【技术实现步骤摘要】
日志关联方法和装置
[0001]本专利技术涉及信息安全技术,尤其涉及一种日志关联方法和装置。
技术介绍
[0002]随着信息技术的发展,企业内部对数据安全的重视程度日趋增强,内部严控数据泄露、数据篡改和高风险操作。当企业内部出现此类风险情况时,需做到及时风险溯源,确认内部威胁源头,最大程度控制风险,防止风险蔓延。
[0003]根据各类操作日志对风险溯源是安全运维常使用的方法,主机日志和堡垒机日志均可记录各类操作行为。因堡垒机日志中含有用户账号和系统账号,当风险发生时,可准确定位到操作人员。
[0004]但堡垒机日志仅包含无安全外壳协议(Secure Shell,简称SSH)跳转操作的主机日志,日常溯源可主要以堡垒机日志为依据,但当内部员工在主机操作中出现SSH跳转时,由于堡垒机无法记录跳转后主机的操作情况,造成部分日志丢失,无法实行全面溯源。可见,风险溯源的准确性较低。
技术实现思路
[0005]本专利技术提供一种日志关联方法和装置,用以解决风险溯源的准确性较低的问题。
[0006]一...
【技术保护点】
【技术特征摘要】
1.一种日志关联方法,其特征在于,包括:在堡垒机执行安全外壳协议SSH操作使所述SSH跳转至第一主机时,获取所述堡垒机在目标时间段内第一操作日志以及所述第一主机在所述目标时间段内的第二操作日志,其中,所述目标时间段包括所述SSH跳转的时间点;获取所述第一操作日志对应的各个第一账号标识以及所述第二操作日志对应的第二账号标识,所述第一账号标识由用户账号和系统账号组成,所述第二账号标识由IP地址和系统账号组成;确定所述第二账号标识与每个所述第一账号标识之间的相似度;在所述第一操作日志中,获取最大相似度对应的第一账号标识的第三操作日志,并将所述第三操作日志与所述第二操作日志进行关联。2.根据权利要求1所述的日志关联方法,其特征在于,所述确定所述第二账号标识与每个所述第一账号标识之间的相似度的步骤包括:在堡垒机账号标签库中,获取每个所述第一账号标识对应的第一标签,所述第一标签根据第一账号标识对应的用户在堡垒机进行操作所得到的数据确定;在主机账号标签库中,获取所述第二账号标识对应的第二标签,所述第二标签根据第二账号标识对应的用户在主机进行操作所得到的数据确定;根据所述第一标签以及所述第二标签,确定所述第二账号标识与每个所述第一账号标识之间的相似度。3.根据权利要求2所述的日志关联方法,其特征在于,所述根据所述第一标签以及所述第二标签,确定所述第二账号标识与每个所述第一账号标识之间的相似度的步骤包括:根据所述第一账号标识对应的各个第一标签,生成每个所述第一账号标识对应的第一特征向量;根据所述第二账号标识对应的各个第二标签,生成所述第二账号标识对应的第二特征向量;确定所述第二特征向量与所述第一特征向量之间的距离,并根据所述距离确定所述第一账户标识与所述第二账户标识之间的相似度。4.根据权利要求2所述的日志关联方法,其特征在于,所述在堡垒机账号标签库中,获取每个所述第一账号标识对应的第一标签的步骤之前,还包括:获取堡垒机的历史操作日志,并在所述堡垒机的历史操作日志中获取各个第三账号标识;在所述堡垒机的历史操作日志中,获取所述第三账号标识在每种第一指标对应的数值,所述第一指标包括操作习惯、业务类型和风险操作;根据所述第一指标以及所述第一指标对应的数值生成所述第三账号标识对应的第三标签;根据所述第三账号标识与所述第三账号标识对应的各个所述第三标签,构建所述堡垒机账号标签库...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。