特权威胁行为主动告警并截断的方法及装置与流程

本发明涉及特权安全领域，特别涉及一种特权威胁行为主动告警并截断的方法及装置。

背景技术：

特权账号是指具有高风险(如可以启停设备的管理员账号)或具有高价值(如可以读取业务敏感数据的应用账号)的账号，每年超过半数的重大安全事件都是由于特权账号被窃取或者拥有特权账号的相关内部人员造成，这种利用特权账号对企业造成破坏或者损失的行为我们称为特权威胁异常行为。过去传统企业针对特权威胁异常行为检测往往是基于简单分析工具以及管理员人个人经验，人工判断是否存在特权威胁异常行为，时效性以及准确性往往偏低，而且通常造成破坏或损失之后才发现特权威胁异常行为，因此，对于拥有特权账号的相关人员的特权威胁异常行为进行主动告警并截断，就显得尤为重要。

技术实现要素：

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种能大大降低用户风险系数，在发生可疑特权威胁最初阶段就主动截断会话，能最大限度减少企业因特权威胁异常行为造成损失的特权威胁行为主动告警并截断的方法及装置。

本发明解决其技术问题所采用的技术方案是：构造一种特权威胁行为主动告警并截断的方法，应用于特权威胁分析系统，所述特权威胁分析系统内置特权账号威胁场景知识库，所述特权账号威胁场景知识库能不定期更新，所述方法包括如步骤：

a)通过通用的接口接入特权账号会话日志数据，通过通用的接口接入特权账号终端操作审计日志数据；

b)对所述特权账号会话日志数据和特权账号终端操作审计日志数据进行处理；

c)将特权威胁异常行为日志实时关联所述特权账号威胁场景知识库；

d)检测是否存在特权威胁异常行为，如是，执行步骤e)；否则，执行步骤j)；

e)实时发送告警，通知相关管理员；

f)判断是否挂起特权账号会话，如是，执行步骤g)；否则，执行步骤j)；

g)主动调用特权账号管理接口，挂起当前特权账号会话；

h)判断是否属于误报，如是，执行步骤i)；否则，执行步骤j)；

i)调用特权账号管理接口，恢复当前特权账号会话，执行步骤j)；

j)结束。

在本发明所述的特权威胁行为主动告警并截断的方法中，所述步骤b)中对所述特权账号会话日志数据和特权账号终端操作审计日志数据的处理包括过滤、提取和序列化。

在本发明所述的特权威胁行为主动告警并截断的方法中，所述步骤e)中通过邮件、短信或微信方式实时发送告警。

在本发明所述的特权威胁行为主动告警并截断的方法中，所述特权威胁分析系统包括相互连接的智能威胁审计单元、实时威胁监测单元和统筹配置管理单元，所述智能威胁审计单元用于将关于账号威胁事件详细信息进行分析，以及对账号威胁事件数据进行汇总，并通过图表结合控制面板进行展示；所述实时威胁监测单元用于展现监测到的账号威胁活动，设置账号威胁规则条件，以及在账号威胁规则条件触发后自动响应与发出预警记录；所述统筹配置管理单元用于实现所述特权账号威胁分析系统中重要系统配置的管理。

本发明还涉及一种实现上述特权威胁行为主动告警并截断的方法的装置，应用于特权威胁分析系统，所述特权威胁分析系统内置特权账号威胁场景知识库，所述特权账号威胁场景知识库能不定期更新，所述装置包括：

日志数据接入单元：用于通过通用的接口接入特权账号会话日志数据，通过通用的接口接入特权账号终端操作审计日志数据；

日志数据处理单元：用于对所述特权账号会话日志数据和特权账号终端操作审计日志数据进行处理；

知识库关联单元：用于将特权威胁异常行为日志实时关联所述特权账号威胁场景知识库；

异常行为检测单元：用于检测是否存在特权威胁异常行为；

告警单元：用于实时发送告警，通知相关管理员；

会话挂起判断单元：用于判断是否挂起特权账号会话；

会话挂起单元：用于主动调用特权账号管理接口，挂起当前特权账号会话；

误报判断单元：用于判断是否属于误报；

会话恢复单元：用于调用特权账号管理接口，恢复当前特权账号会话；

结束单元：用于结束。

在本发明所述的装置中，所述日志数据处理单元中对所述特权账号会话日志数据和特权账号终端操作审计日志数据的处理包括过滤、提取和序列化。

在本发明所述的装置中，所述告警单元中通过邮件、短信或微信方式实时发送告警。

在本发明所述的装置中，所述特权威胁分析系统包括相互连接的智能威胁审计单元、实时威胁监测单元和统筹配置管理单元，所述智能威胁审计单元用于将关于账号威胁事件详细信息进行分析，以及对账号威胁事件数据进行汇总，并通过图表结合控制面板进行展示；所述实时威胁监测单元用于展现监测到的账号威胁活动，设置账号威胁规则条件，以及在账号威胁规则条件触发后自动响应与发出预警记录；所述统筹配置管理单元用于实现所述特权账号威胁分析系统中重要系统配置的管理。

实施本发明的特权威胁行为主动告警并截断的方法及装置，具有以下有益效果：由于把丰富的特权安全领域的经验转化为特权威胁知识库，在此之上，采用自研的特权威胁分析系统，实时接入特权会话日志数据以及终端审计日志数据，关联检测特权威胁异常行为，一旦检测出特权威胁异常行为，可以通过多种接口方式发送告警并可根据自身需要主动截断特权会话，因此本发明能大大降低用户风险系数，在发生可疑特权威胁最初阶段就主动截断会话，能最大限度减少企业因特权威胁异常行为造成损失。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明特权威胁行为主动告警并截断的方法及装置一个实施例中方法的流程图；

图2为所述实施例中装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明特权威胁行为主动告警并截断的方法及装置实施例中，其特权威胁行为主动告警并截断的方法应用于特权威胁分析系统，该特权威胁分析系统包括相互连接的智能威胁审计单元、实时威胁监测单元和统筹配置管理单元，其中，智能威胁审计单元用于将关于账号威胁事件详细信息进行分析，以及对账号威胁事件数据进行汇总，并通过图表结合控制面板进行展示；实时威胁监测单元用于展现监测到的账号威胁活动，设置账号威胁规则条件，以及在账号威胁规则条件触发后自动响应与发出预警记录；统筹配置管理单元用于实现特权账号威胁分析系统中重要系统配置的管理。

图1为本实施例中特权威胁行为主动告警并截断的方法的流程图。图1中，该特权威胁行为主动告警并截断的方法包括如下步骤：

步骤s01通过通用的接口接入特权账号会话日志数据，通过通用的接口接入特权账号终端操作审计日志数据：本步骤中，通过通用的接口接入特权账号会话日志数据，通过通用的接口接入特权账号终端操作审计日志数据。

步骤s02对特权账号会话日志数据和特权账号终端操作审计日志数据进行处理：本步骤中，对特权账号会话日志数据和特权账号终端操作审计日志数据进行处理，具体而言，就是对特权账号会话日志数据和特权账号终端操作审计日志数据进行过滤、提取和序列化处理等，以方便后面做关联分析。

步骤s03将特权威胁异常行为日志实时关联特权账号威胁场景知识库：本实施例中，特权威胁分析系统内置特权账号威胁场景知识库，该特权账号威胁场景知识库可以不定期更新。本步骤中，将特权威胁异常行为日志实时关联特权账号威胁场景知识库。

步骤s04检测是否存在特权威胁异常行为：本步骤中，将特权威胁异常行为日志关联特权账号威胁场景知识库后，检测是否存在特权威胁异常行为，也就是将特权威胁异常行为日志与特权账号威胁场景知识库汇总的特权账号威胁行为进行匹配，当特权账号威胁场景知识库中存在该特权威胁异常行为日志中的行为时，则认为存在特权威胁异常行为，如果特权账号威胁场景知识库中不存在特权威胁异常行为日志中的行为，则认为不存在特权威胁异常行为。本步骤中，如果判断的结果为是，则执行步骤s05；否则，执行步骤s10。

步骤s05实时发送告警，通知相关管理员：本步骤中，一旦检测到特权威胁异常行为，则实时发送告警，通知相关管理员。可以通过邮件、短信或微信方式实时发送告警。

步骤s06判断是否挂起特权账号会话：本步骤中，判断是否挂起特权账号会话，如果判断的结果为是，则执行步骤s07；否则，执行步骤s10。

步骤s07主动调用特权账号管理接口，挂起当前特权账号会话：本步骤中，如果该行为情节严重，主动调用特权账号管理接口，挂起当前特权账号会话。

步骤s08判断是否属于误报：本步骤中，判断是否属于误报，如果判断的结果为是，则执行步骤s09；否则，执行步骤s10。

步骤s09调用特权账号管理接口，恢复当前特权账号会话：本步骤中，如果该行为属于误报，调用特权账号管理接口，恢复当前特权账号会话。执行完本步骤，执行步骤s10。

步骤s10结束：本步骤中，结束。

对比传统关于特权账号被窃取或者特权账号滥用，造成严重后果或者损失之后才会被发现这种普遍状况，本发明的特权威胁行为主动告警并截断的方法可以大大降低了客户风险系数，在发生可疑特权威胁最初阶段就主动截断会话，防止造成进一步的更严重的损失。

本实施例还涉及一种实现上述特权威胁行为主动告警并截断的方法的装置，该装置应用于特权威胁分析系统，该特权威胁分析系统包括相互连接的智能威胁审计单元、实时威胁监测单元和统筹配置管理单元，其中，智能威胁审计单元用于将关于账号威胁事件详细信息进行分析，以及对账号威胁事件数据进行汇总，并通过图表结合控制面板进行展示；实时威胁监测单元用于展现监测到的账号威胁活动，设置账号威胁规则条件，以及在账号威胁规则条件触发后自动响应与发出预警记录；统筹配置管理单元用于实现特权账号威胁分析系统中重要系统配置的管理。

图2为本实施例中装置的结构示意图。图2中，该装置包括日志数据接入单元1、日志数据处理单元2、知识库关联单元3、异常行为检测单元4、告警单元5、会话挂起判断单元6、会话挂起单元7、误报判断单元8、会话恢复单元9和结束单元10；其中，日志数据接入单元1用于通过通用的接口接入特权账号会话日志数据，通过通用的接口接入特权账号终端操作审计日志数据；日志数据处理单元2用于对特权账号会话日志数据和特权账号终端操作审计日志数据进行处理，该处理包括过滤、提取和序列化等。

知识库关联单元3用于将特权威胁异常行为日志实时关联特权账号威胁场景知识库；特权威胁分析系统内置特权账号威胁场景知识库，特权账号威胁场景知识库可以不定期更新，异常行为检测单元4用于检测是否存在特权威胁异常行为。告警单元5用于实时发送告警，通知相关管理员；可以通过邮件、短信或微信方式实时发送告警。

会话挂起判断单元6用于判断是否挂起特权账号会话；会话挂起单元7用于主动调用特权账号管理接口，挂起当前特权账号会话；误报判断单元8用于判断是否属于误报；会话恢复单元9用于调用特权账号管理接口，恢复当前特权账号会话；结束单元10用于结束。

对比传统关于特权账号被窃取或者特权账号滥用，造成严重后果或者损失之后才会被发现这种普遍状况，本发明的装置可以大大降低了客户风险系数，在发生可疑特权威胁最初阶段就主动截断会话，防止造成进一步的更严重的损失。

总之，本发明把丰富的特权安全领域的经验转化为特权威胁知识库，在此之上，采用自研的特权威胁分析系统，实时接入特权会话日志数据以及终端审计日志数据，关联检测特权威胁异常行为，一旦检测出特权威胁异常行为，可以通过多种接口方式发送告警并可根据自身需要主动截断特权会话，最大限度减少企业因特权威胁异常行为造成损失。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。