发明内容
本发明提供一种计算机设备运维数据安全管理系统,以解决现有的问题。
本发明的一种计算机设备运维数据安全管理系统采用如下技术方案:
本发明一个实施例提供了一种计算机设备运维数据安全管理系统,该系统包括以下模块:
采集系统数据模块,获取超级管理员权限,获取系统登录日志数据;
用户登录强度获取模块,对系统登录日志数据进行划分,得到每个用户不同数据类型的登录数据;将每个用户在每个数据类型中进行登录操作时所花费的总时间记为第一登录时间;将每个用户在每个数据类型中进行登录操作时输入密码的总次数记为第一输入次数;根据每个用户在每个数据类型中的第一登录时间、第一输入次数、输入时间以及错误位数得到每个用户在每个数据类型中的登录强度;
用户异常程度获取模块,将每个用户在每个数据类型中每次进行登录操作时所花费的时间记为第二登录时间;将每个用户在每个数据类型中每次进行登录操作时输入密码的次数记为第二输入次数;根据每个用户在每个数据类型中的登录强度、第二登录时间、第二输入次数以及登录次数得到每个用户在每个数据类型中的异常程度;
异常用户判定模块,根据每个用户在每个数据类型中的异常程度判定异常用户,并对异常用户进行拦截。
优选的,所述对系统登录日志数据进行划分,得到每个用户不同数据类型的登录数据,包含的具体方法为:
将满足一次密码验证后,成功登录的登录日志数据记为第一种数据类型;将满足四次密码验证后,成功登录的登录日志数据记为第二种数据类型;将满足五次至七次密码验证后,通过超级管理员找回密码后成功登录的登录日志数据记为第三种数据类型;将满足五次包括五次以上次数密码验证后,成功登录的登录日志数据记为第四种数据类型;将满足无论验证次数多少,只要密码验证错误放弃登录操作而未成功登录的登录日志数据记为第五种数据类型。
优选的,所述输入时间,包含的具体方法为:
每个用户在每个数据类型中每次进行登录时,每次输入密码的时间记为输入时间。
优选的,所述错误位数,包含的具体方法为:
每个用户在每个数据类型中的每次输入密码时,输入的密码与正确密码相差的正确数字的位数记为错误位数。
优选的,所述每个用户在每个数据类型中的登录强度,包含的具体方法为:
式中,表示第/>个用户在第/>个数据类型的登录强度;/>表示第/>个用户在第/>个数据类型的登录时间,记为第一登录时间;/>表示第/>个数据类型中所有用户的登录时间的均值;/>表示第/>个用户在第/>个数据类型第/>次登录时的输入时间;/>表示第/>个用户在第/>个数据类型的输入次数,记为第一输入次数;/>表示第/>个用户在第/>个数据类型的第/>次输入时输入的密码与正确密码相差的正确数字的位数,记为错误位数。
优选的,所述每个用户在每个数据类型中的异常程度,包含的具体方法为:
式中,表示第/>个用户在第/>个数据类型的登录强度;/>表示第/>个用户在第/>个数据类型的登录日志数据中的异常程度;/>表示第/>个用户在第/>个数据类型中第/>次登录时的输入次数,即每一次登录时输入密码的次数,记为第二输入次数;/>表示第/>个用户在第/>个数据类型中第/>次登录的登录时间,记为第二登录时间;/>表示第/>个用户在第/>个数据类型中登录时间的方差;/>表示在登录日志数据中第/>个用户在第/>个数据类型的登录次数;/>表示线性归一化。
优选的,所述根据每个用户在每个数据类型中的异常程度判定异常用户,包含的具体方法为:
预设一个异常程度阈值,若异常程度大异常程度阈值时,则系统将登录账号进行锁定,并将用户所对应的登录静态IP地址拉入黑名单,禁止该静态IP地址再次进行登录。
本发明的技术方案的有益效果是:通过对登录用户的登录日志数据与当前数据进行分析,将当前数据与登录日志数据进行对比,通过分析每一次对系统的登录时数据的变化,获得点击次数与登录时间之间的关系,进而确定每个用户的在对系统登录时的异常;其能够根据每个用户对系统的登录习惯进行描述,来区分正常用户与异常用户;因为在对系统登录时,无论入侵者是直接进行攻击,还是进行伪装后进行攻击,都能够通过当前数据与历史数据的变化进行判断,因此能够识别出异常用户,避免企业的系统受到了攻击,避免损失。
具体实施方式
为了更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的一种计算机设备运维数据安全管理系统,其具体实施方式、结构、特征及其功效,详细说明如下。在下述说明中,不同的“一个实施例”或“另一个实施例”指的不一定是同一实施例。此外,一或多个实施例中的特定特征、结构或特点可由任何合适形式组合。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。
下面结合附图具体的说明本发明所提供的一种计算机设备运维数据安全管理系统的具体方案。
请参阅图1,其示出了本发明一个实施例提供的一种计算机设备运维数据安全管理系统的结构框图,该系统包括以下结构:
采集系统数据模块101,获取系统登录日志数据,对数据进行预处理。
需要说明的是,计算机设备运维数据主要包括敏感信息,如系统访问记录、账号密码、设备安全漏洞等敏感信息,对于系统而言,这些敏感信息保存着重要信息,因此需要采取措施确保敏感信息的安全性和可靠性。对系统的数据进行管理时,系统会根据登录日志记录用户的登录时间、地点、对象、操作以及登录用户的身份等信息,对违规访问行为进行纠正和监控,避免数据泄露和滥用。而在现有技术中,系统在对登录用户进行监控时,主要是通过防火墙对异常登录行为进行识别拦截。但是当异常用户通过伪装,改变自己的登录习惯,将其伪装成与正常用户相似的登录习惯,防火墙无法有效识别出异常用户的异常登录行为,从而无法进行有效拦截,导致异常用户成功进入系统。
具体的,本实施例不针对某一企业的计算机设备运维数据安全管理系统,此处以小型商场的后台管理系统为例作为表述对象。首先打开系统的超级管理员登录界面,输入超级管理员的账号与密码登录超级管理员账号,获取超级管理员权限,打开系统中的操作系统查看与当前操作时间相距一年时间范围内的历史登录日志,导出这一年的登录日志数据,其中登录日志数据中包含登录时间、静态IP地址、登录时长等登录数据。
然后对系统一年的登录日志数据进行分析,将其划分为不同的数据类型,通过分析每个用户在不同数据类型中每次登录时登录数据的登录时间、输入次数的变化,得到每个用户的登录强度;根据每个用户的登录强度结合多次登录的登录次数,得到每个用户在登录系统时的异常程度。通过异常程度反映每个用户对系统的登录习惯,识别正常用户与异常用户并进行拦截。
至此,通过系统超级管理员权限获取登录日志数据;划分不同类型,通过分析不同类型中登录数据的变化,得到每个用户的登录强度;根据登录强度与登录数据的变化得到每个用户的异常程度。根据异常程度识别异常用户,并进行拦截。
用户登录强度获取模块102,对登录日志数据进行分析划分,获得不同用户所属的数据类型,根据登录数据的变化来得到不同用户登录时的登录强度。
需要说明的是,为了对系统的登录日志数据进行分析,需要根据正常用户的登录习惯来识别异常登录的异常用户,从而来决定是否允许该用户继续对系统进行登录。例如:为了保障储户的资金的安全,银行的手机银行系统设置的防护等级普遍较高,用户通过手机银行APP登录手机银行系统时,需要进行身份验证。一般设置账号和密码的信息作为系统的识别指令。当该用户的手机丢失或被植入病毒时,系统会被异常用户进行异常登录,此时由于异常用户不知道密码,所以异常用户在进行登录系统时就需要进行多次尝试,来筛查准确的密码。而用户在进行系统登录时一般只有三次机会,当三次输入的密码都不正确时,系统将自行锁定,无法再次输入账号与密码,此时系统进入用户身份验证环节。而系统在进行用户身份验证时,一般需要校验验证码和人脸识别这双重验证操作来保证是否为用户本人在进行操作。若身份验证成功,则可以修改密码;若身份验证失败,则该账号将被锁定为异常账号,需要前往柜台进行处理。
进一步需要说明的是,上述流程由于企业性质的特殊性,导致流程是一套较为完整的系统登录流程,而在一般情况下,为降低运营成本,一般企业在登录系统时只保留账号和密码验证,没有账号与密码输入次数的限制,也没有身份验证的环节,所以该类系统在验证账号与密码时,可以进行多次尝试,即使账号和密码不匹配,也不会对账号进行锁定,从而导致其他异常用户在多次验证密码的过程中可能获得正确的密码,从而登入后台管理系统中,造成信息泄露,造成企业的损失。另外,本实施例选取的小型商场的后台管理系统的验证流程则是符合上述一般情况下系统的验证流程。
本实施例通过对这些用户的登录日志数据进行分析,来识别异常登录的异常用户。若发现异常登录时,对该账号进行锁定,锁定后需要超级管理员进行操作后才能再次登录。在登录日志数据中会存在五种情况:第一种情况是通过账号和密码进行正常登录;第二种情况是经过较少次数的密码验证后,通过账号和密码登录成功,该情况下可能是用户输错密码导致的;第三种情况是经过较多次数的密码验证后,通过超级管理员找回密码后登录成功;第四种情况是经过较多次数的密码验证后,通过账号和密码登录成功,该情况下极有可能是异常登录;第五种情况是无论次数多少,只要密码验证错误放弃登录操作从而未登录成功。
针对上述的五种情况,由于系统自身没有区分登录行为是登录人为登录还是电脑恶意登录的能力,所以需要对其进行分类。而由于在实际的系统登录中,人为登录和电脑恶意登录存在不同情况的差异,例如相同时间内登录的次数不相同、登录的静态IP地址不同等,所以可根据不同的登录情况对数据进行归类,获得不同登录情况的数据类型,然后根据每个数据类型中的数据变化来判断登录数据的异常。
具体的,对登录日志数据进行归类的具体分类如下:将满足一次密码验证后,成功登录的登录日志数据记为第一种数据类型;将满足四次密码验证后,成功登录的登录日志数据记为第二种数据类型;将满足五次至七次密码验证后,通过超级管理员找回密码后成功登录的登录日志数据记为第三种数据类型;将满足五次包括五次以上次数密码验证后,成功登录的登录日志数据记为第四种数据类型;将满足无论验证次数多少,只要密码验证错误放弃登录操作而未成功登录的登录日志数据记为第五种数据类型。
至此通过上述分类方法得到五种数据类型的登录日志数据。
进一步的,而在五种数据类型中,第一种数据类型是通过账号和密码进行正常登录,由于这种登录情况是一次通过账号和密码验证成功登录系统,不存在因账号和密码验证错误而二次验证的情况,所以第一种数据类型登录的异常程度最小,是无法有效检测出用户的异常情况;而其余四种数据类型,由于均存在因账号和密码验证错误而二次验证的情况,所以其余四种数据类型都可能存在异常的登录情况,导致其余四种数据类型的异常程度均可以检测用户的异常情况。因此根据登录数据的变化来判断登录的异常情况,区分不同登录情况下的登录强度。其计算公式如下:
式中,表示第/>个用户在第/>个数据类型的登录强度;/>表示第/>个用户在第/>个数据类型的登录时间,即第一登录时间;/>表示第/>个数据类型中所有用户的登录时间的均值;/>表示第/>个用户在第/>个数据类型的第/>次登录时的输入时间;/>表示第/>个用户在第/>个数据类型的输入次数,即第一输入次数;/>表示第/>个用户在第/>个数据类型的第次输入时输入的密码与正确密码相差的正确数字的位数,即错误位数;/>表示该用户的登录时间与该数据类型下的登录时间均值的差值的绝对值;/>表示该用户的异常登录程度,异常登录程度越大,其异常的程度越大;/>表示第/>个用户在第/>个数据类型中进行登录时的总时间。
至此,通过上述公式可以获得所有用户除第一种数据类型外的其余所有数据类型中的登录强度。
需要补充说明的是,第个用户在第/>个数据类型的第/>次登录时输入时间表示的是在每次进行登录时,每次输入密码的时间就是登录时的输入时间,输入时间越短,则说明越不可能时人为输入的。而用户是以登录数据中的静态IP地址而定,一个静态IP地址代表一个用户。
另外需要说明的是,表示输入的密码与正确密码错误的位数。因为用户在输入密码时,密码验证错误主要分为两种情况:第一种情况是输入密码时点错了某位数;第二种情况是忘记正确密码,选择经常使用的密码遍历验证。本实施例以第一种情况为例,例如:登录系统时正确的密码是六位数372104,但输入的密码为373104或672104等情况,其中每一次正确的位数为五个数字。而异常用户或电脑在恶意登录时,输入的密码是随机的,根据一定的规则生成随机数,进行不断的尝试,输入的密码可能为645182或361002等情况,其与正确密码相同的位数时很少的,因此根据登录者在进行登录时输入的密码进行对比,来获得登录者的异常程度。/>表示该用户的登录时间与该数据类型下的登录时间均值的差值的绝对值,因为用户在输入账号和密码进行登录时,一定是具有一定是时间的,而恶意登录的程序在进行登录时在很短的时间内会多次输入密码进行尝试登录,因此根据输入账号和密码在进行登录时的时间来判断用户的登录强度。
用户异常程度获取模块103,根据登录强度通过分析用户的登录习惯,获得用户的异常程度。
需要说明的是,若本次登录操作是一次异常的登录操作,则该系统的防火墙会在一定的时间内受到多次攻击,从而进行多次验证密码的环节,其结果只会存在两种情况:一是验证成功,进入系统;二是验证失败。但上述获取的登录强度是根据限定在一定程度下系统的攻击频率获取的,若异常用户通过伪装,去模拟正常用户的登录习惯,保证一定程度下系统的攻击频率,系统则会无法识别是人为登录还是恶意攻击。因此还需要对每个数据类型中每个用户的登录日志数据进行登录习惯的分析,来获得其登录的异常程度。
因为用户在进行系统登录时,对于正常的用户不会在短时间内出现大量次数的登录,而是具有一定的频次,并且其历史登录日志中会存在登录日志数据,若是一个企业的新员工其必然会通过账号和密码进行登录,而不会出短时间内的大量登录。但是对于恶意攻击其目的是为了获取该系统内的数据,因此会在短时间内进行不断的尝试。
具体的,由于在上述模块102计算登录强度时,是根据每个用户在每次登录时产生的登录数据分析个人登录习惯,而每个用户的个人登录习惯会随着时间的推移可能发生一定程度的改变,导致根据每个用户在每次登录时产生的登录数据进行分析的个人登录习惯无法表示整体时间变化方面的个人登录习惯,因此对登录日志数据进行结合多次登录方面的分析,获得每个用户的数据登录特征,其计算公式如下:
式中,表示第/>个用户在第/>个数据类型的登录强度;/>表示第/>个用户在第/>个数据类型的登录日志数据中的异常程度;/>表示第/>个用户在第/>个数据类型中第/>次登录时的输入次数,即每一次登录时输入密码的次数,即第二输入次数;/>表示第/>个用户在第/>个数据类型中第/>次登录的登录时间,即第二登录时间;/>表示第/>个用户在第/>个数据类型中登录时间的方差;/>表示在登录日志数据中第/>个用户在第/>个数据类型的登录次数。/>表示线性归一化。
表示第/>个用户在第/>个数据类型在第/>次登录时输入次数的频率,因为对于正常登录的用户来说,其每一次登录的次数时一定的,并且每一次登录的时间也是区域一个定值的,那么其比值区域一个定值;而对于恶意攻击在进行登录时,会在短时间内进行多次登录,那么登录的次数较多,并且时间较短,其比值较大。/>表示每一次登录在整个登录日志数据中所占的比重,其比重越大,越说明可能是遭受到了恶意攻击。相当于是第/>个用户在第/>个数据类型的登录日志数据中的变化获得的权重。
至此,通过上述公式可以获得所有用户除第一种数据类型外的其余所有数据类型中的异常程度。
进一步需要说明的是,对前四种数据类型而言,每一次登录成功记为一次登录次数;对第五种数据类型而言,每个用户在连续一段时间T0内的输入次数记为一次登录次数,其中本实施例以T0=7秒为例进行叙述,本实施例不进行具体限定,其中T0可根据具体实施情况而定。根据每个用户的登录日志数据的历史数据的变化来计算获得每个用户登录日志数据的异常程度,因为在对登录数据进行分析时,通过分析每一次对系统的登录时数据的变化,获得点击次数与登录时间之间的关系,进而确定每个用户的在对系统登录时的异常。其能够根据每个用户对系统的登录习惯进行描述,当出现新的用户时,根据该用户的登录数据就能够获得该用户的登录异常程度值。
异常用户判定模块104,根据用户异常程度来判断用户的异常。
具体的,由于异常用户是通过获取某一系统的账号和网址,通过多次密码验证的方法进入系统,因此通过计算每个用户在进行登录时的异常程度,然后根据异常程度进行判断,预设一个异常程度阈值T1,若异常程度大于T1时,则说明当前用户是异常登录,系统将该登录账号进行锁定,并将当前用户所对应的登录静态IP地址拉入黑名单,禁止该静态IP地址再次进行登录。
需要说明的是,其中本实施例以T1=0.24为例进行叙述,本实施例不进行具体限定,其中T1可根据具体实施情况而定。
至此,本实施例完成。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。