本申请提供了一种行为模型创建及运维异常检测方法、装置及电子设备。该行为模型创建方法包括:获取目标人员对目标对象的历史运维操作信息;根据历史运维操作信息将目标人员对目标对象的运维操作划分到多个运维任务模块;根据运维任务模块和运维任务模块对应的运维操作生成目标人员运维目标对象的行为模型。本申请实施例通过将目标人员对目标对象的历史运维操作信息划分到多个运维任务模块,以根据该运维任务模块及相应的运维操作生成相应的行为模型。由于该行为模型是基于多个深度、细节的运维任务模块组合生成,完善了该行为模型对目标人员的深度运维操作或组合运维操作等的规则生成,提高了该行为模型的准确性,进而提高运维异常检测的准确性。提高运维异常检测的准确性。提高运维异常检测的准确性。
【技术实现步骤摘要】
行为模型创建及运维异常检测方法、装置及电子设备
[0001]本申请涉及网络安全领域,具体而言,涉及一种行为模型创建及运维异常检测方法、装置及电子设备。
技术介绍
[0002]随着企事业单位IT系统的不断发展,网络规模和设备数量迅速扩大,日趋复杂的IT系统与运维人员不可控的行为给信息系统安全带来较大风险。
[0003]在目前的运维系统的关于指令的审计中,一般都会存在高危命令检测,通过配置相应的指令规则来限制运维人员的操作权限,对一些高危的操作命令进行阻断。这样的处理方式只能对特定的某一个高危的指令进行控制,该方式在应对普通的运维场景是可以满足的,但是在一些特殊的运维场景,例如,需要运维人员进行一系列的组合操作,若通过高危指令的检测是很难发现隐藏比较深的非常规的操作,因而对异常行为检测的准确性较差。
技术实现思路
[0004]有鉴于此,本申请实施例的目的在于提供一种行为模型创建及运维异常检测方法、装置及电子设备,能够提高运维异常检测准确性。
[0005]第一方面,本申请实施例提供了一种行为模型创建方法,包括:获取目标人员对目标对象的历史运维操作信息;根据所述历史运维操作信息将所述目标人员对所述目标对象的运维操作划分到多个运维任务模块;根据所述运维任务模块和所述运维任务模块对应的运维操作生成所述目标人员运维所述目标对象的行为模型。
[0006]在上述实现过程中,通过将目标人员对目标对象的历史运维操作信息划分到多个运维任务模块,以根据该运维任务模块及相应的运维操作生成相应的行为模型。由于该行为模型是基于多个深度、细节的运维任务模块组合生成,完善了该行为模型对目标人员的深度运维操作或组合运维操作等的规则生成,提高了该行为模型的准确性,进而通过该行为模型能够提高运维异常检测的准确性。
[0007]在一个实施例中,所述根据所述历史运维操作信息将所述目标人员对所述目标对象的运维操作划分到多个运维任务模块,包括:将所述历史运维操作信息中的运维任务进行分层解耦,以将所述运维任务整体划分为多个运维任务模块;将所述目标人员对所述目标对象的运维操作划分到多个所述运维任务模块。
[0008]在上述实现过程中,通过将运维操作信息中运维任务进行分层解耦,可以将一个复杂的、组合的运维任务划分为多个任务模块,并将每个任务模块对应的运维操作,能够实现对运维任务的每个子任务都进行相应的深度学习或模型训练得到相应的子模型,即使是该运维任务隐藏较深的、组合的各个子任务也能进行的相应检测,增加该行为模型的应用场景。
[0009]在一个实施例中,所述获取目标人员对目标对象的历史运维操作信息之后,所述
方法还包括:对所述历史运维操作信息进行过滤;所述根据所述历史运维操作信息将所述目标人员对所述目标对象的运维操作划分到多个运维任务模块,包括:根据过滤后的所述历史运维操作信息将所述目标人员对所述目标对象的运维操作划分到多个运维任务模块。
[0010]在上述实现过程中,在获取到历史运维操作信息后,将该历史运维操作信息进行过滤,能够将该历史运维操作信息中的不完整的、违规的操作信息过滤掉,使得划分到运维任务模块的历史运维操作信息是完整的、不违规的,提高了该运维任务模块中的运维操作信息的准确性。
[0011]在一个实施例中,所述根据所述运维任务模块和所述运维任务模块对应的运维操作生成所述目标人员运维所述目标对象的行为模型之后,所述方法还包括:获取管理员对所述行为模型的修改操作;根据所述修改操作更新所述行为模型。
[0012]在上述实现过程中,在生成行为模型后,若管理员在确定该行为模型时,发现该行为模型存在不足之处,通过获取管理员对该行为模型的修改操作,对该行为模型进行更新处理,进一步提高了该行为模型的准确定性。
[0013]在一个实施例中,所述根据所述运维任务模块和所述运维任务模块对应的运维操作生成所述目标人员运维所述目标对象的行为模型之后,所述方法还包括:将所述行为模型与所述目标人员以及所述目标对象进行绑定。
[0014]在上述实现过程中,通过将目标人员和目标对象与相应的行为模型进行绑定,在对该目标人员对目标对象的运维操作进行检测时,可以直接根据该目标人员和目标对象确定出与之绑定的行为模型,简化了行为模型的确定,能够提高该行为模型的匹配效率。另外,由于该行为模型与对应的目标用户和目标对象是一一对应关系,即每个行为模型是针对不同的目标用户和不同的目标对象生成,因而该行为模型的准确性更高。
[0015]第二方面,本申请实施例提供了一种运维异常检测方法,包括:判断是否存在与目标人员以及目标对象对应的行为模型,所述行为模型根据第一方面,或第一方面的任一种可能的实施方式所述的方法创建;若存在与所述目标人员以及所述目标对象相应的所述行为模型,将所述目标人员对所述目标对象的运维操作与所述行为模型进行匹配;根据匹配结果确定所述目标人员对所述目标对象的运维操作是否异常。
[0016]在上述实现过程中,通过将目标人员对目标对象的运维操作与相应的行为模型进行匹配,确定该运维操作是否和该行为模型一致。由于该行为模型是通过不同的运维任务模块生成的,因而可以实现将目标人员对目标对象的运维操作中的隐藏较深的、组合的以及非常规的操作均进行匹配,能够及时发现该运维操作中的各类异常操作,提高了该运维异常检测的准确性。
[0017]在一个实施例中,所述将所述目标人员对所述目标对象的运维操作与所述行为模型进行匹配,包括:将所述目标人员对所述目标对象的运维操作进行聚合分析;将聚合分析后的运维操作与所述行为模型进行匹配。
[0018]在上述实现过程中,通过将运维操作进行聚合分析,并通过聚合分析后的运维操作与行为模型进行匹配,能够减少该运维操作中的无关操作对行为模型匹配的影响,提高运维操作与行为模型匹配的准确性和匹配效率。
[0019]第三方面,本申请实施例还提供一种行为模型创建装置,包括:获取模块,用于获取目标人员对目标对象的历史运维操作信息;划分模块,用于根据所述历史运维操作信息
将所述目标人员对所述目标对象的运维操作划分到多个运维任务模块;生成模块,用于根据所述运维任务模块和所述运维任务模块对应的运维操作生成所述目标人员运维所述目标对象的行为模型。
[0020]第四方面,本申请实施例还提供一种运维异常检测装置,包括:判断模块,用于判断是否存在与目标人员以及目标对象对应的行为模型,所述行为模型根据第一方面,或第一方面的任一种可能的实施方式所述的方法创建;匹配模块,用于若存在与所述目标人员以及所述目标对象相应的所述行为模型,将所述目标人员对所述目标对象的运维操作与所述行为模型进行匹配;确定模块,用于根据匹配结果确定所述目标人员对所述目标对象的运维操作是否异常。
[0021]第五方面,本申请实施例还提供一种电子设备,包括:处理器、存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述机器可读指令被所述处理器执行时执行上述第一方面,或第一方面的任一种可能的实本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种行为模型创建方法,其特征在于,包括:获取目标人员对目标对象的历史运维操作信息;根据所述历史运维操作信息将所述目标人员对所述目标对象的运维操作划分到多个运维任务模块;根据所述运维任务模块和所述运维任务模块对应的运维操作生成所述目标人员运维所述目标对象的行为模型。2.根据权利要求1所述的方法,其特征在于,所述根据所述历史运维操作信息将所述目标人员对所述目标对象的运维操作划分到多个运维任务模块,包括:将所述历史运维操作信息中的运维任务进行分层解耦,以将所述运维任务整体划分为多个运维任务模块;将所述目标人员对所述目标对象的运维操作划分到多个所述运维任务模块。3.根据权利要求1所述的方法,其特征在于,所述获取目标人员对目标对象的历史运维操作信息之后,所述方法还包括:对所述历史运维操作信息进行过滤;所述根据所述历史运维操作信息将所述目标人员对所述目标对象的运维操作划分到多个运维任务模块,包括:根据过滤后的所述历史运维操作信息将所述目标人员对所述目标对象的运维操作划分到多个运维任务模块。4.根据权利要求1
‑
3任意一项所述的方法,其特征在于,所述根据所述运维任务模块和所述运维任务模块对应的运维操作生成所述目标人员运维所述目标对象的行为模型之后,所述方法还包括:获取管理员对所述行为模型的修改操作;根据所述修改操作更新所述行为模型。5.根据权利要求1
‑
3任意一项所述的方法,其特征在于,所述根据所述运维任务模块和所述运维任务模块对应的运维操作生成所述目标人员运维所述目标对象的行为模型之后,所述方法还包括:将所述行为模型与所述目标人员以及所述目标对象进行绑定。6.一种运维异常检测方法,其特征在于,包括:判断是否存在与目标人员以及目标对象对应的行为模型,所述行为模型根据权利...
【专利技术属性】
技术研发人员:刘振超,陈国强,于星杰,于洪达,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。