CN113535501A - 一种信息审计方法、装置、设备和计算机存储介质 - Google Patents

一种信息审计方法、装置、设备和计算机存储介质 Download PDF

Info

Publication number
CN113535501A
CN113535501A CN202010293301.3A CN202010293301A CN113535501A CN 113535501 A CN113535501 A CN 113535501A CN 202010293301 A CN202010293301 A CN 202010293301A CN 113535501 A CN113535501 A CN 113535501A
Authority
CN
China
Prior art keywords
behavior
audit
data
category
log data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010293301.3A
Other languages
English (en)
Inventor
魏丽丽
李冠道
陈乐�
罗朝彤
许敬伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Information Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Information Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202010293301.3A priority Critical patent/CN113535501A/zh
Publication of CN113535501A publication Critical patent/CN113535501A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/18Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • General Engineering & Computer Science (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Computational Mathematics (AREA)
  • Evolutionary Biology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Quality & Reliability (AREA)
  • Operations Research (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Algebra (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明实施例提供了一种信息审计方法、装置、设备和计算机存储介质。信息审计方法包括:获取目标日志数据和目标日志数据包括的类别对应的行为审计概率模型,其中,目标日志数据包括至少一个类别的操作行为数据;确定至少一个类别的操作行为数据对应的行为概率分布模型;将行为审计概率模型和行为概率分布模型进行对比,当判断行为概率分布模型存在异常操作行为数据时,生成操作行为数据的告警信息。根据本发明实施例的信息审计方法,能够提高安全审计执行效率和安全审计的精准性。

Description

一种信息审计方法、装置、设备和计算机存储介质
技术领域
本发明涉及信息安全领域,尤其涉及一种信息审计方法、装置、设备和计算机存储介质。
背景技术
目前,企业系统遭遇攻击、信息泄露等信息安全事件频发,网络信息安全收到了越来越高的重视。而网络信息安全存在风险的部分原因是来自企业内部人员操作引起,因此,企业愈发重视对企业信息系统操作日志的安全审计。
现有信息系统安全审计技术一般是基于操作日志,建立审计模型,对系统登录、操作的原始日志进行标准化解析,通过计算机程序对日志数据进行分析和监控。这对于企业信息系统操作行为数据量大、审计频率要求高的一些企业来说,分析无法实现对操作日志全方位、多维度的全面分析,因此,安全审计执行效率和安全审计的精准性都亟待提升。
发明内容
本发明实施例提供了一种信息审计方法、装置、设备和计算机存储介质,能够提高安全审计执行效率和安全审计的精准性。
第一方面,本发明实施例提供一种信息审计方法,方法包括:获取目标日志数据和目标日志数据包括的类别对应的行为审计概率模型,其中,目标日志数据包括至少一个类别的操作行为数据;
确定至少一个类别的操作行为数据对应的行为概率分布模型;
将行为审计概率模型和行为概率分布模型进行对比,当判断行为概率分布模型存在异常操作行为数据时,生成操作行为数据的告警信息。
在第一方面的一些可实现方式中,获取目标日志数据和目标日志数据包括的类别对应的行为审计概率模型,包括:
获取所述获取目标日志数据和目标日志数据包括的类别对应的行为审计概率模型的账号的登录信息;
对登录信息进行验证;
当登录信息验证通过时,获取目标日志数据和目标日志数据包括的类别对应的行为审计概率模型。
在第一方面的一些可实现方式中,在获取目标日志数据和目标日志数据包括的类别对应的行为审计概率模型的账号的登录信息之前,方法还包括:获取未分类的操作行为数据;
确定未分类的操作行为数据的类别;
根据类别,确定操作行为数据对应的行为审计概率模型,并将确定类别的操作行为数据作为日志数据。
在第一方面的一些可实现方式中,确定至少一个类别的操作行为数据对应的行为概率分布模型,包括:
获取操作行为数据中的至少一个行为特征;
根据操作行为数据,确定至少一个行为特征的行为概率分布模型,行为概率分布模型包括行为分布线。
在第一方面的一些可实现方式中,行为审计概率模型包括审计基线;
将行为审计概率模型和行为概率分布模型进行对比,当判断行为概率分布模型存在异常操作行为数据时,生成操作行为数据的告警信息,包括:根据行为分布线包括的行为特征的特征值,以及行为特征在审计基线的审计值;
当特征值大于审计值时,生成行为特征对应的操作行为数据的告警信息。
在第一方面的一些可实现方式中,在生成操作行为数据的告警信息之后,方法还包括:获取行为分布线对应操作行为数据的至少一个操作对象;以及
行为分布线对应操作行为数据的第一操作范围和审计基线对应的审计操作范围;
根据第一操作范围和审计操作范围,确定操作对象的第二操作范围。
在第一方面的一些可实现方式中,方法还包括:
根据预设的审计特征提取规则,获取日志数据中对应审计特征的操作行为数据;
生成审计特征和操作行为数据的审计报告。
第二方面,本发明实施例提供了一种信息审计装置,装置包括:
获取模块,用于获取目标日志数据和目标日志数据包括的类别对应的行为审计概率模型,其中,目标日志数据包括至少一个类别的操作行为数据;
类别确定模块,用于确定至少一个类别的操作行为数据对应的行为概率分布模型;
告警模块,用于将行为审计概率模型和行为概率分布模型进行对比,当判断行为概率分布模型存在异常操作行为数据时,生成操作行为数据的告警信息。
第三方面,本发明提供一种信息审计设备,该设备包括:处理器以及存储有计算机程序指令的存储器;处理器执行计算机程序指令时实现第一方面或者第一方面任一可实现方式中所述的信息审计方法。
第四方面,本发明提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现第一方面或者第一方面任一可实现方式中所述的信息审计方法。
本发明实施例的信息审计方法、装置、设备和计算机存储介质,能够接收到的日志数据对应每个类别的操作行为数据,通过确定实际操作行为数据对应行为概率分布模型,然后将行为概率分布模型和接收到的审计概率模型进行对比,确定出实际操作行为是否存在高危险的操作行为,有利于提高安全审计执行效率;同时,由于审计概率模型是根据过往的日志数据作为知识库,可以实现对行为日志数据全方位、多维度的全面分析,提高了审计结果的精准性,能够深入挖掘出隐含的高危险的操作行为。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单的介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种信息审计方法的流程示意图;
图2是本发明实施例提供的一种信息审计装置的结构示意图;
图3是本发明实施例提供的一种信息审计设备的硬件结构示意图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及具体实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
当前国内外网络信息安全形势严峻,企业系统遭遇攻击、信息泄露等信息安全事件频发,网络信息安全收到了越来越高的重视。而网络信息安全存在风险的部分原因是来自企业内部人员操作引起,因此,企业愈发重视对企业信息系统操作日志的安全审计。
现有信息系统安全审计技术一般是基于作日志,建立审计模型,对系统登录、操作的原始日志进行标准化解析,通过计算机程序对日志数据进行分析和监控。例如,静态特征匹配的日志分析,但是基于静态特征匹配的日志分析无法实现对操作日志全方位、多维度的全面分析,难以深入挖掘前后关联的隐藏高危风险操作。现有技术方案中各类日志数据分散,无法实现行为日志与审计模型的对应,导致日志数据检索困难,难以开展针对性的专项审计任务,并在审计系统目标增加时不可灵活扩展。
这对于企业信息系统操作行为数据量大、审计频率要求高的一些企业来说,分析无法实现对操作日志全方位、多维度的全面分析,因此,安全审计执行效率和安全审计的精准性都亟待提升。另一方面,对于用户众多、敏感级别较高的信息系统,安全保障要求高、系统操作行为数据量大的企业,还会导致企业运维成本的大幅增加。
为了解决现有技术问题,本发明实施例提供了一种信息审计方法、装置、设备和计算机存储介质。下面首先对本发明实施例所提供的信息审计方法进行介绍。
图1是本发明一个实施例提供的信息审计方法的流程示意图。如图1所示,该方法可以包括S101-S103。
S101、获取目标日志数据和目标日志数据包括的类别对应的行为审计概率模型,其中,目标日志数据包括至少一个类别的操作行为数据。
在一些实施例中,根据安全管控人员的需求可以获取安全管控系统中收集的日志数据,以及日志数据包括的操作行为数据的类别对应的行为审计概率模型。
在一些实施例中,所获取的日志数据以及对应的行为审计概率模型可以按照所包括的类别进行划分,保存到本地预设的地址。
在一些实施例中,安全管控人员可以通过个人的安全管控系统的账号、密码或者是动态验证码进入安全管控系统,获取目标日志数据和对应的行为审计概率模型。
为了提高审计工作的安全性,可选的,在一些实施例中,根据安全管控人员的需求获取目标日志数据和目标日志数据包括的类别对应的行为审计概率模型,还可以包括:获取所述获取目标日志数据和目标日志数据包括的类别对应的行为审计概率模型的账号的登录信息;对登录信息进行验证;当登录信息验证通过时,获取目标日志数据和目标日志数据包括的类别对应的行为审计概率模型。
作为一个具体的示例,认证过程可以是通过伪浏览器(PhantomJS)和WEB自动化工具(Selenium)将获取到的安全管控人员的账号、密码或者是动态验证码,传递给安全管控系统进行身份认证,身份认证成功后,安全管控系统则返回认证成功后的身份票据,然后,安全管控人员的需求自动进入安全管控人员的需求的日志数据以及对应的行为审计概率模型的过程。
在一些实施例中,为了方便安全管控人员所需的日志数据以及对应的行为审计概率模型,在获取目标日志数据和目标日志数据包括的类别对应的行为审计概率模型的账号的登录信息之前,还可以获取未分类的操作行为数据;确定未分类的操作行为数据的类别;根据类别,确定操作行为数据对应的行为审计概率模型,并将确定类别的操作行为数据作为日志数据。
也就是说,安全管控系统在采集到日常实际操作行为产生的操作行为数据之后,确定所采集的操作行为数据的类别,将该操作行为数据配置到与类别相对应的行为审计概率模型,然后将该确定类别的操作行为数据作为日志数据,方便安全管控人员使用。
通过安全管控系统搭建集中化的对审计概率模型进行配置,对分散的操作行为数据进行分类、筛选预处理,将操作行为数据适配到相应的审计概率模型,实现集中可扩展的安全模型配置功能。
在一些实施例中,根据对应类别操作行为数据,按照预设的时间,使用预设时间内的操作行为数据,生成行为审计概率模型。其中,预设的时间可以是几个月内、半年内或者是一年内,在此不做具体限定。
S102、确定至少一个类别的操作行为数据对应的行为概率分布模型。
在一些实施例中,根据安全管控人员的需求,所获取的日志数据可能包括多个类别的操作行为数据,因此,需要分别对应每个类别的操作行为数据,生成实际操作行为数据的行为概率分布模型。
可选的,在一些实施例中,确定至少一个类别的操作行为数据对应的行为概率分布模型,可以包括:获取操作行为数据中的至少一个行为特征;根据操作行为数据,确定至少一个行为特征的行为概率分布模型,行为概率分布模型包括行为分布线。
作为一个具体的实施例,操作行为数据会包括至少一个行为特征,根据预设的特征提取规则,可以将操作行为数据中所包括的行为特征提取出来,然后,为了提高生成的实际行为特征的行为概率分布模型的准确性,可以在对应提取的每个行为特征的操作行为数据进行合并去重的处理后,再进行频次统计,形成操作行为数据的操作动作矩阵,最后通过对操作动作矩阵进行参数估计,生成实际操作行为数据的行为概率分布模型。
其中,参数估计可以包括矩法估计、最小二乘估计、似然估计、贝叶斯估计等,在实际应用中,可以根据具体的实际需求,而选择合适的参数估计方法,生成实际操作行为数据的行为概率分布模型。
在生成行为概率分布模型之后,将执行S103。
S103、将行为审计概率模型和行为概率分布模型进行对比,当判断行为概率分布模型存在异常操作行为数据时,生成操作行为数据的告警信息。
在一些实施例中,行为审计概率模型包括审计基线,所以,行为审计概率模型和行为概率分布模型之间的对比可以通过将审计概率模型的审计基线和行为概率分布模型的行为分布线进行对比,实现对操作行为数据的分析。
可选的,在一些实施例中,将行为审计概率模型和行为概率分布模型进行对比,当判断行为概率分布模型存在异常操作行为数据时,生成操作行为数据的告警信息,可以包括:根据行为分布线包括的行为特征的特征值,以及行为特征在审计基线的审计值;当特征值大于审计值时,生成行为特征对应的操作行为数据的告警信息。
在一些实施例中,生成行为特征对应的操作行为数据的告警信息可以作为对操作行为数据的评估结果,然后通过告警的方式,将该评估结果向安全管控人员推送,也可以根据预先的设定,向其他相关的安全管控人员推送。
作为一个具体的示例,当目标日志数据中,包括以人员账号为维度的资源登录日志为类别的操作行为数据,从该类别中提取的行为特征可以是:目的资源的IP(InternetProtocol,网际互连协议)、登录账号。可选的,可以在该类别的操作行为数据中对目的资源的IP及登录账号的进行频次统计,然后,对频次统计结果进行参数估计,生成目的资源的IP和登录账号的概率分布模型。可以理解的是,目的资源的IP和登录账号的概率分布模型还包括目的资源的IP和登录账号行为分布线。
通过,将目的资源的IP和登录账号的概率分布模型和对应该人员的目的资源的IP和登录账号的行为审计概率模型进行对比,实现对该人员资源登录的操作行为数据进行审计。
在一些实施例中,为了提高审计分析精准性,在生成操作行为数据的告警信息之后,该方法还可以包括:获取行为分布线对应操作行为数据的至少一个操作对象;以及行为分布线对应操作行为数据的第一操作范围和审计基线对应的审计操作范围;根据第一操作范围和审计操作范围,确定操作对象的第二操作范围。
也就是说,当将目的资源的IP和登录账号的概率分布模型和对应该人员的目的资源的IP和登录账号的行为审计概率模型进行对比后,还可以进一步确定对该人员的账号访问权限的合理性进行评估,重新设定该人员的账号的实际权限,实现账号权限的最优、最小化。
作为一个具体的示例,安全审计人员获取的目标日志数据还可以是人员访问IP源的日志数据,人员访问IP源的日志数据可以包括“人员”类别的操作行为数据。可以提取审计特征“网络接入IP”,然后对该人员的网络接入IP进行频次统计,然后,对频次统计结果进行参数估计,生成该人员的网络接入IP的概率分布模型,可以理解的是,该人员的网络接入IP的概率分布模型还包括该人员的网络接入IP的行为分布线。
通过,将该人员的网络接入IP的概率分布模型和对应的行为审计概率模型进行对比,实现该人员的网络接入IP的安全审计。
为了提高审计的优化水平,通过该人员的网络接入IP的概率分布模型和对应的行为审计概率模型的对比,还可以重新设定该人员的网络接入IP的接入范围,实现该人员的网络接入IP的实际可接入范围做进一步优化。
在一些实施例中,在获取到目标日志数据和目标日志数据包括的类别对应的行为审计概率模型之后,该方法还可以获得相关操作行为数据的审计报告。可选的,在一些实施例中,获取审计报告的方法可以是,根据预设的审计特征提取规则,获取日志数据中对应审计特征的操作行为数据;生成审计特征和操作行为数据的审计报告。
作为一个具体的示例,可以通过引入正则表达式等模糊特征匹配、多类日志关联分析等方式对日志数据进行自动分析统计。
可选的,在一些实施例中,将获取到目标日志数据作为被审计的对象,按照预设的审计特征提取规则,从目标日志数据中提取目标日志数据中操作行为数据包括的审计特征,审计特征例如可以是登录账号、涉敏文件库表访问数据等。然后,根据提取到的审计特征和对应审计特征的操作行为数据,生成字典型统计分析结果的审计报告。
可选的,审计报告的输出格式,可以使用提前设置的统一的审计报告模板,以标准化的格式将审计报告输出。
通过本发明实施例的信息审计方法,能够接收到的日志数据对应每个类别的操作行为数据,通过确定实际操作行为数据对应行为概率分布模型,然后将行为概率分布模型和接收到的审计概率模型进行对比,确定出实际操作行为是否存在高危险的操作行为,有利于提高安全审计执行效率;同时,由于审计概率模型是根据过往的日志数据作为知识库,可以实现对行为日志数据全方位、多维度的全面分析,提高了审计结果的精准性,能够深入挖掘出隐含高危险操作行为。
图2是本发明实施例提供的一种信息审计装置的结构示意图,如图2所示,该信息审计装置可以包括:获取模块201、类别确定模块202、告警模块203。
在一些实施例中,获取模块201,用于获取目标日志数据和目标日志数据包括的类别对应的行为审计概率模型,其中,目标日志数据包括至少一个类别的操作行为数据;
类别确定模块202,用于确定至少一个类别的操作行为数据对应的行为概率分布模型;
告警模块203,用于将行为审计概率模型和行为概率分布模型进行对比,当判断行为概率分布模型存在异常操作行为数据时,生成操作行为数据的告警信息。
在一些实施例中,获取模块201,还用于获取所述获取目标日志数据和目标日志数据包括的类别对应的行为审计概率模型的账号的登录信息;对登录信息进行验证;当登录信息验证通过时,获取目标日志数据和目标日志数据包括的类别对应的行为审计概率模型。
在一些实施例中,获取模块201,还用于在获取目标日志数据和目标日志数据包括的类别对应的行为审计概率模型的账号的登录信息之前,获取未分类的操作行为数据;确定未分类的操作行为数据的类别;根据类别,确定操作行为数据对应的行为审计概率模型,并将确定类别的操作行为数据作为日志数据。
在一些实施例中,类别确定模块202,还用于获取操作行为数据中的至少一个行为特征;根据操作行为数据,确定至少一个行为特征的行为概率分布模型,行为概率分布模型包括行为分布线。
在一些实施例中,行为审计概率模型包括审计基线;类别确定模块202,还用于根据行为分布线包括的行为特征的特征值,以及行为特征在审计基线的审计值;当特征值大于审计值时,生成行为特征对应的操作行为数据的告警信息。
在一些实施例中,信息审计装置还可以包括操作范围确定模块,用于获取行为分布线对应操作行为数据的至少一个操作对象;以及行为分布线对应操作行为数据的第一操作范围和审计基线对应的审计操作范围;根据第一操作范围和审计操作范围,确定操作对象的第二操作范围。
在一些实施例中,信息审计装置还包括报告模块,用于根据预设的审计特征提取规则,获取日志数据中对应审计特征的操作行为数据;生成审计特征和操作行为数据的审计报告。
本发明实施例的信息审计装置,能够接收到的日志数据对应每个类别的操作行为数据,通过确定实际操作行为数据对应行为概率分布模型,然后将行为概率分布模型和接收到的审计概率模型进行对比,确定出实际操作行为是否存在高危险的操作行为,有利于提高安全审计执行效率;同时,由于审计概率模型是根据过往的日志数据作为知识库,可以实现对行为日志数据全方位、多维度的全面分析,提高了审计结果的精准性,能够深入挖掘出隐含高危险操作行为。
可以理解的是,本发明实施例的信息审计装置,可以对应于本发明实施例图1中的信息审计方法的执行主体,信息审计装置的各个模块/单元的操作和/或功能的具体细节可以参见上述本发明实施例图1的信息审计方法中的相应部分的描述,为了简洁,在此不再赘述。
图3是本发明实施例提供的一种信息审计设备的硬件结构示意图。
如图3所示,本实施例中的信息审计设备输入设备301、输入接口302、中央处理器303、存储器304、输出接口305、以及输出设备306。其中,输入接口302、中央处理器303、存储器304、以及输出接口305通过总线310相互连接,输入设备301和输出设备306分别通过输入接口302和输出接口305与总线310连接,进而与信息审计设备的其他组件连接。
具体地,输入设备301接收来自外部的输入信息,并通过输入接口302将输入信息传送到中央处理器303;中央处理器303基于存储器304中存储的计算机可执行指令对输入信息进行处理以生成输出信息,将输出信息临时或者永久地存储在存储器304中,然后通过输出接口305将输出信息传送到输出设备306;输出设备306将输出信息输出到信息审计设备的外部供用户使用。
也就是说,图3所示的信息审计设备也可以被实现为包括:存储有计算机可执行指令的存储器;以及处理器,该处理器在执行计算机可执行指令时可以实现结合图1所示实例描述的信息审计方法。
在一个实施例中,图3所示的信息审计设备包括:存储器304,用于存储程序;处理器303,用于运行存储器中存储的程序,以执行本发明实施例提供的信息审计方法。
本发明实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现本发明实施例提供的信息审计方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,做出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、只读存储器(Read-Only Memory,ROM)、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(Radio Frequency,RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上所述,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种信息审计方法,其特征在于,所述方法包括:
获取目标日志数据和所述目标日志数据包括的类别对应的行为审计概率模型,其中,所述目标日志数据包括至少一个类别的操作行为数据;
确定所述至少一个类别的操作行为数据对应的行为概率分布模型;
将所述行为审计概率模型和所述行为概率分布模型进行对比,当判断所述行为概率分布模型存在异常操作行为数据时,生成所述操作行为数据的告警信息。
2.根据权利要求1所述的方法,其特征在于,所述获取目标日志数据和所述目标日志数据包括的类别对应的行为审计概率模型,包括:
获取所述获取目标日志数据和所述目标日志数据包括的类别对应的行为审计概率模型的账号的登录信息;
对所述登录信息进行验证;
当所述登录信息验证通过时,获取所述目标日志数据和所述目标日志数据包括的类别对应的行为审计概率模型。
3.根据权利要求2所述的方法,其特征在于,在所述获取目标日志数据和所述目标日志数据包括的类别对应的行为审计概率模型的账号的登录信息之前,所述方法还包括:
获取未分类的操作行为数据;
确定未分类的所述操作行为数据的类别;
根据所述类别,确定所述操作行为数据对应的所述行为审计概率模型,并将确定类别的操作行为数据作为日志数据。
4.根据权利要求1所述的方法,其特征在于,所述确定所述至少一个类别的操作行为数据对应的行为概率分布模型,包括:
获取所述操作行为数据中的至少一个行为特征;
根据所述操作行为数据,确定至少一个所述行为特征的行为概率分布模型,所述行为概率分布模型包括行为分布线。
5.根据权利要求4所述的方法,其特征在于,所述行为审计概率模型包括审计基线;
所述将所述行为审计概率模型和所述行为概率分布模型进行对比,当判断所述行为概率分布模型存在异常操作行为数据时,生成所述操作行为数据的告警信息,包括:
根据所述行为分布线包括的行为特征的特征值,以及所述行为特征在所述审计基线的审计值;
当所述特征值大于所述审计值时,生成所述行为特征对应的操作行为数据的告警信息。
6.根据权利要求1-5任意一项所述的方法,其特征在于,在所述生成所述操作行为数据的告警信息之后,所述方法还包括:
获取所述行为分布线对应操作行为数据的至少一个操作对象;以及
所述行为分布线对应操作行为数据的第一操作范围和所述审计基线对应的审计操作范围;
根据所述第一操作范围和所述审计操作范围,确定所述操作对象的第二操作范围。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据预设的审计特征提取规则,获取所述日志数据中对应审计特征的操作行为数据;
生成所述审计特征和所述操作行为数据的审计报告。
8.一种信息审计装置,其特征在于,所述装置包括:
获取模块,用于获取目标日志数据和所述目标日志数据包括的类别对应的行为审计概率模型,其中,所述目标日志数据包括至少一个类别的操作行为数据;
类别确定模块,用于确定所述至少一个类别的操作行为数据对应的行为概率分布模型;
告警模块,用于将所述行为审计概率模型和所述行为概率分布模型进行对比,当判断所述行为概率分布模型存在异常操作行为数据时,生成所述操作行为数据的告警信息。
9.一种信息审计设备,其特征在于,所述设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如权利要求1-7任意一项所述的信息审计的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-7任意一项所述的信息审计的方法。
CN202010293301.3A 2020-04-15 2020-04-15 一种信息审计方法、装置、设备和计算机存储介质 Pending CN113535501A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010293301.3A CN113535501A (zh) 2020-04-15 2020-04-15 一种信息审计方法、装置、设备和计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010293301.3A CN113535501A (zh) 2020-04-15 2020-04-15 一种信息审计方法、装置、设备和计算机存储介质

Publications (1)

Publication Number Publication Date
CN113535501A true CN113535501A (zh) 2021-10-22

Family

ID=78088129

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010293301.3A Pending CN113535501A (zh) 2020-04-15 2020-04-15 一种信息审计方法、装置、设备和计算机存储介质

Country Status (1)

Country Link
CN (1) CN113535501A (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104883363A (zh) * 2015-05-11 2015-09-02 北京交通大学 异常访问行为分析方法及装置
CN106936781A (zh) * 2015-12-29 2017-07-07 亿阳安全技术有限公司 一种用户操作行为的判定方法及装置
CN108446546A (zh) * 2018-03-20 2018-08-24 深信服科技股份有限公司 异常访问检测方法、装置、设备及计算机可读存储介质
CN109040110A (zh) * 2018-08-31 2018-12-18 新华三信息安全技术有限公司 一种外发行为检测方法及装置
CN109842628A (zh) * 2018-12-13 2019-06-04 成都亚信网络安全产业技术研究院有限公司 一种异常行为检测方法及装置
CN110222525A (zh) * 2019-05-14 2019-09-10 新华三大数据技术有限公司 数据库操作审计方法、装置、电子设备及存储介质
CN110598383A (zh) * 2019-09-03 2019-12-20 阿里巴巴集团控股有限公司 解除账户权限限制的方法以及装置
CN110851819A (zh) * 2019-11-20 2020-02-28 杭州安恒信息技术股份有限公司 多应用的访问权限控制方法、装置及电子设备
CN110943990A (zh) * 2019-11-29 2020-03-31 合肥开元埃尔软件有限公司 一种基于大数据的通信安全管控用数据分析系统

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104883363A (zh) * 2015-05-11 2015-09-02 北京交通大学 异常访问行为分析方法及装置
CN106936781A (zh) * 2015-12-29 2017-07-07 亿阳安全技术有限公司 一种用户操作行为的判定方法及装置
CN108446546A (zh) * 2018-03-20 2018-08-24 深信服科技股份有限公司 异常访问检测方法、装置、设备及计算机可读存储介质
CN109040110A (zh) * 2018-08-31 2018-12-18 新华三信息安全技术有限公司 一种外发行为检测方法及装置
CN109842628A (zh) * 2018-12-13 2019-06-04 成都亚信网络安全产业技术研究院有限公司 一种异常行为检测方法及装置
CN110222525A (zh) * 2019-05-14 2019-09-10 新华三大数据技术有限公司 数据库操作审计方法、装置、电子设备及存储介质
CN110598383A (zh) * 2019-09-03 2019-12-20 阿里巴巴集团控股有限公司 解除账户权限限制的方法以及装置
CN110851819A (zh) * 2019-11-20 2020-02-28 杭州安恒信息技术股份有限公司 多应用的访问权限控制方法、装置及电子设备
CN110943990A (zh) * 2019-11-29 2020-03-31 合肥开元埃尔软件有限公司 一种基于大数据的通信安全管控用数据分析系统

Similar Documents

Publication Publication Date Title
US20200186569A1 (en) Security Rule Generation Based on Cognitive and Industry Analysis
KR101883400B1 (ko) 에이전트리스 방식의 보안취약점 점검 방법 및 시스템
CN111343173B (zh) 数据访问的异常监测方法及装置
EP4333373A2 (en) System and method for gathering, analyzing, and reporting global cybersecurity threats
CN111881452B (zh) 一种面向工控设备的安全测试系统及其工作方法
CN112003838B (zh) 网络威胁的检测方法、装置、电子装置和存储介质
CN111651784A (zh) 日志脱敏方法、装置、设备及计算机可读存储介质
CN112702342B (zh) 网络事件处理方法、装置、电子设备及可读存储介质
CN109344042B (zh) 异常操作行为的识别方法、装置、设备及介质
CN113392426A (zh) 用于增强工业系统或电功率系统的数据隐私的方法及系统
CN116112194A (zh) 用户行为分析方法、装置、电子设备及计算机存储介质
CN112559489A (zh) 基于跨链的区块链监管方法、设备及存储介质
CN109684863A (zh) 数据防泄漏方法、装置、设备及存储介质
RU148692U1 (ru) Система мониторинга событий компьютерной безопасности
US12093820B2 (en) Automatic generation of an API interface description
RU180789U1 (ru) Устройство аудита информационной безопасности в автоматизированных системах
Varenitca et al. Recommended practices for the analysis of web application vulnerabilities
KR102590081B1 (ko) 보안 규제 준수 자동화 장치
CN113535501A (zh) 一种信息审计方法、装置、设备和计算机存储介质
CN115525897A (zh) 终端设备的系统检测方法、装置、电子装置和存储介质
CN113032774B (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
Najafian et al. Signature-based method and stream data mining technique performance evaluation for security and intrusion detection in advanced metering infrastructures (ami)
CN116915459B (zh) 一种基于大语言模型的网络威胁分析方法
KR102330404B1 (ko) 통합 보안 진단 방법 및 장치
CN117997614A (zh) 云平台租户的威胁处理方法、装置、电子设备及可读介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination