CN114297406A - 一种审计方法、装置及电子设备 - Google Patents
一种审计方法、装置及电子设备 Download PDFInfo
- Publication number
- CN114297406A CN114297406A CN202111642473.8A CN202111642473A CN114297406A CN 114297406 A CN114297406 A CN 114297406A CN 202111642473 A CN202111642473 A CN 202111642473A CN 114297406 A CN114297406 A CN 114297406A
- Authority
- CN
- China
- Prior art keywords
- data
- network
- knowledge graph
- network entities
- graph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供一种审计方法、装置及电子设备。该方法包括:获取预先构建的知识图谱;其中,知识图谱由多条数据组构建而成,每个数据组包括两个网络实体及该两个网络实体之间的关系;接收用户发起的违规行为查询指令,基于违规行为查询指令从知识图谱中获取审计结果。在本申请实施例中,可以预先构建知识图谱,由于知识图谱中包括网络中的各个网络实体之间的关系,因此,可以基于用户发起的违规行为查询指令从知识图谱中获取审计结果。通过该方式,可以规避掉审计规则与审计模型之间转换困难的问题,且在构建完知识图谱后,可以直接根据用户的不同的违规行为查询要求,进行审计。
Description
技术领域
本申请涉及审计技术领域,具体而言,涉及一种审计方法、装置及电子设备。
背景技术
随着移动互联网和5G(5th Generation Mobile Communication Technology,第五代移动通信技术)时代的到来,更快更丰富的网络硬件和应用的兴起,在给工作和生活带来便利的同时,对网络安全维护和网络行为规范管理也提出了更高的要求。
网络违规行为发现和检测是当前网络安全防护的重点建设内容之一,目前业界通常采用预先建立审计模型的方式来进行检测。比如通过建立审计模型检测出违规的行为日志;但由于审计模型针对于日志,用户配置的审计规则针对于实体,因此,用户必须要将审计规则映射为审计模型。该方式由于需要做出转换,导致实施较为困难。并且这种方式比较适合行为检测(例如网络攻击)而不适用于违规检测。网络中的违规行为的模式难以预知,如不同单位网络中应用系统不同,规范要求不同,因而对“违规”的定义也不尽相同,因此难以预先建立分析模型进行检测。
发明内容
本申请实施例的目的在于提供一种审计方法、装置及电子设备,以提供一种便捷地对网络中的违规行为进行检测的方式。
本发明是这样实现的:
第一方面,本申请实施例提供一种审计方法,包括:获取预先构建的知识图谱;其中,所述知识图谱由多条数据组构建而成,每个数据组包括两个网络实体及该两个网络实体之间的关系;接收用户发起的违规行为查询指令,基于所述违规行为查询指令从所述知识图谱中获取审计结果。
在本申请实施例中,可以预先构建知识图谱,由于知识图谱中包括网络中的各个网络实体之间的关系,因此,可以基于用户发起的违规行为查询指令从知识图谱中获取审计结果。通过该方式,可以规避掉审计规则与审计模型之间转换困难的问题,且在构建完知识图谱后,可以直接根据用户的不同的违规行为查询要求,进行审计。可见,上述方式也可以适用于不同的应用场景。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,通过如下步骤构建所述知识图谱,包括:获取网络数据;提取所述网络数据中的网络实体与关系,生成所述多条数据组;将所述多条数据组写入图形数据库中;基于所述图形数据库构建所述知识图谱。
在本申请实施例中,在获取到网络数据后,提取网络数据中的网络实体与关系,生成多条数据组,然后再将多条数据组写入图形数据库中,由于图形数据库能够应用图形理论存储实体之间的关系信息,以便于基于图形数据库中的信息直接构建知识图谱。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述网络数据包括基础数据以及日志数据;所述基础数据为静态属性的数据;相应的,所述提取所述网络数据中的网络实体与关系,生成多条数据组,包括:提取所述基础数据中的网络实体与关系,生成多条第一数据组;对所述日志数据进行聚类和/或分类处理,以得到处理后的日志数据;提取所述处理后的日志数据中的网络实体与关系,生成多条第二数据组;其中,所述多条数据组包括所述多条第一数据组及所述多条第二数据组。
在本申请实施例中,网络数据可以分为基础数据和日志数据,基础数据可以直接提取数据中的网络实体与关系,而针对日志数据可以对其进行聚类和/或分类处理后,再提取处理后的日志数据中的网络实体与关系,通过该方式可以避免相同类型的数据进行反复提取,减小设备处理压力。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述提取所述网络数据中的网络实体与关系,生成多条数据组,包括:对所述网络数据进行结构化;提取结构化后的网络数据中的网络实体与关系,生成多条数据组。
在本申请实施例中,由于存在灵活的实体与关系,因此无需提前规范采集数据的字段和格式,只需对获取的数据进行结构化,进而便于后续直接从结构化的数据中提取简单的实体与关系。通过该方式也可简化多种异构数据难以接入的问题。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,每条数据组分别包括源网络实体及目的网络实体,所述源网络实体包括属性信息,针对每一条数据组,将该条数据组写入图形数据库中,包括:基于该条数据组的源网络实体的属性信息,确定出该条数据组的标识;在所述图形数据库中查找是否已存在所述标识;若存在,则基于该条数据组对所述图形数据库中与所述标识对应的网络实体进行数据更新;若不存在,则直接将该条数据组写入所述图形数据库。
在本申请实施例中,在将每条数据组写入图形数据库的过程中,可以基于每条数据组的源网络实体的属性信息,确定出该条数据组的标识,进而通过该条数据组的标识确定图形数据库中是否已有该标识,若已有该标识,则只需基于该条数据组对图形数据库中与该标识对应的网络实体进行数据更新即可,通过该方式,以实现对图形数据库中的网络实体的信息聚合,以便于构建知识图谱,以及便于后续在知识图谱中对违规行为的查找。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,在所述将所述多条数据组写入图形数据库中之后,所述方法还包括:向所述图形数据库发送预设的规则命令,以触发所述图形数据库基于所述多条数据组之间的关系扩充网络实体之间的关系。
在本申请实施例中,通过向图形数据库发送预设的规则命令,以触发图形数据库基于多条数据组之间的关系扩充网络实体之间的关系,进而使得构建的知识图谱包含更丰富的关系和行为。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述接收用户发起的违规行为查询指令,基于所述违规行为查询指令从所述知识图谱中获取审计结果,包括:基于所述用户配置的审计规则建立审计模型;其中,所述审计规则配置有待查询网络实体的违规行为;基于所述审计模型发起的与所述待查询网络实体的违规行为对应的违规行为查询指令,从所述知识图谱中获取所述审计结果。
在本申请实施例中,可以利用用户配置的审计规则建立审计模型,进而持续监控网络实体的违规行为。此外,上述方式为先构建知识图谱,后根据需求建立审计模型,通过该方式,一来可以规避掉审计规则向审计模型的转换困难的问题,二来,可以灵活的配置,不用事先就建立审计模型。
结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述方法还包括:获取最新的网络数据;提取所述最新的网络数据中的网络实体与关系,生成多条第三数据组;其中,每条第三数据组包括所述最新的网络数据中的两个网络实体及该两个网络实体之间的关系;基于所述多条第三数据组对所述知识图谱进行更新。
在本申请实施例中,可以根据获取到最新的网络数据不断地丰富知识图谱中的关系和行为,以保证审计结果的有效性和可靠性。
第二方面,本申请实施例提供一种审计装置,包括:获取模块,用于获取预先构建的知识图谱;其中,所述知识图谱由多条数据组构建而成,每个数据组包括两个网络实体及该两个网络实体之间的关系;审计模块,用于接收用户发起的违规行为查询指令,基于所述违规行为查询指令从所述知识图谱中获取审计结果。
第三方面,本申请实施例提供一种电子设备,包括:处理器和存储器,所述处理器和所述存储器连接;所述存储器用于存储程序;所述处理器用于调用存储在所述存储器中的程序,执行如上述第一方面实施例和/或结合上述第一方面实施例的一些可能的实现方式提供的方法。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序在被处理器运行时执行如上述第一方面实施例和/或结合上述第一方面实施例的一些可能的实现方式提供的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种电子设备的模块框图。
图2为本申请实施例提供的一种审计方法的流程图。
图3为本申请实施例提供的构建知识图谱的流程图。
图4为本申请实施例提供的一种审计装置的模块框图。
图标:100-电子设备;110-处理器;120-存储器;200-审计装置;210-获取模块;220-审计模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
请参阅图1,本申请实施例提供的一种应用审计方法及装置的电子设备100的示意性结构框图。本申请实施例中,电子设备100可以是终端或者服务器。终端可以是,但不限于个人计算机(Personal Computer,PC)、笔记本电脑等。服务器可以是但不限于网络服务器、数据库服务器、云服务器或由多个子服务器构成的服务器集成等。当然,上述列举的设备仅用于便于理解本申请实施例,其不应作为对本实施例的限定。
在结构上,电子设备100可以包括处理器110和存储器120。
处理器110与存储器120直接或间接地电性连接,以实现数据的传输或交互,例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。审计装置包括至少一个可以软件或固件(Firmware)的形式存储在存储器120中或固化在电子设备100的操作系统(Operating System,OS)中的软件模块。处理器110用于执行存储器120中存储的可执行模块,例如,审计装置所包括的软件功能模块及计算机程序等,以实现审计方法。处理器110可以在接收到执行指令后,执行计算机程序。
其中,处理器110可以是一种集成电路芯片,具有信号处理能力。处理器110也可以是通用处理器,例如,可以是中央处理器(Central Processing Unit,CPU)、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)、分立门或晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。此外,通用处理器可以是微处理器或者任何常规处理器等。
存储器120可以是,但不限于,随机存取存储器(Random Access Memory,RAM)、只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable Read-OnlyMemory,PROM)、可擦可编程序只读存储器(Erasable Programmable Read-Only Memory,EPROM),以及电可擦编程只读存储器(Electric Erasable Programmable Read-OnlyMemory,EEPROM)。存储器120用于存储程序,处理器110在接收到执行指令后,执行该程序。
需要说明的是,图1所示的结构仅为示意,本申请实施例提供的电子设备100还可以具有比图1更少或更多的组件,或是具有与图1所示不同的配置。此外,图1所示的各组件可以通过软件、硬件或其组合实现。
请参阅图2,图2为本申请实施例提供的审计方法的步骤流程图,该方法应用于图1所示的电子设备100。需要说明的是,本申请实施例提供的审计方法不以图2及以下所示的顺序为限制,该方法包括:步骤S101-步骤S102。
步骤S101:获取预先构建的知识图谱;其中,知识图谱由多条数据组构建而成,每个数据组包括两个网络实体及该两个网络实体之间的关系。
步骤S102:接收用户发起的违规行为查询指令,基于违规行为查询指令从知识图谱中获取审计结果。
可见,在本申请实施例中,可以预先构建知识图谱,由于知识图谱中包括网络中的各个网络实体之间的关系,因此,可以基于用户发起的违规行为查询指令从知识图谱中获取审计结果。通过该方式,可以规避掉审计规则与审计模型之间转换困难的问题,且在构建完知识图谱后,可以直接根据用户的不同的违规行为查询要求,进行审计。可见,上述方式也可以适用于不同的应用场景。
为了便于理解本方案,首先对知识图谱的构建过程进行说明。请参阅图3,知识图谱的构建过程包括:步骤S201-步骤S204。
步骤S201:获取网络数据。
其中,网络数据可以是实时采集的,也可以是预先采集好的,本申请不作限定。
于本申请实施例中,网络数据可以包括基础数据以及日志数据。其中,基础数据为静态属性的数据。
示例性的,基础数据可以是来自业务系统的账户信息、来自网络管理员维护的IP(Internet Protocol,网际互连协议)信息、来自资产管理人员维护的资产归宿关系等。
示例性的,日志数据可以是来自业务系统的操作日志、来自网络探针的流量日志、来自操作系统的系统日志以及来自安全设备的访问和告警日志等等。
步骤S202:提取网络数据中的网络实体与关系,生成多条数据组。
需要说明的是,网络实体可以根据人、事件、物品、地点、组织分为五大类。
下面举例说明:
当网络实体的类别为人时,网络实体可以包括:应用账户,姓名,证件号,手机号等等。
当网络实体的类别为事件时,网络实体可以包括:告警、提醒等等。
当网络实体的类别为物品时,网络实体可以包括:IP地址,MAC(Media AccessControl Address,媒体存取控制位址)地址,机器名,机器识别码,IMSI(InternationalMobile Subscriber Identity,国际移动用户识别码),IMEI(International MobileEquipment Identity,国际移动设备识别码)等等。
当网络实体的类别为地点时,网络实体可以包括:设备的GPS(GlobalPositioning System,全球定位系统)定位等等。
当网络实体的类别为组织时,网络实体可以包括:公司、部门等等。
网络数据中的关系可以包括等同、属于、访问、联通、操作、授权等等。由于上述关系为网络实体之间常用的关系,对此,本申请不作过多说明。
此外,上述的网络实体及关系仅为示例,并不作为限定。
在获取到网络数据后,对网络数据中的网络实体和关系进行提取,进而生成多条数据组。
其中,多条数据组采用主谓宾结构的形式生成。具体的,每条数据组包括源网络实体及目的网络实体。源网络实体为主语、目的网络实体为宾语、而源网络实体与目的网络实体之间的关系即为谓语。
示例性的,一条网络数据为机器A出现异常生成的告警信息,则与该条网络数据对应的数据组为机器A导致告警。其中,“机器A”为源网络实体,“机器A”作为主语。“告警”为目的网络实体,“告警”作为宾语。而“导致”为源网络实体与目的网络实体之间的关系,“导致”作为谓语。
示例性的,一条网络数据为客户端A访问服务器B中的人员信息,则与该条网络数据对应的数据组为客户端A访问服务器B。其中,“客户端A”为源网络实体,“客户端A”作为主语。“服务器B”为目的网络实体,“服务器B”作为宾语。而“访问”为源网络实体与目的网络实体之间的关系,“访问”作为谓语。
此外,当网络数据包括基础数据以及日志数据时,步骤S202提取网络数据中的网络实体与关系,生成多条数据组可以具体包括:提取基础数据中的网络实体与关系,生成多条第一数据组;对日志数据进行聚类和/或分类处理,以得到处理后的日志数据;提取处理后的日志数据中的网络实体与关系,生成多条第二数据组;其中,多条数据组包括多条第一数据组及多条第二数据组。
需要说明的是,对于基础数据,可以直接进行网络实体与关系的提取。而对于日志数据,则需要进行聚类和/或分类处理。当然,对于一些非频繁行为日志(例:注册/分配账户),也可以直接提取该数据;而对于一些频繁的行为日志,则需要进行聚类和/或分类处理。
示例性的,将某个特定的时间段内,包括IP地址A对IP地址B的1000条访问日志,则可以将这1000条访问日志进行聚合,进而生成一条数据组,该条数据组为IP地址A访问1000次IP地址B。当然,这1000条访问日志还可以根据类型进行分类。如这1000条日志数据处理后得到两条数据组,第一条数据组为IP地址A通过方式一访问500次IP地址B。第二条数据组为IP地址A通过方式二访问500次IP地址B。
可选地,步骤S202提取网络数据中的网络实体与关系,生成多条数据组的具体过程可以包括:对网络数据进行结构化;提取结构化后的网络数据中的网络实体与关系,生成多条数据组。
需要说明的是,在本申请实施例中,由于存在灵活的实体与关系,因此无需提前规范采集数据的字段和格式,只需对获取的数据进行结构化,进而便于后续直接从结构化的数据中提取简单的实体与关系。通过该方式也可简化多种异构数据难以接入的问题。
此外,每条数据组还可以包括网络实体的属性信息。需要说明的是,属性信息是网络实体的特性描述。如用户的姓名、性别、住址、电话号码等均可以作为属性信息。每一个属性信息均可以包括其记录时间、更新时间等等。每一个属性信息还可以记录有所提取的日志id(Identity document,身份标识号),以供追溯。
相应的,属性信息中还可以包括推荐属性值。推荐属性值可以综合历史出现次数权重,实时性权重,日志置信度权重等方式确定。示例性的,用户A的使用数据中,包括100次电话号码A1的使用记录和使用了2次电话号码A2的使用记录,则可以将电话号码A1确定为推荐属性值。
步骤S203:将多条数据组写入图形数据库中。
在基于网络数据生成多条数据组之后,将多条数据组写入图形数据库中。需要说明的是,图形数据库能够应用图形理论存储实体之间的关系信息,图形数据库可以是但不限于TypeDB、Neo4j、FlockDB、GraphDB。由于上述的图形数据库均为本领域所熟知的数据库,此处不作过多说明。
下面对数据组写入图形数据库的具体过程进行说明,针对每一条数据组,将该条数据组写入图形数据库的具体过程可以包括:基于该条数据组的源网络实体的属性信息,确定出该条数据组的标识;在图形数据库中查找是否已存在标识;若存在,则基于该条数据组对图形数据库中与标识对应的网络实体进行数据更新;若不存在,则直接将该条数据组写入图形数据库。
当网络实体仅包括一个属性信息时,则直接基于该属性信息确定出标识。
当网络实体对应多个不同的属性信息时,则可以根据预先设定的主从规则,确定出主属性信息,然后基于主属性信息确定出标识。示例性的,可以预先设定用户的身份证号、住址、电话号码三者的主从优先级,如用户的身份证号的优先级高于用户的电话号码,用户的电话号码的优先级高于用户的住址。当网络实体对应的属性信息为用户的身份证号和住址时,则基于用户的身份证号确定出标识。当网络实体对应的属性信息为用户的电话号码和住址时,则基于用户的电话号码确定出标识。
在确定出该条数据组的标识后,在图形数据库中查询是否已经存在该标识,若不存在,将该条数据组作为一个新的数据组直接写入图形数据库中。若存在,则基于该条数据组对图形数据库中与标识对应的网络实体进行数据更新。需要说明的是,更新除了包括网络实体的关系的更新,也包括属性值的更新。比如取出历史属性信息,将各个当前属性值并入历史属性信息,重新计算每个属性的推荐属性值(可以综合历史出现次数权重,实时性权重,日志置信度权重)。
可见,在本申请实施例中,在将每条数据组写入图形数据库的过程中,可以基于每条数据组的源网络实体的属性信息,确定出该条数据组的标识,进而通过该条数据组的标识确定图形数据库中是否已有该标识,若已有该标识,则只需基于该条数据组对图形数据库中与该标识对应的网络实体进行数据更新即可,通过该方式,以实现对图形数据库中的网络实体的信息聚合,以便于构建知识图谱,以及便于后续在知识图谱中对违规行为的查找。
可选地,在将多条数据组写入图形数据库中之后,该方法还包括:向图形数据库发送预设的规则命令,以触发图形数据库基于多条数据组之间的关系扩充网络实体之间的关系。
示例性的,对于图形数据库(例如TypeDB),使用预设的规则命令(例如TypeQL的define语句),将预设的规则命令发送至图形数据库后,则图形数据库将自动根据规则补全所有缺失的关系。例如,IP(a)-属于-部门(x),部门(x)-属于-部门(y),则可以补全出关系IP(a)-属于-部门(y)。
可见,在本申请实施例中,通过向图形数据库发送预设的规则命令,以触发图形数据库基于多条数据组之间的关系扩充网络实体之间的关系,进而使得构建的知识图谱包含更丰富的关系和行为。
步骤S204:基于图形数据库构建知识图谱。
最后,即可直接基于图形数据库构建出知识图谱。可见,在本申请实施例中,在获取到网络数据后,提取网络数据中的网络实体与关系,生成多条数据组,然后再将多条数据组写入图形数据库中,由于图形数据库能够应用图形理论存储实体之间的关系信息,以便于基于图形数据库中的信息直接构建知识图谱。
在构建完知识图谱后,即可基于知识图谱实现违规行为的审计。用户可以通过知识图谱查看实体的属性信息以及实体的关系/行为,据此判断员工的行为是否合规。例如,某员工持有的IP、资产、账户,所从属的部门,访问的服务和频次,传输的数据量级等等。通过这种审计方式,也可以探索性的发现未知的违规行为。
其中,用户也可以基于自己定义的合规行为集合,对知识图谱中的实体与行为进行查询以使电子设备接收到用户发起的违规行为查询指令。例如:查询非涉密实体对涉密实体的访问,查询涉密内网机器联通互联网,查询同一账户属于多个员工等,以快速筛选出违规的实体与行为。通常来说,审计规则可以直接映射为对网络实体行为的查询。若存在行为或者关系未自动提取到的情况,可以再次触发图形数据库基于多条数据组之间的关系扩充网络实体之间的关系。对此,本申请不作限定。
此外,用户还可以将查询固定为审计模型,进而持续对知识图谱进行监控。也即,上述S102可以具体包括:基于用户配置的审计规则建立审计模型;其中,审计规则配置有待查询网络实体的违规行为;基于审计模型发起的与所述待查询网络实体的违规行为对应的违规行为查询指令,从知识图谱中获取所述审计结果。
也即,在本申请实施例中,可以利用用户配置的审计规则建立审计模型,进而持续监控网络实体的违规行为。此外,上述方式为先构建知识图谱,后根据需求建立审计模型,通过该方式,一来可以规避掉审计规则向审计模型的转换困难的问题,二来,可以灵活的配置,不用事先就建立审计模型。
此外,上述的知识图谱还可以在应用的过程中不断的更新,也即,该方法还包括:获取最新的网络数据;提取最新的网络数据中的网络实体与关系,生成多条第三数据组;其中,每条第三数据组包括最新的网络数据中的两个网络实体及该两个网络实体之间的关系;基于多条第三数据组对知识图谱进行更新。
需要说明的是,基于最新的网络数据更新知识图谱的过程与前述实施例中基于网络数据构建知识图谱的过程相同,为了避免累赘,此处不作赘述。
可见,在本申请实施例中,可以根据获取到最新的网络数据不断地丰富知识图谱中的关系和行为,以保证审计结果的有效性和可靠性。
请参阅图4,基于同一发明构思,本申请实施例还提供一种审计装置200,该装置200包括:获取模块210、审计模块220。
获取模块210,用于获取预先构建的知识图谱;其中,所述知识图谱由多条数据组构建而成,每个数据组包括两个网络实体及该两个网络实体之间的关系;
审计模块220,用于接收用户发起的违规行为查询指令,基于所述违规行为查询指令从所述知识图谱中获取审计结果。
可选地,审计装置200还包括:构建模块。
构建模块,用于获取网络数据;提取所述网络数据中的网络实体与关系,生成所述多条数据组;将所述多条数据组写入图形数据库中;基于所述图形数据库构建所述知识图谱。
可选地,所述网络数据包括基础数据以及日志数据;所述基础数据为静态属性的数据。相应的,构建模块,具体用于提取所述基础数据中的网络实体与关系,生成多条第一数据组;对所述日志数据进行聚类和/或分类处理,以得到处理后的日志数据;提取所述处理后的日志数据中的网络实体与关系,生成多条第二数据组;其中,所述多条数据组包括所述多条第一数据组及所述多条第二数据组。
可选地,构建模块还具体用于对所述网络数据进行结构化;提取结构化后的网络数据中的网络实体与关系,生成多条数据组。
可选地,每条数据组分别包括源网络实体及目的网络实体,所述源网络实体包括属性信息,针对每一条数据组,构建模块还具体用于基于该条数据组的源网络实体的属性信息,确定出该条数据组的标识;在所述图形数据库中查找是否已存在所述标识;若存在,则基于该条数据组对所述图形数据库中与所述标识对应的网络实体进行数据更新;若不存在,则直接将该条数据组写入所述图形数据库。
可选地,构建模块还用于在所述将所述多条数据组写入图形数据库中之后,向所述图形数据库发送预设的规则命令,以触发所述图形数据库基于所述多条数据组之间的关系扩充网络实体之间的关系。
可选地,审计模块220具体用于基于所述用户配置的审计规则建立审计模型;其中,所述审计规则配置有待查询网络实体的违规行为;基于所述审计模型发起的与所述待查询网络实体的违规行为对应的违规行为查询指令,从所述知识图谱中获取所述审计结果。
可选地,构建模块还用于获取最新的网络数据;提取所述最新的网络数据中的网络实体与关系,生成多条第三数据组;其中,每条第三数据组包括所述最新的网络数据中的两个网络实体及该两个网络实体之间的关系;基于所述多条第三数据组对所述知识图谱进行更新。
需要说明的是,由于所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
基于同一发明构思,本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序在被运行时执行上述实施例中提供的方法。
该存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如软盘、硬盘、磁带)、光介质(例如DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种审计方法,其特征在于,包括:
获取预先构建的知识图谱;其中,所述知识图谱由多条数据组构建而成,每个数据组包括两个网络实体及该两个网络实体之间的关系;
接收用户发起的违规行为查询指令,基于所述违规行为查询指令从所述知识图谱中获取审计结果。
2.根据权利要求1所述的方法,其特征在于,通过如下步骤构建所述知识图谱,包括:
获取网络数据;
提取所述网络数据中的网络实体与关系,生成所述多条数据组;
将所述多条数据组写入图形数据库中;
基于所述图形数据库构建所述知识图谱。
3.根据权利要求2所述的方法,其特征在于,所述网络数据包括基础数据以及日志数据;所述基础数据为静态属性的数据;
相应的,所述提取所述网络数据中的网络实体与关系,生成多条数据组,包括:
提取所述基础数据中的网络实体与关系,生成多条第一数据组;
对所述日志数据进行聚类和/或分类处理,以得到处理后的日志数据;
提取所述处理后的日志数据中的网络实体与关系,生成多条第二数据组;其中,所述多条数据组包括所述多条第一数据组及所述多条第二数据组。
4.根据权利要求2所述的方法,其特征在于,所述提取所述网络数据中的网络实体与关系,生成多条数据组,包括:
对所述网络数据进行结构化;
提取结构化后的网络数据中的网络实体与关系,生成多条数据组。
5.根据权利要求2所述的方法,其特征在于,每条数据组分别包括源网络实体及目的网络实体,所述源网络实体包括属性信息,针对每一条数据组,将该条数据组写入图形数据库中,包括:
基于该条数据组的源网络实体的属性信息,确定出该条数据组的标识;
在所述图形数据库中查找是否已存在所述标识;
若存在,则基于该条数据组对所述图形数据库中与所述标识对应的网络实体进行数据更新;
若不存在,则直接将该条数据组写入所述图形数据库。
6.根据权利要求2所述的方法,其特征在于,在所述将所述多条数据组写入图形数据库中之后,所述方法还包括:
向所述图形数据库发送预设的规则命令,以触发所述图形数据库基于所述多条数据组之间的关系扩充网络实体之间的关系。
7.根据权利要求1所述的方法,其特征在于,所述接收用户发起的违规行为查询指令,基于所述违规行为查询指令从所述知识图谱中获取审计结果,包括:
基于所述用户配置的审计规则建立审计模型;其中,所述审计规则配置有待查询网络实体的违规行为;
基于所述审计模型发起的与所述待查询网络实体的违规行为对应的违规行为查询指令,从所述知识图谱中获取所述审计结果。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取最新的网络数据;
提取所述最新的网络数据中的网络实体与关系,生成多条第三数据组;其中,每条第三数据组包括所述最新的网络数据中的两个网络实体及该两个网络实体之间的关系;
基于所述多条第三数据组对所述知识图谱进行更新。
9.一种审计装置,其特征在于,包括:
获取模块,用于获取预先构建的知识图谱;其中,所述知识图谱由多条数据组构建而成,每个数据组包括两个网络实体及该两个网络实体之间的关系;
审计模块,用于接收用户发起的违规行为查询指令,基于所述违规行为查询指令从所述知识图谱中获取审计结果。
10.一种电子设备,其特征在于,包括:处理器和存储器,所述处理器和所述存储器连接;
所述存储器用于存储程序;
所述处理器用于运行存储在所述存储器中的程序,执行如权利要求1-8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111642473.8A CN114297406A (zh) | 2021-12-29 | 2021-12-29 | 一种审计方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111642473.8A CN114297406A (zh) | 2021-12-29 | 2021-12-29 | 一种审计方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114297406A true CN114297406A (zh) | 2022-04-08 |
Family
ID=80971107
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111642473.8A Pending CN114297406A (zh) | 2021-12-29 | 2021-12-29 | 一种审计方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114297406A (zh) |
-
2021
- 2021-12-29 CN CN202111642473.8A patent/CN114297406A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103827810B (zh) | 资产模型导入连接器 | |
| US10693898B2 (en) | Systems data validation | |
| CN109842628A (zh) | 一种异常行为检测方法及装置 | |
| US20180285596A1 (en) | System and method for managing sensitive data | |
| CN109086182B (zh) | 数据库自动告警的方法及终端设备 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| US20130332423A1 (en) | Data lineage tracking | |
| US10257228B2 (en) | System and method for real time detection and prevention of segregation of duties violations in business-critical applications | |
| CN107133309B (zh) | 流程实例的存储、查询方法及装置、存储介质及电子设备 | |
| CN112491602B (zh) | 行为数据的监控方法、装置、计算机设备及介质 | |
| CN111581054A (zh) | 一种基于elk的日志埋点的业务分析告警系统及方法 | |
| US11693958B1 (en) | Processing and storing event data in a knowledge graph format for anomaly detection | |
| CN111767574A (zh) | 用户权限确定方法、装置、电子设备及可读存储介质 | |
| CN111756745A (zh) | 告警方法、告警装置及终端设备 | |
| CN113918938A (zh) | 一种持续免疫安全系统的用户实体行为分析方法及系统 | |
| CN113495978B (zh) | 一种数据检索方法及装置 | |
| CN114297406A (zh) | 一种审计方法、装置及电子设备 | |
| CN116204540A (zh) | 操作日志记录方法、装置、设备及存储介质 | |
| CN116010480A (zh) | 一种时序数据库审计方法及系统 | |
| US20210406391A1 (en) | Production Protection Correlation Engine | |
| CN114281586A (zh) | 故障确定方法及装置、电子设备和计算机可读存储介质 | |
| CN111368039B (zh) | 一种数据管理系统 | |
| CN112347066B (zh) | 日志处理方法、装置及服务器和计算机可读存储介质 | |
| CN111723146B (zh) | 监测数据库的方法、管理系统及存储介质 | |
| EP4250160A1 (en) | Information processing system, information processing method, and computer |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |