CN116647653B - 基于视频日志关联检索的安全运维操作监控系统及方法 - Google Patents

基于视频日志关联检索的安全运维操作监控系统及方法 Download PDF

Info

Publication number
CN116647653B
CN116647653B CN202310930540.9A CN202310930540A CN116647653B CN 116647653 B CN116647653 B CN 116647653B CN 202310930540 A CN202310930540 A CN 202310930540A CN 116647653 B CN116647653 B CN 116647653B
Authority
CN
China
Prior art keywords
maintenance
security
video
matching
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310930540.9A
Other languages
English (en)
Other versions
CN116647653A (zh
Inventor
刘新闻
陈宗朗
张燕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Jingyuan Safety Technology Co ltd
Original Assignee
Guangzhou Jingyuan Safety Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Jingyuan Safety Technology Co ltd filed Critical Guangzhou Jingyuan Safety Technology Co ltd
Priority to CN202310930540.9A priority Critical patent/CN116647653B/zh
Publication of CN116647653A publication Critical patent/CN116647653A/zh
Application granted granted Critical
Publication of CN116647653B publication Critical patent/CN116647653B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/1805Append-only file systems, e.g. using logs or journals to store data
    • G06F16/1815Journaling file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/70Information retrieval; Database structures therefor; File system structures therefor of video data
    • G06F16/71Indexing; Data structures therefor; Storage structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/70Information retrieval; Database structures therefor; File system structures therefor of video data
    • G06F16/73Querying
    • G06F16/732Query formulation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/83Generation or processing of protective or descriptive data associated with content; Content structuring
    • H04N21/845Structuring of content, e.g. decomposing content into time segments
    • H04N21/8456Structuring of content, e.g. decomposing content into time segments by decomposing the content in the time domain, e.g. in time segments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N5/00Details of television systems
    • H04N5/76Television signal recording
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S10/00Systems supporting electrical power generation, transmission or distribution
    • Y04S10/50Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了基于视频日志关联检索的安全运维操作监控系统及方法,涉及信息安全技术领域,包括远程终端、工作终端和服务器;工作终端用于控制远程终端,并录制安全运维操作、生成录屏视频日志后上传至服务器;服务器上运行有远程安全运维平台,该平台包括录屏视频日志库、视频元数据数据库、安全事件数据库、安全运维工单管理模块和视频关联检索算法模块;本发明通过记录远程安全运维过程的视频日志,并提取其中的关键信息,结合视频关联检索算法模块和多条件匹配可以实现对视频日志片段的精准定位,为远程运维的监控和复现提供有效手段,辅助进行安全事件的发现、分析与取证,提高远程运维的效率和安全性,从而更好地保障企业的信息安全。

Description

基于视频日志关联检索的安全运维操作监控系统及方法
技术领域
本发明涉及信息安全技术领域,尤其涉及基于视频日志关联检索的安全运维操作监控系统及方法。
背景技术
网络信息系统的安全运维逐渐成为网络信息系统安全运维工作的重要方式,可以有效提高安全运维工作的效率,降低安全运维工作的成本以及加快应急处置的速度。在安全运维工作中,安全运维工作人员需要使用技术手段进入被服务网络信息系统进行操作,为确保操作过程的安全性符合国家相关法律法规及安全运维服务协议的要求,安全运维工作应被全程记录形成日志,并提供对日志的检索和回溯的能力,以及时发现安全运维工作中可能存在的安全违规事件,并在必要时,提取相关日志作为追究事件责任的证据。但在安全运维工作模式下,安全运维工作人员操作个人计算机使用互联网通信通道接入被服务系统内网开展安全运维工作,由于不在被服务系统本地进行安全运维操作,无法对操作人员的操作行为现场监督,所以需要在安全运维过程中对操作人员所操作的个人计算机进行录屏,将录屏视频作为重要的日志审计手段。
录屏视频属于非结构化日志数据,因此对视频日志进行有效检索和回溯成为安全运维平台安全监测系统的关键技术。在安全运维领域,对录屏视频日志进行检索的条件是针对安全运维操作过程中的安全违规事件的,即需要通过特定的检索技术快速定位安全事件相关的视频片段,以供进一步的视频分析及取证。安全违规事件的检索条件包括:安全事件发生时间,即疑似发生安全事件的时间段;安全事件发生的主体,即疑似被攻击系统、关联攻击系统,以及安全运维操作人员违规访问的系统;安全事件发生的动作,即通信报文中存在的疑似攻击特征、操作人员操作指令中疑似攻击特征等;安全事件发生的结果,即疑似被攻击系统或关联系统的异常行为特征。安全运维安全审计系统需要对安全运维操作录频视频日志依据上述检索条件快速定位视频片段以供分析和取证。目前对操作人员录屏视频检索的方法包括:
1.基于时间进行视频分段,以快速提取落在检索时间段内的视频片段;或者依据视频数据内的时间标签快速定位检索时间内的视频片段;这种方法只在时间一个维度上对视频日志进行检索,只能在已明确知晓安全事件发生时间段的情况下能够提取安全事件相关视频日志,但是在安全事件发生事件不明确的情况下调查分析安全事件时,基于时间段就不能准确定位视频日志片段;
2.使用机器学习、人工智能等算法对视频呈现的可见内容进行机器辅助分析、辅助检索。这种方法可以在一定程度上对视频可见内容进行机器辅助的自动化识别与分析,但网络信息系统安全运维中的安全事件的定位涉及通信层流量、应用层行为特征等层面的信息分析,也涉及到安全运维工作终端之外的网络信息系统/终端的通信流量、应用层行为特征等信息,无法从录屏视频日志的可见内容中获得这些信息。因此,只针对录屏视频呈现的可见内容进行分析不足以进行安全事件分析、定位以及取证。
因此,亟需提出基于视频日志关联检索的安全运维操作监控系统及方法,以解决上述问题。
发明内容
针对现有技术存在的问题,本发明提供了基于视频日志关联检索的安全运维操作监控系统及方法,通过使用多维度信息,检索、定位远程安全运维过程中与安全事件相关的录屏视频日志片段,辅助进行安全事件的发现、分析与取证。
本发明的技术方案是这样实现的:
基于视频日志关联检索的安全运维操作监控系统,所述安全运维操作监控系统运行于服务器上,所述服务器与若干台安全运维工作终端连接,所述安全运维工作终端与安全运维目标网络连接,所述安全运维目标网络中包括若干个安全运维目标系统;所述服务器还与远程安全运维平台连接,所述远程安全运维平台上设有安全运维工单管理模块;
所述安全运维工作终端对所述安全运维目标系统进行远程安全运维操作,同时录制屏幕生成安全运维操作录屏视频日志,所述安全运维操作录屏视频日志被上传至所述安全运维操作监控系统;在所述安全运维目标网络中会发生安全事件,其中,发生安全事件的所述安全运维目标系统为安全事件主体;
所述安全运维操作监控系统包括录屏视频日志库、安全运维工单数据库、安全事件数据库、视频元数据数据库和视频关联检索算法模块;其中,在所述安全运维操作监控系统上预设有视频分片大小值,所述安全运维操作监控系统在时间轴上根据所述视频分片大小值将接收到的所述安全运维操作录屏视频日志分段为视频片段文件,再将所述视频片段文件存储于所述录屏视频日志库中;所述安全运维工单数据库记录了每一次安全运维操作中由所述安全运维工单管理模块产生的工单数据;所述安全事件数据库中存储有安全日志信息;所述视频元数据数据库中存储有视频片段元数据,其中,所述视频片段元数据由所述安全运维工单数据库中的数据结合所述视频片段文件对应的所述安全运维工作终端的IP地址及视频片段录制时间生成;所述视频关联检索算法模块用于根据视频日志检索指令,关联所述视频元数据数据库、所述安全运维工单数据库和所述安全事件数据库中的数据,执行关联检索算法,定位、检索并输出所述视频片段文件。通过对录屏视频日志文件进行固定长度切片,一方面是能方便视频片段文件的管理,另一方面是视频片段文件更小,更方面精准定位安全事故发生的时间轴上的位置,以辅助运维人员快速复现安全事故场景。
作为以上方案的进一步优化,所述工单数据包括安全运维工单编号,安全运维操作时间,安全运维操作人员名称、安全运维工作终端的IP地址、安全运维目标网络的IP地址、安全运维目标系统的IP地址。其中,安全运维操作时间是指一个时间段。
作为以上方案的进一步优化,所述视频片段元数据包括视频片段文件名称、安全运维工单编号、安全运维操作时间和视频片段录制时间。
作为以上方案的进一步优化,所述安全日志信息包括安全运维目标网络中的TCP/IP通信日志、安全运维目标系统的系统日志和安全工具上报的安全日志数据;所述安全事件数据库用于安全事件检索。
作为以上方案的进一步优化,所述视频日志检索指令为由若干个检索条件组成的逻辑表达式;
所述检索条件包含的信息为安全运维操作人员名称、安全运维操作时间和安全事件检索条件;所述安全事件检索条件为安全事件发生时间、发生安全事件的安全运维目标网络的IP地址、安全事件参数或安全事件地址匹配条件的任意一种或逻辑组合;
所述安全事件地址匹配条件包括安全事件主体匹配条件和安全事件相关地址匹配条件;其中,所述安全事件主体匹配条件或所述安全事件相关地址匹配条件对应匹配的条件为安全运维工作终端、安全运维目标系统、安全运维人员或不指定匹配条件。
本发明还提供了基于视频日志关联检索的安全运维操作监控方法,应用了上述的基于视频日志关联检索的安全运维操作监控系统,包括如下步骤:
S1、提交视频日志检索指令:用户提交所述视频日志检索指令到所述安全运维操作监控系统;
S2、分析视频日志检索指令:所述视频关联检索算法模块将所述视频日志检索指令分解为若干个检索条件;将所述检索条件分解为若干个原子匹配条件;根据所述原子匹配条件检索安全运维工单数据库;
S3、初步检索:根据原子匹配条件进行初步检索,得到所述检索条件对应的匹配结果;
S4、合并匹配结果:对得到的若干个匹配结果进行逻辑运算,得到最终检索条件;多条件检索时,逻辑运算表达式可以帮助用户精准地筛选出所需要的信息,通过将多个条件结合起来,可以更加准确地描述用户的信息需求,避免产生模糊或过于宽泛的搜索结果。
S5、元数据检索:查询所述视频元数据数据库中符合所述最终检索条件的视频片段文件的文件名称;
S6、调取视频片段文件:根据S5中得到的所述视频片段文件名称从所述录屏视频日志库中调取并返回所述视频片段文件,同时返回相关安全事件的描述。
作为以上方案的进一步优化,步骤S2中,检索安全运维工单数据库,即根据安全运 维操作人员名称和安全运维操作时间检索对应的安全运维工单集合,记为,其中,, 表示一个安全运维工单,表示所述安全运维工单的ID,表示安全运维工 作终端的IP地址,表示安全运维目标系统的IP地址,表示安全运 维目标网络的IP地址,表示即安全运维操作时间。
作为以上方案的进一步优化,步骤S3的具体步骤如下:
步骤S31、所述安全事件检索条件被分解为若干个原子匹配条件;根据类型为安全 事件检索条件的原子匹配条件对安全事件数据库进行检索,得到结果,其中,代表安全事件的集合,,代表每一个安全事件,是 安全事件的描述,是所述安全事件主体的IP地址的集合,是安全事件相关IP地 址集合,即安全事件发生过程中和安全事件主体进行安全事件相关的通信的IP地址集合,表示发生安全事件的安全运维目标网络的IP地址,是安全事件发生的时间 段;
步骤S32、遍历中的每一个,根据在所述安全运维工单数 据库中进行检索,得到一个工单集合,对于依次对应的的安全运维目标网络的IP地址和中发生安全事件的安全运维目标网络的 IP地址相同,即相同,并且有交集;
步骤S33、根据进行安全事件主体匹配和安全事件相关地址匹 配,匹配结果分别记为,其中,
对于类型为安全事件主体匹配条件的原子匹配条件,若匹配内容为安全运维工作 终端,则
若匹配内容为安全运维目标系统,则
若匹配内容为安全运维人员,则
若不指定匹配条件,则
对于类型为安全事件相关地址匹配条件的原子匹配条件,若匹配内容为安全运维 工作终端,则
若匹配内容为安全运维目标系统,则
若匹配内容为安全运维人员,则
若不指定匹配条件,则
步骤S34、合并,最终得到的匹配结果 为为 安全运维工单集合。
作为以上方案的进一步优化,步骤S4中,若所述视频日志检索指令中的所述检索条件数量大于1个,则对得到的若干个匹配结果进行逻辑运算,得到最终检索条件;
否则,所述匹配结果即为所述最终检索条件;
所述最终检索条件为安全运维工单集合。
其中,若所述检索条件数量大于1,则设所述视频日志检索指令中任意两个检索条 件分别为,对应的结果分别为
之间为“与”运算,则所述最终检索条件为,即
之间为“或”运算,则所述最终检索条件为
作为以上方案的进一步优化,步骤S5中,根据所述最终检索条件检索所述视频元数据数据库,根据每一个task的task_id和time查找的所述视频片段文件名称。
有益效果如下:
本发明提供的基于视频日志关联检索的安全运维操作监控系统及方法,具有以下好处:
(1)精准定位事故片段,提高远程运维的安全性:通过录制视频日志,可以对运维的过程进行全程记录,使操作可以追溯、可查;对视频日志进行切片,提取关键信息后,结合视频关联检索算法模块可以实现对安全事故发生行为的视频日志片段进行多条件匹配,最终高效、精确地找到目标视频片段。可以辅助运维人员清晰的复现运维过程中的操作流程,分析事故发生的原因;同时也可以对安全事故的操作进行取证,有效防止管理人员的滥用,减少企业的安全风险;
(2)提高运维人员效率:运维管理员可以通过精准定位视频日志,找到运维过程中的问题所在,优化操作流程,提高运维效率。
综上,通过记录安全运维过程的视频日志,并提取其中的关键信息,可以为运维的监控和复现提供有效手段,提高运维的效率和安全性,从而更好地保障安全运维操作过程中的信息安全。
附图说明
图1是本发明实施例提供的基于视频日志关联检索的安全运维操作监控系统的系统结构图;
图2是本发明实施例提供的基于视频日志关联检索的安全运维操作监控方法的流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本实施例提供了一种基于视频日志关联检索的安全运维操作监控系统,所述安全运维操作监控系统运行于服务器上,所述服务器与若干台安全运维工作终端连接,所述安全运维工作终端与安全运维目标网络连接,所述安全运维目标网络中包括若干个安全运维目标系统;所述服务器还与远程安全运维平台连接,所述远程安全运维平台上设有安全运维工单管理模块;
所述安全运维工作终端对所述安全运维目标系统进行远程安全运维操作,同时录制屏幕生成安全运维操作录屏视频日志,所述安全运维操作录屏视频日志被上传至所述安全运维操作监控系统;在所述安全运维目标网络中会发生安全事件,其中,发生安全事件的所述安全运维目标系统为安全事件主体;
所述安全运维操作监控系统包括录屏视频日志库、安全运维工单数据库、安全事件数据库、视频元数据数据库和视频关联检索算法模块;其中,在所述安全运维操作监控系统上预设有视频分片大小值,所述安全运维操作监控系统在时间轴上根据所述视频分片大小值将接收到的所述安全运维操作录屏视频日志分段为视频片段文件,再将所述视频片段文件存储于所述录屏视频日志库中;
所述安全运维工单数据库记录了每一次安全运维操作中由所述安全运维工单管理模块产生的工单数据;在本实施例中,所述工单数据包括安全运维工单编号,安全运维操作时间,安全运维操作人员名称、安全运维工作终端的IP地址、安全运维目标网络的IP地址、安全运维目标系统的IP地址;
所述安全事件数据库中存储有安全日志信息;所述安全日志信息包括安全运维目标网络中的TCP/IP通信日志、安全运维目标系统的系统日志和安全工具上报的安全日志数据;所述安全事件数据库用于安全事件检索。
所述视频元数据数据库中存储有视频片段元数据,其中,所述视频片段元数据由所述安全运维工单数据库中的数据结合所述视频片段文件对应的所述安全运维工作终端的IP地址及视频片段录制时间生成;在本实施例中,所述视频片段元数据包括视频片段文件名称、安全运维工单编号、安全运维操作时间和视频片段录制时间。
所述视频关联检索算法模块用于根据视频日志检索指令,关联所述视频元数据数据库、所述安全运维工单数据库和所述安全事件数据库中的数据,执行关联检索算法,定位、检索并输出所述视频片段文件。
在本实施例中,所述视频日志检索指令为由若干个检索条件组成的逻辑表达式;
所述检索条件包含的信息为安全运维操作人员名称、安全运维操作时间和安全事件检索条件;所述安全事件检索条件为安全事件发生时间、发生安全事件的安全运维目标网络的IP地址、安全事件参数或安全事件地址匹配条件的任意一种或逻辑组合;
所述安全事件地址匹配条件包括安全事件主体匹配条件和安全事件相关地址匹配条件;其中,所述安全事件主体匹配条件或所述安全事件相关地址匹配条件对应匹配的条件为安全运维工作终端、安全运维目标系统、安全运维人员或不指定匹配条件。
通过对录屏视频日志文件进行固定长度切片,一方面是能方便视频片段文件的管理,另一方面是视频片段文件更小,更方面精准定位安全事故发生的时间轴上的位置,以辅助运维人员快速复现安全事故场景。
如图2所示,本实施例还提供了一种基于视频日志关联检索的安全运维操作监控方法,应用了上述的基于视频日志关联检索的安全运维操作监控系统,包括如下步骤:
S1、提交视频日志检索指令:用户提交所述视频日志检索指令到所述安全运维操作监控系统;
S2、分析视频日志检索指令:所述视频关联检索算法模块将所述视频日志检索指令分解为若干个检索条件;将所述检索条件分解为若干个原子匹配条件;根据所述原子匹配条件检索安全运维工单数据库;
检索安全运维工单数据库,即根据安全运维操作人员名称和安全运维操作时间检 索对应的安全运维工单集合,记为,其中,,表示一个安全运维工 单,表示所述安全运维工单的ID,表示安全运维工作终端的IP地 址,表示安全运维目标系统的IP地址,表示安全运维目标网络的 IP地址,表示即安全运维操作时间 ;
S3、初步检索:根据原子匹配条件进行初步检索,得到所述检索条件对应的匹配结果;具体步骤如下:
步骤S31、所述安全事件检索条件被分解为若干个原子匹配条件;根据类型为安全 事件检索条件的原子匹配条件对安全事件数据库进行检索,得到结果,其中,代表安全事件的集合,,代表每一个安全事件,是安 全事件的描述,是所述安全事件主体的IP地址的集合,是安全事件相关IP地址集 合,即安全事件发生过程中和安全事件主体进行安全事件相关的通信的IP地址集合,表示发生安全事件的安全运维目标网络的IP地址,是安全事件发生的时间 段;
步骤S32、遍历中的每一个,根据在所述安全运维工单数 据库中进行检索,得到一个工单集合,对于依次对应的的安全运维目标网络的IP地址和中发生安全事件的安全运维目标网络的 IP地址相同,并且有交集;
步骤S33、根据进行安全事件主体匹配和安全事件相关地址匹 配,匹配结果分别记为,其中,
对于类型为安全事件主体匹配条件的原子匹配条件,若匹配内容为安全运维工作 终端,则
若匹配内容为安全运维目标系统,则
若匹配内容为安全运维人员,则
若不指定匹配条件,则
对于类型为安全事件相关地址匹配条件的原子匹配条件,若匹配内容为安全运维 工作终端,则
若匹配内容为安全运维目标系统,则
若匹配内容为安全运维人员,则
若不指定匹配条件,则
步骤S34、合并,最终得到的匹配结果 为为 安全运维工单集合。
S4、合并匹配结果:对得到的若干个匹配结果进行逻辑运算,得到最终检索条件;若所述视频日志检索指令中的所述检索条件数量大于1个,则对得到的若干个匹配结果进行逻辑运算,得到最终检索条件;
否则,所述匹配结果即为所述最终检索条件;
所述最终检索条件为安全运维工单集合。
其中,若所述检索条件数量大于1,则设所述视频日志检索指令中任意两个检索条 件分别为,对应的结果分别为
之间为“与”运算,则所述最终检索条件为,即
之间为“或”运算,则所述最终检索条件为
S5、元数据检索:查询所述视频元数据数据库中符合所述最终检索条件的视频片段文件的文件名称;即根据最终检索条件中每一个task的task_id和time查找的所述视频片段文件名称。
S6、调取视频片段文件:根据S5中得到的所述视频片段文件名称从所述录屏视频日志库中调取并返回所述视频片段文件,同时返回相关安全事件的描述。
通过视频检索指令的多个检索条件和元数据的匹配,方便快速、高效的查找到目标视频片段文件;匹配条件越多,检索结果也更为准确,速度也更快。
以下为系统的一个应用示例:
视频日志检索指令如下:
检索条件1 or 检索条件2,其中检索条件1记为Cond1,内容为
安全运维操作人员名称:张三;
安全运维时间:2020年1月1日10点0分到2020年1月7日10点0分的时间段;
安全事件检索条件:2020年1月1日10点0分到2020年1月7日10点0分期间客户甲的目标网络network1中,客户关系系统发生了一分钟内大于60次的根用户登录失败安全事件;
安全事件主体匹配条件:匹配指定安全运维人员;
安全事件相关地址匹配条件:不指定匹配条件;
检索条件2记为Cond2,内容为
安全运维操作人员名称:不指定;
安全运维时间:不指定;
安全事件检索条件:2020年1月1日10点0分到2020年1月7日10点0分期间客户甲的目标网络network1中,客户关系系统发生了持续一分钟的总流量大于基线流量3倍标准差以上的大流量事件;
安全事件主体匹配条件:不指定匹配条件;
安全事件相关地址匹配条件:匹配安全运维终端;
步骤S2将检索条件分解为cond1和cond2两个检索条件,分别进行检索运算:
针对cond1,首先检索安全运维工单数据库,得到检索条件中安全运维人员张三在2020年1月1日10点0分到2020年1月7日10点0分的时间段内执行的所有安全运维工作对应的安全运维工单集合,记为
; 检索安全事件数据库得到安全事件发生时安全事件集合
, 在 安全事件发生时以安全事件发生的网络为安全运维目标网络的所有安全运维工单的工单 集合
根据安全事件主体匹配条件:匹配指定安全运维人员进行匹配,得到;根据安全事件相关地址匹 配条件:不指定匹配条件进行匹配,得到;最终
针对cond2,检索安全事件数据库得到安全事件发生时安全事件集合
;全
事件发生时以安全事件发生的网络为安全运维目标网络的所有安全运维工单的工单集合
;
根据安全事件主体匹配条件:不指定匹配条件进行匹配,得到;根据安全事件相关地址匹配条件:匹配安全运维终端进 行匹配,得到 ;最终
两个检索条件的关系是“或”,因此最终的检索结果是cond1对应的原子检索结果和cond2对应的原子检索结果的并集,即
使用以上结果查询视频元数据数据库,得到对应的两个视频片段的文件10033-2020-1-3-10-15,10052-2020-1-5-10-00,最终输出对应的视频日志片段返回检索人员。
根据上述说明书的揭示和教导,本发明所属领域的技术人员还可以对上述实施方式进行变更和修改。因此,本发明并不局限于上面揭示和描述的具体实施方式,对本发明的一些修改和变更也应当落入本发明的权利要求的保护范围内。此外,尽管本说明书中使用了一些特定的术语,但这些术语只是为了方便说明,并不对本发明构成任何限制。

Claims (10)

1.基于视频日志关联检索的安全运维操作监控系统,所述安全运维操作监控系统运行于服务器上,所述服务器与若干台安全运维工作终端连接,所述安全运维工作终端与安全运维目标网络连接,所述安全运维目标网络中包括若干个安全运维目标系统;所述服务器还与远程安全运维平台连接,所述远程安全运维平台上设有安全运维工单管理模块;其特征在于,
所述安全运维工作终端对所述安全运维目标系统进行远程安全运维操作,同时录制屏幕生成安全运维操作录屏视频日志,所述安全运维操作录屏视频日志被上传至所述安全运维操作监控系统;在所述安全运维目标网络中会发生安全事件,其中,发生安全事件的所述安全运维目标系统为安全事件主体;
所述安全运维操作监控系统包括录屏视频日志库、安全运维工单数据库、安全事件数据库、视频元数据数据库和视频关联检索算法模块;其中,在所述安全运维操作监控系统上预设有视频分片大小值,所述安全运维操作监控系统在时间轴上根据所述视频分片大小值将接收到的所述安全运维操作录屏视频日志分段为视频片段文件,再将所述视频片段文件存储于所述录屏视频日志库中;所述安全运维工单数据库记录了每一次安全运维操作中由所述安全运维工单管理模块产生的工单数据;所述安全事件数据库中存储有安全日志信息;所述视频元数据数据库中存储有视频片段元数据,其中,所述视频片段元数据由所述安全运维工单数据库中的数据结合所述视频片段文件对应的所述安全运维工作终端的IP地址及视频片段录制时间生成;所述视频关联检索算法模块用于根据视频日志检索指令,关联所述视频元数据数据库、所述安全运维工单数据库和所述安全事件数据库中的数据,执行关联检索算法,定位、检索并输出所述视频片段文件。
2.根据权利要求1所述的基于视频日志关联检索的安全运维操作监控系统,其特征在于,所述工单数据包括安全运维工单编号,安全运维操作时间,安全运维操作人员名称、安全运维工作终端的IP地址、安全运维目标网络的IP地址、安全运维目标系统的IP地址。
3.根据权利要求2所述的基于视频日志关联检索的安全运维操作监控系统,其特征在于,所述视频片段元数据包括视频片段文件名称、安全运维工单编号、安全运维操作时间和视频片段录制时间。
4.根据权利要求3所述的基于视频日志关联检索的安全运维操作监控系统,其特征在于,所述安全日志信息包括安全运维目标网络中的TCP/IP通信日志、安全运维目标系统的系统日志和安全工具上报的安全日志数据;所述安全事件数据库用于安全事件检索。
5.根据权利要求4所述的基于视频日志关联检索的安全运维操作监控系统,其特征在于,所述视频日志检索指令为由若干个检索条件组成的逻辑表达式;
所述检索条件包含的信息为安全运维操作人员名称、安全运维操作时间和安全事件检索条件;所述安全事件检索条件为安全事件发生时间、发生安全事件的安全运维目标网络的IP地址、安全事件参数或安全事件地址匹配条件的任意一种或逻辑组合;
所述安全事件地址匹配条件包括安全事件主体匹配条件和安全事件相关地址匹配条件;其中,所述安全事件主体匹配条件或所述安全事件相关地址匹配条件对应匹配的条件为安全运维工作终端、安全运维目标系统、安全运维人员或不指定匹配条件。
6.基于视频日志关联检索的安全运维操作监控方法,其特征在于,应用了如权利要求5中所述的基于视频日志关联检索的安全运维操作监控系统,包括如下步骤:
S1、提交视频日志检索指令:用户提交所述视频日志检索指令到所述安全运维操作监控系统;
S2、分析视频日志检索指令:所述视频关联检索算法模块将所述视频日志检索指令分解为若干个检索条件;将所述检索条件分解为若干个原子匹配条件;根据所述原子匹配条件检索安全运维工单数据库;
S3、初步检索:根据原子匹配条件进行初步检索,得到所述检索条件对应的匹配结果;
S4、合并匹配结果:对得到的若干个匹配结果进行逻辑运算,得到最终检索条件;
S5、元数据检索:查询所述视频元数据数据库中符合所述最终检索条件的视频片段文件的文件名称;
S6、调取视频片段文件:根据S5中得到的所述视频片段文件名称从所述录屏视频日志库中调取并返回所述视频片段文件,同时返回相关安全事件的描述。
7.根据权利要求6所述的基于视频日志关联检索的安全运维操作监控方法,其特征在于,步骤S2中,检索安全运维工单数据库,即根据安全运维操作人员名称和安全运维操作时间检索对应的安全运维工单集合,记为,其中,,表示一个安全运维工单,/>表示所述安全运维工单的ID,/>表示安全运维工作终端的IP地址,表示安全运维目标系统的IP地址,/>表示安全运维目标网络的IP地址,/>表示安全运维操作时间。
8.根据权利要求7所述的基于视频日志关联检索的安全运维操作监控方法,其特征在于,步骤S3的具体步骤如下:
步骤S31、所述安全事件检索条件被分解为若干个原子匹配条件;根据类型为安全事件检索条件的原子匹配条件对安全事件数据库进行检索,得到结果,其中,/>代表安全事件的集合,,代表每一个安全事件,/>是安全事件的描述,/>是所述安全事件主体的IP地址的集合,/>是安全事件相关IP地址集合,即安全事件发生过程中和安全事件主体进行安全事件相关的通信的IP地址集合,表示发生安全事件的安全运维目标网络的IP地址,/>是安全事件发生的时间段;
步骤S32、遍历中的每一个/>,根据/>和/>在所述安全运维工单数据库中进行检索,得到一个工单集合/>,对于依次对应的/>和/>,/>的安全运维目标网络的IP地址和/>中发生安全事件的安全运维目标网络的IP地址相同,且/>与/>有交集;
步骤S33、根据和/>进行安全事件主体匹配和安全事件相关地址匹配,匹配结果分别记为/>和/>,其中,
对于类型为安全事件主体匹配条件的原子匹配条件,若匹配内容为安全运维工作终端,则
若匹配内容为安全运维目标系统,则
若匹配内容为安全运维人员,则
若不指定匹配条件,则
对于类型为安全事件相关地址匹配条件的原子匹配条件,若匹配内容为安全运维工作终端,则
若匹配内容为安全运维目标系统,则
若匹配内容为安全运维人员,则
若不指定匹配条件,则
步骤S34、合并和/>,最终得到的匹配结果为,/>为安全运维工单集合。
9.根据权利要求8所述的基于视频日志关联检索的安全运维操作监控方法,其特征在于,步骤S4中,若所述视频日志检索指令中的所述检索条件数量大于1个,则对得到的若干个匹配结果进行逻辑运算,得到最终检索条件;
否则,所述匹配结果即为所述最终检索条件;
所述最终检索条件为安全运维工单集合;
其中,若所述检索条件数量大于1,则设所述视频日志检索指令中任意两个检索条件分别为和/>,对应的结果分别为/>和/>
和/>之间为“与”运算,则所述最终检索条件为/>,即
和/>之间为“或”运算,则所述最终检索条件为/>
10.根据权利要求9所述的基于视频日志关联检索的安全运维操作监控方法,其特征在于,步骤S5中,根据所述最终检索条件检索所述视频元数据数据库,根据每一个task的task_id和time查找的所述视频片段文件名称。
CN202310930540.9A 2023-07-27 2023-07-27 基于视频日志关联检索的安全运维操作监控系统及方法 Active CN116647653B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310930540.9A CN116647653B (zh) 2023-07-27 2023-07-27 基于视频日志关联检索的安全运维操作监控系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310930540.9A CN116647653B (zh) 2023-07-27 2023-07-27 基于视频日志关联检索的安全运维操作监控系统及方法

Publications (2)

Publication Number Publication Date
CN116647653A CN116647653A (zh) 2023-08-25
CN116647653B true CN116647653B (zh) 2023-10-13

Family

ID=87643866

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310930540.9A Active CN116647653B (zh) 2023-07-27 2023-07-27 基于视频日志关联检索的安全运维操作监控系统及方法

Country Status (1)

Country Link
CN (1) CN116647653B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103024348A (zh) * 2012-11-06 2013-04-03 前卫视讯(北京)科技发展有限公司 视频监控的运维管理系统
CN105391687A (zh) * 2015-10-13 2016-03-09 南京联成科技发展有限公司 一种向中小企业提供信息安全运维服务的系统与方法
CN106126401A (zh) * 2016-05-19 2016-11-16 北京朋创天地科技有限公司 一种基于安全虚拟桌面的视频检索方法
CN107833406A (zh) * 2016-09-16 2018-03-23 东芝泰格有限公司 信息处理装置及控制方法、终端设备
KR102463260B1 (ko) * 2022-08-04 2022-11-07 호서대학교 산학협력단 인공지능 수행을 위한 동영상 작업 지시서의 구간 검색 데이터 생성 방법 및 장치

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103024348A (zh) * 2012-11-06 2013-04-03 前卫视讯(北京)科技发展有限公司 视频监控的运维管理系统
CN105391687A (zh) * 2015-10-13 2016-03-09 南京联成科技发展有限公司 一种向中小企业提供信息安全运维服务的系统与方法
CN106126401A (zh) * 2016-05-19 2016-11-16 北京朋创天地科技有限公司 一种基于安全虚拟桌面的视频检索方法
CN107833406A (zh) * 2016-09-16 2018-03-23 东芝泰格有限公司 信息处理装置及控制方法、终端设备
KR102463260B1 (ko) * 2022-08-04 2022-11-07 호서대학교 산학협력단 인공지능 수행을 위한 동영상 작업 지시서의 구간 검색 데이터 생성 방법 및 장치

Also Published As

Publication number Publication date
CN116647653A (zh) 2023-08-25

Similar Documents

Publication Publication Date Title
US10919148B2 (en) Event processing using robotic entities
CN107147639A (zh) 一种基于复杂事件处理的实时安全预警方法
CN105138709B (zh) 一种基于物理内存分析的远程取证系统
WO2019084072A1 (en) GRAPHIC MODEL FOR ALERT INTERPRETATION IN AN ENTERPRISE SECURITY SYSTEM
CN112560029A (zh) 基于智能分析技术的网站内容监测和自动化响应防护方法
CN111274218A (zh) 一种电力信息系统多源日志数据处理方法
CN113516565A (zh) 一种基于知识库的电力监控系统告警智能处理方法及其装置
KR102189127B1 (ko) 행위 기반 룰 처리 장치 및 그 처리 방법
CN116647653B (zh) 基于视频日志关联检索的安全运维操作监控系统及方法
CN114116872A (zh) 数据处理方法、装置、电子设备及计算机可读存储介质
CN112288317B (zh) 一种基于多源异构数据治理的工业大数据分析平台和方法
CN110909380B (zh) 一种异常文件访问行为监控方法和装置
CN116389148B (zh) 一种基于人工智能的网络安全态势预测系统
US20180295145A1 (en) Multicomputer Digital Data Processing to Provide Information Security Control
CN112395513A (zh) 一种舆情传播力分析方法
CN115174205B (zh) 一种网络空间安全实时监测方法、系统及计算机存储介质
CN117118857A (zh) 基于知识图谱的网络安全威胁管理系统及方法
CN110866624A (zh) 化工事故预测方法和系统
CN114048346B (zh) 一种基于gis的安全生产一体化管控平台及方法
CN112839029B (zh) 一种僵尸网络活跃度的分析方法与系统
AlSaed et al. An Integrated Framework Implementation For Cloud Forensics Investigation Using Logging Tool
CN117633297B (zh) 基于注释的视频检索方法、装置、系统及介质
CN110933064A (zh) 确定用户行为轨迹的方法及其系统
JP6501159B2 (ja) コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。
CN116707834B (zh) 一种基于云存储的分布式大数据取证与分析平台

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant