本发明专利技术提供了一种基于数据流转全流程审计的数据防攻击方法及装置,其中方法包括:确定数据流转全流程的关联端点,并针对每一个关联端点进行日志采集;采集的日志类型至少包括:操作系统日志和应用系统日志;对采集的日志中包含的安全事件进行关联分析;若关联分析结果为确定存在异常行为时,则确定异常行为所对应异常操作账户的真实身份;确定与该异常操作账户的真实身份相关的关联账户,对关联账户的权限范围进行调整;将调整结果发送至对应的关联端点,以使关联端点基于调整后关联账户的权限范围进行服务。本方案,能够避免该真实身份的用户利用其它关联账户进行数据攻击,进而提高了数据防攻击效果。提高了数据防攻击效果。提高了数据防攻击效果。
【技术实现步骤摘要】
基于数据流转全流程审计的数据防攻击方法及装置
[0001]本专利技术实施例涉及网络安全
,特别涉及一种基于数据流转全流程审计的数据防攻击方法及装置。
技术介绍
[0002]随着长期的信息化建设,内部网络应用日益复杂,网络分布广泛、终端设备数量越来越庞大、业务应用系统越来越多,数据流转所经过的端点也越来越多。为了防止攻击者对端点数据的攻击,在端点上部署有相应的防御措施,通过针对不同用户分配不同的权限范围,来降低数据被攻击的概率。但是,目前端点上的防控措施,均是基于端点自身进行单一审计,数据防攻击效果较差。
技术实现思路
[0003]基于端点单一审计导致数据防攻击效果较差的问题,本专利技术实施例提供了一种基于数据流转全流程审计的数据防攻击方法及装置,能够提高数据防攻击效果。
[0004]第一方面,本专利技术实施例提供了一种基于数据流转全流程审计的数据防攻击方法,包括:
[0005]确定数据流转全流程的关联端点,并针对每一个关联端点进行日志采集;采集的日志类型至少包括:操作系统日志和应用系统日志;
[0006]对采集的日志中包含的安全事件进行关联分析;
[0007]若关联分析结果为确定存在异常行为时,则确定异常行为所对应异常操作账户的真实身份;
[0008]确定与该异常操作账户的真实身份相关的关联账户,对关联账户的权限范围进行调整;
[0009]将调整结果发送至对应的关联端点,以使关联端点基于调整后关联账户的权限范围进行服务。
[0010]优选地,所述对采集的日志中包含的安全事件进行关联分析,包括:
[0011]确定各安全事件分别对应操作账户的真实身份;
[0012]按照不同真实身份对采集的日志中包含的安全事件进行分组;
[0013]对每一个分组中的安全事件进行异常分析。
[0014]优选地,所述确定各安全事件分别对应操作账户的真实身份,包括:
[0015]针对每一条安全事件,确定请求发起该安全事件的目标关联端点;
[0016]确定该安全事件是否以所述目标关联端点中的目标应用系统发起的,若是,则将所述目标应用系统的登录账户确定为请求发起该安全事件的操作账户,否则,将所述目标关联端点的登录账户确定为请求发起该安全事件的操作账户;
[0017]根据预先建立的账户与真实身份的对应关系,确定请求发起该安全事件的操作账户所对应的真实身份。
[0018]优选地,所述对每一个分组中的安全事件进行异常分析,包括:
[0019]针对每一个分组,均执行:获取该分组所对应的真实身份具有的正常行为特征;按照预先设置的检测规则和该正常行为特征,对该分组中的安全事件进行异常检测,确定是否存在异常行为。
[0020]优选地,在所述对该分组中的安全事件进行异常检测之前,还包括:将该分组中的安全事件按照时间戳的先后顺序进行排序;
[0021]所述对该分组中的安全事件进行异常检测,包括:检测该分组中是否存在连续的安全事件满足预设异常行为的时序特征,若存在,则确定存在异常行为。
[0022]优选地,在确定与该异常操作账户的真实身份相关的关联账户之前,还包括:确定当前所管理的真实身份和资产,并针对每一个真实身份,为其分配各资产所对应的账户以及账户具有的权限范围,得到账户和真实身份的对应关系;
[0023]所述确定与该异常操作账户的真实身份相关的关联账户,包括:
[0024]根据所述账户与真实身份的对应关系,确定与该异常操作账户的真实身份相对应的所有账户,将所有账户确定为关联账户。
[0025]优选地,所述对关联账户的权限范围进行调整,包括:
[0026]根据存在的异常行为对该异常操账户的真实身份进行信用评价;
[0027]根据信用评价等级确定每一个关联账户所需调整的权限范围。
[0028]第二方面,本专利技术实施例还提供了一种基于数据流转全流程审计的数据防攻击装置,包括:
[0029]日志采集单元,用于确定数据流转全流程的关联端点,并针对每一个关联端点进行日志采集;采集的日志类型至少包括:操作系统日志和应用系统日志;
[0030]关联分析单元,用于对采集的日志中包含的安全事件进行关联分析;
[0031]真实身份确定单元,用于若关联分析结果为确定存在异常行为时,则确定异常行为所对应异常操作账户的真实身份;
[0032]权限范围调整单元,用于确定与该异常操作账户的真实身份相关的关联账户,对关联账户的权限范围进行调整,将调整结果发送至对应的关联端点,以使关联端点基于调整后关联账户的权限范围进行服务。
[0033]第三方面,本专利技术实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
[0034]第四方面,本专利技术实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
[0035]本专利技术实施例提供了一种基于数据流转全流程审计的数据防攻击方法及装置,通过对数据流转全流程的关联端点的日志进行关联分析,相对于端点的单一审计,审计内容更加丰富,且涉及数据流转全流程,因此能够识别出单个端点无法识别出的异常行为,并且当识别出异常行为之后,通过确认异常操作账户的真实身份,将该真实身份相关的关联账户的权限范围进行调整,从而避免该真实身份的用户利用其它关联账户进行数据攻击,进而提高了数据防攻击效果。
附图说明
[0036]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0037]图1是本专利技术一实施例提供的一种基于数据流转全流程审计的数据防攻击方法流程图;
[0038]图2是本专利技术一实施例提供的一种计算设备的硬件架构图;
[0039]图3是本专利技术一实施例提供的一种基于数据流转全流程审计的数据防攻击装置结构图;
[0040]图4是本专利技术一实施例提供的另一种基于数据流转全流程审计的数据防攻击装置结构图。
具体实施方式
[0041]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例,基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0042]如前所述,目前在端点上部署有相应的防御措施,通过针对不同用户分配不同的权限范围,来降低数据被攻击的概率。可见,目前端点上的防控措施,均是基于端点自身进行单一审计,无法对整体的数据流转全流本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于数据流转全流程审计的数据防攻击方法,其特征在于,包括:确定数据流转全流程的关联端点,并针对每一个关联端点进行日志采集;采集的日志类型至少包括:操作系统日志和应用系统日志;对采集的日志中包含的安全事件进行关联分析;若关联分析结果为确定存在异常行为时,则确定异常行为所对应异常操作账户的真实身份;确定与该异常操作账户的真实身份相关的关联账户,对关联账户的权限范围进行调整;将调整结果发送至对应的关联端点,以使关联端点基于调整后关联账户的权限范围进行服务。2.根据权利要求1所述的方法,其特征在于,所述对采集的日志中包含的安全事件进行关联分析,包括:确定各安全事件分别对应操作账户的真实身份;按照不同真实身份对采集的日志中包含的安全事件进行分组;对每一个分组中的安全事件进行异常分析。3.根据权利要求2所述的方法,其特征在于,所述确定各安全事件分别对应操作账户的真实身份,包括:针对每一条安全事件,确定请求发起该安全事件的目标关联端点;确定该安全事件是否以所述目标关联端点中的目标应用系统发起的,若是,则将所述目标应用系统的登录账户确定为请求发起该安全事件的操作账户,否则,将所述目标关联端点的登录账户确定为请求发起该安全事件的操作账户;根据预先建立的账户与真实身份的对应关系,确定请求发起该安全事件的操作账户所对应的真实身份。4.根据权利要求2所述的方法,其特征在于,所述对每一个分组中的安全事件进行异常分析,包括:针对每一个分组,均执行:获取该分组所对应的真实身份具有的正常行为特征;按照预先设置的检测规则和该正常行为特征,对该分组中的安全事件进行异常检测,确定是否存在异常行为。5.根据权利要求4所述的方法,其特征在于,在所述对该分组中的安全事件进行异常检测之前,还包括:将该分组中的安全事件按照时间戳的先后顺序进行排序;所述对该分组中的安全事件进行异常检测,包括:检测该分组中是否存在...
【专利技术属性】
技术研发人员:冉飞,卢成龙,苗宁,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。