失陷帐号检测方法、装置、电子设备和存储介质制造方法及图纸

本申请提供一种失陷帐号检测方法、装置、电子设备和存储介质，本申请的失陷帐号检测方法，包括：获取待测账号的第一历史数据和第二历史数据，其中，第一历史数据为待测账号在过去第一预设时间段内的历史数据，第二历史数据为待测账号在第一预设时间段之前的历史数据；根据第一历史数据和第二历史数据，分别对待测账号进行登录异常检测和操作异常检测，得到待测账号的登录异常检测结果和操作异常检测结果；根据第一历史数据，对待测账号进行行为异常检测，得到待测账号的行为异常检测结果；当待测账号的登录异常检测结果、操作异常检测结果和行为异常检测结果同时为异常时，则确定待测账号为失陷帐号。故本申请能够有效检测出失陷帐号。陷帐号。陷帐号。

【技术实现步骤摘要】
失陷帐号检测方法、装置、电子设备和存储介质


[0001]本申请涉及信息安全
，具体而言，涉及一种失陷帐号检测方法、装置、电子设备和存储介质。

技术介绍

[0002]现在已经进入了大数据时代，数据资产逐渐成为了很多公司最重要的资产，导致很多黑客等为了获利盗取公司数据，一旦数据泄漏，公司就会损失惨重，因此数据安全愈发重要。
[0003]其中，数据资产大部分都存储在数据库中，如果要盗取数据就需要获取数据库权限，帐号就是权限的体现。数据库帐号一旦失陷，就会导致数据泄漏或者删除数据等状况，给公司带来不可弥补的损失。但是失陷的数据库帐号行为很复杂，很难通过简单的分析、规则或者关联分析发现，因此，如何检测这些失陷的数据库帐号是亟待解决的技术问题。

技术实现思路

[0004]本申请实施例的目的在于提供一种失陷帐号检测方法、装置、电子设备和存储介质，用以检测失陷帐号。
[0005]第一方面，本申请提供一种失陷帐号检测方法，包括：获取待测账号的第一历史数据和第二历史数据，其中，第一历史数据为待测账号在过去第一预设时间段内的历史数据，第二历史数据为待测账号在第一预设时间段之前的历史数据；根据第一历史数据和第二历史数据，分别对待测账号进行登录异常检测和操作异常检测，得到待测账号的登录异常检测结果和操作异常检测结果；根据第一历史数据，对待测账号进行行为异常检测，得到待测账号的行为异常检测结果；当待测账号的登录异常检测结果、操作异常检测结果和行为异常检测结果同时为异常时，则确定待测账号为失陷帐号。
[0006]于一实施例中，根据第一历史数据和第二历史数据，分别对待测账号进行登录异常检测和操作异常检测，得到待测账号的登录异常检测结果和操作异常检测结果，包括：根据第一历史数据，得到待测账号的第一登录特征和第一操作特征；根据第二历史数据，得到待测账号的第二登录特征和第二操作特征；根据第一登录特征和第二登录特征，得到待测账号的登录异常检测结果；根据第一操作特征和第二操作特征，得到待测账号的操作异常检测结果。
[0007]于一实施例中，根据第二历史数据，得到待测账号的第二登录特征和第二操作特征，包括：分别统计第二历史数据中每一预设时间间隔的登录特征和操作特征；将第二历史数据中每一预设时间间隔的登录特征和操作特征合并，得到第二登录特征和第二操作特征。
[0008]于一实施例中，第一登录特征包括待测账号在第一预设时间段内的登录时间、登录次数和登录IP地址中的一种或几种；第一操作特征包括待测账号在第一预设时间段内的访问的资产、操作类型、高风险操作次数、敏感表访问次数、敏感表访问行数和访问敏感列
的数量中的一种或几种；第二登录特征包括待测账号在第一预设时间段之前的登录时间、登录次数和登录IP地址中的一种或几种；第二操作特征包括待测账号在第一预设时间段之前的访问的资产、操作类型、高风险操作次数、敏感表访问次数、敏感表访问行数和访问敏感列的数量中的一种或几种。
[0009]于一实施例中，根据第一登录特征和第二登录特征，得到待测账号的登录异常检测结果，包括：根据第二登录特征中类别型特征的统计结果，得到第一正常行为基线；根据第二登录特征中的数值型特征，得到第二正常行为基线；获取第一登录特征分别与第一正常行为基线和第二正常行为基线之间的第一偏移信息；当第一偏移信息中存在至少一个超过第一预设阈值的第一目标偏移量时，确定登录异常检测结果为异常。
[0010]于一实施例中，根据第一操作特征和第二操作特征，得到待测账号的操作异常检测结果，包括：根据第二操作特征中类别型特征的统计结果，得到第三正常行为基线；根据第二操作特征中的数值型特征，得到第四正常行为基线；获取第一操作特征分别与第三正常行为基线和第四正常行为基线之间的第二偏移信息；当第二偏移信息存在至少一个超过第二预设阈值的第二目标偏移量时，确定操作异常检测结果为异常。
[0011]于一实施例中，根据第一历史数据，对待测账号进行行为异常检测，得到待测账号的行为异常检测结果，包括：将第一历史数据进行数值化处理，得到待测数据；利用异常检测算法，根据待测数据确定第三异常检测结果。
[0012]于一实施例中，异常检测算法为孤立森林。
[0013]于一实施例中，第一历史数据和第二历史数据来源于数据库审计或数据库防火墙。
[0014]第二方面，本申请提供一种失陷帐号检测装置，包括：获取模块、第一检测模块、第二检测模块和确定模块。其中，获取模块用于获取待测账号的第一历史数据和第二历史数据，其中，第一历史数据为待测账号在过去第一预设时间段内的历史数据，第二历史数据为待测账号在第一预设时间段之前的历史数据；第一检测模块用于根据第一历史数据和第二历史数据，分别对待测账号进行登录异常检测和操作异常检测，得到待测账号的登录异常检测结果和操作异常检测结果；第二检测模块用于根据第一历史数据，对待测账号进行行为异常检测，得到待测账号的行为异常检测结果；确定模块用于当待测账号的登录异常检测结果、操作异常检测结果和行为异常检测结果同时为异常时，则确定待测账号为失陷帐号。
[0015]于一实施例中，第一检测模块还用于：根据第一历史数据，得到待测账号的第一登录特征和第一操作特征；根据第二历史数据，得到待测账号的第二登录特征和第二操作特征；根据第一登录特征和第二登录特征，得到待测账号的登录异常检测结果；根据第一操作特征和第二操作特征，得到待测账号的操作异常检测结果。
[0016]于一实施例中，第一检测模块还用于：分别统计第二历史数据中每一预设时间间隔的登录特征和操作特征；将第二历史数据中每一预设时间间隔的登录特征和操作特征合并，得到第二登录特征和第二操作特征。
[0017]于一实施例中，第一检测模块还用于：根据第二登录特征中类别型特征的统计结果，得到第一正常行为基线；根据第二登录特征中的数值型特征，得到第二正常行为基线；获取第一登录特征分别与第一正常行为基线和第二正常行为基线之间的第一偏移信息；当
第一偏移信息中存在至少一个超过第一预设阈值的第一目标偏移量时，确定登录异常检测结果为异常。
[0018]于一实施例中，第一检测模块还用于：根据第二操作特征中类别型特征的统计结果，得到第三正常行为基线；根据第二操作特征中的数值型特征，得到第四正常行为基线；获取第一操作特征分别与第三正常行为基线和第四正常行为基线之间的第二偏移信息；当第二偏移信息存在至少一个超过第二预设阈值的第二目标偏移量时，确定操作异常检测结果为异常。
[0019]于一实施例中，第二检测模块还用于：将第一历史数据进行数值化处理，得到待测数据；利用异常检测算法，根据待测数据确定第三异常检测结果。
[0020]第三方面，本申请提供一种电子设备，包括：存储器，用以存储计算机程序；处理器，用以执行如前述实施方式中任一项的方法。
[0021]第四方面，本申请提供一种非暂态计算机可读存储介质，包括：程序，当其藉由电子设备运行时，使得电子设备执行前述实施方式中任一项的方法。<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种失陷帐号检测方法，其特征在于，包括：获取待测账号的第一历史数据和第二历史数据，其中，所述第一历史数据为所述待测账号在过去第一预设时间段内的历史数据，所述第二历史数据为所述待测账号在所述第一预设时间段之前的历史数据；根据所述第一历史数据和所述第二历史数据，分别对所述待测账号进行登录异常检测和操作异常检测，得到所述待测账号的登录异常检测结果和操作异常检测结果；根据所述第一历史数据，对所述待测账号进行行为异常检测，得到所述待测账号的行为异常检测结果；当所述待测账号的登录异常检测结果、操作异常检测结果和行为异常检测结果同时为异常时，则确定所述待测账号为失陷帐号。2.根据权利要求1所述的方法，其特征在于，所述根据所述第一历史数据和所述第二历史数据，分别对所述待测账号进行登录异常检测和操作异常检测，得到所述待测账号的登录异常检测结果和操作异常检测结果，包括：根据所述第一历史数据，得到所述待测账号的第一登录特征和第一操作特征；根据所述第二历史数据，得到所述待测账号的第二登录特征和第二操作特征；根据所述第一登录特征和所述第二登录特征，得到所述待测账号的登录异常检测结果；根据所述第一操作特征和所述第二操作特征，得到所述待测账号的操作异常检测结果。3.根据权利要求2所述的方法，其特征在于，所述第一登录特征包括所述待测账号在所述第一预设时间段内的登录时间、登录次数和登录IP地址中的一种或几种；所述第一操作特征包括所述待测账号在所述第一预设时间段内的访问的资产、操作类型、高风险操作次数、敏感表访问次数、敏感表访问行数和访问敏感列的数量中的一种或几种；所述第二登录特征包括所述待测账号在所述第一预设时间段之前的登录时间、登录次数和登录IP地址中的一种或几种；所述第二操作特征包括所述待测账号在所述第一预设时间段之前的访问的资产、操作类型、高风险操作次数、敏感表访问次数、敏感表访问行数和访问敏感列的数量中的一种或几种。4.根据权利要求2所述的方法，其特征在于，所述根据所述第一登录特征和所述第二登录特征，得到所述待测账号的登录异常检测结果，包括：根据所述第二登录特征中类别型特征的统计结果，得到第一正常行为基线；根据所述第二登录特征中的数值型特征，得到第...

【专利技术属性】
技术研发人员：张黎，叶柳鹤，陈广辉，刘维炜，杨大志，
申请(专利权)人：闪捷信息科技有限公司，
类型：发明
国别省市：