【技术实现步骤摘要】
本公开涉及网络安全和金融科技,尤其涉及一种域环境的防护方法、装置、设备、介质和程序产品。
技术介绍
1、随着信息时代的发展,每台主机独立管理的工作组模式逐渐无法满足业务需求,越来越多的企业和机构使用域搭建办公网络,提供便捷的同时,也带来了巨大的安全隐患。域环境中具有多个主机,主机之间具有交互权限,攻击者可利用防护较弱的主机作为跳板,较为轻松的渗透域内其他主机,使得域环境的安全性较低。
技术实现思路
1、鉴于上述问题,本公开提供了域环境的防护方法、装置、设备、介质和程序产品。
2、根据本公开的第一个方面,提供了一种域环境的防护方法,包括:获取域环境内的事件逻辑信息和事件日志信息,事件逻辑信息包括至少一个事件的事件逻辑子信息,事件逻辑子信息为执行事件的操作信息,事件日志信息包括至少一个事件的事件日志子信息,事件日志子信息包括同一个事件的事件关键词和事件标识根据事件标识,从至少一个事件逻辑子信息中确定目标事件逻辑子信息。在目标事件逻辑子信息具有事件关键词的情况下,确定与事件日志子信息对应的事件为异常事件。根据事件关键词,生成与异常事件对应的域防护策略。
3、根据本公开的实施例,事件关键词包括判断关键子词,事件日志子信息还包括事件地址和事件用户,域环境内包括至少一个设备,域防护策略包括域内防护设备名单和域内禁用账户名单。根据事件关键词,生成与异常事件对应的域防护策略包括:在判断关键子词表征异常事件被执行的情况下,根据事件地址,生成域内防护设备名单,域内防护设备名单表
4、根据本公开的实施例,方法还包括:通过域环境的策略控制接口,向第m设备发送域内防护设备名单。通过域环境的域账户控制接口,向第m设备发送域内禁用账户名单。
5、根据本公开的实施例,域防护策略还包括权限名单,根据事件关键词,生成与异常事件对应的域防护策略包括:在判断关键子词表征异常事件未被执行的情况下,将事件地址和事件用户存储至数据库。以及在数据库中的事件地址或事件用户满足预设条件的情况下,根据事件地址和事件用户,生成权限名单,权限名单表征与事件地址对应的第n设备有权访问域环境内的第m设备,事件用户有权登录第m设备。
6、根据本公开的实施例,事件关键词包括行为关键子词,在目标事件逻辑子信息具有事件关键词的情况下,确定与事件日志子信息对应的事件为异常事件包括:在目标事件逻辑子信息具有行为关键子词的情况下,确定与事件日志子信息对应的事件为异常事件。
7、根据本公开的实施例,域防护策略还包括异常防护子策略,根据事件关键词,生成与异常事件对应的域防护策略包括:根据行为关键子词,从事件日志子信息中确定与异常事件对应的异常防护子策略。向与事件对应的设备发送异常防护子策略。
8、根据本公开的实施例,方法还包括:在目标事件逻辑子信息不具有行为关键子词的情况下,确定与事件日志子信息对应的事件为正常事件。
9、根据本公开的实施例,在获取域环境内的事件逻辑信息和事件日志信息之前,方法还包括:从至少一个设备中,确定目标设备。获取与目标设备对应的域控日志信息,得到域控日志信息。对域控日志信息进行切片,得到域控日志子信息。以及根据事件标识,从域控日志子信息中确定事件日志子信息。
10、根据本公开的实施例,方法还包括:对域控日志子信息进行规范化,得到至少一个事件日志子信息,事件日志子信息还包括事件时间。
11、本公开的第二方面提供了一种域环境的防护装置,包括:第一获取模块,用于获取域环境内的事件逻辑信息和事件日志信息,事件逻辑信息包括至少一个事件的事件逻辑子信息,事件逻辑子信息为执行事件的操作信息,事件日志信息包括至少一个事件的事件日志子信息,事件日志子信息包括同一个事件的事件关键词和事件标识。第一确定模块,用于根据事件标识,从至少一个事件逻辑子信息中确定目标事件逻辑子信息。第二确定模块,在目标事件逻辑子信息具有事件关键词的情况下,确定与事件日志子信息对应的事件为异常事件。生成模块,用于根据事件关键词,生成与异常事件对应的域防护策略。
12、本公开的第三方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述方法。
13、本公开的第四方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述方法。
14、本公开的第五方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述方法。
15、根据本公开提供的域环境的防护方法、装置、设备、介质和程序产品,通过获取域控制器内的事件逻辑信息和事件日志信息;根据事件标识,从至少一个事件逻辑子信息中确定目标事件逻辑子信息;在目标事件逻辑子信息具有事件关键词的情况下,确定与日志子信息对应的事件为异常事件,因此通过判断目标逻辑子信息是否具有事件关键词,从而实现异常事件的检测。再根据事件关键词,生成与异常事件对应的域防护信息,因此实现域环境中针对异常事件的防护,提高域环境的安全性。
本文档来自技高网...【技术保护点】
1.一种域环境的防护方法,包括:
2.根据权利要求1所述的方法,其中,所述事件关键词包括判断关键子词,所述事件日志子信息还包括事件地址和事件用户,所述域环境内包括至少一个设备,所述域防护策略包括域内防护设备名单和域内禁用账户名单;
3.根据权利要求2所述的方法,所述方法还包括:
4.根据权利要求2所述的方法,所述域防护策略还包括权限名单,所述根据所述事件关键词,生成与所述异常事件对应的域防护策略包括:
5.根据权利要求1所述的方法,其中,所述事件关键词包括行为关键子词,所述在所述目标事件逻辑子信息具有所述事件关键词的情况下,确定与所述事件日志子信息对应的事件为异常事件包括:
6.根据权利要求5所述的方法,其中,所述域防护策略还包括异常防护子策略,所述根据所述事件关键词,生成与所述异常事件对应的域防护策略包括:
7.根据权利要求5所述的方法,所述方法还包括:
8.根据权利要求1所述的方法,在所述获取所述域环境内的事件逻辑信息和事件日志信息之前,所述方法还包括:
9.根据权利要求8所述的方
10.一种域环境的防护装置,包括:
11.一种电子设备,包括:
12.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~9中任一项所述的方法。
13.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~9中任一项所述的方法。
...【技术特征摘要】
1.一种域环境的防护方法,包括:
2.根据权利要求1所述的方法,其中,所述事件关键词包括判断关键子词,所述事件日志子信息还包括事件地址和事件用户,所述域环境内包括至少一个设备,所述域防护策略包括域内防护设备名单和域内禁用账户名单;
3.根据权利要求2所述的方法,所述方法还包括:
4.根据权利要求2所述的方法,所述域防护策略还包括权限名单,所述根据所述事件关键词,生成与所述异常事件对应的域防护策略包括:
5.根据权利要求1所述的方法,其中,所述事件关键词包括行为关键子词,所述在所述目标事件逻辑子信息具有所述事件关键词的情况下,确定与所述事件日志子信息对应的事件为异常事件包括:
6.根据权利要求5所述的方法,其中,所述...
【专利技术属性】
技术研发人员:李宗霖,何帅,张金涛,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。