一种基于大数据日志分析的管理用户异常行为发现方法
【专利摘要】本发明公开了一种基于大数据日志分析的管理用户异常行为发现方法,方法的实现通过接口模块、预处理模块、分析模块、配置模块、服务模块、可视化模块、知识库七个模块完成,日志数据通过接口模块进入预处理模块预处理后由分析模块分析,最后通过服务模块后在可视化模块显示。该一种基于大数据日志分析的管理用户异常行为发现方法与现有技术相比,使用大数据处理框架对信息系统内部管理人员的管理日志进行深度挖掘分析,发现管理人员的异常行为,即发现管理人员的异常行为和违规操作,追踪发生异常的源头,从而保证日志数据的安全性,实用性强。
【专利说明】一种基于大数据日志分析的管理用户异常行为发现方法
【技术领域】
[0001]本发明涉及信息安全【技术领域】,具体地说是一种实用性强、基于大数据日志分析的管理用户异常行为发现方法。
【背景技术】
[0002]日志在计算机系统中是一个非常广泛的概念,它是安全审计的必要组成部分。日志数据是故障排除、除错、监控、安全、反诈骗、合规、电子取证等许多企业应用的基础。为了维护系统的自身运行并保护合法用户的安全状况,计算机信息系统一般都会有相应的日志来记录信息系统有关日常事件、误操作、警报、错误以及用户的各种日常操作的日期时间和各种行为属性信息。这些日志信息不仅用以审计用户的行为,发现异常和违规操作,还可协助计算机犯罪调查人员发现犯罪线索,而且可以作为犯罪证据提交给法庭。传统方式下,将计算机信息系统的日志保存到关系数据库中,通过数理统计等方法对日志进行挖掘分析以期发现用户的异常行为。随着日志数据的容量和类型的增长,对日志数据进行分析、追踪潜在的问题、发现错误变得越来越难,尤其是在多日志相关性分析出现之后。即便在最佳状态下,也需要经验丰富的操作人员跟踪事件链、过滤噪音,并最终诊断出导致复杂问题产生的根本原因。海量的日志数据对日志分析处理的效率提出了更高的要求,传统的日志存储和分析方法已经不能胜任大数据背景下的日志分析。
[0003]基于此,现提供一种建立安全规则发现管理用户的异常行为、基于大数据日志分析的管理用户异常行为发现方法。
【发明内容】
[0004]本发明的技术任务是针对以上不足之处,提供一种实用性强、基于大数据日志分析的管理用户异常行为发现方法。
[0005]一种基于大数据日志分析的管理用户异常行为发现方法,其具体实现过程为:
一、待分析的日志存放于日志池中;
二、将日志池通过接口模块连接预处理模块,日志池中的日志进入预处理模块后完成日志预处理,即清洗、整合的动作,所述接口模块提供数据访问接口 ;
三、将预处理模块连接分析模块,所述分析模块采用大数据处理框架的日志分析建模,该分析模块连接配置模块和知识库,上述预处理的日志进入分析模块完成数据分析,所述配置模块用于日志分析参数设置、规则管理,相对应的,该配置模块包括参数设置子模块、规则管理子模块;知识库内则为异常行为日志存放特征库;
四、将分析模块连接服务模块,该服务模块通过服务总线提供日志分析服务,相对应的,该服务模块包括服务总线子模块、日志分析子模块;
五、将可视化模块连接上述服务模块,分析模块分析后的日志通过服务模块后进入可视化模块,该可视化模块将日志分析的异常行为轨迹在用户界面进行可视化展现,相对应的,其结构包括可视化子模块、异常行为轨迹子模块。
[0006]所述分析模块分析的异常行为的日志分成三种:
基于规则的异常行为发现:分析模块通过对管理日志进行过滤筛选,发现其中的行为异常;
基于统计的异常行为发现:分析模块通过统计一定时间范围内登录失败次数、批量导出数据量、频繁执行特定操作、短时间内大数据量访问、短时间持续访问敏感信息,发现其中的异常行为;
基于行为的异常行为发现:分析模块通过对实时活动与基准行为模型的对比来发现可疑的异常活动。
[0007]所述基于规则的异常行为发现包括基于IP地址、基于时间、基于人员、基于关键字的异常行为发现,其中:
异常IP地址是指登录地点异常,发现非习惯工作地点的异常IP地址访问,绕过管理堡垒机的异常访问;
异常时间是指登录时间异常,发现非工作时间访问,或长期不活跃,某段时间突然活跃访问敏感信息;
异常人员是指合法用户访问非授权资源;非法用户访问合法资源;
异常关键字是指访问基于关键字限定的敏感信息。
[0008]本发明的一种基于大数据日志分析的管理用户异常行为发现方法,具有以下优占-
^ \\\.该发明的一种基于大数据日志分析的管理用户异常行为发现方法通过大数据安全分析技术对管理用户日志进行深度挖掘分析,建立安全规则发现管理用户的异常行为,能够发现管理用户异常行为轨迹并对其行为进行追踪和定责,观察直观,日志分析处理效率较高,实用性强,适用范围广泛,易于推广。
【专利附图】
【附图说明】
[0009]附图1为本发明的实现示意图。
【具体实施方式】
[0010]下面结合附图和具体实施例对本发明作进一步说明。
[0011]本发明提供一种基于大数据日志分析的管理用户异常行为发现方法,使用大数据处理框架对信息系统内部管理人员的管理日志进行深度挖掘分析,发现管理人员的异常行为,即发现管理人员的异常行为和违规操作,追踪发生异常的源头。如附图1所示,其具体实现过程为:
一、待分析的日志存放于日志池中;
二、将日志池通过接口模块连接预处理模块,日志池中的日志进入预处理模块后完成日志预处理,即清洗、整合的动作,所述接口模块提供数据访问接口 ;
三、将预处理模块连接分析模块,所述分析模块采用大数据处理框架的日志分析建模,该分析模块连接配置模块和知识库,上述预处理的日志进入分析模块完成数据分析,所述配置模块用于日志分析参数设置、规则管理,相对应的,该配置模块包括参数设置子模块、规则管理子模块;知识库内则为异常行为日志存放特征库; 四、将分析模块连接服务模块,该服务模块通过服务总线提供日志分析服务,相对应的,该服务模块包括服务总线子模块、日志分析子模块;
五、将可视化模块连接上述服务模块,分析模块分析后的日志通过服务模块后进入可视化模块,该可视化模块将日志分析的异常行为轨迹在用户界面进行可视化展现,相对应的,其结构包括可视化子模块、异常行为轨迹子模块。
[0012]所述分析模块分析的异常行为的日志分成三种:
基于规则的异常行为发现:分析模块通过对管理日志进行过滤筛选,发现其中的行为异常;
基于统计的异常行为发现:分析模块通过统计一定时间范围内登录失败次数、批量导出数据量、频繁执行特定操作、短时间内大数据量访问、短时间持续访问敏感信息,发现其中的异常行为;
基于行为的异常行为发现:分析模块通过对实时活动与基准行为模型的对比来发现可疑的异常活动。
[0013]所述基于规则的异常行为发现包括基于IP地址、基于时间、基于人员、基于关键字的异常行为发现,其中:
异常IP地址是指登录地点异常,发现非习惯工作地点的异常IP地址访问,绕过管理堡垒机的异常访问;
异常时间是指登录时间异常,发现非工作时间访问,或长期不活跃,某段时间突然活跃访问敏感信息;
异常人员是指合法用户访问非授权资源;非法用户访问合法资源;
异常关键字是指访问基于关键字限定的敏感信息。
[0014]上述【具体实施方式】仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述【具体实施方式】,任何符合本发明的一种基于大数据日志分析的管理用户异常行为发现方法的权利要求书的且任何所属【技术领域】的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
【权利要求】
1.一种基于大数据日志分析的管理用户异常行为发现方法,其特征在于其具体实现过程为: 一、待分析的日志存放于日志池中; 二、将日志池通过接口模块连接预处理模块,日志池中的日志进入预处理模块后完成日志预处理,即清洗、整合的动作,所述接口模块提供数据访问接口 ; 三、将预处理模块连接分析模块,所述分析模块采用大数据处理框架的日志分析建模,该分析模块连接配置模块和知识库,上述预处理的日志进入分析模块完成数据分析,所述配置模块用于日志分析参数设置、规则管理,相对应的,该配置模块包括参数设置子模块、规则管理子模块;知识库内则为异常行为日志存放特征库; 四、将分析模块连接服务模块,该服务模块通过服务总线提供日志分析服务,相对应的,该服务模块包括服务总线子模块、日志分析子模块; 五、将可视化模块连接上述服务模块,分析模块分析后的日志通过服务模块后进入可视化模块,该可视化模块将日志分析的异常行为轨迹在用户界面进行可视化展现,相对应的,其结构包括可视化子模块、异常行为轨迹子模块。
2.根据权利要求1所述的一种基于大数据日志分析的管理用户异常行为发现方法,其特征在于:所述分析模块分析的异常行为的日志分成三种: 基于规则的异常行为发现:分析模块通过对管理日志进行过滤筛选,发现其中的行为异常; 基于统计的异常行为发现:分析模块通过统计一定时间范围内登录失败次数、批量导出数据量、频繁执行特定操作、短时间内大数据量访问、短时间持续访问敏感信息,发现其中的异常行为; 基于行为的异常行为发现:分析模块通过对实时活动与基准行为模型的对比来发现可疑的异常活动。
3.根据权利要求2所述的一种基于大数据日志分析的管理用户异常行为发现方法,其特征在于:所述基于规则的异常行为发现包括基于IP地址、基于时间、基于人员、基于关键字的异常行为发现,其中: 异常IP地址是指登录地点异常,发现非习惯工作地点的异常IP地址访问,绕过管理堡垒机的异常访问; 异常时间是指登录时间异常,发现非工作时间访问,或长期不活跃,某段时间突然活跃访问敏感信息; 异常人员是指合法用户访问非授权资源;非法用户访问合法资源; 异常关键字是指访问基于关键字限定的敏感信息。
【文档编号】G06F11/34GK104239197SQ201410529479
【公开日】2014年12月24日 申请日期:2014年10月10日 优先权日:2014年10月10日
【发明者】李清玉, 颜斌 申请人:浪潮电子信息产业股份有限公司