一種遠程運維智能審計的方法
【專利摘要】本發(fā)明公開了一種遠程運維智能審計的方法���,在客戶端與服務(wù)器之間架設(shè)堡壘機���,客戶端對服務(wù)器的運維通過堡壘機轉(zhuǎn)發(fā)進行,堡壘機收集運維數(shù)據(jù)并對運維數(shù)據(jù)進行審計����,該方法包括學(xué)習(xí)階段和檢測階段,在學(xué)習(xí)階段通過字符命令分析和用戶行為分析形成操作命令規(guī)則庫和操作行為規(guī)則庫�,在檢測階段通過匹配規(guī)則庫審計運維操作命令和操作行為是否正常,并可對規(guī)則庫進行更新�。與現(xiàn)有技術(shù)相比�,本發(fā)明的方法通用性較強且檢測效率較高���,只需要經(jīng)歷一段時間的學(xué)習(xí)階段,就可以進入檢測���,維護方便����,規(guī)則庫不斷更新確保降低誤檢率�。
【專利說明】一種遠程運維智能審計的方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種遠程運維智能審計的實現(xiàn)方法,特別是一種針對遠程運維審計中 人工審計規(guī)則配置的不足而研發(fā)的通過自主學(xué)習(xí)建立規(guī)則庫��,智能分析審計數(shù)據(jù)的實現(xiàn)方 法�����,屬于運維安全【技術(shù)領(lǐng)域】�。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)與計算機技術(shù)的飛速發(fā)展,服務(wù)器的應(yīng)用越發(fā)廣泛�,其安全性顯得尤為 重要。在服務(wù)器性能與效率不斷提升的同時����,如何有效防止服務(wù)器遭受攻擊����、保證服務(wù)器中 數(shù)據(jù)的安全性和有效性��,已成為信息安全的重要研究課題���。
[0003] 現(xiàn)有的服務(wù)器審計系統(tǒng)�����,對操作審計的規(guī)則由審計人員人工配置或者研發(fā)人員預(yù) 設(shè)基礎(chǔ)規(guī)則��,然后經(jīng)由堡壘機記錄操作數(shù)據(jù)后轉(zhuǎn)發(fā)��,解析數(shù)據(jù)后�,比對設(shè)定的規(guī)則判斷是否 異常����。
[0004] 這種數(shù)據(jù)庫審計的方式需要審計人員具備安全知識,并且對企業(yè)各業(yè)務(wù)系統(tǒng)的服 務(wù)器有一定了解��,針對各個業(yè)務(wù)系統(tǒng)需要配置大量不同的規(guī)則�,規(guī)則涉及廣泛選項條目繁 多,存在一定誤操作的可能����。即便有異常數(shù)據(jù)被系統(tǒng)誤判為正常數(shù)據(jù)����,在沒有造成明顯的系 統(tǒng)安全問題前�����,也無法被發(fā)現(xiàn)����,存在漏檢測的隱患���。
【發(fā)明內(nèi)容】
[0005] 發(fā)明目的:本發(fā)明所要解決的技術(shù)問題是針對現(xiàn)有技術(shù)的不足和安全預(yù)防的不完 全�����,提供一種遠程運維智能審計的方法�,對服務(wù)器系統(tǒng)操作行為和操作語句進行雙向?qū)徲?并利用關(guān)聯(lián)規(guī)則挖掘技術(shù)實現(xiàn)智能學(xué)習(xí)與分析檢測���。
[0006] 技術(shù)方案:為了實現(xiàn)上述目的�����,本發(fā)明采用如下技術(shù)方案: 一種遠程運維智能審計的方法���,在客戶端與服務(wù)器之間架設(shè)堡壘機����,客戶端對服務(wù)器 的運維通過堡壘機轉(zhuǎn)發(fā)進行���,堡壘機收集運維數(shù)據(jù)并對運維數(shù)據(jù)進行審計�,該方法包括形 成規(guī)則庫的學(xué)習(xí)階段�����,以及通過匹配規(guī)則庫審計運維數(shù)據(jù)是否正常的檢測階段���。
[0007] 所述學(xué)習(xí)階段包括如下步驟: 通過對樣本數(shù)據(jù)中的操作字符命令進行詞法和語法分析生成字符命令的語法樹并根 據(jù)語法樹的結(jié)構(gòu)特征計算特征值���,以字符命令的特征值建立操作命令規(guī)則庫; 通過對樣本數(shù)據(jù)中的操作行為進行聚類分析�����,利用Apriori算法對聚類結(jié)果進行關(guān)聯(lián) 規(guī)則挖掘,以關(guān)聯(lián)規(guī)則建立操作行為規(guī)則庫����。
[0008] 所述檢測階段包括如下步驟: 對審計數(shù)據(jù)中的操作字符命令進行詞法和語法分析生成字符命令的語法樹并根據(jù)語 法樹的結(jié)構(gòu)特征計算特征值,根據(jù)特征值與操作命令規(guī)則庫的匹配情況來判斷審計數(shù)據(jù)中 的操作字符命令是否正常���; 提取審計數(shù)據(jù)中的操作行為特征���,根據(jù)行為特征與操作行為規(guī)則庫的匹配情況來判斷 審計數(shù)據(jù)中的操作行為是否正常。
[0009] 其中學(xué)習(xí)階段形成操作命令規(guī)則庫的具體步驟包括: 步驟101 :對字符命令i進行詞法和語法分析����,生成語法樹�,i為樣本數(shù)據(jù)中的字符命令 的編號; 步驟102 :對語法樹中的用戶輸入內(nèi)容進行統(tǒng)一的字符替換生成規(guī)范語法樹�����; 步驟103 :對規(guī)范語法樹進行特征提取�,得到字符命令規(guī)范語法樹的結(jié)構(gòu)特征Si=(Sl ,S2�,S3,S4, S5)�����,S1為操作類型、S2為子樹的個數(shù)���、S3為樹的高度����、S4為節(jié)點的個數(shù)����、S5 為第一棵子樹節(jié)點的個數(shù); 步驟104 :利用HASH算法對(SI����,S2,S3�����,S4, S5)組成的字符串進行HASH計算從而 得到字符命令的特征值Vi ; 步驟105 :將字符命令的特征值Vi存入操作命令規(guī)則庫�; 循環(huán)步驟101至105直至將所有樣本數(shù)據(jù)學(xué)習(xí)完畢。
[0010] 檢驗階段對運維操作字符命令進行審計的具體步驟包括: 步驟201 :按照步驟101-104的方法得到審計數(shù)據(jù)中的字符命令對應(yīng)的特征值����; 步驟202 :將步驟201中得到的特征值與操作命令規(guī)則庫中的特征值進行匹配��,如果匹 配成功則視為正常數(shù)據(jù)�����,結(jié)束��;如果匹配失敗則至步驟203 ; 步驟203 :提交到待人工審計數(shù)據(jù)列表���,由審計人員進行人工審計,若判斷為正常數(shù)據(jù) 則將該特征值添加至操作命令規(guī)則庫中�,結(jié)束;若判斷為異常數(shù)據(jù)則進行告警處理��。
[0011] 學(xué)習(xí)階段形成操作行為規(guī)則庫的具體步驟包括: 步驟401 :根據(jù)預(yù)先定義的操作行為相關(guān)元素�,提取樣本數(shù)據(jù)中的關(guān)鍵元素并進行聚 類分析; 步驟402 :利用Apriori算法對聚類結(jié)果進行分析�����,設(shè)定最小支持度和最小可信度���,計 算出符合最小支持度和最小可信度的強關(guān)聯(lián)規(guī)則; 步驟403 :將關(guān)聯(lián)規(guī)則存入操作行為規(guī)則庫����。
[0012] 檢驗階段對運維用戶操作行為進行審計的具體步驟包括: 步驟501 :根據(jù)預(yù)先定義的操作行為相關(guān)元素���,提取審計數(shù)據(jù)中的關(guān)鍵元素,得到其關(guān) 聯(lián)關(guān)系���; 步驟502 :將步驟501得到的關(guān)聯(lián)關(guān)系與操作行為規(guī)則庫中關(guān)聯(lián)規(guī)則進行匹配�,如果匹 配成功則視為正常數(shù)據(jù)����,結(jié)束;如果匹配失敗則至步驟503 ; 步驟503 :提交到待人工審計數(shù)據(jù)列表���,由審計人員進行人工審計����,若判斷為正常數(shù)據(jù) 則將該關(guān)聯(lián)關(guān)系添加至操作行為規(guī)則庫中���,結(jié)束�����;若判斷為異常數(shù)據(jù)則進行告警處理��。
[0013] 有益效果:與現(xiàn)有技術(shù)相比��,本發(fā)明提供了一種運維智能審計的方法����,通過用戶行 為分析、字符命令分析����,將異常檢測技術(shù)、關(guān)聯(lián)規(guī)則挖掘技術(shù)和模式匹配等方法混合使用����, 實現(xiàn)運維審計規(guī)則的自動學(xué)習(xí)和檢測。該方法通用性較強且檢測效率較高�,只需要經(jīng)歷一 段時間的學(xué)習(xí)階段,就可以進入檢測���,維護方便�����,規(guī)則庫不斷更新確保降低誤檢率?����?梢詫?際滿足不同用戶對服務(wù)器安全的需求,在運維審計行業(yè)中有廣泛的應(yīng)用前景��。
【專利附圖】
【附圖說明】
[0014] 圖1為本發(fā)明方法的檢測階段的流程示意圖�����; 圖2為本發(fā)明所述的Apriori算法示例圖���。
【具體實施方式】
[0015] 下面結(jié)合具體實施例�����,進一步闡明本發(fā)明��,應(yīng)理解這些實施例僅用于說明本發(fā)明 而不用于限制本發(fā)明的范圍��,在閱讀了本發(fā)明之后��,本領(lǐng)域技術(shù)人員對本發(fā)明的各種等價 形式的修改均落于本申請所附權(quán)利要求所限定的范圍�。
[0016] 本發(fā)明提供了一種通過關(guān)聯(lián)規(guī)則挖掘技術(shù)對服務(wù)器運維操作字符命令以及操作 行為進行雙向智能分析的運維審計方法��,所述方法包括學(xué)習(xí)階段和檢測階段���,在學(xué)習(xí)階段 形成操作命令規(guī)則庫和操作行為規(guī)則庫��,進入檢測階段即可通過匹配規(guī)則庫來審計異常數(shù) 據(jù)���。
[0017] 操作字符命令審計的學(xué)習(xí)階段���,在學(xué)習(xí)樣本數(shù)據(jù)解析中得到字符命令,建立字符 命令樹��,計算字符命令結(jié)構(gòu)的特征值�����,將其作為規(guī)則存入到操作命令規(guī)則庫中�,實現(xiàn)規(guī)則庫 的建立。具體步驟包括: 步驟101 :利用UNIX系統(tǒng)所提供的詞法分析工具LEX和語法分析工具YACC對樣本數(shù) 據(jù)中的字符命令i進行詞法和語法分析����,生成語法樹,i為樣本數(shù)據(jù)中的字符命令的編號����; 步驟102 :對語法樹中的用戶輸入內(nèi)容進行統(tǒng)一的字符替換生成規(guī)范語法樹; 步驟103 :對規(guī)范語法樹進行特征提取,得到字符命令規(guī)范語法樹的結(jié)構(gòu)特征Si=(Sl �����,S2���,S3,S4, S5)��,其中S1為操作類型���、S2為子樹的個數(shù)���、S3為樹的高度、S4為節(jié)點的個 數(shù)�����、S5為第一棵子樹節(jié)點的個數(shù)�; 步驟104 :利用HASH算法對(SI,S2���,S3��,S4, S5)組成的字符串進行HASH計算從而 得到字符命令的特征值Vi ; 步驟105 :將字符命令的特征值Vi存入操作命令規(guī)則庫����。
[0018] 循環(huán)步驟101至105直至將所有樣本數(shù)據(jù)學(xué)習(xí)完畢,學(xué)習(xí)階段結(jié)束�。
[0019] 操作行為審計的學(xué)習(xí)階段,對樣本數(shù)據(jù)進行聚類分析�����,利用Apriori算法進行關(guān) 聯(lián)規(guī)則挖掘�,建立正常操作行為規(guī)則庫。具體步驟包括: 步驟401 :根據(jù)預(yù)先定義在數(shù)據(jù)庫表中的操作行為相關(guān)元素��,提取樣本數(shù)據(jù)中的關(guān)鍵 元素并進行聚類分析��。預(yù)先定義關(guān)鍵元素包括與數(shù)據(jù)庫操作相關(guān)的數(shù)據(jù)庫用戶名���、操作對 象表名和數(shù)據(jù)庫操作類型���,以及與服務(wù)器管理相關(guān)的服務(wù)器地址、服務(wù)器登錄名和操作命 令類型等����; 步驟402 :利用Apriori算法對聚類結(jié)果進行分析,設(shè)定最小支持度和最小可信度,計 算出符合最小支持度和最小可信度的強關(guān)聯(lián)規(guī)則���; 步驟403 :將關(guān)聯(lián)規(guī)則存入操作行為規(guī)則庫��。
[0020] 循環(huán)步驟401至403直至學(xué)習(xí)階段結(jié)束。
[0021] 圖2以一個實例演示步驟402中采用Apriori算法挖掘關(guān)聯(lián)規(guī)則的流程示例圖�����, 具體步驟如下: 步驟301�,遍歷候選項集1,對每個候選進行計數(shù)��; 步驟302,設(shè)定最小支持度為2,過濾掉小于最小支持度的事務(wù)�����,生成頻繁項集1 ; 步驟303,去掉互斥項�,產(chǎn)生候選項集2,對候選集進行支持度計數(shù); 步驟304,過濾掉小于最小支持度的事務(wù)���,生成頻繁項集2 ; 步驟305,去掉互斥項��,產(chǎn)生候選項集3,對候選集進行支持度計數(shù)�; 步驟306,過濾掉小于最小支持度的事務(wù),生成頻繁項集3����。
[0022] 如圖1所示,在檢測階段����,對服務(wù)器的運維數(shù)據(jù)中的操作行為和操作字符命令分 別進行檢測分析,匹配規(guī)則庫判斷數(shù)據(jù)是否異常��。
[0023] 操作字符命令檢測時�����,將字符命令特征值與規(guī)則庫中的條目進行匹配����,若匹配成 功則認為此字符命令為正常數(shù)據(jù),若匹配不成功則提交給人工審計��。具體步驟包括: 步驟201 :按照步驟101-104的方法得到審計數(shù)據(jù)中的字符命令對應(yīng)的特征值����; 步驟202 :將步驟201中得到的特征值與操作命令規(guī)則庫中的特征值進行匹配,如果匹 配成功則視為正常數(shù)據(jù)���,結(jié)束�����;如果匹配失敗則至步驟203 ; 步驟203 :提交到待人工審計數(shù)據(jù)列表��,由審計人員進行人工審計�,若判斷為正常數(shù)據(jù) 則將該特征值添加至操作命令規(guī)則庫中,結(jié)束��;若判斷為異常數(shù)據(jù)則進行告警處理�����。
[0024] 操作行為檢測時�,提取審計數(shù)據(jù)中的關(guān)鍵數(shù)據(jù)得到其關(guān)聯(lián)規(guī)則���,與正常操作行為 規(guī)則庫中的條目進行匹配����,若匹配成功����,判定該數(shù)據(jù)為正常行為檢測結(jié)束���;若匹配不成功則 提交給審計人員進行人工審計。具體步驟包括: 步驟501 :提取審計數(shù)據(jù)中的用戶操作行為關(guān)鍵元素(如:數(shù)據(jù)庫用戶名�����、操作對象表 名和數(shù)據(jù)庫操作類型)��,得到其關(guān)聯(lián)關(guān)系即行為特征����; 步驟502 :將步驟501得到的關(guān)聯(lián)關(guān)系與操作行為規(guī)則庫中關(guān)聯(lián)規(guī)則進行匹配,如果匹 配成功則視為正常數(shù)據(jù)�,結(jié)束;如果匹配失敗則至步驟503 ; 步驟503 :提交到待人工審計數(shù)據(jù)列表��,由審計人員進行人工審計�����,若判斷為正常數(shù)據(jù) 則將該關(guān)聯(lián)關(guān)系添加至操作行為規(guī)則庫中�����,結(jié)束���;若判斷為異常數(shù)據(jù)則進行告警處理��。
【權(quán)利要求】
1. 一種遠程運維智能審計的方法�����,在客戶端與服務(wù)器之間架設(shè)堡壘機�,客戶端對服務(wù) 器的運維通過堡壘機轉(zhuǎn)發(fā)進行,堡壘機收集運維數(shù)據(jù)并對運維數(shù)據(jù)進行審計��,其特征在于�, 該方法包括形成規(guī)則庫的學(xué)習(xí)階段,以及通過匹配規(guī)則庫審計運維數(shù)據(jù)是否正常的檢測階 段���; 所述學(xué)習(xí)階段包括如下步驟: 通過對樣本數(shù)據(jù)中的操作字符命令進行詞法和語法分析生成字符命令的語法樹并根 據(jù)語法樹的結(jié)構(gòu)特征計算特征值,以字符命令的特征值建立操作命令規(guī)則庫����; 通過對樣本數(shù)據(jù)中的操作行為進行聚類分析,利用Apriori算法對聚類結(jié)果進行關(guān)聯(lián) 規(guī)則挖掘�,以關(guān)聯(lián)規(guī)則建立操作行為規(guī)則庫; 所述檢測階段包括如下步驟: 對審計數(shù)據(jù)中的操作字符命令進行詞法和語法分析生成字符命令的語法樹并根據(jù)語 法樹的結(jié)構(gòu)特征計算特征值����,根據(jù)特征值與操作命令規(guī)則庫的匹配情況來判斷審計數(shù)據(jù)中 的操作字符命令是否正常�����; 提取審計數(shù)據(jù)中的操作行為特征�����,根據(jù)行為特征與操作行為規(guī)則庫的匹配情況來判斷 審計數(shù)據(jù)中的操作行為是否正常��。
2. 根據(jù)權(quán)利要求1所述的遠程運維智能審計的方法��,其特征在于�����, 所述通過對樣本數(shù)據(jù)中的操作字符命令進行詞法和語法分析生成字符命令的語法樹 并根據(jù)語法樹的結(jié)構(gòu)特征計算特征值���,以字符命令的特征值建立操作命令規(guī)則庫的具體步 驟包括: 步驟101 :對字符命令i進行詞法和語法分析,生成語法樹�����,i為樣本數(shù)據(jù)中的字符命令 的編號�; 步驟102 :對語法樹中的用戶輸入內(nèi)容進行統(tǒng)一的字符替換生成規(guī)范語法樹; 步驟103 :對規(guī)范語法樹進行特征提取�����,得到字符命令規(guī)范語法樹的結(jié)構(gòu)特征Si=(Sl ,S2�,S3,S4, S5)�,S1為操作類型、S2為子樹的個數(shù)�����、S3為樹的高度����、S4為節(jié)點的個數(shù)、S5 為第一棵子樹節(jié)點的個數(shù)���; 步驟104 :利用HASH算法對(SI,S2�,S3,S4, S5)組成的字符串進行HASH計算從而 得到字符命令的特征值Vi ; 步驟105 :將字符命令的特征值Vi存入操作命令規(guī)則庫�����; 循環(huán)步驟101至105直至將所有樣本數(shù)據(jù)學(xué)習(xí)完畢����; 所述對審計數(shù)據(jù)中的操作字符命令進行詞法和語法分析生成字符命令的語法樹并根 據(jù)語法樹的結(jié)構(gòu)特征計算特征值���,根據(jù)特征值與操作命令規(guī)則庫的匹配情況來判斷審計數(shù) 據(jù)中的操作字符命令是否正常的具體步驟包括: 步驟201 :按照所述步驟101-104的方法得到審計數(shù)據(jù)中的字符命令對應(yīng)的特征值; 步驟202 :將步驟201中得到的特征值與操作命令規(guī)則庫中的特征值進行匹配��,如果匹 配成功則視為正常數(shù)據(jù)����,結(jié)束;如果匹配失敗則至步驟203 ; 步驟203 :提交到待人工審計數(shù)據(jù)列表���,由審計人員進行人工審計�,若判斷為正常數(shù)據(jù) 則將該特征值添加至操作命令規(guī)則庫中���,結(jié)束����;若判斷為異常數(shù)據(jù)則進行告警處理�����。
3. 根據(jù)權(quán)利要求1所述的遠程運維智能審計的方法,其特征在于����, 所述通過對樣本數(shù)據(jù)中的操作行為進行聚類分析,利用Apriori算法對聚類結(jié)果進行 關(guān)聯(lián)規(guī)則挖掘��,以關(guān)聯(lián)規(guī)則建立操作行為規(guī)則庫的具體步驟包括: 步驟401 :根據(jù)預(yù)先定義的操作行為相關(guān)元素�����,提取樣本數(shù)據(jù)中的關(guān)鍵元素并進行聚 類分析�; 步驟402 :利用Apriori算法對聚類結(jié)果進行分析,設(shè)定最小支持度和最小可信度���,計 算出符合最小支持度和最小可信度的強關(guān)聯(lián)規(guī)則����; 步驟403 :將關(guān)聯(lián)規(guī)則存入操作行為規(guī)則庫��; 所述提取審計數(shù)據(jù)中的操作行為特征����,根據(jù)行為特征與操作行為規(guī)則庫的匹配情況來 判斷審計數(shù)據(jù)中的操作行為是否正常的具體步驟包括: 步驟501 :根據(jù)預(yù)先定義的操作行為相關(guān)元素��,提取審計數(shù)據(jù)中的關(guān)鍵元素�,得到其關(guān) 聯(lián)關(guān)系�; 步驟502 :將步驟501得到的關(guān)聯(lián)關(guān)系與操作行為規(guī)則庫中關(guān)聯(lián)規(guī)則進行匹配���,如果匹 配成功則視為正常數(shù)據(jù)���,結(jié)束;如果匹配失敗則至步驟503 ; 步驟503 :提交到待人工審計數(shù)據(jù)列表�����,由審計人員進行人工審計����,若判斷為正常數(shù)據(jù) 則將該關(guān)聯(lián)關(guān)系添加至操作行為規(guī)則庫中,結(jié)束�;若判斷為異常數(shù)據(jù)則進行告警處理。
4. 根據(jù)權(quán)利要求2所述的遠程運維智能審計的方法�,其特征在于,步驟101中利用 UNIX系統(tǒng)所提供的詞法分析工具LEX和語法分析工具YACC分別對進行字符命令進行詞法 和語法分析���。
5. 根據(jù)權(quán)利要求3所述的遠程運維智能審計的方法�����,其特征在于�����,所述預(yù)先定義的操 作行為相關(guān)元素包括數(shù)據(jù)庫用戶名�����、操作對象表名��、數(shù)據(jù)庫操作類型��、服務(wù)器地址�����、服務(wù)器 登錄名和操作命令類型�����。
【文檔編號】G06F17/30GK104156439SQ201410396109
【公開日】2014年11月19日 申請日期:2014年8月12日 優(yōu)先權(quán)日:2014年8月12日
【發(fā)明者】吳克河, 崔文超, 陳飛, 安延文 申請人:華北電力大學(xué)句容研究中心