本发明涉及了一种应用操作安全预警处理方法。
背景技术:
近年来企业不断出现重要数据被窃取的事件,根据最新的统计资料,给企业造成的严重攻击中70%是来自于组织中的内部,内部人员、包括内部员工或者提供第三方it支持的维护人员等,他们利用职务之便,违规操作导致的安全问题日益频繁和突出,这些操作都与客户的业务息息相关。对于这类与业务息息相关的操作行为、违规行为的安全问题,必须要有强力的手段来防范和阻止。
为了解决以上存在的问题,人们一直在寻求一种理想的技术解决方案。
技术实现要素:
本发明的目的是针对现有技术的不足,从而提供一种设计科学、实用性强、方法简单、使用方便、安全可靠的应用操作安全预警处理方法。
为了实现上述目的,本发明所采用的技术方案是:一种应用操作安全预警处理方法,包括步骤1,建立操作数据安全模型;步骤2,从操作行为中识别违规操作;步骤3,获取和记录违规操作的信息;步骤4,根据违规操作的目标操作数据分析、判断违规操作的意图;步骤5,报警并引导处理违规操作。
基于上述,对操作数据进行安全等级划分,根据操作数据的安全等级、数据类型和操作数据之间的关联性建立安全模型。
基于上述,违规操作信息包括ip地址、操作频率、操作内容和对操作内容的操作方式,所述操作方式包括对操作数据的修改、写入、替换、删除、复制和扫描窥探。
基于上述,根据操作行为当前目标操作数据与其他操作数据之间的关联关系以及根据操作行为对当前目标操作数据的操作方式,预判疑似违规操作可能的下一个目标操作数据及对该可能的目标操作数据的操作方式,并将符合该预判的操作行为判断为违规操作。
基于上述,根据违规操作的当前目标操作数据与其他操作数据之间的关联关系以及根据违规操作对当前目标操作数据的操作方式,预判违规操作可能的下一个目标操作数据及对该可能的目标操作数据的操作方式,以预估该违规操作的操作意图。
基于上述,对违规操作可能的下一个目标操作数据,提前设置伪装数据,诱导违规操作对目标操作数据的操作实际是对伪装数据进行操作,以将违规操作引导向非操作意图路径。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体的说,本发明通过识别和获取违规操作信息,并对违规操作进行预判以对违规操作进行确认从而分析违规操作的意图,根据违规操作的信息及意图及时报警并对违规操作进行引导处理,避免违规操作进一步带来危害,其具有设计科学、实用性强、方法简单、使用方便、安全可靠的优点。
具体实施方式
下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
一种应用操作安全预警处理方法,包括步骤1,建立操作数据安全模型;步骤2,从操作行为中识别违规操作;步骤3,获取和记录违规操作的信息;步骤4,根据违规操作的目标操作数据分析、判断违规操作的意图;步骤5,报警并引导处理违规操作。
先对操作数据建立安全模型,具体的,对操作数据进行安全等级划分,根据操作数据的安全等级、数据类型和操作数据之间的关联性建立安全模型。实际中还对操作数据根据数据类型进行分类,并对某一类数据的可操作方式进行安全分级,对该类数据的操作超出其安全分级的操作方式即可判定为疑似违规操作。
实际中,违规操作信息包括ip地址、操作频率、操作内容和对操作内容的操作方式,所述操作方式包括对操作数据的修改、写入、替换、删除、复制和扫描窥探。
上述步骤2中对违规操作的识别,是将当前的操作行为预设为疑似违规操作,根据当前操作行为的当前目标操作数据与其他操作数据之间的关联关系以及根据当前操作行为对当前目标操作数据的操作方式,预判疑似违规操作可能的下一个目标操作数据及对该可能的目标操作数据的操作方式,并将符合该预判的当前操作行为判断为违规操作。也即根据当前操作行为对当前目标操作数据的操作方式,预设当前操作行为为违规操作,根据该预设违规操作的信息特点并根据当前目标操作数据所关联的其他数据预设该预设违规操作可能将当前目标操作数据所关联的某个数据作为下一个目标操作数据,并预估对所述下一个目标操作数据的操作方式,若该操作行为的下一操作行为符合上述预设违规操作,则判定该操作行为即为违规操作。
上述步骤4中对违规操作意图的识别,根据违规操作当前目标操作数据与其他操作数据之间的关联关系以及根据违规操作对当前目标操作数据的操作方式,预判违规操作可能的下一个目标操作数据及对该可能的目标操作数据的操作方式,并预估该违规操作的攻击意图。根据该违规操作的信息特点并根据当前目标操作数据所关联的其他数据预设该违规操作可能将当前目标操作数据所关联的某个数据作为下一个目标操作数据,并预估对所述下一个目标操作数据的操作方式,以判断该违规操作的意图。实际中还建立违规操作数据库,记录实际发生的违规操作的行为特点,实际中还将疑似违规操作与违规操作数据库内的违规操作进行比较匹配,以提高对疑似违规操作的判断速度。违规操作的行为特点根据违规操作信息判断,也即根据违规操作对不同的数据类型的行为信息进行分析提取。
判断出当前的操作行为为违规操作时,即进行报警提醒,实际中还可以对操作者发出警告。优选地,发现违规操作后,对违规操作可能的下一个目标操作数据,提前设置伪装数据,诱导违规操作对目标操作数据的操作实际是对伪装数据进行操作,以将违规操作引导向非操作意图路径。也即发现违规操作后,提前设置伪装数据以对违规操作可能的下一个目标数据进行伪装,使违规操作下一步对目标数据的操作实际发生为对伪装数据的操作,从而破坏违规操作的操作路径,打破违规操作的操作意图,起到安全保护作用。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。