4A异常绕行检测方法、装置、电子设备及存储介质制造方法及图纸

本申请实施例提供了一种4A异常绕行检测方法、装置、电子设备及存储介质。所述方法包括：获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集；对所述多个维度下的属性特征数据集进行多次聚类处理，得到多个聚类结果；对所述多个聚类结果进行二次聚类处理，得到每个维度下的属性特征数据集的属性标签值；调用预先训练的异常检测模型对所述属性标签值进行处理，预测得到所述目标设备对应的4A异常绕行检测结果。本申请实施例可以提高4A绕行异常检测的效率，避免管理防火墙配置混乱、误操作引起业务受损等问题。误操作引起业务受损等问题。误操作引起业务受损等问题。

【技术实现步骤摘要】
4A异常绕行检测方法、装置、电子设备及存储介质


[0001]本申请涉及异常检测
，特别是涉及一种4A异常绕行检测方法、装置、电子设备及存储介质。

技术介绍

[0002]4A(认证Authentication、账号Account、授权Authorization、审计Audit)统一安全管理平台解决方案概念，正式将身份认证作为整个网络安全的基础及不可或缺的组成部分。4A系统应运而生，在我国各大企业普遍部署有4A系统。
[0003]按国家信息系统安全的相关规定，明确要求对于二级以上信息系统，在网络安全、主机安全和应用安全等需要进行安全审计。日志审计(为确保相关网络信息安全及网络安全，根据各种操作依据、操作日志记录等信息，对操作网络合法性、合规性进行审查核对的行为)作为其中的主要手段，日志审计系统这一安全审计产品由此而出现。而审计日志记录中往往也包括了登陆4A的日志记录。
[0004]在生产运维管理过程中，传统的4A绕行分析多为人工维护设置，且为事后审计发现，存在手工管理防火墙配置混乱、误操作引起业务受损等问题。

技术实现思路

[0005]本申请实施例所要解决的技术问题是提供一种4A异常绕行检测方法、装置、电子设备及存储介质，以解决现有技术中存在手工管理防火墙配置混乱、误操作引起业务受损的问题。
[0006]第一方面，本申请实施例提供了一种4A异常绕行检测方法，所述方法包括：
[0007]获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集；
[0008]对所述多个维度下的属性特征数据集进行多次聚类处理，得到多个聚类结果；
[0009]对所述多个聚类结果进行二次聚类处理，得到每个维度下的属性特征数据集的属性标签值；
[0010]调用预先训练的异常检测模型对所述属性标签值进行处理，预测得到所述目标设备对应的4A异常绕行检测结果。
[0011]可选地，所述获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集，包括：
[0012]获取4A系统记录的登录日志，以及所述目标设备的设备日志；
[0013]解析所述登录日志和所述设备日志，得到所述目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集。
[0014]可选地，所述对所述多个维度下的属性特征数据集进行多次聚类处理，得到多个聚类结果，包括：
[0015]对所述多个维度下的属性特征数据集进行聚类处理，得到第一聚类结果；
[0016]对所述多个维度下的属性特征数据集在每次缺少其中一个不同维度的属性特征
数据集之后的其它属性特征数据集进行聚类处理，得到第二聚类结果；所述第二聚类结果的数量与所述多个维度的数量相同；
[0017]将所述第一聚类结果和所述第二聚类结果作为所述多个聚类结果。
[0018]可选地，所述对所述多个聚类结果进行二次聚类处理，得到每个维度下的属性特征数据集的属性标签值，包括：
[0019]采用K
‑
means聚类算法对所述多个聚类结果对应的属性特征数据集进行聚类处理，得到每个所述聚类结果对应的聚类评估指标；
[0020]根据所述聚类评估指标，确定每个维度下的属性特征数据集对应的属性标签值。
[0021]可选地，所述调用预先训练的异常检测模型对所述属性标签值进行处理，预测得到所述目标设备对应的4A异常绕行检测结果，包括：
[0022]调用所述异常检测模型对所述属性标签值进行因子分析，确定所述属性标签值中对4A异常绕行影响系数大于阈值的目标属性标签值；
[0023]基于孤立森林算法对所述目标属性标签值进行处理，得到所述目标设备对应的4A异常绕行检测结果。
[0024]可选地，在所述调用预先训练的异常检测模型对所述属性标签值进行处理，预测得到所述目标设备对应的4A异常绕行检测结果之后，还包括：
[0025]基于所述4A异常绕行检测结果，生成防火墙配置信息；
[0026]基于所述防火墙配置信息，调整4A系统的防火墙配置。
[0027]可选地，所述多个维度包括：访问源地址维度、访问目的地址维度、访问协议维度、访问端口维度、访问账号维度和访问次数维度中的至少两个。
[0028]第二方面，本申请实施例提供了一种4A异常绕行检测装置，所述装置包括：
[0029]数据集获取模块，用于获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集；
[0030]聚类结果获取模块，用于对所述多个维度下的属性特征数据集进行多次聚类处理，得到多个聚类结果；
[0031]属性标签获取模块，用于对所述多个聚类结果进行二次聚类处理，得到每个维度下的属性特征数据集的属性标签值；
[0032]检测结果获取模块，用于调用预先训练的异常检测模型对所述属性标签值进行处理，预测得到所述目标设备对应的4A异常绕行检测结果。
[0033]可选地，所述数据集获取模块包括：
[0034]日志获取单元，用于获取4A系统记录的登录日志，以及所述目标设备的设备日志；
[0035]数据集获取单元，用于解析所述登录日志和所述设备日志，得到所述目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集。
[0036]可选地，所述聚类结果获取模块包括：
[0037]第一结果获取单元，用于对所述多个维度下的属性特征数据集进行聚类处理，得到第一聚类结果；
[0038]第二结果获取单元，用于对所述多个维度下的属性特征数据集在每次缺少其中一个不同维度的属性特征数据集之后的其它属性特征数据集进行聚类处理，得到第二聚类结果；所述第二聚类结果的数量与所述多个维度的数量相同；
[0039]聚类结果获取单元，用于将所述第一聚类结果和所述第二聚类结果作为所述多个聚类结果。
[0040]可选地，所述属性标签获取模块包括：
[0041]评估指标获取单元，用于采用K
‑
means聚类算法对所述多个聚类结果对应的属性特征数据集进行聚类处理，得到每个所述聚类结果对应的聚类评估指标；
[0042]属性标签确定单元，用于根据所述聚类评估指标，确定每个维度下的属性特征数据集对应的属性标签值。
[0043]可选地，所述检测结果获取模块包括：
[0044]目标标签确定单元，用于调用所述异常检测模型对所述属性标签值进行因子分析，确定所述属性标签值中对4A异常绕行影响系数大于阈值的目标属性标签值；
[0045]检测结果获取单元，用于基于孤立森林算法对所述目标属性标签值进行处理，得到所述目标设备对应的4A异常绕行检测结果。
[0046]可选地，所述装置还包括：
[0047]配置信息生成模块，用于基于所述4A异常绕行检测结果，生成防火墙配置信息；
[0048]防火墙配置调整模块，用于基于所述防火墙配置信息，调整4A系统的防火墙配置。
[0049]可选地，所述多个本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种4A异常绕行检测方法，其特征在于，所述方法包括：获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集；对所述多个维度下的属性特征数据集进行多次聚类处理，得到多个聚类结果；对所述多个聚类结果进行二次聚类处理，得到每个维度下的属性特征数据集的属性标签值；调用预先训练的异常检测模型对所述属性标签值进行处理，预测得到所述目标设备对应的4A异常绕行检测结果。2.根据权利要求1所述的方法，其特征在于，所述获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集，包括：获取4A系统记录的登录日志，以及所述目标设备的设备日志；解析所述登录日志和所述设备日志，得到所述目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集。3.根据权利要求1所述的方法，其特征在于，所述对所述多个维度下的属性特征数据集进行多次聚类处理，得到多个聚类结果，包括：对所述多个维度下的属性特征数据集进行聚类处理，得到第一聚类结果；对所述多个维度下的属性特征数据集在每次缺少其中一个不同维度的属性特征数据集之后的其它属性特征数据集进行聚类处理，得到第二聚类结果；所述第二聚类结果的数量与所述多个维度的数量相同；将所述第一聚类结果和所述第二聚类结果作为所述多个聚类结果。4.根据权利要求3所述的方法，其特征在于，所述对所述多个聚类结果进行二次聚类处理，得到每个维度下的属性特征数据集的属性标签值，包括：采用K
‑
means聚类算法对所述多个聚类结果对应的属性特征数据集进行聚类处理，得到每个所述聚类结果对应的聚类评估指标；根据所述聚类评估指标，确定每个维度下的属性特征数据集对应的属性标签值。5.根据权利要求1所述的方法，其特征在于，所述调用预先训练的异常检测模型对所述属性标签值进行处理，预测得到...

【专利技术属性】
技术研发人员：王晋，黄海，汪有杰，陈云峰，卢淼冉，赵鹏程，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：