CN117978836A - 应用于云监控服务平台的大屏态势感知系统 - Google Patents

应用于云监控服务平台的大屏态势感知系统 Download PDF

Info

Publication number
CN117978836A
CN117978836A CN202410246659.9A CN202410246659A CN117978836A CN 117978836 A CN117978836 A CN 117978836A CN 202410246659 A CN202410246659 A CN 202410246659A CN 117978836 A CN117978836 A CN 117978836A
Authority
CN
China
Prior art keywords
behavior
short
term
authorized user
objects
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202410246659.9A
Other languages
English (en)
Other versions
CN117978836B (zh
Inventor
张淑云
苏茂俊
纵帮龙
熊江松
李虎林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anhui Joyfull Information Science And Technology Co ltd
Original Assignee
Anhui Joyfull Information Science And Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anhui Joyfull Information Science And Technology Co ltd filed Critical Anhui Joyfull Information Science And Technology Co ltd
Priority to CN202410246659.9A priority Critical patent/CN117978836B/zh
Publication of CN117978836A publication Critical patent/CN117978836A/zh
Application granted granted Critical
Publication of CN117978836B publication Critical patent/CN117978836B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Debugging And Monitoring (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了应用于云监控服务平台的大屏态势感知系统,涉及安全评估技术领域,本发明通过设置用户行为分析模块,对授权用户每次登录过程中触发的所有操作对象时间进行分析得到每个授权用户的所有行为对象以及每个行为对象的第一行为分析表和第二行为分析表,再结合行为监控评估模块基于当前触发的一次操作对象事件的触发时间,分析回溯的P1时间内该授权用户每次登录过程中操作对象时间得到其的短期行为对象和短期行为参照表,从而对当前该授权用户的一次操作对象事件进行安全评估判定,使对当前授权用户的异常行为判定基础囊括其往期的操作数据并着重结合其近期的操作数据,使对授权用户的操作行为判定更加准确。

Description

应用于云监控服务平台的大屏态势感知系统
技术领域
本发明涉及安全评估技术领域,具体涉及应用于云监控服务平台的大屏态势感知系统。
背景技术
大屏态势感知系统是一种用于监控和显示实时数据的信息管理系统,其具备数据汇总和展示的功能,通过采集和整合不同数据源的信息,将各种监控指标、报警信息、日志、事件等数据进行汇总和展示,以便用户一目了然地了解整体的系统运行状况;
而应用于云监控服务平台的大屏态势感知系统,专门用于监控和管理用户云环境中的各类资源和服务,它旨在提供全面的实时监控、性能分析、故障排查、基础运维和报警通知等功能,以帮助企业或组织有效管理其云基础设施和应用,同时对平台进行多维度的定期安全检查以保证平台中监管的各类资源的安全,在针对授权用户在平台上的操作行为进行异常判定,是通过分析其往期的所有操作数据来分析其的行为特征从而对用户当前在平台上的操作行为进行异常判定,然而授权用户在平台上的操作是基于授权用户的需求的,在近期的一段时间内授权用户可能因为某个需求原因导致操作行为偏向于某一类或者某一项,此时再对授权用户当前在平台上的操作行为进行异常判定时,还只是通过对其往期的操作数据来进行统一分析判定,没有着重结合其近期的操作数据,这样使得对授权用户的操作行为判定不够准确;
为了解决上述问题,本发明提出了一种解决方案。
发明内容
本发明的目的在于提供应用于云监控服务平台的大屏态势感知系统,为了解决现有技术中在对授权用户在平台上的操作行为进行异常判定时,没有着重结合其近期的操作数据,这样使得对授权用户的操作行为判定不够准确的问题;
本发明的目的可以通过以下技术方案实现:
应用于云监控服务平台的大屏态势感知系统,包括:
硬件监控模块,用于对所属授权用户所有硬件设备的参数对象进行实时监控,软件监控模块,用于对所属授权用户所有虚拟设备的参数对象进行实时监控,存储监控模块,用于对所属授权用户的存储服务器的参数对象进行实时监控;
用户行为分析模块,用于对授权用户每次登录中触发的所有操作对象时间进行分析得到所有授权用户的行为分析链,以及其的所有行为对象的第一行为分析表和第二行为分析表;
行为监控评估模块,用于对登录过程中授权用户触发的所有次操作对象事件进行监控评估;
基于授权用户在当前登录过程中触发的一次操作对象事件,基于触发此次操作对象事件的触发时间,回溯P1时间内该授权用户所有次登录中触发的操作对象事件,同时基于触发此次操作对象事件的操作类型和参数对象按照预设评估规则对此次操作对象事件进行安全评估。
进一步的,还包括安全告警模块,用于向授权用户进行安全告警,所述安全告警模块中存储有所有授权用户的邮箱和手机号码。
进一步的,所述用户行为分析模块分析得到所有授权用户的行为分析链,以及其的所有行为对象的第一行为分析表和第二行为分析表的具体分析步骤如下:
S11:首先选定一授权用户为待分析对象;
S12:获取待分析对象在过去一次登录中触发的所有操作对象事件,并按照其的事件记录数据中包含的触发时间距离当前时刻的远近顺序,从远到近依次将所有次操作对象事件标记为A1、A2、...、Aa,a≥1;
S13:分别将操作对象事件A1、A2、A3、...、Aa的事件记录数据中包含的参数对象和操作类型与一个顶点进行绑定,按照A1、A2、A3、...、Aa的顺序,依次将与A1、A2、...、Aa的事件记录数据中包含的参数对象和操作类型绑定的顶点使用有向边进行连接,得到待分析对象在该次登录的操作行为路径;
S14:按照S12到S13,获取待分析对象在过去所有次登录过程中触发的所有次操作对象事件,并依据其生成待分析对象在过去所有次登录的操作行为路径;
S15:按照预设计算规则计算获取行为权重F1的第一行为分析表和第二行为分析表,具体如下:
S16:按照从左到右的顺序,获取待分析对象在过去每次登录的操作行为路径中位于第一、二、...、i个的顶点,按照S15,依次得到待分析对象的i个行为对象I1、I2、...、Ii,以及行为对象I1、I2、...、Ii的第一行为分析表和第二行为分析表,所述i为待分析对象在过去所有次登录的操作行为路径中长度最长的一条操作行为路径中所包含的顶点数量;
依据待分析对象的i个行为对象生成待分析对象的行为分析链,所述待分析对象的行为分析链中包含有i个顶点,从左到右,i个顶点依次和行为对象I1、I2、...、Ii相对应;
S17:依次选定所有授权用户为待分析对象,按照S11到S16依次得到每个授权用户的行为分析链以及每个授权用户的所有行为对象的第一行为分析表和第二行为分析表。
本发明的有益效果:
(1)本发明通过设置硬件监控模块、软件监控模块和存储监控模块分别对所属授权用户所有硬件设备、虚拟设备和存储服务器的参数对象进行实时监控并用列表的形式向授权用户进行显示,协助授权用户便利的对其硬件设备、软件设备和存储服务器进行管理;
(2)本发明通过设置用户行为分析模块,对授权用户每次登录过程中触发的所有操作对象时间进行分析得到每个授权用户的所有行为对象以及每个行为对象的第一行为分析表和第二行为分析表,再结合行为监控评估模块基于当前触发的一次操作对象事件的触发时间,分析回溯的P1时间内该授权用户每次登录过程中操作对象时间得到其的短期行为对象和短期行为参照表,从而对当前该授权用户的一次操作对象事件进行安全评估判定,使对当前授权用户的异常行为判定基础囊括其往期的操作数据并着重结合其近期的操作数据,通过这种方式,使对授权用户的操作行为判定更加准确,进一步的保证了平台资源的安全性。
附图说明
下面结合附图对本发明作进一步的说明。
图1是本发明的系统框图;
图2是本发明行为监控评估模块的方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例一,如图1、2所示,应用于云监控服务平台的大屏态势感知系统,包括硬件监控模块、软件监控模块、存储监控模块、行为监控评估模块、安全告警模块和用户行为分析模块;
所述硬件监控模块,用于对所属授权用户的所有硬件设备的参数对象进行实时监控并用列表的形式向授权用户进行显示,所述硬件设备指代的是为云主机实例提供计算、网络、存储等资源的物理主机。所述授权用户指代的是经过云监控服务平台信任授权允许登录的用户;
针对一个授权用户,对所属其的所有硬件设备的参数对象进行实时监控并用列表的形式向该授权用户进行显示,一个所述硬件设备的参数对象包括物理主机名称、平台名称、物理机IP、设备状态、CPU使用率、内存使用率、宽带上下行、收包数、创建时间等,这里需要说明的是,硬件设备参数对象中包含的平台名称,指代的是提供该硬件设备租用服务的平台的名称;
在本发明的一个实施例中,授权用户可对显示所属其硬件设备的参数对象的列表进行搜索、导出、启用、重连、更改设备状态、设置告警、批量设置告警等操作;
在本发明的一个实施例中,一个所述硬件设备的设备状态可以是启动状态、就绪状态或维护状态这三种状态中的一种;
在本发明的一个实施例中,授权用户可对所属其的所有硬件设备的参数对象进行增、删、改和查操作;
软件监控模块,用于对所属授权用户的所有虚拟设备的参数对象进行实时监控并用列表的形式向授权用户进行显示,所述虚拟设备指代的是运行在物理主机上的虚拟机实例,具有独立的IP地址,可以访问公共网络,运行应用服务;
针对一个授权用户,对其所属的所有虚拟设备的参数对象进行实时监控并用列表的形式向该授权用户进行显示,一个所述虚拟设备的参数对象包括虚拟设备名称、平台名称、弹性IP、更改设备状态、CPU使用率、内存使用率、磁盘使用率、IPV4地址、MAC地址、集群、CPU架构、创建时间等,这里需要说明的是,虚拟设备参数对象中包含的平台名称指代的是其运行在的物理主机租用服务的平台的名称;
在本发明的一个实施例中,授权用户可对显示其对应虚拟设备参数对象的列表进行搜索、添加云主机、导出、以及停止虚拟机,关闭操作系统,重启虚拟机/启动虚拟机,虚拟机回收,查看云磁盘,挂载磁盘,卸载磁盘,查看快照,设置告警,批量设置告警等操作;
在本发明的一个实施例中,授权用户可对所属其的所有虚拟设备的参数对象进行增、删、改和查操作;
在本发明的一个实施例中,一个所述虚拟设备的设备状态可以是启动状态、就绪状态或维护状态这三种状态中的一种;
所述存储监控模块,用于对所属授权用户的存储服务器的参数对象进行实时监控并用列表的形式向其进行显示;
针对一个授权用户,对所属其的存储服务器的参数对象进行实时监控并用列表的形式向该授权用户进行显示,这里的存储服务器用于存储虚拟主机磁盘文件,包括根云盘、数据云盘、根云盘快照、数据云盘快照、镜像缓存等,一个所述存储服务器的参数对象包括存储名称、平台名称、URL、状态、类型、容量使用率、总容量、创建时间等;
在本发明的一个实施例中,授权用户可对显示存储服务器参数对象的列表进行搜索、导出、设置告警,设置批量告警等操作;
在本发明的一个实施例中,授权用户可对所属其的存储服务器的参数对象进行增、删、改和查操作;
行为监控评估模块,用于对登录过程中授权用户触发的所有次操作对象事件进行监控和安全评估;
基于授权用户在当前登录过程中触发的一次操作对象事件,所述行为监控评估模块按照预设评估规则对其此次操作对象事件进行安全评估,具体预设评估规则如下:
S21:获取授权用户触发此次操作对象事件的触发时间、操作类型和参数对象,将操作类型标记为J1,参数对象标记为J2;
S22:基于授权用户触发此次操作对象事件的触发时间,往前回溯P1时间,获取在这P1时间内该授权用户所有次登录中触发的操作对象事件,所述P1为预设评估回溯时间阈值;
S23:按照S12到S14,计算获取该授权用户在这P1时间内该授权用户所有次登录的操作行为路径;
S24:按照预设短期计算规则计算获取该授权用户的一个短期行为对象Q1,具体如下:
S241:按照从左到右的顺序,获取该授权用户在这P1时间内该授权用户所有次登录的操作行为路径中位于第一个的顶点,分别标记为K1、K2、...、Kk,k≥1;
S242:依次获取与顶点K1、K2、...、Kk绑定的参数对象并对其进行去重,将去重后的参数对象依次标记为M1、M2、...、Mm,1≤m≤k;
S243:利用公式Nn=Mn/k,n=1、2、...、m依次计算获取参数对象M1、M2、...、Mm的短期行为权重N1、N2、...、Nm,所述Mn指代的是不同参数对象在与顶点K1、K2、...、Kk绑定的参数对象中重复的数量;
将Nmax所属参数对象标定为该授权用户的一个短期行为对象Q1,将Nmax和短期行为对象Q1建立关联映射,所述Nmax为短期行为权重N1、N2、...、Nm中的最大值;
S244:利用公式计算获取增操作类型基于短期行为对象Q1的短期操作权重T1,所述r为与顶点K1、K2、...、Kk绑定的操作类型中属于增操作类型的总数量,所述R1为在与顶点K1、K2、...、Kk绑定的操作类型和参数对象中操作类型属于增操作类型且参数对象为短期行为对象Q1的数量,所述β1、β2分别为预设第一、第二短期占比调节系数;
S245:按照S244,依次计算获取增、删、改、查操作类型基于短期行为对象Q1的短期操作权重T1、T2、T3和T4并从中选取值最大的短期操作权重和其所属操作类型,将其和其所属操作类型与短期行为对象Q1建立关联映射;
S25:按照从左到右的顺序,获取该授权用户在这P1时间内该授权用户所有次登录的操作行为路径中位于第一、二、...、u个的顶点,按照S25,依次得到该授权用户的u个短期行为对象Q1、Q2、...、Qu以及每个短期行为对象对应的短期行为权重;
S26:依次将短期行为对象Q1、Q2、...、Qu对应的短期行为权重和P2进行大小比较,将小于P2的短期行为权重进行删除,并按照Q1、Q2、...、Qu的顺序,将剩余所有的短期行为权重所属短期行为对象依次重新标记为V1、V2、...、Vv,1≤v≤u,所述P2为预设短期筛选对象比较阈值;
S27:按照S24到S26依次计算获取增、删、改、查操作类型基于短期行为对象V1、V2、...、Vv的短期操作权重并从中选取值最大的短期操作权重和其所属操作类型,将其和对应短期行为对象进行绑定;
同时依据短期行为对象V1、V2、...、Vv的短期行为权重和短期操作权重生成该授权用户的短期行为参照表;
S28:基于操作类型J1和参数对象J2在该授权用户的短期行为参照表中获取短期行为对象为参数对象J2的短期行为权重W1,以及所属操作类型为操作类型J1的短期操作权重W2;
基于操作类型J1和参数对象J2在该授权用户的第一行为分析表中获取行为对象为参数对象J2的行为权重W3,以及所属操作类型为操作类型J1的操作权重W4;
S29:利用公式X1=W1W2×λ1+W 3W4×λ2计算获取该授权用户基于此次操作事件的安全评估指数X1,所述λ1、λ2分别为预设短期和长期权重调节占比因子;
将X1和P3进行大小比较,若X1<P3,限制该授权用户继续对任何操作对象进行操作,同时依据该授权用户此次操作对象事件的触发时间、操作类型和参数对象生成该授权用户基于此次操作对象事件的事件告警指令并将其传输到安全告警模块,反正则不做任何处理;
所述安全告警模块,用于向授权用户进行安全告警,所述安全告警模块中存储有所有授权用户的邮箱和手机号码;
所述安全告警模块接收到传输的该授权用户基于此次操作对象事件的事件告警指令后将此次操作对象事件的触发时间、操作类型和参数对象分别以邮件和短信的方式传输到该授权用户绑定的邮箱和手机中;
基于授权用户的一次登录,将其在此次登录中对参数对象进行的一次操作记作触发了一次操作对象事件,记录此次操作对象事件的触发时间、操作类型和参数对象,将其作为该操作对象事件的事件记录数据;
这里需要说明的是,针对参数对象进行的一次操作指代的是对参数对象进行增、删、改和查四种操作类型中的任意一种操作类型,这里的参数对象可以为硬件设备的参数对象、虚拟设备的参数对象或存储服务器的参数对象;
用户行为分析模块,用于对授权用户每次登录中触发的所有操作对象事件进行分析,所述用户行为分析模块中存储有所有授权用户在过去所有次登录过程中触发的所有次操作对象事件的事件记录数据;
用户行为分析模块,周期性对授权用户每次登录中触发的所有操作对象事件进行分析的具体分析步骤如下:
S11:首先选定一授权用户为待分析对象;
S12:获取待分析对象在过去一次登录中触发的所有操作对象事件,并按照其的事件记录数据中包含的触发时间距离当前时刻的远近顺序,从远到近依次将所有次操作对象事件标记为A1、A2、...、Aa,a≥1;
S13:分别将操作对象事件A1、A2、A3、...、Aa的事件记录数据中包含的参数对象和操作类型与一个顶点进行绑定,按照A1、A2、A3、...、Aa的顺序,依次将与A1、A2、...、Aa的事件记录数据中包含的参数对象和操作类型绑定的顶点使用有向边进行连接,得到待分析对象在该次登录的操作行为路径;
所述有向边为一条带箭头的线段,具有一个明确的指向,将A1、A2的事件记录数据中包含的参数对象和操作类型绑定的顶点连接的有向边,它的指向是从与A1的事件记录数据中包含的参数对象和操作类型绑定的顶点指向与A2的事件记录数据中包含的参数对象和操作类型绑定的顶点;其余顶点之间有向边的指向以此类推;
同时需要说明的是,得到待分析对象在该次登录的操作行为路径中的所有顶点是有顺序的,按照从左到右,依次是与A1、A2、...、Aa的事件记录数据中包含的参数对象和操作类型绑定的顶点;
S14:按照S12到S13,获取待分析对象在过去所有次登录过程中触发的所有次操作对象事件,并依据其生成待分析对象在过去所有次登录的操作行为路径;
S15:按照预设计算规则计算获取行为权重F1的第一行为分析表和第二行为分析表,具体如下:
S151:按照从左到右的顺序,获取待分析对象在过去每次登录的操作行为路径中位于第一个的顶点,分别标记为B1、B2、...、Bb,b≥1;
S152:依次获取与顶点B1、B2、...、Bb绑定的参数对象并对其进行去重,将去重后的参数对象依次标记为C1、C2、...、Cc,1≤c≤b;
这里需要说明的是,与顶点B1、B2、...、Bb绑定的参数对象可能相同,因此需要对其进行去重;
S153:利用公式Ed=Dd/b,d=1、2、...、c依次计算获取参数对象C1、C2、...、Cc的行为权重E1、E2、...、Ec,所述Dd指代的是不同参数对象在与顶点B1、B2、...、Bb绑定的参数对象中重复的数量,Ed指代的是不同参数对象在与顶点B1、B2、...、Bb绑定的参数对象中重复的数量所占的权重;
S154:将Emax所属的参数对象标定为待分析对象的一个行为对象,标记为F1,将Emax和行为对象F1进行关联映射,所述Emax为行为权重E1、E2、...、Ec中的最大值;
S155:利用公式计算获取增操作类型基于行为对象F1的操作权重H1,所述g为与顶点B1、B2、...、Bb绑定的操作类型中属于增操作类型的总数量,所述G1为在与顶点B1、B2、...、Bb绑定的操作类型和参数对象中操作类型属于增操作类型且参数对象为行为对象F1的数量,所述ɑ1、ɑ2分别为预设第一、第二占比调节系数;
S156:按照S155,依次计算获取增、删、改、查操作类型基于行为对象F1的操作权重H1、H2、H3和H4并从中选取值最大的操作权重和其所属操作类型,将其和其所属操作类型和行为对象F1建立关联映射;
S157:依据行为对象F1和其对应的行为权重H1、行为权重E1、E2、...、Ec中除Emax之外的其他行为权重和其所属参数对象生成行为对象F1的第一行为分析表;
按照S155到S156,依次计算增、删、改、查操作类型基于行为权重E1、E2、...、Ec中除Emax之外的其他行为权重所属参数对象的操作权重,并依据其和增、删、改、查操作类型基于行为对象F1的操作权重H1、H2、H3和H4生成行为对象F1的第二行为分析表;
所述行为对象F1的第一行为分析表中包含有对象和权重两个字段,对象字段中存储有行为对象F1和行为权重E1、E2、...、Ec中除Emax之外的其他行为权重所属参数对象,权重字段中存储有行为对象F1的行为权重和行为权重E1、E2、...、Ec中除Emax之外的其他行为权重;
所述行为对象F2的第二行为分析表中包含有增、删、改、查和对象五种字段,所述对象字段中存储有行为对象F1和行为权重E1、E2、...、Ec中除Emax之外的其他行为权重所属参数对象,所述增、删、改、查字段中对应存储有增、删、改、查操作类型分别基于行为对象F1和行为权重E1、E2、...、Ec中除Emax之外的其他行为权重所属参数对象的操作权重;
S16:按照从左到右的顺序,获取待分析对象在过去每次登录的操作行为路径中位于第一、二、...、i个的顶点,按照S15,依次得到待分析对象的i个行为对象I1、I2、...、Ii,以及行为对象I1、I2、...、Ii的第一行为分析表和第二行为分析表,所述i为待分析对象在过去所有次登录的操作行为路径中长度最长的一条操作行为路径中所包含的顶点数量;
依据待分析对象的i个行为对象生成待分析对象的行为分析链,所述待分析对象的行为分析链中包含有i个顶点,从左到右,i个顶点依次和行为对象I1、I2、...、Ii相对应;
S17:依次选定所有授权用户为待分析对象,按照S11到S16依次得到每个授权用户的行为分析链以及每个授权用户的所有行为对象的第一行为分析表和第二行为分析表;
所述用户行为分析模块将所有授权用户的行为分析链,以及其的所有行为对象的第一行为分析表和第二行为分析表传输到行为监控评估模块中进行更新存储;
实施例二,当授权用户登出时,由行为监控评估模块将此次登录中授权用户触发所有次操作对象事件的事件记录数据传输到用户行为分析模块中进行存储;
在说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上内容仅仅是对本发明所作的举例和说明,所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离发明或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。
以上对本发明的一个实施例进行了详细说明,但所述内容仅为本发明的较佳实施例,不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等,均应仍归属于本发明的专利涵盖范围之内。

Claims (8)

1.应用于云监控服务平台的大屏态势感知系统,其特征在于,包括:
硬件监控模块,用于对所属授权用户所有硬件设备的参数对象进行实时监控,软件监控模块,用于对所属授权用户所有虚拟设备的参数对象进行实时监控,存储监控模块,用于对所属授权用户的存储服务器的参数对象进行实时监控;
用户行为分析模块,用于对授权用户每次登录中触发的所有操作对象时间进行分析得到所有授权用户的行为分析链,以及其的所有行为对象的第一行为分析表和第二行为分析表;
行为监控评估模块,用于对登录过程中授权用户触发的所有次操作对象事件进行监控评估;
基于授权用户在当前登录过程中触发的一次操作对象事件,基于触发此次操作对象事件的触发时间,回溯P1时间内该授权用户所有次登录中触发的操作对象事件,同时基于触发此次操作对象事件的操作类型和参数对象按照预设评估规则对此次操作对象事件进行安全评估,所述P1为预设评估回溯时间阈值。
2.根据权利要求1所述的应用于云监控服务平台的大屏态势感知系统,其特征在于,所述用户行为分析模块分析得到所有授权用户的行为分析链,以及其的所有行为对象的第一行为分析表和第二行为分析表的具体分析步骤如下:
S11:首先选定一授权用户为待分析对象;
S12:获取待分析对象在过去一次登录中触发的所有操作对象事件,并按照其的事件记录数据中包含的触发时间距离当前时刻的远近顺序,从远到近依次将所有次操作对象事件标记为A1、A2、...、Aa,a≥1;
S13:分别将操作对象事件A1、A2、A3、...、Aa的事件记录数据中包含的参数对象和操作类型与一个顶点进行绑定,按照A1、A2、A3、...、Aa的顺序,依次将与A1、A2、...、Aa的事件记录数据中包含的参数对象和操作类型绑定的顶点使用有向边进行连接,得到待分析对象在该次登录的操作行为路径;
S14:按照S12到S13,获取待分析对象在过去所有次登录过程中触发的所有次操作对象事件,并依据其生成待分析对象在过去所有次登录的操作行为路径;
S15:按照预设计算规则计算获取行为权重F1的第一行为分析表和第二行为分析表,具体如下:
S16:按照从左到右的顺序,获取待分析对象在过去每次登录的操作行为路径中位于第一、二、...、i个的顶点,按照S15,依次得到待分析对象的i个行为对象I1、I2、...、Ii,以及行为对象I1、I2、...、Ii的第一行为分析表和第二行为分析表,所述i为待分析对象在过去所有次登录的操作行为路径中长度最长的一条操作行为路径中所包含的顶点数量;
依据待分析对象的i个行为对象生成待分析对象的行为分析链,所述待分析对象的行为分析链中包含有i个顶点,从左到右,i个顶点依次和行为对象I1、I2、...、Ii相对应;
S17:依次选定所有授权用户为待分析对象,按照S11到S16依次得到每个授权用户的行为分析链以及每个授权用户的所有行为对象的第一行为分析表和第二行为分析表。
3.根据权利要求2所述的应用于云监控服务平台的大屏态势感知系统,其特征在于,所述S13,待分析对象在该次登录的操作行为路径中的所有顶点是有顺序的,从左到右,依次是与A1、A2、...、Aa的事件记录数据中包含的参数对象和操作类型绑定的顶点。
4.根据权利要求2所述的应用于云监控服务平台的大屏态势感知系统,其特征在于,所述S15,计算获取行为权重F1的第一行为分析表和第二行为分析表的预设计算规则如下:
S151:按照从左到右的顺序,获取待分析对象在过去每次登录的操作行为路径中位于第一个的顶点,分别标记为B1、B2、...、Bb,b≥1;
S152:依次获取与顶点B1、B2、...、Bb绑定的参数对象并对其进行去重,将去重后的参数对象依次标记为C1、C2、...、Cc,1≤c≤b;
S153:利用公式Ed=Dd/b,d=1、2、...、c依次计算获取参数对象C1、C2、...、Cc的行为权重E1、E2、...、Ec,所述Dd指代的是不同参数对象在与顶点B1、B2、...、Bb绑定的参数对象中重复的数量;
S154:将Emax所属的参数对象标定为待分析对象的一个行为对象,标记为F1,将Emax和行为对象F1进行关联映射,所述Emax为行为权重E1、E2、...、Ec中的最大值;
S155:利用公式计算获取增操作类型基于行为对象F1的操作权重H1,所述g为与顶点B1、B2、...、Bb绑定的操作类型中属于增操作类型的总数量,所述G1为在与顶点B1、B2、...、Bb绑定的操作类型和参数对象中操作类型属于增操作类型且参数对象为行为对象F1的数量,所述ɑ1、ɑ2分别为预设第一、第二占比调节系数;
S156:按照S155,依次计算获取增、删、改、查操作类型基于行为对象F1的操作权重H1、H2、H3和H4并从中选取值最大的操作权重和其所属操作类型,将其和其所属操作类型和行为对象F1建立关联映射;
S157:依据行为对象F1和其对应的行为权重H1、行为权重E1、E2、...、Ec中除Emax之外的其他行为权重和其所属参数对象生成行为对象F1的第一行为分析表;
按照S155到S156,依次计算增、删、改、查操作类型基于行为权重E1、E2、...、Ec中除Emax之外的其他行为权重所属参数对象的操作权重,并依据其和增、删、改、查操作类型基于行为对象F1的操作权重H1、H2、H3和H4生成行为对象F1的第二行为分析表。
5.根据权利要求2所述的应用于云监控服务平台的大屏态势感知系统,其特征在于,所述行为监控评估模块对此次操作对象事件进行安全评估的预设评估规则如下:
S21:获取授权用户触发此次操作对象事件的触发时间、操作类型和参数对象,将操作类型标记为J1,参数对象标记为J2;
S22:基于授权用户触发此次操作对象事件的触发时间,往前回溯P1时间,获取在这P1时间内该授权用户所有次登录中触发的操作对象事件;
S23:按照S12到S14,计算获取该授权用户在这P1时间内该授权用户所有次登录的操作行为路径;
S24:按照预设短期计算规则计算获取该授权用户的一个短期行为对象Q1,具体如下:
S25:按照从左到右的顺序,获取该授权用户在这P1时间内该授权用户所有次登录的操作行为路径中位于第一、二、...、u个的顶点,按照S25,依次得到该授权用户的u个短期行为对象Q1、Q2、...、Qu以及每个短期行为对象对应的短期行为权重;
S26:依次将短期行为对象Q1、Q2、...、Qu对应的短期行为权重和P2进行大小比较,将小于P2的短期行为权重进行删除,并按照Q1、Q2、...、Qu的顺序,将剩余所有的短期行为权重所属短期行为对象依次重新标记为V1、V2、...、Vv,1≤v≤u,所述P2为预设短期筛选对象比较阈值;
S27:按照S24到S26依次计算获取增、删、改、查操作类型基于短期行为对象V1、V2、...、Vv的短期操作权重并从中选取值最大的短期操作权重和其所属操作类型,将其和对应短期行为对象进行绑定;
同时依据短期行为对象V1、V2、...、Vv的短期行为权重和短期操作权重生成该授权用户的短期行为参照表;
S28:基于操作类型J1和参数对象J2在该授权用户的短期行为参照表中获取短期行为对象为参数对象J2的短期行为权重W1,以及所属操作类型为操作类型J1的短期操作权重W2;
基于操作类型J1和参数对象J2在该授权用户的第一行为分析表中获取行为对象为参数对象J2的行为权重W3,以及所属操作类型为操作类型J1的操作权重W4;
S29:利用公式X1=W1W2×λ1+W3W4×λ2计算获取该授权用户基于此次操作事件的安全评估指数X1,所述λ1、λ2分别为预设短期和长期权重调节占比因子;
将X1和P3进行大小比较,若X1<P3,限制该授权用户继续对任何操作对象进行操作,同时依据该授权用户此次操作对象事件的触发时间、操作类型和参数对象生成该授权用户基于此次操作对象事件的事件告警指令,反正则不做任何处理。
6.根据权利要求5所述的应用于云监控服务平台的大屏态势感知系统,其特征在于,所述S24,计算获取该授权用户的一个短期行为对象Q1的短期计算规则如下:
S241:按照从左到右的顺序,获取该授权用户在这P1时间内该授权用户所有次登录的操作行为路径中位于第一个的顶点,分别标记为K1、K2、...、Kk,k≥1;
S242:依次获取与顶点K1、K2、...、Kk绑定的参数对象并对其进行去重,将去重后的参数对象依次标记为M1、M2、...、Mm,1≤m≤k;
S243:利用公式Nn=Mn/k,n=1、2、...、m依次计算获取参数对象M1、M2、...、Mm的短期行为权重N1、N2、...、Nm,所述Mn指代的是不同参数对象在与顶点K1、K2、...、Kk绑定的参数对象中重复的数量;
将Nmax所属参数对象标定为该授权用户的一个短期行为对象Q1,将Nmax和短期行为对象Q1建立关联映射,所述Nmax为短期行为权重N1、N2、...、Nm中的最大值;
S244:利用公式计算获取增操作类型基于短期行为对象Q1的短期操作权重T1,所述r为与顶点K1、K2、...、Kk绑定的操作类型中属于增操作类型的总数量,所述R1为在与顶点K1、K2、...、Kk绑定的操作类型和参数对象中操作类型属于增操作类型且参数对象为短期行为对象Q1的数量,所述β1、β2分别为预设第一、第二短期占比调节系数;
S245:按照S244,依次计算获取增、删、改、查操作类型基于短期行为对象Q1的短期操作权重T1、T2、T3和T4并从中选取值最大的短期操作权重和其所属操作类型,将其和其所属操作类型与短期行为对象Q1建立关联映射。
7.根据权利要求1所述的应用于云监控服务平台的大屏态势感知系统,其特征在于,还包括安全告警模块,用于向授权用户进行安全告警,所述安全告警模块中存储有所有授权用户的邮箱和手机号码。
8.根据权利要求6所述的应用于云监控服务平台的大屏态势感知系统,其特征在于,所述安全告警模块接收到传输的授权用户基于一次操作对象事件的事件告警指令后将该次操作对象事件的触发时间、操作类型和参数对象分别以邮件和短信的方式告知该授权用户。
CN202410246659.9A 2024-03-05 2024-03-05 应用于云监控服务平台的大屏态势感知系统 Active CN117978836B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410246659.9A CN117978836B (zh) 2024-03-05 2024-03-05 应用于云监控服务平台的大屏态势感知系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410246659.9A CN117978836B (zh) 2024-03-05 2024-03-05 应用于云监控服务平台的大屏态势感知系统

Publications (2)

Publication Number Publication Date
CN117978836A true CN117978836A (zh) 2024-05-03
CN117978836B CN117978836B (zh) 2024-08-20

Family

ID=90849666

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410246659.9A Active CN117978836B (zh) 2024-03-05 2024-03-05 应用于云监控服务平台的大屏态势感知系统

Country Status (1)

Country Link
CN (1) CN117978836B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160182544A1 (en) * 2015-02-28 2016-06-23 Brighterion, Inc. Method of protecting a network computer system from the malicious acts of hackers and its own system administrators
CN107360172A (zh) * 2017-07-21 2017-11-17 安徽中杰信息科技有限公司 基于互联网的客户管理系统
US20180227322A1 (en) * 2017-02-09 2018-08-09 Microsoft Technology Licensing, Llc Near real-time detection of suspicious outbound traffic
US20190116193A1 (en) * 2017-10-17 2019-04-18 Yanlin Wang Risk assessment for network access control through data analytics
CN115687009A (zh) * 2022-10-19 2023-02-03 浙江大华技术股份有限公司 运行状态监控方法、装置、大数据集群和存储介质
CN116545731A (zh) * 2023-05-29 2023-08-04 中科天御(苏州)科技有限公司 一种基于时间窗动态切换的零信任网络访问控制方法及系统
CN116795883A (zh) * 2023-06-30 2023-09-22 安徽中杰信息科技有限公司 一种基于云计算的软件开发数据分析系统
CN117240614A (zh) * 2023-11-13 2023-12-15 中通服网盈科技有限公司 一种基于互联网的网络信息安全监测预警系统
US20240048565A1 (en) * 2018-01-31 2024-02-08 Wells Fargo Bank, N.A. System and apparatus for geographically targeted fraudulent access mapping and avoidance
CN117596078A (zh) * 2024-01-18 2024-02-23 成都思维世纪科技有限责任公司 一种基于规则引擎实现的模型驱动用户风险行为判别方法

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160182544A1 (en) * 2015-02-28 2016-06-23 Brighterion, Inc. Method of protecting a network computer system from the malicious acts of hackers and its own system administrators
US20180227322A1 (en) * 2017-02-09 2018-08-09 Microsoft Technology Licensing, Llc Near real-time detection of suspicious outbound traffic
CN107360172A (zh) * 2017-07-21 2017-11-17 安徽中杰信息科技有限公司 基于互联网的客户管理系统
US20190116193A1 (en) * 2017-10-17 2019-04-18 Yanlin Wang Risk assessment for network access control through data analytics
US20240048565A1 (en) * 2018-01-31 2024-02-08 Wells Fargo Bank, N.A. System and apparatus for geographically targeted fraudulent access mapping and avoidance
CN115687009A (zh) * 2022-10-19 2023-02-03 浙江大华技术股份有限公司 运行状态监控方法、装置、大数据集群和存储介质
CN116545731A (zh) * 2023-05-29 2023-08-04 中科天御(苏州)科技有限公司 一种基于时间窗动态切换的零信任网络访问控制方法及系统
CN116795883A (zh) * 2023-06-30 2023-09-22 安徽中杰信息科技有限公司 一种基于云计算的软件开发数据分析系统
CN117240614A (zh) * 2023-11-13 2023-12-15 中通服网盈科技有限公司 一种基于互联网的网络信息安全监测预警系统
CN117596078A (zh) * 2024-01-18 2024-02-23 成都思维世纪科技有限责任公司 一种基于规则引擎实现的模型驱动用户风险行为判别方法

Also Published As

Publication number Publication date
CN117978836B (zh) 2024-08-20

Similar Documents

Publication Publication Date Title
US11641319B2 (en) Network health data aggregation service
US20210119890A1 (en) Visualization of network health information
US10027694B1 (en) Detecting denial of service attacks on communication networks
US11212208B2 (en) Adaptive metric collection, storage, and alert thresholds
US7617314B1 (en) HyperLock technique for high-speed network data monitoring
Lee et al. An internet traffic analysis method with mapreduce
US20190182101A1 (en) Log file processing for root cause analysis of a network fabric
US7574502B2 (en) Early warning of potential service level agreement violations
WO2019133763A1 (en) System and method of application discovery
CN102938710B (zh) 用于大规模服务器的监控系统和方法
US20180091394A1 (en) Filtering network health information based on customer impact
US8639802B2 (en) Dynamic performance monitoring
US20120030346A1 (en) Method for inferring extent of impact of configuration change event on system failure
US20190007292A1 (en) Apparatus and method for monitoring network performance of virtualized resources
US20060095570A1 (en) Data collection with user identification
US20130086249A1 (en) Service network discovery
WO2001098916A1 (en) Liveexception system
AU2001270017A1 (en) Liveexception system
US10469326B1 (en) Discovering a computer network topology for an executing application
US11165654B2 (en) Discovering and mapping the relationships between macro-clusters of a computer network topology for an executing application
US20190007285A1 (en) Apparatus and Method for Defining Baseline Network Behavior and Producing Analytics and Alerts Therefrom
US12101235B2 (en) Service level objective platform
CN117978836B (zh) 应用于云监控服务平台的大屏态势感知系统
JP2012181744A (ja) 分散ファイルシステムにおける運用監視システム及び運用監視方法
CN111262728A (zh) 基于日志端口流量的流量负载监控系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant