账号共用的确定方法及装置
阅读:754发布:2023-12-29
专利汇可以提供账号共用的确定方法及装置专利检索,专利查询,专利分析的服务。并且本 发明 实施例 提供一种账号共用的确定方法及装置。该方法包括:获取待分析时间区间内的日志文件;根据日志文件,确定待分析时间区间内每次 访问 的有效信息,有效信息包括:访问的开始时间、访问的结束时间、访问的互联网协议IP地址、访问的账号;根据有效信息和预设的权限信息,确定存在共用行为的账号,预设的权限信息包括账号与账号的所有者之间的映射关系,及IP地址与IP地址的所有者之间的映射关系。本发明实施例提供的方法,通过对日志文件进行分析,能够确定存在共用行为的账号,以便对存在共用行为的账号进行安全监控,及时消除安全隐患。,下面是账号共用的确定方法及装置专利的具体信息内容。
1.一种账号共用的确定方法,其特征在于,包括:
获取待分析时间区间内的日志文件;
根据所述日志文件,确定所述待分析时间区间内每次访问的有效信息,所述有效信息包括:访问的开始时间、访问的结束时间、访问的互联网协议IP地址、访问的账号;
根据所述有效信息和预设的权限信息,确定存在共用行为的账号,所述预设的权限信息包括账号与账号的所有者之间的映射关系,及IP地址与IP地址的所有者之间的映射关系。
2.根据权利要求1所述的方法,其特征在于,所述根据所述有效信息和预设的权限信息,确定存在共用行为的账号,包括:
根据所述有效信息,确定使用多个IP地址的账号;
针对使用多个IP地址的每个账号,根据所述IP地址与IP地址的所有者之间的映射关系,确定所述账号使用的所述多个IP地址的所有者;
根据所述账号使用的所述多个IP地址的所有者,确定所述账号为第一类共用账号或第二类共用账号;
所述第一类共用账号的共用行为概率小于所述第二类共用账号的共用行为概率。
3.根据权利要求2所述的方法,其特征在于,所述根据所述账号使用的所述多个IP地址的所有者,确定所述账号为第一类共用账号,包括:
若所述账号使用的所述多个IP地址的所有者唯一,则根据所述账号与账号的所有者之间的映射关系,确定所述账号的所有者;
若所述账号使用的所述多个IP地址的所有者与所述账号的所有者不同,则确定所述账号为第一类共用账号。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若所述账号使用的所述多个IP地址的所有者唯一,则根据所述账号与账号的所有者之间的映射关系,确定所述账号的所有者;
若所述账号使用的所述多个IP地址的所有者与所述账号的所有者相同,则确定所述账号不存在共用行为。
5.根据权利要求2所述的方法,其特征在于,所述根据所述账号使用的所述多个IP地址的所有者,确定所述账号为第二类共用账号,包括:
若所述账号使用的所述多个IP地址的所有者不唯一,则确定所述账号为第二类共用账号。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
若所述账号为第二类共用账号,则根据所述有效信息确定所述账号在各个IP地址的工作时间;
若所述账号在各个IP地址的工作时间出现部分重叠,则确定所述账号为第三类共用账号,所述第二类共用账号的共用行为概率小于所述第三类共用账号的共用行为概率。
7.根据权利要求6所述的方法,其特征在于,所述根据所述有效信息确定所述账号在各个IP地址的工作时间,包括:
将所述账号在所述待分析时间区间内的所有访问根据IP地址进行分类;
针对每一类访问,根据访问的开始时间和访问的结束时间,进行时间维度的合并,确定所述账号在各个IP地址的工作时间。
8.一种账号共用的确定装置,其特征在于,包括:
获取模块,用于获取待分析时间区间内的日志文件;
分析模块,用于根据所述日志文件,确定所述待分析时间区间内每次访问的有效信息,所述有效信息包括:访问的开始时间、访问的结束时间、访问的互联网协议IP地址、访问的账号;
处理模块,用于根据所述有效信息和预设的权限信息,确定存在共用行为的账号,所述预设的权限信息包括账号与账号的所有者之间的映射关系,及IP地址与IP地址的所有者之间的映射关系。
9.一种电子设备,其特征在于,包括:
存储器;
处理器;以及
计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如权利要求1-7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器执行以实现如权利要求1-7任一项所述的方法。
账号共用的确定方法及装置
技术领域
背景技术
[0002] 堡垒机是在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。堡垒机通过切断终端计算机对网络和服务器资源的直接访问,采用协议代理的方式,接管了终端计算机对网络和服务器的访问。
[0003] 随着企业信息技术(Information Technology,简称:IT)规模的不断扩大,IT运维任务变得越来越复杂,IT运维团队也越来越庞大。庞大的团队和繁复的工作给运维管理带来巨大挑战,因此众多公司通过引入堡垒机系统,用于管理运维权限、记录用户操作并进行事后回溯调查,以提高运维管理的效率,加强企业的信息安全。在发现可疑操作时,堡垒机系统可以通过执行可疑操作的账号准确定位至使用该堡垒机账号的运维人员,继而进行后续处理。然而,在实际工作中,由于各种原因可能会造成堡垒机账号共用现象,即多个运维人员使用同一堡垒机账号。堡垒机账号共用使得在可疑操作发生时,无法及时准确的确定操作者,极大地降低了堡垒机系统的功能,为公司的运维管理带来很大安全隐患。
[0004] 目前,现有技术中无法通过技术手段确定堡垒机账号的共用行为。
发明内容
[0005] 本发明实施例提供一种账号共用的确定方法及装置,用以解决现有技术中无法通过技术手段及时发现堡垒机账号共用的问题。
[0006] 第一方面,本发明实施例提供一种账号共用的确定方法,包括:
[0007] 获取待分析时间区间内的日志文件;
[0008] 根据日志文件,确定待分析时间区间内每次访问的有效信息,有效信息包括:访问的开始时间、访问的结束时间、访问的互联网协议IP地址、访问的账号;
[0009] 根据有效信息和预设的权限信息,确定存在共用行为的账号,预设的权限信息包括账号与账号的所有者之间的映射关系,及IP地址与IP地址的所有者之间的映射关系。
[0010] 可选的,根据有效信息和预设的权限信息,确定存在共用行为的账号,包括:
[0011] 根据有效信息,确定使用多个IP地址的账号;
[0012] 针对使用多个IP地址的每个账号,根据IP地址与IP地址的所有者之间的映射关系,确定账号使用的多个IP地址的所有者;
[0013] 根据账号使用的多个IP地址的所有者,确定账号为第一类共用账号或第二类共用账号;
[0014] 第一类共用账号的共用行为概率小于第二类共用账号的共用行为概率。
[0015] 可选的,根据账号使用的多个IP地址的所有者,确定账号为第一类共用账号,包括:
[0016] 若账号使用的多个IP地址的所有者唯一,则根据账号与账号的所有者之间的映射关系,确定账号的所有者;
[0017] 若账号使用的多个IP地址的所有者与账号的所有者不同,则确定账号为第一类共用账号。
[0018] 可选的,所述方法还包括:
[0019] 若所述账号使用的所述多个IP地址的所有者唯一,则根据所述账号与账号的所有者之间的映射关系,确定所述账号的所有者;
[0020] 若账号使用的多个IP地址的所有者与账号的所有者相同,则确定账号不存在共用行为。
[0021] 可选的,根据账号使用的多个IP地址的所有者,确定账号为第二类共用账号,包括:
[0022] 若账号使用的多个IP地址的所有者不唯一,则确定账号为第二类共用账号。
[0023] 可选的,所述方法还包括:
[0024] 若账号为第二类共用账号,则根据有效信息确定账号在各个IP地址的工作时间;
[0025] 若账号在各个IP地址的工作时间出现部分重叠,则确定账号为第三类共用账号,第二类共用账号的共用行为概率小于第三类共用账号的共用行为概率。
[0026] 可选的,根据有效信息确定账号在各个IP地址的工作时间,包括:
[0027] 将账号在待分析时间区间内的所有访问根据IP地址进行分类;
[0028] 针对每一类访问,根据访问的开始时间和访问的结束时间,进行时间维度的合并,确定账号在各个IP地址的工作时间。
[0029] 第二方面,本发明实施例提供一种账号共用的确定装置,包括:
[0030] 获取模块,用于获取待分析时间区间内的日志文件;
[0031] 分析模块,用于根据日志文件,确定待分析时间区间内每次访问的有效信息,有效信息包括:访问的开始时间、访问的结束时间、访问的互联网协议IP地址、访问的账号;
[0032] 处理模块,用于根据有效信息和预设的权限信息,确定存在共用行为的账号,预设的权限信息包括账号与账号的所有者之间的映射关系,及IP地址与IP地址的所有者之间的映射关系。
[0033] 第三方面,本发明实施例提供一种电子设备,包括:
[0034] 存储器;
[0035] 处理器;以及
[0036] 计算机程序;
[0037] 其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如第一方面任一项所述的方法。
[0038] 第四方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行以实现如第一方面任一项所述的方法。
[0039] 本发明实施例提供的账号共用的确定方法及装置,通过对日志文件进行分析,获取访问的有效信息,根据有效信息以及预设的权限信息,可以确定存在共用行为的账号,解决了现有技术中无法通过技术手段确定账号的共用行为的问题。对存在共用行为的账号进行安全监控,可以降低安全风险,有助于消灭安全隐患,提高运维水平。附图说明
[0041] 图1为本发明提供的账号共用的确定方法一实施例的流程图;
[0042] 图2为本发明提供的账号共用的确定方法又一实施例的流程图;
[0043] 图3为本发明提供的账号共用的确定方法另一实施例的流程图;
[0044] 图4为本发明提供的账号共用的确定方法又一实施例的流程图;
[0045] 图5为本发明提供的账号共用的确定方法另一实施例的流程图;
[0046] 图6为本发明提供的账号共用的确定装置一实施例的结构示意图;
[0047] 图7为本发明提供的电子设备一实施例的结构示意图。
[0048] 通过上述附图,已示出本发明明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本发明构思的范围,而是通过参考特定实施例为本领域技术人员说明本发明的概念。
具体实施方式
[0049] 这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
[0050] 本发明的说明书和权利要求书中的术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0051] 本发明中的“第一”和“第二”只起标识作用,而不能理解为指示或暗示顺序关系、相对重要性或者隐含指明所指示的技术特征的数量。“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
[0052] 本发明的说明书中通篇提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
[0053] 本发明实施例提供的方法及装置可以用于具备日志系统,能够进行日志记录的设备,例如堡垒机、路由器、服务器等。在本发明的实施例中,用户使用相对固定的互联网协议(Internet Protocol,简称:IP)地址,即IP地址的所有者是相对固定的。
[0054] 图1为本发明提供的账号共用的确定方法一实施例的流程图,如图1所示,本实施例提供的方法可以包括:
[0055] 步骤S101、获取待分析时间区间内的日志文件。
[0056] 日志文件是用于记录系统操作事件的记录文件或文件集合,包括事件日志和消息日志,具有处理历史数据、诊断问题的追踪以及理解系统的活动等重要作用。其中,事件日志用于记录在系统的执行中发生的事件,以便提供可用于理解系统的活动和诊断问题的跟踪。对于理解复杂系统的活动至关重要,特别是在用户交互较少的应用程序中。例如,堡垒机的日志文件记录了运维人员通过堡垒机对目标服务器的访问过程。
[0057] 本实施例中的待分析时间区间可以基于事前预警机制或者事后回溯机制进行设置。所谓事前预警机制指的是在问题出现前,通过对日志文件的分析及时排查安全隐患,例如,可以采用预设时间周期,周期性的获取日志文件进行分析,具体的可以以小时、天、星期等作为预设时间周期;也可以由用户根据具体情况设置待分析时间区间。所谓事后回溯机制指的是,在网络遭受入侵、攻击,出现安全问题后,获取出现问题时间段内的日志文件进行分析,以确定问题根源,从根本上解决问题。
[0058] 本实施例中获取到的待分析时间区间内的日志文件可以是单个日志文件,也可以是包括多个日志文件的文件集合。
[0059] 步骤S102、根据日志文件,确定待分析时间区间内每次访问的有效信息,有效信息包括:访问的开始时间、访问的结束时间、访问的互联网协议IP地址、访问的账号。
[0060] 日志文件记录了大量的信息,为了提高信息处理效率,首先需要对其进行分析以获取对于确定账号共用行为有用的信息。
[0061] 根据待分析时间区间内的日志文件,可以确定待分析时间区间内每次访问的有效信息。其中,有效信息包括但不限于:访问的开始时间、访问的结束时间、访问的IP地址、访问的账号。例如,可以通过对堡垒机系统日志进行分析,抽象出用户借助堡垒机系统访问服务器的模型。
[0062] 表1
[0063]访问的开始时间 访问的结束时间 访问的IP地址 访问的账号
01:00 02:00 IP_E1 ID_E1
01:30 02:00 IP_D1 ID_D1
02:00 02:30 IP_D2 ID_D1
02:30 03:00 IP_D3 ID_C1
03:00 03:30 IP_D4 ID_C1
04:30 05:00 IP_B1 ID_B1
05:30 06:30 IP_D4 ID_B1
07:00 07:30 IP_C1 ID_B1
08:00 09:00 IP_A1 ID_A1
08:30 10:00 IP_A1 ID_A1
11:00 12:00 IP_A1 ID_A1
11:30 12:30 IP_B1 ID_A1
01:00 02:00 IP_E1 ID_E1
01:30 02:00 IP_D1 ID_D1
02:00 02:30 IP_D2 ID_D1
02:30 03:00 IP_D3 ID_C1
03:00 03:30 IP_D4 ID_C1
04:30 05:00 IP_B1 ID_B1
05:30 06:30 IP_D4 ID_B1
07:00 07:30 IP_C1 ID_B1
08:00 09:00 IP_A1 ID_A1
08:30 10:00 IP_A1 ID_A1
11:00 12:00 IP_A1 ID_A1
11:30 12:30 IP_B1 ID_A1
[0064] 表1记录了待分析时间区间内访问的有效信息。其中,时间信息采用24小时制,ID_A1、ID_B1、ID_C1、ID_D1和ID_E1为待分析时间区间内访问所涉及的用户账号,IP_A1、IP_B1、IP_C1、IP_D1、IP_D2、IP_D3、IP_D4和IP_E1为待分析时间区间内访问所涉及的IP地址。
[0065] 步骤S103、根据有效信息和预设的权限信息,确定存在共用行为的账号,预设的权限信息包括账号与账号的所有者之间的映射关系,及IP地址与IP地址的所有者之间的映射关系。
[0066] 表2
[0067]账号 账号的所有者
ID_A1 A
ID_B1 B
ID_C1 C
ID_D1 D
ID_E1 E
ID_A1 A
ID_B1 B
ID_C1 C
ID_D1 D
ID_E1 E
[0068] 表2表示账号与账号的所有者/用户之间的映射关系。本实施例中一个账号只能属于一个所有者,而一个所有者可以拥有多个账号,例如一个用户可以拥有具有不同权限的多个账号。本实施例以一个用户拥有一个账号为例进行说明,本实施例提供的方法同样适用于一个用户拥有多个账号的情况。
[0069] 表3
[0070]IP地址 IP地址的所有者
IP_A1 A
IP_B1 B
IP_C1 C
IP_D1 D
IP_E1 E
IP_D2 D
IP_D3 D
IP_D4 D
IP_A1 A
IP_B1 B
IP_C1 C
IP_D1 D
IP_E1 E
IP_D2 D
IP_D3 D
IP_D4 D
[0071] 表3表示IP地址与IP地址的所有者/用户之间的映射关系。本实施例中一个IP地址只能属于一个所有者,而一个所有者可以使用多个IP地址,例如,一个用户在不同的办公区域拥有多个固定办公电脑,则该用户拥有多个IP地址。
[0072] 本实施例中预设的权限信息,即账号与账号的所有者之间的映射关系以及IP地址与IP地址的所有者之间的映射关系,需要根据具体情况及时更新,以便反映真实情况。例如,当工作人员的办公位进行调整时,IP地址与IP地址的所有者之间的映射关系可能发生改变,需要进行更新;当有员工离职或者入职时,账号与账号的所有者之间的映射关系可能发生改变,需要进行更新。
[0073] 根据有效信息以及预设的权限信息,可以确定存在共用行为的账号。以表1中记录的有效信息为例进行说明,账号ID_E1在待分析时间区间内,仅仅通过IP_E1进行了访问,而账号ID_E1的所有者与IP_E1的所有者均是用户E,因此账号ID_E1不存在共用行为。而账号ID_B1在待分析时间区间内,通过IP_B1、IP_C1和IP_D4进行了访问,账号ID_B1的所有者为用户B,地址IP_B1的所有者为用户B,地址IP_C1的所有者为用户C,地址IP_D4的所有者为用户D,即账号的所有者与IP地址的所有者出现了不同,则账号ID_B1可能存在共用行为,需要对该账号进行安全监控,以降低安全风险。
[0074] 本实施例提供的账号共用的确定方法,通过对日志文件进行分析,获取访问的有效信息,根据有效信息以及预设的权限信息,可以确定存在共用行为的账号,解决了现有技术中无法通过技术手段确定账号的共用行为的问题。对存在共用行为的账号进行安全监控,可以降低安全风险,有助于消灭安全隐患,提高运维水平。
[0075] 图2为本发明提供的账号共用的确定方法又一实施例的流程图,如图2所示,本实施例提供的方法可以包括:
[0076] 步骤S201、获取待分析时间区间内的日志文件。
[0077] 步骤S202、根据日志文件,确定待分析时间区间内每次访问的有效信息,有效信息包括:访问的开始时间、访问的结束时间、访问的互联网协议IP地址、访问的账号。
[0078] 步骤S203、根据有效信息,确定使用多个IP地址的账号。
[0079] 可选的,可以根据访问的账号对待分析时间区间内的全部访问进行分类,对每一个账号使用的IP地址数量进行统计,以确定使用多个IP地址的账号。以表1为例,其中账号ID_A1、ID_B1、ID_C1和ID_D1均为使用多个IP地址的账号。
[0080] 步骤S204、针对使用多个IP地址的每个账号,根据IP地址与IP地址的所有者之间的映射关系,确定账号使用的多个IP地址的所有者。
[0081] 对于使用多个IP地址的每一个账号,根据预设权限信息中IP地址与IP地址的所有者之间的关系,确定该账号使用的多个IP地址的所有者。
[0082] 根据表1和表3,使用多个IP地址的账号ID_B1在待分析时间区间内,通过IP_B1、IP_C1和IP_D4进行了访问,地址IP_B1的所有者为用户B,地址IP_C1的所有者为用户C,地址IP_D4的所有者为用户D。
[0083] 步骤S205、根据账号使用的多个IP地址的所有者,确定账号为第一类共用账号或第二类共用账号。其中,第一类共用账号的共用行为概率小于第二类共用账号的共用行为概率。
[0084] 本实施例中第二类共用账号的共用行为概率高于第一类共用账号的共用行为概率,因此对于该类账号可以采用较高等级的安全监控。第一类共用账号的共用行为概率较低,对于该类账号可以跟踪观察,在出现异常情况时及时告警。
[0085] 本实施例提供的账号共用的确定方法,通过对日志文件进行分析,确定使用多个IP地址的账号,根据IP地址与IP地址的所有者之间的映射关系,确定账号使用的多个IP地址的所有者,根据账号使用的多个IP地址的所有者确定存在共用行为的账号的类型,以便根据不同类型账号的共用行为概率进行不同等级的安全监控。
[0086] 可选的,根据账号使用的多个IP地址的所有者,确定账号为第一类共用账号,可以包括:
[0087] 若账号使用的多个IP地址的所有者唯一,则根据账号与账号的所有者之间的映射关系,确定账号的所有者。
[0088] 若账号使用的多个IP地址的所有者与账号的所有者不同,则确定账号为第一类共用账号。
[0089] 以表1为例,账号ID_C1使用的IP地址包括IP_D3和IP_D4,而IP_D3和IP_D4的所有者均为用户D,而账号ID_C1的所有者是用户C,即账号ID_C1使用的多个IP地址的所有者唯一,且与账号的所有者不同,因此确定账号ID_C1为第一类共用账号。第一类共用账号可能存在共用行为,但是不排除正常使用的可能性。如预设的权限信息中,账号与账号的所有者之间的映射关系,和/或,IP地址与IP地址之间的映射关系未及时进行更新,可能会导致将账号误判为第一类共用账号。
[0090] 可选的,若账号使用的多个IP地址的所有者与账号的所有者相同,则确定账号不存在共用行为。
[0091] 以表1为例,账号ID_D1使用的IP地址包括IP_D1和IP_D2,而IP_D1和IP_D2的所有者均为用户D,而账号ID_D1的所有者也是用户D,即账号ID_D1使用的多个IP地址的所有者唯一,且与账号的所有者相同,因此确定账号ID_D1不存在共用行为。
[0092] 可选的,根据账号使用的多个IP地址的所有者,确定账号为第二类共用账号,包括:
[0093] 若账号使用的多个IP地址的所有者不唯一,则确定账号为第二类共用账号。
[0094] 以表1为例,账号ID_B1使用的IP地址包括IP_B1、IP_D4和IP_C1,IP_B1的所有者为用户B,IP_D4的所有者为用户D,IP_C1的所有者为用户C,即账号ID_B1使用的多个IP地址的所有者不唯一,因此可以确定账号ID_B1为第二类共用账号。
[0095] 可选的,若账号使用的多个IP地址的所有者不唯一,即该账号为第二类共用账号,进一步的,可以根据有效信息确定账号在各个IP地址的工作时间。
[0096] 若账号在各个IP地址的工作时间出现部分重叠,则确定账号为第三类共用账号。
[0097] 以表1为例,账号ID_B1和ID_A1使用的多个IP地址的所有者不唯一,因此,可以确定账号ID_B1和ID_A1为第二类共用账号。对于第二类共用账号ID_B1和ID_A1进行进一步分析,以提高账号共用分析的准确性。账号ID_B1在各个IP地址的工作时间未出现重叠。账号ID_A1在IP_A1和IP_B1的工作时间在11:30至12:00出现了重叠,因此,可以确定账号ID_A1为第三类共用账号。第二类共用账号ID_B1的共用行为概率小于第三类共用账号ID_A1的共用行为概率。
[0098] 可选的,根据有效信息确定账号在各个IP地址的工作时间,包括:
[0099] 将账号在待分析时间区间内的所有访问根据IP地址进行分类;
[0100] 针对每一类访问,根据访问的开始时间和访问的结束时间,进行时间维度的合并,确定账号在各个IP地址的工作时间。
[0101] 以堡垒机账号进行举例说明:假如可疑堡垒机账号为user,两台电脑曾使用过该账号,两台电脑分别为PC1和PC2,其IP分别为IP1和IP2。PC1曾在t1至t3、t2至t5和t6至t8使用账号user,PC2曾在t4至t7使用账号user,且t1
[0102] 采用同样地方法,可以确定表1中的账号ID_A1也是第三类共用账号。
[0103] 下面通过对上述各实施例进行结合,提供了几个具体的实施例进行具体说明。
[0104] 图3为本发明提供的账号共用的确定方法另一实施例的流程图,如图3所示,本实施例提供的方法可以包括:
[0105] 步骤S301、获取待分析时间区间内的日志文件。
[0106] 步骤S302、根据日志文件,确定待分析时间区间内每次访问的有效信息,有效信息包括:访问的开始时间、访问的结束时间、访问的互联网协议IP地址、访问的账号。
[0107] 步骤S303、根据有效信息,确定使用多个IP地址的账号。
[0108] 步骤S304、针对使用多个IP地址的每个账号,根据IP地址与IP地址的所有者之间的映射关系,确定账号使用的多个IP地址的所有者。
[0109] 步骤S305、若账号使用的多个IP地址的所有者唯一,则根据账号与账号的所有者之间的映射关系,确定账号的所有者。
[0110] 步骤S306、若账号使用的多个IP地址的所有者与账号的所有者不同,则确定所述账号为第一类共用账号。
[0111] 图4为本发明提供的账号共用的确定方法又一实施例的流程图,如图4所示,本实施例提供的方法可以包括:
[0112] 步骤S401、获取待分析时间区间内的日志文件。
[0113] 步骤S402、根据日志文件,确定待分析时间区间内每次访问的有效信息,有效信息包括:访问的开始时间、访问的结束时间、访问的互联网协议IP地址、访问的账号。
[0114] 步骤S403、根据有效信息,确定使用多个IP地址的账号。
[0115] 步骤S404、针对使用多个IP地址的每个账号,根据IP地址与IP地址的所有者之间的映射关系,确定账号使用的多个IP地址的所有者。
[0116] 步骤S405、若账号使用的多个IP地址的所有者不唯一,则确定账号为第二类共用账号。
[0117] 图5为本发明提供的账号共用的确定方法另一实施例的流程图,如图5所示,本实施例提供的方法可以包括:
[0118] 步骤S501、获取待分析时间区间内的日志文件。
[0119] 步骤S502、根据日志文件,确定待分析时间区间内每次访问的有效信息,有效信息包括:访问的开始时间、访问的结束时间、访问的互联网协议IP地址、访问的账号。
[0120] 步骤S503、根据有效信息,确定使用多个IP地址的账号。
[0121] 步骤S504、针对使用多个IP地址的每个账号,根据IP地址与IP地址的所有者之间的映射关系,确定账号使用的多个IP地址的所有者。
[0122] 步骤S505、若账号使用的多个IP地址的所有者不唯一,则根据有效信息确定账号在各个IP地址的工作时间。
[0123] 账号使用的多个IP地址的所有者不唯一,即该账号为第二类共用账号,对于该账号可以进行进一步分析,可以根据有效信息确定账号在各个IP地址的工作时间。
[0124] 步骤S506、若账号在各个IP地址的工作时间出现部分重叠,则确定账号为第三类共用账号。
[0125] 需要说明的是,第二类共用账号可以包括第三类共用账号。当确定一个账号为第二类共用账号后,可以进行进一步的分析,当满足第三类共用账号的条件时,确定该账号为第三类共用账号,第三类共用账号一定存在共用行为,提高了账号共用分析的准确性。第三类共用账号的共用行为概率最高,因此对于该类账号可以采用高等级的安全监控,甚至可以禁止该类账号的权限以规避风险。
[0126] 本发明实施例还提供一种账号共用的确定装置,请参见图6所示,本发明实施例仅以图6为例进行说明,并不表示本发明仅限于此。本实施例提供的账号共用的确定装置,可以是堡垒机,也可以是用于堡垒机内的部件,如集成电路、芯片等,还可以是其他具有日志系统的设备。图6为本发明提供的账号共用的确定装置一实施例的结构示意图。如图6所示,本实施例提供的账号共用的确定装置60可以包括:获取模块601、分析模块602和处理模块603。
[0127] 获取模块601,用于获取待分析时间区间内的日志文件。
[0128] 分析模块602,用于根据日志文件,确定待分析时间区间内每次访问的有效信息,有效信息包括:访问的开始时间、访问的结束时间、访问的互联网协议IP地址、访问的账号。
[0129] 处理模块603,用于根据有效信息和预设的权限信息,确定存在共用行为的账号,预设的权限信息包括账号与账号的所有者之间的映射关系,及IP地址与IP地址的所有者之间的映射关系。
[0130] 本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
[0131] 可选的,处理模块603具体可以包括:第一确定模块、第二确定模块和第三确定模块。
[0132] 其中,第一确定模块,用于根据有效信息,确定使用多个IP地址的账号。
[0133] 第二确定模块,用于针对使用多个IP地址的每个账号,根据IP地址与IP地址的所有者之间的映射关系,确定账号使用的多个IP地址的所有者。
[0134] 第三确定模块,用于根据账号使用的多个IP地址的所有者,确定账号为第一类共用账号或第二类共用账号。第一类共用账号的共用行为概率小于第二类共用账号的共用行为概率。
[0135] 可选的,第三确定模块,具体可以用于,若账号使用的多个IP地址的所有者唯一,则根据账号与账号的所有者之间的映射关系,确定账号的所有者;若账号使用的多个IP地址的所有者与账号的所有者不同,则确定账号为第一类共用账号。
[0136] 可选的,第三确定模块还可以用于,若账号使用的多个IP地址的所有者与账号的所有者相同,则确定账号不存在共用行为。
[0137] 可选的,第三确定模块,具体可以用于,若账号使用的多个IP地址的所有者不唯一,则确定账号为第二类共用账号。
[0138] 可选的,第三确定模块,具体可以用于,若所述账号为第二类共用账号,则根据有效信息确定账号在各个IP地址的工作时间;若账号在各个IP地址的工作时间出现部分重叠,则确定该账号为第三类共用账号。
[0139] 可选的,根据有效信息确定账号在各个IP地址的工作时间,包括:
[0140] 将账号在待分析时间区间内的所有访问根据IP地址进行分类;
[0141] 针对每一类访问,根据访问的开始时间和访问的结束时间,进行时间维度的合并,确定账号在各个IP地址的工作时间。
[0142] 本发明实施例还提供一种电子设备,请参见图7所示,本发明实施例仅以图7为例进行说明,并不表示本发明仅限于此。图7为本发明提供的电子设备一实施例的结构示意图。如图7所示,本实施例提供的电子设备70包括:存储器701、处理器702和总线703。其中,总线703用于实现各元件之间的连接。
[0143] 存储器701中存储有计算机程序,计算机程序被处理器702执行时可以实现上述任一方法实施例的技术方案。
[0144] 其中,存储器701和处理器702之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可以通过一条或者多条通信总线或信号线实现电性连接,如可以通过总线703连接。存储器701中存储有实现账号共用的确定方法的计算机程序,包括至少一个可以软件或固件的形式存储于存储器701中的软件功能模块,处理器702通过运行存储在存储器701内的软件程序以及模块,从而执行各种功能应用以及数据处理。
[0145] 存储器701可以是,但不限于,随机存取存储器(Random AccessMemory,简称:RAM),只读存储器(Read Only Memory,简称:ROM),可编程只读存储器(Programmable Read-Only Memory,简称:PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,简称:EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,简称:EEPROM)等。其中,存储器701用于存储程序,处理器702在接收到执行指令后,执行程序。进一步地,上述存储器701内的软件程序以及模块还可包括操作系统,其可包括各种用于管理系统任务(例如内存管理、存储设备控制、电源管理等)的软件组件和/或驱动,并可与各种硬件或软件组件相互通信,从而提供其他软件组件的运行环境。
[0146] 处理器702可以是一种集成电路芯片,具有信号的处理能力。上述的处理器702可以是通用处理器,包括中央处理器(Central Processing Unit,简称:CPU)、网络处理器(Network Processor,简称:NP)等。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。可以理解,图7的结构仅为示意,还可以包括比图7中所示更多或者更少的组件,或者具有与图7所示不同的配置。图7中所示的各组件可以采用硬件和/或软件实现。
[0147] 本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时可以实现上述任一方法实施例提供的账号共用的确定方法。本实施例中的计算机可读存储介质可以是计算机能够存取的任何可用介质,或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备,可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如SSD)等。
[0148] 最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种汽车前身撞击自动外置气囊保护装置 | 2020-12-22 | 2 |
| 供能系统健康指数的计算方法及装置 | 2022-01-22 | 1 |
| 风险分析方法、装置、电子设计及计算机可读介质 | 2022-07-17 | 0 |
| 一种事件驱动策略的多智能体一致性控制方法 | 2022-06-20 | 0 |
| 一种大型城堡钢结构标准化施工方法 | 2020-07-13 | 0 |
| 燃煤中矸石对300MW等级循环流化床机组输煤系统及锅炉运行影响的分析方法 | 2021-01-31 | 1 |
| 支持银行业务的多链架构设计 | 2023-06-26 | 0 |
| 一种餐饮数据信息服务平台 | 2020-08-01 | 0 |
| 一种基于深度学习的车辆防碰撞预警方法及系统 | 2021-10-23 | 1 |
| 一种大数据分析平台 | 2023-02-01 | 0 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈