本发明专利技术公开了一种基于访问意图的堡垒机操作行为日志审计方法,包括工单系统、堡垒机、A系统服务器、B系统服务器和用户,所述用户信息用于传输给工单系统和堡垒机,所述堡垒机信息用于传输给A系统服务器、B系统服务器。采用上述技术方案,具有如下有益效果:(1)经过实际落地使用,本方法能够基于操作的访问意图来建立精细化的访问基线,其它的有益效果。(2)提升了异常告警的精确率。(3)降低了异常告警的误报率。(4)解决了新员工入职时的训练冷启动问题。(5)本方法具备学习功能和领域通用性。题。(5)本方法具备学习功能和领域通用性。题。(5)本方法具备学习功能和领域通用性。
【技术实现步骤摘要】
一种基于访问意图的堡垒机操作行为日志审计方法
[0001]本专利技术涉及堡垒机操作行为审计方法
,特别是一种基于访问意图的堡垒机操作行为日志审计方法。
技术介绍
[0002]用于集中控制内部人员访问服务器的堡垒机工具,一经推出就迅速占领了整个金融行业,包括银行、证券、保险公司等。但是在堡垒机使用过程中却出现了操作行为日志审计困难的现象,需要人工来进行审查操作是否合规,导致审查时间非常长,占用大量人力,审查流程不及时的缺点。
[0003]现在市场上已经出现了使用机器学习方法来对员工自己日常的操作建立访问基线,当实时操作时通过与基线进行比较来判断当前操作行为是否异常的产品。
[0004]现有技术方案有如下缺点:
[0005](1)即使是同一个人,在访问不同业务系统的服务器时,所做的操作也是不一样的;
[0006](2)即使是同一个人,在操作同一个业务系统的不同中间件的服务器时,所做的操作也是不一样的;
[0007](3)当一个新员工入职时,如果没有历史数据,那么是没有办法解决训练冷启动问题的,既没有同一个业务系统操作的基线,也没有同一种类型的中间件(数据库、消息队列等)操作的基线。
[0008]基于上述情况,一种基于访问意图的堡垒机操作行为日志审计方法成为整个社会亟待解决的技术问题。
技术实现思路
[0009]鉴于此,本专利技术提出了一种基于访问意图的堡垒机操作行为日志审计方法,包括工单系统、堡垒机、A系统服务器、B系统服务器和用户,所述用户信息用于传输给工单系统和堡垒机,所述堡垒机信息用于传输给A系统服务器、B系统服务器,所述工单系统员工意图访问包括以下方法,
[0010](1)工单系统是当员工进行操作时,需要发起操作的业务系统对象,操作步骤等的表单,然后由员工的领导进行审批后方可操作的一整套办公审批系统,当工单被审批通过后,运维人员按照工单上的业务系统和操作步骤登录堡垒机进行操作;
[0011](2)工单系统是当员工进行操作时,需要发起操作的业务系统对象,操作步骤等的表单,然后由员工的领导进行审批后方可操作的一整套办公审批系统,当工单被审批通过后,运维人员按照工单上的业务系统和操作步骤登录堡垒机进行操作,上述系统可以建立访问基线,既可以从用户和服务器维度建立以前的访问基线,还可以从以下维度来建立群体访问基线或者单用户下的细分访问基线。
[0012]作为本专利技术的进一步阐述,所述工单系统收集员工访问意图的数据源,包括以下
属性,
[0013](1)工单系统中的被访问业务系统属性;
[0014](2)工单系统中的被访问业务系统中需要操作的中间件列表。
[0015]作为本专利技术的进一步阐述,所述维度包括以下几个部分,
[0016](1)业务系统维度:系统通过将所有访问该业务系统的操作聚合到一起,建立访问基线,可以很好的刻画操作该系统的访问行为,当有操作偏离基线时,进行风险预警;
[0017](2)业务系统维度和用户维度:针对当前用户的不同业务系统,建立访问基线,则可以当有新增服务器时,使用以前已经训练好的基线,解决训练冷启动问题;
[0018](3)中间件维度:系统通过将所有同类型中间件的操作聚合到一起,建立访问基线,可以很好的刻画操作该类型中间件数据库、消息队列的访问行为,当有操作偏离基线时,进行风险预警;
[0019](4)中间件维度和用户维度:针对当前用户访问的不同类型的中间件,建立访问基线,则可以当有新增该类型中间件的服务器时,使用以前已经训练好的基线,解决训练冷启动问题。
[0020]进一步地,所述A系统服务器设置有三组,分别为A系统服务器1、A系统服务器2和A系统服务器3。
[0021]进一步地,所述B系统服务器设置有两组,分别为B系统服务器1和B系统服务器2。
[0022]采用上述技术方案,具有如下有益效果:
[0023](1)经过实际落地使用,本方法能够基于操作的访问意图来建立精细化的访问基线,其它的有益效果。
[0024](2)提升了异常告警的精确率。
[0025](3)降低了异常告警的误报率。
[0026](4)解决了新员工入职时的训练冷启动问题。
[0027](5)本方法具备学习功能和领域通用性。
附图说明
[0028]图1是本专利技术的模块示意图。
具体实施方式
[0029]下面对本专利技术作进一步的说明。
[0030]一种基于访问意图的堡垒机操作行为日志审计方法,本系统中收集员工访问意图的数据源主要是工单系统中的以下属性:
[0031](1)工单系统中的被访问业务系统属性
[0032](2)工单系统中的被访问业务系统中需要操作的中间件列表
[0033]1、工单系统是当员工进行操作时,需要发起操作的业务系统对象,操作步骤等的表单,然后由员工的领导进行审批后方可操作的一整套办公审批系统,当工单被审批通过后,运维人员按照工单上的业务系统和操作步骤登录堡垒机进行操作。
[0034]2、当收集完被访问业务系统属性和中间件属性后(有时因为工单系统中信息填写的不完整或者不规范,需要使用自然语言处理来对工单中的文本进行分词和属性归纳),本
系统除了可以从用户和服务器维度建立以前的访问基线,还可以从以下维度来建立群体访问基线或者单用户下的细分访问基线:
[0035](1)业务系统维度:系统通过将所有访问该业务系统的操作聚合到一起,建立访问基线,可以很好的刻画操作该系统的访问行为,当有操作偏离基线时,进行风险预警。
[0036](2)业务系统维度+用户维度:针对当前用户的不同业务系统,建立访问基线,则可以当有新增服务器时,使用以前已经训练好的基线,解决训练冷启动问题。
[0037](3)中间件维度:系统通过将所有同类型中间件的操作聚合到一起,建立访问基线,可以很好的刻画操作该类型中间件(数据库、消息队列等)的访问行为,当有操作偏离基线时,进行风险预警。
[0038](4)中间件维度+用户维度:针对当前用户访问的不同类型的中间件,建立访问基线,则可以当有新增该类型中间件的服务器时,使用以前已经训练好的基线,解决训练冷启动问题。
[0039]以上的实施方式不能限定本专利技术创造的保护范围,专业
的人员在不脱离本专利技术创造整体构思的情况下,所做的均等修饰与变化,均仍属于本专利技术创造涵盖的范围之内。
[0040]以上描述了本专利技术的基本原理和主要特征,本行业的技术人员应该了解,本专利技术不受上述实施例的限制,上述实施例和说明书中描述的只是说明本专利技术的原理,在不脱离本专利技术精神和范围的前提下,本专利技术还会有各种变化和改进,这些变化和改进都落入要求保护的本专利技术范围内,专利技术要求保护范围由所附的权利要求书及其等效物界定。
本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于访问意图的堡垒机操作行为日志审计方法,其特征在于,包括工单系统、堡垒机、A系统服务器、B系统服务器和用户,所述用户信息用于传输给工单系统和堡垒机,所述堡垒机信息用于传输给A系统服务器、B系统服务器,所述工单系统员工意图访问包括以下方法,(1)工单系统是当员工进行操作时,需要发起操作的业务系统对象,操作步骤等的表单,然后由员工的领导进行审批后方可操作的一整套办公审批系统,当工单被审批通过后,运维人员按照工单上的业务系统和操作步骤登录堡垒机进行操作;(2)工单系统是当员工进行操作时,需要发起操作的业务系统对象,操作步骤等的表单,然后由员工的领导进行审批后方可操作的一整套办公审批系统,当工单被审批通过后,运维人员按照工单上的业务系统和操作步骤登录堡垒机进行操作,上述系统可以建立访问基线,既可以从用户和服务器维度建立以前的访问基线,还可以从以下维度来建立群体访问基线或者单用户下的细分访问基线。2.根据权利要求1所述的一种基于访问意图的堡垒机操作行为日志审计方法,其特征在于,所述工单系统收集员工访问意图的数据源,包括以下属性,(1)工单系统中的被访问业务系统属性;(2)工单系统中的被访问业务系统中需要操作的中间件列表。3.根据权...
【专利技术属性】
技术研发人员:杨好颖,朱品燕,
申请(专利权)人:北京云集智造科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。