本发明专利技术提供一种日志关联方法和装置,该方法包括:获取堡垒机在SSH跳转时间内第一操作日志以及第一主机在SSH跳转时间内的第二操作日志;获取第一操作日志对应的各个第一账号标识以及第二操作日志对应的第二账号标识;确定第二账号标识与每个第一账号标识之间的相似度;在第一操作日志中,获取最大相似度对应的第一账号标识的第三操作日志,并将第三操作日志与第二操作日志进行关联。本发明专利技术的方法,在堡垒机进行SSH操作前后时间内的操作日志中,找到与SSH跳转的主机的账号的堡垒操作日志,并将主机操作日志与找打的堡垒机日志进行关联,使得堡垒机能够获取SSH跳转后的主机操作情况,提高了风险溯源的准确性。提高了风险溯源的准确性。提高了风险溯源的准确性。
【技术实现步骤摘要】
日志关联方法和装置
[0001]本专利技术涉及信息安全技术,尤其涉及一种日志关联方法和装置。
技术介绍
[0002]随着信息技术的发展,企业内部对数据安全的重视程度日趋增强,内部严控数据泄露、数据篡改和高风险操作。当企业内部出现此类风险情况时,需做到及时风险溯源,确认内部威胁源头,最大程度控制风险,防止风险蔓延。
[0003]根据各类操作日志对风险溯源是安全运维常使用的方法,主机日志和堡垒机日志均可记录各类操作行为。因堡垒机日志中含有用户账号和系统账号,当风险发生时,可准确定位到操作人员。
[0004]但堡垒机日志仅包含无安全外壳协议(Secure Shell,简称SSH)跳转操作的主机日志,日常溯源可主要以堡垒机日志为依据,但当内部员工在主机操作中出现SSH跳转时,由于堡垒机无法记录跳转后主机的操作情况,造成部分日志丢失,无法实行全面溯源。可见,风险溯源的准确性较低。
技术实现思路
[0005]本专利技术提供一种日志关联方法和装置,用以解决风险溯源的准确性较低的问题。
[0006]一方面,本专利技术提供一种日志关联方法,包括:
[0007]在堡垒机执行安全外壳协议SSH操作使所述SSH跳转至第一主机时,获取所述堡垒机在目标时间段内第一操作日志以及所述第一主机在所述目标时间段内的第二操作日志,其中,所述目标时间段包括所述SSH跳转的时间点;
[0008]获取所述第一操作日志对应的各个第一账号标识以及所述第二操作日志对应的第二账号标识,所述第一账号标识由用户账号和系统账号组成,所述第二账号标识由IP地址和系统账号组成;
[0009]确定所述第二账号标识与每个所述第一账号标识之间的相似度;
[0010]在所述第一操作日志中,获取最大相似度对应的第一账号标识的第三操作日志,并将所述第三操作日志与所述第二操作日志进行关联。
[0011]在一实施例中,所述确定所述第二账号标识与每个所述第一账号标识之间的相似度的步骤包括:
[0012]在堡垒机账号标签库中,获取每个所述第一账号标识对应的第一标签,所述第一标签根据第一账号标识对应的用户在堡垒机进行操作所得到的数据确定;
[0013]在主机账号标签库中,获取所述第二账号标识对应的第二标签,所述第二标签根据第二账号标识对应的用户在主机进行的操作数据确定;
[0014]根据所述第一标签以及所述第二标签,确定所述第二账号标识与每个所述第一账号标识之间的相似度。
[0015]在一实施例中,所述根据所述第一标签以及所述第二标签,确定所述第二账号标
识与每个所述第一账号标识之间的相似度的步骤包括:
[0016]根据所述第一账号标识对应的各个第一标签,生成每个所述第一账号标识对应的第一特征向量;
[0017]根据所述第二账号标识对应的各个第二标签,生成所述第二账号标识对应的第二特征向量;
[0018]确定所述第二特征向量与所述第一特征向量之间的距离,并根据所述距离确定所述第一账户标识与所述第二账户标识之间的相似度。
[0019]在一实施例中,所述在堡垒机账号标签库中,获取每个所述第一账号标识对应的第一标签的步骤之前,还包括:
[0020]获取堡垒机的历史操作日志,并在所述堡垒机的历史操作日志中获取各个第三账号标识;
[0021]在所述堡垒机的历史操作日志中,获取所述第三账号标识在每种第一指标对应的数值,所述第一指标包括操作习惯、业务类型和风险操作;
[0022]根据所述第一指标以及所述第一指标对应的数值生成所述第三账号标识对应的第三标签;
[0023]根据所述第三账号标识与所述第三账号标识对应的各个所述第三标签,构建所述堡垒机账号标签库。
[0024]在一实施例中,所述在主机账号标签库中,获取所述第二账号标识对应的第二标签的步骤之前,还包括:
[0025]获取每个第二主机对应的历史操作日志,并在所述第二主机对应的历史操作日志中确定第四账号标识;
[0026]在所述第二主机对应的历史操作日志中,获取所述第四账号标识在每种第二指标对应的数值,所述第二指标包括操作习惯、业务类型和风险操作;
[0027]根据所述第二指标以及所述第二指标对应的数值生成所述第四账号标识对应的第四标签;
[0028]根据所述第四账号标识与所述第四账号标识对应的各个所述第四标签,构建所述主机账号标签库。
[0029]在一实施例中,所述将所述第三操作日志与所述第二操作日志进行关联的步骤之后,还包括:
[0030]按照各个所述SSH跳转的时间,对每个所述SSH跳转对应的关联日志进行排序,其中,所述关联日志根据所述SSH跳转所对应的第三操作日志与第二操作日志关联得到。
[0031]另一方面,本专利技术还提供一种日志关联装置,包括:
[0032]获取模块,用于在堡垒机执行安全外壳协议SSH操作使所述SSH跳转至第一主机时,获取所述堡垒机在目标时间段内第一操作日志以及所述第一主机在所述目标时间段内的第二操作日志,其中,所述目标时间段包括所述SSH跳转的时间点;
[0033]所述获取模块,还用于获取所述第一操作日志对应的各个第一账号标识以及所述第二操作日志对应的第二账号标识,所述第一账号标识由用户账号和系统账号组成,所述第二账号标识由IP地址和系统账号组成确定模块,用于确定所述第二账号标识与每个所述第一账号标识之间的相似度;
[0034]所述获取模块,还用于在所述第一操作日志中,获取最大相似度对应的第一账号标识的第三操作日志,并将所述第三操作日志与所述第二操作日志进行关联。
[0035]另一方面,本专利技术还提供一种日志关联设备,包括:存储器和处理器;
[0036]所述存储器存储计算机执行指令;
[0037]所述处理器执行所述存储器存储的计算机执行指令,使得所述处理器执行如上所述的日志关联方法。
[0038]另一方面,本专利技术还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上所述的日志关联方法。
[0039]另一方面,本专利技术还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时,实现如上所述的日志关联方法。
[0040]本专利技术提供的日志关联方法和装置,在堡垒机执行SSH操作使SSH跳转至第一主机时,装置获取堡垒机在SSH跳转前后时间内的第一操作日志,且获取第一主机在目标时间段内的第二操作日志,再获取第一操作日志的各个第一账号标识以及第二操作日志的第二账号标识,计算第二账号标识与每个第一账号标识之间的相似度,从而在第一操作日志中提取最大相似度的第一账号标识所对应的第三操作日志,最后将第三操作日志与第二操作日志进行关联。本专利技术装置在堡垒机进行SSH操作前后时间内的操作日志中,找到与SSH跳转的主机的账号的堡垒操作日志,最后将查找的堡垒操作日志与主机的操作日志进行关联,使得堡垒机能够基于关联的操作日本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种日志关联方法,其特征在于,包括:在堡垒机执行安全外壳协议SSH操作使所述SSH跳转至第一主机时,获取所述堡垒机在目标时间段内第一操作日志以及所述第一主机在所述目标时间段内的第二操作日志,其中,所述目标时间段包括所述SSH跳转的时间点;获取所述第一操作日志对应的各个第一账号标识以及所述第二操作日志对应的第二账号标识,所述第一账号标识由用户账号和系统账号组成,所述第二账号标识由IP地址和系统账号组成;确定所述第二账号标识与每个所述第一账号标识之间的相似度;在所述第一操作日志中,获取最大相似度对应的第一账号标识的第三操作日志,并将所述第三操作日志与所述第二操作日志进行关联。2.根据权利要求1所述的日志关联方法,其特征在于,所述确定所述第二账号标识与每个所述第一账号标识之间的相似度的步骤包括:在堡垒机账号标签库中,获取每个所述第一账号标识对应的第一标签,所述第一标签根据第一账号标识对应的用户在堡垒机进行操作所得到的数据确定;在主机账号标签库中,获取所述第二账号标识对应的第二标签,所述第二标签根据第二账号标识对应的用户在主机进行操作所得到的数据确定;根据所述第一标签以及所述第二标签,确定所述第二账号标识与每个所述第一账号标识之间的相似度。3.根据权利要求2所述的日志关联方法,其特征在于,所述根据所述第一标签以及所述第二标签,确定所述第二账号标识与每个所述第一账号标识之间的相似度的步骤包括:根据所述第一账号标识对应的各个第一标签,生成每个所述第一账号标识对应的第一特征向量;根据所述第二账号标识对应的各个第二标签,生成所述第二账号标识对应的第二特征向量;确定所述第二特征向量与所述第一特征向量之间的距离,并根据所述距离确定所述第一账户标识与所述第二账户标识之间的相似度。4.根据权利要求2所述的日志关联方法,其特征在于,所述在堡垒机账号标签库中,获取每个所述第一账号标识对应的第一标签的步骤之前,还包括:获取堡垒机的历史操作日志,并在所述堡垒机的历史操作日志中获取各个第三账号标识;在所述堡垒机的历史操作日志中,获取所述第三账号标识在每种第一指标对应的数值,所述第一指标包括操作习惯、业务类型和风险操作;根据所述第一指标以及所述第一指标对应的数值生成所述第三账号标识对应的第三标签;根据所述第三账号标识与所述第三账号标识对应的各个所述第三标签,构建所述堡垒机账号标签库...
【专利技术属性】
技术研发人员:关泰璐,于林涛,周莉,
申请(专利权)人:联通大数据有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。