一种安全审计的方法、装置、电子设备和存储介质与流程

文档序号:18134843发布日期:2019-07-10 10:31阅读:229来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种安全审计的方法、装置、电子设备和存储介质与流程

本发明涉及安全审计技术领域,特别涉及一种安全审计的方法、装置、电子设备和存储介质。



背景技术:

现如今,大数据已经广泛应用到各个行业,产生了巨大的作用,已创造了巨大的价值。大数据平台又存在不同类型的访客,这些访客对大数据平台带来了一定的安全隐患。大数据平台审计是目前大数据平台安全防护的重要手段。

以用户访问hive平台为例,在进行hive平台的审计时,可以实时记录用户访问hive平台的行为日志,根据行为日志获取对hive平台构成威胁的用户。通过分析hive平台的行为日志,监控用户对hive平台的访问行为,帮助管理员和审计员评估hive平台整体的安全状态,定位用户的越权和不合法行为。

但是可进行分析的行为日志为hive平台原生支持的audit日志,该日志可能无法记录某些异常的操作。现有的安全审计的数据来源单一,数据格式固化,影响审计准确性。



技术实现要素:

本发明实施例公开了一种安全审计的方法、装置、电子设备和存储介质,用以解决现有技术中在进行hive平台的审计时,审计不准确的问题。

为达到上述目的,本发明实施例公开了一种安全审计的方法,所述方法包括:

获取第一客户端与hive平台所在服务器在预设的时间段内进行交互的每个数据包;确定与所述hive平台相关的每个第一数据包;

针对每个第一数据包,解析该第一数据包,获取该第一数据包操作的第一数据表信息;

根据每个第一数据包操作的第一数据表信息,以及预先保存的知识库中的每条风险规则,确定第一客户端对所述hive平台中的数据的操作是否存在安全风险;

如果是,则输出安全风险的提示信息。

进一步地,所述方法还包括:

确定与所述hive平台无关的每个第二数据包;

针对每个第二数据包,解析该第二数据包,确定该第二数据包中是否包含对所述hive平台中的信息进行操作的信息;

如果是,则输出数据泄露的提示信息。

进一步地,所述根据每个第一数据包操作的第一数据表信息,以及预先保存的知识库中的每条风险规则,确定第一客户端对所述hive平台中的数据的操作是否存在安全风险包括:

针对每个第一数据包,根据预先保存的每个敏感数据表信息,以及该第一数据包操作的第一数据表信息,确定该第一数据包对应的操作是否为敏感操作;

所述输出安全风险的提示信息包括:

输出操作敏感的提示信息。

进一步地,所述根据每个第一数据包操作的第一数据表信息,以及预先保存的知识库中的每条风险规则,确定第一客户端对所述hive平台中的数据的操作是否存在安全风险包括:

针对每个第一数据包,确定该第一数据包操作第一数据表信息时对应的第一操作类型和第一操作时间;

根据该第一操作类型、第一操作时间和第一数据表信息,以及预先保存的每个客户端的标识信息对应的权限信息,确定该第一数据包对应的操作是否为越权操作,其中,权限信息中包括操作类型、数据表信息、操作时间中的至少一个;

所述输出安全风险的提示信息包括:

输出操作越权的提示信息。

进一步地,所述根据每个第一数据包操作的第一数据表信息,以及预先保存的每条风险规则,确定第一客户端对所述hive平台中的数据的操作是否存在安全风险包括:

根据每个第一数据包操作的第一数据表信息,以及预先保存的每条风险关联信息,确定第一客户端对所述hive平台中的数据的操作是否造成数据泄露的风险,其中,每条风险关联信息中包括存在风险关联的至少两个第二数据表信息;

所述输出安全风险的提示信息包括:

输出数据泄露的提示信息。

进一步地,所述解析该第一数据包包括:

基于深度包检测技术dpi,解析该第一数据包。

进一步地,在输出提示信息后,所述方法还包括:

确定每个数据包对应的源ip、目的ip、源端口、目的端口、在该预设的时间段中每种类型的提示信息的累计次数,并输出。

进一步地,在解析每个第二数据包之前,所述方法还包括:

识别每个第二数据包对应的第一协议;

根据预先保存的每个第二协议,滤除第一协议与每个第二协议均不匹配的第二数据包。

本发明实施例公开了一种安全审计的装置,所述装置包括:

获取模块,用于获取第一客户端与hive平台所在服务器在预设的时间段内进行交互的每个数据包;确定与所述hive平台相关的每个第一数据包;

分析模块,用于针对每个第一数据包,解析该第一数据包,获取该第一数据包操作的第一数据表信息;根据每个第一数据包操作的第一数据表信息,以及预先保存的知识库中的每条风险规则,确定第一客户端对所述hive平台中的数据的操作是否存在安全风险;

展示模块,用于在所述分析模块的分析结果为是时,输出安全风险的提示信息。

本发明实施例公开了一种电子设备,所述电子设备包括:存储器和处理器;

所述处理器,用于读取所述存储器中的程序,执行下列过程:获取第一客户端与hive平台所在服务器在预设的时间段内进行交互的每个数据包;确定与所述hive平台相关的每个第一数据包;针对每个第一数据包,解析该第一数据包,获取该第一数据包操作的第一数据表信息;根据每个第一数据包操作的第一数据表信息,以及预先保存的知识库中的每条风险规则,确定第一客户端对所述hive平台中的数据的操作是否存在安全风险;如果是,则输出安全风险的提示信息。

本发明实施例公开了一种电子设备,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;

所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行上述任一项所述方法的步骤。

本发明实施例公开了一种计算机可读存储介质,其存储有可由处理器执行的计算机程序,当所述程序在所述处理器上运行时,使得所述处理器执行上述任一项所述方法的步骤。

本发明实施例公开了一种安全审计的方法、装置、电子设备和存储介质,所述方法包括:获取第一客户端与hive平台所在服务器在预设的时间段内进行交互的每个数据包;确定与所述hive平台相关的每个第一数据包;针对每个第一数据包,解析该第一数据包,获取该第一数据包操作的第一数据表信息;根据每个第一数据包操作的第一数据表信息,以及预先保存的知识库中的每条风险规则,确定第一客户端对所述hive平台中的数据的操作是否造存在安全风险;如果是,则输出安全风险的提示信息。由于在本发明实施例中,通过预先保存的每条风险规则,对预设的时间段内获取到的每个第一数据包操作的第一数据表信息进行分析,准确地分析出在该段时间内,hive平台是否存在安全风险,对hive平台实现准确地安全审计功能。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。

图1为本发明实施例1提供的一种安全审计的过程示意图;

图2为本发明实施例提供的一种安全审计的过程示意图;

图3为本发明实施例提供的一种安全审计的过程示意图;

图4为本发明实施例提供的一种安全审计的过程示意图;

图5为本发明实施例提供的一种安全审计的过程示意图;

图6为本发明实施例8提供的一种安全审计的装置示意图;

图7为本发明实施例9提供的一种电子设备;

图8为本发明实施例10提供的一种电子设备。

具体实施方式

下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

实施例1:

图1为本发明实施例1提供的一种安全审计的过程示意图,该过程包括以下步骤:

s101:获取第一客户端与hive平台所在服务器在预设的时间段内进行交互的每个数据包;确定与所述hive平台相关的每个第一数据包。

本发明实施例提供的安全审计的方法应用对hive平台的安全审计,执行主体可以是例如电子设备。hive平台位于服务器中,客户端与hive平台所位于的服务器通过数据包进行数据交互,可以是客户端对服务器中的hive平台进行某些操作,如访问操作、修改操作等。将与hive平台进行数据交互的客户端称为第一客户端。

电子设备中预先保存的预设的时间段,电子设备可以在预设的时间段内,获取第一客户端与hive平台所在服务器进行数据交互的每个网络流量数据包,本发明中简称为数据包,也就是电子设备获取第一客户端与hive平台所在服务器在预设的时间段内进行交互的每个数据包。

当电子设备获取了每个数据包后,可以针对每个数据包,确定该数据包是否为与hive平台相关的数据包,将与hive平台相关的数据包称为第一数据包。可以是解析出每个数据包的报头信息,根据每个数据包的报头信息,确定数据包是否为与hive平台相关的数据包。

在根据数据包的报头信息,确定该数据包是否为与hive平台相关的数据包时,可以是根据数据包的报头的长度进行确定的,与hive平台相关的数据包的报头长度可以是预设的数值,或预设的长度范围,如果获取到的数据包的报头的长度为该预设的数值,或位于预设的长度范围内,则确定该数据包为与hive平台相关的第一数据包,如果否,则确定该数据包为与hive平台无关的数据包。

为了更加准确地确定获取到的数据包是否为与hive平台相关的数据包,在确定该数据包的报头长度为该预设的数值,或位于预设的长度范围内之后,还可以进一步确定报头的结构组成是否与预设的结构组成相匹配,如果是,则确定该数据包为与hive平台相关的第一数据包,如果否,则确定该数据包为与hive平台无关的数据包。一般,与hive平台相关的数据包的报头的长度为25比特,该结构组成可以理解为报头的前几位比特代表什么(例如hive平台的版本号等),中间几位比特代表什么,后几位比特代表什么。

根据每个数据包的报头信息,确定与hive平台相关的第一数据包的方式还可以是本领域技术人员公知的方式,不仅限于上述的方式。

s102:针对每个第一数据包,解析该第一数据包,获取该第一数据包操作的第一数据表信息。

在确定出与hive平台相关的每个第一数据包后,可以针对每个第一数据包,解析该第一数据包,获取该第一数据包操作的数据表信息,并将其称为第一数据表信息。

数据表信息至少包括数据表的标识信息,还可以包括数据表中的字段信息。数据表的标识信息可以是数据表的表名,还可以是其他唯一标识数据表的信息。

数据包在操作数据表信息时,可能是该数据包用于访问某个数据表,可能是该数据包用于插入某个数据表,还可能是该数据包用于查看某个数据表的表名等。

上述的解析数据包的过程可以是基于现有的任意解析数据包的方法进行解析的,为了更加准确简单的解析数据包,还可以是基于深度包检测技术(deeppacketinspection,dpi)对数据包进行解析,解析数据包以及获取数据包中的数据表信息的过程属于现有技术,在本发明实施例中对该过程不进行赘述。

s103:根据每个第一数据包操作的第一数据表信息,以及预先保存的知识库中的每条风险规则,确定第一客户端对所述hive平台中的数据的操作是否存在安全风险,如果是,则进行s104。

s104:输出安全风险的提示信息。

电子设备中预先保存有知识库,知识库中保存有多条风险规则。在获取到该预设的时间段内的每个与hive平台相关的第一数据包操作的第一数据表信息后,可以根据第一数据表信息,以及预先保存的每条风险规则,确定第一客户端对hive平台中的数据的操作是否存在安全风险,如果是,则输出安全风险的提示信息。

风险规则可以包括下述各项中的一个或多个:数据泄露的风险规则、权限的风险规则以及敏感数据的风险规则。

在确定是否存在安全风险时,具体可以是,将每个第一数据包操作的第一数据表信息与每条风险规则进行匹配,判断该第一数据包操作的第一数据表信息与某条风险规则是否匹配,如果是,则认为存在安全风险,则输出安全风险的提示信息。

在本发明实施例中,通过预先保存的每条风险规则,对预设的时间段内获取到的每个第一数据包操作的第一数据表信息进行分析,准确地分析出在该段时间内,hive平台是否存在安全风险,对hive平台实现准确地安全审计功能。

实施例2:

hive平台所在的服务器中除了部署有hive业务,还可能部署其他的业务,在上述各实施例的基础上,在本发明实施例中,所述方法还包括:

确定与所述hive平台无关的每个第二数据包;

针对每个第二数据包,解析该第二数据包,确定该第二数据包中是否包含对所述hive平台中的信息进行操作的信息;

如果是,则输出数据泄露的提示信息。

在本发明实施例中,电子设备可以确定与hive平台无关的数据包,将与hive平台无关的数据包称为第二数据包,确定与hive平台无关的第二数据包的过程参见实施例1中的描述,在此不再进行赘述。

一般情况下,与hive平台有关的数据包是对hive平台中的信息的操作,与hive平台无关的数据包是对非hive平台中的信息的操作,对非hive平台中的信息进行操作的数据包不会包含hive平台的相关信息。如果与hive平台无关的数据包中包含有hive平台的相关信息,则可以认为出现了数据泄露。例如hive业务数据通过非hive业务流量被导出。

电子设备在确定出与hive平台无关的每个第二数据包后,可以解析第二数据包,确定该第二数据包中是否包含对hive平台中的信息进行操作的信息;如果是,则输出数据泄露的提示信息,使运维人员及时发现,掌握数据的流向。上述的“对hive平台中的信息进行操作的信息”中的“hive平台中的信息”包括hive平台中的数据,还可能包含其他的信息,例如查看hive平台的版本号等。

在通过第一数据包操作的第一数据表信息发现安全风险时,结合非hive平台相关的流量数据进行关联分析,提供更多维度的流量信息,便于追溯泄露内容和泄露途径,供运维人员管理使用。

实施例3:

为了更加全面的对hive平台进行安全审计,在上述各实施例的基础上,在本发明实施例中,所述根据每个第一数据包操作的第一数据表信息,以及预先保存的知识库中的每条风险规则,确定第一客户端对所述hive平台中的数据的操作是否存在安全风险包括:

针对每个第一数据包,根据预先保存的每个敏感数据表信息,以及该第一数据包操作的第一数据表信息,确定该第一数据包对应的操作是否为敏感操作;

如果是,则输出操作敏感的提示信息。

在本发明实施例中,为了更加全面的对hive平台进行安全审计,还可以针对每个与hive平台相关的第一数据包,根据该第一数据包操作的第一数据表信息进行安全审计。

电子设备中预先保存有多个敏感数据表信息,每个敏感数据表信息可以理解为每条风险规则,该敏感数据表信息保存在敏感数据表库中、敏感数据表库位于知识库中。该敏感数据表信息可以是敏感数据表的标识信息,可以是数据表中的敏感字段信息。

电子设备在每确定出一个第一数据包操作的第一数据表信息后,可以根据预先保存的每个敏感数据表信息,以及确定出的该第一数据包操作的第一数据表信息,确定该第一数据包对应的操作是否为敏感操作;如果是,则输出操作敏感的提示信息。具体的可以是,判断第一数据表信息是否包含在预先保存的敏感数据表信息中,如果是,则可以确定该第一数据包对应的操作为敏感操作,也就是第一客户端对hive平台的操作为敏感操作,则输出操作敏感的提示信息,使运维人员及时发现,进行hive平台的维护。

上述的过程可以称为操作内容的审计过程。

实施例4:

为了更加全面的对hive平台进行安全审计,在上述各实施例的基础上,在本发明实施例中,所述根据每个第一数据包操作的第一数据表信息,以及预先保存的知识库中的每条风险规则,确定第一客户端对所述hive平台中的数据的操作是否存在安全风险包括:

针对每个第一数据包,确定该第一数据包操作第一数据表信息时对应的第一操作类型和第一操作时间;

根据该第一操作类型、第一操作时间和第一数据表信息,以及预先保存的每个客户端的标识信息对应的权限信息,确定该第一数据包对应的操作是否为越权操作,其中,权限信息中包括操作类型、数据表信息、操作时间中的至少一个;

如果是,则输出操作越权的提示信息。

在本发明实施例中,为了更加全面的对hive平台进行安全审计,还可以根据每个第一数据包操作的第一数据表信息进行权限审计。

电子设备中预先保存有每个客户端对应的权限信息,每个客户端对应的权限信息可以理解为每条风险规则,该权限信息中包括以下至少一种:操作类型、数据表信息、操作时间。具体保存为:客户端的标识信息-操作类型-数据表信息-操作时间。每个客户端对应的权限信息保存在权限库中,权限库位于知识库中。

电子设备在针对每个第一数据包,确定该第一数据包操作的第一数据表信息时,还可以确定第一数据包操作第一数据表信息时对应的操作类型,以及操作时间,该操作类型例如可以是读取、插入、删除、修改等。

电子设备根据该客户端的第一标识信息,以及预先保存的每个客户端的标识信息对应的权限信息,确定该第一数据包对应的操作是否为越权操作,如果是,则输出操作越权的提示信息,使运维人员及时发现,进行hive平台的维护。

在确定该第一数据包对应的操作是否为越权操作时,可以是根据第一客户端的标识信息,在预先保存的每个客户端的标识信息对应的权限信息中,确定出第一客户端对应的第一权限信息,然后根据该第一数据包对应的第一操作类型、第一操作时间和第一数据表信息,确定该第一数据包对应的操作是否符合第一客户端对应的第一权限信息。具体的第一权限信息中可以记录了第一客户端可以在什么时间,对哪个数据表或哪个数据表中的哪个字段,进行什么类型的操作,也可以是记录了第一客户端不可以在什么时间,对哪个数据表或哪个数据表中的哪个字段,进行什么类型的操作,根据该第一数据包对应的第一操作类型、第一操作时间和第一数据表信息,确定是否符合第一权限信息。

上述的过程可以称为操作行为的审计过程。

例如,如果第一权限信息为不能进行修改操作,则在确定该第一数据包对应的操作是否为越权操作时,可以判断该第一数据包对应的操作是否为修改操作,如果是,则确定越权,输出操作越权的提示信息。

如果第一权限信息为仅可对数据表1进行操作,因为未说明时间,以及操作类型,则可以认为第一客户端的权限为,在任意时间可对数据表1进行任意操作,对其他数据表不能进行任何操作,在确定该第一数据包操作对应的操作是否为越权操作时,可以判断该第一数据包操作第一数据表是否为数据表1,如果否,输出操作越权的提示信息。

实施例5:

为了更加全面的对hive平台进行安全审计,在上述各实施例的基础上,在本发明实施例中,所述根据每个第一数据包操作的第一数据表信息,以及预先保存的知识库中的每条风险规则,确定第一客户端对所述hive平台中的数据的操作是否存在安全风险包括:

根据每个第一数据包操作的第一数据表信息,以及预先保存的每条风险关联信息,确定第一客户端对所述hive平台中的数据的操作是否造成数据泄露的风险,其中,每条风险关联信息中包括存在风险关联的至少两个第二数据表信息;

所述输出安全风险的提示信息包括:

输出数据泄露的提示信息。

在本发明实施例中,电子设备中预先保存有每条风险关联信息,每条风险关联信息中包括存在风险关联的至少两个数据表信息,将存在风险关联的数据表信息称为第二数据表信息。风险关联信息中可能仅是包括至少两个第二数据表的标识信息,也可能包括某个第二数据表的标识信息与另一第二数据表的某个字段信息,也可能包括某个第二数据表的某个字段信息,与另一第二数据表的另一字段信息。每条风险关联信息可以理解为每条风险规则,风险关联信息保存在风险关联库中,风险关联库位于知识库中。

在对hive平台进行安全审计时,可以是根据每个第一数据包操作的第一数据表信息,以及预先保存的每条风险关联信息,确定第一客户端对所述hive平台中的数据的操作是否造成数据泄露的风险,如果是,则输出数据泄露的提示信息。

在确定第一客户端对hive平台中的数据的操作是否存在数据泄露时,具体可以是,将所有的第一数据表信息组成一条关联信息,判断该关联信息中是否包含了至少一条风险关联信息中的全部的第二数据表信息,如果是,则认为出现了数据泄露的风险,则输出数据泄露的提示信息。

在确定是否存在数据泄露时,数据包操作的数据表信息,主要是指该数据包用于访问数据表信息,也就是读取数据表信息。

例如,用户可以读取表1中的内容,也可以读取表2中的内容,但如果同时读取表1和表2中的内容,该用户可以根据读取到的表1和表2中的内容,推导出另外的内容,推导出的另外的内容为隐私数据,则认为存在数据泄露的风险。也可以是用户通过表3中的某个字段、表4中的某个字段以及表5中的另一字段,推导出属于隐私的字段信息。为了防止数据泄露,当确定在该段时间内的第一数据包操作的第一数据表信息包括表3中的某个字段、表4中的某个字段以及表5中的另一字段时,则认为存在数据泄露的风险,输出数据泄露的提示信息。

上述的过程可以称为会话审计过程。

实施例6:

为了方便运维人员更加准确地对hive平台进行维护,在上述各实施例的基础上,在本发明实施例中,在输出提示信息后,所述方法还包括:

确定数据包对应的源ip、目的ip、源端口、目的端口、在该预设的时间段中每种类型的提示信息的累计次数,并输出。

在本发明实施例中,在每次输出提示信息后,还可以输出数据包对应的具体的信息,供运维人员对hive平台进行维护,该提示信息可以是数据泄露的提示信息,可以是操作敏感的提示信息,可以是操作越权的提示信息,也可以是两种或三种类型的提示信息。

具体的可以输出每个数据包对应的源ip、目的ip、源端口、目的端口,展示给维护人员。还可以在该预设的时间段内统计每种类型的提示信息输出的次数,也就是统计每种类型的操作出现的次数,并输出,展示给维护人员。

其中,输出数据包对应的源ip、目的ip可以理解为对网络层的审计,输出数据包对应的源端口、目的端口可以理解为对传输层的审计,输出在该预设的时间段中每种类型的提示信息的累计次数可以理解为对应用层的审计。

上述的过程可以称为流量审计过程。

实施例7:

为了更加快速地对hive平台进行安全审计,在上述各实施例的基础上,在本发明实施例中,在解析每个第二数据包之前,所述方法还包括:

识别每个第二数据包对应的第一协议;

根据预先保存的每个第二协议,滤除第一协议与每个第二协议均不匹配的第二数据包。

在本发明实施例中,电子设备可以针对某些特定协议的数据包进行安全审计,则该电子设备中可以预先保存有多个协议,称为第二协议,每个第二协议保存在协议库中,电子设备每获取到与hive平台无关的第二数据包后,都可以识别该第二数据包对应的协议,称为第一协议。

根据预先保存的每个第二协议确定是否将该第二数据包过滤,具体为,确定预先保存的每个第二协议中是否存在与该第一协议相同的第二协议,如果否,滤除第一协议与每个第二协议均不匹配的第二数据包,也就是滤除非第二协议的第二数据包,如果是,将该第一数据包保留。针对保留的第二数据包进行安全审计。

预先保存的第二协议包括以下至少一种:超文本传输协议(hypertexttransferprotocol,http)、安全外壳协议(secureshellprotocol,ssh)、文件传输协议(filetransferprotocol,ftp)、域名系统(domainnamesystem,dns)或者域名服务(domainnameservice,dns)协议。

在上述实施例的基础上,电子设备还可以对预设时间段内的数据包进行重组,还原客户端对hive平台完整的操作过程。

本领域技术人员可以理解的是,本发明提出的审计方法可进一步包括实施例2-7所述方法中的任意一个、或者一个以上的任意组合。

如图2、图3、图4所示,客户端与hive平台所在服务器进行交互时产生网络流量,电子设备设置有镜像接口,在获取客户端与hive平台所在服务器进行数据交互的数据包时,是通过电子设备中的镜像端口获取到网络流量数据包的,简称数据包。该过程可以由设置在电子设备中的捕获器完成,该捕获器具有获取数据包的功能。

如图3所示,电子设备中保存有协议库,该协议库中的协议为需要进行分析的数据包对应的协议,在获取到数据包后,可以解析数据包对应的协议,根据协议库中保存的协议,对不属于协议库中的数据包进行丢弃,因为是网络流量数据包,也就是丢弃流量。

针对保留的数据包进行解析,解析后的具体内容包括:第一数据包操作的第一数据表的信息,第一操作类型,第一操作时间,客户端的标识信息等。然后,一方面可以对解析后的数据包的信息进行存储,防止数据丢失;另一方面可以对解析后的数据包进行分析。

如图4所示,电子设备中设置有知识库,电子设备根据知识库,对解析后的数据包进行分析,根据维护人员的审计需求,实现安全审计。

该知识库中包含有风险规则库、权限库,敏感数据表库,针对与hive平台有关的第一数据包,根据风险规则库中的每条风险关联信息,以及解析出的每个第一操作表信息,确定客户端对hive平台操作是否造成数据泄露的风险;根据权限库中的每个客户端对应的权限信息,以及解析出的第一数据表的信息,第一操作类型,第一操作时间,确定客户端对hive平台的操作是否为越权操作;根据敏感数据库中的敏感数据表信息,以及解析出的第一数据表信息,确定客户端对hive平台的操作是否为敏感操作等。

针对与hive平台无关的第二数据包,主要分析第二数据包中是否包含对hive平台中的信息进行操作的信息,从而造成数据泄露的风险。

在进行分析之后,可以将分析结果进行存储,并且输出,进行展示,具体可以是输出数据泄露、操作敏感、操作越权的提示信息,以及展示审计每个数据包对应的源ip、目的ip、源端口、目的端口、在该预设的时间段中每种类型的提示信息的累计次数等。具体可以是通过审计报表的形式展示。

电子设备还可以对分析过程进行管理控制,具体可以是管理分析的先后顺序,以及对知识库进行升级等。

如图5所示,电子设备首先根据流量数据,获取网络流量数据包;解析网络流量数据包对应的协议,根据协议库过滤掉非审计范围内的数据包,解析保留的数据包,在进行解析时,基于dpi技术中的操作语义库进行解析,根据解析出的数据包操作的数据表信息,时间、类型等,以及知识库进行分析,并通过与hive平台有关的第一数据包的关联分析,和与hive平台无关的第二数据包的分析,及时发现数据泄漏、操作敏感、操作越权等事件,及时输出提示信息和分析结果,供运维人员维护。

实施例8:

图6为本发明实施例提供的一种安全审计的装置示意图,所述装置包括:

获取模块61,用于获取第一客户端与hive平台所在服务器在预设的时间段内进行交互的每个数据包;

分析模块62,用于确定与所述hive平台相关的每个第一数据包;针对每个第一数据包,解析该第一数据包,获取该第一数据包操作的第一数据表信息;根据每个第一数据包操作的第一数据表信息,以及预先保存的知识库中的每条风险规则,确定第一客户端对所述hive平台中的数据的操作是否存在安全风险;

展示模块63,用于当所述分析模块的分析结果为是时,输出安全风险的提示信息。

进一步地,所述分析模块62,还用于确定与所述hive平台无关的每个第二数据包;针对每个第二数据包,解析该第二数据包,确定该第二数据包中是否包含对所述hive平台中的信息进行操作的信息;

所述展示模块63,还用于当所述分析模块的分析结果为是时,输出数据泄露的提示信息。

进一步地,所述分析模块62,具体用于针对每个第一数据包,根据预先保存的每个敏感数据表信息,以及该第一数据包操作的第一数据表信息,确定该第一数据包对应的操作是否为敏感操作;

所述展示模块63,具体用于当所述分析模块的分析结果为是时,输出操作敏感的提示信息。

进一步地,所述分析模块62,具体用于针对每个第一数据包,确定该第一数据包操作第一数据表信息时对应的第一操作类型和第一操作时间;根据该第一操作类型、第一操作时间和第一数据表信息,以及预先保存的每个客户端的标识信息对应的权限信息,确定该第一数据包对应的操作是否为越权操作,其中,权限信息中包括操作类型、数据表信息、操作时间中的至少一个;

所述展示模块63,具体用于当所述分析模块的分析结果为是时,输出操作越权的提示信息。

进一步地,所述分析模块62,具体用于根据每个第一数据包操作的第一数据表信息,以及预先保存的每条风险关联信息,确定第一客户端对所述hive平台中的数据的操作是否造成数据泄露的风险,其中,每条风险关联信息中包括存在风险关联的至少两个第二数据表信息;

所述展示模块63,具体用于当所述分析模块的分析结果为是时,输出数据泄露的提示信息。

进一步地,所述分析模块62,具体用于基于深度包检测技术dpi,解析该第一数据包。

进一步地,所述分析模块62,还用于确定每个数据包对应的源ip、目的ip、源端口、目的端口、在该预设的时间段中每种类型的提示信息的累计次数。

所述展示模块63,还用于输出每个数据包对应的源ip、目的ip、源端口、目的端口、在该预设的时间段中每种类型的提示信息的累计次数。

进一步地,所述装置还包括:

滤除模块64,用于识别每个第二数据包对应的第一协议;根据预先保存的每个第二协议,滤除第一协议与每个第二协议均不匹配的第二数据包。

实施例9:

图7为本发明实施例提供的一种电子设备,所述电子设备包括:存储器71和处理器72;

在图7中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器71代表的一个或多个处理器71和存储器72代表的存储器72的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。处理器71负责管理总线架构和通常的处理,存储器72可以存储处理器71在执行操作时所使用的数据。

可选的,处理器71可以是cpu(中央处埋器)、asic(applicationspecificintegratedcircuit,专用集成电路)、fpga(field-programmablegatearray,现场可编程门阵列)或cpld(complexprogrammablelogicdevice,复杂可编程逻辑器件)。

所述处理器71,用于读取所述存储器72中的程序,执行下列过程:获取第一客户端与hive平台所在服务器在预设的时间段内进行交互的每个数据包;确定与所述hive平台相关的每个第一数据包;针对每个第一数据包,解析该第一数据包,获取该第一数据包操作的第一数据表信息;根据每个第一数据包操作的第一数据表信息,以及预先保存的知识库中的每条风险规则,确定第一客户端对所述hive平台中的数据的操作是否存在安全风险;如果是,则输出安全风险的提示信息。

进一步地,所述处理器71,还用于确定与所述hive平台无关的每个第二数据包;针对每个第二数据包,解析该第二数据包,确定该第二数据包中是否包含对所述hive平台中的信息进行操作的信息;如果是,则输出数据泄露的提示信息。

进一步地,所述处理器71,具体用于针对每个第一数据包,根据预先保存的每个敏感数据表信息,以及该第一数据包操作的第一数据表信息,确定该第一数据包对应的操作是否为敏感操作;如果是,则输出操作敏感的提示信息。

进一步地,所述处理器71,具体用于针对每个第一数据包,确定该第一数据包操作第一数据表信息时对应的第一操作类型和第一操作时间;根据该第一操作类型、第一操作时间和第一数据表信息,以及预先保存的每个客户端的标识信息对应的权限信息,确定该第一数据包对应的操作是否为越权操作,其中,权限信息中包括操作类型、数据表信息、操作时间中的至少一个;如果是,则输出操作越权的提示信息。

进一步地,所述处理器71,具体用于根据每个第一数据包操作的第一数据表信息,以及预先保存的每条风险关联信息,确定第一客户端对所述hive平台中的数据的操作是否造成数据泄露的风险,其中,每条风险关联信息中包括存在风险关联的至少两个第二数据表信息;如果是,输出数据泄露的提示信息。

进一步地,所述处理器71,具体用于基于深度包检测技术dpi,解析该第一数据包。

进一步地,所述处理器71,还用于在输出提示信息后,确定每个数据包对应的源ip、目的ip、源端口、目的端口、在该预设的时间段中每种类型的提示信息的累计次数,并输出。

进一步地,所述处理器71,还用于在解析每个第二数据包之前,识别每个第二数据包对应的第一协议;

根据预先保存的每个第二协议,滤除第一协议与每个第二协议均不匹配的第二数据包。

实施例10:

图8为本发明实施例提供的一种电子设备,包括:处理器61、通信接口62、存储器63和通信总线64,其中,处理器61,通信接口62,存储器63通过通信总线64完成相互间的通信;

所述存储器63中存储有计算机程序,当所述程序被所述处理器61执行时,使得所述处理器61执行以下步骤:

获取第一客户端与hive平台所在服务器在预设的时间段内进行交互的每个数据包;确定与所述hive平台相关的每个第一数据包;

针对每个第一数据包,解析该第一数据包,获取该第一数据包操作的第一数据表信息;

根据每个第一数据包操作的第一数据表信息,以及预先保存的知识库中的每条风险规则,确定第一客户端对所述hive平台中的数据的操作是否存在安全风险;如果是,则输出安全风险的提示信息。

进一步地,确定与所述hive平台无关的每个第二数据包;

针对每个第二数据包,解析该第二数据包,确定该第二数据包中是否包含对所述hive平台中的信息进行操作的信息;

如果是,则输出数据泄露的提示信息。

进一步地,针对每个第一数据包,根据预先保存的每个敏感数据表信息,以及该第一数据包操作的第一数据表信息,确定该第一数据包对应的操作是否为敏感操作;

如果是,则输出操作敏感的提示信息。

进一步地,针对每个第一数据包,确定该第一数据包操作第一数据表信息时对应的第一操作类型和第一操作时间;

根据该第一操作类型、第一操作时间和第一数据表信息,以及预先保存的每个客户端的标识信息对应的权限信息,确定该第一数据包对应的操作是否为越权操作,其中,权限信息中包括操作类型、数据表信息、操作时间中的至少一个;

如果是,则输出操作越权的提示信息。

进一步地,根据每个第一数据包操作的第一数据表信息,以及预先保存的每条风险关联信息,确定第一客户端对所述hive平台中的数据的操作是否造成数据泄露的风险,其中,每条风险关联信息中包括存在风险关联的至少两个第二数据表信息;如果是,输出数据泄露的提示信息。

进一步地,基于深度包检测技术dpi,解析该第一数据包。

进一步地,在输出提示信息后,确定每个数据包对应的源ip、目的ip、源端口、目的端口、在该预设的时间段中每种类型的提示信息的累计次数,并输出。

进一步地,在解析每个第二数据包之前,识别每个第二数据包对应的第一协议;

根据预先保存的每个第二协议,滤除第一协议与每个第二协议均不匹配的第二数据包。

上述电子设备提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect,pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。

通信接口,用于上述电子设备与其他设备之间的通信。

存储器可以包括随机存取存储器(randomaccessmemory,ram),也可以包括非易失性存储器(non-volatilememory,nvm),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。

上述处理器可以是通用处理器,包括中央处理器、网络处理器(networkprocessor,np)等;还可以是数字信号处理器(digitalsignalprocessing,dsp)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。

实施例11:

本发明实施例提供了一种计算机可读存储介质,其存储有可由电子设备中的处理器执行的计算机程序,当所述程序在所述处理器上运行时,使得所述处理器执行以下步骤:

获取第一客户端与hive平台所在服务器在预设的时间段内进行交互的每个数据包;确定与所述hive平台相关的每个第一数据包;

针对每个第一数据包,解析该第一数据包,获取该第一数据包操作的第一数据表信息;

根据每个第一数据包操作的第一数据表信息,以及预先保存的知识库中的每条风险规则,确定第一客户端对所述hive平台中的数据的操作是否存在安全风险;如果是,则输出安全风险的提示信息。

进一步地,确定与所述hive平台无关的每个第二数据包;

针对每个第二数据包,解析该第二数据包,确定该第二数据包中是否包含对所述hive平台中的信息进行操作的信息;

如果是,则输出数据泄露的提示信息。

进一步地,针对每个第一数据包,根据预先保存的每个敏感数据表信息,以及该第一数据包操作的第一数据表信息,确定该第一数据包对应的操作是否为敏感操作;

如果是,则输出操作敏感的提示信息。

进一步地,针对每个第一数据包,确定该第一数据包操作第一数据表信息时对应的第一操作类型和第一操作时间;

根据该第一操作类型、第一操作时间和第一数据表信息,以及预先保存的每个客户端的标识信息对应的权限信息,确定该第一数据包对应的操作是否为越权操作,其中,权限信息中包括操作类型、数据表信息、操作时间中的至少一个;

如果是,则输出操作越权的提示信息。

进一步地,根据每个第一数据包操作的第一数据表信息,以及预先保存的每条风险关联信息,确定第一客户端对所述hive平台中的数据的操作是否造成数据泄露的风险,其中,每条风险关联信息中包括存在风险关联的至少两个第二数据表信息;如果是,输出数据泄露的提示信息。

进一步地,基于深度包检测技术dpi,解析该第一数据包。

进一步地,在输出提示信息后,确定每个数据包对应的源ip、目的ip、源端口、目的端口、在该预设的时间段中每种类型的提示信息的累计次数,并输出。

进一步地,在解析每个第二数据包之前,识别每个第二数据包对应的第一协议;

根据预先保存的每个第二协议,滤除第一协议与每个第二协议均不匹配的第二数据包。

本发明实施例公开了一种安全审计的方法、装置、电子设备和存储介质,所述方法包括:获取第一客户端与hive平台所在服务器在预设的时间段内进行交互的每个数据包;确定与所述hive平台相关的每个第一数据包;针对每个第一数据包,解析该第一数据包,获取该第一数据包操作的第一数据表信息;根据每个第一数据包操作的第一数据表信息,以及预先保存的知识库中的每条风险规则,确定第一客户端对所述hive平台中的数据的操作是否造存在安全风险;如果是,则输出安全风险的提示信息。由于在本发明实施例中,通过预先保存的每条风险规则,对预设的时间段内获取到的每个第一数据包操作的第一数据表信息进行分析,准确地分析出在该段时间内,hive平台是否存在数安全风险,对hive平台实现准确地安全审计功能。

对于系统/装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。

需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者一个操作与另一个实体或者另一个操作区分开来,而不一定要求或者暗示这些实体或者操作之间存在任何这种实际的关系或者顺序。

本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全应用实施例、或结合应用和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

完整全部详细技术资料下载
当前第1页1 2 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:康乾;叶荣伟;罗彭彭
  • 技术所有人:中移(杭州)信息技术有限公司;中国移动通信集团公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
安全自动装置相关技术
安全自动装置有哪些相关技术
安全联锁装置相关技术
主动安全装置相关技术
安全泄放装置相关技术
安全泄压装置的类型有相关技术
安全泄压装置包括相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2