CN115238324A - 一种基于管理使用审计安全的计算机防护系统及方法 - Google Patents
一种基于管理使用审计安全的计算机防护系统及方法 Download PDFInfo
- Publication number
- CN115238324A CN115238324A CN202210869700.9A CN202210869700A CN115238324A CN 115238324 A CN115238324 A CN 115238324A CN 202210869700 A CN202210869700 A CN 202210869700A CN 115238324 A CN115238324 A CN 115238324A
- Authority
- CN
- China
- Prior art keywords
- user
- computer
- audit log
- usb flash
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V40/00—Recognition of biometric, human-related or animal-related patterns in image or video data
- G06V40/10—Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
- G06V40/16—Human faces, e.g. facial parts, sketches or expressions
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本发明公开了一种基于管理使用审计安全的计算机防护系统及方法,包括用户审计日志数据库、第一类别计算机检测模块、待比较图像提取模块、参考人脸图像比较模块;用户审计日志数据库包括基础数据库、参考数据库和留证数据库;第一类别计算机检测模块用于检测到用户启动计算机并使用优盘时,待比较图像提取模块提取该用户的人脸图像为待比较图像;参考人脸图像比较模块将待比较图像与用户提供的优盘名称标识所对应的参考人脸图像进行相似度比较;本发明判断用户即使在将优盘设备借出情况下也可预测优盘的安全性,评估优盘在多运营商出口的计算机使用时的风险。
Description
技术领域
本发明涉及计算机防护技术领域,具体为一种基于管理使用审计安全的计算机防护系统及方法。
背景技术
计算机安全问题越来越收到社会各界的广泛关注和重视,且计算机在使用过程中面临着各种各样的风险,当使用者外接设备的情况下也具有一定的风险,而且这种风险往往是双向的,计算机本分复杂的病毒传输到设备中,设备受到污染后再接入其他计算机设备时,使得没有被污染的计算机感染上病毒;而且这种情况下,很难把控病毒的入侵,也很预测在复杂的计算机环境中如何使我们携带的外界设备最大安全化以及如何分析自身对于计算机的操作给携带设备带来风险的可预测性,并针对风险可能性作出预警。
发明内容
本发明的目的在于提供一种基于管理使用审计安全的计算机防护系统及方法,以解决上述背景技术中提出的问题。
为了解决上述技术问题,本发明提供如下技术方案:一种基于管理使用审计安全的计算机防护方法,计算机防护方法包括以下过程:
预先建立用户审计日志数据库,用户审计日志数据库包括基础数据库、参考数据库和留证数据库;基础数据库用于预先存储用户的参考人脸图像、用户使用优盘的名称标识、以及用户的关联用户和存疑用户,参考数据库和留证数据库用于存储其相应的优盘名称标识所对应的审计日志数据;
当第一类别计算机检测到用户启动计算机并使用优盘时,从第一类别计算机中提取该用户的人脸图像为待比较图像,将待比较图像与用户提供的优盘名称标识所对应的参考人脸图像进行相似度比较;第一类别计算机为多运营商出口的计算机;
如果两者的相似度大于等于第一相似度阈值,将该次用户使用计算机所记录的审计日志数据存入基础数据库内,并将此次审计日志数据添加第一认证记号;确定为是用户提供的优盘名称标识在第一类别计算机场景是用户本人所使用,且对该次审计日志数据添加认证记号是为了分析用户在使用第一类别计算机的使用目的,为后续判断用户的使用优盘在第一类别计算机上是否具有传输病毒的风险。
如果两者的相似度小于第一相似度阈值,判断是否将该次审计日志数据存入留证数据库中;两者的相似度较小说明使用用户提供的优盘名称标识可能不是用户本人,可能是用户的朋友以及其他认识的人,那么在输入病毒风险的角度就可以从其他用户的使用优盘的操作目的是否与用户本人相同,如果相同风险相近,如果不同的,需要进一步分析风险。
当第二类别计算机检测到用户启动计算机并使用优盘时,基于用户的基础数据库及其参考数据库和留证数据库,对比用户在第一类别计算机上使用优盘的审计日志数据差异并作出预警响应,第二类别计算机为单运营商出口的计算机。在自家电脑上网使用优盘时,就需要判断之前在网吧上网使用优盘的审计记录,根据审计记录判断优盘的风险性,且这个审计日志数据就是用户初次在网吧使用优盘的审计数据,那么初次如果是好的话,如果在第一类别计算机上被污染的话,那么审计日志的数据就会发生变化,分析审计日志上的数据就可以获取差异并根据差异进行预警。
进一步的,当第一类别计算机检测到用户启动计算机时还包括:
设该用户为中心用户,提取中心用户进入第一类别计算机放置场景的落座位置以及落座位置四周的其他落座位置,获取中心用户进入场景到落座位置的第一时间长度与中心用户四周的其他落座位置用户进入场景到位置的第二时间长度,比较第一时间长度与第二时间长度的差值,如果差值小于时间差值阈值,则输出中心用户四周存在落座的用户为待分析用户;分析坐在中心用户的其他用户是否为同行的人,因为在分析为同行的人时可以进一步分析存在使用相同优盘的情况。
获取用户打开计算后的审计日志数据,审计日志数据包括未插入优盘的内源审计日志和插入优盘后的外源审计日志,内源审计日志包括用户在打开计算机后未插入优盘的鼠标、键盘操作记录,外源审计日志包括计算机插入优盘后基于优盘的所有操作记录;
从内源审计日志中获取中心用户和待分析用户的操作轨迹,操作轨迹为用户点击或输入记录的起始地址到用户在插入优盘前的点击或输入记录的终止地址操作过程中所包含的所有地址,如果某个用户在某个地址的停留时长大于等于停留时长阈值,那么输出该地址为用户的目标地址;
分别获取中心用户在每个目标地址的前后地址,并将中心用户的目的地址与其前后地址作为目的轨迹,获取待分析用户与中心用户目的地址相似度大于第一阈值的地址为候选地址,并获取候选地址及其前后地址为候选轨迹;获取目的轨迹与候选轨迹相似度大于等于轨迹相似度阈值时的停留时长,将停留时长按照从大到小的顺序排序,输出排序第一的停留时长为Ta;
那么关联指数Q=Ta/Tk,其中Tk为内源审计日志用户操作轨迹中停留的总时长;
当某个待分析用户的关联指数大于关联阈值时,令待分析用户与中心用户的相关指数P1加1,其中某个用户与中心用户的相关指数初始值为0;
当某个待分析用户的关联指数小于等于关联阈值时,令待分析用户与中心用户的无关指数P2加1,其中,某个用户与中心用户的无关指数初始值为0;
那么待分析用户与中心用户的关系指数为W=P1/(P1+P2);
如果某个用户与另一个用户的关系指数大于等于关系阈值时,那么这两个用户互为彼此的关联用户;如果某个用户与另一个用户的关系指数小于关系阈值时,那么这两个用户互为存疑用户。
进一步的,判断是否将该次审计日志数据存入留证数据库中,包括以下过程:
将待比较图像与用户提供的优盘名称标识对应的存疑用户的人脸图像和关联用户的人脸图像进行相似度比较;此处的存疑用户就是与中心用户使用优盘目的性不同的用户,因为中心用户是优盘的所有者,在进行操作使用时会注意计算机的入侵风险,那么在存疑用户使用优盘导致病毒入侵优盘的风险要高于中心用户,且第一类别计算机属于多运营商出口,如网吧这种地方,计算机内入侵的风险就比较高;
若待比较图像与存疑用户的人脸图像相似度大于等于第二相似度阈值,获取存疑用户的外源审计日志,并计算外源审计日志的操作轨迹动态指数G=(G1-G0)/m,其中G1表示外源审计日志操作轨迹中停留时长的最大值,G2表示外源审计日志操作轨迹中停留时长的最小值,m表示外源审计日志操作轨迹中包含地址的个数;若外源审计日志的操作轨迹动态指数大于等于轨迹动态指数阈值,将存疑用户的外源审计日志存入存证数据库,并添加第一可疑标识,否则存入基础数据库,并添加第二认证记号;分析操作轨迹动态指数是为了侧面反应出用户在插入优盘后计算机的操作运行状态的变化,因为在一些情况当计算机携带病毒后后产生卡顿的现象;如果计算机产生卡顿那么基于优盘的操作也会进行审计日志的记录,可以对一些可疑的行为进行记录,并使优盘携带审计日志的数据,那么在下一次使用时就可以与已经产生记录的数据进行分析判断。
若待比较图像与关联用户的人脸图像相似度大于等于第二相似度阈值,将关联用户的外源审计日志存入基础数据库,并添加第二认证记号;
否则,将该次外源审计日志存入存证数据库内,并添加第二可疑标识,且将第二可疑标识对应的待比较图像标记为可疑人像;且当第二可疑标识数量大于可疑标识数量阈值时,进行预警。
进一步的,当第二类别计算机检测到用户启动计算机并使用优盘时,基于用户的基础数据库及其参考数据库和留证数据库,对比用户在第一类别计算机上使用优盘的审计日志数据差异并作出预警响应,包括以下过程:
当用户启动第二类别计算机并使用优盘时,基于用户的基础数据库获取用户此时的内源审计日志并判断优盘名称标识对应的审计日志数据;
若优盘名称标识对应的审计日志数据中包含第一认证记号或第二认证记号时,计算用户启动第二类别计算机时对应的内源审计日志的操作轨迹动态指数,以及优盘名称标识对应的审计日志数据中认证记号对应的平均操作轨迹动态指数,若操作轨迹动态指数大于等于平均操作轨迹动态指数,则对第二类别计算机进行预警响应,否则计算机继续监测;
若优盘名称标识对应的审计日志数据中包含可疑标识,将可疑标识对应的操作轨迹动态指数与用户启动第二类别计算机时对应的内源审计日志的操作轨迹动态指数进行比较,若可疑标识对应的操作轨迹动态指数大于第二类别计算机时对应的内源审计日志的操作轨迹动态指数,则计算机继续监测;若可疑标识对应的操作轨迹动态指数小于等于第二类别计算机时对应的内源审计日志的操作轨迹动态指数,则对第二类别计算机进行预警响应。
一种基于管理使用审计安全的计算机防护系统,计算机防护系统包括用户审计日志数据库、第一类别计算机检测模块、待比较图像提取模块、参考人脸图像比较模块、留证数据库存储判断模块和第二类别计算机分析模块;
用户审计日志数据库包括基础数据库、参考数据库和留证数据库;基础数据库用于预先存储用户的参考人脸图像、用户使用优盘的名称标识、以及用户的关联用户和存疑用户,参考数据库和留证数据库用于存储其相应的优盘名称标识所对应的审计日志数据;
第一类别计算机检测模块用于检测到用户启动计算机并使用优盘时,待比较图像提取模块提取该用户的人脸图像为待比较图像;第一类别计算机为多运营商出口的计算机;
参考人脸图像比较模块将待比较图像与用户提供的优盘名称标识所对应的参考人脸图像进行相似度比较;如果两者的相似度大于等于第一相似度阈值,将该次用户使用计算机所记录的审计日志数据存入基础数据库内,并将此次审计日志数据添加第一认证记号;如果两者的相似度小于第一相似度阈值,令留证数据库存储判断模块进行判断;
第二类别计算机分析模块检测到用户启动计算机并使用优盘时,基于用户的基础数据库及其参考数据库和留证数据库,对比用户在第一类别计算机上使用优盘的审计日志数据差异并作出预警响应,第二类别计算机为单运营商出口的计算机。
进一步的,第一类别计算机检测模块包括用户确定模块、审计日志数据提取模块、目标地址分析模块、关联指数计算模块和关系指数计算模块;
用户确定模块用于确定中心用户以及与中心用户相关的待分析用户;
审计日志数据提取模块用于提取用户打开计算机到插入优盘后两个不同阶段的审计日志数据;
目标地址分析模块用于分析审计日志数据中具有目的性的地址为目标地址;
关联指数计算模块用于根据中心用户的目标地址与待分析用户目标地址的相似度判断用户之间使用计算机的关联程度;
关系指数计算模块用于确定用户与待分析用户的关系,并将用户关系分析关联用户和存疑用户。
进一步的,留证数据库存储判断模块包括关联用户图像相似度比较模块和存疑用户图像相似度比较模块;
关联用户图像相似度比较模块用于分析优盘名称标识对应的关联用户图像与待比较图像进行相似度分析,若待比较图像与关联用户的人脸图像相似度大于等于第二相似度阈值,将关联用户的外源审计日志存入基础数据库,并添加第二认证记号。
存疑用户图像相似度比较模块用于分析优盘名称标识对应的存疑用户图像与待比较图像进行相似度分析,并计算外源审计日志的操作轨迹动态指数,判断是否存入存疑数据库,且对存入的数据添加可疑标识,对存入基础数据库的数据添加第二认证记号。
进一步的,第二类别计算机分析模块包括数据对比模块和预警响应模块;
数据对比模块用于在启动第二类别计算机并使用优盘时,参考用户的基础数据库获取用户此时的内源审计日志并判断优盘名称标识对应的审计日志数据;数据对比模块比较审计日志数据中包含第一认证记号或第二认证记号情况的操作轨迹动态指数,以及包含可疑标识情况的操作轨迹动态指数;
预警响应模块用于在审计日志数据中包含第一认证记号或第二认证记号情况时,分析操作轨迹动态指数并做出预警响应;以及在审计日志数据中包含可疑标识情况时分析操作轨迹动态指数并做出预警响应。
与现有技术相比,本发明所达到的有益效果是:本发明从用户使用的优盘入手,分析优盘在不同场景下使用的安全性,以及根据用户自身对计算机的操作轨迹进行分析,判断用户即使在将优盘设备借出情况下也可预测优盘的安全性,评估优盘在多运营商出口的计算机使用时的风险,判断多运营商出口的计算机对优盘的使用是否造成污染的风险,以及在用户在单运营商出口的计算机上使用时判断优盘是否对该计算机造成风险,形成双向预测并及时预警,提高了用户优盘的安全性也保证了用户自身计算机的安全性。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明一种基于管理使用审计安全的计算机防护系统的结构示意图;
图2是本发明一种基于管理使用审计安全的计算机防护方法的审计日志示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-图2,本发明提供技术方案:一种基于管理使用审计安全的计算机防护方法,计算机防护方法包括以下过程:
预先建立用户审计日志数据库,用户审计日志数据库包括基础数据库、参考数据库和留证数据库;基础数据库用于预先存储用户的参考人脸图像、用户使用优盘的名称标识、以及用户的关联用户和存疑用户,参考数据库和留证数据库用于存储其相应的优盘名称标识所对应的审计日志数据;
当第一类别计算机检测到用户启动计算机并使用优盘时,从第一类别计算机中提取该用户的人脸图像为待比较图像,将待比较图像与用户提供的优盘名称标识所对应的参考人脸图像进行相似度比较;第一类别计算机为多运营商出口的计算机;
如果两者的相似度大于等于第一相似度阈值,将该次用户使用计算机所记录的审计日志数据存入基础数据库内,并将此次审计日志数据添加第一认证记号;确定为是用户提供的优盘名称标识在第一类别计算机场景是用户本人所使用,且对该次审计日志数据添加认证记号是为了分析用户在使用第一类别计算机的使用目的,为后续判断用户的使用优盘在第一类别计算机上是否具有传输病毒的风险。
如果两者的相似度小于第一相似度阈值,判断是否将该次审计日志数据存入留证数据库中;两者的相似度较小说明使用用户提供的优盘名称标识可能不是用户本人,可能是用户的朋友以及其他认识的人,那么在输入病毒风险的角度就可以从其他用户的使用优盘的操作目的是否与用户本人相同,如果相同风险相近,如果不同的,需要进一步分析风险。
当第二类别计算机检测到用户启动计算机并使用优盘时,基于用户的基础数据库及其参考数据库和留证数据库,对比用户在第一类别计算机上使用优盘的审计日志数据差异并作出预警响应,第二类别计算机为单运营商出口的计算机。在自家电脑上网使用优盘时,就需要判断之前在网吧上网使用优盘的审计记录,根据审计记录判断优盘的风险性,且这个审计日志数据就是用户初次在网吧使用优盘的审计数据,那么初次如果是好的话,如果在第一类别计算机上被污染的话,那么审计日志的数据就会发生变化,分析审计日志上的数据就可以获取差异并根据差异进行预警。
当第一类别计算机检测到用户启动计算机时还包括:
设该用户为中心用户,提取中心用户进入第一类别计算机放置场景的落座位置以及落座位置四周的其他落座位置,获取中心用户进入场景到落座位置的第一时间长度与中心用户四周的其他落座位置用户进入场景到位置的第二时间长度,比较第一时间长度与第二时间长度的差值,如果差值小于时间差值阈值,则输出中心用户四周存在落座的用户为待分析用户;分析坐在中心用户的其他用户是否为同行的人,因为在分析为同行的人时可以进一步分析存在使用相同优盘的情况。
获取用户打开计算后的审计日志数据,审计日志数据包括未插入优盘的内源审计日志和插入优盘后的外源审计日志,内源审计日志包括用户在打开计算机后未插入优盘的鼠标、键盘操作记录,外源审计日志包括计算机插入优盘后基于优盘的所有操作记录;
从内源审计日志中获取中心用户和待分析用户的操作轨迹,操作轨迹为用户点击或输入记录的起始地址到用户在插入优盘前的点击或输入记录的终止地址操作过程中所包含的所有地址,如果某个用户在某个地址的停留时长大于等于停留时长阈值,那么输出该地址为用户的目标地址;
如:打开电脑点击微信、登录微信,打开对话框,点击对话框中的链接,浏览链接中的内容,点击搜索引擎,输入搜索内容...插入优盘,设定其中浏览链接中的内容地址和输入搜索内容的地址对应的停留时长大于停留时长阈值,那么起始地址为点击微信的启动地址,终止地址为输入搜索内容的地址,观测地址为浏览链接中的内容地址和输入搜索内容的地址;
分别获取中心用户在每个目标地址的前后地址,并将中心用户的目的地址与其前后地址作为目的轨迹,获取待分析用户与中心用户目的地址相似度大于第一阈值的地址为候选地址,并获取候选地址及其前后地址为候选轨迹;获取目的轨迹与候选轨迹相似度大于等于轨迹相似度阈值时的停留时长,将停留时长按照从大到小的顺序排序,输出排序第一的停留时长为Ta;
那么关联指数Q=Ta/Tk,其中Tk为内源审计日志用户操作轨迹中停留的总时长;
当某个待分析用户的关联指数大于关联阈值时,令待分析用户与中心用户的相关指数P1加1,其中某个用户与中心用户的相关指数初始值为0;
当某个待分析用户的关联指数小于等于关联阈值时,令待分析用户与中心用户的无关指数P2加1,其中,某个用户与中心用户的无关指数初始值为0;
那么待分析用户与中心用户的关系指数为W=P1/(P1+P2);
如果某个用户与另一个用户的关系指数大于等于关系阈值时,那么这两个用户互为彼此的关联用户;如果某个用户与另一个用户的关系指数小于关系阈值时,那么这两个用户互为存疑用户。
判断是否将该次审计日志数据存入留证数据库中,包括以下过程:
将待比较图像与用户提供的优盘名称标识对应的存疑用户的人脸图像和关联用户的人脸图像进行相似度比较;此处的存疑用户就是与中心用户使用优盘目的性不同的用户,因为中心用户是优盘的所有者,在进行操作使用时会注意计算机的入侵风险,那么在存疑用户使用优盘导致病毒入侵优盘的风险要高于中心用户,且第一类别计算机属于多运营商出口,如网吧这种地方,计算机内入侵的风险就比较高;
若待比较图像与存疑用户的人脸图像相似度大于等于第二相似度阈值,获取存疑用户的外源审计日志,并计算外源审计日志的操作轨迹动态指数G=(G1-G0)/m,其中G1表示外源审计日志操作轨迹中停留时长的最大值,G2表示外源审计日志操作轨迹中停留时长的最小值,m表示外源审计日志操作轨迹中包含地址的个数;若外源审计日志的操作轨迹动态指数大于等于轨迹动态指数阈值,将存疑用户的外源审计日志存入存证数据库,并添加第一可疑标识,否则存入基础数据库,并添加第二认证记号;分析操作轨迹动态指数是为了侧面反应出用户在插入优盘后计算机的操作运行状态的变化,因为在一些情况当计算机携带病毒后后产生卡顿的现象;如果计算机产生卡顿那么基于优盘的操作也会进行审计日志的记录,可以对一些可疑的行为进行记录,并使优盘携带审计日志的数据,那么在下一次使用时就可以与已经产生记录的数据进行分析判断。
若待比较图像与关联用户的人脸图像相似度大于等于第二相似度阈值,将关联用户的外源审计日志存入基础数据库,并添加第二认证记号;
否则,将该次外源审计日志存入存证数据库内,并添加第二可疑标识,且将第二可疑标识对应的待比较图像标记为可疑人像;且当第二可疑标识数量大于可疑标识数量阈值时,进行预警。
当第二类别计算机检测到用户启动计算机并使用优盘时,基于用户的基础数据库及其参考数据库和留证数据库,对比用户在第一类别计算机上使用优盘的审计日志数据差异并作出预警响应,包括以下过程:
当用户启动第二类别计算机并使用优盘时,基于用户的基础数据库获取用户此时的内源审计日志并判断优盘名称标识对应的审计日志数据;
若优盘名称标识对应的审计日志数据中包含第一认证记号或第二认证记号时,计算用户启动第二类别计算机时对应的内源审计日志的操作轨迹动态指数,以及优盘名称标识对应的审计日志数据中认证记号对应的平均操作轨迹动态指数,若操作轨迹动态指数大于等于平均操作轨迹动态指数,则对第二类别计算机进行预警响应,否则计算机继续监测;
若优盘名称标识对应的审计日志数据中包含可疑标识,将可疑标识对应的操作轨迹动态指数与用户启动第二类别计算机时对应的内源审计日志的操作轨迹动态指数进行比较,若可疑标识对应的操作轨迹动态指数大于第二类别计算机时对应的内源审计日志的操作轨迹动态指数,则计算机继续监测;若可疑标识对应的操作轨迹动态指数小于等于第二类别计算机时对应的内源审计日志的操作轨迹动态指数,则对第二类别计算机进行预警响应。
一种基于管理使用审计安全的计算机防护系统,计算机防护系统包括用户审计日志数据库、第一类别计算机检测模块、待比较图像提取模块、参考人脸图像比较模块、留证数据库存储判断模块和第二类别计算机分析模块;
用户审计日志数据库包括基础数据库、参考数据库和留证数据库;基础数据库用于预先存储用户的参考人脸图像、用户使用优盘的名称标识、以及用户的关联用户和存疑用户,参考数据库和留证数据库用于存储其相应的优盘名称标识所对应的审计日志数据;
第一类别计算机检测模块用于检测到用户启动计算机并使用优盘时,待比较图像提取模块提取该用户的人脸图像为待比较图像;第一类别计算机为多运营商出口的计算机;
参考人脸图像比较模块将待比较图像与用户提供的优盘名称标识所对应的参考人脸图像进行相似度比较;如果两者的相似度大于等于第一相似度阈值,将该次用户使用计算机所记录的审计日志数据存入基础数据库内,并将此次审计日志数据添加第一认证记号;如果两者的相似度小于第一相似度阈值,令留证数据库存储判断模块进行判断;
第二类别计算机分析模块检测到用户启动计算机并使用优盘时,基于用户的基础数据库及其参考数据库和留证数据库,对比用户在第一类别计算机上使用优盘的审计日志数据差异并作出预警响应,第二类别计算机为单运营商出口的计算机。
第一类别计算机检测模块包括用户确定模块、审计日志数据提取模块、目标地址分析模块、关联指数计算模块和关系指数计算模块;
用户确定模块用于确定中心用户以及与中心用户相关的待分析用户;
审计日志数据提取模块用于提取用户打开计算机到插入优盘后两个不同阶段的审计日志数据;
目标地址分析模块用于分析审计日志数据中具有目的性的地址为目标地址;
关联指数计算模块用于根据中心用户的目标地址与待分析用户目标地址的相似度判断用户之间使用计算机的关联程度;
关系指数计算模块用于确定用户与待分析用户的关系,并将用户关系分析关联用户和存疑用户。
留证数据库存储判断模块包括关联用户图像相似度比较模块和存疑用户图像相似度比较模块;
关联用户图像相似度比较模块用于分析优盘名称标识对应的关联用户图像与待比较图像进行相似度分析,若待比较图像与关联用户的人脸图像相似度大于等于第二相似度阈值,将关联用户的外源审计日志存入基础数据库,并添加第二认证记号。
存疑用户图像相似度比较模块用于分析优盘名称标识对应的存疑用户图像与待比较图像进行相似度分析,并计算外源审计日志的操作轨迹动态指数,判断是否存入存疑数据库,且对存入的数据添加可疑标识,对存入基础数据库的数据添加第二认证记号。
第二类别计算机分析模块包括数据对比模块和预警响应模块;
数据对比模块用于在启动第二类别计算机并使用优盘时,参考用户的基础数据库获取用户此时的内源审计日志并判断优盘名称标识对应的审计日志数据;数据对比模块比较审计日志数据中包含第一认证记号或第二认证记号情况的操作轨迹动态指数,以及包含可疑标识情况的操作轨迹动态指数;
预警响应模块用于在审计日志数据中包含第一认证记号或第二认证记号情况时,分析操作轨迹动态指数并做出预警响应;以及在审计日志数据中包含可疑标识情况时分析操作轨迹动态指数并做出预警响应。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于管理使用审计安全的计算机防护方法,其特征在于,所述计算机防护方法包括以下过程:
预先建立用户审计日志数据库,所述用户审计日志数据库包括基础数据库、参考数据库和留证数据库;所述基础数据库用于预先存储用户的参考人脸图像、用户使用优盘的名称标识、以及用户的关联用户和存疑用户,参考数据库和留证数据库用于存储其相应的优盘名称标识所对应的审计日志数据;
当第一类别计算机检测到用户启动计算机并使用优盘时,从第一类别计算机中提取该用户的人脸图像为待比较图像,将待比较图像与用户提供的优盘名称标识所对应的参考人脸图像进行相似度比较;所述第一类别计算机为多运营商出口的计算机;
如果两者的相似度大于等于第一相似度阈值,将该次用户使用计算机所记录的审计日志数据存入基础数据库内,并将此次审计日志数据添加第一认证记号;
如果两者的相似度小于第一相似度阈值,判断是否将该次审计日志数据存入留证数据库中;
当第二类别计算机检测到用户启动计算机并使用优盘时,基于用户的基础数据库及其参考数据库和留证数据库,对比用户在第一类别计算机上使用优盘的审计日志数据差异并作出预警响应,所述第二类别计算机为单运营商出口的计算机。
2.根据权利要求1所述的一种基于管理使用审计安全的计算机防护方法,其特征在于:所述当第一类别计算机检测到用户启动计算机时还包括:
设该用户为中心用户,提取中心用户进入第一类别计算机放置场景的落座位置以及落座位置四周的其他落座位置,获取中心用户进入场景到落座位置的第一时间长度与中心用户四周的其他落座位置用户进入场景到位置的第二时间长度,比较第一时间长度与第二时间长度的差值,如果差值小于时间差值阈值,则输出中心用户四周存在落座的用户为待分析用户;
获取用户打开计算后的审计日志数据,所述审计日志数据包括未插入优盘的内源审计日志和插入优盘后的外源审计日志,所述内源审计日志包括用户在打开计算机后未插入优盘的鼠标、键盘操作记录,所述外源审计日志包括计算机插入优盘后基于优盘的所有操作记录;
从内源审计日志中获取中心用户和待分析用户的操作轨迹,所述操作轨迹为用户点击或输入记录的起始地址到用户在插入优盘前的点击或输入记录的终止地址操作过程中所包含的所有地址,如果某个用户在某个地址的停留时长大于等于停留时长阈值,那么输出该地址为用户的目标地址;
分别获取中心用户在每个目标地址的前后地址,并将中心用户的目的地址与其前后地址作为目的轨迹,获取待分析用户与中心用户目的地址相似度大于第一阈值的地址为候选地址,并获取候选地址及其前后地址为候选轨迹;获取目的轨迹与候选轨迹相似度大于等于轨迹相似度阈值时的停留时长,将停留时长按照从大到小的顺序排序,输出排序第一的停留时长为Ta;
那么关联指数Q=Ta/Tk,其中Tk为内源审计日志用户操作轨迹中停留的总时长;
当某个待分析用户的关联指数大于关联阈值时,令待分析用户与中心用户的相关指数P1加1,其中某个用户与中心用户的相关指数初始值为0;
当某个待分析用户的关联指数小于等于关联阈值时,令待分析用户与中心用户的无关指数P2加1,其中,某个用户与中心用户的无关指数初始值为0;
那么待分析用户与中心用户的关系指数为W=P1/(P1+P2);
如果某个用户与另一个用户的关系指数大于等于关系阈值时,那么这两个用户互为彼此的关联用户;如果某个用户与另一个用户的关系指数小于关系阈值时,那么这两个用户互为存疑用户。
3.根据权利要求2所述的一种基于管理使用审计安全的计算机防护方法,其特征在于:所述判断是否将该次审计日志数据存入留证数据库中,包括以下过程:
将待比较图像与用户提供的优盘名称标识对应的存疑用户的人脸图像和关联用户的人脸图像进行相似度比较;
若待比较图像与存疑用户的人脸图像相似度大于等于第二相似度阈值,获取存疑用户的外源审计日志,并计算外源审计日志的操作轨迹动态指数G=(G1-G0)/m,其中G1表示外源审计日志操作轨迹中停留时长的最大值,G2表示外源审计日志操作轨迹中停留时长的最小值,m表示外源审计日志操作轨迹中包含地址的个数;若外源审计日志的操作轨迹动态指数大于等于轨迹动态指数阈值,将存疑用户的外源审计日志存入存证数据库,并添加第一可疑标识,否则存入基础数据库,并添加第二认证记号;
若待比较图像与关联用户的人脸图像相似度大于等于第二相似度阈值,将关联用户的外源审计日志存入基础数据库,并添加第二认证记号;
否则,将该次外源审计日志存入存证数据库内,并添加第二可疑标识,且将第二可疑标识对应的待比较图像标记为可疑人像;且当第二可疑标识数量大于可疑标识数量阈值时,进行预警。
4.根据权利要求3所述的一种基于管理使用审计安全的计算机防护方法,其特征在于:所述当第二类别计算机检测到用户启动计算机并使用优盘时,基于用户的基础数据库及其参考数据库和留证数据库,对比用户在第一类别计算机上使用优盘的审计日志数据差异并作出预警响应,包括以下过程:
当用户启动第二类别计算机并使用优盘时,基于用户的基础数据库获取用户此时的内源审计日志并判断优盘名称标识对应的审计日志数据;
若优盘名称标识对应的审计日志数据中包含第一认证记号或第二认证记号时,计算用户启动第二类别计算机时对应的内源审计日志的操作轨迹动态指数,以及优盘名称标识对应的审计日志数据中认证记号对应的平均操作轨迹动态指数,若操作轨迹动态指数大于等于平均操作轨迹动态指数,则对第二类别计算机进行预警响应,否则计算机继续监测;
若优盘名称标识对应的审计日志数据中包含可疑标识,将可疑标识对应的操作轨迹动态指数与用户启动第二类别计算机时对应的内源审计日志的操作轨迹动态指数进行比较,若可疑标识对应的操作轨迹动态指数大于第二类别计算机时对应的内源审计日志的操作轨迹动态指数,则计算机继续监测;若可疑标识对应的操作轨迹动态指数小于等于第二类别计算机时对应的内源审计日志的操作轨迹动态指数,则对第二类别计算机进行预警响应。
5.一种基于管理使用审计安全的计算机防护系统,其特征在于,所述计算机防护系统包括用户审计日志数据库、第一类别计算机检测模块、待比较图像提取模块、参考人脸图像比较模块、留证数据库存储判断模块和第二类别计算机分析模块;
所述用户审计日志数据库包括基础数据库、参考数据库和留证数据库;所述基础数据库用于预先存储用户的参考人脸图像、用户使用优盘的名称标识、以及用户的关联用户和存疑用户,参考数据库和留证数据库用于存储其相应的优盘名称标识所对应的审计日志数据;
所述第一类别计算机检测模块用于检测到用户启动计算机并使用优盘时,所述待比较图像提取模块提取该用户的人脸图像为待比较图像;所述第一类别计算机为多运营商出口的计算机;
所述参考人脸图像比较模块将待比较图像与用户提供的优盘名称标识所对应的参考人脸图像进行相似度比较;如果两者的相似度大于等于第一相似度阈值,将该次用户使用计算机所记录的审计日志数据存入基础数据库内,并将此次审计日志数据添加第一认证记号;如果两者的相似度小于第一相似度阈值,令所述留证数据库存储判断模块进行判断;
所述第二类别计算机分析模块检测到用户启动计算机并使用优盘时,基于用户的基础数据库及其参考数据库和留证数据库,对比用户在第一类别计算机上使用优盘的审计日志数据差异并作出预警响应,所述第二类别计算机为单运营商出口的计算机。
6.根据权利要求5所述的一种基于管理使用审计安全的计算机防护系统,其特征在于:所述第一类别计算机检测模块包括用户确定模块、审计日志数据提取模块、目标地址分析模块、关联指数计算模块和关系指数计算模块;
所述用户确定模块用于确定中心用户以及与中心用户相关的待分析用户;
所述审计日志数据提取模块用于提取用户打开计算机到插入优盘后两个不同阶段的审计日志数据;
所述目标地址分析模块用于分析审计日志数据中具有目的性的地址为目标地址;
所述关联指数计算模块用于根据中心用户的目标地址与待分析用户目标地址的相似度判断用户之间使用计算机的关联程度;
所述关系指数计算模块用于确定用户与待分析用户的关系,并将用户关系分析关联用户和存疑用户。
7.根据权利要求6所述的一种基于管理使用审计安全的计算机防护系统,其特征在于:所述留证数据库存储判断模块包括关联用户图像相似度比较模块和存疑用户图像相似度比较模块;
所述关联用户图像相似度比较模块用于分析优盘名称标识对应的关联用户图像与待比较图像进行相似度分析,若待比较图像与关联用户的人脸图像相似度大于等于第二相似度阈值,将关联用户的外源审计日志存入基础数据库,并添加第二认证记号。
所述存疑用户图像相似度比较模块用于分析优盘名称标识对应的存疑用户图像与待比较图像进行相似度分析,并计算外源审计日志的操作轨迹动态指数,判断是否存入存疑数据库,且对存入的数据添加可疑标识,对存入基础数据库的数据添加第二认证记号。
8.根据权利要求7所述的一种基于管理使用审计安全的计算机防护系统,其特征在于:所述第二类别计算机分析模块包括数据对比模块和预警响应模块;
所述数据对比模块用于在启动第二类别计算机并使用优盘时,参考用户的基础数据库获取用户此时的内源审计日志并判断优盘名称标识对应的审计日志数据;所述数据对比模块比较审计日志数据中包含第一认证记号或第二认证记号情况的操作轨迹动态指数,以及包含可疑标识情况的操作轨迹动态指数;
所述预警响应模块用于在审计日志数据中包含第一认证记号或第二认证记号情况时,分析操作轨迹动态指数并做出预警响应;以及在审计日志数据中包含可疑标识情况时分析操作轨迹动态指数并做出预警响应。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210869700.9A CN115238324B (zh) | 2022-07-22 | 2022-07-22 | 一种基于管理使用审计安全的计算机防护系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210869700.9A CN115238324B (zh) | 2022-07-22 | 2022-07-22 | 一种基于管理使用审计安全的计算机防护系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115238324A true CN115238324A (zh) | 2022-10-25 |
| CN115238324B CN115238324B (zh) | 2023-03-28 |
Family
ID=83675428
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210869700.9A Active CN115238324B (zh) | 2022-07-22 | 2022-07-22 | 一种基于管理使用审计安全的计算机防护系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115238324B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101395626A (zh) * | 2004-04-16 | 2009-03-25 | Mobot公司 | 基于视觉提示的移动查询系统和方法 |
| US20140270410A1 (en) * | 2013-03-15 | 2014-09-18 | Sky Socket, Llc | Facial capture managing access to resources by a device |
| CN109344588A (zh) * | 2018-09-03 | 2019-02-15 | 平安科技(深圳)有限公司 | 安全认证方法及终端设备 |
| CN110222525A (zh) * | 2019-05-14 | 2019-09-10 | 新华三大数据技术有限公司 | 数据库操作审计方法、装置、电子设备及存储介质 |
| CN111325581A (zh) * | 2020-02-27 | 2020-06-23 | 腾讯科技(深圳)有限公司 | 数据处理方法及装置、电子设备和计算机可读存储介质 |
| CN113468194A (zh) * | 2021-07-02 | 2021-10-01 | 广东蕾特恩科技发展有限公司 | 一种基于大数据的客户关系管理数据更新系统及方法 |
| CN113689648A (zh) * | 2021-08-25 | 2021-11-23 | 深圳市润立方科技有限公司 | 一种基于物联网的智慧社区安防管理系统及方法 |
| CN113869115A (zh) * | 2021-08-25 | 2021-12-31 | 深圳市晓舟科技有限公司 | 一种人脸图像处理的方法及系统 |
| CN113938827A (zh) * | 2021-10-18 | 2022-01-14 | 浙江商汤科技开发有限公司 | 通讯号码使用者的验证方法、装置、设备及存储介质 |
| CN113971831A (zh) * | 2021-11-22 | 2022-01-25 | 武汉虹信技术服务有限责任公司 | 一种动态更新的人脸识别方法、装置及电子设备 |
| CN114666786A (zh) * | 2020-12-04 | 2022-06-24 | 中国联合网络通信集团有限公司 | 一种基于电信智能卡的身份认证方法及系统 |
-
2022
- 2022-07-22 CN CN202210869700.9A patent/CN115238324B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101395626A (zh) * | 2004-04-16 | 2009-03-25 | Mobot公司 | 基于视觉提示的移动查询系统和方法 |
| US20140270410A1 (en) * | 2013-03-15 | 2014-09-18 | Sky Socket, Llc | Facial capture managing access to resources by a device |
| CN109344588A (zh) * | 2018-09-03 | 2019-02-15 | 平安科技(深圳)有限公司 | 安全认证方法及终端设备 |
| CN110222525A (zh) * | 2019-05-14 | 2019-09-10 | 新华三大数据技术有限公司 | 数据库操作审计方法、装置、电子设备及存储介质 |
| CN111325581A (zh) * | 2020-02-27 | 2020-06-23 | 腾讯科技(深圳)有限公司 | 数据处理方法及装置、电子设备和计算机可读存储介质 |
| CN114666786A (zh) * | 2020-12-04 | 2022-06-24 | 中国联合网络通信集团有限公司 | 一种基于电信智能卡的身份认证方法及系统 |
| CN113468194A (zh) * | 2021-07-02 | 2021-10-01 | 广东蕾特恩科技发展有限公司 | 一种基于大数据的客户关系管理数据更新系统及方法 |
| CN113689648A (zh) * | 2021-08-25 | 2021-11-23 | 深圳市润立方科技有限公司 | 一种基于物联网的智慧社区安防管理系统及方法 |
| CN113869115A (zh) * | 2021-08-25 | 2021-12-31 | 深圳市晓舟科技有限公司 | 一种人脸图像处理的方法及系统 |
| CN113938827A (zh) * | 2021-10-18 | 2022-01-14 | 浙江商汤科技开发有限公司 | 通讯号码使用者的验证方法、装置、设备及存储介质 |
| CN113971831A (zh) * | 2021-11-22 | 2022-01-25 | 武汉虹信技术服务有限责任公司 | 一种动态更新的人脸识别方法、装置及电子设备 |
Non-Patent Citations (2)
| Title |
|---|
| 侯保卫: "监控视频图像中特走人物检索与跟踪系统研究与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
| 贾佳: "大数据时代的个人隐私信息安全研究", 《中国优秀硕士学位论文全文数据库社会科学Ⅰ辑》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115238324B (zh) | 2023-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111277606B (zh) | 检测模型训练方法、检测方法及装置、存储介质 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN110351248B (zh) | 一种基于智能分析和智能限流的安全防护方法及装置 | |
| CN110291536A (zh) | 用于防止对象特定图像域中的数据丢失的结构化文本和图案匹配 | |
| CN112491779B (zh) | 一种异常行为检测方法及装置、电子设备 | |
| CN113132311B (zh) | 异常访问检测方法、装置和设备 | |
| CN113098887A (zh) | 一种基于网站联合特征的钓鱼网站检测方法 | |
| CN108337269A (zh) | 一种WebShell检测方法 | |
| EP2290579B1 (en) | Non-sensitive-passage database for cut-and-paste attack detection systems | |
| CN112199677A (zh) | 一种数据处理方法和装置 | |
| CN112839014A (zh) | 建立识别异常访问者模型的方法、系统、设备及介质 | |
| CN112200196A (zh) | 钓鱼网站检测方法、装置、设备及计算机可读存储介质 | |
| CN114760106A (zh) | 网络攻击的确定方法、系统、电子设备及存储介质 | |
| CN114692593A (zh) | 一种网络信息安全监测预警方法 | |
| CN112287345B (zh) | 基于智能风险检测的可信边缘计算系统 | |
| KR20200045657A (ko) | 인공지능 기반의 팩트 체크 가이드라인을 이용한 가짜 뉴스 판별 시스템 | |
| CN115238324B (zh) | 一种基于管理使用审计安全的计算机防护系统及方法 | |
| CN112016317A (zh) | 基于人工智能的敏感词识别方法、装置及计算机设备 | |
| CN116455623A (zh) | 基于大数据识别技术的计算机信息安全共享系统及方法 | |
| Izergin et al. | Risk assessment model of compromising personal data on mobile devices | |
| CN115688107A (zh) | 一种涉诈app检测系统和方法 | |
| Saha et al. | Mobile device and social media forensic analysis: impacts on cyber-crime | |
| Franchina et al. | Detecting phishing e-mails using Text Mining and features analysis | |
| CN112712423A (zh) | 疑似非法集资项目判断方法、装置、计算机设备与存储介质 | |
| Liao et al. | Evidential reasoning for forensic readiness |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |