一種基于大數據日志分析的管理用戶異常行為發現方法
【專利摘要】本發明公開了一種基于大數據日志分析的管理用戶異常行為發現方法,方法的實現通過接口模塊、預處理模塊、分析模塊、配置模塊、服務模塊、可視化模塊、知識庫七個模塊完成,日志數據通過接口模塊進入預處理模塊預處理后由分析模塊分析,最后通過服務模塊后在可視化模塊顯示。該一種基于大數據日志分析的管理用戶異常行為發現方法與現有技術相比,使用大數據處理框架對信息系統內部管理人員的管理日志進行深度挖掘分析,發現管理人員的異常行為,即發現管理人員的異常行為和違規操作,追蹤發生異常的源頭,從而保證日志數據的安全性,實用性強。
【專利說明】一種基于大數據日志分析的管理用戶異常行為發現方法
【技術領域】
[0001]本發明涉及信息安全【技術領域】,具體地說是一種實用性強、基于大數據日志分析的管理用戶異常行為發現方法。
【背景技術】
[0002]日志在計算機系統中是一個非常廣泛的概念,它是安全審計的必要組成部分。日志數據是故障排除、除錯、監控、安全、反詐騙、合規、電子取證等許多企業應用的基礎。為了維護系統的自身運行并保護合法用戶的安全狀況,計算機信息系統一般都會有相應的日志來記錄信息系統有關日常事件、誤操作、警報、錯誤以及用戶的各種日常操作的日期時間和各種行為屬性信息。這些日志信息不僅用以審計用戶的行為,發現異常和違規操作,還可協助計算機犯罪調查人員發現犯罪線索,而且可以作為犯罪證據提交給法庭。傳統方式下,將計算機信息系統的日志保存到關系數據庫中,通過數理統計等方法對日志進行挖掘分析以期發現用戶的異常行為。隨著日志數據的容量和類型的增長,對日志數據進行分析、追蹤潛在的問題、發現錯誤變得越來越難,尤其是在多日志相關性分析出現之后。即便在最佳狀態下,也需要經驗豐富的操作人員跟蹤事件鏈、過濾噪音,并最終診斷出導致復雜問題產生的根本原因。海量的日志數據對日志分析處理的效率提出了更高的要求,傳統的日志存儲和分析方法已經不能勝任大數據背景下的日志分析。
[0003]基于此,現提供一種建立安全規則發現管理用戶的異常行為、基于大數據日志分析的管理用戶異常行為發現方法。
【發明內容】
[0004]本發明的技術任務是針對以上不足之處,提供一種實用性強、基于大數據日志分析的管理用戶異常行為發現方法。
[0005]一種基于大數據日志分析的管理用戶異常行為發現方法,其具體實現過程為:
一、待分析的日志存放于日志池中;
二、將日志池通過接口模塊連接預處理模塊,日志池中的日志進入預處理模塊后完成日志預處理,即清洗、整合的動作,所述接口模塊提供數據訪問接口 ;
三、將預處理模塊連接分析模塊,所述分析模塊采用大數據處理框架的日志分析建模,該分析模塊連接配置模塊和知識庫,上述預處理的日志進入分析模塊完成數據分析,所述配置模塊用于日志分析參數設置、規則管理,相對應的,該配置模塊包括參數設置子模塊、規則管理子模塊;知識庫內則為異常行為日志存放特征庫;
四、將分析模塊連接服務模塊,該服務模塊通過服務總線提供日志分析服務,相對應的,該服務模塊包括服務總線子模塊、日志分析子模塊;
五、將可視化模塊連接上述服務模塊,分析模塊分析后的日志通過服務模塊后進入可視化模塊,該可視化模塊將日志分析的異常行為軌跡在用戶界面進行可視化展現,相對應的,其結構包括可視化子模塊、異常行為軌跡子模塊。
[0006]所述分析模塊分析的異常行為的日志分成三種:
基于規則的異常行為發現:分析模塊通過對管理日志進行過濾篩選,發現其中的行為異常;
基于統計的異常行為發現:分析模塊通過統計一定時間范圍內登錄失敗次數、批量導出數據量、頻繁執行特定操作、短時間內大數據量訪問、短時間持續訪問敏感信息,發現其中的異常行為;
基于行為的異常行為發現:分析模塊通過對實時活動與基準行為模型的對比來發現可疑的異常活動。
[0007]所述基于規則的異常行為發現包括基于IP地址、基于時間、基于人員、基于關鍵字的異常行為發現,其中:
異常IP地址是指登錄地點異常,發現非習慣工作地點的異常IP地址訪問,繞過管理堡壘機的異常訪問;
異常時間是指登錄時間異常,發現非工作時間訪問,或長期不活躍,某段時間突然活躍訪問敏感信息;
異常人員是指合法用戶訪問非授權資源;非法用戶訪問合法資源;
異常關鍵字是指訪問基于關鍵字限定的敏感信息。
[0008]本發明的一種基于大數據日志分析的管理用戶異常行為發現方法,具有以下優占-
^ \\\.該發明的一種基于大數據日志分析的管理用戶異常行為發現方法通過大數據安全分析技術對管理用戶日志進行深度挖掘分析,建立安全規則發現管理用戶的異常行為,能夠發現管理用戶異常行為軌跡并對其行為進行追蹤和定責,觀察直觀,日志分析處理效率較高,實用性強,適用范圍廣泛,易于推廣。
【專利附圖】
【附圖說明】
[0009]附圖1為本發明的實現示意圖。
【具體實施方式】
[0010]下面結合附圖和具體實施例對本發明作進一步說明。
[0011]本發明提供一種基于大數據日志分析的管理用戶異常行為發現方法,使用大數據處理框架對信息系統內部管理人員的管理日志進行深度挖掘分析,發現管理人員的異常行為,即發現管理人員的異常行為和違規操作,追蹤發生異常的源頭。如附圖1所示,其具體實現過程為:
一、待分析的日志存放于日志池中;
二、將日志池通過接口模塊連接預處理模塊,日志池中的日志進入預處理模塊后完成日志預處理,即清洗、整合的動作,所述接口模塊提供數據訪問接口 ;
三、將預處理模塊連接分析模塊,所述分析模塊采用大數據處理框架的日志分析建模,該分析模塊連接配置模塊和知識庫,上述預處理的日志進入分析模塊完成數據分析,所述配置模塊用于日志分析參數設置、規則管理,相對應的,該配置模塊包括參數設置子模塊、規則管理子模塊;知識庫內則為異常行為日志存放特征庫; 四、將分析模塊連接服務模塊,該服務模塊通過服務總線提供日志分析服務,相對應的,該服務模塊包括服務總線子模塊、日志分析子模塊;
五、將可視化模塊連接上述服務模塊,分析模塊分析后的日志通過服務模塊后進入可視化模塊,該可視化模塊將日志分析的異常行為軌跡在用戶界面進行可視化展現,相對應的,其結構包括可視化子模塊、異常行為軌跡子模塊。
[0012]所述分析模塊分析的異常行為的日志分成三種:
基于規則的異常行為發現:分析模塊通過對管理日志進行過濾篩選,發現其中的行為異常;
基于統計的異常行為發現:分析模塊通過統計一定時間范圍內登錄失敗次數、批量導出數據量、頻繁執行特定操作、短時間內大數據量訪問、短時間持續訪問敏感信息,發現其中的異常行為;
基于行為的異常行為發現:分析模塊通過對實時活動與基準行為模型的對比來發現可疑的異常活動。
[0013]所述基于規則的異常行為發現包括基于IP地址、基于時間、基于人員、基于關鍵字的異常行為發現,其中:
異常IP地址是指登錄地點異常,發現非習慣工作地點的異常IP地址訪問,繞過管理堡壘機的異常訪問;
異常時間是指登錄時間異常,發現非工作時間訪問,或長期不活躍,某段時間突然活躍訪問敏感信息;
異常人員是指合法用戶訪問非授權資源;非法用戶訪問合法資源;
異常關鍵字是指訪問基于關鍵字限定的敏感信息。
[0014]上述【具體實施方式】僅是本發明的具體個案,本發明的專利保護范圍包括但不限于上述【具體實施方式】,任何符合本發明的一種基于大數據日志分析的管理用戶異常行為發現方法的權利要求書的且任何所屬【技術領域】的普通技術人員對其所做的適當變化或替換,皆應落入本發明的專利保護范圍。
【權利要求】
1.一種基于大數據日志分析的管理用戶異常行為發現方法,其特征在于其具體實現過程為: 一、待分析的日志存放于日志池中; 二、將日志池通過接口模塊連接預處理模塊,日志池中的日志進入預處理模塊后完成日志預處理,即清洗、整合的動作,所述接口模塊提供數據訪問接口 ; 三、將預處理模塊連接分析模塊,所述分析模塊采用大數據處理框架的日志分析建模,該分析模塊連接配置模塊和知識庫,上述預處理的日志進入分析模塊完成數據分析,所述配置模塊用于日志分析參數設置、規則管理,相對應的,該配置模塊包括參數設置子模塊、規則管理子模塊;知識庫內則為異常行為日志存放特征庫; 四、將分析模塊連接服務模塊,該服務模塊通過服務總線提供日志分析服務,相對應的,該服務模塊包括服務總線子模塊、日志分析子模塊; 五、將可視化模塊連接上述服務模塊,分析模塊分析后的日志通過服務模塊后進入可視化模塊,該可視化模塊將日志分析的異常行為軌跡在用戶界面進行可視化展現,相對應的,其結構包括可視化子模塊、異常行為軌跡子模塊。
2.根據權利要求1所述的一種基于大數據日志分析的管理用戶異常行為發現方法,其特征在于:所述分析模塊分析的異常行為的日志分成三種: 基于規則的異常行為發現:分析模塊通過對管理日志進行過濾篩選,發現其中的行為異常; 基于統計的異常行為發現:分析模塊通過統計一定時間范圍內登錄失敗次數、批量導出數據量、頻繁執行特定操作、短時間內大數據量訪問、短時間持續訪問敏感信息,發現其中的異常行為; 基于行為的異常行為發現:分析模塊通過對實時活動與基準行為模型的對比來發現可疑的異常活動。
3.根據權利要求2所述的一種基于大數據日志分析的管理用戶異常行為發現方法,其特征在于:所述基于規則的異常行為發現包括基于IP地址、基于時間、基于人員、基于關鍵字的異常行為發現,其中: 異常IP地址是指登錄地點異常,發現非習慣工作地點的異常IP地址訪問,繞過管理堡壘機的異常訪問; 異常時間是指登錄時間異常,發現非工作時間訪問,或長期不活躍,某段時間突然活躍訪問敏感信息; 異常人員是指合法用戶訪問非授權資源;非法用戶訪問合法資源; 異常關鍵字是指訪問基于關鍵字限定的敏感信息。
【文檔編號】G06F11/34GK104239197SQ201410529479
【公開日】2014年12月24日 申請日期:2014年10月10日 優先權日:2014年10月10日
【發明者】李清玉, 顏斌 申請人:浪潮電子信息產業股份有限公司