CN116662987A - 业务系统监控方法、装置、计算机设备及存储介质 - Google Patents

业务系统监控方法、装置、计算机设备及存储介质 Download PDF

Info

Publication number
CN116662987A
CN116662987A CN202310794891.1A CN202310794891A CN116662987A CN 116662987 A CN116662987 A CN 116662987A CN 202310794891 A CN202310794891 A CN 202310794891A CN 116662987 A CN116662987 A CN 116662987A
Authority
CN
China
Prior art keywords
data
event
risk
monitoring
sensitive
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310794891.1A
Other languages
English (en)
Inventor
黄庆斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Property and Casualty Insurance Company of China Ltd
Original Assignee
Ping An Property and Casualty Insurance Company of China Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Property and Casualty Insurance Company of China Ltd filed Critical Ping An Property and Casualty Insurance Company of China Ltd
Priority to CN202310794891.1A priority Critical patent/CN116662987A/zh
Publication of CN116662987A publication Critical patent/CN116662987A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请实施例属于金融保险领域,涉及一种业务系统监控方法,包括下述步骤:获取安全规则信息,调用业务系统中对应的敏感接口;对敏感接口进行异步代理,监测敏感数据,记录敏感数据的安全事件并生成对应的监测日志;获取监测日志,通过预设的数据处理框架对监测日志进行数据整理,得到事件信息;将事件信息输入至预设的算法模型中进行数据处理,得到风险识别库;及获取待测事件,根据风险识别库对待测事件进行风险识别,并根据风险识别结果对待测事件对应的敏感数据进行处理。本申请还提供一种业务系统监控装置、计算机设备及存储介质。本申请能够提高系统对敏感数据的安全事件的风险识别准确性,同时不会影响系统性能和响应速度。

Description

业务系统监控方法、装置、计算机设备及存储介质
技术领域
本申请涉及金融科技领域,尤其涉及一种业务系统监控方法、装置、计算机设备及存储介质。
背景技术
随着信息化建设的不断深入发展,在金融业务系统中,安全性愈来愈受到重视,特别是对于一些涉及敏感数据的业务系统。例如:保险系统、银行系统、交易系统、订单系统,这些业务系统中均涉及个人的身份信息、密码信息或者企业的经营情况、交易信息等重要的敏感数据,一旦泄露,将给个人和企业造成难以估计的影响。为了有效保护业务系统中的敏感数据不被泄露,需要在业务系统中设置敏感接口来对访问敏感数据的操作进行检测,以此保护业务系统的安全,有效防止敏感数据被篡改或泄露。
目前,大多数业务系统基于固定的一些策略,对敏感接口的安全性设计较为局限,缺乏智能分析的能力,导致业务系统仅能做出简单的检查和控制,无法对访问敏感数据生成的安全事件做出准确判断,从而使业务系统存在一定的风险性。
为了解决上述问题,一些业务系统对敏感接口的安全性设计较为复杂,不仅会降低系统的性能和响应速度,还会使系统缺乏扩展性,当业务系统中出现与系统耦合性较高的安全事件时,难以进行有效的风险识别,使业务系统存在安全隐患。
发明内容
本申请实施例的目的在于提出一种业务系统监控方法、装置、计算机设备及存储介质,以解决对敏感数据的安全事件的风险识别准确性较低,同时降低系统性能和响应速度的问题。
为了解决上述技术问题,本申请实施例提供一种业务系统监控方法,采用了如下所述的技术方案:
获取安全规则信息,根据所述安全规则信息调用业务系统中对应的敏感接口;
对所述敏感接口进行异步代理,监测所述敏感接口标记的敏感数据,记录所述敏感数据的安全事件并生成对应的监测日志;
获取所有业务系统的监测日志,通过预设的数据处理框架对所有业务系统的监测日志进行数据整理,得到事件信息;
将所述事件信息输入至预设的算法模型中进行数据处理,得到风险识别库;及
获取待测事件,根据所述风险识别库对所述待测事件进行风险识别,得到风险识别结果,并根据所述风险识别结果对所述待测事件对应的敏感数据进行处理。
进一步的,所述获取安全规则信息,根据所述安全规则信息调用业务系统中对应的敏感接口的步骤,具体包括:
识别所述安全规则信息中的数据关键字;
根据所述数据关键字遍历扫描所述业务系统内的所有数据,识别与所述数据关键字相匹配的敏感数据;及
根据所述敏感数据查找对应的所述敏感接口。
进一步的,所述对所述敏感接口进行异步代理,监测所述敏感接口标记的敏感数据,记录所述敏感数据的安全事件并生成对应的监测日志的步骤,具体包括:
对所述敏感接口对应的系统代码添加预设的监测注解;
对所述监测注解进行解析,识别所述监测注解对应的敏感数据;
通过所述敏感接口标记所述敏感数据,并检测所述敏感数据是否生成对应的安全事件;
若所述敏感数据生成所述安全事件,则对所述安全事件进行记录保存,以生成所述监测日志;及
若所述敏感数据未生成所述安全事件,则在第一预定时间间隔后再次对所述敏感数据进行检测。
进一步的,所述获取所有业务系统的监测日志,通过预设的数据处理框架对所述监测日志进行数据整理,得到事件信息的步骤,具体包括:
检测所有业务系统生成的监测日志,将所述监测日志通过预设的数据传输协议发送至存储数据库;
定时读取所述存储数据库的所有所述监测日志,根据预设的分类工具对所述监测日志的安全事件进行分类处理,得到所述事件信息。
进一步的,所述将所述事件信息输入至预设的算法模型中进行数据处理,得到风险识别库的步骤,具体包括:
获取所述事件信息,将所述事件信息输入至预设的算法模型中进行数据处理,得到风险特征数据;
获取预设的特征阈值,并检测所述风险特征数据的数量是否大于等于所述特征阈值;
若所述风险特征数据的数量大于等于所述特征阈值,则根据所述风险特征数据建立所述风险识别库;及
若所述风险特征数据的数量小于所述特征阈值,则在第二预定时间间隔后再次检测所述风险特征数据的数量,直至所述风险特征数据的数量大于等于所述特征阈值。
进一步的,所述获取待测事件,根据所述风险识别库对所述待测事件进行风险识别,得到风险识别结果,并根据所述风险识别结果对所述待测事件对应的敏感数据进行处理的步骤,具体包括:
获取待测事件,将所述待测事件发送至所述风险识别库进行风险识别,得到所述风险识别结果;
检测所述风险识别结果是否含有异常风险;及
若所述风险识别结果含有所述异常风险,则识别所述待测事件对应的风险等级,根据所述风险等级对所述待测事件对应的敏感数据进行风险处理。
进一步的,在所述检测所述风险识别结果是否含有异常风险的步骤之前,还包括以下步骤:
获取预设的正常风险信息与所述风险识别结果,其中,所述正常风险信息包括:异常检测数据、IP黑白名单、高危实名操作;
根据所述异常检测数据、所述IP黑白名单、所述高危实名操作对所述风险识别结果进行筛选。
为了解决上述技术问题,本申请实施例还提供一种业务系统监控装置,采用了如下所述的技术方案:
接口识别模块,用于获取安全规则信息,根据所述安全规则信息调用业务系统中对应的敏感接口;
事件监测模块,用于对所述敏感接口进行异步代理,监测所述敏感接口标记的敏感数据,记录所述敏感数据的安全事件并生成对应的监测日志;
数据整理模块,用于获取所有业务系统的监测日志,通过预设的数据处理框架对所有业务系统的监测日志进行数据整理,得到事件信息;
数据处理模块,用于将所述事件信息输入至预设的算法模型中进行数据处理,得到风险识别库;及
风险识别模块,用于获取待测事件,根据所述风险识别库对所述待测事件进行风险识别,得到风险识别结果,并根据所述风险识别结果对所述待测事件对应的敏感数据进行处理。
为了解决上述技术问题,本申请实施例还提供一种计算机设备,采用了如下所述的技术方案:
一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述处理器执行所述计算机可读指令时实现如以上任一项所述的业务系统监控方法的步骤。
为了解决上述技术问题,本申请实施例还提供一种计算机可读存储介质,采用了如下所述的技术方案:
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机可读指令,所述计算机可读指令被处理器执行时实现如以上任一项所述的业务系统监控方法的步骤。
与现有技术相比,本申请实施例主要有以下有益效果:本实施例通过获取安全规则信息,并根据安全规则信息调用业务系统中的敏感接口,能够根据安全规则信息对敏感接口进行调整,有效提高系统的灵活性。通过对敏感接口进行异步代理,从而有效监测敏感接口标记的敏感数据,实现在不影响业务系统正常工作的情况下对敏感接口进行有效监测。通过记录对敏感数据进行操作时触发的安全事件,并生成对应的监测日志,能够有效获取对敏感数据进行的操作信息,方便后续进行处理。通过对监测日志进行数据整理,获取事件信息,并通过将获取的事件信息输入算法模型中进行数据处理,得到包含安全事件各个阶段特征的风险识别库,从而能够通过风险识别库对安全事件进行准确的风险识别。通过根据风险识别库对待测事件进行风险识别,得到风险识别结果,并根据风险识别结果对待测事件对应的敏感数据进行处理,从而能够对识别过后的敏感数据进行有效处理,以形成对业务系统的有效监控。本实施例能够提高系统对敏感数据的安全事件的风险识别准确性,同时不会影响系统性能和响应速度。本实施例可应用于保险系统、交易系统、银行系统等业务系统中对系统的安全情况进行实时监控。
附图说明
为了更清楚地说明本申请中的方案,下面将对本申请实施例描述中所需要使用的附图作一个简单介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请可以应用于其中的示例性系统架构图;
图2根据本申请的业务系统监控方法的一个实施例的流程图;
图3是图2中步骤S10的一种具体实施方式的流程图;
图4是图2中步骤S20的一种具体实施方式的流程图;
图5是图2中步骤S30的一种具体实施方式的流程图;
图6是图2中步骤S40的一种具体实施方式的流程图;
图7是图2中步骤S50的一种具体实施方式的流程图;
图8是根据本申请的业务系统监控装置的一个实施例的结构示意图;
图9是根据本申请的计算机设备的一个实施例的结构示意图。
具体实施方式
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同;本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请;本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。本申请的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
为了使本技术领域的人员更好地理解本申请方案,下面将结合附图,对本申请实施例中的技术方案进行清楚、完整地描述。
如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如网页浏览器应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving PictureExpertsGroup Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(MovingPictureExperts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上显示的页面提供支持的后台服务器。
需要说明的是,本申请实施例所提供的业务系统监控方法一般由服务器执行,相应地,业务系统监控装置一般设置于服务器中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
继续参考图2,示出了根据本申请的系统安全监控计算的方法的一个实施例的流程图。所述的业务系统监控方法,包括以下步骤:
步骤S10,获取安全规则信息,根据所述安全规则信息调用业务系统中对应的敏感接口;
步骤S20,对所述敏感接口进行异步代理,监测所述敏感接口标记的敏感数据,记录所述敏感数据的安全事件并生成对应的监测日志;
步骤S30,获取所有业务系统的监测日志,通过预设的数据处理框架对所有业务系统的监测日志进行数据整理,得到事件信息;
步骤S40,将所述事件信息输入至预设的算法模型中进行数据处理,得到风险识别库;及
步骤S50,获取待测事件,根据所述风险识别库对所述待测事件进行风险识别,得到风险识别结果,并根据所述风险识别结果对所述待测事件对应的敏感数据进行处理。
本实施例通过获取安全规则信息,并根据安全规则信息调用业务系统中的敏感接口,能够根据安全规则信息对敏感接口进行调整,有效提高系统的灵活性。通过对敏感接口进行异步代理,从而有效监测敏感接口标记的敏感数据,实现在不影响业务系统正常工作的情况下对敏感接口进行有效监测。通过记录对敏感数据进行操作时触发的安全事件,并生成对应的监测日志,能够有效获取对敏感数据进行的操作信息,方便后续进行处理。通过对监测日志进行数据整理,获取事件信息,并通过将获取的事件信息输入算法模型中进行数据处理,得到包含安全事件各个阶段特征的风险识别库,从而能够通过风险识别库对安全事件进行准确的风险识别。通过根据风险识别库对待测事件进行风险识别,得到风险识别结果,并根据风险识别结果对待测事件对应的敏感数据进行处理,从而能够对识别过后的敏感数据进行有效处理,以形成对业务系统的有效监控。本实施例能够提高系统对敏感数据的安全事件的风险识别准确性,同时不会影响系统性能和响应速度。本实施例可应用于保险系统、交易系统、银行系统等业务系统中对系统的安全情况进行实时监控。
在本实施例中,安全规则信息为预先设置的规则信息,针对不同的业务系统,安全规则信息可进行灵活设置。例如,若业务系统为保险系统,安全规则信息设置为查询个人参保信息,则根据安全规则信息调用包含个人姓名、住址、工作单位、婚姻情况等信息的敏感接口;若业务系统为交易系统,安全规则信息设置为查询个人交易信息,则根据安全规则信息调用包括个人交易记录、交易数量、交易余额、支付情况、网银账号等信息的敏感接口;若业务系统为银行系统,安全规则信息设置为查询个人存取信息,则根据安全规则信息调用包括个人存款余额、收支情况、流水记录等信息的敏感接口。在具体实施时,敏感接口所对应包含的敏感数据可以根据不同业务系统的需要进行灵活调整,同时也可在业务系统上增添或者删除敏感接口,以满足不同的业务需求。
继续参考图3,在本实施例的一些可选的实现方式中,步骤S10包括以下步骤:
步骤S101,识别所述安全规则信息中的数据关键字;
步骤S102,根据所述数据关键字遍历扫描所述业务系统内的所有数据,识别与所述数据关键字相匹配的敏感数据;及
步骤S103,根据所述敏感数据查找对应的所述敏感接口。
本实施例通过识别安全规则信息中的数据关键字,并根据数据关键字对业务系统中的数据信息进行扫描,从而有效获取与安全规则信息对应的敏感数据,并通过获取的敏感数据准确的查找出敏感接口以进行调用。
在本实施例中,安全规则信息中的数据关键字可预先设置在安全规则信息中,同时添加上脱敏的敏感接口的接口地址,以准确获取需要调用并监测的敏感接口。在具体实施时,针对不同的业务系统设置的安全规则信息所包含的数据关键字也不同,例如,若业务系统为保险系统,则数据关键字为姓名、住址、参保、保险、工作、号码等;若业务系统为交易系统,则数据关键字为姓名、交易、支付、余额、充值、记录等;若业务系统为银行系统,则数据关键字为姓名、收支、转出、转入、余额、号码等。上述的数据关键字可以根据具体情况进行对应调整。通过上述数据关键字获取到敏感数据后,可以根据敏感数据对应的数据接口来确定敏感接口,例如,数据关键字为姓名、交易、支付、余额、充值、记录,则获取的敏感数据为用户姓名、交易记录、支付记录、支付信息、账户余额、充值记录、充值金额,此时在系统代码中对上述敏感数据进行数据接口查询,可以查询到相应的数据接口,例如,用户姓名、账户余额、充值金额、支付信息对应数据接口1,交易记录、支付记录、充值记录对应数据接口3,则将数据接口1与数据接口3标记为敏感接口,从而方便系统对其进行调用。
继续参考图4,在本实施例的一些可选的实现方式中,步骤S20包括以下步骤:
步骤S201,对所述敏感接口对应的系统代码添加预设的监测注解;
步骤S202,对所述监测注解进行解析,识别所述监测注解对应的敏感数据;
步骤S203,通过所述敏感接口标记所述敏感数据,并检测所述敏感数据是否生成对应的安全事件;
步骤S204,若所述敏感数据生成所述安全事件,则对所述安全事件进行记录保存,以生成所述监测日志;及
步骤S205,若所述敏感数据未生成所述安全事件,则在第一预定时间间隔后再次对所述敏感数据进行检测。
本实施例通过对敏感接口对应的系统代码添加与敏感接口对应的监测注解,从而有效通过监测注解对敏感接口是否生成安全事件进行有效监测,同时有效形成异步代理,实现在不占用业务系统运行资源的情况下对敏感接口进行异步代理。当生成安全事件时,将安全事件进行记录保存,从而生成监测日志,以有效获取对敏感数据进行操作时的数据。
在本实施例中,由于注解本身的灵活性,因此对系统代码添加的监测注解可根据实际情况进行对应修改,从而有效变更监测的敏感接口。当敏感数据在业务系统中受到点击、查看或者修改时,会在自动触发生成对应的安全事件,每当生成安全事件时,业务系统会自动将安全事件发送至业务系统存储日志信息的保存位置进行保存,并生成监测日志。当没有安全事件生成时,业务系统会在第一预定时间间隔后再次对敏感数据进行检测,该检测可以根据实际情况设置为实时检测,在本实施例中,为了节省业务系统的运行资源,设置为每2s对敏感接口进行检测,上述第一预定时间间隔可以根据实际情况进行对应调整。
继续参考图5,在本实施例的一些可选的实现方式中,步骤S30包括以下步骤:
步骤S301,检测所有业务系统生成的监测日志,将所述监测日志通过预设的数据传输协议发送至存储数据库;
步骤S302,定时读取所述存储数据库的所有所述监测日志,根据预设的分类工具对所述监测日志的安全事件进行分类处理,得到所述事件信息。
本实施例通过将检测的监测日志发送至存储数据库,并通过读取存储数据库的监测日志,再对监测日志的安全事件进行分类处理,得到分类处理过后的事件信息,从而有效实现通过包括数据传输协议与分类工具的数据处理框架来对所有业务系统所产生的庞大数据量的监测日志进行数据整理。
在本实施例中,为了保证数据获取的准确性与有效性,上述的所有业务系统均为同一类别的业务系统,例如,所有的业务系统均为保险系统,或者所有的业务系统均为交易系统,当业务系统过多时,为了有效解决庞大数据量的监测日志,本实施例采用syslog数据传输协议,利用kafka或flume作为数据传输中间件,以Hadoop分布式文件系统、Elasticsearch缓存中间件、Clickhouse列式存储数据库作为数据持久化工具,使用Spark流式计算框架以及分类算法作为分类工具,从而有效实现对海量监测日志进行数据分析与整理。
继续参考图6,在本实施例的一些可选的实现方式中,步骤S40包括以下步骤:
步骤S401,获取所述事件信息,将所述事件信息输入至预设的算法模型中进行数据处理,得到风险特征数据;
步骤S402,获取预设的特征阈值,并检测所述风险特征数据的数量是否大于等于所述特征阈值;
步骤S403,若所述风险特征数据的数量大于等于所述特征阈值,则根据所述风险特征数据建立所述风险识别库;及
步骤S404,若所述风险特征数据的数量小于所述特征阈值,则在第二预定时间间隔后再次检测所述风险特征数据的数量,直至所述风险特征数据的数量大于等于所述特征阈值。
本实施例通过将事件信息输入至算法模型中进行数据处理,从而有效获取风险特征数据,并通过将风险特征数据的数量与特征阈值进行对比,从而获取满足数量要求的风险特征数据以建立对应的风险识别库,有效保证风险特征库对风险识别的判断准确率。
在本实施例中,上述算法模型可以是机器学习、深度学习和自然语言处理等人工智能技术的算法模型,包括但不限于:逻辑回归、决策树、卷积神经网络、VGG网络、N元模型等,在具体实施时,可根据实际情况选择更为合适的算法模型,本实施例中所列举的算法模型仅为示意。本实施例中的特征阈值为预设的数据量阈值,为了有效保证经过算法模型处理得到的风险特征数据能够满足风险识别库建立的数据量要求,在具体实施时,可以根据业务系统所能够获取的数据总量的百分比进行设置,也可以自定义值进行设置。例如,保险系统一天之内能够获取的事件信息数据量为2000件,则可将特征阈值设置为事件信息数据量的10%,即2000*10%=200,或者根据经验设置为300,总之,为了有效保证保险系统能够建立风险识别库,不需要将特征阈值设置过高,也可根据实际的风险特征数据量进行调整,例如,保险保险系统一天之内能够获取的事件信息数据量为2000件,但经过数据处理之后得到的风险特征数据为150,因此,为了保证保险系统能够快速建立风险识别库,可以将特征阈值设置为120,从而使保险系统快速获取风险识别库以对敏感数据进行检测,上述的特征阈值可以根据实际情况进行对应调整,以获取更为符合实际情况的合理值。同时,上述第二预定时间间隔的时间值可以与第一预定时间间隔的时间值设置为相同,也可以根据实际情况进行调整。
继续参考图7,在本实施例的一些可选的实现方式中,步骤S50包括以下步骤:
步骤S501,获取待测事件,将所述待测事件发送至所述风险识别库进行风险识别,得到所述风险识别结果;
步骤S502,检测所述风险识别结果是否含有异常风险;及
步骤S503,若所述风险识别结果含有所述异常风险,则识别所述待测事件对应的风险等级,根据所述风险等级对所述待测事件对应的敏感数据进行风险处理;及
步骤S504,若所述风险识别结果不含有所述异常风险,则对下一风险识别结果进行检测。
本实施例通过获取待测事件生成的待测事件信息,并将待测事件发送至风险识别库中进行风险识别,从而有效对待测事件进行准确的风险识别。通过对风险识别结果进行检测,从而识别出风险识别结果中是否含有异常风险,当风险识别结果检测出含有异常风险时,对该异常风险进行识别,根据识别的风险等级对待测事件对应的敏感数据进行风险处理,从而有效实现对带有风险的敏感数据操作进行准确识别与处理。
在本实施例中,在业务系统中预存有高危操作识别表,通过将风险识别结果与高位操作识别表进行对比来检测是否含有异常风险。当业务系统中检测存在风险识别库后,将获取的安全事件作为待测事件,根据风险识别结果识别待测事件对应的风险等级,本实施例中风险等级共设置有三级,包括:一级风险、二级风险、三级风险,对应的风险处理为若风险等级为一级风险,则对待测事件对应的敏感数据进行跟踪处理,当敏感数据触发设置的敏感操作时,对敏感数据进行锁定,从而使敏感数据变为不可操作或者无响应状态,并发送与风险等级对应的报警信息至通知系统进行报警提醒;若风险等级为二级风险,则对待测事件对应的敏感数据进行锁定,将敏感数据设置为不可操作或者无响应状态,并发送与风险等级对应的报警信息至通知系统进行报警提醒;若风险等级为三级风险,则将待测事件对应的敏感数据进行隐藏,并对敏感数据进行调整,使与所述敏感数据关联的所有敏感数据皆变为不可操作或者无响应状态,上述关联关系可以在业务系统中进行预先设置,当执行完上述操作后,发送与风险等级对应的报警信息至通知系统进行报警提醒。在具体实施时,上述风险等级的设置、异常风险的内容与对应的风险处理可以根据实际情况进行对应调整。
在本实施例的一些可选的实现方式中,在步骤S502之前,还包括以下步骤:
获取预设的正常风险信息与所述风险识别结果,其中,所述正常风险信息包括:异常检测数据、IP黑白名单、高危实名操作;
根据所述异常检测数据、所述IP黑白名单、所述高危实名操作对所述风险识别结果进行筛选。
本实施例通过获取正常风险信息与风险识别结果,能够有效根据正常风险信息对风险识别结果进行预先筛选,从而有效识别业务系统中允许的正常操作,提高系统的稳定性。
在本实施例中,异常检测数据为业务系统的检测模块获取的对安全事件识别检测错误的结果,为了避免对同一安全事件进行重复错误判断,从而在业务系统存在运行错误时不会发出风险警报,而是发出对应的系统错误警报,方便后端及时对业务系统进行数据维修。IP黑白名单根据访问业务系统的IP地址来控制对该IP地址的开放权限,可根据需求进行对应设置。高危实名操作为业务系统中识别到允许访问系统的访问者需要开放进一步访问重要权限或者隐私权限时开启的实名认证操作,根据实名认证结果可以对该访问者进行开放允许或者静止操作。上述的正常风险信息可以根据实际情况进行对应调整,以获取更有效、准确的筛选效果。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机可读指令来指令相关的硬件来完成,该计算机可读指令可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等非易失性存储介质,或随机存储记忆体(Random Access Memory,RAM)等。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
进一步参考图8,作为对上述图8所示方法的实现,本申请提供了一种业务业务系统监控装置的一个实施例,该装置实施例与图1所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图8所示,本实施例所述的业务系统监控装置600包括:接口识别模块601、事件监测模块602、数据整理模块603、数据处理模块604以及风险识别模块605。其中:
接口识别模块601,用于获取安全规则信息,根据所述安全规则信息调用业务系统中对应的敏感接口;
事件监测模块602,用于对所述敏感接口进行异步代理,监测所述敏感接口标记的敏感数据,记录所述敏感数据的安全事件并生成对应的监测日志;
数据整理模块603,用于获取所有业务系统的监测日志,通过预设的数据处理框架对所有业务系统的监测日志进行数据整理,得到事件信息;
数据处理模块604,用于将所述事件信息输入至预设的算法模型中进行数据处理,得到风险识别库;及
风险识别模块605,用于获取待测事件,根据所述风险识别库对所述待测事件进行风险识别,得到风险识别结果,并根据所述风险识别结果对所述待测事件对应的敏感数据进行处理。
本实施例通过采用上述装置,能够提高系统对敏感数据的安全事件的风险识别准确性,同时不会影响系统性能和响应速度。
为解决上述技术问题,本申请实施例还提供计算机设备。具体请参阅图9,图9为本实施例计算机设备基本结构框图。
所述计算机设备7包括通过系统总线相互通信连接存储器71、处理器72、网络接口73。需要指出的是,图中仅示出了具有组件71-73的计算机设备7,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。其中,本技术领域技术人员可以理解,这里的计算机设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(ApplicationSpecific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable GateArray,FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
所述存储器71至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器71可以是所述计算机设备7的内部存储单元,例如该计算机设备7的硬盘或内存。在另一些实施例中,所述存储器71也可以是所述计算机设备7的外部存储设备,例如该计算机设备7上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(FlashCard)等。当然,所述存储器71还可以既包括所述计算机设备7的内部存储单元也包括其外部存储设备。本实施例中,所述存储器71通常用于存储安装于所述计算机设备7的操作系统和各类应用软件,例如业务系统监控方法的计算机可读指令等。此外,所述存储器71还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器72在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器72通常用于控制所述计算机设备7的总体操作。本实施例中,所述处理器72用于运行所述存储器71中存储的计算机可读指令或者处理数据,例如运行所述业务系统监控方法的计算机可读指令。
所述网络接口73可包括无线网络接口或有线网络接口,该网络接口73通常用于在所述计算机设备7与其他电子设备之间建立通信连接。
本实施例通过采用上述计算机设备,能够提高系统对敏感数据的安全事件的风险识别准确性,同时不会影响系统性能和响应速度。
本申请还提供了另一种实施方式,即提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可读指令,所述计算机可读指令可被至少一个处理器执行,以使所述至少一个处理器执行如上述的业务系统监控方法的步骤。
本实施例通过采用上述计算机可读存储介质,能够提高系统对敏感数据的安全事件的风险识别准确性,同时不会影响系统性能和响应速度。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
显然,以上所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例,附图中给出了本申请的较佳实施例,但并不限制本申请的专利范围。本申请可以以许多不同的形式来实现,相反地,提供这些实施例的目的是使对本申请的公开内容的理解更加透彻全面。尽管参照前述实施例对本申请进行了详细的说明,对于本领域的技术人员来而言,其依然可以对前述各具体实施方式所记载的技术方案进行修改,或者对其中部分技术特征进行等效替换。凡是利用本申请说明书及附图内容所做的等效结构,直接或间接运用在其他相关的技术领域,均同理在本申请专利保护范围之内。

Claims (10)

1.一种业务系统监控方法,其特征在于,包括下述步骤:
获取安全规则信息,根据所述安全规则信息调用业务系统中对应的敏感接口;
对所述敏感接口进行异步代理,监测所述敏感接口标记的敏感数据,记录所述敏感数据的安全事件并生成对应的监测日志;
获取所有业务系统的监测日志,通过预设的数据处理框架对所有业务系统的监测日志进行数据整理,得到事件信息;
将所述事件信息输入至预设的算法模型中进行数据处理,得到风险识别库;及
获取待测事件,根据所述风险识别库对所述待测事件进行风险识别,得到风险识别结果,并根据所述风险识别结果对所述待测事件对应的敏感数据进行处理。
2.根据权利要求1所述的业务系统监控方法,其特征在于,所述获取安全规则信息,根据所述安全规则信息调用业务系统中对应的敏感接口的步骤,具体包括:
识别所述安全规则信息中的数据关键字;
根据所述数据关键字遍历扫描所述业务系统内的所有数据,识别与所述数据关键字相匹配的敏感数据;及
根据所述敏感数据查找对应的所述敏感接口。
3.根据权利要求1所述的业务系统监控方法,其特征在于,所述对所述敏感接口进行异步代理,监测所述敏感接口标记的敏感数据,记录所述敏感数据的安全事件并生成对应的监测日志的步骤,具体包括:
对所述敏感接口对应的系统代码添加预设的监测注解;
对所述监测注解进行解析,识别所述监测注解对应的敏感数据;
通过所述敏感接口标记所述敏感数据,并检测所述敏感数据是否生成对应的安全事件;
若所述敏感数据生成所述安全事件,则对所述安全事件进行记录保存,以生成所述监测日志;及
若所述敏感数据未生成所述安全事件,则在第一预定时间间隔后再次对所述敏感数据进行检测。
4.根据权利要求1所述的业务系统监控方法,其特征在于,所述获取所有业务系统的监测日志,通过预设的数据处理框架对所述监测日志进行数据整理,得到事件信息的步骤,具体包括:
检测所有业务系统生成的监测日志,将所述监测日志通过预设的数据传输协议发送至存储数据库;
定时读取所述存储数据库的所有所述监测日志,根据预设的分类工具对所述监测日志的安全事件进行分类处理,得到所述事件信息。
5.根据权利要求1所述的业务系统监控方法,其特征在于,所述将所述事件信息输入至预设的算法模型中进行数据处理,得到风险识别库的步骤,具体包括:
获取所述事件信息,将所述事件信息输入至预设的算法模型中进行数据处理,得到风险特征数据;
获取预设的特征阈值,并检测所述风险特征数据的数量是否大于等于所述特征阈值;
若所述风险特征数据的数量大于等于所述特征阈值,则根据所述风险特征数据建立所述风险识别库;及
若所述风险特征数据的数量小于所述特征阈值,则在第二预定时间间隔后再次检测所述风险特征数据的数量,直至所述风险特征数据的数量大于等于所述特征阈值。
6.根据权利要求1所述的业务系统监控方法,其特征在于,所述获取待测事件,根据所述风险识别库对所述待测事件进行风险识别,得到风险识别结果,并根据所述风险识别结果对所述待测事件对应的敏感数据进行处理的步骤,具体包括:
获取所述待测事件,将所述待测事件发送至所述风险识别库进行风险识别,得到所述风险识别结果;
检测所述风险识别结果是否含有异常风险;及
若所述风险识别结果含有所述异常风险,则识别所述待测事件对应的风险等级,根据所述风险等级对所述待测事件对应的敏感数据进行风险处理。
7.根据权利要求6所述的业务系统监控方法,其特征在于,在所述检测所述风险识别结果是否含有异常风险的步骤之前,还包括以下步骤:
获取预设的正常风险信息与所述风险识别结果,其中,所述正常风险信息包括:异常检测数据、IP黑白名单、高危实名操作;
根据所述异常检测数据、所述IP黑白名单、所述高危实名操作对所述风险识别结果进行筛选。
8.一种业务系统监控装置,其特征在于,包括:
接口识别模块,用于获取安全规则信息,根据所述安全规则信息调用业务系统中对应的敏感接口;
事件监测模块,用于对所述敏感接口进行异步代理,监测所述敏感接口标记的敏感数据,记录所述敏感数据的安全事件并生成对应的监测日志;
数据整理模块,用于获取所有业务系统的监测日志,通过预设的数据处理框架对所有业务系统的监测日志进行数据整理,得到事件信息;
数据处理模块,用于将所述事件信息输入至预设的算法模型中进行数据处理,得到风险识别库;及
风险识别模块,用于获取待测事件,根据所述风险识别库对所述待测事件进行风险识别,得到风险识别结果,并根据所述风险识别结果对所述待测事件对应的敏感数据进行处理。
9.一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述处理器执行所述计算机可读指令时实现如权利要求1至7中任一项所述的业务系统监控方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机可读指令,所述计算机可读指令被处理器执行时实现如权利要求1至7中任一项所述的业务系统监控方法的步骤。
CN202310794891.1A 2023-06-30 2023-06-30 业务系统监控方法、装置、计算机设备及存储介质 Pending CN116662987A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310794891.1A CN116662987A (zh) 2023-06-30 2023-06-30 业务系统监控方法、装置、计算机设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310794891.1A CN116662987A (zh) 2023-06-30 2023-06-30 业务系统监控方法、装置、计算机设备及存储介质

Publications (1)

Publication Number Publication Date
CN116662987A true CN116662987A (zh) 2023-08-29

Family

ID=87717144

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310794891.1A Pending CN116662987A (zh) 2023-06-30 2023-06-30 业务系统监控方法、装置、计算机设备及存储介质

Country Status (1)

Country Link
CN (1) CN116662987A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117609994A (zh) * 2023-12-06 2024-02-27 乘乘智数科技(深圳)有限公司 一种基于数据安全的非侵入式数据监控方法及系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117609994A (zh) * 2023-12-06 2024-02-27 乘乘智数科技(深圳)有限公司 一种基于数据安全的非侵入式数据监控方法及系统

Similar Documents

Publication Publication Date Title
Lu et al. Insider threat detection with long short-term memory
Cao et al. Machine learning to detect anomalies in web log analysis
CN110442712B (zh) 风险的确定方法、装置、服务器和文本审理系统
JP7120350B2 (ja) セキュリティ情報分析方法、セキュリティ情報分析システム、及び、プログラム
US9887944B2 (en) Detection of false message in social media
CN112491602A (zh) 行为数据的监控方法、装置、计算机设备及介质
CN109542764B (zh) 网页自动化测试方法、装置、计算机设备和存储介质
CN114553456B (zh) 数字身份网络警报
CN114244611B (zh) 异常攻击检测方法、装置、设备及存储介质
CN115329381A (zh) 基于敏感数据的分析预警方法、装置、计算机设备及介质
CN116662987A (zh) 业务系统监控方法、装置、计算机设备及存储介质
CN110866700B (zh) 确定企业员工信息泄露源的方法及装置
CN110955890A (zh) 恶意批量访问行为的检测方法、装置和计算机存储介质
CN110365642B (zh) 监控信息操作的方法、装置、计算机设备及存储介质
CN116991675A (zh) 一种异常访问监控方法、装置、计算机设备及存储介质
CN113904828B (zh) 接口的敏感信息检测方法、装置、设备、介质和程序产品
CN115470489A (zh) 检测模型训练方法、检测方法、设备以及计算机可读介质
Canelón et al. Unstructured data for cybersecurity and internal control
CN112257100A (zh) 敏感数据保护效果的检测方法、装置及存储介质
Bo et al. Tom: A threat operating model for early warning of cyber security threats
CN111782967A (zh) 信息处理方法、装置、电子设备和计算机可读存储介质
CN111858782A (zh) 基于信息安全的数据库构建方法、装置、介质与设备
CN111598159B (zh) 机器学习模型的训练方法、装置、设备及存储介质
US11588843B1 (en) Multi-level log analysis to detect software use anomalies
CN112528330B (zh) 日志扫描方法、装置和设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination