4a管理平台中的智能审计决策树生成方法

文档序号:6461166阅读:613来源:国知局

专利名称::4a管理平台中的智能审计决策树生成方法
技术领域
:本发明涉及一种4A管理平台中的智能审计决策树生成方法,适用于电信行业,4A管理平台(4A即统一用户账号管理、统一认证管理、统一授权管理、统一安全审计)中的统一安全审计。
背景技术
:随着各大电信运营商的业务网发展,其内部用户数量持续增加,网络规模迅速扩大,安全问题不断出现。而每个业务网系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立的以日志形式审计操作者在系统内的操作行为,已远远不能满足自身业务发展需求,及与国际业务接轨的需求。4A解决方案的提出正是应上述趋势,它包括统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素。其中统一安全审计是4A体现其综合管理价值的一个重要方面,其主要功能为(1)安全日志采集;(2)安全日志多维分析;(3)安全日志实时展现;(4)报表分析;(5)审计策略配置;(6)数据存储。4A管理平台的统一安全审计子系统的审计对象是来自认证、授权、网络审计及综合平台的syslog、snmp、snmptrap、ftp、webservice、0DBC/JDBC等日志,其数据量至少可达到每秒5000条-7000条,对于这样的海量数据的处理目前大多数软件产品都是通过定制化实现复杂的审计策略集并人工录入系统再进行应用,这样不但工作量大,而且实际效果不好顺序遍历策略集的性能是用于处理海量数据的审计系统不能接受的,复杂审计逻辑结构较为凌乱,通用性较差、可移植性差等。现有的4A管理平台综合审计系统大多都是定制式,由专业人员产生审计策略并录入系统,对日志的审计也是采用规则集顺序遍历,总体来说存在以下缺点-(1)4A综合审计策略生成工作量大,由于整个过程过多的依赖于人,存在很大的安全隐患。(2)审计策略集录入复杂逻辑不易实现。(3)通过定制式方式实现的审计策略逻辑结构较为凌乱,通用性差,审计策略不易优化。(4)遍历以规则集形式存储的策略遍历效率低,不适合用于处理海量数据的审计系统。(5)为不同的业务系统建立通用的审计策略模板难度大,使得4A综合审计系统可移植性变差。(6)业务系统若有变更,审计策略则不易优化。
发明内容本发明所要解决的技术问题是针对上述现有技术中存在的缺点,而提供一种4A管理平台中的智能审计决策树生成方法。本发明解决其技术问题所采用的技术方案本发明根据用户导入的审计资料由机器学习模块自动生成审计决策树,再将其送至审计策略应用模块供4A管理平台进行实际审计应用;所述4A即统一账号管理、统一认证管理、统一授权管理、统一安全审计;本方法的具体步骤如下一、数据输入步骤-利用4A管理平台中的审计策略配置模块即人机交互模块,在系统初始化时,将用户审计资料导入;二、机器学习步骤-利用机器学习模块中的数据预处理子模块、审计决策树生成子模块和算法-决策显示子模块,通过机器学习生成相应的审计决策树a)利用数据处理子模块,对用户导入的所述用户审计资料进行预处理,即填充属性值、理顺权限、操作、账号的对应关系、模拟训练集,然后将预处理过的数据存储到数据库;b)利用审计决策树生成子模块,对己经预处理过的数据进行数据挖掘,通过计算信息增益V^益率WINI系数确定根节点测试属性以及其各子节点测试属性;C)利用算法选择-决策显示子模块,实现根据不同的审计数据到方法库中选择不同的决策生成算法;三、审计策略修正、应用步骤通过审计策略应用模块,一方面对由机器学习模块传递过来的审计决策树进行存储、加载及应用,另一方面对用户修正过的审计策略进行存储、加载、应用,并将所有的审计策略按产生时间顺序,添加版本号入知识库。所述用户审计资料包括有实体权限矩阵表、审计对象列表。本发明的工作过程如下用户通过4A管理平台的审计策略配置模块导入需要审计的用户审计资料,机器学习模块就能通过机器学习自动生成相应的审计决策树并输出到审计策略应用模块供4A管理平台进行实际审计应用。由本方法产生的审计策略将会在4A管理平台的审计策略配置模块展现给用户,用户可根据实际业务系统的需求对其进行修正。修正是通过4A管理平台审计策略配置界面,以规则集的形式将具体要修正的策略输入系统,并加载应用。本发明有益效果如下(1)审计策略自主生成在一定程度上极大的减少了审计策略制定人员的工作量,使4A管理平台更具人性化、智能化。(2)无需规则录入减少了由人为因素而带来的安全隐患。(3)高性能由于审计策略是以树的结构进行存储,每次进行审计时按深度或广度优先的方式遍历树比起逐条遍历以规则集形式存储的策略效率要高很多,以二叉树为例最坏的情况其复杂度为o(n)。(4)算法多选择本方法提供多种决策树建立算法,针对不同的训练集选用较为合适的分类算法。(5)支持人为策略修正在实际4A应用中,本方法建议采用以机器生成策略为主,人工策略修正为辅。决策树生成的策略很大程度上依赖于训练集的好坏,现实中得不到完美的训练集,审计策略一定存在不合理的地方,增加人工修正相当于为审计加了保险。图1为本发明组织框架图(原理框图)。图2为本发明的用例图。具体实施例方式现结合图l、2举例说明本方法首先通过审计策略配置模块将用户审计资料导入机器学习模块中的数据预处理子模块,在数据预处理子模块中,将不同的业务数据进行融合并对其进行属性概化、模拟训练集等数据预处理,之后输出一条条带有类标号的用于机器学习的数据即形成训练集,训练集中的一部分数据被送至审计决策树生成子模块,另一部分数据直接入数据库;系统配置员可以根据数据本身的特征到方法库中选择适合的决策树生成算法进行数据挖掘,输出审计决策树到审计策略应用模块进行审计应用。被送去审计应用模块的审计策略一方面直接用于系统审计,另一方面送至4A管理平台审计策略配置模块展示给用户以便用户对其进行修正。如果用户对审计策略的某些部分不满意,可以对其进行修正,如果用户认为系统产生的通用审计策略不能全部覆盖实际的业务审计范围则可以通过审计策略配置模块进行添加;如果用户认为系统产生的某些审计策略不合理,想要删除,则也可以通过审计策略配置模块进行审计策略禁用。对于4A管理平台审计策略应用模块而言,用户修正过的规则总是处于最高优先级,遇到系统生成的规则与用户修改的审计规则有冲突时,用户修正过的审计规则为有效规则。当系统生成的规则中有部分规则被用户禁用,则系统直接跳过这些规则的判断,执行别的规则。对于用户先添加的规则,系统也总是置于系统生成的规则之前,便于其先被判断。下面重点介绍一下数据预处理子模块中的模拟训练集和审计策略应用模块-一、模拟训练集数据挖掘顾名思义是要对数据进行分析,但当系统第一次进行应用时,其所管理的业务系统是没有合适的历史数据用于进行审计策略生成训练的,故在系统初始化运行时,需要进行模拟训练集。为了便于理解,先解释一下机器学习的概念,所谓的机器学习实际上就是通过某一算法让电脑去模拟人思维的过程——去掌握某些规则,这些规则是潜藏在海量数据中的规则,也是最终想要的结果。实际上在模拟训练集的过程中已经实现大致能预期到最终生成的部分审计策略,这是基于经验,当然在设计本方法时,借助了已经很成熟的强制访问控制的思想,即主体、客体和操作。将其扩展为账号、目标访问对象、及对对象所进行的操作,再结合网络安全审计的特点,增加属性源ip、资源ip(包括设备ip或数据库帐号)或端口号等。为了便于说明,现举最简单的例子选定最普遍的测试属性为源ip、设备ip(数据库名)、账号、审计对象(表格、文件、脚本或进程)、相应的操作。模拟训练集需要一些审计资料实体权限矩阵表、审计对象列表。有了这些信息便可以获得相应的资源ip及在其之上相应的账号及其所拥有的权限。实体权限矩阵表如附表1所示;文件列表如附表2所示。首先从实体权限矩阵表(附表l)中获得如下信息-(1)授权用户的合法操作;(2)敏感设备\数据库列表dev—ip—list、db—list;(3)在敏感设备\数据库上建立的账号列表aCC—list;(4)特殊权限账户列表sp—acc」ist;(5)公用账号列表gn—acc—list;(6)用于外部连接的源ip地址列表src—ip_list;(7)待补充如外部连接类对像列表a11—obj—list、全账号列表all—acc_list、全设备ip地址列表all—dev—ip、全源Ip地址列表all—src_ip等。其中敏感设备\数据库列表和用于外部连接的源Ip地址列表要被用于4A后台采集数据模块在泛化时对日志进行处理,特殊账号和公用账号列表主要用于模拟训练集用来产生非授权用户类数据,值得注意将账号与其相对应的设备ip或数据库账号进行绑定。由于模拟的数据主要是用来作为训练集以便机器进行学习产生审计策略,所以在此之前必须明确几个重要的概念a、审计域——对敏感系统、设备、数据库上的敏感资料的操作(见附表3)。b、期望的模拟训练集涵盖以下几类数据(见附表4)。各类数据产生的逻辑为(1)授权用户合法操作直接从实体权限配置表中读出的每一行操作对象单元格不为空的记录,保存并添加类标号授权用户的合法操作。(2)随机组合上述获得的各列表值(源Ip列表srcjp—list、设备ip列表dev—ip—list、db—list、贝长号歹!j表sp—acc—list、gn—acc_list,审计对象列表all—obj—list、相应的操作列表opt—list)。1、组合二元组(dev—ip_,,sp—acc—)、(dev—ip—,gn—acc一)、(db—,sp一acc)、(db—,gn一acc);2、增加源Ip列表跟以上二元组进行组合形成3元组(src_ip,二元组),(any,二元组);3、随机组合all—obj—list和opt—list产生二元组(obj,opt);4、将3元组(src—ip,二元组),(any,二元组)与二元组(obj,opt)进行组合生成五元组(src_ip—*,dev—ip一氺,acc—*,obj—*,opt—*)、(src—ip_*,db一氺,acc_*,obj—求,opt—*);经过上述的四步骤,己经有了原始日志的"标准数据"了,这里是指该五元组已经与4A系统运行以后所采集上来的原始日志经过数据预处理后的数据具有相同的形式只是值可能不一样。接下来很重要的一步就是从这些由随机产生的5元组中分出哪些是授权用户的合法操作、哪些是授权用户的非法操作亦或是非授权用户、非法连接或是非法用户,其逻辑规则为(1)非法用户账号不是改设备或数据库上应有的账号(2)非授权用户账号对此对象不具有任何权限(3)非法连接该源ip不是信任源ip(4)授权用户的非法操作该账号对此对象具有一定的操作权限但进行了不该做的操作(5)授权用户的合法操作与实体权限对应表中直接获得的记录完全一样根据以上5条原则对随机产生的5元组进行添加相应的类标号,此时产生的六元组(五元组,类标号)既是最终的模拟训练集,将被用于机器学习。二、审计策略应用模块.-审计策略应用模块实际上是本方法真正使4A管理平台审计策略运行起来的模块,其主要作用就是实现审计策略在4A管理平台的应用。它一方面接收来自机器学习模块生成的审计决策树,一方面接收来自4A管理平台用户修正的审计策略,并将其汇总、添加版本号入知识库存储、备份。无论是来自哪的审计策略,初次输入到审计策略应用模块一律先入库,并放入缓存,由用户手动选择启用时再通过发送命令加载应用。加载时应当遵守的原则(1)初次使用时先添加版本号、入知识库、后直接加载机器学习模块统生成的审计决策树,并标注优先级最低。(2)对于由4A管理平台中用户修正的审计策略先判断是否启用,如果启用则先添加版本号、入知识库再加载,加载时标准优先级为高,并做计数统计使用频率。如上加载过程中一律遵循用户修正策略优先级最高,系统生成审计决策树优先级最低。审计策略在审计策略应用模块中的存储方式为树状结构。以树结构进行审计判别时时间复杂度小于规则集形式,与树的高度成线性关系。<table>complextableseeoriginaldocumentpage10</column></row><table><table>complextableseeoriginaldocumentpage10</column></row><table><table>complextableseeoriginaldocumentpage11</column></row><table>权利要求1、4A管理平台中的智能审计决策树生成方法,其特征在于根据用户导入的审计资料由机器学习模块自动生成审计决策树,再将其送至审计策略应用模块供4A管理平台进行实际审计应用;所述4A即统一账号管理、统一认证管理、统一授权管理、统一安全审计;本方法的具体步骤如下一、数据输入步骤利用4A管理平台中的审计策略配置模块即人机交互模块,在系统初始化时,将用户审计资料导入;二、机器学习步骤利用机器学习模块中的数据预处理子模块、审计决策树生成子模块和算法-决策显示子模块,通过机器学习生成相应的审计决策树a)利用数据预处理子模块,对用户导入的所述用户审计资料进行预处理,即填充属性值、理顺权限、操作、账号的对应关系、模拟训练集,然后将预处理过的数据存储到数据库;b)利用审计决策树生成子模块,对已经预处理过的数据进行数据挖掘,通过计算信息增益\增益率\GINI系数确定根节点测试属性以及其各子节点测试属性;c)利用算法选择-决策显示子模块,实现根据不同的审计数据到方法库中选择不同的决策生成算法;三、审计策略修正、应用步骤通过审计策略应用模块,一方面对由机器学习模块传递过来的审计决策树进行存储、加载及应用,另一方面对用户修正过的审计策略进行存储、加载、应用,并将所有的审计策略按产生时间顺序,添加版本号入知识库。2、根据权利要求1所述的4A管理平台中的智能审计决策树生成方法,其特征在于所述用户审计资料包括有实体权限矩阵表、审计对象列表。全文摘要本发明涉及一种4A管理平台中的智能审计决策树生成方法,本发明的技术要点是根据用户导入的审计资料由机器学习模块自动生成审计决策树,再将其送至审计策略应用模块供4A管理平台进行实际审计应用;所述4A即统一账号管理、统一认证管理、统一授权管理、统一安全审计。本发明的有益效果是审计策略自主生成;无需规则录入;以树形结构存储,策略遍历性能高;算法多选择;支持人为策略修正。文档编号G06Q10/00GK101344941SQ20081007923公开日2009年1月14日申请日期2008年8月21日优先权日2008年8月21日发明者辉乔,卢建辉,孟立文,咏庞,智韶清,杨光彤,武海斌,宏狄,东王,贾殿承,郭林江,峰陈申请人:河北全通通信有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1