虚拟专用网络异常使用检测方法、装置和电子设备制造方法及图纸

本公开提供了一种虚拟专用网络异常使用检测方法、装置和电子设备，应用于人工智能或金融领域等。该方法包括：获得虚拟专用网络日志，虚拟专用网络日志是用户使用虚拟专用网络账号登录虚拟专用网络时产生的日志，日志包括待检测媒体存取控制位地址和待检测虚拟专用网络账号；响应于虚拟专用网络日志，生成待检测媒体存取控制位地址和待检测虚拟专用网络账号之间的待检测映射关系；基于待检测映射关系在关系数据集合中进行匹配，得到匹配结果，关系数据集合包括媒体存取控制位地址和虚拟专用网络账号之间的历史映射关系和历史映射次数；以及基于匹配结果进行异常使用检测。

【技术实现步骤摘要】
虚拟专用网络异常使用检测方法、装置和电子设备
本公开涉及人工智能和金融
，更具体地，涉及一种虚拟专用网络异常使用检测方法、装置和电子设备。
技术介绍
虚拟专用网络(virtualprivatenetwork，简称VPN)是通过安全性无法满足要求的网络传输创建安全网络。具体地，采用封装、加密、认证、访问控制等手段，而构建的独立、自治的虚拟网络，可应用于网络的安全互联、移动安全接入等领域。很多企业通过内网和互联网隔离的方法实现内网的安全性。通过VPN技术，使用户在互联网环境下也可以安全接入企业内网，实现远程办公。VPN也是现阶段的用户进行移动办公的首选安全技术。随着远程办公需求的提升，如由于疫情等突发事件导致员工需要在工位之外的位置进行办公或居家办公等，VPN的使用越来越广泛。在实现本公开构思的过程中，申请人发现相关技术中至少存在如下问题。如果VPN账号被盗用或者员工之间违规共用VPN账号，会造成非法访问企业内网，导致企业内网信息安全存在隐患。
技术实现思路
有鉴于此，本公开提供了一种用于检测通过VPN非法访问局域网的虚拟专用网络异常使用检测方法、装置和电子设备。本公开的一个方面提供了一种由服务器端执行的虚拟专用网络异常使用检测方法，包括：获得虚拟专用网络日志，虚拟专用网络日志是用户使用虚拟专用网络账号登录虚拟专用网络时产生的日志，日志包括待检测媒体存取控制位地址和待检测虚拟专用网络账号；响应于虚拟专用网络日志，生成待检测媒体存取控制位地址和待检测虚拟专用网络账号之间的待检测映射关系；基于待检测映射关系在关系数据集合中进行匹配，得到匹配结果，关系数据集合包括媒体存取控制位地址和虚拟专用网络账号之间的历史映射关系和历史映射次数；以及基于匹配结果进行异常使用检测。根据本公开的实施例，基于匹配结果进行异常使用检测包括：基于针对待检测映射关系的匹配结果是匹配成功的历史映射次数、针对待检测媒体存取控制位地址的匹配结果或者针对待检测虚拟专用网络账号的匹配结果中至少一种进行异常使用检测。根据本公开的实施例，基于针对待检测映射关系的匹配结果是匹配成功的历史映射次数、针对待检测媒体存取控制位地址的匹配结果或者针对待检测虚拟专用网络账号的匹配结果中至少一种进行异常使用检测，包括：如果待检测映射关系匹配结果是匹配成功的历史映射次数，是针对待检测媒体存取控制位地址的映射次数的前N位，或者是针对待检测虚拟专用网络账号的映射次数的前N位，则确定异常使用风险为第一风险等级，其中，N是大于或等于1的正整数。根据本公开的实施例，基于针对待检测映射关系的匹配结果是匹配成功的历史映射次数、针对待检测媒体存取控制位地址的匹配结果或者针对待检测虚拟专用网络账号的匹配结果中至少一种进行异常使用检测，包括：如果待检测映射关系匹配结果是匹配成功的历史映射次数，位于针对待检测媒体存取控制位地址的映射次数的前N位之外，或者位于针对待检测虚拟专用网络账号的映射次数的前N位之外，则确定异常使用风险为第二风险等级，其中，N是大于或等于1的正整数。根据本公开的实施例，基于针对待检测映射关系的匹配结果是匹配成功的历史映射次数、针对待检测媒体存取控制位地址的匹配结果或者针对待检测虚拟专用网络账号的匹配结果中至少一种进行异常使用检测，包括：如果与待检测媒体存取控制位地址存在映射关系的虚拟专用网络账号的数量大于或等于第一预设阈值，和/或，与待检测虚拟专用网络账号存在映射关系的媒体存取控制位地址的数量大于或等于第二预设阈值，则确定异常使用风险为第三风险等级。根据本公开的实施例，上述方法还包括：在生成待检测媒体存取控制位地址和待检测虚拟专用网络账号之间的待检测映射关系之后，基于待检测映射关系更新关系数据集合。根据本公开的实施例，关系数据集合的构建方式包括：获取多个历史虚拟专用网络日志；针对每个历史虚拟专用网络日志，获取针对历史虚拟专用网络日志的格式化数据；从格式化数据中获取历史媒体存取控制位地址和历史虚拟专用网络账号之间的历史映射关系；以及关联各历史媒体存取控制位地址和各历史虚拟专用网络账号，得到各历史媒体存取控制位地址和各历史虚拟专用网络账号之间的历史映射关系以及历史映射次数。根据本公开的实施例，用户具有邮箱地址；上述方法还包括：在基于匹配结果进行异常使用检测之后，如果异常使用检测结果是异常，则给用户的邮箱地址和/或审计用户的邮箱地址发送异常使用检测结果。根据本公开的实施例，上述方法还包括：获取满足指定时间范围的虚拟专用网络日志；获取满足指定时间范围的虚拟专用网络日志中各媒体存取控制位地址和各虚拟专用网络账号之间的待审计映射关系；图形化待审计映射关系，得到待审计映射关系图，待审计映射关系图中映射关系通过线段进行表示，线段具有表征映射次数的标注信息；以及输出待审计映射关系图。本公开的一个方面提供了一种虚拟专用网络异常使用检测装置，该装置包括：日志获得模块、映射关系生成模块、映射关系匹配模块和异常检测模块。其中，日志获得模块用于获得虚拟专用网络日志，虚拟专用网络日志是用户使用虚拟专用网络账号登录虚拟专用网络时产生的日志，日志包括待检测媒体存取控制位地址和待检测虚拟专用网络账号；映射关系生成模块用于响应于虚拟专用网络日志，生成待检测媒体存取控制位地址和待检测虚拟专用网络账号之间的待检测映射关系；映射关系匹配模块用于基于待检测映射关系在关系数据集合中进行匹配，得到匹配结果，关系数据集合包括媒体存取控制位地址和虚拟专用网络账号之间的历史映射关系和历史映射次数；以及异常检测模块用于基于匹配结果进行异常使用检测。本公开的另一方面提供了一种电子设备，包括一个或多个处理器以及存储装置，其中，存储装置用于存储可执行指令，可执行指令在被处理器执行时，实现如上的方法。本公开的另一方面提供了一种计算机可读存储介质，存储有计算机可执行指令，指令在被执行时用于实现如上的方法。本公开的另一方面提供了一种计算机程序，计算机程序包括计算机可执行指令，指令在被执行时用于实现如上的方法。附图说明通过以下参照附图对本公开实施例的描述，本公开的上述以及其他目的、特征和优点将更为清楚，在附图中：图1示意性示出了根据本公开实施例的可以应用虚拟专用网络异常使用检测方法、装置和电子设备的示例性系统架构；图2示意性示出了根据本公开实施例的虚拟专用网络异常使用检测方法的流程图；图3示意性示出了根据本公开实施例的关系数据集合的示意图；图4示意性示出了根据本公开实施例的关系数据集合的构建方法的流程图；图5示意性示出了根据本公开实施例的历史映射关系的示意图；图6示意性示出了根据本公开实施例的审计VPN日志的流程图；图7示意性示出了根据本公开实施例的VPN共用关系的示意图；图8示意性示出了根据本公开实施例的虚拟专用网络异常使用检测装置的方框图；图9示意性示出了根据本公开实施例的虚拟专用网络异常使用检测系统结构示意图；以及图10示意性示出了本文档来自技高网...

【技术保护点】
1.一种由服务器端执行的虚拟专用网络异常使用检测方法，包括：/n获得虚拟专用网络日志，所述虚拟专用网络日志是用户使用虚拟专用网络账号登录虚拟专用网络时产生的日志，所述日志包括待检测媒体存取控制位地址和待检测虚拟专用网络账号；/n响应于所述虚拟专用网络日志，生成所述待检测媒体存取控制位地址和所述待检测虚拟专用网络账号之间的待检测映射关系；/n基于所述待检测映射关系在关系数据集合中进行匹配，得到匹配结果，所述关系数据集合包括媒体存取控制位地址和所述虚拟专用网络账号之间的历史映射关系和历史映射次数；以及/n基于所述匹配结果进行异常使用检测。/n

【技术特征摘要】
1.一种由服务器端执行的虚拟专用网络异常使用检测方法，包括：
获得虚拟专用网络日志，所述虚拟专用网络日志是用户使用虚拟专用网络账号登录虚拟专用网络时产生的日志，所述日志包括待检测媒体存取控制位地址和待检测虚拟专用网络账号；
响应于所述虚拟专用网络日志，生成所述待检测媒体存取控制位地址和所述待检测虚拟专用网络账号之间的待检测映射关系；
基于所述待检测映射关系在关系数据集合中进行匹配，得到匹配结果，所述关系数据集合包括媒体存取控制位地址和所述虚拟专用网络账号之间的历史映射关系和历史映射次数；以及
基于所述匹配结果进行异常使用检测。


2.根据权利要求1所述的方法，其中，所述基于所述匹配结果进行异常使用检测包括：
基于针对待检测映射关系的匹配结果是匹配成功的历史映射次数、针对所述待检测媒体存取控制位地址的匹配结果或者针对所述待检测虚拟专用网络账号的匹配结果中至少一种进行异常使用检测。


3.根据权利要求2所述的方法，其中，所述基于针对待检测映射关系的匹配结果是匹配成功的历史映射次数、针对所述待检测媒体存取控制位地址的匹配结果或者针对所述待检测虚拟专用网络账号的匹配结果中至少一种进行异常使用检测，包括：
如果所述待检测映射关系匹配结果是匹配成功的历史映射次数，是针对所述待检测媒体存取控制位地址的映射次数的前N位，或者是针对所述待检测虚拟专用网络账号的映射次数的前N位，则确定异常使用风险为第一风险等级，其中，N是大于或等于1的正整数。


4.根据权利要求2所述的方法，其中，所述基于针对待检测映射关系的匹配结果是匹配成功的历史映射次数、针对所述待检测媒体存取控制位地址的匹配结果或者针对所述待检测虚拟专用网络账号的匹配结果中至少一种进行异常使用检测，包括：
如果所述待检测映射关系匹配结果是匹配成功的历史映射次数，位于针对所述待检测媒体存取控制位地址的映射次数的前N位之外，或者位于针对所述待检测虚拟专用网络账号的映射次数的前N位之外，则确定异常使用风险为第二风险等级，其中，N是大于或等于1的正整数。


5.根据权利要求2所述的方法，其中，所述基于针对待检测映射关系的匹配结果是匹配成功的历史映射次数、针对所述待检测媒体存取控制位地址的匹配结果或者针对所述待检测虚拟专用网络账号的匹配结果中至少一种进行异常使用检测，包括：
如果与所述待检测媒体存取控制位地址存在映射关系的虚拟专用网络账号的数量大于或等于第一预设阈值，和/或，与所述待检测虚拟专用网络账号存在映射关系的媒体存取控制位地址的数量大于或等于第二预设阈值，则确定异常使用风险为第三风险等级。


6....

【专利技术属性】
技术研发人员：严晓娇，王贵智，祝萍，王宇恒，
申请(专利权)人：工银科技有限公司，中国工商银行股份有限公司，
类型：发明
国别省市：河北;13