CN116382952A - 一种异常处理方法、装置和系统 - Google Patents

一种异常处理方法、装置和系统 Download PDF

Info

Publication number
CN116382952A
CN116382952A CN202211742938.1A CN202211742938A CN116382952A CN 116382952 A CN116382952 A CN 116382952A CN 202211742938 A CN202211742938 A CN 202211742938A CN 116382952 A CN116382952 A CN 116382952A
Authority
CN
China
Prior art keywords
abnormal
client
information
behavior
behavior information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211742938.1A
Other languages
English (en)
Inventor
秦江维
喻波
王志海
王志华
安鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Wondersoft Technology Co Ltd
Original Assignee
Beijing Wondersoft Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Wondersoft Technology Co Ltd filed Critical Beijing Wondersoft Technology Co Ltd
Priority to CN202211742938.1A priority Critical patent/CN116382952A/zh
Publication of CN116382952A publication Critical patent/CN116382952A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions

Abstract

本申请提供了一种异常处理方法、装置和系统,包括:获取服务器下发的异常检测策略配置信息;在客户端完成异常检测策略配置信息的配置操作的情况下,获取用户在操作客户端过程中产生的用户操作行为数据;基于异常检测策略,对用户操作行为数据进行异常检测,得到异常行为信息;在异常行为信息满足异常上报条件时,将异常行为信息上报给服务器,以使服务器基于预设的异常处理策略,对异常行为信息进行异常处理。本申请实施例能够对异常检测策略配置信息进行灵活配置,进而在客户端本地完成对用户异常行为的有效检测,服务器能够对客户端上报的异常行为信息快速响应,在客户端发生危险操作时能快速进行管控,保证企业数据能够得到及时有效的保护。

Description

一种异常处理方法、装置和系统
技术领域
本申请涉及信息处理技术领域,特别是涉及一种异常处理方法、装置和系统。
背景技术
目前各行业计算机被普遍使用,数字化程度越来越高,企业内数据被违规泄漏事件日益增多。根据调查报告,在企业绝大多数泄漏事件中均涉及人为因素。由于企业数据涉及方方面面,数据一旦被泄漏,会对企业经营造成严重影响。
在现有技术中,通常是服务器采集客户端的用户操作信息,并检测到存在异常行为时,采取相应的异常处理措施。然而,在现有的异常处理方式中,需要客户端在出现异常情况之后,服务器再对接收到的大量用户操作信息进行数据分析以定位到异常行为,造成异常处理进度滞后,服务器并不能及时对该异常情况进行处理。因此,目前亟需一种异常处理方法,能够实现对终端异常行为的有效检测以及快速响应。
发明内容
本申请提供一种异常处理方法、装置和系统,以解决现有技术中客户端出现异常情况不能得到及时处理的问题。
为了解决上述问题,本申请采用了以下的技术方案:
第一方面,本申请实施例提供了一种异常处理方法,运用于客户端,所述方法包括:
获取服务器下发的异常检测策略配置信息;所述异常检测策略配置信息包括异常检测策略和异常上报条件;
在所述客户端完成所述异常检测策略配置信息的配置操作的情况下,获取用户在操作所述客户端过程中产生的用户操作行为数据;;
基于所述异常检测策略,对所述用户操作行为数据进行异常检测,得到异常行为信息;
在所述异常行为信息满足所述异常上报条件时,将所述异常行为信息上报给所述服务器,以使所述服务器基于预设的异常处理策略,对所述异常行为信息进行异常处理。
在本申请一实施例中,基于所述异常检测策略,对所述用户操作行为数据进行异常检测,得到异常行为信息的步骤,包括:
基于所述用户操作行为数据,确定所述用户对所述客户端的操作行为;
基于所述异常检测策略包含的预设异常操作行为,判断所述操作行为是否存在与所述预设异常操作行为匹配的目标异常操作行为;;
在确定所述客户端存在所述目标异常操作行为时,对所述目标异常操作行为进行统计,得到所述异常行为信息。
在本申请一实施例中,所述异常上报条件包括异常行为的触发阈值;不同类型的异常行为对应不用的触发阈值;
在所述异常行为信息满足所述异常上报条件时,将所述异常行为信息上报给所述服务器的步骤,包括:
基于所述异常行为信息的类型,确定所述异常行为信息对应的目标触发阈值;
在所述异常行为信息满足所述目标触发阈值时,将所述异常行为信息上报给所述服务器。
第二方面,本申请实施例提供了一种异常处理方法,运用于服务器,所述方法包括:
获取异常检测策略配置信息,并将所述异常检测策略配置信息下发给至少一个客户端,以使所述客户端在完成所述异常检测策略配置信息的配置操作的情况下,获取用户在操作所述客户端过程中产生的用户操作行为数据;所述异常检测策略配置信息包括异常检测策略和异常上报条件;
获取所述客户端上传的满足所述异常上报条件的异常行为信息;所述异常行为信息是所述客户端基于所述异常检测策略,对所述用户操作行为数据进行异常检测得到的;
基于预设的异常处理策略,对所述异常行为信息进行异常处理。
在本申请一实施例中,基于预设的异常处理策略,对所述异常行为信息进行异常处理的步骤,包括:
确定所述异常行为信息对应的危险等级;
基于所述危险等级,确定所述异常行为信息对应的异常处理策略;不同的危险等级的异常行为对应不同的异常处理策略;
执行所述异常处理策略,以对所述异常行为信息进行异常处理。
在本申请一实施例中,所述方法还包括:
获取所述客户端上传的预设时段内的异常行为信息;并基于所述预设时段内的异常行为信息,生成异常行为统计报表;
输出所述异常行为统计报表。
在本申请一实施例中,所述方法还包括:
响应于针对所述异常检测策略配置信息的第一配置操作,更新所述异常检测策略配置信息;
响应于针对所述异常处理策略的第二配置操作,更新所述异常处理策略。
第三方面,本申请实施例提供了一种异常处理装置,所述装置运用于客户端,所述装置包括:
配置信息获取模块,用于获取服务器下发的异常检测策略配置信息;所述异常检测策略配置信息包括异常检测策略和异常上报条件;
操作数据获取模块,用于在所述客户端完成所述异常检测策略配置信息的配置操作的情况下,获取用户在操作所述客户端过程中产生的用户操作行为数据;
异常信息检测模块,用于基于所述异常检测策略,对所述用户操作行为数据进行异常检测,得到异常行为信息;
异常信息上报模块,用于在所述异常行为信息满足所述异常上报条件时,将所述异常行为信息上报给所述服务器,以使所述服务器基于预设的异常处理策略,对所述异常行为信息进行异常处理。
在本申请一实施例中,所述异常信息检测模块包括:
操作行为确定子模块,用于基于所述用户操作行为数据,确定所述用户对所述客户端的操作行为;
判断子模块,用于基于所述异常检测策略包含的预设异常操作行为,判断所述操作行为是否存在与所述预设异常操作行为匹配的目标异常操作行为;
统计子模块,用于在确定所述客户端存在所述目标异常操作行为时,对所述目标异常操作行为进行统计,得到所述异常行为信息。
在本申请一实施例中,所述异常上报条件包括异常行为的触发阈值;不同类型的异常行为对应不用的触发阈值;所述异常信息上报模块包括:
阈值确定子模块,用于基于所述异常行为信息的类型,确定所述异常行为信息对应的目标触发阈值;
上报子模块,用于在所述异常行为信息满足所述目标触发阈值时,将所述异常行为信息上报给所述服务器。
第四方面,本申请实施例提供了一种异常处理装置,所述装置运用于服务器,所述装置包括:
配置信息下发模块,用于获取异常检测策略配置信息,并将所述异常检测策略配置信息下发给至少一个客户端,以使所述客户端在完成所述异常检测策略配置信息的配置操作的情况下,获取用户在操作所述客户端过程中产生的用户操作行为数据;所述异常检测策略配置信息包括异常检测策略和异常上报条件;
异常信息获取模块,用于获取所述客户端上传的满足所述异常上报条件的异常行为信息;所述异常行为信息是所述客户端基于所述异常检测策略,对所述用户操作行为数据进行异常检测得到的;
异常处理模块,用于基于预设的异常处理策略,对所述异常行为信息进行异常处理。
在本申请一实施例中,所述异常处理模块包括:
危险等级确定子模块,用于确定所述异常行为信息对应的危险等级;
处理策略确定子模块,用于基于所述危险等级,确定所述异常行为信息对应的异常处理策略;不同的危险等级的异常行为对应不同的异常处理策略;
处理策略执行子模块,用于执行所述异常处理策略,以对所述异常行为信息进行异常处理。
在本申请一实施例中,所述装置还包括:
报表生成模块,用于获取所述客户端上传的预设时段内的异常行为信息;并基于所述预设时段内的异常行为信息,生成异常行为统计报表;
报表输出模块,用于输出所述异常行为统计报表。
在本申请一实施例中,所述装置还包括:
第一配置模块,用于响应于针对所述异常检测策略配置信息的第一配置操作,更新所述异常检测策略配置信息;
第二配置模块,用于响应于针对所述异常处理策略的第二配置操作,更新所述异常处理策略。
第五方面,本申请实施例提供了异常处理系统,所述系统包括服务器和至少一个客户端;
所述服务器,用于获取异常检测策略配置信息,并将所述异常检测策略配置信息下发给至少一个客户端;所述异常检测策略配置信息包括异常检测策略和异常上报条件;
所述客户端,用于在所述客户端完成所述异常检测策略配置信息的配置操作的情况下,获取用户在操作所述客户端过程中产生的用户操作行为数据;
所述客户端,还用于基于所述异常检测策略,对所述用户操作行为数据进行异常检测,得到异常行为信息,并在所述异常行为信息满足所述异常上报条件时,将所述异常行为信息上报给所述服务器;
所述服务器,还用于获取所述异常行为信息,并基于预设的异常处理策略,对所述异常行为信息进行异常处理。
与现有技术相比,本申请包括以下优点:
本申请实施例提供的一种异常处理方法,包括:获取服务器下发的异常检测策略配置信息,异常检测策略配置信息包括异常检测策略和异常上报条件;在客户端完成异常检测策略配置信息的配置操作的情况下,获取用户在操作客户端过程中产生的用户操作行为数据;基于异常检测策略,对用户操作行为数据进行异常检测,得到异常行为信息;在异常行为信息满足异常上报条件时,将异常行为信息上报给服务器,以使服务器基于预设的异常处理策略,对异常行为信息进行异常处理。本申请实施例通过获取服务器下发的异常检测策略配置信息,能够对异常检测策略和异常上报条件进行灵活配置,进而在客户端本地完成对用户异常行为的有效检测,并在异常行为信息满足异常上报条件时主动上报异常行为信息,使得服务器能够快速响应,对异常行为信息进行异常处理,进而能够在客户端发生危险操作时能快速进行管控,保证企业数据能够得到及时有效的保护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例中一种异常处理方法的步骤流程图。
图2是本申请一实施例中另外一种异常处理方法的步骤流程图。
图3是本申请一实施例中一种异常处理装置的功能模块示意图。
图4是本申请一实施例中另外一种异常处理装置的功能模块示意图。
图5是本申请一实施例中一种异常处理系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参照图1,示出了本申请一种异常处理方法,该方法运用于客户端,该方法可以包括以下步骤:
S101:获取服务器下发的异常检测策略配置信息;异常检测策略配置信息包括异常检测策略和异常上报条件。
在本实施方式中,管理人员可以在服务器对异常检测策略配置信息进行灵活配置,即根据企业的数据安全管理需求,对异常检测策略和异常上报条件进行配置。
在本实施方式中,客户端与服务器通讯连接,在异常检测策略配置信息配置完成后,服务器可以将最新的异常检测策略配置信息下发到客户端。
S102:在客户端完成异常检测策略配置信息的配置操作的情况下,获取用户在操作客户端过程中产生的用户操作行为数据。
在本实施方式中,客户端在获取到最新的异常检测策略配置信息之后,将对已有的异常检测策略配置信息进行配置更新,以执行最新的异常检测策略配置信息。
在本实施方式中,在客户端完成异常检测策略配置信息的配置操作后,用户启动客户端,可以自动创建一个监控进程,以获取用户在操作客户端过程中产生的用户操作行为数据。
S103:基于异常检测策略,对用户操作行为数据进行异常检测,得到异常行为信息。
在本实施方式中,异常检测策略包含有预设异常操作行为,也就是说,在用户操作行为数据中存在预设异常操作行为,则说明用户在进行异常操作,此时,将会收集用户的异常行为信息。
S104:在异常行为信息满足异常上报条件时,将异常行为信息上报给服务器,以使服务器基于预设的异常处理策略,对异常行为信息进行异常处理。
在本实施方式中,考虑到客户端的使用者可能存在误操作,因此,为防止出现误判,设置有异常上报条件,也就是说,在在异常行为信息满足异常上报条件时,才会将异常行为信息上报给服务器,以使服务器进行对应的异常处理。如此,不仅可以有效防止误判,还能减少服务器的数据分析量,提高服务器的异常处理效率。
在本实施方式中,通过获取服务器下发的异常检测策略配置信息,能够对异常检测策略和异常上报条件进行灵活配置,进而在客户端本地完成对用户异常行为的有效检测,并在异常行为信息满足异常上报条件时主动上报异常行为信息,使得服务器能够快速响应,对异常行为信息进行异常处理,进而能够在客户端发生危险操作时能快速进行管控,保证企业数据能够得到及时有效的保护。
在一个可行的实施方式中,S103具体可以包括以下子步骤:
S103-1:基于用户操作行为数据,确定用户对客户端的操作行为。
在本实施方式中,通过分析用户操作行为数据,可以确定用户对客户端的操作行为,操作行为可以包括但不限于:启动客户端的操作行为、关闭客户端的操作行为、浏览企业文件的操作行为、外发企业文件的操作行为、下载企业文件的操作行为。
S103-2:基于异常检测策略包含的预设异常操作行为,判断操作行为是否存在与预设异常操作行为匹配的目标异常操作行为。
在本实施方式中,预设异常操作行为可以包括但不限于:打开特定内容文件、外发特定内容文件、对特定内容文件进行截屏、浏览特定页面等操作。
在本实施方式中,基于操作行为与预设异常操作行为的对比结果,可以判断客户端是否发生与预设异常操作行为相匹配的目标异常操作行为。
示例性的,预设异常操作行为包括对机密文件A的截屏操作,那么,在检测到用户触发了针对机密文件A的截屏操作时,则确定客户端发生了异常操作行为。
S103-3:在确定客户端存在目标异常操作行为时,对目标异常操作行为进行统计,得到异常行为信息。
在本实施方式中,将会针对不同的目标异常操作行为采用不同的统计方式,如可以统计针对机密文件A的截屏操作的次数,或者统计针对机密文件B的外发行为持续时长。
在本实施方式中,通过执行服务器下发的异常检测策略,能够在客户端本地实现异常行为信息的有效检测,提高异常检测的准确性。
在一个可行的实施方式中,S104具体可以包括以下子步骤:
S104-1:基于异常行为信息的类型,确定异常行为信息对应的目标触发阈值。
在本实施方式中,异常上报条件包括异常行为的触发阈值,不同类型的异常行为对应不用的触发阈值。
例如,针对截屏行为,对应的触发阈值为截屏次数;针对数据外发行为,对应的触发阈值为外发行为持续时长;针对文件浏览行为,对应的触发阈值为浏览行为持续时长。
在本实施方式中,针对同类型的异常行为,基于行为对象的不同,同样可以对应设置不同的触发阈值。示例性的,针对不同机密等级的文件的截屏触发阈值可以不同,如针对:“秘密”等级的文件,对应的截屏触发阈值可以设置为5次,针对“机密”等级的文件,对应的截屏触发阈值可以设置为3次,针对“绝密”等级的文件,对应的截屏触发阈值可以设置为1次。
S104-2:在异常行为信息满足目标触发阈值时,将异常行为信息上报给服务器。
在本实施方式中,在异常行为信息满足目标触发阈值时,说明用户触发的异常行为并非误操作,而是主观触发的危险行为,此时,将会异常行为信息上报给服务器,服务器便会基于预设的异常处理策略,对异常行为信息进行异常处理。
参照图2,示出了本申请另外一种异常处理方法,该方法运用于服务器,该方法可以包括以下步骤:
S201:获取异常检测策略配置信息,并将异常检测策略配置信息下发给至少一个客户端,以使客户端在完成异常检测策略配置信息的配置操作的情况下,获取用户在操作客户端过程中产生的用户操作行为数据;异常检测策略配置信息包括异常检测策略和异常上报条件。
在本实施方式中,服务器可以是DLP(Data leakage prevention,数据防泄漏)服务器。需要说明的是,数据泄密防护,是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。通过在DLP服务器运行本实施例提供的异常处理方法,可以进一步提高数据泄密防护的使用效果,提高对异常行为的快速响应,保证企业数据能够得到及时有效的保护。需要说明的是,本实施方式不对服务器的类型作出具体限制。
在本实施方式中,管理人员可以根据企业数据的安全需求,在服务器侧,对异常检测策略和异常上报条件进行灵活配置。具体而言,可以根据实际需求,对异常检测策略配置信息进行自定义编辑,在编辑完成后,向服务器输入最新的常检测策略配置信息,以使服务器将最新的常检测策略配置信息下发给客户端进行配置更新。
S202:获取客户端上传的满足异常上报条件的异常行为信息;异常行为信息是客户端基于异常检测策略,对用户操作行为数据进行异常检测得到的。
在本实施方式中,客户端在本地完成对用户操作行为的异常检测之后,会自动将异常行为信息上传至服务器,以便服务器进行快速响应。
S203:基于预设的异常处理策略,对异常行为信息进行异常处理。
在本实施方式中,服务器可以根据不同的异常行为选择不同的告警方式,如通过邮件或短信通知管理人员。
在本实施方式中,相较于在服务器对用户操作行为进行分析以定位异常操作的方式,服务器在获取到客户端上传的异常行为信息后,无需进行异常行为检测,而是直接基于预设的异常处理策略,对异常行为信息进行异常处理,可以有效提高异常事件的处理效率,进而能够在客户端发生危险操作时能快速进行管控,保证企业数据能够得到及时有效的保护。
在一个可行的实施方式中,S203具体可以包括以下子步骤:
S203-1:确定异常行为信息对应的危险等级。
在本实施方式中,服务器在获取到客户端上传的异常行为信息之后,可以对异常行为信息进行分析,确定确定异常行为信息对应的危险等级,以使服务器可以根据不同的危险等级执行对应的异常处理策略。
S203-2:基于危险等级,确定异常行为信息对应的异常处理策略。
S203-3:执行异常处理策略,以对异常行为信息进行异常处理。
在本实施方式中,不同的危险等级的异常行为对应不同的异常处理策略,示例性的,危险等级可以设置为低危级、普通级和高危级,如检测到异常行为的危险等级为低危级时,可以向客户端发送警告信息;如检测到异常行为的危险等级为普通级时,可以同时通过邮件或短信的方式通知管理人员;如检测到异常行为的危险等级为高危级时,可以对客户端执行禁用操作,如禁止外发文件、禁止截屏等。
在本实施方式中,管理人员可以通过设置异常处理策略,针对不同的异常行为灵活配置不同的异常行为管控方式以及不同的异常行为告警方式。
在一个可行的实施方式中,异常处理方法还包括以下步骤:
S204:获取客户端上传的预设时段内的异常行为信息;;并基于预设时段内的异常行为信息,生成异常行为统计报表。
在本实施方式中,可以通过设置预设时段,使得服务器可以自动统计预设时段内的异常行为信息。例如,可以按照每天、每周或者每月的预设时段,对每天、每周或者每月的异常行为信息进行统计;或者,可以设置固定的统计时间,如在每天的7点定时统计过去一天获取的异常行为信息。
S205:输出异常行为统计报表。
在本实施方式中,可以将异常行为统计报表通过短信、邮件、第三方平台推送的方式传输到预设终端上,也可以直接将异常行为统计报表显示在预设的显示界面上,便于管理人员查看。
在一个可行的实施方式中,异常处理方法还包括以下步骤:
S206:响应于针对异常检测策略配置信息的第一配置操作,更新异常检测策略配置信息。
S207:响应于针对异常处理策略的第二配置操作,更新异常处理策略。
在本实施方式中,管理人员可以根据需要,对异常检测策略配置信息和异常处理策略进行配置。具体而言,管理人员可以灵活配置异常行为监测时间、异常行为管控方式、异常行为的危险等级、异常行为发生时的告警方式和需要监测的客户端的范围。
在本实施方式中,通过配置异常检测策略配置信息和异常处理策略,当检测到客户端发生针对企业关键数据的危险操作时能快速进行管控并上报行为审计日志和发出相应的告警信息。
参照图3,示出了本申请另外一种异常处理装置300,该装置运用于客户端,该装置包括:
配置信息获取模块301,用于获取服务器下发的异常检测策略配置信息。异常检测策略配置信息包括异常检测策略和异常上报条件。
操作数据获取模块302,用于在客户端完成异常检测策略配置信息的配置操作的情况下,获取用户在操作客户端过程中产生的用户操作行为数据。
异常信息检测模块303,用于基于异常检测策略,对用户操作行为数据进行异常检测,得到异常行为信息。
异常信息上报模块304,用于在异常行为信息满足异常上报条件时,将异常行为信息上报给服务器,以使服务器基于预设的异常处理策略,对异常行为信息进行异常处理。
在一个可行的实施方式中,异常信息检测模块303包括:
操作行为确定子模块,用于基于用户操作行为数据,确定用户对客户端的操作行为。
判断子模块,用于基于异常检测策略包含的预设异常操作行为,判断操作行为是否存在与预设异常操作行为匹配的目标异常操作行为。
统计子模块,用于在确定客户端存在目标异常操作行为时,对目标异常操作行为进行统计,得到异常行为信息。
在一个可行的实施方式中,异常上报条件包括异常行为的触发阈值。不同类型的异常行为对应不用的触发阈值。异常信息上报模块304包括:
阈值确定子模块,用于基于异常行为信息的类型,确定异常行为信息对应的目标触发阈值。
上报子模块,用于在异常行为信息满足目标触发阈值时,将异常行为信息上报给服务器。
需要说明的是,本申请实施例的异常处理装置300的具体实施方式参照前述本申请实施例第一方面提出的异常处理方法的具体实施方式,在此不再赘述。
参照图4,第四方面,本申请实施例提供了另外一种异常处理装置400,该装置运用于服务器,该装置包括:
配置信息下发模块401,用于获取异常检测策略配置信息,并将异常检测策略配置信息下发给至少一个客户端,以使客户端在完成异常检测策略配置信息的配置操作的情况下,获取用户在操作客户端过程中产生的用户操作行为数据。异常检测策略配置信息包括异常检测策略和异常上报条件。
异常信息获取模块402,用于获取客户端上传的满足异常上报条件的异常行为信息。异常行为信息是客户端基于异常检测策略,对用户操作行为数据进行异常检测得到的。
异常处理模块403,用于基于预设的异常处理策略,对异常行为信息进行异常处理。
在一个可行的实施方式中,异常处理模块403包括:
危险等级确定子模块,用于确定异常行为信息对应的危险等级。
处理策略确定子模块,用于基于危险等级,确定异常行为信息对应的异常处理策略。不同的危险等级的异常行为对应不同的异常处理策略。
处理策略执行子模块,用于执行异常处理策略,以对异常行为信息进行异常处理。
在一个可行的实施方式中,该装置还包括:
报表生成模块,用于获取客户端上传的预设时段内的异常行为信息。并基于预设时段内的异常行为信息,生成异常行为统计报表。
报表输出模块,用于输出异常行为统计报表。
在本申请一实施例中,该装置还包括:
第一配置模块,用于响应于针对异常检测策略配置信息的第一配置操作,更新异常检测策略配置信息。
第二配置模块,用于响应于针对异常处理策略的第二配置操作,更新异常处理策略。
需要说明的是,本申请实施例的另外一种异常处理装置400的具体实施方式参照前述本申请实施例第二方面提出的异常处理方法的具体实施方式,在此不再赘述。
参照图5,第五方面,本申请实施例提供了一种异常处理系统,该系统包括服务器501和至少一个客户端502,图5示出了三个客户端502,需要说明的是,本实施方式不对客户端502的数量作出具体限制。
服务器501,用于获取异常检测策略配置信息,并将异常检测策略配置信息下发给至少一个客户端。异常检测策略配置信息包括异常检测策略和异常上报条件。
在本实施方式中,服务器501可以通过Kafka(Apache Kafka,一种高吞吐量的分布式发布订阅消息系统)向客户端502发布最新的异常检测策略配置信息,具体而言,服务器501可以通过Kafka将最新的异常检测策略配置信息发送至缓存数据库,客户端502可以通过API网关与缓存数据库连接,进而获取到最新的异常检测策略配置信息。
客户端502,用于在客户端完成异常检测策略配置信息的配置操作的情况下,获取用户在操作客户端过程中产生的用户操作行为数据。
客户端502,还用于基于异常检测策略,对用户操作行为数据进行异常检测,得到异常行为信息,并在异常行为信息满足异常上报条件时,将异常行为信息上报给服务器。
服务器501,还用于获取异常行为信息,并基于预设的异常处理策略,对异常行为信息进行异常处理。
需要说明的是,本申请实施例的异常处理系统的具体实施方式参照前述本申请实施例第一方面提出的异常处理方法和第二方面提出的另外一种异常处理方法的具体实施方式,在此不再赘述。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种异常处理方法、装置和系统,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种异常处理方法,其特征在于,运用于客户端,所述方法包括:
获取服务器下发的异常检测策略配置信息;所述异常检测策略配置信息包括异常检测策略和异常上报条件;
在所述客户端完成所述异常检测策略配置信息的配置操作的情况下,获取用户在操作所述客户端过程中产生的用户操作行为数据;;
基于所述异常检测策略,对所述用户操作行为数据进行异常检测,得到异常行为信息;
在所述异常行为信息满足所述异常上报条件时,将所述异常行为信息上报给所述服务器,以使所述服务器基于预设的异常处理策略,对所述异常行为信息进行异常处理。
2.根据权利要求1所述的异常处理方法,其特征在于,基于所述异常检测策略,对所述用户操作行为数据进行异常检测,得到异常行为信息的步骤,包括:
基于所述用户操作行为数据,确定所述用户对所述客户端的操作行为;
基于所述异常检测策略包含的预设异常操作行为,判断所述操作行为是否存在与所述预设异常操作行为匹配的目标异常操作行为;;
在确定所述客户端存在所述目标异常操作行为时,对所述目标异常操作行为进行统计,得到所述异常行为信息。
3.根据权利要求1所述的异常处理方法,其特征在于,所述异常上报条件包括异常行为的触发阈值;不同类型的异常行为对应不用的触发阈值;
在所述异常行为信息满足所述异常上报条件时,将所述异常行为信息上报给所述服务器的步骤,包括:
基于所述异常行为信息的类型,确定所述异常行为信息对应的目标触发阈值;
在所述异常行为信息满足所述目标触发阈值时,将所述异常行为信息上报给所述服务器。
4.一种异常处理方法,其特征在于,运用于服务器,所述方法包括:
获取异常检测策略配置信息,并将所述异常检测策略配置信息下发给至少一个客户端,以使所述客户端在完成所述异常检测策略配置信息的配置操作的情况下,获取用户在操作所述客户端过程中产生的用户操作行为数据;所述异常检测策略配置信息包括异常检测策略和异常上报条件;
获取所述客户端上传的满足所述异常上报条件的异常行为信息;所述异常行为信息是所述客户端基于所述异常检测策略,对所述用户操作行为数据进行异常检测得到的;
基于预设的异常处理策略,对所述异常行为信息进行异常处理。
5.根据权利要求4所述的异常处理方法,其特征在于,基于预设的异常处理策略,对所述异常行为信息进行异常处理的步骤,包括:
确定所述异常行为信息对应的危险等级;
基于所述危险等级,确定所述异常行为信息对应的异常处理策略;不同的危险等级的异常行为对应不同的异常处理策略;
执行所述异常处理策略,以对所述异常行为信息进行异常处理。
6.根据权利要求4所述的异常处理方法,其特征在于,所述方法还包括:
获取所述客户端上传的预设时段内的异常行为信息;并基于所述预设时段内的异常行为信息,生成异常行为统计报表;
输出所述异常行为统计报表。
7.根据权利要求4所述的异常处理方法,其特征在于,所述方法还包括:
响应于针对所述异常检测策略配置信息的第一配置操作,更新所述异常检测策略配置信息;
响应于针对所述异常处理策略的第二配置操作,更新所述异常处理策略。
8.一种异常处理装置,其特征在于,所述装置运用于客户端,所述装置包括:
配置信息获取模块,用于获取服务器下发的异常检测策略配置信息;所述异常检测策略配置信息包括异常检测策略和异常上报条件;
操作数据获取模块,用于在所述客户端完成所述异常检测策略配置信息的配置操作的情况下,获取用户在操作所述客户端过程中产生的用户操作行为数据;
异常信息检测模块,用于基于所述异常检测策略,对所述用户操作行为数据进行异常检测,得到异常行为信息;
异常信息上报模块,用于在所述异常行为信息满足所述异常上报条件时,将所述异常行为信息上报给所述服务器,以使所述服务器基于预设的异常处理策略,对所述异常行为信息进行异常处理。
9.一种异常处理装置,其特征在于,所述装置运用于服务器,所述装置包括:
配置信息下发模块,用于获取异常检测策略配置信息,并将所述异常检测策略配置信息下发给至少一个客户端,以使所述客户端在完成所述异常检测策略配置信息的配置操作的情况下,获取用户在操作所述客户端过程中产生的用户操作行为数据;所述异常检测策略配置信息包括异常检测策略和异常上报条件;
异常信息获取模块,用于获取所述客户端上传的满足所述异常上报条件的异常行为信息;所述异常行为信息是所述客户端基于所述异常检测策略,对所述用户操作行为数据进行异常检测得到的;
异常处理模块,用于基于预设的异常处理策略,对所述异常行为信息进行异常处理。
10.一种异常处理系统,其特征在于,所述系统包括服务器和至少一个客户端;
所述服务器,用于获取异常检测策略配置信息,并将所述异常检测策略配置信息下发给至少一个客户端;所述异常检测策略配置信息包括异常检测策略和异常上报条件;
所述客户端,用于在所述客户端完成所述异常检测策略配置信息的配置操作的情况下,获取用户在操作所述客户端过程中产生的用户操作行为数据;
所述客户端,还用于基于所述异常检测策略,对所述用户操作行为数据进行异常检测,得到异常行为信息,并在所述异常行为信息满足所述异常上报条件时,将所述异常行为信息上报给所述服务器;
所述服务器,还用于获取所述异常行为信息,并基于预设的异常处理策略,对所述异常行为信息进行异常处理。
CN202211742938.1A 2022-12-30 2022-12-30 一种异常处理方法、装置和系统 Pending CN116382952A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211742938.1A CN116382952A (zh) 2022-12-30 2022-12-30 一种异常处理方法、装置和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211742938.1A CN116382952A (zh) 2022-12-30 2022-12-30 一种异常处理方法、装置和系统

Publications (1)

Publication Number Publication Date
CN116382952A true CN116382952A (zh) 2023-07-04

Family

ID=86962242

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211742938.1A Pending CN116382952A (zh) 2022-12-30 2022-12-30 一种异常处理方法、装置和系统

Country Status (1)

Country Link
CN (1) CN116382952A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117411732A (zh) * 2023-12-15 2024-01-16 国网四川省电力公司技能培训中心 网络安全事件的监测方法及其系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117411732A (zh) * 2023-12-15 2024-01-16 国网四川省电力公司技能培训中心 网络安全事件的监测方法及其系统
CN117411732B (zh) * 2023-12-15 2024-03-22 国网四川省电力公司技能培训中心 网络安全事件的监测方法及其系统

Similar Documents

Publication Publication Date Title
EP3420488B1 (en) Retention and accessibility of data characterizing events on an endpoint computer
US9679131B2 (en) Method and apparatus for computer intrusion detection
US9183385B2 (en) Automated feedback for proposed security rules
CN113661693A (zh) 经由日志检测敏感数据暴露
US20080229149A1 (en) Remote testing of computer devices
CN108650225B (zh) 一种远程安全监测设备、系统及远程安全监测方法
CN110602135B (zh) 网络攻击处理方法、装置以及电子设备
US20140215624A1 (en) Method and System for Analysis of Security Events in a Managed Computer Network
CN114363044B (zh) 一种分层告警方法、系统、存储介质和终端
CN108073499B (zh) 应用程序的测试方法及装置
CN110879889A (zh) Windows平台的恶意软件的检测方法及系统
CN116382952A (zh) 一种异常处理方法、装置和系统
US20240070267A1 (en) Detecting malicious behavior in a network using security analytics by analyzing process interaction ratios
GB2592132A (en) Enterprise network threat detection
CN107465652B (zh) 一种操作行为检测方法、服务器及系统
CN106899977B (zh) 异常流量检验方法和装置
CN109462617B (zh) 一种局域网中设备通讯行为检测方法及装置
CN110378120A (zh) 应用程序接口攻击检测方法、装置以及可读存储介质
KR101973728B1 (ko) 통합 보안 이상징후 모니터링 시스템
CN114189361A (zh) 防御威胁的态势感知方法、装置及系统
CN112163198A (zh) 一种主机登录安全检测方法、系统、装置及存储介质
CN113127856A (zh) 网络安全运维管理方法、装置、计算设备及存储介质
Gao et al. SIEM: policy-based monitoring of SCADA systems
CN115577369B (zh) 源代码泄露行为检测方法、装置、电子设备及存储介质
CN114024867B (zh) 网络异常检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination