的用户在堡垒机进行操作所得到的数据确定;
在主机账号标签库中,获取所述第二账号标识对应的第二标签,所述第二标签根据第二账号标识对应的用户在主机进行操作所得到的数据确定;
根据所述第一标签以及所述第二标签,确定所述第二账号标识与每个所述第一账号标识之间的相似度;
所述在堡垒机账号标签库中,获取每个所述第一账号标识对应的第一标签的步骤之前,还包括:
获取堡垒机的历史操作日志,并在所述堡垒机的历史操作日志中获取各个第三账号标识;
在所述堡垒机的历史操作日志中,获取所述第三账号标识在每种第一指标对应的数值,所述第一指标包括操作习惯、业务类型和风险操作;
根据所述第一指标以及所述第一指标对应的数值生成所述第三账号标识对应的第三标签;
根据所述第三账号标识与所述第三账号标识对应的各个所述第三标签,构建所述堡垒机账号标签库;
所述在主机账号标签库中,获取所述第二账号标识对应的第二标签的步骤之前,还包括:
获取每个第二主机对应的历史操作日志,并在所述第二主机对应的历史操作日志中确定第四账号标识;
在所述第二主机对应的历史操作日志中,获取所述第四账号标识在每种第二指标对应的数值,所述第二指标包括操作习惯、业务类型和风险操作;
根据所述第二指标以及所述第二指标对应的数值生成所述第四账号标识对应的第四标签;
根据所述第四账号标识与所述第四账号标识对应的各个所述第四标签,构建所述主机账号标签库。
2.根据权利要求1所述的日志关联方法,其特征在于,所述根据所述第一标签以及所述第二标签,确定所述第二账号标识与每个所述第一账号标识之间的相似度的步骤包括:
根据所述第一账号标识对应的各个第一标签,生成每个所述第一账号标识对应的第一特征向量;
根据所述第二账号标识对应的各个第二标签,生成所述第二账号标识对应的第二特征向量;
确定所述第二特征向量与所述第一特征向量之间的距离,并根据所述距离确定所述第一账号标识与所述第二账号标识之间的相似度。
3.根据权利要求1或2所述的日志关联方法,其特征在于,所述将所述第三操作日志与所述第二操作日志进行关联的步骤之后,还包括:
按照各个所述SSH跳转的时间,对每个所述SSH跳转对应的关联日志进行排序,其中,所述关联日志根据所述SSH跳转所对应的第三操作日志与第二操作日志关联得到。
4.一种日志关联装置,其特征在于,包括:
获取模块,用于在堡垒机执行安全外壳协议SSH操作使所述SSH跳转至第一主机时,获取所述堡垒机在目标时间段内第一操作日志以及所述第一主机在所述目标时间段内的第二操作日志,其中,所述目标时间段包括所述SSH跳转的时间点;
所述获取模块,还用于获取所述第一操作日志对应的各个第一账号标识以及所述第二操作日志对应的第二账号标识,所述第一账号标识由用户账号和系统账号组成,所述第二账号标识由IP地址和系统账号组成确定模块,用于确定所述第二账号标识与每个所述第一账号标识之间的相似度;
所述获取模块,还用于在所述第一操作日志中,获取最大相似度对应的第一账号标识的第三操作日志,并将所述第三操作日志与所述第二操作日志进行关联;
所述获取模块,用于在堡垒机账号标签库中,获取每个所述第一账号标识对应的第一标签,所述第一标签根据第一账号标识对应的用户在堡垒机进行操作所得到的数据确定;
所述获取模块,用于在主机账号标签库中,获取所述第二账号标识对应的第二标签,所述第二标签根据第二账号标识对应的用户在主机进行操作所得到的数据确定;
确定模块,用于根据所述第一标签以及所述第二标签,确定所述第二账号标识与每个所述第一账号标识之间的相似度;
所述获取模块,用于获取堡垒机的历史操作日志,并在所述堡垒机的历史操作日志中获取各个第三账号标识;
所述获取模块,用于在所述堡垒机的历史操作日志中,获取所述第三账号标识在每种第一指标对应的数值,所述第一指标包括操作习惯、业务类型和风险操作;
生成模块,用于根据所述第一指标以及所述第一指标对应的数值生成所述第三账号标识对应的第三标签;
构建模块,用于根据所述第三账号标识与所述第三账号标识对应的各个所述第三标签,构建所述堡垒机账号标签库;
所述获取模块,用于获取每个第二主机对应的历史操作日志,并在所述第二主机对应的历史操作日志中确定第四账号标识;
所述获取模块,用于在所述第二主机对应的历史操作日志中,获取所述第四账号标识在每种第二指标对应的数值,所述第二指标包括操作习惯、业务类型和风险操作;
所述生成模块,用于根据所述第二指标以及所述第二指标对应的数值生成所述第四账号标识对应的第四标签;
所述构建模块,用于根据所述第四账号标识与所述第四账号标识对应的各个所述第四标签,构建所述主机账号标签库。
5.一种日志关联设备,其特征在于,包括:存储器和处理器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,使得所述处理器执行如权利要求1至3任一项所述的日志关联方法。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至3任一项所述的日志关联方法。
CN202110818264.8A 2021-07-20 2021-07-20 日志关联方法和装置 Active CN113515493B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110818264.8A CN113515493B (zh) 2021-07-20 2021-07-20 日志关联方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110818264.8A CN113515493B (zh) 2021-07-20 2021-07-20 日志关联方法和装置

Publications (2)

Publication Number Publication Date
CN113515493A CN113515493A (zh) 2021-10-19
CN113515493B true CN113515493B (zh) 2023-06-02

Family

ID=78068302

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110818264.8A Active CN113515493B (zh) 2021-07-20 2021-07-20 日志关联方法和装置

Country Status (1)

Country Link
CN (1) CN113515493B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117061368A (zh) * 2023-08-21 2023-11-14 北京优特捷信息技术有限公司 绕行堡垒机行为的自动识别方法、装置、设备与介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105376077A (zh) * 2014-08-06 2016-03-02 中国移动通信集团黑龙江有限公司 网络行为信息的处理方法、日志的发送方法、装置及系统
CN108416225A (zh) * 2018-03-14 2018-08-17 深圳市网域科技股份有限公司 数据审计方法、装置、计算机设备和存储介质
US10540654B1 (en) * 2018-02-12 2020-01-21 Winklevoss Ip, Llc System, method and program product for generating and utilizing stable value digital assets
CN111125039A (zh) * 2018-10-30 2020-05-08 华为技术有限公司 一种生成操作日志的方法及装置
CN112887287A (zh) * 2021-01-18 2021-06-01 杭州安恒信息技术股份有限公司 堡垒机、运维审计方法、电子装置和存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10929218B2 (en) * 2018-05-16 2021-02-23 Nec Corporation Joint semantic and format similarity for large scale log retrieval

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105376077A (zh) * 2014-08-06 2016-03-02 中国移动通信集团黑龙江有限公司 网络行为信息的处理方法、日志的发送方法、装置及系统
US10540654B1 (en) * 2018-02-12 2020-01-21 Winklevoss Ip, Llc System, method and program product for generating and utilizing stable value digital assets
CN108416225A (zh) * 2018-03-14 2018-08-17 深圳市网域科技股份有限公司 数据审计方法、装置、计算机设备和存储介质
CN111125039A (zh) * 2018-10-30 2020-05-08 华为技术有限公司 一种生成操作日志的方法及装置
CN112887287A (zh) * 2021-01-18 2021-06-01 杭州安恒信息技术股份有限公司 堡垒机、运维审计方法、电子装置和存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
SSH dictionary attack detection based on flow analysis;Akihiro Satoh等;2012 IEEE/IPSJ 12th international symposium on applications and the internet;51-59 *
网络数据采集及安全审计技术研究综述;唐志斌;;网络新媒体技术;第9卷(第01期);11-20 *

Also Published As

Publication number Publication date
CN113515493A (zh) 2021-10-19

Similar Documents

Publication Publication Date Title
CN109670049B (zh) 图谱路径查询方法、装置、计算机设备和存储介质
CN109408746B (zh) 画像信息查询方法、装置、计算机设备和存储介质
US9792374B2 (en) Method and system for facilitating terminal identifiers
CN111835585B (zh) 物联网设备的巡检方法、装置、计算机设备和存储介质
CN109800258B (zh) 数据文件部署方法、装置、计算机设备及存储介质
CN111104521B (zh) 一种基于图分析的反欺诈检测方法及检测系统
CN108287823B (zh) 消息数据处理方法、装置、计算机设备和存储介质
CN107193894A (zh) 数据处理方法、个体识别方法及相关装置
CN109743346B (zh) 会话流程配置方法、装置及计算机可读存储介质
CN106251114B (zh) 应用中实现审批的方法和装置
CN109189385B (zh) 算法配置方法、装置、计算机设备及存储介质
CN111934899A (zh) 物联网用户信息的配置方法、装置、计算机设备
CN108717426A (zh) 企业数据的更新方法、装置、计算机设备及存储介质
CN111177481B (zh) 用户标识映射方法及装置
CN104408118A (zh) 数据库的创建方法和装置
CN112925757A (zh) 一种追踪智能设备操作日志的方法、设备、存储介质
CN113515493B (zh) 日志关联方法和装置
CN114363002B (zh) 一种网络攻击关系图的生成方法及装置
CN105989457A (zh) 一种信息查询方法及装置
CN111352676A (zh) 帮助信息推送方法、帮助系统及可读存储介质
CN105988785A (zh) 一种rpc服务开发方法及装置
WO2016114748A1 (en) Data comparison
CN115857923A (zh) 一种客户端多模块路由跳转方法、装置、终端及介质
CN113992371A (zh) 一种流量日志的威胁标签生成方法、装置及电子设备
CN114203304A (zh) 基于智慧医疗大数据的信息推送方法及智慧医疗云服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant