一種遠(yuǎn)程運(yùn)維智能審計(jì)的方法
【專利摘要】本發(fā)明公開了一種遠(yuǎn)程運(yùn)維智能審計(jì)的方法,在客戶端與服務(wù)器之間架設(shè)堡壘機(jī)�,客戶端對(duì)服務(wù)器的運(yùn)維通過(guò)堡壘機(jī)轉(zhuǎn)發(fā)進(jìn)行,堡壘機(jī)收集運(yùn)維數(shù)據(jù)并對(duì)運(yùn)維數(shù)據(jù)進(jìn)行審計(jì)�,該方法包括學(xué)習(xí)階段和檢測(cè)階段,在學(xué)習(xí)階段通過(guò)字符命令分析和用戶行為分析形成操作命令規(guī)則庫(kù)和操作行為規(guī)則庫(kù)���,在檢測(cè)階段通過(guò)匹配規(guī)則庫(kù)審計(jì)運(yùn)維操作命令和操作行為是否正常�,并可對(duì)規(guī)則庫(kù)進(jìn)行更新�����。與現(xiàn)有技術(shù)相比��,本發(fā)明的方法通用性較強(qiáng)且檢測(cè)效率較高����,只需要經(jīng)歷一段時(shí)間的學(xué)習(xí)階段��,就可以進(jìn)入檢測(cè)�,維護(hù)方便���,規(guī)則庫(kù)不斷更新確保降低誤檢率����。
【專利說(shuō)明】一種遠(yuǎn)程運(yùn)維智能審計(jì)的方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種遠(yuǎn)程運(yùn)維智能審計(jì)的實(shí)現(xiàn)方法��,特別是一種針對(duì)遠(yuǎn)程運(yùn)維審計(jì)中 人工審計(jì)規(guī)則配置的不足而研發(fā)的通過(guò)自主學(xué)習(xí)建立規(guī)則庫(kù)��,智能分析審計(jì)數(shù)據(jù)的實(shí)現(xiàn)方 法�,屬于運(yùn)維安全【技術(shù)領(lǐng)域】。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)與計(jì)算機(jī)技術(shù)的飛速發(fā)展�����,服務(wù)器的應(yīng)用越發(fā)廣泛����,其安全性顯得尤為 重要。在服務(wù)器性能與效率不斷提升的同時(shí)����,如何有效防止服務(wù)器遭受攻擊�、保證服務(wù)器中 數(shù)據(jù)的安全性和有效性�,已成為信息安全的重要研究課題。
[0003] 現(xiàn)有的服務(wù)器審計(jì)系統(tǒng)��,對(duì)操作審計(jì)的規(guī)則由審計(jì)人員人工配置或者研發(fā)人員預(yù) 設(shè)基礎(chǔ)規(guī)則�,然后經(jīng)由堡壘機(jī)記錄操作數(shù)據(jù)后轉(zhuǎn)發(fā)����,解析數(shù)據(jù)后,比對(duì)設(shè)定的規(guī)則判斷是否 異常���。
[0004] 這種數(shù)據(jù)庫(kù)審計(jì)的方式需要審計(jì)人員具備安全知識(shí)���,并且對(duì)企業(yè)各業(yè)務(wù)系統(tǒng)的服 務(wù)器有一定了解,針對(duì)各個(gè)業(yè)務(wù)系統(tǒng)需要配置大量不同的規(guī)則���,規(guī)則涉及廣泛選項(xiàng)條目繁 多�,存在一定誤操作的可能�����。即便有異常數(shù)據(jù)被系統(tǒng)誤判為正常數(shù)據(jù),在沒有造成明顯的系 統(tǒng)安全問(wèn)題前��,也無(wú)法被發(fā)現(xiàn)����,存在漏檢測(cè)的隱患。
【發(fā)明內(nèi)容】
[0005] 發(fā)明目的:本發(fā)明所要解決的技術(shù)問(wèn)題是針對(duì)現(xiàn)有技術(shù)的不足和安全預(yù)防的不完 全�����,提供一種遠(yuǎn)程運(yùn)維智能審計(jì)的方法�,對(duì)服務(wù)器系統(tǒng)操作行為和操作語(yǔ)句進(jìn)行雙向?qū)徲?jì) 并利用關(guān)聯(lián)規(guī)則挖掘技術(shù)實(shí)現(xiàn)智能學(xué)習(xí)與分析檢測(cè)。
[0006] 技術(shù)方案:為了實(shí)現(xiàn)上述目的��,本發(fā)明采用如下技術(shù)方案: 一種遠(yuǎn)程運(yùn)維智能審計(jì)的方法����,在客戶端與服務(wù)器之間架設(shè)堡壘機(jī),客戶端對(duì)服務(wù)器 的運(yùn)維通過(guò)堡壘機(jī)轉(zhuǎn)發(fā)進(jìn)行���,堡壘機(jī)收集運(yùn)維數(shù)據(jù)并對(duì)運(yùn)維數(shù)據(jù)進(jìn)行審計(jì)��,該方法包括形 成規(guī)則庫(kù)的學(xué)習(xí)階段�����,以及通過(guò)匹配規(guī)則庫(kù)審計(jì)運(yùn)維數(shù)據(jù)是否正常的檢測(cè)階段���。
[0007] 所述學(xué)習(xí)階段包括如下步驟: 通過(guò)對(duì)樣本數(shù)據(jù)中的操作字符命令進(jìn)行詞法和語(yǔ)法分析生成字符命令的語(yǔ)法樹并根 據(jù)語(yǔ)法樹的結(jié)構(gòu)特征計(jì)算特征值����,以字符命令的特征值建立操作命令規(guī)則庫(kù)�����; 通過(guò)對(duì)樣本數(shù)據(jù)中的操作行為進(jìn)行聚類分析���,利用Apriori算法對(duì)聚類結(jié)果進(jìn)行關(guān)聯(lián) 規(guī)則挖掘,以關(guān)聯(lián)規(guī)則建立操作行為規(guī)則庫(kù)����。
[0008] 所述檢測(cè)階段包括如下步驟: 對(duì)審計(jì)數(shù)據(jù)中的操作字符命令進(jìn)行詞法和語(yǔ)法分析生成字符命令的語(yǔ)法樹并根據(jù)語(yǔ) 法樹的結(jié)構(gòu)特征計(jì)算特征值,根據(jù)特征值與操作命令規(guī)則庫(kù)的匹配情況來(lái)判斷審計(jì)數(shù)據(jù)中 的操作字符命令是否正常���; 提取審計(jì)數(shù)據(jù)中的操作行為特征����,根據(jù)行為特征與操作行為規(guī)則庫(kù)的匹配情況來(lái)判斷 審計(jì)數(shù)據(jù)中的操作行為是否正常��。
[0009] 其中學(xué)習(xí)階段形成操作命令規(guī)則庫(kù)的具體步驟包括: 步驟101 :對(duì)字符命令i進(jìn)行詞法和語(yǔ)法分析,生成語(yǔ)法樹���,i為樣本數(shù)據(jù)中的字符命令 的編號(hào)����; 步驟102 :對(duì)語(yǔ)法樹中的用戶輸入內(nèi)容進(jìn)行統(tǒng)一的字符替換生成規(guī)范語(yǔ)法樹����; 步驟103 :對(duì)規(guī)范語(yǔ)法樹進(jìn)行特征提取,得到字符命令規(guī)范語(yǔ)法樹的結(jié)構(gòu)特征Si=(Sl ���,S2����,S3��,S4, S5)��,S1為操作類型�、S2為子樹的個(gè)數(shù)、S3為樹的高度�����、S4為節(jié)點(diǎn)的個(gè)數(shù)、S5 為第一棵子樹節(jié)點(diǎn)的個(gè)數(shù)�����; 步驟104 :利用HASH算法對(duì)(SI�����,S2�����,S3����,S4, S5)組成的字符串進(jìn)行HASH計(jì)算從而 得到字符命令的特征值Vi ; 步驟105 :將字符命令的特征值Vi存入操作命令規(guī)則庫(kù)�����; 循環(huán)步驟101至105直至將所有樣本數(shù)據(jù)學(xué)習(xí)完畢�。
[0010] 檢驗(yàn)階段對(duì)運(yùn)維操作字符命令進(jìn)行審計(jì)的具體步驟包括: 步驟201 :按照步驟101-104的方法得到審計(jì)數(shù)據(jù)中的字符命令對(duì)應(yīng)的特征值; 步驟202 :將步驟201中得到的特征值與操作命令規(guī)則庫(kù)中的特征值進(jìn)行匹配���,如果匹 配成功則視為正常數(shù)據(jù)�,結(jié)束;如果匹配失敗則至步驟203 ; 步驟203 :提交到待人工審計(jì)數(shù)據(jù)列表���,由審計(jì)人員進(jìn)行人工審計(jì)��,若判斷為正常數(shù)據(jù) 則將該特征值添加至操作命令規(guī)則庫(kù)中���,結(jié)束;若判斷為異常數(shù)據(jù)則進(jìn)行告警處理���。
[0011] 學(xué)習(xí)階段形成操作行為規(guī)則庫(kù)的具體步驟包括: 步驟401 :根據(jù)預(yù)先定義的操作行為相關(guān)元素�,提取樣本數(shù)據(jù)中的關(guān)鍵元素并進(jìn)行聚 類分析����; 步驟402 :利用Apriori算法對(duì)聚類結(jié)果進(jìn)行分析,設(shè)定最小支持度和最小可信度���,計(jì) 算出符合最小支持度和最小可信度的強(qiáng)關(guān)聯(lián)規(guī)則�����; 步驟403 :將關(guān)聯(lián)規(guī)則存入操作行為規(guī)則庫(kù)����。
[0012] 檢驗(yàn)階段對(duì)運(yùn)維用戶操作行為進(jìn)行審計(jì)的具體步驟包括: 步驟501 :根據(jù)預(yù)先定義的操作行為相關(guān)元素,提取審計(jì)數(shù)據(jù)中的關(guān)鍵元素�,得到其關(guān) 聯(lián)關(guān)系; 步驟502 :將步驟501得到的關(guān)聯(lián)關(guān)系與操作行為規(guī)則庫(kù)中關(guān)聯(lián)規(guī)則進(jìn)行匹配�,如果匹 配成功則視為正常數(shù)據(jù),結(jié)束���;如果匹配失敗則至步驟503 ; 步驟503 :提交到待人工審計(jì)數(shù)據(jù)列表�,由審計(jì)人員進(jìn)行人工審計(jì)�,若判斷為正常數(shù)據(jù) 則將該關(guān)聯(lián)關(guān)系添加至操作行為規(guī)則庫(kù)中,結(jié)束�;若判斷為異常數(shù)據(jù)則進(jìn)行告警處理。
[0013] 有益效果:與現(xiàn)有技術(shù)相比�����,本發(fā)明提供了一種運(yùn)維智能審計(jì)的方法�����,通過(guò)用戶行 為分析���、字符命令分析��,將異常檢測(cè)技術(shù)�、關(guān)聯(lián)規(guī)則挖掘技術(shù)和模式匹配等方法混合使用�����, 實(shí)現(xiàn)運(yùn)維審計(jì)規(guī)則的自動(dòng)學(xué)習(xí)和檢測(cè)��。該方法通用性較強(qiáng)且檢測(cè)效率較高����,只需要經(jīng)歷一 段時(shí)間的學(xué)習(xí)階段,就可以進(jìn)入檢測(cè)�����,維護(hù)方便����,規(guī)則庫(kù)不斷更新確保降低誤檢率?����?梢詫?shí) 際滿足不同用戶對(duì)服務(wù)器安全的需求���,在運(yùn)維審計(jì)行業(yè)中有廣泛的應(yīng)用前景�����。
【專利附圖】
【附圖說(shuō)明】
[0014] 圖1為本發(fā)明方法的檢測(cè)階段的流程示意圖�����; 圖2為本發(fā)明所述的Apriori算法示例圖���。
【具體實(shí)施方式】
[0015] 下面結(jié)合具體實(shí)施例�,進(jìn)一步闡明本發(fā)明���,應(yīng)理解這些實(shí)施例僅用于說(shuō)明本發(fā)明 而不用于限制本發(fā)明的范圍����,在閱讀了本發(fā)明之后�,本領(lǐng)域技術(shù)人員對(duì)本發(fā)明的各種等價(jià) 形式的修改均落于本申請(qǐng)所附權(quán)利要求所限定的范圍。
[0016] 本發(fā)明提供了一種通過(guò)關(guān)聯(lián)規(guī)則挖掘技術(shù)對(duì)服務(wù)器運(yùn)維操作字符命令以及操作 行為進(jìn)行雙向智能分析的運(yùn)維審計(jì)方法���,所述方法包括學(xué)習(xí)階段和檢測(cè)階段��,在學(xué)習(xí)階段 形成操作命令規(guī)則庫(kù)和操作行為規(guī)則庫(kù)�����,進(jìn)入檢測(cè)階段即可通過(guò)匹配規(guī)則庫(kù)來(lái)審計(jì)異常數(shù) 據(jù)�����。
[0017] 操作字符命令審計(jì)的學(xué)習(xí)階段�,在學(xué)習(xí)樣本數(shù)據(jù)解析中得到字符命令��,建立字符 命令樹���,計(jì)算字符命令結(jié)構(gòu)的特征值�,將其作為規(guī)則存入到操作命令規(guī)則庫(kù)中����,實(shí)現(xiàn)規(guī)則庫(kù) 的建立。具體步驟包括: 步驟101 :利用UNIX系統(tǒng)所提供的詞法分析工具LEX和語(yǔ)法分析工具YACC對(duì)樣本數(shù) 據(jù)中的字符命令i進(jìn)行詞法和語(yǔ)法分析����,生成語(yǔ)法樹,i為樣本數(shù)據(jù)中的字符命令的編號(hào)���; 步驟102 :對(duì)語(yǔ)法樹中的用戶輸入內(nèi)容進(jìn)行統(tǒng)一的字符替換生成規(guī)范語(yǔ)法樹�; 步驟103 :對(duì)規(guī)范語(yǔ)法樹進(jìn)行特征提取,得到字符命令規(guī)范語(yǔ)法樹的結(jié)構(gòu)特征Si=(Sl �,S2,S3�,S4, S5),其中S1為操作類型����、S2為子樹的個(gè)數(shù)、S3為樹的高度�、S4為節(jié)點(diǎn)的個(gè) 數(shù)、S5為第一棵子樹節(jié)點(diǎn)的個(gè)數(shù)�; 步驟104 :利用HASH算法對(duì)(SI,S2�����,S3��,S4, S5)組成的字符串進(jìn)行HASH計(jì)算從而 得到字符命令的特征值Vi ; 步驟105 :將字符命令的特征值Vi存入操作命令規(guī)則庫(kù)����。
[0018] 循環(huán)步驟101至105直至將所有樣本數(shù)據(jù)學(xué)習(xí)完畢,學(xué)習(xí)階段結(jié)束�����。
[0019] 操作行為審計(jì)的學(xué)習(xí)階段,對(duì)樣本數(shù)據(jù)進(jìn)行聚類分析���,利用Apriori算法進(jìn)行關(guān) 聯(lián)規(guī)則挖掘���,建立正常操作行為規(guī)則庫(kù)�����。具體步驟包括: 步驟401 :根據(jù)預(yù)先定義在數(shù)據(jù)庫(kù)表中的操作行為相關(guān)元素�����,提取樣本數(shù)據(jù)中的關(guān)鍵 元素并進(jìn)行聚類分析�����。預(yù)先定義關(guān)鍵元素包括與數(shù)據(jù)庫(kù)操作相關(guān)的數(shù)據(jù)庫(kù)用戶名�、操作對(duì) 象表名和數(shù)據(jù)庫(kù)操作類型,以及與服務(wù)器管理相關(guān)的服務(wù)器地址��、服務(wù)器登錄名和操作命 令類型等��; 步驟402 :利用Apriori算法對(duì)聚類結(jié)果進(jìn)行分析,設(shè)定最小支持度和最小可信度�,計(jì) 算出符合最小支持度和最小可信度的強(qiáng)關(guān)聯(lián)規(guī)則��; 步驟403 :將關(guān)聯(lián)規(guī)則存入操作行為規(guī)則庫(kù)�。
[0020] 循環(huán)步驟401至403直至學(xué)習(xí)階段結(jié)束����。
[0021] 圖2以一個(gè)實(shí)例演示步驟402中采用Apriori算法挖掘關(guān)聯(lián)規(guī)則的流程示例圖, 具體步驟如下: 步驟301�����,遍歷候選項(xiàng)集1�,對(duì)每個(gè)候選進(jìn)行計(jì)數(shù); 步驟302,設(shè)定最小支持度為2,過(guò)濾掉小于最小支持度的事務(wù)��,生成頻繁項(xiàng)集1 ; 步驟303,去掉互斥項(xiàng)����,產(chǎn)生候選項(xiàng)集2,對(duì)候選集進(jìn)行支持度計(jì)數(shù); 步驟304,過(guò)濾掉小于最小支持度的事務(wù)��,生成頻繁項(xiàng)集2 ; 步驟305,去掉互斥項(xiàng)���,產(chǎn)生候選項(xiàng)集3,對(duì)候選集進(jìn)行支持度計(jì)數(shù)��; 步驟306,過(guò)濾掉小于最小支持度的事務(wù)��,生成頻繁項(xiàng)集3�����。
[0022] 如圖1所示�����,在檢測(cè)階段��,對(duì)服務(wù)器的運(yùn)維數(shù)據(jù)中的操作行為和操作字符命令分 別進(jìn)行檢測(cè)分析��,匹配規(guī)則庫(kù)判斷數(shù)據(jù)是否異常����。
[0023] 操作字符命令檢測(cè)時(shí)���,將字符命令特征值與規(guī)則庫(kù)中的條目進(jìn)行匹配��,若匹配成 功則認(rèn)為此字符命令為正常數(shù)據(jù)��,若匹配不成功則提交給人工審計(jì)����。具體步驟包括: 步驟201 :按照步驟101-104的方法得到審計(jì)數(shù)據(jù)中的字符命令對(duì)應(yīng)的特征值; 步驟202 :將步驟201中得到的特征值與操作命令規(guī)則庫(kù)中的特征值進(jìn)行匹配�,如果匹 配成功則視為正常數(shù)據(jù),結(jié)束�;如果匹配失敗則至步驟203 ; 步驟203 :提交到待人工審計(jì)數(shù)據(jù)列表,由審計(jì)人員進(jìn)行人工審計(jì)�����,若判斷為正常數(shù)據(jù) 則將該特征值添加至操作命令規(guī)則庫(kù)中���,結(jié)束��;若判斷為異常數(shù)據(jù)則進(jìn)行告警處理�。
[0024] 操作行為檢測(cè)時(shí)�,提取審計(jì)數(shù)據(jù)中的關(guān)鍵數(shù)據(jù)得到其關(guān)聯(lián)規(guī)則,與正常操作行為 規(guī)則庫(kù)中的條目進(jìn)行匹配��,若匹配成功����,判定該數(shù)據(jù)為正常行為檢測(cè)結(jié)束;若匹配不成功則 提交給審計(jì)人員進(jìn)行人工審計(jì)��。具體步驟包括: 步驟501 :提取審計(jì)數(shù)據(jù)中的用戶操作行為關(guān)鍵元素(如:數(shù)據(jù)庫(kù)用戶名、操作對(duì)象表 名和數(shù)據(jù)庫(kù)操作類型)����,得到其關(guān)聯(lián)關(guān)系即行為特征; 步驟502 :將步驟501得到的關(guān)聯(lián)關(guān)系與操作行為規(guī)則庫(kù)中關(guān)聯(lián)規(guī)則進(jìn)行匹配���,如果匹 配成功則視為正常數(shù)據(jù)�,結(jié)束��;如果匹配失敗則至步驟503 ; 步驟503 :提交到待人工審計(jì)數(shù)據(jù)列表��,由審計(jì)人員進(jìn)行人工審計(jì)���,若判斷為正常數(shù)據(jù) 則將該關(guān)聯(lián)關(guān)系添加至操作行為規(guī)則庫(kù)中,結(jié)束��;若判斷為異常數(shù)據(jù)則進(jìn)行告警處理����。
【權(quán)利要求】
1. 一種遠(yuǎn)程運(yùn)維智能審計(jì)的方法,在客戶端與服務(wù)器之間架設(shè)堡壘機(jī)����,客戶端對(duì)服務(wù) 器的運(yùn)維通過(guò)堡壘機(jī)轉(zhuǎn)發(fā)進(jìn)行��,堡壘機(jī)收集運(yùn)維數(shù)據(jù)并對(duì)運(yùn)維數(shù)據(jù)進(jìn)行審計(jì)�����,其特征在于�, 該方法包括形成規(guī)則庫(kù)的學(xué)習(xí)階段�,以及通過(guò)匹配規(guī)則庫(kù)審計(jì)運(yùn)維數(shù)據(jù)是否正常的檢測(cè)階 段; 所述學(xué)習(xí)階段包括如下步驟: 通過(guò)對(duì)樣本數(shù)據(jù)中的操作字符命令進(jìn)行詞法和語(yǔ)法分析生成字符命令的語(yǔ)法樹并根 據(jù)語(yǔ)法樹的結(jié)構(gòu)特征計(jì)算特征值���,以字符命令的特征值建立操作命令規(guī)則庫(kù)����; 通過(guò)對(duì)樣本數(shù)據(jù)中的操作行為進(jìn)行聚類分析��,利用Apriori算法對(duì)聚類結(jié)果進(jìn)行關(guān)聯(lián) 規(guī)則挖掘����,以關(guān)聯(lián)規(guī)則建立操作行為規(guī)則庫(kù); 所述檢測(cè)階段包括如下步驟: 對(duì)審計(jì)數(shù)據(jù)中的操作字符命令進(jìn)行詞法和語(yǔ)法分析生成字符命令的語(yǔ)法樹并根據(jù)語(yǔ) 法樹的結(jié)構(gòu)特征計(jì)算特征值�,根據(jù)特征值與操作命令規(guī)則庫(kù)的匹配情況來(lái)判斷審計(jì)數(shù)據(jù)中 的操作字符命令是否正常; 提取審計(jì)數(shù)據(jù)中的操作行為特征�,根據(jù)行為特征與操作行為規(guī)則庫(kù)的匹配情況來(lái)判斷 審計(jì)數(shù)據(jù)中的操作行為是否正常。
2. 根據(jù)權(quán)利要求1所述的遠(yuǎn)程運(yùn)維智能審計(jì)的方法�,其特征在于�����, 所述通過(guò)對(duì)樣本數(shù)據(jù)中的操作字符命令進(jìn)行詞法和語(yǔ)法分析生成字符命令的語(yǔ)法樹 并根據(jù)語(yǔ)法樹的結(jié)構(gòu)特征計(jì)算特征值�,以字符命令的特征值建立操作命令規(guī)則庫(kù)的具體步 驟包括: 步驟101 :對(duì)字符命令i進(jìn)行詞法和語(yǔ)法分析��,生成語(yǔ)法樹�,i為樣本數(shù)據(jù)中的字符命令 的編號(hào); 步驟102 :對(duì)語(yǔ)法樹中的用戶輸入內(nèi)容進(jìn)行統(tǒng)一的字符替換生成規(guī)范語(yǔ)法樹����; 步驟103 :對(duì)規(guī)范語(yǔ)法樹進(jìn)行特征提取,得到字符命令規(guī)范語(yǔ)法樹的結(jié)構(gòu)特征Si=(Sl ��,S2�����,S3�����,S4, S5)����,S1為操作類型、S2為子樹的個(gè)數(shù)�、S3為樹的高度、S4為節(jié)點(diǎn)的個(gè)數(shù)��、S5 為第一棵子樹節(jié)點(diǎn)的個(gè)數(shù)����; 步驟104 :利用HASH算法對(duì)(SI,S2��,S3��,S4, S5)組成的字符串進(jìn)行HASH計(jì)算從而 得到字符命令的特征值Vi ; 步驟105 :將字符命令的特征值Vi存入操作命令規(guī)則庫(kù)���; 循環(huán)步驟101至105直至將所有樣本數(shù)據(jù)學(xué)習(xí)完畢����; 所述對(duì)審計(jì)數(shù)據(jù)中的操作字符命令進(jìn)行詞法和語(yǔ)法分析生成字符命令的語(yǔ)法樹并根 據(jù)語(yǔ)法樹的結(jié)構(gòu)特征計(jì)算特征值���,根據(jù)特征值與操作命令規(guī)則庫(kù)的匹配情況來(lái)判斷審計(jì)數(shù) 據(jù)中的操作字符命令是否正常的具體步驟包括: 步驟201 :按照所述步驟101-104的方法得到審計(jì)數(shù)據(jù)中的字符命令對(duì)應(yīng)的特征值�; 步驟202 :將步驟201中得到的特征值與操作命令規(guī)則庫(kù)中的特征值進(jìn)行匹配�����,如果匹 配成功則視為正常數(shù)據(jù),結(jié)束�;如果匹配失敗則至步驟203 ; 步驟203 :提交到待人工審計(jì)數(shù)據(jù)列表,由審計(jì)人員進(jìn)行人工審計(jì)�,若判斷為正常數(shù)據(jù) 則將該特征值添加至操作命令規(guī)則庫(kù)中,結(jié)束�;若判斷為異常數(shù)據(jù)則進(jìn)行告警處理。
3. 根據(jù)權(quán)利要求1所述的遠(yuǎn)程運(yùn)維智能審計(jì)的方法�,其特征在于, 所述通過(guò)對(duì)樣本數(shù)據(jù)中的操作行為進(jìn)行聚類分析�,利用Apriori算法對(duì)聚類結(jié)果進(jìn)行 關(guān)聯(lián)規(guī)則挖掘,以關(guān)聯(lián)規(guī)則建立操作行為規(guī)則庫(kù)的具體步驟包括: 步驟401 :根據(jù)預(yù)先定義的操作行為相關(guān)元素��,提取樣本數(shù)據(jù)中的關(guān)鍵元素并進(jìn)行聚 類分析��; 步驟402 :利用Apriori算法對(duì)聚類結(jié)果進(jìn)行分析��,設(shè)定最小支持度和最小可信度�,計(jì) 算出符合最小支持度和最小可信度的強(qiáng)關(guān)聯(lián)規(guī)則; 步驟403 :將關(guān)聯(lián)規(guī)則存入操作行為規(guī)則庫(kù)�; 所述提取審計(jì)數(shù)據(jù)中的操作行為特征,根據(jù)行為特征與操作行為規(guī)則庫(kù)的匹配情況來(lái) 判斷審計(jì)數(shù)據(jù)中的操作行為是否正常的具體步驟包括: 步驟501 :根據(jù)預(yù)先定義的操作行為相關(guān)元素����,提取審計(jì)數(shù)據(jù)中的關(guān)鍵元素����,得到其關(guān) 聯(lián)關(guān)系�����; 步驟502 :將步驟501得到的關(guān)聯(lián)關(guān)系與操作行為規(guī)則庫(kù)中關(guān)聯(lián)規(guī)則進(jìn)行匹配����,如果匹 配成功則視為正常數(shù)據(jù)�,結(jié)束;如果匹配失敗則至步驟503 ; 步驟503 :提交到待人工審計(jì)數(shù)據(jù)列表�����,由審計(jì)人員進(jìn)行人工審計(jì)�����,若判斷為正常數(shù)據(jù) 則將該關(guān)聯(lián)關(guān)系添加至操作行為規(guī)則庫(kù)中�,結(jié)束;若判斷為異常數(shù)據(jù)則進(jìn)行告警處理����。
4. 根據(jù)權(quán)利要求2所述的遠(yuǎn)程運(yùn)維智能審計(jì)的方法,其特征在于,步驟101中利用 UNIX系統(tǒng)所提供的詞法分析工具LEX和語(yǔ)法分析工具YACC分別對(duì)進(jìn)行字符命令進(jìn)行詞法 和語(yǔ)法分析�。
5. 根據(jù)權(quán)利要求3所述的遠(yuǎn)程運(yùn)維智能審計(jì)的方法,其特征在于���,所述預(yù)先定義的操 作行為相關(guān)元素包括數(shù)據(jù)庫(kù)用戶名��、操作對(duì)象表名�、數(shù)據(jù)庫(kù)操作類型����、服務(wù)器地址、服務(wù)器 登錄名和操作命令類型���。
【文檔編號(hào)】G06F17/30GK104156439SQ201410396109
【公開日】2014年11月19日 申請(qǐng)日期:2014年8月12日 優(yōu)先權(quán)日:2014年8月12日
【發(fā)明者】吳克河, 崔文超, 陳飛, 安延文 申請(qǐng)人:華北電力大學(xué)句容研究中心