本发明专利技术提供一种异常事件信息处理方法及装置,该方法包括:获取异常事件的事件信息,对所述事件信息进行解析获得信息标识;根据所述信息标识与预设的信息标识与异常类型的对应关系确定所述异常事件的异常类型;根据所述异常类型将所述异常事件存储于与所述异常类型对应的数据库中。本发明专利技术实施例提供的一种异常事件信息处理方法及装置,通过获取异常事件的事件信息,对所述事件信息进行解析获得信息标识,并根据所述信息标识与预设的信息标识与异常类型的对应关系确定所述异常事件的异常类型,进而根据所述异常类型将所述异常事件存储于与所述异常类型对应的数据库中,达到对异常事件进行分类的目的。
【技术实现步骤摘要】
异常事件信息处理方法及装置
本专利技术涉及网络安全
,尤其涉及一种异常事件信息处理方法及装置。
技术介绍
在计算机网络安全操作过程中,无论是登录、下载、上传、建立等操作过程中,均会产生大量的日志文件。每一条日志文件均代表用户的一个操作行为事件。对于大量的行为事件会存在正常事件,也会存在异常事件。当异常事件存储较多,且种类较多,因此,无法对异常事件进行有效的管理。
技术实现思路
本专利技术提供一种异常事件信息处理方法及装置,用于解决现有技术中无法对异常事件进行有效分类管理的问题。第一方面,本专利技术提供一种异常事件信息处理方法,包括:获取异常事件的事件信息,对所述事件信息进行解析获得信息标识;根据所述信息标识与预设的信息标识与异常类型的对应关系确定所述异常事件的异常类型;根据所述异常类型将所述异常事件存储于与所述异常类型对应的数据库中。可选地,还包括:获取用户的输入请求,对所述输入请求进行解析获得目标事件的信息标识、用户名和起止时间;将所述信息标识、用户名和起止时间与所有数据库中的每个异常事件的信息标识、用户名和起止时间进行匹配,确定匹配成功的目标异常事件。可选地,所述异常类型包括账号异常类、动作异常类、特权账号权限滥用类,以及账号异常类、动作异常类、特权账号权限滥用类中至少两个组合的混合类。可选地,每个所述信息标识对应至少一个异常条件。第二方面,本专利技术提供一种异常事件信息处理装置,包括:获取模块,用于获取异常事件的事件信息,对所述事件信息进行解析获得信息标识;匹配模块,用于根据所述信息标识与预设的信息标识与异常类型的对应关系确定所述异常事件的异常类型;分类存储模块,用于根据所述异常类型将所述异常事件存储于与所述异常类型对应的数据库中。可选地,还包括查询模块,用于:获取用户的输入请求,对所述输入请求进行解析获得目标事件的信息标识、用户名和起止时间;将所述信息标识、用户名和起止时间与所有数据库中的每个异常事件的信息标识、用户名和起止时间进行匹配,确定匹配成功的目标异常事件。可选地,所述异常类型包括账号异常类、动作异常类、特权账号权限滥用类,以及账号异常类、动作异常类、特权账号权限滥用类中至少两个组合的混合类。可选地,每个所述信息标识对应至少一个异常条件。第三方面,本专利技术提供一种电子设备,包括:处理器、存储器、总线及存储在存储器上并可在处理器上运行的计算机程序;其中,所述处理器,存储器通过所述总线完成相互间的通信;所述处理器执行所述计算机程序时实现如上述的方法。第四方面,本专利技术提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现如上述的方法。由上述技术方案可知,本专利技术实施例提供的一种异常事件信息处理方法及装置,通过获取异常事件的事件信息,对所述事件信息进行解析获得信息标识,并根据所述信息标识与预设的信息标识与异常类型的对应关系确定所述异常事件的异常类型,进而根据所述异常类型将所述异常事件存储于与所述异常类型对应的数据库中,达到对异常事件进行分类的目的。附图说明图1为本专利技术一实施例提供的异常事件信息处理方法的流程示意图;图2为本专利技术一实施例提供的异常事件信息处理方法的流程示意图;图3为本专利技术一实施例提供的异常事件信息处理装置的结构示意图;图4为本专利技术一实施例提供的异常事件信息处理装置的结构示意图;图5为本专利技术一实施例提供的电子设备的结构示意图。具体实施方式下面结合附图和实施例,对本专利技术的具体实施方式作进一步详细描述。以下实施例用于说明本专利技术,但不用来限制本专利技术的范围。图1示出了本专利技术一实施例提供一种异常事件信息处理方法,包括:S11、获取异常事件的事件信息,对所述事件信息进行解析获得信息标识。在本步骤中,需要说明的是,在本专利技术实施例中,异常事件由对大量的原始数据进行分析监测产生。企业内部用户及访问云服务的异常事件的动机可分为:1、内部用户的恶意行为;2、内部用户粗心大意导致;3、内部用户账号被盗导致。其中,内部用户的恶意行为也包括管理员滥用职权,比如建立僵尸傀儡账号。针对上述动机产生的异常事件,首先要判断该异常事件属于哪一类的事件,即一个事件满足何种异常条件后,才会被认为是异常事件。在本实施例中,为了区分每个异常条件,对每个异常条件可增设对应的唯一标识,即作为事件的信息标识。如下所述为本实施例标识与条件的对应关系:a1、登录账号的物理地点短时间内发生不可达变化(比如前一小时在北京登录,现在忽然在纽约登录)。b1、通过非常用的用户代理访问服务(登录账户的用户pc、浏览器、操作系统版本等短时间内至少有两个不在常用代理中)。c1、在非常用的时间段访问服务(基于机器学习,若访问时间段与基线时间段相差较大,则认为非常用时间段)。d1、在非常用物理地点访问服务(在非常用物理地点访问,则账号也是可疑的。当然不排除出差等正常情况。需要其他异常行为作为异常行为佐证)。e1、通过非常用ip访问服务(内网ip不能映射到物理地点,需要通过ip变化来判断,不能通过物理地址来判断)。f1、暴力破解(同一账号,频繁登录失败,触发阈值,可认为在暴力破解。阈值可以人为配置也可以机器学习得到)。g1有离职倾向的账号(比如大量访问招聘网站,上传个人简历,认为有离职倾向的,归为账号可疑这一类)。a2、大量执行危险动作(大量删除、下载、编辑、导出报表等动作。可以基于机器学习,根据本次会话执行的动作次数与历史会话动作次数基线做比较,若本次比基线大,且相差较大,则认为是异常)。b2、频繁执行危险动作(上一条a类,是通过次数来的,b是结合次数和时间段,通过频率来计算的。频率为次数/时间段。其他和a类似)。c2、越权动作(比如越权下载文件,越权访问等,触发了权限不够告警的。这部分动作可能是用户的粗心或恶意行为)。d2、上传恶意文件(往云服务或内部共享服务器上传恶意文件,则很可能是恶意行为。通过防病毒模块实现)。e2、流量异常(通过机器学习,得到历史基线,若某账号某次会话或某天,下载或上传的数据流量明显大于历史基线,则认为是异常的)。f2、初次访问重要数据(某账号初次访问重要数据,若同组内其他人员没有访问过,则认为是可疑的动作)。g2、传输文件到不可信的地址(如果目的ip为恶意ip,则认为是异常的行为)。h2、传输文件到个人私有账号(如果目的账号是个人私有账号,且相同数据刚从云服务下载,则认为存在数据泄露异常)。a3、特权账号建立僵尸账号(特权账号新建的账号,只用于固定的行为,明显区别于普通账号行为的,认为建立了僵尸傀儡账号)。b3、特权账号修改配置异常(特权账号毫无征兆的对普通账号提权,修改访问权限等可疑行为)。对于上述的实例,如a1为信息标识,“登录账号的物理地点短时间内发生不可达变化”为异常条件。S12、根据所述信息标识与预设的信息标识与异常类型的对应关系确定所述异常事件的异常类型。在本步骤中,需要说明的是,基于步骤S11提及的各类动机产生的异常事件,将异常事件划分为:账号异常类,动作异常类,管理员特权滥用类以及其他类。最后衍生出混合类,即账号异常类、动作异常类、特权账号权限滥用类以及其他类中至少两个组合。如账号动作都异常的事件。在本实施例中提及的预设的信息标识与异常类型的对应关系如下表所示本文档来自技高网...
【技术保护点】
一种异常事件信息处理方法,其特征在于,包括:获取异常事件的事件信息,对所述事件信息进行解析获得信息标识;根据所述信息标识与预设的信息标识与异常类型的对应关系确定所述异常事件的异常类型;根据所述异常类型将所述异常事件存储于与所述异常类型对应的数据库中。
【技术特征摘要】
1.一种异常事件信息处理方法,其特征在于,包括:获取异常事件的事件信息,对所述事件信息进行解析获得信息标识;根据所述信息标识与预设的信息标识与异常类型的对应关系确定所述异常事件的异常类型;根据所述异常类型将所述异常事件存储于与所述异常类型对应的数据库中。2.根据权利要求1所述的方法,其特征在于,还包括:获取用户的输入请求,对所述输入请求进行解析获得目标事件的信息标识、用户名和起止时间;将所述信息标识和起止时间与所有数据库中的每个异常事件的信息标识、用户名和起止时间进行匹配,确定匹配成功的目标异常事件。3.根据权利要求1所述的方法,其特征在于,所述异常类型包括账号异常类、动作异常类、特权账号权限滥用类,以及账号异常类、动作异常类、特权账号权限滥用类中至少两个组合的混合类。4.根据权利要求1所述的方法,其特征在于,每个所述信息标识对应至少一个异常条件。5.一种异常事件信息处理装置,其特征在于,包括:获取模块,用于获取异常事件的事件信息,对所述事件信息进行解析获得信息标识;匹配模块,用于根据所述信息标识与预设的信息标识与异常类型的对应关系确定所述异常事件的异常类型;分类存储模块,...
【专利技术属性】
技术研发人员:白敏,高浩浩,
申请(专利权)人:北京奇安信科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。