CN114297712A - 基于数据流转全流程审计的数据防攻击方法及装置 - Google Patents
基于数据流转全流程审计的数据防攻击方法及装置 Download PDFInfo
- Publication number
- CN114297712A CN114297712A CN202111635312.6A CN202111635312A CN114297712A CN 114297712 A CN114297712 A CN 114297712A CN 202111635312 A CN202111635312 A CN 202111635312A CN 114297712 A CN114297712 A CN 114297712A
- Authority
- CN
- China
- Prior art keywords
- account
- determining
- real identity
- abnormal
- endpoint
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于数据流转全流程审计的数据防攻击方法及装置,其中方法包括:确定数据流转全流程的关联端点,并针对每一个关联端点进行日志采集;采集的日志类型至少包括:操作系统日志和应用系统日志;对采集的日志中包含的安全事件进行关联分析;若关联分析结果为确定存在异常行为时,则确定异常行为所对应异常操作账户的真实身份;确定与该异常操作账户的真实身份相关的关联账户,对关联账户的权限范围进行调整;将调整结果发送至对应的关联端点,以使关联端点基于调整后关联账户的权限范围进行服务。本方案,能够避免该真实身份的用户利用其它关联账户进行数据攻击,进而提高了数据防攻击效果。
Description
技术领域
本发明实施例涉及网络安全技术领域,特别涉及一种基于数据流转全流程审计的数据防攻击方法及装置。
背景技术
随着长期的信息化建设,内部网络应用日益复杂,网络分布广泛、终端设备数量越来越庞大、业务应用系统越来越多,数据流转所经过的端点也越来越多。为了防止攻击者对端点数据的攻击,在端点上部署有相应的防御措施,通过针对不同用户分配不同的权限范围,来降低数据被攻击的概率。但是,目前端点上的防控措施,均是基于端点自身进行单一审计,数据防攻击效果较差。
发明内容
基于端点单一审计导致数据防攻击效果较差的问题,本发明实施例提供了一种基于数据流转全流程审计的数据防攻击方法及装置,能够提高数据防攻击效果。
第一方面,本发明实施例提供了一种基于数据流转全流程审计的数据防攻击方法,包括:
确定数据流转全流程的关联端点,并针对每一个关联端点进行日志采集;采集的日志类型至少包括:操作系统日志和应用系统日志;
对采集的日志中包含的安全事件进行关联分析;
若关联分析结果为确定存在异常行为时,则确定异常行为所对应异常操作账户的真实身份;
确定与该异常操作账户的真实身份相关的关联账户,对关联账户的权限范围进行调整;
将调整结果发送至对应的关联端点,以使关联端点基于调整后关联账户的权限范围进行服务。
优选地,所述对采集的日志中包含的安全事件进行关联分析,包括:
确定各安全事件分别对应操作账户的真实身份;
按照不同真实身份对采集的日志中包含的安全事件进行分组;
对每一个分组中的安全事件进行异常分析。
优选地,所述确定各安全事件分别对应操作账户的真实身份,包括:
针对每一条安全事件,确定请求发起该安全事件的目标关联端点;
确定该安全事件是否以所述目标关联端点中的目标应用系统发起的,若是,则将所述目标应用系统的登录账户确定为请求发起该安全事件的操作账户,否则,将所述目标关联端点的登录账户确定为请求发起该安全事件的操作账户;
根据预先建立的账户与真实身份的对应关系,确定请求发起该安全事件的操作账户所对应的真实身份。
优选地,所述对每一个分组中的安全事件进行异常分析,包括:
针对每一个分组,均执行:获取该分组所对应的真实身份具有的正常行为特征;按照预先设置的检测规则和该正常行为特征,对该分组中的安全事件进行异常检测,确定是否存在异常行为。
优选地,在所述对该分组中的安全事件进行异常检测之前,还包括:将该分组中的安全事件按照时间戳的先后顺序进行排序;
所述对该分组中的安全事件进行异常检测,包括:检测该分组中是否存在连续的安全事件满足预设异常行为的时序特征,若存在,则确定存在异常行为。
优选地,在确定与该异常操作账户的真实身份相关的关联账户之前,还包括:确定当前所管理的真实身份和资产,并针对每一个真实身份,为其分配各资产所对应的账户以及账户具有的权限范围,得到账户和真实身份的对应关系;
所述确定与该异常操作账户的真实身份相关的关联账户,包括:
根据所述账户与真实身份的对应关系,确定与该异常操作账户的真实身份相对应的所有账户,将所有账户确定为关联账户。
优选地,所述对关联账户的权限范围进行调整,包括:
根据存在的异常行为对该异常操账户的真实身份进行信用评价;
根据信用评价等级确定每一个关联账户所需调整的权限范围。
第二方面,本发明实施例还提供了一种基于数据流转全流程审计的数据防攻击装置,包括:
日志采集单元,用于确定数据流转全流程的关联端点,并针对每一个关联端点进行日志采集;采集的日志类型至少包括:操作系统日志和应用系统日志;
关联分析单元,用于对采集的日志中包含的安全事件进行关联分析;
真实身份确定单元,用于若关联分析结果为确定存在异常行为时,则确定异常行为所对应异常操作账户的真实身份;
权限范围调整单元,用于确定与该异常操作账户的真实身份相关的关联账户,对关联账户的权限范围进行调整,将调整结果发送至对应的关联端点,以使关联端点基于调整后关联账户的权限范围进行服务。
第三方面,本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种基于数据流转全流程审计的数据防攻击方法及装置,通过对数据流转全流程的关联端点的日志进行关联分析,相对于端点的单一审计,审计内容更加丰富,且涉及数据流转全流程,因此能够识别出单个端点无法识别出的异常行为,并且当识别出异常行为之后,通过确认异常操作账户的真实身份,将该真实身份相关的关联账户的权限范围进行调整,从而避免该真实身份的用户利用其它关联账户进行数据攻击,进而提高了数据防攻击效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种基于数据流转全流程审计的数据防攻击方法流程图;
图2是本发明一实施例提供的一种计算设备的硬件架构图;
图3是本发明一实施例提供的一种基于数据流转全流程审计的数据防攻击装置结构图;
图4是本发明一实施例提供的另一种基于数据流转全流程审计的数据防攻击装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如前所述,目前在端点上部署有相应的防御措施,通过针对不同用户分配不同的权限范围,来降低数据被攻击的概率。可见,目前端点上的防控措施,均是基于端点自身进行单一审计,无法对整体的数据流转全流程进行风险识别,因此,数据防攻击效果较差。考虑到在单个端点上,可以安装多个应用系统,比如财务系统、采购系统、OA审批系统等,用户在利用端点登录账户登录端点之后,可以通过应用系统的登录账户登录不同的应用系统,以实现不同的业务。而在利用应用系统实现业务时,应用系统的运行端点并不是访问端点,并且在实现业务时,数据流转经过的端点可能为多个,可见,在单一端点上能够获取到的业务相关信息并不全面,因此,仅靠单一端点进行防控,效果较差。基于上述分析,可以考虑利用数据流转全流程的端点上的数据进行统一分析、审计,以此来丰富用于异常分析的信息。
另外,登录端点的账户与在该端点上登录应用系统的账户对应的真实用户可能并不是同一个用户,因此,可以考虑在进行统一分析审计得到异常行为时,定位异常行为的真实身份,以此对其关联账户的权限范围进行调整,防止该真实身份利用其它关联账户进行数据攻击。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种基于数据流转全流程审计的数据防攻击方法,该方法包括:
步骤100,确定数据流转全流程的关联端点,并针对每一个关联端点进行日志采集;采集的日志类型包括:操作系统日志和应用系统日志;
步骤102,对采集的日志中包含的安全事件进行关联分析;
步骤104,若关联分析结果为确定存在异常行为时,则确定异常行为所对应异常操作账户的真实身份;
步骤106,确定与该异常操作账户的真实身份相关的关联账户,对关联账户的权限范围进行调整;
步骤108,将调整结果发送至对应的关联端点,以使关联端点基于调整后关联账户的权限范围进行服务。
本发明实施例中,通过对数据流转全流程的关联端点的日志进行关联分析,相对于端点的单一审计,审计内容更加丰富,且涉及数据流转全流程,因此能够识别出单个端点无法识别出的异常行为,并且当识别出异常行为之后,通过确认异常操作账户的真实身份,将该真实身份相关的关联账户的权限范围进行调整,从而避免该真实身份的用户利用其它关联账户进行数据攻击,进而提高了数据防攻击效果。
下面描述图1所示的各个步骤的执行方式。
首先针对步骤100,确定数据流转全流程的关联端点,并针对每一个关联端点进行日志采集;采集的日志类型包括:操作系统日志和应用系统日志。
本发明实施例中,需要识别出数据流转全流程都流经哪些端点,将这些流经的端点确定为关联端点。
为了能够识别出关联端点,首先需要对资产进行统一管理,这些资产可以包括:终端设备、网络设备和安全设备等端点。终端设备可以包括客户端、路由器、交换机等,网络设备可以为为应用系统提供服务的应用服务器,比如邮件、web、FTP等,安全设备可以包括防火墙、web应用防火墙、堡垒机等。
一种方式中,将统一管理的资产均确定为数据流转全流程的关联端点。
另一种方式中,针对特定数据,比如,利用财务系统发起的请求数据,确定该请求数据流经的各个端点,将访问端点以财务系统运行的端点确定为数据流转全流程的关联端点。
在针对关联端点进行日志采集时,由于端点日志一般记录有端点相关的运行日志,而本实施例中,需要对基于应用系统进行的操作是否具有异常进行分析,因此,采集的日志类型至少包括操作系统日志和应用系统日志。其中,该应用系统日志不仅包括业务应用系统的日志,还包括端点上部署的防御应用系统的告警日志等。操作系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。可见,利用操作系统日志和应用系统日志可以分析出用户在各关联端点上进行操作的痕迹。
然后针对步骤102,对采集的日志中包含的安全事件进行关联分析。
由于采集的日志是从数据流转全流程流经的所有关联端点上采集得到的,因此,通过日志将各关联端点之间横向拉通,使得数据流转过程中涉及的所有操作记录均被获取到一起,因此,此时用于进行关联分析的日志是较全面和丰富的,利用这些全面且丰富的日志中的安全事件,可以使得关联分析结果更贴近真实性,且相对于端点的单一分析审计,更能够分析出存在的异常行为。
在本发明一个实施例中,本步骤102中至少可以通过如下一种方式对采集的日志中包含的安全事件进行关联分析,具体包括如下步骤S1~S3:
S1、确定各安全事件分别对应操作账户的真实身份。
每一个安全事件的发生,均对应有操作账户,比如,用户通过业务系统下载文件,那么该安全事件对应的操作账户即为登录业务系统的账户。假设用户在访问端点上安装的应用系统M上登录账户A001之后发起请求,那么该数据流转的端点可能为多个,比如,数据流转全流程的关联端点如下:访问端点→应用系统M的运行端点M1→应用系统A的运行端点A1→应用系统A的运行端点A2→应用系统B的运行端点B1→应用系统B的运行端点B2→应用系统的运行端点M→访问端点。而不同关联端点的登录账户可能均不同,而该数据的流转是基于安装在访问端点上的应用系统M的登录账户A001发起的,因此,在上述各关联端点上采集的日志中记录的关于该数据流转的安全事件,其对应操作账户均为A001。
具体地,本发明一个实施例中,可以通过如下方式确定各安全事件分别对应操作账户的真实身份:针对每一条安全事件,确定请求发起该安全事件的目标关联端点;确定该安全事件是否以所述目标关联端点中的目标应用系统发起的,若是,则将所述目标应用系统的登录账户确定为请求发起该安全事件的操作账户,否则,将所述目标关联端点的登录账户确定为请求发起该安全事件的操作账户;根据预先建立的账户与真实身份的对应关系,确定请求发起该安全事件的操作账户所对应的真实身份。
由于操作系统日志和应用系统日志中均记录有发生的各个安全事件,因此,每个安全事件都可以溯源到请求发起该安全事件的目标关联端点,即上述全流程关联端点中的访问端点,在确定目标关联端点之后,可以利用从目标关联端点上采集的日志确定该安全事件是否以目标关联端点中的应用系统发起的,根据上述数据流转全流程可知,是由访问端点上应用系统M发起的,因此将登录应用系统M的账户A001确定为操作账户。
考虑到在企业内部不同业务对应有不同应用系统,因此,一个用户在不同应用系统上均有对应的账户,并且,登录端点的账户与在该端点上登录应用系统的账户可能对应的并不是同一个真实身份,因此,为了将各账户关联起来,需要对关联账户进行统一管理。
具体地,本发明一个实施例中,可以通过如下方式对关联账户进行统一管理:确定当前所管理的真实身份和资产,并针对每一个真实身份,为其分配各资产所对应的账户以及账户具有的权限范围,得到账户和真实身份的对应关系。其中,资产可以包括端点、应用系统、数据库等等。
因此,可以根据账户与真实身份的对应关系准确确定出操作账户的真实身份。
S2、按照不同真实身份对采集的日志中包含的安全事件进行分组。
S3、对每一个分组中的安全事件进行异常分析。
由于一个分组中的安全事件均是由同一个真实身份执行的,因此,在对每一个分组中的安全事件进行异常分析时,可以与真实身份具有的正常行为特征关联起来,具体地,在本发明一个实施例中,可以通过如下方式对每一个分组的安全事件进行异常分析:获取该分组所对应的真实身份具有的正常行为特征;按照预先设置的检测规则和该正常行为特征,对该分组中的安全事件进行异常检测,确定是否存在异常行为。
其中,对于真实身份具有的正常行为特征可以依据该真实身份在历史日志记录中的行为特征进行分析得到。为提高正常行为特征的准确性,在得出正常行为特征之后可以人工进行审核确认。
其中,可以预先设置检测规则,该检测规则至少可以包括如下一种或多种形式的检测:基于单条安全事件的检测、基于多条安全事件数量的告警检测、基于多值事件数量的告警检测和基于时序告警检测等。
基于单条安全事件的检测,比如,是否在非工作时间/非工作地点进行了登录行为、是否具有绕堡垒机的登录行为、是否具有越权登录行为、是否存在使用非安全区域的IP的登录行为等。
基于多条安全事件数量的告警检测,比如是否存在密码猜测行为。进行该检测的模型可以包括如下几个部分:时间维度、阈值维度和条件维度。具体地检测可以为:是否在时间维度要求的时间段内执行了满足条件维度要求的条件的安全事件,且该安全事件的数量达到阈值维度要求的数量,若存在,则进行告警。
基于多值事件数量的告警检测,比如,是否存在端口扫描的行为。进行该检测的模型可以包括如下几个部分:时间维度、阈值维度、不同维度和条件维度。具体地检测可以为:是否在时间维度要求的时间段内执行了满足条件维度要求的条件的安全事件,且该安全事件的数量达到阈值维度要求的数量,以及满足条件的安全事件的内容是不同的,若存在,则进行告警。
基于时序告警检测,比如,非工作事件登录FTP服务器,上传了一个脚本,然后下载了敏感文件的行为,这种在时序特征确定为一次异常行为。具有地,对该分组中的安全事件进行异常检测时,可以包括:检测该分组中是否存在连续的安全事件满足预设异常行为的时序特征,若存在,则确定存在异常行为。由于安全事件具有时序特征,因此,在对该分组中的安全事件进行异常检测之前,还可以包括:将该分组中的安全事件按照时间戳的先后顺序进行排序。如此更有利于时序特征的检测。
在基于时序告警检测时,由于使用的安全事件为从关联端点上采集的,因此,在利用时序特征分析时,时序上的安全事件信息会更长,更能够确定出是否具有异常行为。举例来说,按照时间戳进行排序之后,可以得到数据流转全流程中的整个操作过程的痕迹,操作C1→操作C2→操作C3→操作C4→操作C5,其中,操作C1和操作C5是在关联端点1上获取到的,操作C2是在关联端点2上获取到的,操作C3和操作C4是在关联端点3上获取到的,因此,若只在单个端点上进行时序特征分析,比如在在关联端点1上,只能获取到操作C1→操作C5,而具有异常行为的时序特征是操作C1→操作C2→操作C3→操作C4→操作C5,而操作C1→操作C5并不是异常行为,可见,相对于端点单一分析,能够更准确的分析出异常行为来。
需要说明的是,除上述步骤S1~S3关联分析方式以外,还可以不进行分组,而是直接对所有日志中的所有安全事件逐个进行检测分析,以确定是否存在异常行为。
本实施例中,通过按照真实身份将安全事件进行分组,同一个分组中的安全事件均是同一个真实身份操作的,因此,可以对该真实身份操作的所有安全事件进行综合分析,相对于逐个对安全事件进行分析来说,更能够分析出用户更真实的行为特征,行为异常的检测准确率会更高。
最后针对步骤104“若关联分析结果为确定存在异常行为时,则确定异常行为所对应异常操作账户的真实身份”、步骤106“确定与该异常操作账户的真实身份相关的关联账户,对关联账户的权限范围进行调整”以及步骤108“将调整结果发送至对应的关联端点,以使关联端点基于调整后关联账户的权限范围进行服务”同时进行说明。
在本发明一个实施例中,若上述步骤102中是在按照不同真实身份进行分组之后进行的关联分析,那么本步骤104中可以直接确定异常行为对应的分组,进而直接确定出真实身份;否则,本步骤104同样可以根据预先建立的账户与真实身份的对应关系,确定操作账户所对应的真实身份。
为了方便办公,一般为用户分配的资产账户的权限范围过于宽松,极大地增加了出现安全或隐私问题的可能性。出于利益诱惑极有可能存在用户对企业内敏感数据进行增删查改等异常行为操作,因此,当发现异常行为之后,不仅需要对发生异常行为的账户进行权限范围的调整,更应该对该真实身份的其它账户的权限范围进行调整,以及时阻止该真实身份利用其它账户进一步进行异常行为操作,保障数据安全性。
为了确定真实身份相关的关联账户,根据上述步骤102可知,可以确定当前所管理的真实身份和资产,并针对每一个真实身份,为其分配各资产所对应的账户以及账户具有的权限范围,得到账户和真实身份的对应关系。根据该账户和真实身份的对应关系,确定与该异常操作账户的真实身份相对应的所有账户,将所有账户确定为关联账户。
举例来说,真实身份“张三”,对应应用系统A的账户为Z001,对应应用系统B的账户为Z002,对应应用系统C的账户为Z003。其中,异常操作账户为Z001,将上述Z001~Z003均确定关联账户。
由于每个账户具有对应的权限范围,因此,在对关联账户的权限范围进行调整时,可以将敏感数据对应的权限关闭,也可以按照如下方式进行调整:根据存在的异常行为对该异常操账户的真实身份进行信用评价;根据信用评价等级确定每一个关联账户所需调整的权限范围。
其中,可以根据异常行为的敏感程度对真实身份进行信用评价。另外,还可以对敏感数据配置对应的等级,当确定信用评价等级之后,将敏感数据等级高于信用评价等级的敏感数据的权限均对该关联账户进行关闭,从而得到每一个关联账户调整后的权限范围,将调整后的权限范围发送至对应的关联端点,使得关联端点按照调整后的权限范围为关联账户进行服务,从而降低敏感数据被攻击的可能性。
需要说明的是,信用评价方式可以使用现有技术中任何一种信用评价模型来实现,以及权限范围的调整也可以根据不同情况进行不同范围的调整,对此不做具体限定。
如图2、图3所示,本发明实施例提供了一种基于数据流转全流程审计的数据防攻击装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图2所示,为本发明实施例提供的一种基于数据流转全流程审计的数据防攻击装置所在计算设备的一种硬件架构图,除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的计算设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图3所示,作为一个逻辑意义上的装置,是通过其所在计算设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种基于数据流转全流程审计的数据防攻击装置,包括:
日志采集单元301,用于确定数据流转全流程的关联端点,并针对每一个关联端点进行日志采集;采集的日志类型至少包括:操作系统日志和应用系统日志;
关联分析单元302,用于对采集的日志中包含的安全事件进行关联分析;
真实身份确定单元303,用于若关联分析结果为确定存在异常行为时,则确定异常行为所对应异常操作账户的真实身份;
权限范围调整单元304,用于确定与该异常操作账户的真实身份相关的关联账户,对关联账户的权限范围进行调整,将调整结果发送至对应的关联端点,以使关联端点基于调整后关联账户的权限范围进行服务。
在本发明一个实施例中,所述关联分析单元302,具体用于确定各安全事件分别对应操作账户的真实身份;按照不同真实身份对采集的日志中包含的安全事件进行分组;对每一个分组中的安全事件进行异常分析。
在本发明一个实施例中,所述关联分析单元302,在确定各安全事件分别对应操作账户的真实身份时,具体用于针对每一条安全事件,确定请求发起该安全事件的目标关联端点;确定该安全事件是否以所述目标关联端点中的目标应用系统发起的,若是,则将所述目标应用系统的登录账户确定为请求发起该安全事件的操作账户,否则,将所述目标关联端点的登录账户确定为请求发起该安全事件的操作账户;根据预先建立的账户与真实身份的对应关系,确定请求发起该安全事件的操作账户所对应的真实身份。
在本发明一个实施例中,所述关联分析单元302,在对每一个分组中的安全事件进行异常分析时,具体用于针对每一个分组,均执行:获取该分组所对应的真实身份具有的正常行为特征;按照预先设置的检测规则和该正常行为特征,对该分组中的安全事件进行异常检测,确定是否存在异常行为。
在本发明一个实施例中,所述关联分析单元302,还用于在所述对该分组中的安全事件进行异常检测之前将该分组中的安全事件按照时间戳的先后顺序进行排序;
所述关联分析单元302,在对该分组中的安全事件进行异常检测时,具体用于检测该分组中是否存在连续的安全事件满足预设异常行为的时序特征,若存在,则确定存在异常行为。
在本发明一个实施例中,请参考图4,该装置还可以包括:身份账户关联单元305,用于确定当前所管理的真实身份和资产,并针对每一个真实身份,为其分配各资产所对应的账户以及账户具有的权限范围,得到账户和真实身份的对应关系;
所述权限范围调整单元304在确定与该异常操作账户的真实身份相关的关联账户时,具体用于根据所述账户与真实身份的对应关系,确定与该异常操作账户的真实身份相对应的所有账户,将所有账户确定为关联账户。
在本发明一个实施例中,所述权限范围调整单元304在对关联账户的权限范围进行调整时,具体用于根据存在的异常行为对该异常操账户的真实身份进行信用评价;根据信用评价等级确定每一个关联账户所需调整的权限范围。
可以理解的是,本发明实施例示意的结构并不构成对一种基于数据流转全流程审计的数据防攻击装置的具体限定。在本发明的另一些实施例中,一种基于数据流转全流程审计的数据防攻击装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种基于数据流转全流程审计的数据防攻击方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种基于数据流转全流程审计的数据防攻击方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于数据流转全流程审计的数据防攻击方法,其特征在于,包括:
确定数据流转全流程的关联端点,并针对每一个关联端点进行日志采集;采集的日志类型至少包括:操作系统日志和应用系统日志;
对采集的日志中包含的安全事件进行关联分析;
若关联分析结果为确定存在异常行为时,则确定异常行为所对应异常操作账户的真实身份;
确定与该异常操作账户的真实身份相关的关联账户,对关联账户的权限范围进行调整;
将调整结果发送至对应的关联端点,以使关联端点基于调整后关联账户的权限范围进行服务。
2.根据权利要求1所述的方法,其特征在于,所述对采集的日志中包含的安全事件进行关联分析,包括:
确定各安全事件分别对应操作账户的真实身份;
按照不同真实身份对采集的日志中包含的安全事件进行分组;
对每一个分组中的安全事件进行异常分析。
3.根据权利要求2所述的方法,其特征在于,所述确定各安全事件分别对应操作账户的真实身份,包括:
针对每一条安全事件,确定请求发起该安全事件的目标关联端点;
确定该安全事件是否以所述目标关联端点中的目标应用系统发起的,若是,则将所述目标应用系统的登录账户确定为请求发起该安全事件的操作账户,否则,将所述目标关联端点的登录账户确定为请求发起该安全事件的操作账户;
根据预先建立的账户与真实身份的对应关系,确定请求发起该安全事件的操作账户所对应的真实身份。
4.根据权利要求2所述的方法,其特征在于,所述对每一个分组中的安全事件进行异常分析,包括:
针对每一个分组,均执行:获取该分组所对应的真实身份具有的正常行为特征;按照预先设置的检测规则和该正常行为特征,对该分组中的安全事件进行异常检测,确定是否存在异常行为。
5.根据权利要求4所述的方法,其特征在于,
在所述对该分组中的安全事件进行异常检测之前,还包括:将该分组中的安全事件按照时间戳的先后顺序进行排序;
所述对该分组中的安全事件进行异常检测,包括:检测该分组中是否存在连续的安全事件满足预设异常行为的时序特征,若存在,则确定存在异常行为。
6.根据权利要求1-5中任一所述的方法,其特征在于,
在确定与该异常操作账户的真实身份相关的关联账户之前,还包括:确定当前所管理的真实身份和资产,并针对每一个真实身份,为其分配各资产所对应的账户以及账户具有的权限范围,得到账户和真实身份的对应关系;
所述确定与该异常操作账户的真实身份相关的关联账户,包括:
根据所述账户与真实身份的对应关系,确定与该异常操作账户的真实身份相对应的所有账户,将所有账户确定为关联账户。
7.根据权利要求6所述的方法,其特征在于,所述对关联账户的权限范围进行调整,包括:
根据存在的异常行为对该异常操账户的真实身份进行信用评价;
根据信用评价等级确定每一个关联账户所需调整的权限范围。
8.一种基于数据流转全流程审计的数据防攻击装置,其特征在于,包括:
日志采集单元,用于确定数据流转全流程的关联端点,并针对每一个关联端点进行日志采集;采集的日志类型至少包括:操作系统日志和应用系统日志;
关联分析单元,用于对采集的日志中包含的安全事件进行关联分析;
真实身份确定单元,用于若关联分析结果为确定存在异常行为时,则确定异常行为所对应异常操作账户的真实身份;
权限范围调整单元,用于确定与该异常操作账户的真实身份相关的关联账户,对关联账户的权限范围进行调整,将调整结果发送至对应的关联端点,以使关联端点基于调整后关联账户的权限范围进行服务。
9.一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111635312.6A CN114297712A (zh) | 2021-12-29 | 2021-12-29 | 基于数据流转全流程审计的数据防攻击方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111635312.6A CN114297712A (zh) | 2021-12-29 | 2021-12-29 | 基于数据流转全流程审计的数据防攻击方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114297712A true CN114297712A (zh) | 2022-04-08 |
Family
ID=80972347
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111635312.6A Pending CN114297712A (zh) | 2021-12-29 | 2021-12-29 | 基于数据流转全流程审计的数据防攻击方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114297712A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117744129A (zh) * | 2023-09-18 | 2024-03-22 | 苏州天安慧网络运营有限公司 | 一种基于cim的智慧运维方法及系统 |
-
2021
- 2021-12-29 CN CN202111635312.6A patent/CN114297712A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117744129A (zh) * | 2023-09-18 | 2024-03-22 | 苏州天安慧网络运营有限公司 | 一种基于cim的智慧运维方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11089045B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| US11882135B2 (en) | Machine-learning based approach for dynamically generating incident-specific playbooks for a security orchestration, automation and response (SOAR) platform | |
| US8516586B1 (en) | Classification of unknown computer network traffic | |
| Wan et al. | Feature-selection-based ransomware detection with machine learning of data analysis | |
| US20060191007A1 (en) | Security force automation | |
| US20090276204A1 (en) | Method and system for policy simulation | |
| TW201626300A (zh) | 基於電腦系統的網路交易風險識別方法及其裝置 | |
| US9462014B1 (en) | System and method for tracking and auditing data access in a network environment | |
| US11424993B1 (en) | Artificial intelligence system for network traffic flow based detection of service usage policy violations | |
| US11481478B2 (en) | Anomalous user session detector | |
| CN108449349B (zh) | 防止恶意域名攻击的方法及装置 | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN110753038A (zh) | 一种异常检测自适应权限控制系统及方法 | |
| CN111327601A (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
| CN114297712A (zh) | 基于数据流转全流程审计的数据防攻击方法及装置 | |
| CN116915515B (zh) | 用于工控网络的访问安全控制方法及系统 | |
| KR20000065547A (ko) | 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템 | |
| CN110958236A (zh) | 基于风险因子洞察的运维审计系统动态授权方法 | |
| US20210279329A1 (en) | Security policy and audit log two way inquiry, collation, and tracking system and method | |
| CN113922977A (zh) | 基于移动端的反作弊方法和系统 | |
| KR101453487B1 (ko) | 온라인 서비스로 제공되는 저작 콘텐츠의 보호를 위한 콘텐츠 유통 로그 에이전트 및 운영방법 | |
| KR20210141198A (ko) | 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템 | |
| CN112163198B (zh) | 一种主机登录安全检测方法、系统、装置及存储介质 | |
| CN116541815B (zh) | 一种计算机设备运维数据安全管理系统 | |
| CN111444503B (zh) | 一种检测勒索病毒的方法、装置、系统和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |