CN115242419A - 一种计算机网络安全异常操作拦截方法 - Google Patents
一种计算机网络安全异常操作拦截方法 Download PDFInfo
- Publication number
- CN115242419A CN115242419A CN202210131362.9A CN202210131362A CN115242419A CN 115242419 A CN115242419 A CN 115242419A CN 202210131362 A CN202210131362 A CN 202210131362A CN 115242419 A CN115242419 A CN 115242419A
- Authority
- CN
- China
- Prior art keywords
- behavior
- user
- time
- rule
- normal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 55
- 238000000034 method Methods 0.000 title claims abstract description 38
- 239000012634 fragment Substances 0.000 claims abstract description 7
- 238000012544 monitoring process Methods 0.000 claims abstract description 4
- 230000006399 behavior Effects 0.000 claims description 97
- 238000012550 audit Methods 0.000 claims description 3
- 239000000284 extract Substances 0.000 claims description 3
- 230000000737 periodic effect Effects 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种计算机网络安全异常操作拦截方法,涉及计算机安全技术领域。本发明包括以下步骤,S1、根据用户日常操作习惯、常用IP地址以及常用登录时间预设行为模式习惯库,对登录的用户账号IP地址以及登录时间与行为模式习惯库进行比对,对不符合的账号进行实时监听;S2、对账号不符合日常操作习惯的操作行为进行截取,所述操作行为为时段性的操作片段过程;S3、将待检测账号操作行为生成用户行为规则与用户正常行为规则库中的规则相匹配。本发明通过对每位用户的常用IP地址以及常用时间进行记录,并在每次登录过程中与记录的信息进行比对,这样能够最大程度的防止账号被盗取。
Description
技术领域
本发明属于计算机安全技术领域,特别是涉及一种计算机网络安 全异常操作拦截方法。
背景技术
在社会和国家层面上,作为“互联网+”时代的金矿,数据已经 渗透到当今每一个行业和业务职能领域,将成为重要的生产因素、基 础性资源、战略性资源和重要生产力;在数据化的发展趋势下,数据 安全也面临更严重的问题,因此在计算机网络中需要针对一些恶意异 常操作进行拦截,以保证数据网络的安全性。
目前的网络安全系统在用户使用过程中频繁对异常操作信息进 行拦截,但是一些正常用户不小心访问到了平时不访问的敏感信息, 或者将一些信息进行删除,这时网络安全系统也对此次操作进行拦截, 这样造成的误拦截对用户使用有很大的限制性,并且一些盗取了正常 用户账号的不法分子通过正常账号对数据库进行破坏,造成安全系统 的拦截负担。
现有的计算机网络安全系统在对误操作的一些操作行为也进行 拦截,使得用户使用局限性变高,并且被盗取的正常账号容易对数据 库造成破坏,为此我们提供一种计算机网络安全异常操作拦截方法。
发明内容
本发明的目的在于提供一种计算机网络安全异常操作拦截方法, 解决现有的计算机网络安全系统在对误操作的一些操作行为也进行 拦截,使得用户使用局限性变高,并且被盗取的正常账号容易对数据 库造成破坏的问题。
为解决上述技术问题,本发明是通过以下技术方案实现的:
本发明为一种计算机网络安全异常操作拦截方法,包括以下步骤:
S1、根据用户日常操作习惯、常用IP地址以及常用登录时间预 设行为模式习惯库,对登录的用户账号IP地址以及登录时间与行为 模式习惯库进行比对,对不符合的账号进行实时监听;
S2、对账号不符合日常操作习惯的操作行为进行截取,所述操作 行为为时段性的操作片段过程;
S3、将待检测账号操作行为生成用户行为规则与用户正常行为规 则库中的规则相匹配;
S4、根据匹配的结果生成风险由低到高1-5挡的异常操作报告, 发送至管理员账号,管理员对高风险异常操作行为进行拦截。
优选的,所述行为模式习惯库提取审计记录中的信息,使用一组 特征表示出该用户的日常操作习惯。
优选的,所述步骤S1中不符合常用IP地址以及常用登录时间的 用户账号在正常使用过程中实时与行为模式习惯库中的日常操作习 惯比对,若未出现异常操作行为,使用结束后将此次登录的IP地址 以及登录时间进行记录归档。
优选的,所述步骤S2中提到的时段性的操作片段过程为每规定 时段内的信息截取。
优选的,所述步骤S3中如果生成的行为规则匹配正常行为规则, 则此次操作行为是正常操作,如果不能匹配用户正常行为规则,则说 明此次操作行为为异常操作。
优选的,对于正常操作,将匹配成功的行为记录存入历史行为记 录中,使历史行为记录得到更新,以便行为模式习惯库更新时能够提 取最新的反映用户操作习惯的规则;对于异常操作,将匹配不成功的 用户行为记录,系统将发出警报,把告警信息存档,告警信息中包括 此次用户登录的IP地址、使用时间以及相关操作行为数据。
优选的,所述管理员对告警信息进行处理,甄别系统中给出的异 常操作是否需要更正,若认为发出的警报是误操作,系统自动将重新 改写此次操作行为,标记为正常操作行为。
优选的,定期对用户正常行为规则库进行更新,保证规则库中的 规则能够更加准确的反应用户操作习惯,同时使得管理员给予的反馈 及时得到体现。
本发明具有以下有益效果:
1、本发明通过设置行为模式习惯库,对每位用户的常用IP地址 以及常用时间进行记录,并在每次登陆过程中与记录的信息进行比对, 这样能够最大程度的防止账号被盗取,若出现异常登陆地址以及异常 登陆时间,则会对使用全过程进行监听,以保证出现异常操作行为能 够第一时间侦查到此次行为,降低对网络数据库的损伤;同时在行为 模式习惯库中对用户的使用操作行为习惯进行记录,使用过程中将用 户实时操作行为与操作行为习惯进行匹配,判断是否为异常操作,针 对异常操作行为进行拦截。
2、本发明通过将系统中异常操作行为进行风险等级分级,并通 过管理员对高风险的操作行为进行判定是否进行拦截,经过对异常操 作行为的层层筛选过滤,极大的减少了异常操作的筛选数目,剩下极 少数的高风险异常操作行为通过人工进行拦截,能够有效的判断是否 为误操作,降低用户使用的局限性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描 述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图 仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付 出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提出的计算机网络安全异常操作拦截方法的工作 流程图。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明 白了解,下面结合具体实施方式,进一步阐述本发明。
在本发明的描述中,需要说明的是,术语“上”、“下”、“内”、 “外”“前端”、“后端”、“两端”、“一端”、“另一端”等指示的方位 或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本 发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定 的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。 此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或 暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定, 术语“安装”、“设置有”、“连接”等,应做广义理解,例如“连接”, 可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械 连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接 相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言, 可以具体情况理解上述术语在本发明中的具体含义。
参阅图1,本发明为一种计算机网络安全异常操作拦截方法,包 括以下步骤:
S1、根据用户日常操作习惯、常用IP地址以及常用登录时间预 设行为模式习惯库,对登录的用户账号IP地址以及登录时间与行为 模式习惯库进行比对,对不符合的账号进行实时监听;
S2、对账号不符合日常操作习惯的操作行为进行截取,所述操作 行为为时段性的操作片段过程;
S3、将待检测账号操作行为生成用户行为规则与用户正常行为规 则库中的规则相匹配;
S4、根据匹配的结果生成风险由低到高1-5挡的异常操作报告, 发送至管理员账号,管理员对高风险异常操作行为进行拦截。
在本实施方式中,所述行为模式习惯库提取审计记录中的信息, 使用一组特征表示出该用户的日常操作习惯。
在本实施方式中,所述步骤S1中不符合常用IP地址以及常用登 录时间的用户账号在正常使用过程中实时与行为模式习惯库中的日 常操作习惯比对,若未出现异常操作行为,使用结束后将此次登录的 IP地址以及登录时间进行记录归档。
在本实施方式中,所述步骤S2中提到的时段性的操作片段过程 为每规定时段内的信息截取。
在本实施方式中,所述步骤S3中如果生成的行为规则匹配正常 行为规则,则此次操作行为是正常操作,如果不能匹配用户正常行为 规则,则说明此次操作行为为异常操作。
在本实施方式中,对于正常操作,将匹配成功的行为记录存入历 史行为记录中,使历史行为记录得到更新,以便行为模式习惯库更新 时能够提取最新的反映用户操作习惯的规则;对于异常操作,将匹配 不成功的用户行为记录,系统将发出警报,把告警信息存档,告警信 息中包括此次用户登录的IP地址、使用时间以及相关操作行为数据。
在本实施方式中,所述管理员对告警信息进行处理,甄别系统中 给出的异常操作是否需要更正,若认为发出的警报是误操作,系统自 动将重新改写此次操作行为,标记为正常操作行为。
在本实施方式中,定期对用户正常行为规则库进行更新,保证规 则库中的规则能够更加准确的反应用户操作习惯,同时使得管理员给 予的反馈及时得到体现。
假设用户行为记录总条数为N,D为检测结果中某部分记录的条 数,A表示异常行为,N表示正常行为,D(A→A),D(A→N),D(N →N),D(N→A)的含义如下:
D(A→A):被判别为异常的异常操作的记录条数,即TP;
D(A→N):被判别为正常的异常操作的记录条数,即FN;
D(N→N):被判别为正常的正常操作的记录条数,即TN;
D(N→A):被判别为异常的正常操作的记录条数,即FP。
所以,N=D(A→A)+D(A→N)+D(N→N)+D(N→A)。
定义1:测率(TPR)表示用户行为记录中异常操作被标记为异常 的比率,即:
定义2:报率(FPR)表示用户行为记录中正常操作被标记为异常 的比率,即:
定义3:报率(FNR)表示用户行为记录中异常操作被标记为正常 的比率,即:
定义4:确率(Precision)表示用户行为记录中被标记为异常 的记录中真正是异常操作的比率,即: 
以上显示和描述了本发明的基本原理和主要特征和本发明的优 点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上 述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明 精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改 进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权 利要求书及其等效物界定。
Claims (8)
1.一种计算机网络安全异常操作拦截方法,其特征在于:包括以下步骤:
S1、根据用户日常操作习惯、常用IP地址以及常用登录时间预设行为模式习惯库,对登录的用户账号IP地址以及登录时间与行为模式习惯库进行比对,对不符合的账号进行实时监听;
S2、对账号不符合日常操作习惯的操作行为进行截取,所述操作行为为时段性的操作片段过程;
S3、将待检测账号操作行为生成用户行为规则与用户正常行为规则库中的规则相匹配;
S4、根据匹配的结果生成风险由低到高1-5挡的异常操作报告,发送至管理员账号,管理员对高风险异常操作行为进行拦截。
2.根据权利要求1所述的一种计算机网络安全异常操作拦截方法,其特征在于,所述行为模式习惯库提取审计记录中的信息,使用一组特征表示出该用户的日常操作习惯。
3.根据权利要求2所述的一种计算机网络安全异常操作拦截方法,其特征在于,所述步骤S1中不符合常用IP地址以及常用登录时间的用户账号在正常使用过程中实时与行为模式习惯库中的日常操作习惯比对,若未出现异常操作行为,使用结束后将此次登录的IP地址以及登录时间进行记录归档。
4.根据权利要求3所述的一种计算机网络安全异常操作拦截方法,其特征在于,所述步骤S2中提到的时段性的操作片段过程为每规定时段内的信息截取。
5.根据权利要求4所述的一种计算机网络安全异常操作拦截方法,其特征在于,所述步骤S3中如果生成的行为规则匹配正常行为规则,则此次操作行为是正常操作,如果不能匹配用户正常行为规则,则说明此次操作行为为异常操作。
6.根据权利要求5所述的一种计算机网络安全异常操作拦截方法,其特征在于,对于正常操作,将匹配成功的行为记录存入历史行为记录中,使历史行为记录得到更新,以便行为模式习惯库更新时能够提取最新的反映用户操作习惯的规则;对于异常操作,将匹配不成功的用户行为记录,系统将发出警报,把告警信息存档,告警信息中包括此次用户登录的IP地址、使用时间以及相关操作行为数据。
7.根据权利要求6所述的一种计算机网络安全异常操作拦截方法,其特征在于,所述管理员对告警信息进行处理,甄别系统中给出的异常操作是否需要更正,若人为发出的警报是误操作,系统自动将重新改写此次操作行为,标记为正常操作行为。
8.根据权利要求7所述的一种计算机网络安全异常操作拦截方法,其特征在于,定期对用户正常行为规则库进行更新,保证规则库中的规则能够更加准确的反应用户操作习惯,同时使得管理员给予的反馈及时得到体现。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210131362.9A CN115242419A (zh) | 2022-02-14 | 2022-02-14 | 一种计算机网络安全异常操作拦截方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210131362.9A CN115242419A (zh) | 2022-02-14 | 2022-02-14 | 一种计算机网络安全异常操作拦截方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115242419A true CN115242419A (zh) | 2022-10-25 |
Family
ID=83667973
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210131362.9A Withdrawn CN115242419A (zh) | 2022-02-14 | 2022-02-14 | 一种计算机网络安全异常操作拦截方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115242419A (zh) |
-
2022
- 2022-02-14 CN CN202210131362.9A patent/CN115242419A/zh not_active Withdrawn
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6347374B1 (en) | Event detection | |
| US7815106B1 (en) | Multidimensional transaction fraud detection system and method | |
| US8745759B2 (en) | Associated with abnormal application-specific activity monitoring in a computing network | |
| US11902307B2 (en) | Method and apparatus for network fraud detection and remediation through analytics | |
| CN110581827B (zh) | 一种针对于暴力破解的检测方法及装置 | |
| CN108989150A (zh) | 一种登录异常检测方法及装置 | |
| CN112184091B (zh) | 工控系统安全威胁评估方法、装置和系统 | |
| JP2005526311A (ja) | データベースシステムを監視するための方法および装置 | |
| US7472282B1 (en) | Illegal access discriminating apparatus and method | |
| US11765116B2 (en) | Method for electronic impersonation detection and remediation | |
| CN111835737B (zh) | 基于自动学习的web攻击防护方法、及其相关设备 | |
| CN115859345A (zh) | 一种基于区块链的数据访问管理方法和系统 | |
| KR101666791B1 (ko) | 중요정보 부정사용 예지보안 방법 및 이를 위한 시스템 | |
| CN117478441B (zh) | 基于用户行为智能分析的动态访问控制方法及系统 | |
| CN116915515B (zh) | 用于工控网络的访问安全控制方法及系统 | |
| CN116453247B (zh) | 基于物联网技术的智能锁控制系统 | |
| JP4843546B2 (ja) | 情報漏洩監視システムおよび情報漏洩監視方法 | |
| CN117131534B (zh) | 一种基于区块链的涉密文档安全管控方法 | |
| KR101200907B1 (ko) | Query에 대한 데이터베이스 응답값 분석 및 이상 징후 탐지를 이용한 개인정보 유출 방지 시스템 및 유출 방지 방법 | |
| CN115242419A (zh) | 一种计算机网络安全异常操作拦截方法 | |
| CN115801307A (zh) | 一种利用服务器日志进行端口扫描检测的方法和系统 | |
| CN106815120B (zh) | 嵌入式日志管理系统和方法 | |
| CN110955884B (zh) | 密码试错的上限次数的确定方法和装置 | |
| CN115085956A (zh) | 入侵检测方法、装置、电子设备及存储介质 | |
| CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20221025 |
|
| WW01 | Invention patent application withdrawn after publication |