CN116070193A - 一种运维人员权限审计方法、系统及存储介质 - Google Patents
一种运维人员权限审计方法、系统及存储介质 Download PDFInfo
- Publication number
- CN116070193A CN116070193A CN202211725322.3A CN202211725322A CN116070193A CN 116070193 A CN116070193 A CN 116070193A CN 202211725322 A CN202211725322 A CN 202211725322A CN 116070193 A CN116070193 A CN 116070193A
- Authority
- CN
- China
- Prior art keywords
- authority
- data
- audit
- maintenance
- learning model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/103—Workflow collaboration or project management
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/50—Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Strategic Management (AREA)
- Software Systems (AREA)
- Entrepreneurship & Innovation (AREA)
- Quality & Reliability (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Business, Economics & Management (AREA)
- Operations Research (AREA)
- Marketing (AREA)
- Tourism & Hospitality (AREA)
- Economics (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种运维人员权限审计方法、系统及存储介质,方法包括:获取采集数据;对采集数据进行数据预处理,得到数据集;利用改进的H‑mine算法,对数据集进行循环遍历的递进分区,获得基本参考点;以及生成审计规则库,并构建无监督学习模型;响应于权限申请,通过无监督学习模型分析得到权限申请的审计结果。本申请通过基于改进的H‑mine算法建立无监督学习模型,实现审计的自动化分析,有效解决权限申请的审核工作量巨大的问题,大大降低了账号管理员的工作量;并且通过分析出权限的基本参考点,进而基于无监督学习模型的分析结果实现对权限请求的精确区分,能够避免高权限泛滥,预防潜在的危害,很好的履行了生产运维管控职责要求。
Description
技术领域
本申请涉及运维管理技术领域,尤其涉及一种运维人员权限审计方法、系统及存储介质。
背景技术
随着通信技术的不断发展和进步,业务应用、办公系统被广泛投入使用,信息管理系统在企业的运营中至关重要。随着电信企业信息化程度的不断提高,信息安全越来越受到电信企业的重视,对信息的依赖程度也随之增加,企业内部信息安全和客户信息安全应十分关注,一个企业的安全,可以让客户对企业保留足够的信任,不断増加客户。从而促进企业快速发展、业务快速增长。由于运维人员众多,系统管理员压力太大等因素,越权访问、误操作、肆意破坏等情况时有发生,这严重影响企业的日常工作和运行。如何提高系统运维管理水平,更好的跟踪服务器上用户的操作行为,为运维权限提供控制和审计依据,是企业关心的问题。
目前的运维管理通常是通过运维人员来操作,并对运维人员进行不同的权限限制以实现运维的管控,通常运维人员通过运维管理系统进行运维时,通过分配的设备范围、登录账号、指定的命令等方式进行运维,现有技术中使用4A管理平台进行运维人员的权限管理,4A平台为融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理系统。
但是由于近年来企业用户的业务系统规模越来越壮大,用户数量飞速增长,网络规模迅速扩大,现有的管理系统已经满足不了企业发展需要,存在问题如下:(1)审核管理人员在面对大量的权限申请时,无法精确的分析出哪些是超标权限,很难从应对大量的申请需求,花费大量的人工时间。(2)审核效果难以保障,现有的管理系统在面对安全审计工作或在预防安全事件发生方面存在很大问题,同时还容易导致业务部门和管理部门的纠纷。
因此,如何实现高效、精确的运维管理是一个亟需解决的问题。
发明内容
本申请旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本申请提出一种运维人员权限审计方法、装置及存储介质。
一方面,本申请实施例提供了一种运维人员权限审计方法,包括:
获取采集数据;其中,采集数据包括日志数据和账号数据;
对采集数据进行数据预处理,得到数据集;
利用改进的H-mine算法,对数据集进行循环遍历的递进分区,获得基本参考点;以及生成审计规则库,并构建无监督学习模型;
响应于权限申请,通过无监督学习模型分析得到权限申请的审计结果。
可选地,获取采集数据,包括:
获取目标对象的操作行为的日志数据,和,目标对象关联的账号数据;
其中,账号数据包括账号名称、工作岗位、入职时间和账号权限清单。
可选地,对数据集进行循环遍历的递进分区,获得基本参考点,包括:
遍历数据集,统计获得频繁1项集;
基于频繁1项集,生成频繁项投影;
将频繁1项集以预设格式表示,得到FlistHStruct;
对FlistHStruct进行升序,并基于目标数据项进行频繁项连接,和,对数据集进行分区;
对数据集的分区进行循环遍历,并进行二次分区;
对二次分区后的各个分区进行频繁项合并,生成目标频繁项集,根据目标频繁项集确定基本参考点。
可选地,响应于权限申请,通过无监督学习模型分析得到权限申请的审计结果,包括:
响应于运维人员的权限申请,确定新增权限;
通过无监督学习模型确定运维人员拥有权限的目标基本参考点;
根据新增权限与目标基本参考点进行对比,得到审计结果;
其中,审计结果包括权限正常和权限超标。
可选地,还包括:
基于审计规则库的维护操作,对无监督学习模型进行更新优化;
其中,维护操作包括规则的添加、规则的删除和规则的更新。
可选地,还包括:
基于业务访问,在访问入口处利用数据库审计进行审计处理,通过交换机镜像的方式对网络数据包进行分析;
基于运维操作,在运维区域出口利用堡垒机,在身份认证的基础上进行权限控制和操作审计。
另一方面,本申请实施例提供了一种运维人员权限审计系统,包括:
数据采集模块,用于获取采集数据;其中,采集数据包括日志数据和账号数据;
预处理采集模块,用于对采集数据进行数据预处理,得到数据集;
模型建立模块,用于利用改进的H-mine算法,对数据集进行循环遍历的递进分区,获得基本参考点;以及生成审计规则库,并构建无监督学习模型;
鉴权模块,用于响应于权限申请,通过无监督学习模型分析得到权限申请的审计结果。
可选地,还包括:
模型优化模块,用于基于审计规则库的维护操作,对无监督学习模型进行更新优化;
其中,维护操作包括规则的添加、规则的删除和规则的更新。
可选地,还包括:
审计部署模块,用于基于业务访问,在访问入口处利用数据库审计进行审计处理,通过交换机镜像的方式对网络数据包进行分析;
以及,基于运维操作,在运维区域出口利用堡垒机,在身份认证的基础上进行权限控制和操作审计。
另一方面,本申请实施例提供了一种运维人员权限审计装置,包括:处理器以及存储器;存储器用于存储程序;处理器执行程序实现上述运维人员权限审计方法。
另一方面,本申请实施例提供了一种计算机存储介质,其中存储有处理器可执行的程序,处理器可执行的程序在由处理器执行时用于实现上述运维人员权限审计方法。
本申请实施例首先获取采集数据;其中,采集数据包括日志数据和账号数据;然后对采集数据进行数据预处理,得到数据集;并利用改进的H-mine算法,对数据集进行循环遍历的递进分区,获得基本参考点;以及生成审计规则库,并构建无监督学习模型;最终响应于权限申请,通过无监督学习模型分析得到权限申请的审计结果。本申请通过基于改进的H-mine算法建立无监督学习模型,实现审计的自动化分析,有效解决权限申请的审核工作量巨大的问题,大大降低了账号管理员的工作量;并且通过分析出权限的基本参考点,进而基于无监督学习模型的分析结果实现对权限请求的精确区分,能够避免高权限泛滥,预防潜在的危害,很好的履行了生产运维管控职责要求。
附图说明
附图用来提供对本申请技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本申请的技术方案,并不构成对本申请技术方案的限制。
图1是本申请实施例提供的一种运维人员权限审计方法的流程示意图;
图2为本申请实施例提供的另一种运维人员权限审计方法的流程示意图;
图3为本申请实施例提供的利用改进H-mine算法处理数据集的流程示意图;
图4为本申请实施例提供的运维人员权限审计系统的结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
需要说明的是,虽然在系统示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于系统中的模块划分,或流程图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“S100/S1”、“S200/S2”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例提供了一种运维人员权限审计方法、系统及存储介质,如图1所示,该方法包括:
S100、获取采集数据;其中,采集数据包括日志数据和账号数据;
需要说明的是,一些实施例中,获取目标对象的操作行为的日志数据,和,目标对象关联的账号数据;其中,账号数据包括账号名称、工作岗位、入职时间和账号权限清单。
具体地,如图2的S1,进行数据采集,采集包括日志数据和账号数据,其中日志数据来自用户(即目标对象)的操作行为的日志数据,账号数据指的是用户账号名称、工作岗位、入职时间,当前账号权限清单等账号相关数据。
S200、对采集数据进行数据预处理,得到数据集;
具体地,如图2的S2,对采集数据进行预处理;该预处理操作包括数据清洗及归一化。
其中,常见的日志数据当中存在大量异常符号,需要进行过滤,保留有用信息。
S300、利用改进的H-mine算法,对数据集进行循环遍历的递进分区,获得基本参考点;以及生成审计规则库,并构建无监督学习模型;
需要说明的是,一些实施例中,遍历数据集,统计获得频繁1项集;基于频繁1项集,生成频繁项投影;将频繁1项集以预设格式表示,得到FlistHStruct;对FlistHStruct进行升序,并基于目标数据项进行频繁项连接,和,对数据集进行分区;对数据集的分区进行循环遍历,并进行二次分区;对二次分区后的各个分区进行频繁项合并,生成目标频繁项集,根据目标频繁项集确定基本参考点
其中,还需要说明的是,目前,挖掘频繁项集主要包括Apriori算法、FPGrowth算法和H-mine算法等。Apriori算法是一种经典的频繁项集挖掘算法,Apriori的缺点是需要多次扫描数据库。FPGrowth是一种基于内存计算的算法,它只需扫描两遍数据库就可得出所有的频繁项,FPGrowth算法通过构建FPtree来存储数据,再扫描FPtree来得到所有的频繁项。但是,当数据规模特别大且稀疏时,构建基于内存的FPtree是特别困难的。H-mine算法克服了FPGrowth算法的缺点,它是一种基于内存、高效的频繁项集挖掘算法,它采用新的数据结构H-Struct来存储数据,是一种高性能的、可扩展的、空间开销有限且可预测的算法,并且在任何场景下的综合性能都优于Apriori和FPGrowth算法,因此,本申请引入H-mine算法建立数据分析模型。
具体地,如图2的S3,利用改进的H-mine算法,建立无监督学习模型;从运维人员岗位、负责系统、在岗时间、账号权限大小、每日运维合规性审计、管理因素以及日志数据等多维度分析出每个运维人员的权限的基本参考点。
其中,在安全审计过程中,规则的制定与生成对审计来说至关重要,它关系着审计的效率和审计的正确性。本申请利用改进H-mine算法挖掘出强关联规则,生成规则库,实现审计规则的动态更新,完善审计规则的准确性。如图3所示,利用改进H-mine算法处理数据集的具体步骤如下:
S31:遍历数据集,统计频繁1项集(F-list);
S32:以每行数据为单位,选出支持度不小于最小支持度的项,再将每行中的项升序排序,生成频繁项投影;
S33:将F-list以HStruct(即预设格式)表示(简称FlistHStruct),将FlistHStruct中按频繁项进行升序排序。依次遍历FlistHStruct中的频繁项,再遍历每一行,将每行中第一个数据项(即目标数据项)相同的频繁项依次连接起来,直到遍历完所有的FlistHStruct中的频繁项,根据第一个数据项对数据集进行分区;
S34:遍历分区,若分区已经遍历完成,则结束,否则转第S35步;
S35:遍历该分区中的数据集,统计分区中的频繁项,根据分区频繁项对分区数据集再进行分区;
S36:遍历分区,若分区已经遍历完,则判断循环数是否大于1,若大于1,则返回上层循环,否则循环完成该分区数据集重新分区,转第S34步;若分区没有遍历完,将上个分区数据集重新划分,转第S35步。
其中,为了能够快速地处理更大规模的数据,提高频繁项集的计算速度,本申请实施例将H-mine算法和并行运算相结合,将二次处理(即二次分区)FlistHStruct的最终结果(简称SecFlistHStruct)分区,保证每个分区挖掘的频繁项总个数近似相等,最后将各个分区挖掘的频繁项合并,生成最终的频繁项集(即目标频繁项集),其中分区方法是,将SecFlistHStruct频繁2项集的第一项划分到第一个分区,再将剩下的频繁2项集的其他项划分到第2个分区,然后将SecFlistHStruct频繁1项集的第一项划分到第3个分区,最后将剩下的频繁1项集的其他项划分到最后一个分区。当SecFlistHStruct频繁2项集项的总个数足够多的情况下,在一定程度上实现了负载均衡。最终,基于生成的目标频繁项集便能够得到每个运维人员的权限的基本参考点。
S400、响应于权限申请,通过无监督学习模型分析得到权限申请的审计结果;
需要说明的是,一些实施例中,响应于运维人员的权限申请,确定新增权限;通过无监督学习模型确定运维人员拥有权限的目标基本参考点;根据新增权限与目标基本参考点进行对比,得到审计结果;其中,审计结果包括权限正常和权限超标。
具体地,如图2的S4,对运维人员的权限申请进行鉴别;每名运维人员所拥有的权限已有相应的基本参考点,当运维人员再申请新增权限时,将自动与权限基本点相对比。一些具体实施例中,当发现超标权限时,会自动提醒审核人权限超标;还通过自动标明哪些是该权限申请的申请人对应的岗位常用权限、低权限、有助于审核人快速略过无风险权限,提高审核效率。
其中,经过无监督学习模型得到运维人员的日常工作时间、IP地址、工作内容、权限清单以及登录相关系统进行的操作。可以将此作为运营人员的一个强关联规则,保存到规则库。然后通过日志收集,实时的对采集得到的日志以及用户的权限申请与规则库进行匹配比较,若发现异常,如IP地址不匹配或者申请的权限超标,则可以分析出该运营人员有可能被盗号或者试图越权操作,此时需要向管理员发出提醒,管理员及时了解情况,针对不同情况做出相应决策,保证公司信息资料的安全。
其中,一些实施例中,还包括:基于审计规则库的维护操作,对无监督学习模型进行更新优化;其中,维护操作包括规则的添加、规则的删除和规则的更新。
具体地,如图2的S5,对建立的审计模型(即无监督学习模型)进行更新优化;对规则库进行维护,包括规则的査看、添加、删除和更新。当管理员发现了新的问题后可以将这种行为按照行为的有关特征,按照规则的行为属性,对其进行抽取形成新的规则,并将规则保存到规则库中并更新规则库。进而通过维护后的规则库对审计模型进行更新优化。例如,在系统的使用过程中,随着时间的推移及管理员对系统的安全维护,部分规则已经失去了存在的意义,例如当某人员离职时,那么对离职人员的审计规则就失去意义。如果此时无意义的规则还存在数据库中,不仅占用数据库的存储空间,在运行时还会占用系统内存,增加系统运行时的I/O开销,影响系统的运行速度,使得系统的整体性能不能完全的发挥,因此,需要对失去意义的规则进行删除。减少系统的开销,提升系统性能,如此往复,持续优化模型,不断提高准确率。
一些实施例中,还包括:基于业务访问,在访问入口处利用数据库审计进行审计处理,通过交换机镜像的方式对网络数据包进行分析;基于运维操作,在运维区域出口利用堡垒机,在身份认证的基础上进行权限控制和操作审计。
需要说明的是,在本申请实施例中用户的运维操作包括两种类型:一类是业务访问,也就是业务用户对业务系统的访问。这类访问频率高、交换数据量大,但业务用户的访问行为模式都被业务系统提前规范好,异常操作发生的概率小。对于此类访问的监管要求主要集中在事中审计和事后溯源上,且监管行为对业务系统的连续性和性能不能有太大影响。另外一类是运维操作,也就是运维人员针对服务器、网络设备等资源的维护和管理操作,这类操作的频率相对不高,但人为干预度高,误操作或者越权操作对后台资源的伤害非常大。对于此类操作的监管要求集中在事前授权和事中控制上,且监管行为对运维操作的少量影响也可被接受。
具体地,在本申请实施例中,针对业务访问,建议在用户访问入口处旁路部署以数据库审计为核心的审计模块,通过交换机镜像的方式提取网络数据包进行分析。针对运维操作,在运维区域出口部署堡垒机,在身份认证的基础上进行严格的权限控制和操作审计。身份认证是权限控制的基础,对于未经认证的非法用户,不允许进行后续操作。当用户取得合法身份后,审计系统对其进行相应的授权,堡垒机采用在线部署方式,在线的方式对于运维操作常用的加密协议可以有效解析,同时堡垒机承担数据包转发,可以对违规操作进行有效阻断。通过这种互补式的部署方案,实现审计与控制的完美结合,也保证了对企业核心数据访问的全面监控。
综上所述,本申请实施例本发明通过基于改进的H-mine算法的运维人员权限审计方法,以便减少账号管理员、应用系统管理员及其领导等各级审批人员的工作量,减少人员与资金的投入以及解决权限审核难的问题,本申请的有益效果在于:
(1)本申请基于改进的H-mine算法建立无监督学习模型,分析出运维人员基本参考点,然后据此分析运维人员新申请的权限是否符合要求,有效解决权限申请的审核工作量巨大的问题,大大降低了账号管理员的工作量,节约了人工,提升了管理效率,并可以很好的解决权限过大问题,避免高权限泛滥,预防潜在的危害,很好的履行了生产运维管控职责要求。
(2)对H-mine算法进行改进,能够快速地处理更大规模的数据,提高频繁项集的计算速度。
(3)针对业务访问,在访问入口处部署审计模块,这种完全旁路的部署方式,不会对现有网络数据传输造成任何影响,满足业务连续性要求,而针对运维操作,在运维出口处部署堡垒机,在身份认证的基础上进行权限控制和操作审计,承担数据包转发,可以对违规操作进行有效阻断。通过这种互补式的部署方案,实现审计与控制的完美结合,也保证了对企业核心数据访问的全面监控。
参照图4,本申请实施例提供了一种运维人员权限审计系统,包括:数据采集模块,用于获取采集数据;其中,采集数据包括日志数据和账号数据;预处理采集模块,用于对采集数据进行数据预处理,得到数据集;模型建立模块,用于利用改进的H-mine算法,对数据集进行循环遍历的递进分区,获得基本参考点;以及生成审计规则库,并构建无监督学习模型;鉴权模块,用于响应于权限申请,通过无监督学习模型分析得到权限申请的审计结果。具体地:
数据采集模块,用于进行数据采集,采集包括日志数据和账号数据,其中日志数据来自用户的操作行为的日志数据,账号数据指的是用户账号名称、工作岗位、入职时间,当前账号权限清单等账号相关数据。
预处理模块模块,用于对采集数据进行预处理,该预处理操作包括数据清洗及归一化。其中,常见的日志数据当中存在大量异常符号,需要进行过滤,保留有用信息。
模型建立模块,用于利用改进的H-mine算法,建立无监督学习模型,从运维人员岗位、负责系统、在岗时间、账号权限大小、每日运维合规性审计、管理因素以及日志数据等多维度分析出每个运维人员的权限的基本参考点。
其中,在安全审计过程中,规则的制定与生成对审计来说至关重要,它关系着审计的效率和审计的正确性。本发明利用改进H-mine算法挖掘出强关联规则,生成规则库,实现审计规则的动态更新,完善审计规则的准确性。利用改进H-mine算法处理数据集的具体步骤如下:
S31:遍历数据集,统计频繁1项集(F-list);
S32:以每行数据为单位,选出支持度不小于最小支持度的项,再将每行中的项升序排序,生成频繁项投影;
S33:将F-list以HStruct(即预设格式)表示(简称FlistHStruct),将FlistHStruct中按频繁项进行升序排序。依次遍历FlistHStruct中的频繁项,再遍历每一行,将每行中第一个数据项(即目标数据项)相同的频繁项依次连接起来,直到遍历完所有的FlistHStruct中的频繁项,根据第一个数据项对数据集进行分区;
S34:遍历分区,若分区已经遍历完成,则结束,否则转第S35步;
S35:遍历该分区中的数据集,统计分区中的频繁项,根据分区频繁项对分区数据集再进行分区;
S36:遍历分区,若分区已经遍历完,则判断循环数是否大于1,若大于1,则返回上层循环,否则循环完成该分区数据集重新分区,转第S34步;若分区没有遍历完,将上个分区数据集重新划分,转第S35步。
其中,为了能够快速地处理更大规模的数据,提高频繁项集的计算速度,本申请实施例将H-mine算法和并行运算相结合,将二次处理(即二次分区)FlistHStruct的最终结果(简称SecFlistHStruct)分区,保证每个分区挖掘的频繁项总个数近似相等,最后将各个分区挖掘的频繁项合并,生成最终的频繁项集(即目标频繁项集),其中分区方法是,将SecFlistHStruct频繁2项集的第一项划分到第一个分区,再将剩下的频繁2项集的其他项划分到第2个分区,然后将SecFlistHStruct频繁1项集的第一项划分到第3个分区,最后将剩下的频繁1项集的其他项划分到最后一个分区。当SecFlistHStruct频繁2项集项的总个数足够多的情况下,在一定程度上实现了负载均衡。最终,基于生成的目标频繁项集便能够得到每个运维人员的权限的基本参考点。
鉴权模块,用于对运维人员的权限申请进行鉴别,每名运维人员所拥有的权限已有相应的基本参考点,当运维人员再申请新增权限时,将自动与权限基本点相对比,发现超标权限时,系统会自动提醒审核人权限超标;系统自动标明哪些是该岗位常用权限、低权限、有助于审核人快速略过无风险权限,提高审核效率。
其中,经过无监督学习模型得到运维人员的日常工作时间、IP地址、工作内容、权限清单以及登录相关系统进行的操作。可以将此作为运营人员的一个强关联规则,保存到规则库。然后通过日志收集,实时的对采集得到的日志以及用户的权限申请与规则库进行匹配比较,若发现异常,如IP地址不匹配或者申请的权限超标,则可以分析出该运营人员有可能被盗号或者试图越权操作,此时需要向管理员发出提醒,管理员及时了解情况,针对不同情况做出相应决策,保证公司信息资料的安全。
一些实施例中,还包括:模型优化模块,用于基于审计规则库的维护操作,对无监督学习模型进行更新优化;其中,维护操作包括规则的添加、规则的删除和规则的更新。
具体地,模型优化模块,对建立的审计模型进行更新优化。对规则库进行维护,包括规则的査看、添加、删除和更新。当管理员发现了新的问题后可以将这种行为按照行为的有关特征,按照规则的行为属性,对其进行抽取形成新的规则,并将规则保存到规则库中并更新规则库。在系统的使用过程中,随着时间的推移及管理员对系统的安全维护,部分规则已经失去了存在的意义,例如当某人员离职时,那么对离职人员的审计规则就失去意义。如果此时无意义的规则还存在数据库中,不仅占用数据库的存储空间,在运行时还会占用系统内存,增加系统运行时的I/O开销,影响系统的运行速度,使得系统的整体性能不能完全的发挥,因此,需要对失去意义的规则进行删除。减少系统的开销,提升系统性能,如此往复,持续优化模型,不断提高准确率。
一些实施例中,还包括:审计部署模块,用于基于业务访问,在访问入口处利用数据库审计进行审计处理,通过交换机镜像的方式对网络数据包进行分析;以及,基于运维操作,在运维区域出口利用堡垒机,在身份认证的基础上进行权限控制和操作审计。
具体地,审计部署模块,用于进行审计模块的部署。首先需要说明的是,在本申请实施例中用户的运维操作包括两种类型:一类是业务访问,也就是业务用户对业务系统的访问。这类访问频率高、交换数据量大,但业务用户的访问行为模式都被业务系统提前规范好,异常操作发生的概率小。对于此类访问的监管要求主要集中在事中审计和事后溯源上,且监管行为对业务系统的连续性和性能不能有太大影响。另外一类是运维操作,也就是运维人员针对服务器、网络设备等资源的维护和管理操作,这类操作的频率相对不高,但人为干预度高,误操作或者越权操作对后台资源的伤害非常大。对于此类操作的监管要求集中在事前授权和事中控制上,且监管行为对运维操作的少量影响也可被接受。其中,针对业务访问,建议在用户访问入口处旁路部署以数据库审计为核心的审计模块,通过交换机镜像的方式提取网络数据包进行分析。针对运维操作,在运维区域出口部署堡垒机,在身份认证的基础上进行严格的权限控制和操作审计。身份认证是权限控制的基础,对于未经认证的非法用户,不允许进行后续操作。当用户取得合法身份后,审计系统对其进行相应的授权,堡垒机采用在线部署方式,在线的方式对于运维操作常用的加密协议可以有效解析,同时堡垒机承担数据包转发,可以对违规操作进行有效阻断。通过这种互补式的部署方案,实现审计与控制的完美结合,也保证了对企业核心数据访问的全面监控。
本申请方法实施例的内容均适用于本系统实施例,本系统实施例所具体实现的功能与上述方法实施例相同,并且达到的有益效果与上述方法达到的有益效果也相同。
本申请实施例还提供了一种运维人员权限审计装置,该装置包括至少一个处理器,还包括至少一个存储器,用于存储至少一个程序。
处理器和存储器可以通过总线或者其他方式连接。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件或其他非暂态固态存储器件。在一些实施方式中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至该装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
本申请实施例还公开了一种计算机存储介质,其中存储有处理器可执行的程序,处理器可执行的程序在由处理器执行时用于实现本申请提出的方法。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
以上是对本申请的较佳实施进行了具体说明,但本申请并不局限于上述实施方式,熟悉本领域的技术人员在不违背本申请精神的前提下还可作出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
Claims (10)
1.一种运维人员权限审计方法,其特征在于,包括:
获取采集数据;其中,所述采集数据包括日志数据和账号数据;
对所述采集数据进行数据预处理,得到数据集;
利用改进的H-mine算法,对所述数据集进行循环遍历的递进分区,获得基本参考点;以及生成审计规则库,并构建无监督学习模型;
响应于权限申请,通过所述无监督学习模型分析得到所述权限申请的审计结果。
2.根据权利要求1所述的运维人员权限审计方法,其特征在于,所述获取采集数据,包括:
获取目标对象的操作行为的日志数据,和,所述目标对象关联的账号数据;
其中,所述账号数据包括账号名称、工作岗位、入职时间和账号权限清单。
3.根据权利要求1所述的运维人员权限审计方法,其特征在于,所述对所述数据集进行循环遍历的递进分区,获得基本参考点,包括:
遍历所述数据集,统计获得频繁1项集;
基于所述频繁1项集,生成频繁项投影;
将所述频繁1项集以预设格式表示,得到FlistHStruct;
对所述FlistHStruct进行升序,并基于目标数据项进行频繁项连接,和,对所述数据集进行分区;
对所述数据集的分区进行循环遍历,并进行二次分区;
对所述二次分区后的各个分区进行频繁项合并,生成目标频繁项集,根据所述目标频繁项集确定基本参考点。
4.根据权利要求1所述的运维人员权限审计方法,其特征在于,所述响应于权限申请,通过所述无监督学习模型分析得到所述权限申请的审计结果,包括:
响应于运维人员的权限申请,确定新增权限;
通过所述无监督学习模型确定所述运维人员拥有权限的目标基本参考点;
根据所述新增权限与所述目标基本参考点进行对比,得到审计结果;
其中,所述审计结果包括权限正常和权限超标。
5.根据权利要求1所述的运维人员权限审计方法,其特征在于,还包括:
基于审计规则库的维护操作,对所述无监督学习模型进行更新优化;
其中,所述维护操作包括规则的添加、规则的删除和规则的更新。
6.根据权利要求1所述的运维人员权限审计方法,其特征在于,还包括:
基于业务访问,在访问入口处利用数据库审计进行审计处理,通过交换机镜像的方式对网络数据包进行分析;
基于运维操作,在运维区域出口利用堡垒机,在身份认证的基础上进行权限控制和操作审计。
7.一种运维人员权限审计系统,其特征在于,包括:
数据采集模块,用于获取采集数据;其中,所述采集数据包括日志数据和账号数据;
预处理采集模块,用于对所述采集数据进行数据预处理,得到数据集;
模型建立模块,用于利用改进的H-mine算法,对所述数据集进行循环遍历的递进分区,获得基本参考点;以及生成审计规则库,并构建无监督学习模型;
鉴权模块,用于响应于权限申请,通过所述无监督学习模型分析得到所述权限申请的审计结果。
8.根据权利要求7所述的运维人员权限审计系统,其特征在于,还包括:
模型优化模块,用于基于审计规则库的维护操作,对所述无监督学习模型进行更新优化;
其中,所述维护操作包括规则的添加、规则的删除和规则的更新。
9.根据权利要求7所述的运维人员权限审计系统,其特征在于,还包括:
审计部署模块,用于基于业务访问,在访问入口处利用数据库审计进行审计处理,通过交换机镜像的方式对网络数据包进行分析;
以及,基于运维操作,在运维区域出口利用堡垒机,在身份认证的基础上进行权限控制和操作审计。
10.一种计算机存储介质,其中存储有处理器可执行的程序,其特征在于,所述处理器可执行的程序在由所述处理器执行时用于实现如权利要求1至6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211725322.3A CN116070193A (zh) | 2022-12-30 | 2022-12-30 | 一种运维人员权限审计方法、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211725322.3A CN116070193A (zh) | 2022-12-30 | 2022-12-30 | 一种运维人员权限审计方法、系统及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116070193A true CN116070193A (zh) | 2023-05-05 |
Family
ID=86174203
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211725322.3A Pending CN116070193A (zh) | 2022-12-30 | 2022-12-30 | 一种运维人员权限审计方法、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116070193A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116644477A (zh) * | 2023-07-27 | 2023-08-25 | 恒丰银行股份有限公司 | 一种全流程权限运维管控方法、设备及介质 |
-
2022
- 2022-12-30 CN CN202211725322.3A patent/CN116070193A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116644477A (zh) * | 2023-07-27 | 2023-08-25 | 恒丰银行股份有限公司 | 一种全流程权限运维管控方法、设备及介质 |
| CN116644477B (zh) * | 2023-07-27 | 2023-09-26 | 恒丰银行股份有限公司 | 一种全流程权限运维管控方法、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10339309B1 (en) | System for identifying anomalies in an information system | |
| CN104063756A (zh) | 远程用电信息控制系统 | |
| CN105139139A (zh) | 用于运维审计的数据处理方法和装置及系统 | |
| US11481478B2 (en) | Anomalous user session detector | |
| CN114003943B (zh) | 一种用于机房托管管理的安全双控管理平台 | |
| CN114363352B (zh) | 基于区块链的物联网系统跨链交互方法 | |
| US12056225B2 (en) | System for face authentication and method for face authentication | |
| CN111353172B (zh) | 基于区块链的Hadoop集群大数据访问方法及系统 | |
| CN112291264B (zh) | 一种安全控制的方法、装置、服务器和存储介质 | |
| CN108092936A (zh) | 一种基于插件架构的主机监控系统 | |
| CN109460400B (zh) | 一种电力监控系统安全基线库的建立系统及方法 | |
| CN110719298A (zh) | 支持自定义更改特权账号密码的方法及装置 | |
| CN111698328A (zh) | 一种基于混合云的企业大数据分析处理平台 | |
| CN113435505A (zh) | 一种安全用户画像的构建方法与装置 | |
| CN116070193A (zh) | 一种运维人员权限审计方法、系统及存储介质 | |
| CN113836237A (zh) | 对数据库的数据操作进行审计的方法及装置 | |
| CN111125648B (zh) | 一种设备变更方法和装置 | |
| CN113947497A (zh) | 一种数据的空间特征提取、识别方法及系统 | |
| CN116228195B (zh) | 适用于工单的数据处理方法、装置、设备及存储介质 | |
| CN112926084A (zh) | 访问权限管理方法及系统 | |
| CN111553782A (zh) | 一种基于混合云和区块链的企业信用评价方法及系统 | |
| CN111415285A (zh) | 一种基于分级行政区域的特定人员信息管理方法及终端 | |
| JP2019087176A (ja) | 監視システム、監視方法、監視システム用プログラム | |
| CN108600149A (zh) | 云计算高可用性集群资源管理方法 | |
| CN109412861B (zh) | 一种终端网络建立安全关联展示方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |