CN114598556B - It基础设施配置完整性保护方法及保护系统 - Google Patents
It基础设施配置完整性保护方法及保护系统 Download PDFInfo
- Publication number
- CN114598556B CN114598556B CN202210501856.1A CN202210501856A CN114598556B CN 114598556 B CN114598556 B CN 114598556B CN 202210501856 A CN202210501856 A CN 202210501856A CN 114598556 B CN114598556 B CN 114598556B
- Authority
- CN
- China
- Prior art keywords
- data
- time
- current
- detection
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
Abstract
本发明提供一种IT基础设施配置完整性保护方法及保护系统,检测端对当前日志数据和当前检测数据添加当前时间标签后发送至管理服务端;管理服务端基于当前时间标签确定先前时间标签以及相对应的先前检测数据,根据检测端的检测属性确定相对应的日志校验策略;若所有日志检测事件与日志校验策略相对应,则输出第一完整性信息;若目标操作行为、目标操作信息与当前检测数据相对应或先前检测数据与当前检测数据相对应,则输出第二完整性信息;管理服务端在得到与检测端相对应的第一完整性信息和第二完整性信息后,输出完整性保护结果。
Description
技术领域
本发明涉及数字信息传输技术领域,尤其涉及一种IT基础设施配置完整性保护方法及保护系统。
背景技术
目前,国内在完整性研究上,主要集中在科研领域,长期的科研成果无法转化为社会生产力,众多的完整性科研思想没有途径应用到实际安全防御体系中去,这使得完整性安全学术领域的成果转化成了瓶颈。
我国信息安全产品当前的分布状态上看,主要针对于防止非法行为的进入和进入前的检测。而当非法行为绕过防护进入后,或者攻击被实现后,对于攻击向量的监测和破坏结果的审计产品则几乎没有,这就是完整性安全所解决的问题。
数据完整性安全技术一直以来处于研究性阶段,主要因为数据完整性技术在信息安全防御体系中属于“事后”技术,而国内信息安全产品在初期的重点均在防御能力增强和防御能力多样化上。因此,数据完整性技术一直没有得到充分的重视。数据完整性最初仅仅局限于文件系统的完整性研究,常用的是基于哈希算法的完整性鉴别技术,随着“事后”安全技术的需求增大,单纯的文件系统完整性鉴别已经不能满足当前复杂的市场需求,完整性安全技术将会体现出支持目标多样性,监测手段复杂性,完整性副本源自身的保密性三个方面发展,所以,亟需一种多维度的基础设施配置完整性保护方法。
发明内容
本发明实施例提供一种IT基础设施配置完整性保护方法,管理服务端连接有多个检测端,会根据检测端的属性维度不同对应进行不同维度的数据完整性检测,对拥有输入设备的检测端会通过记录输入设备的操作持续时间段,并记录持续时间段内操作的记录与先前检测数据比对,保障了拥有输入设备的检测端的数据安全性,对没有输入设备的检测端会直接将操作的记录与先前检测数据比对,保障无输入设备的检测端的数据安全性,通过多维度的数据对比保证了多维度检测端的数据完整性,提升了数据的安全性。
本发明实施例的第一方面,提供一种IT基础设施配置完整性保护方法及保护系统,包括:
预先配置的管理服务端根据检测端的检测属性分发相对应的管理数据,所述管理数据包括管理日志信息、管理数据信息以及间隔时间信息;
检测端基于所述间隔时间信息确定与所述管理日志信息和管理数据信息相对应的当前日志数据和当前检测数据,对所述当前日志数据和当前检测数据添加当前时间标签后发送至管理服务端;
管理服务端提取当前日志数据和当前检测数据所对应的当前时间标签,基于所述当前时间标签确定先前时间标签以及相对应的先前检测数据,根据所述检测端的检测属性确定相对应的日志校验策略;
提取所述当前日志数据中的所有日志检测事件,若所有日志检测事件与所述日志校验策略相对应,则输出第一完整性信息;
提取所述当前日志数据中的目标操作行为以及目标操作信息,若所述目标操作行为、目标操作信息与所述当前检测数据相对应或先前检测数据与所述当前检测数据相对应,则输出第二完整性信息;
管理服务端在得到与检测端相对应的第一完整性信息和第二完整性信息后,输出完整性保护结果。
可选地,在第一方面的一种可能实现方式中,在预先配置的管理服务端根据检测端的检测属性分发相对应的管理数据的步骤中,具体包括:
若判断检测端的检测属性为本地交互终端的检测属性,则输出第一管理数据;
所述检测端基于所述间隔时间信息确定与所述管理日志信息和管理数据信息相对应的当前日志数据和当前检测数据,对所述当前日志数据和当前检测数据添加当前时间标签后发送至管理服务端具体包括:
基于所述第一管理数据建立第一插件,所述第一插件用于监测与本地交互终端所连接的数据输入设备的数据输入接口;
所述第一插件对数据输入接口所输入的指令数据进行监测生成相应的输入指令日志;
在达到间隔时间信息相对应的当前时刻时,基于所述管理日志信息选中相对应的当前操作日志、当前二进制日志以及输入指令日志,所述当前日志数据包括当前操作日志、当前二进制日志以及输入指令日志;
基于所述管理数据信息中的目标存储路径选中相对应的检测目标数据,对所述检测目标数据复制处理得到相对应的当前检测数据;
对所述当前操作日志、当前二进制日志、输入指令日志以及当前检测数据添加当前时间标签后发送至管理服务端。
可选地,在第一方面的一种可能实现方式中,在所述第一插件对数据输入接口所输入的指令数据进行监测生成相应的输入指令日志的步骤中,具体包括:
对多个输入设备的多个数据输入接口分别输入指令数据的时间进行记录得到多个持续时间段;
以输入指令数据最多的输入设备作为主输入设备,以所述主输入设备的持续时间段为主持续时间段;
将其余的输入设备的持续时间段分别与所述主持续时间段比对得到差异时间段,基于所述差异时间段对所述主持续时间段更新处理得到融合时间段;
基于所述融合时间段生成相对应的输入指令日志。
可选地,在第一方面的一种可能实现方式中,在对多个输入设备的多个数据输入接口分别输入指令数据的时间进行记录得到多个持续时间段的步骤中,具体包括:
对检测端的检测属性进行量化处理得到属性量化值,获取所述输入设备在预设周期内的启动时间;
根据所述属性量化值、预设周期内的启动时间确定与所述检测端相对应的监测间断时间;
判断数据输入接口中相邻的输入指令数据之间的相邻间隔时间,若所述相邻间隔时间小于所述监测间断时间,则分别确定所述相邻的输入指令数据的第一时刻和第二时刻;
基于所述第一时刻和第二时刻生成第一时间段,若判断输入设备的多个第一时间段重合或间隔时间小于监测间断时间,则基于多个重合的第一时间段生成该输入设备的持续时间段。
可选地,在第一方面的一种可能实现方式中,在根据所述属性量化值、预设周期内的启动时间确定与所述检测端相对应的监测间断时间的步骤中,具体包括:
将所述属性量化值与预设量化值比对得到第一时间段偏移值;
将所述启动时间与预设周期内的预设时间比对得到第二时间段偏移值;
基于所述第一时间段偏移值、第二时间段偏移值对预设间断时间进行偏移处理得到监测间断时间;
通过以下公式计算监测间断时间,
可选地,在第一方面的一种可能实现方式中,还包括:
接收管理员对任意一个检测端主动输入的监测间断时间;
若主动输入的监测间断时间大于计算的监测间断时间,则根据主动输入的监测间断时间和计算的监测间断时间的差值对所述时间调整权重进行正向调整;
若主动输入的监测间断时间小于计算的监测间断时间,则根据主动输入的监测间断时间和计算的监测间断时间的差值对所述时间调整权重进行负向调整;
将调整前的时间调整权重与调整后的时间调整权重进行比对得到调整幅度值;
基于所述调整幅度值对其他检测端所对应的时间调整权重进行同步调整;
通过以下公式,计算管理员所主动输入监测间断时间的检测端调整后的时间调整权重、调整幅度值,
通过以下公式计算同步调整的其他检测端所对应的时间调整权重,
可选地,在第一方面的一种可能实现方式中,在提取所述当前日志数据中的所有日志检测事件,若所有日志检测事件与所述日志校验策略相对应,则输出第一完整性信息的步骤中,具体包括:
提取所述当前操作日志中所对应的日志检测事件的操作主体,若所述操作主体与预设操作主体相对应,则输出第一检测信息;
根据所述当前二进制日志确定当前被修改的数据,若当前被修改的数据与允许被修改的数据相对应,则输出第二检测信息;
采集输入指令日志中的指令输入时间,若所述指令输入时间与当前被修改的数据的修改时间相对应,则输出第三检测信息;
在判断输出第一检测信息、第二检测信息以及第三检测信息后,输出第一完整性信息。
可选地,在第一方面的一种可能实现方式中,在提取所述当前日志数据中的目标操作行为以及目标操作信息,若所述目标操作行为、目标操作信息与所述当前检测数据相对应或先前检测数据与所述当前检测数据相对应,则输出第二完整性信息的步骤中,具体包括:
获取所述目标操作行为中的新增行为和/或删除行为,确定所述目标操作信息中的删除目标和/或新增目标;
基于所述删除目标和/或新增目标对先前检测数据进行处理得到校验数据,若所述校验数据与所述当前检测数据相对应,则所述目标操作行为、目标操作信息与所述当前检测数据相对应;
若所述删除目标和/或新增目标为空,则将所述先前检测数据与所述当前检测数据进行比对,若先前检测数据与所述当前检测数据相同,则判断先前检测数据与所述当前检测数据相对应。
可选地,在第一方面的一种可能实现方式中,在若所述删除目标和/或新增目标为空,则将所述先前检测数据与所述当前检测数据进行比对,若先前检测数据与所述当前检测数据相同,则判断先前检测数据与所述当前检测数据相对应的步骤中,具体包括:
提取先前检测数据中每个先前存储单元的先前子哈希值,基于每个先前存储单元的先前子哈希值进行计算得到先前检测数据的先前总哈希值;
提取当前检测数据中每个当前存储单元的当前子哈希值,基于每个当前存储单元的当前子哈希值进行计算得到当前检测数据的当前总哈希值;
若所述先前总哈希值与所述当前总哈希值相对应,则先前检测数据与所述当前检测数据相同;
若所述先前总哈希值与所述当前总哈希值不相对应,则将应当存储相同数据的先前存储单元和当前存储单元的先前子哈希值和当前子哈希值一一比对,确定不对应的先前存储单元和当前存储单元。
本发明实施例的第二方面,提供一种IT基础设施配置完整性保护系统,其特征在于,包括:
分发模块,用于使预先配置的管理服务端根据检测端的检测属性分发相对应的管理数据,所述管理数据包括管理日志信息、管理数据信息以及间隔时间信息;
数据确定模块,用于使检测端基于所述间隔时间信息确定与所述管理日志信息和管理数据信息相对应的当前日志数据和当前检测数据,对所述当前日志数据和当前检测数据添加当前时间标签后发送至管理服务端;
策略确定模块,用于使管理服务端提取当前日志数据和当前检测数据所对应的当前时间标签,基于所述当前时间标签确定先前时间标签以及相对应的先前检测数据,根据所述检测端的检测属性确定相对应的日志校验策略;
第一输出模块,用于提取所述当前日志数据中的所有日志检测事件,若所有日志检测事件与所述日志校验策略相对应,则输出第一完整性信息;
第二输出模块,用于提取所述当前日志数据中的目标操作行为以及目标操作信息,若所述目标操作行为、目标操作信息与所述当前检测数据相对应或先前检测数据与所述当前检测数据相对应,则输出第二完整性信息;
结果输出模块,用于使管理服务端在得到与检测端相对应的第一完整性信息和第二完整性信息后,输出完整性保护结果。
本发明实施例的第三方面,提供一种存储介质,所述存储介质中存储有计算机程序,所述计算机程序被处理器执行时用于实现本发明第一方面及第一方面各种可能设计的所述方法。
本发明提供的一种IT基础设施配置完整性保护方法,管理服务端会根据检测端的属性不同对应分发不同的管理数据,检测端会根据管理数据中的间隔时间信息对日志数据以及检测数据发送至管理服务端进行数据完整性检测,先对操作日志数据进行检测判断数据的完整性,后对目标操作行为以及信息进行检测判断数据的完整性,对应若第一完整性信息和第二完整性信息均正确则判断数据是完整的,若出现一个或多个信息不正确则判断数据是缺失的,对应则后台数据有数据被篡改过,本发明通过多维度的日志对比以及多维度数据对比,保障了数据完整性的检测,提升了数据的安全性。
本发明提供的技术方案,输入指令日志会通过第一插件对输入设备的数据输入接口的数据输入的操作时间进行记录,并统计了检测端输入设备的监测间断时间,对应生成相应的输入设备的持续操作的时间段;通过区分数据修改是否在输入设备的持续操作的时间段内,可以实现对非法篡改数据时间段进行快速锁定,并且准确的区分用户操作还是非正常的篡改操作,并通过二进制日志以及操作日志中对应的操作主体的验证实现了多维度日志校验下数据的完整性。
本发明提供的技术方案,会将所有数据输入设备的所有操作时间进行统一记录相比于寻常时间记录对每个输入设备均进行记录,减少了输入指令数据日志的占用空间。
本发明提供的技术方案,会根据接收管理员依据实际情况主动输入的监测间断时间进行自主学习使得下次调节的输出监测间断时间结果更符合现实情况,并且会根据接收管理员调节的一个设备的监测间断时间,同时对其他设备自动调节,拥有自主协同调节功能的同时还能不断依据现实情况进行不断学习更改所有设备的监测间断时间使其更加贴合实际情况。
本发明提供的技术方案,通过将每个子存储单元的相对应的内容生成哈希值,可以理解的是,若存储信息一致对应的哈希值一致,对应的所有子哈希值再次计算得到总哈希值,通过先前总哈希值与当前总哈希值判断是否一致,若一致则对应的先前检测数据与所述当前检测数据相同,若不一致则说明有数据被篡改,随后再通过子哈希值的一一对比,确定被篡改的存储单元,与原来需要将每个存储单元内的数据进行一一对比本发明通过哈希值的比较降低了系统运行占用的运行内存,提升了反应时间以及系统工作效率。
附图说明
图1为本发明所提供的技术方案的应用场景示意图;
图2为一种IT基础设施配置完整性保护方法的第一种实施方式的流程图;
图3为本发明所提供的当前日志数据和当前检测数据发送至管理服务端的流程图;
图4为本发明实施例提供的一种电子设备的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
应当理解,在本发明的各种实施例中,各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
应当理解,在本发明中,“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本发明中,“多个”是指两个或两个以上。“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“包含A、B和C”、“包含A、B、C”是指A、B、C三者都包含,“包含A、B或C”是指包含A、B、C三者之一,“包含A、B和/或C”是指包含A、B、C三者中任1个或任2个或3个。
应当理解,在本发明中,“与A对应的B”、“与A相对应的B”、“A与B相对应”或者“B与A相对应”,表示B与A相关联,根据A可以确定B。根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其他信息确定B。A与B的匹配,是A与B的相似度大于或等于预设的阈值。
取决于语境,如在此所使用的“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。
下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
如图1所示,为本发明所提供的技术方案的应用场景示意图,包括预先配置的管理服务端以及检测端,其中,预先配置的管理服务端与检测端相连,连接可以是无线连接可以是有线连接,无线连接可以是蓝牙连接,有线连接可以是网线连接,在此不做限定,检测端可以是一个,可以是多个,可以为有输入设备的计算机或者没有输入设备的服务器,预先配置的管理服务端可以是服务器,在此不做限定;预先配置的管理服务端可以根据检测端的保密属性程度的不同对应确定不同的管理数据,其中,管理数据包括管理日志信息、管理数据信息以及间隔时间信息,对应检测端基于管理日志信息、管理数据信息确定相应的当前日志数据和当前检测数据,将相应的当前日志数据和当前检测数据以间隔时间信息发送至预先配置的管理服务端,管理服务端根据接受到的当前日志数据,先对当前日志数据中的所有日志检测事件进行检测,若正确,则进行目标操作行为、目标操作信息的校验,若两次校验均一致则输出数据时完整的,对应的也就是数据安全未被篡改;若至少一次检验出现问题则输出数据缺失,对应的就是数据被篡改。
本发明提供一种IT基础设施配置完整性保护方法,如图2所示,包括:
步骤S110、预先配置的管理服务端根据检测端的检测属性分发相对应的管理数据,所述管理数据包括管理日志信息、管理数据信息以及间隔时间信息。本发明提供的技术方案,预先配置的管理服务端可以根据检测端不同的保密程度分发不同的管理数据,可以理解的是,保密程度越高的检测端对应的接受到的管理数据对管理日志信息、管理数据信息以及间隔时间信息要求更严格,其中,管理数据为管理服务端所需求的检测数据以及检测端发送给管理服务端的间隔时长;其中,管理日志信息为管理服务端需要的检测端的日志数据,管理数据信息为管理服务端需要的检测端的检测数据对应可以是数据类型,间隔时间信息为检测端发送数据至管理服务端的时间间隔,可以根据不同保密维度的设备设置不同维度的管理数据;根据实现情况进行不同维度的数据完整性验证,可以对不同维度设备进行完整性的验证,所以检测端的检测属性也可以是根据是否带有输入设备,根据有无输入设备,比如:有输入设备的计算机以及无输入设备的服务器进行数据完整的验证,对应发送相对应的管理数据,可以从保密程度上发送不同的管理数据,也可以根据有无输入设备发送不同的管理数据,保证了数据的安全性,实现检测端设备多维度的数据完整性以及安全型,以及保密程度的多维度的安全性。
本发明提供的技术方案,在一个可能的实施方式中,若判断检测端的检测属性为本地交互终端的检测属性,则输出第一管理数据。本发明提供的技术方案,如果判断检测端的为带数据输入端的计算机,则输出第一管理数据,如果判断检测端的为不带数据输入端的服务器,则输出第二管理数据,可以理解的是检测端的检测属性为是否带输入设备的服务器或计算机等,在此不做限定。若判断检测端的检测属性不为本地交互终端的检测属性,则输出第二管理数据,可以理解的是对应也就是没有输入设备的设备例如服务器,可以对不同维度的设备进行检测数据的完整性,保证数据的安全。
步骤S120、检测端基于所述间隔时间信息确定与所述管理日志信息和管理数据信息相对应的当前日志数据和当前检测数据,对所述当前日志数据和当前检测数据添加当前时间标签后发送至管理服务端。本发明提供的技术方案,检测端会根据管理服务端发送的间隔时间信息确定管理日志信息和管理数据信息对应时刻下的当前日志数据和当前检测数据,并且对当前日志数据和当前检测数据添加相应的时间标签发送至管理服务端,例如:管理服务端发送的间隔时间信息为2秒/次,则检测端根据2秒/次的间隔时间信息从接受信息时刻13:00:00开始确定管理日志信息和管理数据信息相对应时刻的数据为13:00:02对应的数据,并将13:00:02对应的数据添加13:00:02的时间标签发送至管理服务端,方便后续与先前的检测数据区分。
本发明提供的技术方案,在一个可能的实施方式中,如图3所示,步骤S120具体包括:
步骤S1201、基于所述第一管理数据建立第一插件,所述第一插件用于监测与本地交互终端所连接的数据输入设备的数据输入接口。本发明提供的技术方案,如果检测端为带数据输入端的计算机,则计算机基于第一管理数据建立一个统计设备输入的插件对应为第一插件,其中,第一插件的作用为记录与计算机所连接的数据输入设备的数据输入接口,比如:工作人员通过键盘和鼠标进行工作,对应插件则会记录鼠标和键盘对应的工作时长,方便后续得到输入指令日志,通过输入指令日志发现篡改数据。
步骤S1202、所述第一插件对数据输入接口所输入的指令数据进行监测生成相应的输入指令日志。本发明提供的技术方案,第一插件对数据输入接口所输入的指令数据进行监测并可以记录对应的时间生成相应的输入指令日志,其中,数据输入接口所输入的指令数据可以是通过键盘或鼠标输入的数据,通过插件记录数据的输入。
本发明提供的技术方案,在一个可能的实施方式中,步骤S1202具体包括:
对多个输入设备的多个数据输入接口分别输入指令数据的时间进行记录得到多
个持续时间段。本发明提供的技术方案,检测端的插件会对多个输入设备的多个数据输入
接口分别输入指令数据的时间进行记录对应得到多个持续时间段,例如:输入设备键盘对
应的工作人员打字的工作时间段为、 ;输
入设备鼠标对应的工作人员拖动和/或单击的工作时间段为 ,对
应得到多个时间段。
以输入指令数据最多的输入设备作为主输入设备,以所述主输入设备的持续时间
段为主持续时间段。本发明提供的技术方案,以输入指令数据最多的输入设备作为主输入
设备,可以理解的是,输入指令数据可以为输入设备对应的输入时间,对应输入时间最长的
作为主输入设备;例如:输入设备键盘对应的工作人员打字的工作时间段为 、 ;输入设备鼠标对应的工作人员拖动
和/或单击的工作时间段为 ,对应的主输入设备为键盘,对应的主
输入设备键盘的操作时间为主持续时间段,也就是主持续时间段为 、 。
本发明提供的技术方案,在一个可能的实施方式中,在对多个输入设备的多个数据输入接口分别输入指令数据的时间进行记录得到多个持续时间段,具体包括:
对检测端的检测属性进行量化处理得到属性量化值,获取所述输入设备在预设周期内的启动时间。本发明提供的技术方案,会对检测端的检测属性进行量化处理,检测属性可以是保密的重要程度,对每个程度值进行量化处理得到一个数值,例如:保密的重要程度分为十分重要、重要、一般、不重要5种程度,对应重要程度越高对应的数值越小,对应重要程度越低对应的数值越大,依据实际情况进行量化处理,获取输入设备在周期内的启动时间,也就是输入设备被使用的时间,例如:一天的工作时间为:9:00:00到17:00:00,对应输入设备被使用的时间为10:00:00到17:00:00为预设周期内的启动时间。
根据所述属性量化值、预设周期内的启动时间确定与所述检测端相对应的监测间断时间。本发明提供的技术方案,根据检测端保密程度的属性量化值、预设周期内的启动时间(工作时间)与确定检测端准许的监测间断时间,例如:选取保密程度十分重要的文件对应的量化值为1,输入设备预设周期内的启动时间为10:00:00到17:00:00,对应确定与检测端相对应的监测间断时间,可以理解的是十分重要的设备对应的准许的监测间断时间越短,对应启动时间越长对应说明需要用到的时间越长,对应准许的监测间断时间越短,根据两者生成检测端相对应的监测间断时间。若没有输入设备的检测端比如服务器则直接根据检测端的属性量化值得到相应的监测间断时间。
本发明提供的技术方案,在一个可能的实施方式中,根据所述属性量化值、预设周期内的启动时间确定与所述检测端相对应的监测间断时间,具体包括:
将所述属性量化值与预设量化值比对得到第一时间段偏移值。本发明提供的技术方案,将检测端的属性量化值与检测端的预设量化值比对得到第一时间段偏移值,例如根据检测端的重要程度得到一个量化值比如十分重要对应的量化值为1,预设量化值可以是一个预设的基准值通过和基准值进行对比得到一个重要程度对后续的预设间断时间进行一个偏移处理,可以理解的是预设间断时间可以是预先设置的一个固定间断时间,对应的间断时间可以理解为工作人员进行操作时停歇的时间,例如,工作的过程中喝水的时间间断,对应按照设备的重要程度对间断的时间进行调整,比如说十分重要的设备准许的间隔时间越短,防止黑客对应利用时间间隔进行一些复杂的操作,提升设备的安全性。
将所述启动时间与预设周期内的预设时间比对得到第二时间段偏移值。本发明提供的技术方案,将检测端输入设备的启动时间与预设周期内的预设时间进行比对得到第二时间段偏移值,将检测端输入设备的启动时间例如10:00:00到17:00:00为7个小时,对应预设周期内的预设时间可以是例如:9:00:00到17:00:00为8个小时,对应比对得到第二时间偏移值,可以理解的是设备使用时间越长对应说明设备的重要性越大,对应设备重要性越大准许的监测间断时间越短,方便后续对预设间断时间进行偏移。
基于所述第一时间段偏移值、第二时间段偏移值对预设间断时间进行偏移处理得到监测间断时间。本发明提供的技术方案,通过之前的第一时间段偏移值以及第二时间段偏移值对预设间断时间进行偏移处理得到监测间断时间,可以通过一个是检测端设备的重要程度以及启动时间综合对预设间断时间进行偏移处理得到对应的监测间断时间。
通过以下公式计算监测间断时间,
其中, 为计算的监测间断时间, 为属性量化值, 为预设量化值, 为属
性归一化值, 为启动时间, 为预设时间, 为时间归一化值, 为预设间断时间, 为时间调整权重,属性量化值 与监测间断时间 成正比对应为检测端设备越重要对
应的检测端设备的量化值越小,对应监测间断时间越短;启动时间 与监测间断时间
成反比,可以理解的是检测端设备启动时间 越长对应的监测间断时间 越小,启动时
间越长对应说明设备被使用的频率越大对应的重要程度较高对应对监测间断时间 的要
求越严格。
本发明提供的技术方案,根据对检测端属性值的量化以及启动时间的综合考量,可以考量得到每个检测端的重要程度以及使用时长对应对预设间断时间进行偏移处理,设备越重要对应的监测间断时间越短,检测端的使用时长越长对应说明设备被使用的频率越高,对应设备的重要性就越重要,对应的监测间断时间越短,根据不同的检测端生成不同的监测间断时间,可以形成多个维度的检测,对应不重要的设备则对应的监测间断时间较长,针对不同重要程度分配不同的监测间断时间,通过形成监测间断时间将时间段进行统一,提升系统工作效率。
本发明提供的技术方案,在一个可能的实施方式中,还包括:
接收管理员对任意一个检测端主动输入的监测间断时间。本发明提供的技术方案,接收管理员对任意一个检测端主动输入的监测间断时间,例如:接收管理员发现某个检测端的设备重要程度很高或者不高对应则主动输入一个间断时间作为监测间断时间,例如原本的监测间断时间为10秒,接收管理员调整成2秒或者20秒。
若主动输入的监测间断时间大于计算的监测间断时间,则根据主动输入的监测间
断时间和计算的监测间断时间的差值对所述时间调整权重进行正向调整。本发明提供的技
术方案,如果主动输入的监测间断时间大于计算的监测间断时间,则根据主动输入的监测
间断时间和计算的监测间断时间的差值对所述时间调整权重进行正向调整,例如:如果接
收管理员主动输入的监测间断时间为20秒大于计算的监测间断时间10秒,则根据主动输入
的监测间断时间20秒与计算的监测间断时间10秒的差值20-10=10秒对时间调整权重 进
行正向调整,也就是调大处理,对应以后输出的监测间断时间会自行调大,对接收管理员的
行为进行记录并学习。
若主动输入的监测间断时间小于计算的监测间断时间,则根据主动输入的监测间
断时间和计算的监测间断时间的差值对所述时间调整权重进行负向调整。本发明提供的技
术方案,如果主动输入的监测间断时间小于计算的监测间断时间,则根据主动输入的监测
间断时间和计算的监测间断时间的差值对所述时间调整权重进行负向调整,例如:如果接
收管理员主动输入的监测间断时间为2秒小于计算的监测间断时间10秒,则根据主动输入
的监测间断时间20秒与计算的监测间断时间10秒的差值10-2=8秒对时间调整权重 进行
负向调整,也就是调小处理,对应以后输出的监测间断时间会自行调小,对接收管理员的行
为进行记录并学习。
将调整前的时间调整权重与调整后的时间调整权重进行比对得到调整幅度值。本发明提供的技术方案,将调整前的时间调整权重与调整后的时间调整权重进行形成比值对应形成调整幅度。
基于所述调整幅度值对其他检测端所对应的时间调整权重进行同步调整。本发明提供的技术方案,基于调整幅度值对其他检测端对应的时间调整权重进行同步调整,可以理解的是根据上一个检测端的调整幅度统一对所有其他检测端进行时间调整权重的更新。
通过以下公式,计算管理员所主动输入监测间断时间的检测端调整后的时间调整权重、调整幅度值,
其中, 为主动输入的监测间断时间, 正向调整权重, 为检测端调整后的
时间调整权重, 为反向调整权重, 为调整幅度权重, 为调整幅度值, 为主
动输入的监测间断时间和计算的监测间断时间的差值; 与 成正比,可以理解的
是 越大对应的检测端调整后的时间调整权重 越大; 为计算的监测间
断时间和主动输入的监测间断时间的差值, 与检测端调整后的时间调整权重
成反比,可以理解的是 越大对应的检测端调整后的时间调整权重 越小, 与 成正比。
通过以下公式计算同步调整的其他检测端所对应的时间调整权重,
其中, 为其他检测端调整前的时间调整权重, 为其他检测端调整后的时间
调整权重。本发明提供的技术方案,可以智能进行协同调整,在接收管理员对某个检测端进
行调整后,系统会自动根据调整后的幅度对其他检测端进行相应的调整。
本发明提供的技术方案,通过接收管理员根据实际情况对某个检测端进行调节后,本发明会对接收管理员的调整情况进行记录并自主学习,将相应的权重根据实际情况进行调大或者调小,使得后续输出更加符合实际情况,并且还会对其他检测端进行调节,实现协同调节,减少了接收管理员的工作量,提高了工作效率。
判断数据输入接口中相邻的输入指令数据之间的相邻间隔时间,若所述相邻间隔
时间小于所述监测间断时间,则分别确定所述相邻的输入指令数据的第一时刻和第二时
刻。本发明提供的技术方案,判断每个输入指令数据之间的相邻间隔时间,如果相邻间隔时
间小于监测间断时间,则分别确定数值相邻间隔时间对应的相邻的输入指令数据的第一时
刻和第二时刻,其中,第一时刻为初始时刻,第二时刻为终止时刻,例如初始时刻为 ,终止时刻为 ,对应的监测间断时间为15秒。
基于所述第一时刻和第二时刻生成第一时间段,若判断输入设备的多个第一时间
段重合或间隔时间小于监测间断时间,则基于多个重合的第一时间段生成该输入设备的持
续时间段。本发明提供的技术方案,根据对应的初始时刻以及终止时刻生成对应的第一时
间段,例如初始时刻为 到终止时刻 ,对应的求终止时刻与初
始时刻之间的差值得到第一时间段为 ,若判断输入设备的
多个第一时间段重合或间隔时间小于监测间断时间,则基于多个重合的第一时间段生成该
输入设备的持续时间段,可以理解的是,由于拥有多个输入设备对应的操作时间段可能重
合比如: 、 、 的时间间隔为2秒对应小于监测间断时间15秒,对应也进行
融合生成输入设备的持续时间段, 。
将其余的输入设备的持续时间段分别与所述主持续时间段比对得到差异时间段,
基于所述差异时间段对所述主持续时间段更新处理得到融合时间段。本发明提供的技术方
案,对应将其余的输入设备的持续时间段,例如:鼠标的输入设备鼠标对应的工作人员拖动
和/或单击的工作时间段为 与主持续时间段主输入设备键盘的操
作时间为主持续时间段,也就是主持续时间段为 、 比对得到差异时间段,对应的差异时间段为 ,基于所述的差异时间段 与主持续时间
段更新处理(将时长融合)得到融合时段端,对应的是 、 ,通过区分主输入设备以及其余输入设备的持续时间段随后融合
生成总操作时间段,就是不对多个设备(鼠标、键盘等)的操作时间进行分开记录直接记录
总的操作时间,将设备与设备之间的重叠的操作时间作为一段操作时间,并将差异时间段
融合得到总的操作时间,相比对每个设备分别存储操作时间相比减少了存储空间的占用,
减少了系统占用运行内存。而对应不存在输入设备的服务器等则不存在相应的融合时间
段。
基于所述融合时间段生成相对应的输入指令日志。本发明提供的技术方案,根据
融合时间段对应的时长 、 生成对应的输
入指令对应的输入指令可以为融合时间段对应的时间 、 ,可以理解的是,对应通过键盘鼠标输入的数据为工作人员自己输
入的数据,而不通过鼠标键盘等输入的数据为黑客的篡改数据,因此记录检测端输入设备
的操作时间,对应的不在输入设备下的操作为通过漏洞越过防火墙篡改数据的黑客行为。
对应不存在输入设备的服务器等,则不存在融合时间段相对应的输入指令数据。
步骤S1203、在达到间隔时间信息相对应的当前时刻时,基于所述管理日志信息选中相对应的当前操作日志、当前二进制日志以及输入指令日志,所述当前日志数据包括当前操作日志、当前二进制日志以及输入指令日志。本发明提供的技术方案,带有输入设备的计算机在达到间隔时间信息相对应的当前时刻时,基于管理服务端需求的管理日志信息,选取当前时刻的操作日志、当前二进制日志以及输入指令日志;其中,当前日志数据包括当前操作日志、当前二进制日志以及输入指令日志,方便后续对所有日志进行检测查看是数据的完整性以保证数据的安全性。如果,不带输入设备的服务器在达到间隔时间信息相对应的当前时刻时,基于管理服务端需求的管理日志信息,选取当前时刻的操作日志以及当前二进制日志,其中,当前日志数据包括当前操作日志以及当前二进制日志,方便后续对所有日志进行检测查看是数据的完整性以保证数据的安全性。可以理解的是,由于计算机带有输入设备而鼠标、键盘等在此不做限定,对应的第一插件记录的指令数据为输入指令日志,由于服务器没有输入设备对应的且不存在输入指令日志,可以对不同维度的设备进行检测,不同设备对应检测数据的维度不同。
步骤S1204、基于所述管理数据信息中的目标存储路径选中相对应的检测目标数据,对所述检测目标数据复制处理得到相对应的当前检测数据。本发明提供的技术方案,检测端根据管理数据信息中的目标存储路径选中相对应的检测目标数据,可以理解的是,可以选择性的对重点区域的数据进行检测作为检测目标数据,对不重要的区域不进行检测,也可以按照设备不同的重要程度进行划分,对应将检测目标数据进行复制处理得到相对应的当前检测数据,可以理解的是将想检测的目前文件进行复制处理方便后续发送至管理服务端。
步骤S1205、对所述当前操作日志、当前二进制日志、输入指令日志以及当前检测数据添加当前时间标签后发送至管理服务端。本发明提供的技术方案,拥有输入设备的检测端对当前操作日志、当前二进制日志、输入指令日志以及当前检测数据添加当前时间标签后发送至管理服务端。没有输入设备的检测端对当前操作日志、当前二进制日志以及当前检测数据添加当前时间标签后发送至管理服务端。检测端将管理服务端所需数据发送至管理服务端进行后续的检测。例如:拥有输入设备的计算机对当前操作日志、当前二进制日志、输入指令日志以及当前检测数据添加当前时间标签13:00:02,对应的就是每个日志数据以及检测数据的时间戳均为13:00:02随后发送至管理服务端;没有输入设备的服务器对当前操作日志、当前二进制日志以及当前检测数据添加当前时间标签13:00:02,对应的就是每个日志数据以及检测数据的时间戳均为13:00:02随后发送至管理服务端。
步骤S130、管理服务端提取当前日志数据和当前检测数据所对应的当前时间标签,基于所述当前时间标签确定先前时间标签以及相对应的先前检测数据,根据所述检测端的检测属性确定相对应的日志校验策略。本发明提供的技术方案,管理服务端会提取当前日志数据和当前检测数据对应的时间戳也就是当前时间标签13:00:02,基于当前时间标签13:00:02确定先前时间标签以及相对应的先前检测数据,可以理解的是先前检测数据就是与当前时间标签13:00:02不同的时间标签为先前时间标签,对应先前时间标签的数据为先前检测数据,根据所述检测端的检测属性确定不同的日志校验策略,可以理解的是,检测属性可以是不同检测端的重要程度,可以理解的是,比较重要的检测端则制定比较严格的日志校验策略,不重要的检测端则制定宽松的日志校验策略,可以根据不同重要维度的设备端制定不同的日志校验策略更符合实际场景,根据不同的检测程度确定不同的日志校验策略;检测属性也可以是不同检测端的类型,根据是否拥有输入设备确定不同的日志校验策略,例如:拥有输入设备的检测端的日志校验策略可以是通过将当前日志数据中的所有日志检测事件的操作主体与先前日志数据中的操作主体进行比对得到第一检测信息、通过将修改的数据与准许修改的数据进行比对得到第二检测信息以及通过将输入指令日志中的输入时长与被修改数据的时长进行对比得到第三检测信息,没有输入设备的检测端的日志校验策略可以是对应对比后得到第一检测信息以及第二检测信息,可以理解的是,没有输入设备的则没有输入指令日志,对应也就没有第三检测信息,可以根据检测端是否有输入设备来决定相应的日志校验策略,其中,日志校验策略可以是将当前日志数据中的所有日志检测事件的操作主体与先前日志数据中的操作主体进行比对,将修改的数据与准许修改的数据进行比对,将输入指令日志中的输入时长与被修改数据的时长进行对比(如果没有输入设备的检测端则没有输入指令日志)。
步骤S140、提取所述当前日志数据中的所有日志检测事件,若所有日志检测事件与所述日志校验策略相对应,则输出第一完整性信息。本发明提供的技术方案,提取当前日志数据中的所有日志检测事件,其中,有输入设备的检测端所有日志检测事件包括当前操作日志、当前二进制日志以及输入指令日志,无输入设备的检测端所有日志检测事件包括当前操作日志、当前二进制日志,对应对所有日志检测事件与所述日志校验策略相对应,则输出第一完整性信息,其中,日志校验策略为根据不同检测设备的检测属性决定的,可以是不同检测设备的重要程度,越重要的设备对应的日志校验策略就越严格,比如对应的当前操作日志对应的操作主体更少、当前二进制日志准许被修改的数据更少,对应的当前检测数据的量更大等,可以根据不同重要程度的维度进行多维度的日志校验策略制定。
本发明提供的技术方案,在一个可能的实施方式中,步骤S140具体包括:
提取所述当前操作日志中所对应的日志检测事件的操作主体,若所述操作主体与预设操作主体相对应,则输出第一检测信息。本发明提供的技术方案,提取当前操作日志中所对应的日志检测事件的操作主体,如果从日志中提取的操作主题与预设操作主体相对应,则输出第一检测信息,可以理解的是,预设操作主体可以理解为白名单ID列表,从当前操作日志中提取对应删除和/或新增目标时的操作ID,如果对应的操作ID与白名单ID列表中相对应则输出第一检测信息,如果对应的操作ID不在白名单ID列表中则输出第一异常信息,可以理解的是,第一检测信息表示操作主体正确,第一异常信息表示操作主体不正确,通过验证操作主体来验证数据是否完整。
根据所述当前二进制日志确定当前被修改的数据,若当前被修改的数据与允许被修改的数据相对应,则输出第二检测信息。本发明提供的技术方案,根据当前二进制日志确定当前被修改的数据,如果当前被修改的数据与允许被修改的数据相对应,则输出第二检测信息,可以理解的是计算机是二进制0和1组成的,对应可以根据当前二进制日志确定具体有哪些数据进行了修改,如果查找到的修改数据为允许被修改的数据则输出第二检测信息,可以理解的是,允许被修改的数据可以为工作人员日常操作的数据,一些重要的数据是不能被修改的只能调用,所以对修改数据进行查找后发现均为可修改数据则输出第二检测信息;若当前被修改的数据与允许被修改的数据不相对应,则输出第二异常信息,可以理解的是,当前被修改的数据与系统准许被修改的数据不一致,说明重要的文件数据被修改了,这些文件是只准许调阅而不准许修改的文件数据,则对应输出第二异常信息。
采集输入指令日志中的指令输入时间,若所述指令输入时间与当前被修改的数据的修改时间相对应,则输出第三检测信息。本发明提供的技术方案,采集输入指令日志中的指令输入时间,如果指令输入时间与当前被修改的数据的修改时间相对应,则输出第三检测信息,可以理解的是,采集输入指令日志中的指令输入时间可以理解为采集键盘、鼠标等设备操作日志中的操作时间,如果操作的时间与当前被修改的数据的修改时间一致则认为是工作人员进行的操作,则输出第三检测信息;采集输入指令日志中的指令输入时间,如果指令输入时间与当前被修改的数据的修改时间不相对应,则输出第三异常信息,可以理解的是,采集输入指令日志中的指令输入时间可以理解为采集键盘、鼠标等设备操作日志中的操作时间,如果操作的时间与当前被修改的数据的修改时间不一致则认为是篡改操作,则输出第三异常信息。
在判断输出第一检测信息、第二检测信息以及第三检测信息后,输出第一完整性信息。本发明提供的技术方案,综合对第一检测信息、第二检测信息以及第三检测信息进行考虑,若有输入设备的检测端比如计算机,对应为第一检测信息、第二检测信息以及第三检测信息则说明当前操作日志中的操作主体、当前二进制日志的修改数据以及指令日志的输入时间均正确,对应则输出第一完整性信息。若无输入设备的检测端比如服务器,则对应只考虑第一检测信息以及第二检测信息,可以理解的是,服务器没有输入设备,对应也就无法采集输入指令日志,所以仅会得到第一检测信息以及第二检测信息,所以管理服务端接收到服务器的数据后得到第一检测信息以及第二检测信息则输出第一完整性信息。如果存在第一异常信息、第二异常信息以及第三异常信息中的至少一个则不输出第一完整性信息。
步骤S150、提取所述当前日志数据中的目标操作行为以及目标操作信息,若所述目标操作行为、目标操作信息与所述当前检测数据相对应或先前检测数据与所述当前检测数据相对应,则输出第二完整性信息。本发明提供的技术方案,提取所述当前日志数据中的目标操作行为以及目标操作信息,例如:提取当前日志数据中的删除文件夹1,对应的目标操作行为可以是删除,对应的目标操作信息可以是文件夹1,对应的目标操作行为、目标操作信息对先前检测数据进行模拟操作,得到模拟操作数据,如果模拟操作数据与所述当前检测数据相对应,则说明所述目标操作行为、目标操作信息与所述当前检测数据相对应,或先前检测数据与所述当前检测数据相对应,则输出第二完整性信息,可以理解的是,新增文件夹1对应的目标操作行为以及目标操作信息与先前检测数据进行新增文件夹1后的当前检测数据相对应则说明数据正确对应输出第二完整性信息,如果不正确则输出第二不完整性信息,若目标操作行为、目标操作信息为空也就是检测端设备没有进行操作,则对应的直接将先前检测数据与所述当前检测数据相比对,如果正确则输出第二完整性信息,如果不正确则输出第二不完整性信息。
本发明提供的技术方案,在一个可能的实施方式中,步骤S150具体包括:
获取所述目标操作行为中的新增行为和/或删除行为,确定所述目标操作信息中的删除目标和/或新增目标。本发明提供的技术方案,获取目标操作行为中的新增行为和/或删除行为,确定所述目标操作信息中的删除目标和/或新增目标,例如获取目标操作行为中的新增行为,确定目标操作信息为新增文件夹1行为,方便后续进行数据对比保证数据的完整性。
基于所述删除目标和/或新增目标对先前检测数据进行处理得到校验数据,若所述校验数据与所述当前检测数据相对应,则所述目标操作行为、目标操作信息与所述当前检测数据相对应。本发明提供的技术方案,删除目标或者新增目标则对先前检测数据进行处理得到校验数据,如果校验数据与所述当前检测数据相对应,则所述目标操作行为、目标操作信息与所述当前检测数据相对应,则目标操作行为、目标操作信息与所述当前检测数据相对应;如果校验数据与所述当前检测数据不相对应,则所述目标操作行为、目标操作信息与所述当前检测数据不相对应,则目标操作行为、目标操作信息与所述当前检测数据不相对应,可以理解的是,先前检测数据会基于删除目标和/或新增目标进行相同的操作生成校验数据,如果校验数据与当前检测数据相对应则说明目标操作行为、目标操作信息与当前检测数据相对应,如果校验数据与当前检测数据不相对应,则说明目标操作行为、目标操作信息与当前检测数据中的行为以及信息不相对应。
若所述删除目标和/或新增目标为空,则将所述先前检测数据与所述当前检测数据进行比对,若先前检测数据与所述当前检测数据相同,则判断先前检测数据与所述当前检测数据相对应。本发明提供的技术方案,如果删除目标和/或新增目标为空,可以理解的是,对应的没有删除和/或新增操作,可以理解为没有任何操作,则直接将先前检测数据与当前检测数据进行比对,如果先前检测数据与当前检测数据相同则说明先前检测数据与所述当前检测数据相对应,如果先前检测数据与当前检测数据不相同则说明先前检测数据与所述当前检测数据不相对应。
本发明提供的技术方案,将当前检测数据进行校验的过程分为了2种情况,第一种是有相应的操作,通过对先前检测数据(可以是先前存储的历史数据)进行同样的操作行为得到校验数据,若校验数据与当前检测数据一致则说明目标操作行为、目标操作信息与所述当前检测数据相对应,第二种是没有操作,则直接将先前检测数据与当前检测数据进行对比,如果先前检测数据与所述当前检测数据相同则判断先前检测数据与所述当前检测数据一致。
本发明提供的技术方案,在一个可能的实施方式中,在若所述删除目标和/或新增目标为空,则将所述先前检测数据与所述当前检测数据进行比对,若先前检测数据与所述当前检测数据相同,则判断先前检测数据与所述当前检测数据相对应的步骤中,具体包括:
提取先前检测数据中每个先前存储单元的先前子哈希值,基于每个先前存储单元的先前子哈希值进行计算得到先前检测数据的先前总哈希值。本发明提供的技术方案,提取先前检测数据中每个先前存储单元的先前子哈希值,可以理解的是根据先前检测数据中每个存储单元中存储的数据通过哈希函数生成相应的子哈希值,可以理解的是存储的数据不同对应对的子哈希值不同对应为先前子哈希值,基于每个先前存储单元的先前子哈希值进行统一计算得到先前检测数据的先前总哈希值,可以理解的是对应先前子哈希值的某一个哈希值发生改变则对应的先前总哈希值就会发生改变。
提取当前检测数据中每个当前存储单元的当前子哈希值,基于每个当前存储单元的当前子哈希值进行计算得到当前检测数据的当前总哈希值。本发明提供的技术方案,提取当前检测数据中每个当前存储单元的当前子哈希值,可以理解的是,当前检测数据中的每个当前存储单元中存储的数据不同对应的当前子哈希值不同,对应基于每个当前存储单元的当前子哈希值进行计算得到当前总哈希值,可以理解的是对应当前子哈希值的某一个哈希值发生改变则对应的当前总哈希值就会发生改变。
若所述先前总哈希值与所述当前总哈希值相对应,则先前检测数据与所述当前检测数据相同。本发明提供的技术方案,如果先前总哈希值与当前总哈希值相对应,则说明先前检测数据与所述当前检测数据相同,可以理解的是哈希函数对应的输入数据相同,则对应哈希值相同,如果哈希值相同则说明输入值相同,直接通过值与值的对比得到数据是否一致,与原本的数据对比相比节约了数据对比的时间,原来是需要将每个存储单元进行一一比对得到数据是否一致。如果先前总哈希值与当前总哈希值不相对应,则说明数据不一致。
若所述先前总哈希值与所述当前总哈希值不相对应,则将应当存储相同数据的先前存储单元和当前存储单元的先前子哈希值和当前子哈希值一一比对,确定不对应的先前存储单元和当前存储单元。本发明提供的技术方案,如果先前总哈希值与所述当前总哈希值不相对应,则说明数据不一致,需要对不一致的子存储单元进行进一步的确定,则将应当存储相同数据的先前存储单元和当前存储单元的先前子哈希值和当前子哈希值一一比对,可以理解的是将相对应的先前存储单元和当前存储单元的先前子哈希值和当前子哈希值一一比对,若发现某个子哈希值不相对应则确定不对应的先前存储单元和当前存储单元。现有技术需要将每个存储单元的数据进行一一对比才能确定数据的完整性,运行时间过长效率低下且占用系统运行空间,本发明提供的技术方案直接通过不同的数据量会产生不同的哈希值,每个存储单元对应一个子哈希值,所有子哈希值生成一个总哈希值,通过哈希值之间的比较得到数据是否完整以及如果不完整对应是哪个存储单元的数据被篡改。
步骤S160、管理服务端在得到与检测端相对应的第一完整性信息和第二完整性信息后,输出完整性保护结果。本发明提供的技术方案,如果管理服务端在得到与检测端相对应的第一完整性信息和第二完整性信息后输出完整性保护结果也就是输出数据是完整的,没有被篡改。如果管理服务端在未得到与检测端相对应的第一完整性信息和第二完整性信息中的至少一个后输出完整性保护结果也就是输出数据是不完整的,被篡改过。
本发明提供的技术方案,在一个可能的实施方式中,还包括:
若判断检测端的检测属性为非本地交互终端的检测属性,则输出第二管理数据。本发明提供的技术方案,如果判断检测端的检测属性为非本地交互终端的检测属性,可以理解的是,非本地交互终端的检测属性可以是无输入设备的服务器,则管理服务端根据无输入设备的服务器输出第二管理数据。其中,第二管理数据可以是管理服务端需要的对应无输入设备的服务器检测数据类型以及内容。
基于所述第二管理数据建立第二插件,所述第二插件用于记录非本地交互终端内操作主体名单被调用的次数数据生成相应的第一访问次数日志。本发明提供的技术方案,无输入设备的服务器根据第二管理数据建立第二插件,第二插件用于记录无输入设备的服务器内可以进行操作的白名单数据实际被调用的次数,生成相应的实际访问次数日志也就是第一访问次数日志,可以理解的是,访问次数日志可以是白名单被调用的实际次数数据,例如:每次用户进行操作修改数据时,都会通过插件解密再对ID进行校验,对应每个用户都拥有一个ID,在对数据进行修改前,均会对操作主体名单进行一次调用查看用户ID是否处于操作主体名单内,其中,操作主体名单可以是白名单,对应根据操作主体名单被调用次数生成相应的访问次数日志,例如:实际访问次数日志为10次,此处只会对用户的访问进行记录。
所述非本地交互终端记录操作主体名单被调用的次数数据生成相应第二访问次数日志。本发明提供的技术方案,无输入设备的服务器直接进行自我记录,记录服务器内主体名单被调用的总次数数据,生成相应的第二访问次数日志也就是总调用次数数据,当中会包含非法调用的次数,例如:黑客伪装白名单ID进行数据的修改,此时也会进行白名单对比调用,但对应的次数会比实际调用次数多,总访问次数日志为11次,但实际访问次数日志为10次,此处只会对所有的访问进行记录。
根据所述第二访问次数日志与所述第一访问次数日志的差值生成校验访问次数日志。本发明提供的技术方案,会将实际访问次数与总访问次数求差值获得0或其他的数值,可以理解的是如果校验访问次数日志的数值为0则说明对应无多余访问,数据可能是完整的,如果校验访问次数日志的数值为其他的数值比如1、2等在此不做限定,对应则数据有过多余访问,可能存在数据的篡改,后续再结合二进制日志以及操作日志进行确定。
在达到间隔时间信息相对应的当前时刻时,基于所述管理日志信息选中相对应的当前操作日志、当前二进制日志以及校验访问次数日志,所述当前日志数据包括当前操作日志、当前二进制日志以及校验访问次数日志。本发明提供的技术方案,无输入设备的服务器在达到间隔时间信息相对应的当前时刻时,基于管理服务端需求的管理日志信息,选取当前时刻的操作日志、当前二进制日志以及校验访问次数日志;其中,当前日志数据包括当前操作日志、当前二进制日志以及校验访问次数日志,方便后续对所有日志进行检测查看是数据的完整性以保证数据的安全性。
基于所述管理数据信息中的目标存储路径选中相对应的检测目标数据,对所述检测目标数据复制处理得到相对应的当前检测数据。本发明提供的技术方案,检测端根据管理数据信息中的目标存储路径选中相对应的检测目标数据,可以理解的是,可以选择性的对重点区域的数据进行检测作为检测目标数据,对不重要的区域不进行检测,也可以按照设备不同的重要程度进行划分,对应将检测目标数据进行复制处理得到相对应的当前检测数据,可以理解的是将想检测的目前文件进行复制处理方便后续发送至管理服务端。
对所述当前操作日志、当前二进制日志、校验访问次数日志以及当前检测数据添加当前时间标签后发送至管理服务端;本发明提供的技术方案,无输入设备的检测端对当前操作日志、当前二进制日志、校验访问次数日志以及当前检测数据添加当前时间标签后发送至管理服务端。检测端将管理服务端所需数据发送至管理服务端进行后续的检测。
为了更好的实现本发明所提供的一种IT基础设施配置完整性保护方法,本发明还提供一种IT基础设施配置完整性保护系统,如图4所示,包括:
分发模块,用于使预先配置的管理服务端根据检测端的检测属性分发相对应的管理数据,所述管理数据包括管理日志信息、管理数据信息以及间隔时间信息;
数据确定模块,用于使检测端基于所述间隔时间信息确定与所述管理日志信息和管理数据信息相对应的当前日志数据和当前检测数据,对所述当前日志数据和当前检测数据添加当前时间标签后发送至管理服务端;
策略确定模块,用于使管理服务端提取当前日志数据和当前检测数据所对应的当前时间标签,基于所述当前时间标签确定先前时间标签以及相对应的先前检测数据,根据所述检测端的检测属性确定相对应的日志校验策略;
第一输出模块,用于提取所述当前日志数据中的所有日志检测事件,若所有日志检测事件与所述日志校验策略相对应,则输出第一完整性信息;
第二输出模块,用于提取所述当前日志数据中的目标操作行为以及目标操作信息,若所述目标操作行为、目标操作信息与所述当前检测数据相对应或先前检测数据与所述当前检测数据相对应,则输出第二完整性信息;
结果输出模块,用于使管理服务端在得到与检测端相对应的第一完整性信息和第二完整性信息后,输出完整性保护结果。
本发明还提供一种存储介质,所述存储介质中存储有计算机程序,所述计算机程序被处理器执行时用于实现上述的各种实施方式提供的方法。
其中,存储介质可以是计算机存储介质,也可以是通信介质。通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。计算机存储介质可以是通用或专用计算机能够存取的任何可用介质。例如,存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路(Application Specific IntegratedCircuits,简称:ASIC)中。另外,该ASIC可以位于用户设备中。当然,处理器和存储介质也可以作为分立组件存在于通信设备中。存储介质可以是只读存储器(ROM)、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本发明还提供一种程序产品,该程序产品包括执行指令,该执行指令存储在存储介质中。设备的至少一个处理器可以从存储介质读取该执行指令,至少一个处理器执行该执行指令使得设备实施上述的各种实施方式提供的方法。
在上述终端或者服务器的实施例中,应理解,处理器可以是中央处理单元(英文:Central Processing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:Application SpecificIntegrated Circuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种IT基础设施配置完整性保护方法,其特征在于,包括:
预先配置的管理服务端根据检测端的检测属性分发相对应的管理数据,所述管理数据包括管理日志信息、管理数据信息以及间隔时间信息;
检测端基于所述间隔时间信息确定与所述管理日志信息和管理数据信息相对应的当前日志数据和当前检测数据,对所述当前日志数据和当前检测数据添加当前时间标签后发送至管理服务端;
管理服务端提取当前日志数据和当前检测数据所对应的当前时间标签,基于所述当前时间标签确定先前时间标签以及相对应的先前检测数据,根据所述检测端的检测属性确定相对应的日志校验策略;
提取所述当前日志数据中的所有日志检测事件,若所有日志检测事件与所述日志校验策略相对应,则输出第一完整性信息;
提取所述当前日志数据中的目标操作行为以及目标操作信息,若所述目标操作行为、目标操作信息与所述当前检测数据相对应或先前检测数据与所述当前检测数据相对应,则输出第二完整性信息;
管理服务端在得到与检测端相对应的第一完整性信息和第二完整性信息后,输出完整性保护结果。
2.根据权利要求1所述的IT基础设施配置完整性保护方法,其特征在于,
在预先配置的管理服务端根据检测端的检测属性分发相对应的管理数据的步骤中,具体包括:
若判断检测端的检测属性为本地交互终端的检测属性,则输出第一管理数据;
所述检测端基于所述间隔时间信息确定与所述管理日志信息和管理数据信息相对应的当前日志数据和当前检测数据,对所述当前日志数据和当前检测数据添加当前时间标签后发送至管理服务端具体包括:
基于所述第一管理数据建立第一插件,所述第一插件用于监测与本地交互终端所连接的数据输入设备的数据输入接口;
所述第一插件对数据输入接口所输入的指令数据进行监测生成相应的输入指令日志;
在达到间隔时间信息相对应的当前时刻时,基于所述管理日志信息选中相对应的当前操作日志、当前二进制日志以及输入指令日志,所述当前日志数据包括当前操作日志、当前二进制日志以及输入指令日志;
基于所述管理数据信息中的目标存储路径选中相对应的检测目标数据,对所述检测目标数据复制处理得到相对应的当前检测数据;
对所述当前操作日志、当前二进制日志、输入指令日志以及当前检测数据添加当前时间标签后发送至管理服务端。
3.根据权利要求2所述的IT基础设施配置完整性保护方法,其特征在于,
在所述第一插件对数据输入接口所输入的指令数据进行监测生成相应的输入指令日志的步骤中,具体包括:
对多个输入设备的多个数据输入接口分别输入指令数据的时间进行记录得到多个持续时间段;
以输入指令数据最多的输入设备作为主输入设备,以所述主输入设备的持续时间段为主持续时间段;
将其余的输入设备的持续时间段分别与所述主持续时间段比对得到差异时间段,基于所述差异时间段对所述主持续时间段更新处理得到融合时间段;
基于所述融合时间段生成相对应的输入指令日志。
4.根据权利要求3所述的IT基础设施配置完整性保护方法,其特征在于,
在对多个输入设备的多个数据输入接口分别输入指令数据的时间进行记录得到多个持续时间段的步骤中,具体包括:
对检测端的检测属性进行量化处理得到属性量化值,获取所述输入设备在预设周期内的启动时间;
根据所述属性量化值、预设周期内的启动时间确定与所述检测端相对应的监测间断时间;
判断数据输入接口中相邻的输入指令数据之间的相邻间隔时间,若所述相邻间隔时间小于所述监测间断时间,则分别确定所述相邻的输入指令数据的第一时刻和第二时刻;
基于所述第一时刻和第二时刻生成第一时间段,若判断输入设备的多个第一时间段重合或间隔时间小于监测间断时间,则基于多个重合的第一时间段生成该输入设备的持续时间段。
6.据权利要求5所述的IT基础设施配置完整性保护方法,其特征在于,还包括:
接收管理员对任意一个检测端主动输入的监测间断时间;
若主动输入的监测间断时间大于计算的监测间断时间,则根据主动输入的监测间断时间和计算的监测间断时间的差值对所述时间调整权重进行正向调整;
若主动输入的监测间断时间小于计算的监测间断时间,则根据主动输入的监测间断时间和计算的监测间断时间的差值对所述时间调整权重进行负向调整;
将调整前的时间调整权重与调整后的时间调整权重进行比对得到调整幅度值;
基于所述调整幅度值对其他检测端所对应的时间调整权重进行同步调整;
通过以下公式,计算管理员所主动输入监测间断时间的检测端调整后的时间调整权重、调整幅度值,
通过以下公式计算同步调整的其他检测端所对应的时间调整权重,
7.根据权利要求2所述的IT基础设施配置完整性保护方法,其特征在于,
在提取所述当前日志数据中的所有日志检测事件,若所有日志检测事件与所述日志校验策略相对应,则输出第一完整性信息的步骤中,具体包括:
提取所述当前操作日志中所对应的日志检测事件的操作主体,若所述操作主体与预设操作主体相对应,则输出第一检测信息;
根据所述当前二进制日志确定当前被修改的数据,若当前被修改的数据与允许被修改的数据相对应,则输出第二检测信息;
采集输入指令日志中的指令输入时间,若所述指令输入时间与当前被修改的数据的修改时间相对应,则输出第三检测信息;
在判断输出第一检测信息、第二检测信息以及第三检测信息后,输出第一完整性信息。
8.根据权利要求2所述的IT基础设施配置完整性保护方法,其特征在于,
在提取所述当前日志数据中的目标操作行为以及目标操作信息,若所述目标操作行为、目标操作信息与所述当前检测数据相对应或先前检测数据与所述当前检测数据相对应,则输出第二完整性信息的步骤中,具体包括:
获取所述目标操作行为中的新增行为和/或删除行为,确定所述目标操作信息中的删除目标和/或新增目标;
基于所述删除目标和/或新增目标对先前检测数据进行处理得到校验数据,若所述校验数据与所述当前检测数据相对应,则所述目标操作行为、目标操作信息与所述当前检测数据相对应;
若所述删除目标和/或新增目标为空,则将所述先前检测数据与所述当前检测数据进行比对,若先前检测数据与所述当前检测数据相同,则判断先前检测数据与所述当前检测数据相对应。
9.根据权利要求8所述的IT基础设施配置完整性保护方法,其特征在于,
在若所述删除目标和/或新增目标为空,则将所述先前检测数据与所述当前检测数据进行比对,若先前检测数据与所述当前检测数据相同,则判断先前检测数据与所述当前检测数据相对应的步骤中,具体包括:
提取先前检测数据中每个先前存储单元的先前子哈希值,基于每个先前存储单元的先前子哈希值进行计算得到先前检测数据的先前总哈希值;
提取当前检测数据中每个当前存储单元的当前子哈希值,基于每个当前存储单元的当前子哈希值进行计算得到当前检测数据的当前总哈希值;
若所述先前总哈希值与所述当前总哈希值相对应,则先前检测数据与所述当前检测数据相同;
若所述先前总哈希值与所述当前总哈希值不相对应,则将应当存储相同数据的先前存储单元和当前存储单元的先前子哈希值和当前子哈希值一一比对,确定不对应的先前存储单元和当前存储单元。
10.一种IT基础设施配置完整性保护系统,其特征在于,包括:
分发模块,用于使预先配置的管理服务端根据检测端的检测属性分发相对应的管理数据,所述管理数据包括管理日志信息、管理数据信息以及间隔时间信息;
数据确定模块,用于使检测端基于所述间隔时间信息确定与所述管理日志信息和管理数据信息相对应的当前日志数据和当前检测数据,对所述当前日志数据和当前检测数据添加当前时间标签后发送至管理服务端;
策略确定模块,用于使管理服务端提取当前日志数据和当前检测数据所对应的当前时间标签,基于所述当前时间标签确定先前时间标签以及相对应的先前检测数据,根据所述检测端的检测属性确定相对应的日志校验策略;
第一输出模块,用于提取所述当前日志数据中的所有日志检测事件,若所有日志检测事件与所述日志校验策略相对应,则输出第一完整性信息;
第二输出模块,用于提取所述当前日志数据中的目标操作行为以及目标操作信息,若所述目标操作行为、目标操作信息与所述当前检测数据相对应或先前检测数据与所述当前检测数据相对应,则输出第二完整性信息;
结果输出模块,用于使管理服务端在得到与检测端相对应的第一完整性信息和第二完整性信息后,输出完整性保护结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210501856.1A CN114598556B (zh) | 2022-05-10 | 2022-05-10 | It基础设施配置完整性保护方法及保护系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210501856.1A CN114598556B (zh) | 2022-05-10 | 2022-05-10 | It基础设施配置完整性保护方法及保护系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114598556A CN114598556A (zh) | 2022-06-07 |
CN114598556B true CN114598556B (zh) | 2022-07-15 |
Family
ID=81813597
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210501856.1A Active CN114598556B (zh) | 2022-05-10 | 2022-05-10 | It基础设施配置完整性保护方法及保护系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114598556B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114928642B (zh) * | 2022-07-21 | 2022-10-25 | 中建安装集团有限公司 | 一种基于数字化云计算的临边防护监测方法及平台 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104392185A (zh) * | 2014-12-01 | 2015-03-04 | 公安部第三研究所 | 在云环境日志取证中实现数据完整性验证的方法 |
CN104461860A (zh) * | 2013-09-16 | 2015-03-25 | 国际商业机器公司 | 用于操作系统验证的方法和系统 |
CN110191094A (zh) * | 2019-04-26 | 2019-08-30 | 北京奇安信科技有限公司 | 异常数据的监控方法及装置、存储介质、终端 |
CN112148674A (zh) * | 2020-10-12 | 2020-12-29 | 平安科技(深圳)有限公司 | 日志数据处理方法、装置、计算机设备和存储介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017037444A1 (en) * | 2015-08-28 | 2017-03-09 | Statustoday Ltd | Malicious activity detection on a computer network and network metadata normalisation |
US11303653B2 (en) * | 2019-08-12 | 2022-04-12 | Bank Of America Corporation | Network threat detection and information security using machine learning |
-
2022
- 2022-05-10 CN CN202210501856.1A patent/CN114598556B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104461860A (zh) * | 2013-09-16 | 2015-03-25 | 国际商业机器公司 | 用于操作系统验证的方法和系统 |
CN104392185A (zh) * | 2014-12-01 | 2015-03-04 | 公安部第三研究所 | 在云环境日志取证中实现数据完整性验证的方法 |
CN110191094A (zh) * | 2019-04-26 | 2019-08-30 | 北京奇安信科技有限公司 | 异常数据的监控方法及装置、存储介质、终端 |
CN112148674A (zh) * | 2020-10-12 | 2020-12-29 | 平安科技(深圳)有限公司 | 日志数据处理方法、装置、计算机设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114598556A (zh) | 2022-06-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7441582B2 (ja) | データ侵害を検出するための方法、装置、コンピュータ可読な記録媒体及びプログラム | |
CN111931860B (zh) | 异常数据检测方法、装置、设备及存储介质 | |
CN108268354A (zh) | 数据安全监控方法、后台服务器、终端及系统 | |
WO2021051563A1 (zh) | 目标数据归档方法、装置、电子设备及计算机非易失性可读存储介质 | |
US8584216B1 (en) | Systems and methods for efficiently deploying updates within a cryptographic-key management system | |
CN104836781A (zh) | 区分访问用户身份的方法及装置 | |
CN103345616A (zh) | 基于行为分析的指纹存储比对的系统 | |
CN115186304B (zh) | 一种基于区块链的交易数据校验方法和系统 | |
CN112487042B (zh) | 电能计量数据处理方法、装置、计算机设备和存储介质 | |
CN114598556B (zh) | It基础设施配置完整性保护方法及保护系统 | |
CN112581129A (zh) | 区块链交易数据治理方法及装置、计算机设备及存储介质 | |
CN110807209B (zh) | 一种数据处理方法、设备及存储介质 | |
CN114925391A (zh) | 隐私信息的流转监管方法、装置、电子设备和存储介质 | |
CN103336800A (zh) | 基于行为分析的指纹存储比对的方法 | |
WO2021071696A1 (en) | Automatic triaging of network data loss prevention incident events | |
CN117235731A (zh) | 一种保密装备大数据监控预警系统 | |
KR102541888B1 (ko) | 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템 | |
JP2009053896A (ja) | 不正操作検出装置およびプログラム | |
Wang et al. | Cloud data integrity verification algorithm based on data mining and accounting informatization | |
CN114401107A (zh) | 一种能源互联网数据安全处理系统及方法 | |
CN109412861B (zh) | 一种终端网络建立安全关联展示方法 | |
JP2023523079A (ja) | 行動予測モデルを用いたエンドポイントセキュリティ | |
CN112015494A (zh) | 第三方api工具调用方法、系统及装置 | |
WO2021055964A1 (en) | System and method for crowd-sourced refinement of natural phenomenon for risk management and contract validation | |
CN111917801A (zh) | 私有云环境下基于Petri网的用户行为认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |