服务器访问风险监测方法及装置与流程

1.本技术涉及数据处理技术领域，特别涉及信息安全技术领域，具体涉及服务器访问风险监测方法及装置。


背景技术：

2.数据中心往往拥有大量的服务器，如何安全并高效的管理这些服务器便成为运维人员的必要工作。比较常见的解决方案就是搭建一套或多套堡垒机环境作为线上服务器的入口，所有服务器只能先通过堡垒机进行登陆再访问，同时堡垒机可以对用户访问权限进行管理，对用户高风险命令进行拦截，并记录所有的运维操作。
3.由于应急的需要，一般情况下不能封禁非堡垒机登陆的网络防火墙策略，因此可能存在非授权绕过堡垒机进行访问的行为，使堡垒机的安全控制失效，难以对用户操作进行追溯和审计，然而，当前并没有针对搭建有堡垒机环境的服务器系统进行堡垒机绕行行为监测的方式，因此极大的增加了服务器访问风险，无法保证服务器系统的运行安全性及稳定性。


技术实现要素：

4.针对现有技术中的问题，本技术提供一种服务器访问风险监测方法及装置，能够有效实现对绕行堡垒机行为的目标登陆数据记录的自动监测，并能够提高堡垒机绕行事件的检测效率及检测全面性，能够有效降低堡垒机绕行事件报警的误报率，提高堡垒机绕行事件的识别准确性及可靠性。
5.为解决上述技术问题，本技术提供以下技术方案：
6.第一方面，本技术提供一种服务器访问风险监测方法，包括：
7.根据预设的访问风险数据特征，在设有堡垒机的服务器系统当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录；
8.自所述目标登陆数据记录中确定存在关联关系的应用节点，并提取每两个关联的应用节点之间的新增访问数据；
9.基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据，若剔除误报数据后的所述目标登陆数据记录中还存在数据记录，则将该数据记录确定为服务器访问风险数据。
10.进一步地，在所述根据预设的访问风险数据特征，在设有堡垒机的服务器系统当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录之前，还包括：
11.实时或以预设的时间间隔周期性采集设有堡垒机的服务器系统的当前的新增日志组合，其中，所述新增日志组合中的数据类型包括：服务器系统日志、操作终端系统日志、堡垒机日志、变更申请单和配置管理应用节点信息和ad域控服务器日志；
12.对所述新增日志组合进行数据清洗及标准格式化处理，得到所述新增日志组合对
应的目标日志清单，其中，该目标日志清单用于存储各个所述数据类型和关键字段之间的对应关系。
13.进一步地，所述根据预设的访问风险数据特征，在设有堡垒机的服务器系统当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录，包括：
14.获取预存储的访问风险数据特征表，其中，该访问风险数据特征表用于存储服务器系统日志、特征字段、特征值和特征描述之间的对应关系；
15.将所述目标日志清单中数据类型为所述服务器系统日志所对应的关键字段与所述访问风险数据特征表进行匹配，识别得到所述服务器系统日志对应的关键字段中存在绕行堡垒机行为的初始登陆数据记录；
16.剔除所述初始登陆数据记录中已授权的访问数据，得到对应的存在绕行堡垒机行为的目标登陆数据记录。
17.进一步地，所述剔除所述初始登陆数据记录中已授权的访问数据，包括：
18.根据所述目标日志清单中数据类型为所述堡垒机日志所对应的关键字段，分别剔除所述初始登陆数据记录中未纳入堡垒机管理的设备对应的数据记录以及已审批通过的用户对应的数据记录；
19.以及，根据所述目标日志清单中数据类型为所述变更申请单所对应的关键字段，剔除所述初始登陆数据记录中已审批通过的变更登陆数据记录。
20.进一步地，所述自所述目标登陆数据记录中确定存在关联关系的应用节点，并提取每两个关联的应用节点之间的新增访问数据，包括：
21.根据所述目标日志清单中数据类型为所述配置管理应用节点信息对应的关键字段，确定所述目标登陆数据记录中存在关联关系的应用节点；
22.提取所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据。
23.进一步地，在所述基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据之前，还包括：
24.获取设有堡垒机的服务器系统的历史日志组合；
25.对所述历史日志组合进行数据清洗及标准格式化处理，得到所述历史日志组合对应的历史日志清单；
26.根据预设的访问风险数据特征，自所述历史日志清单中提取对应的存在绕行堡垒机行为的历史登陆数据记录；
27.自所述历史登陆数据记录中确定存在关联关系的应用节点，并提取每两个关联的应用节点之间的历史访问数据；
28.根据每两个关联的应用节点之间的历史访问数据，分别生成每两个关联的应用节点对应的时间序列图；
29.应用基于密度的聚类算法，分别确定各个所述时间序列图中的应用互访簇和噪声数据；
30.采用循环迭代参数变量法，分别根据各个所述时间序列图各自对应的应用互访簇和噪声数据，生成每两个关联的应用节点之间的聚类模型。
31.进一步地，所述基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的
应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据，包括：
32.应用所述目标登陆数据记录中的每两个关联的应用节点之间的聚类模型，分别对每两个关联的应用节点之间的新增访问数据进行标记，并剔除每两个关联的应用节点之间的应用互访簇；
33.若剔除所述应用互访簇后，所述目标登陆数据记录中还存在噪声数据，则将该噪声数据对应的数据记录确定为存在绕过堡垒机且登陆异常行为的服务器访问风险数据。
34.进一步地，还包括：
35.获取服务器访问风险数据对应的访问方式；
36.根据所述服务器访问风险数据对应的访问方式对所述服务器访问风险数据进行对应的风险告警和/或风险阻断处理。
37.进一步地，所述根据所述服务器访问风险数据对应的访问方式对所述服务器访问风险数据进行对应的风险告警和/或风险阻断处理，包括：
38.若所述服务器访问风险数据对应的访问方式为终端直接访问，则根据所述服务器访问风险数据对应的用户终端数据，自预设的索引表中查找早于所述服务器访问风险数据对应的登陆时间的最近一次用户登陆记录，以定位到所述服务器访问风险数据的操作用户的用户标识及用户终端标识；
39.其中，所述索引表预先基于所述新增日志组合中的ad域控服务器日志中的终端用户登陆日志生成；
40.基于预设的接口标准报警事件格式生成所述服务器访问风险数据对应的告警事件，将所述告警事件发生至预设的监控平台上显示和/或控制对应的告警设备发出针对所述告警事件的声光告警提示；
41.获取所述服务器访问风险数据对应的目标服务器，并基于所述堡垒机向所述目标服务器发送阻断指令，以使所述目标服务器阻断所述服务器访问风险数据对应的绕行登陆事件。
42.进一步地，所述根据所述服务器访问风险数据对应的访问方式选取对应的访问风险控制方式，以基于该访问风险控制方式对所述服务器访问风险数据进行风险告警和/或风险阻断处理，包括：
43.若所述服务器访问风险数据对应的访问方式为服务器跳转访问，则基于预设的接口标准报警事件格式生成所述服务器访问风险数据对应的告警事件，将所述告警事件发生至预设的监控平台上显示和/或控制对应的告警设备发出针对所述告警事件的声光告警提示；
44.获取所述服务器访问风险数据对应的目标服务器，并基于所述堡垒机向所述目标服务器发送阻断指令，以使所述目标服务器阻断所述服务器访问风险数据对应的绕行登陆事件。
45.第二方面，本技术提供一种服务器访问风险监测装置，包括：
46.数据监测模块，用于根据预设的访问风险数据特征，在设有堡垒机的服务器系统当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录；
47.应用关联模块，用于自所述目标登陆数据记录中确定存在关联关系的应用节点，
并提取每两个关联的应用节点之间的新增访问数据；
48.风险确认模块，用于基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据，若剔除误报数据后的所述目标登陆数据记录中还存在数据记录，则将该数据记录确定为服务器访问风险数据。
49.第三方面，本技术提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现所述的服务器访问风险监测方法。
50.第四方面，本技术提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现所述的服务器访问风险监测方法。
51.由上述技术方案可知，本技术提供的一种服务器访问风险监测方法及装置，方法包括：根据预设的访问风险数据特征，在设有堡垒机的服务器系统当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录；自所述目标登陆数据记录中确定存在关联关系的应用节点，并提取每两个关联的应用节点之间的新增访问数据；基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据，若剔除误报数据后的所述目标登陆数据记录中还存在数据记录，则将该数据记录确定为服务器访问风险数据，通过根据预设的访问风险数据特征，在设有堡垒机的服务器系统当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录，能够有效实现对绕行堡垒机行为的目标登陆数据记录的自动监测，并能够提高堡垒机绕行事件的检测效率及检测全面性，以及时发现运维违规操作或安全入侵事件；通过自所述目标登陆数据记录中确定存在关联关系的应用节点，并提取每两个关联的应用节点之间的新增访问数据，并基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据，若剔除误报数据后的所述目标登陆数据记录中还存在数据记录，则将该数据记录确定为服务器访问风险数据，能够实现对绕行堡垒机行为的目标登陆数据记录进行自动识别的基础上，还能够有效降低堡垒机绕行事件报警的误报率，能够有效提高堡垒机绕行事件的识别准确性及可靠性，进而能够有效提高搭建有堡垒机环境的服务器系统的运行安全性及稳定性，同时能够大幅度减少人工审计成本，有效提升服务器系统所属企业的信息安全管理能力，提高企业及运维人员的用户体验。
附图说明
52.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
53.图1是本技术实施例中的服务器访问风险监测装置分别与服务器系统、监控平台、告警设备和客户端设备之间的关系示意图。
54.图2是本技术实施例中的服务器访问风险监测方法的第一种流程示意图。
55.图3是本技术实施例中的服务器访问风险监测方法的第二种流程示意图。
56.图4是本技术实施例中的服务器访问风险监测方法的第三种流程示意图。
57.图5是本技术实施例中的服务器访问风险监测方法的第四种流程示意图。
58.图6是本技术实施例中的服务器访问风险监测方法的第五种流程示意图。
59.图7是本技术实施例中的时间序列图的举例示意图。
60.图8是本技术实施例中的服务器访问风险监测方法的第六种流程示意图。
61.图9是本技术实施例中的服务器访问风险监测方法的第七种流程示意图。
62.图10是本技术实施例中的服务器访问风险监测方法的第八种流程示意图。
63.图11是本技术实施例中的服务器访问风险监测方法的第九种流程示意图。
64.图12是本技术实施例中的服务器访问风险监测装置的结构示意图。
65.图13是本技术应用实例提供的应用快速发现堡垒机绕行事件的监测系统的结构示意图。
66.图14是本技术应用实例提供的数据分析模块的内部结构示意图。
67.图15是本技术应用实例提供的应用快速发现堡垒机绕行事件的监测系统实现的服务器访问风险监测方法的流程示意图。
68.图16是本技术实施例中的电子设备的结构示意图。
具体实施方式
69.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
70.需要说明的是，本技术公开的服务器访问风险监测方法和装置可用于信息安全技术领域，也可用于除信息安全技术领域之外的任意领域，本技术公开的服务器访问风险监测方法和装置的应用领域不做限定。
71.针对当前尚未有专门针对搭建有堡垒机环境的服务器系统进行堡垒机绕行行为监测的有利方式，因此存在堡垒机的安全控制失效，难以对用户操作进行追溯和审计，以及无法保证服务器系统的运行安全性及稳定性等问题，本技术实施例提供一种服务器访问风险监测方法，通过根据预设的访问风险数据特征，在设有堡垒机的服务器系统当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录，能够有效实现对绕行堡垒机行为的目标登陆数据记录的自动监测，并能够提高堡垒机绕行事件的检测效率及检测全面性，以及时发现运维违规操作或安全入侵事件；通过自所述目标登陆数据记录中确定存在关联关系的应用节点，并提取每两个关联的应用节点之间的新增访问数据，并基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据，若剔除误报数据后的所述目标登陆数据记录中还存在数据记录，则将该数据记录确定为服务器访问风险数据，能够实现对绕行堡垒机行为的目标登陆数据记录进行自动识别的基础上，还能够有效降低堡垒机绕行事件报警的误报率，能够有效提高堡垒机绕行事件的识别准确性及可靠性，进而能够有效提高搭建有堡垒机环境的服务器系统的运行安全性及稳定性，同时能够大幅度减少人工审计成本，有效提升服务器系统所属企业的信息安全管理能力，提高企业及运维人员的用户体验。
72.基于上述内容，本技术还提供一种用于实现本技术一个或多个实施例中提供的服务器访问风险监测方法的服务器访问风险监测装置，该服务器访问风险监测装置可以为一独立的服务器，也可以为服务器系统中的一功能模块，参见图1，该服务器访问风险监测装置可以自行或通过第三方服务器等分别与设有至少一个堡垒机的服务器系统、监控平台、告警设备和各个客户端设备之间通信连接，服务器访问风险监测装置可以接收客户端设备发送的服务器访问风险监测开启指令，并根据该服务器访问风险监测开启指令实时或周期性采集设有堡垒机的服务器系统的当前的新增日志组合，而后根据预设的访问风险数据特征，在设有堡垒机的服务器系统当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录；自所述目标登陆数据记录中确定存在关联关系的应用节点，并提取每两个关联的应用节点之间的新增访问数据；基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据，若剔除误报数据后的所述目标登陆数据记录中还存在数据记录，则将该数据记录确定为服务器访问风险数据，而后，服务器访问风险监测装置可以将告警事件发生至预设的监控平台上显示和/或控制对应的告警设备发出针对所述告警事件的声光告警提示，和/或，基于所述堡垒机向所述目标服务器发送阻断指令，以使所述目标服务器阻断所述服务器访问风险数据对应的绕行登陆事件。
73.在另一种实际应用情形中，前述的服务器访问风险监测装置进行服务器访问风险监测的部分可以在如上述内容的服务器中执行，也可以所有的操作都在所述用户端设备中完成。具体可以根据所述用户端设备的处理能力，以及用户使用场景的限制等进行选择。本技术对此不作限定。若所有的操作都在所述用户端设备中完成，所述用户端设备还可以包括处理器，用于服务器访问风险监测的具体处理。
74.可以理解的是，所述移动终端可以包括智能手机、平板电子设备、网络机顶盒、便携式计算机、个人数字助理(pda)、车载设备、智能穿戴设备等任何能够装载应用的移动设备。其中，所述智能穿戴设备可以包括智能眼镜、智能手表、智能手环等。
75.上述的移动终端可以具有通信模块(即通信单元)，可以与远程的服务器进行通信连接，实现与所述服务器的数据传输。所述服务器可以包括任务调度中心一侧的服务器，其他的实施场景中也可以包括中间平台的服务器，例如与任务调度中心服务器有通信链接的第三方服务器平台的服务器。所述的服务器可以包括单台计算机设备，也可以包括多个服务器组成的服务器集群，或者分布式装置的服务器结构。
76.上述服务器与所述移动终端之间可以使用任何合适的网络协议进行通信，包括在本技术提交日尚未开发出的网络协议。所述网络协议例如可以包括tcp/ip协议、udp/ip协议、http协议、https协议等。当然，所述网络协议例如还可以包括在上述协议之上使用的rpc协议(remote procedure call protocol，远程过程调用协议)、rest协议(representational state transfer，表述性状态转移协议)等。
77.具体通过下述各个实施例及应用实例分别进行详细说明。
78.为了解决当前尚未有专门针对搭建有堡垒机环境的服务器系统进行堡垒机绕行行为监测的有利方式，因此存在堡垒机的安全控制失效，难以对用户操作进行追溯和审计，以及无法保证服务器系统的运行安全性及稳定性等问题，本技术提供一种服务器访问风险监测方法的实施例，参见图2，基于服务器访问风险监测装置执行的所述服务器访问风险监
测方法具体包含有如下内容：
79.步骤100：根据预设的访问风险数据特征，在设有堡垒机的服务器系统当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录。
80.可以理解的是，访问风险数据特征可以为预先人为设置并存储至所述服务器访问风险监测装置本地或该服务器访问风险监测装置可访问的数据库中，访问风险数据特征也可以为所述服务器访问风险监测装置预先自服务器访问风险历史记录中获取的各类服务器访问风险数据对应的特征，并将这些特征同一存储在访问风险数据特征表中等。
81.步骤200：自所述目标登陆数据记录中确定存在关联关系的应用节点，并提取每两个关联的应用节点之间的新增访问数据。
82.可以理解的是，由于目前企业中云环境部署较为普遍，应用系统的同一类服务器可能有多台，部署有同样的程序模块，行为也一致，因此应将同一应用节点信息作为一类处理。正常情况下，两个应用节点之间会按照基本固定的时间间隔进行互访，如批处理作业、应用监控等。
83.步骤300：基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据，若剔除误报数据后的所述目标登陆数据记录中还存在数据记录，则将该数据记录确定为服务器访问风险数据。
84.从上述描述可知，本技术实施例提供的服务器访问风险监测方法，通过根据预设的访问风险数据特征，在设有堡垒机的服务器系统当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录，能够有效实现对绕行堡垒机行为的目标登陆数据记录的自动监测，并能够提高堡垒机绕行事件的检测效率及检测全面性，以及时发现运维违规操作或安全入侵事件；通过自所述目标登陆数据记录中确定存在关联关系的应用节点，并提取每两个关联的应用节点之间的新增访问数据，并基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据，若剔除误报数据后的所述目标登陆数据记录中还存在数据记录，则将该数据记录确定为服务器访问风险数据，能够实现对绕行堡垒机行为的目标登陆数据记录进行自动识别的基础上，还能够有效降低堡垒机绕行事件报警的误报率，能够有效提高堡垒机绕行事件的识别准确性及可靠性，进而能够有效提高搭建有堡垒机环境的服务器系统的运行安全性及稳定性，同时能够大幅度减少人工审计成本，有效提升服务器系统所属企业的信息安全管理能力，提高企业及运维人员的用户体验。
85.为了进一步提高获取目标登陆数据记录的准确性及全面性，在本技术提供的服务器访问风险监测方法的一个实施例，参见图3，所述服务器访问风险监测方法的步骤100之前具体包含有如下内容：
86.步骤010：实时或以预设的时间间隔周期性采集设有堡垒机的服务器系统的当前的新增日志组合，其中，所述新增日志组合中的数据类型包括：服务器系统日志、操作终端系统日志、堡垒机日志、变更申请单和配置管理应用节点信息和ad域控服务器日志。
87.具体来说，服务器访问风险监测装置可以从服务器系统的内网服务器、堡垒机、操作终端、ad域控服务器、变更单系统、配置管理系统中收集分析所需的各类日志和数据，同时进行数据预处理并建立数据索引。
88.其中的新增日志组合中的数据类型包括：对服务器系统日志(包括unix、linux操作系统syslog日志、windows操作系统日志)、堡垒机日志、操作终端系统日志(windows操作系统日志)、ad域控服务器日志(windows操作系统日志)、变更申请单信息和配置管理应用节点信息。
89.步骤020：对所述新增日志组合进行数据清洗及标准格式化处理，得到所述新增日志组合对应的目标日志清单，其中，该目标日志清单用于存储各个所述数据类型和关键字段之间的对应关系。
90.其中，堡垒机日志可以包含有堡垒机设备管理数据和堡垒机用户申请记录。
91.预处理后的日志清单中的内容格式如表1所示：
92.表1
‑
预处理后的日志清单
[0093][0094]
从上述描述可知，本技术实施例提供的服务器访问风险监测方法，通过预先采集服务器系统的当前的新增日志组合并进行预处理，能够为后续获取存在绕行堡垒机行为的目标登陆数据记录提供准确且全面的数据基础，进而能够进一步提高获取目标登陆数据记录的准确性及全面性，以进一步提高堡垒机绕行事件的检测全面性，进而能够有效发现运维违规操作或安全入侵事件。
[0095]
为了进一步提高获取存在绕行堡垒机行为的目标登陆数据记录的效率性及可靠性，在本技术提供的服务器访问风险监测方法的一个实施例，参见图4，所述服务器访问风险监测方法的步骤100具体包含有如下内容：
[0096]
步骤110：获取预存储的访问风险数据特征表，其中，该访问风险数据特征表用于存储服务器系统日志、特征字段、特征值和特征描述之间的对应关系。
[0097]
其中，预设的风险数据特征表的举例参见表2：
[0098]
表2
‑
风险数据特征表
[0099][0100][0101]
步骤120：将所述目标日志清单中数据类型为所述服务器系统日志所对应的关键字段与所述访问风险数据特征表进行匹配，识别得到所述服务器系统日志对应的关键字段中存在绕行堡垒机行为的初始登陆数据记录。
[0102]
步骤130：剔除所述初始登陆数据记录中已授权的访问数据，得到对应的存在绕行堡垒机行为的目标登陆数据记录。
[0103]
从上述描述可知，通过将所述目标日志清单中数据类型为所述服务器系统日志所对应的关键字段与所述访问风险数据特征表进行匹配，并剔除已授权的访问数据，能够进一步提高获取存在绕行堡垒机行为的目标登陆数据记录的效率性及可靠性，以进一步提高堡垒机绕行事件的检测效率及可靠性，进而能够及时发现运维违规操作或安全入侵事件。
[0104]
为了提高剔除已授权的访问数据的准确性及效率，在本技术提供的服务器访问风险监测方法的一个实施例，参见图5，所述服务器访问风险监测方法的步骤130具体包含有如下内容：
[0105]
步骤131：根据所述目标日志清单中数据类型为所述堡垒机日志所对应的关键字段，分别剔除所述初始登陆数据记录中未纳入堡垒机管理的设备对应的数据记录以及已审批通过的用户对应的数据记录。
[0106]
步骤132：根据所述目标日志清单中数据类型为所述变更申请单所对应的关键字段，剔除所述初始登陆数据记录中已审批通过的变更登陆数据记录。
[0107]
具体来说，堡垒机日志、变更申请单信息作为比对样本，剔除掉已授权的访问数据的基本逻辑如下：
[0108]
1)通过和堡垒机设备管理数据中的ip或主机名比较，剔除未纳入堡垒机管理的设备登陆数据。
[0109]
2)与堡垒机中的用户申请记录中的账号名称、ip或主机名进行比对，剔除已审批通过的用户登陆数据。
[0110]
3)与变更申请单中变更方案中变更开始、结束时间、ip或主机名进行比对，剔除已审批通过的变更登陆数据。
[0111]
从上述描述可知，本技术实施例提供的服务器访问风险监测方法，通过应用堡垒机日志及变更申请单剔除所述初始登陆数据记录中已授权的访问数据，能够有效提高剔除已授权的访问数据的准确性及效率，进而能够进一步提高堡垒机绕行事件的检测效率及准确性，进而能够及时且准确地发现运维违规操作或安全入侵事件。
[0112]
为了提高确定所述目标登陆数据记录中存在关联关系的应用节点的准确性及效率，在本技术提供的服务器访问风险监测方法的一个实施例，参见图6，所述服务器访问风险监测方法的步骤200具体包含有如下内容：
[0113]
步骤210：根据所述目标日志清单中数据类型为所述配置管理应用节点信息对应的关键字段，确定所述目标登陆数据记录中存在关联关系的应用节点。
[0114]
步骤220：提取所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据。
[0115]
具体来说，访问数据通过ip信息在配置管理系统关联出应用节点信息。目前企业中云环境部署较为普遍，应用系统的同一类服务器可能有多台，部署有同样的程序模块，行为也一致，因此应将同一应用节点信息作为一类处理。
[0116]
选取两个应用节点之间历史访问记录，利用python中pandas(处理数据)、matplotlib(绘图)、plot_date(时间序列图)库生成特征图。
[0117]
正常情况下，两个应用节点之间会按照基本固定的时间间隔进行互访，如批处理作业、应用监控等，因此使用历史数据可以建立如图7所示的时间序列图。
[0118]
其中，图7中的点代表第n行访问记录的时间t
n
，与第(n
‑
1)行访问记录的时间t
n
‑1之差。
[0119]
从上述描述可知，本技术实施例提供的服务器访问风险监测方法，通过应用配置管理应用节点信息确定所述目标登陆数据记录中存在关联关系的应用节点，能够有效提高确定所述目标登陆数据记录中存在关联关系的应用节点的准确性及效率，进而能够进一步提高堡垒机绕行事件的检测效率及准确性，进而能够及时且准确地发现运维违规操作或安全入侵事件。
[0120]
为了提高后续对每两个关联的应用节点之间的新增访问数据进行聚类的自动化程度及智能化程度，在本技术提供的服务器访问风险监测方法的一个实施例，所述服务器访问风险监测方法中的步骤300之前还具体包含有如下内容：
[0121]
步骤001：获取设有堡垒机的服务器系统的历史日志组合。
[0122]
步骤002：对所述历史日志组合进行数据清洗及标准格式化处理，得到所述历史日志组合对应的历史日志清单。
[0123]
步骤003：根据预设的访问风险数据特征，自所述历史日志清单中提取对应的存在绕行堡垒机行为的历史登陆数据记录。
[0124]
步骤004：自所述历史登陆数据记录中确定存在关联关系的应用节点，并提取每两个关联的应用节点之间的历史访问数据。
[0125]
步骤005：根据每两个关联的应用节点之间的历史访问数据，分别生成每两个关联的应用节点对应的时间序列图。
[0126]
在步骤001至步骤005中，历史数据与前述步骤100至200等中的目标数据处理的方式相同，区别仅是将实时获取的目标数据换成历史数据，例如，历史日志清单与目标日志清
单存储的数据类型及格式等完全相同，仅为数据内容不同。
[0127]
步骤006：应用基于密度的聚类算法，分别确定各个所述时间序列图中的应用互访簇和噪声数据。
[0128]
在步骤006中，可以利用基于密度的聚类算法(dbscan)，在图7所示的时间序列图中找出正常的应用互访的簇。首先根据审计经验确定对象的邻域半径r和邻域最小对象数目minpts的组合范围(r{m,n}，minpts{p,q})，从一个未被扫描过的任意数据点p开始，以此点为中心，rm为半径的圆内包含的点的数量是否大于或等于minpts
p
，如果大于或等于minpts
p
则此点被标记核心对象centralpts，将这个邻域内的所有点都标记为同一簇，如果p不是一个centralpts，没有其他对象从p密度可达，则被标记为噪音noisepts。重复以上内容，直到所有的点都被扫描一遍，最后密度相连的对象被标记到同一簇中，即为应用之间正常访问记录，不包含在任何簇中的对象为噪声。
[0129]
步骤007：采用循环迭代参数变量法，分别根据各个所述时间序列图各自对应的应用互访簇和噪声数据，生成每两个关联的应用节点之间的聚类模型。
[0130]
在步骤007中，可以采用循环迭代参数变量法在组合范围(r{m,n}，minpts{p,q})中选取出最优参数组合(r'，minpts')，使得轮廓系数最大，且噪声比(噪声数量/所有对象数目)最小，使用最优参数组合标记的结果为这两个应用节点之间的聚类模型。针对每两个应用节点之间历史访问记录，利用dbscan算法，重复上述内容，训练出每两个应用节点之间的聚类模型。
[0131]
从上述描述可知，本技术实施例提供的服务器访问风险监测方法，通过根据每两个关联的应用节点之间的历史访问数据，分别生成每两个关联的应用节点对应的时间序列图；应用基于密度的聚类算法，分别确定各个所述时间序列图中的应用互访簇和噪声数据；采用循环迭代参数变量法，分别根据各个所述时间序列图各自对应的应用互访簇和噪声数据，生成每两个关联的应用节点之间的聚类模型，能够预先训练得到聚类模型，进而能够有效提高后续对每两个关联的应用节点之间的新增访问数据进行聚类的自动化程度及智能化程度，且能够进一步提高堡垒机绕行事件的智能化程度及准确性。
[0132]
为了提高剔除所述目标登陆数据记录中的误报数据的自动化程度及智能化程度，在本技术提供的服务器访问风险监测方法的一个实施例，参见图8，所述服务器访问风险监测方法中的步骤300具体包含有如下内容：
[0133]
步骤310：应用所述目标登陆数据记录中的每两个关联的应用节点之间的聚类模型，分别对每两个关联的应用节点之间的新增访问数据进行标记，并剔除每两个关联的应用节点之间的应用互访簇。
[0134]
步骤320：若剔除所述应用互访簇后，所述目标登陆数据记录中还存在噪声数据，则将该噪声数据对应的数据记录确定为存在绕过堡垒机且登陆异常行为的服务器访问风险数据。
[0135]
具体来说，可以使用已训练的模型对新数据进行标记。对每两个应用节点之间新的访问记录进行标记，剔除掉正常访问的簇，找到标记为噪声的点，其代表的第n行访问记录即为绕过堡垒机登陆异常行为。
[0136]
从上述描述可知，本技术实施例提供的服务器访问风险监测方法，通过应用聚类
模型对每两个关联的应用节点之间的新增访问数据进行聚类，能够有效提高剔除所述目标登陆数据记录中的误报数据的自动化程度及智能化程度，且能够进一步提高堡垒机绕行事件的智能化程度及准确性。
[0137]
为了提高用户获知访问风险的效率及可靠性，并能够及时对访问风险进行风险控制，在本技术提供的服务器访问风险监测方法的一个实施例，参见图9，所述服务器访问风险监测方法中的步骤300之后还具体包含有如下内容：
[0138]
步骤400：获取服务器访问风险数据对应的访问方式。
[0139]
步骤500：根据所述服务器访问风险数据对应的访问方式对所述服务器访问风险数据进行对应的风险告警和/或风险阻断处理。
[0140]
具体来说，可以针对通过运维终端直接访问服务器绕行事件，可以自动定位到运维终端及使用人员信息并生成告警信息发送至监控平台，同时中断堡垒机绕行登陆进程，并可以针对通过服务器跳转一次或多次的绕行事件，直接生成告警信息发送至监控平台，同时中断堡垒机绕行登陆进程。
[0141]
从上述描述可知，本技术实施例提供的服务器访问风险监测方法，通过在将数据记录确定为服务器访问风险数据之后，对该服务器访问风险数据进行风险控制，能够有效提高用户获知访问风险的效率及可靠性，并能够及时对访问风险进行风险控制，以进一步提高搭建有堡垒机环境的服务器系统的运行安全性及稳定性，同时能够大幅度减少人工审计成本，有效提升服务器系统所属企业的信息安全管理能力，提高企业及运维人员的用户体验。
[0142]
为了能够进一步提高用户获知访问风险的效率及可靠性，在本技术提供的服务器访问风险监测方法的一个实施例，参见图10，所述服务器访问风险监测方法中的步骤500的一种实现方式具体包含有如下内容：
[0143]
步骤510：若所述服务器访问风险数据对应的访问方式为终端直接访问，则根据所述服务器访问风险数据对应的用户终端数据，自预设的索引表中查找早于所述服务器访问风险数据对应的登陆时间的最近一次用户登陆记录，以定位到所述服务器访问风险数据的操作用户的用户标识及用户终端标识；其中，所述索引表预先基于所述新增日志组合中的活动目录ad域(active directory web)控服务器日志中的终端用户登陆日志生成。
[0144]
步骤520：基于预设的接口标准报警事件格式生成所述服务器访问风险数据对应的告警事件，将所述告警事件发生至预设的监控平台上显示和/或控制对应的告警设备发出针对所述告警事件的声光告警提示。
[0145]
步骤530：获取所述服务器访问风险数据对应的目标服务器，并基于所述堡垒机向所述目标服务器发送阻断指令，以使所述目标服务器阻断所述服务器访问风险数据对应的绕行登陆事件。
[0146]
从上述描述可知，本技术实施例提供的服务器访问风险监测方法，通过对终端直接访问方式对应的服务器访问风险数据进行风险控制，能够进一步提高用户获知访问风险的效率及可靠性，并能够及时对访问风险进行风险控制，以进一步提高搭建有堡垒机环境的服务器系统的运行安全性及稳定性，同时能够大幅度减少人工审计成本，有效提升服务器系统所属企业的信息安全管理能力，提高企业及运维人员的用户体验。
[0147]
为了能够进一步提高用户获知访问风险的效率及可靠性，在本技术提供的服务器
访问风险监测方法的一个实施例，参见图11，所述服务器访问风险监测方法中的步骤500的另一种实现方式具体包含有如下内容：
[0148]
步骤540：若所述服务器访问风险数据对应的访问方式为服务器跳转访问，则基于预设的接口标准报警事件格式生成所述服务器访问风险数据对应的告警事件，将所述告警事件发生至预设的监控平台上显示和/或控制对应的告警设备发出针对所述告警事件的声光告警提示。
[0149]
步骤550：获取所述服务器访问风险数据对应的目标服务器，并基于所述堡垒机向所述目标服务器发送阻断指令，以使所述目标服务器阻断所述服务器访问风险数据对应的绕行登陆事件。
[0150]
从上述描述可知，本技术实施例提供的服务器访问风险监测方法，通过对服务器跳转访问方式对应的服务器访问风险数据进行风险控制，能够进一步提高用户获知访问风险的效率及可靠性，并能够及时对访问风险进行风险控制，以进一步提高搭建有堡垒机环境的服务器系统的运行安全性及稳定性，同时能够大幅度减少人工审计成本，有效提升服务器系统所属企业的信息安全管理能力，提高企业及运维人员的用户体验。
[0151]
从软件层面来说，为了解决当前尚未有专门针对搭建有堡垒机环境的服务器系统进行堡垒机绕行行为监测的有利方式，因此存在堡垒机的安全控制失效，难以对用户操作进行追溯和审计，以及无法保证服务器系统的运行安全性及稳定性等问题，本技术提供一种用于执行所述服务器访问风险监测方法中全部或部分内容的服务器访问风险监测装置的实施例，参见图12，所述服务器访问风险监测装置具体包含有如下内容：
[0152]
数据监测模块10，用于根据预设的访问风险数据特征，在设有堡垒机的服务器系统当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录。
[0153]
应用关联模块20，用于自所述目标登陆数据记录中确定存在关联关系的应用节点，并提取每两个关联的应用节点之间的新增访问数据。
[0154]
风险确认模块30，用于基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据，若剔除误报数据后的所述目标登陆数据记录中还存在数据记录，则将该数据记录确定为服务器访问风险数据。
[0155]
本技术提供的服务器访问风险监测装置的实施例具体可以用于执行上述实施例中的服务器访问风险监测方法的实施例的处理流程，其功能在此不再赘述，可以参照上述方法实施例的详细描述。
[0156]
从上述描述可知，本技术实施例提供的服务器访问风险监测装置，通过根据预设的访问风险数据特征，在设有堡垒机的服务器系统当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录，能够有效实现对绕行堡垒机行为的目标登陆数据记录的自动监测，并能够提高堡垒机绕行事件的检测效率及检测全面性，以及时发现运维违规操作或安全入侵事件；通过自所述目标登陆数据记录中确定存在关联关系的应用节点，并提取每两个关联的应用节点之间的新增访问数据，并基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据，若剔除误报数据后的所述目标登陆数据记录中还存在数据记录，则将该数据记录确定为服务器访问风险数据，能够实现对绕行堡垒机行为的目标登陆数据记录
进行自动识别的基础上，还能够有效降低堡垒机绕行事件报警的误报率，能够有效提高堡垒机绕行事件的识别准确性及可靠性，进而能够有效提高搭建有堡垒机环境的服务器系统的运行安全性及稳定性，同时能够大幅度减少人工审计成本，有效提升服务器系统所属企业的信息安全管理能力，提高企业及运维人员的用户体验。
[0157]
为了进一步说明本方案，本技术应用实例提供一种应用快速发现堡垒机绕行事件的监测系统实现的服务器访问风险监测方法，涉及信息技术与信息安全领域，旨在利用收集的服务器日志信息判断是否发生堡垒机绕行事件，并通过堡垒机数据、终端日志、变更单、应用配置等信息提升运维违规操作或安全入侵事件监测的准确性，以及发生事件后定位问题的时效性。
[0158]
服务器访问风险监测方法利用收集的服务器日志，通过对日志信息进行处理、分析，高效检测出堡垒机绕行事件，及时发现运维违规操作或安全入侵事件，同时降低事件报警的误报率，大幅度减少人工审计成本，有效提升企业信息安全管理能力。
[0159]
运用特征匹配法和聚类算法，通过从企业内网采集服务器、堡垒机、终端日志和变更单、应用配置等信息，为发现是否存在非授权绕过堡垒机访问线上服务器提供分析基础，并通过自动化装置实现高效的监测、报警和处置，为检查运维违规操作或安全入侵事件提供了统一的监测及审计工具。
[0160]
其中，参见图13，快速发现堡垒机绕行事件的监测系统具体包含有如下内容：
[0161]
数据采集模块1、数据分析模块2、风险处置模块3这三个部分组成。数据采集模块1的主要功能是从内网服务器、堡垒机、操作终端、ad域控服务器、变更单系统、配置管理系统中收集分析所需的各类日志和数据，同时进行数据预处理并建立数据索引。数据分析模块2的主要功能是根据输入的标准化数据，进行特征匹配，发现是否有堡垒机绕行行为，同时利用聚类算法，剔除误报数据，进一步提高监测准确性。风险处置模块3的主要功能是在ad域服务器日志中定位到运维终端及使用人员信息，生成告警信息输出至集中监控系统，同时阻断风险事件。
[0162]
1、数据采集模块
[0163]
数据采集模块主要实现对各类数据的采集及格式化处理。
[0164]
(1)数据采集单元11：负责对服务器系统日志(包括unix、linux操作系统syslog日志、windows操作系统日志)、堡垒机日志、操作终端系统日志(windows操作系统日志)、ad域控服务器日志(windows操作系统日志)、变更申请单信息、配置管理应用节点信息的数据采集。
[0165]
(2)数据预处理单元12：负责对各渠道采集到的数据信息进行清洗和标准化处理，保留后续分析使用的关键字段。预处理后的日志清单中的内容格式如表1所示。
[0166]
数据索引单元13：ad域控服务器日志，使用sql语句查询出终端用户登陆日志生成索引表，在后续模块中提高查询定位速度。
[0167]
2、数据分析模块
[0168]
数据分析模块2负责根据特征匹配识别出堡垒机绕行记录，并自动剔除掉误报情况。参见图14，数据分析模块2，包括：
[0169]
(1)特征匹配单元21：将预处理后的服务器系统日志与预设的风险数据特征表(如表2)进行匹配初步识别出成功的绕行事件。
[0170]
(2)授权数据处理单元22：将特征匹配单元21数据作为待分析样本，堡垒机日志、变更申请单信息作为比对样本，剔除掉已授权的访问数据。基本逻辑是：
[0171]
a.通过和堡垒机设备管理数据中的ip或主机名比较，剔除未纳入堡垒机管理的设备登陆数据。
[0172]
b.与堡垒机中的用户申请记录中的账号名称、ip或主机名进行比对，剔除已审批通过的用户登陆数据。
[0173]
c.与变更申请单中变更方案中变更开始、结束时间、ip或主机名进行比对，剔除已审批通过的变更登陆数据。
[0174]
应用互访数据处理单元23：负责对授权数据处理单元22的输出数据进行误报识别，利用聚类算法实现自动化识别模型，剔除应用正常互访记录，提高识别准确率。
[0175]
访问数据通过ip信息在配置管理系统关联出应用节点信息。目前企业中云环境部署较为普遍，应用系统的同一类服务器可能有多台，部署有同样的程序模块，行为也一致，因此应将同一应用节点信息作为一类处理。
[0176]
选取两个应用节点之间历史访问记录，利用python中pandas(处理数据)、matplotlib(绘图)、plot_date(时间序列图)库生成特征图。
[0177]
正常情况下，两个应用节点之间会按照基本固定的时间间隔进行互访，如批处理作业、应用监控等，因此使用历史数据可以建立时间序列图(图7示例)，图7中的点代表第n行访问记录的时间t
n
，与第(n
‑
1)行访问记录的时间t
n
‑1之差。
[0178]
利用基于密度的聚类算法(dbscan)，在图7中找出正常的应用互访的簇。首先根据审计经验确定对象的邻域半径r和邻域最小对象数目minpts的组合范围(r{m,n}，minpts{p,q})，从一个未被扫描过的任意数据点p开始，以此点为中心，r
m
为半径的圆内包含的点的数量是否大于或等于minpts
p
，如果大于或等于minpts
p
则此点被标记核心对象centralpts，将这个邻域内的所有点都标记为同一簇，如果p不是一个centralpts，没有其他对象从p密度可达,则被标记为噪音noisepts。重复以上内容，直到所有的点都被扫描一遍，最后密度相连的对象被标记到同一簇中,即为应用之间正常访问记录，不包含在任何簇中的对象为噪声。
[0179]
采用循环迭代参数变量法在组合范围(r{m,n}，minpts{p,q})中选取出最优参数组合(r'，minpts')，使得轮廓系数最大，且噪声比(噪声数量/所有对象数目)最小，使用最优参数组合标记的结果为这两个应用节点之间的聚类模型。
[0180]
针对每两个应用节点之间历史访问记录，利用dbscan算法，重复上述c和d项内容，训练出每两个应用节点之间的聚类模型。
[0181]
使用已训练的模型对新数据进行标记。对每两个应用节点之间新的访问记录进行标记，剔除掉正常访问的簇，找到标记为噪声的点，其代表的第n行访问记录即为绕过堡垒机登陆异常行为。其中，处理前数据示例参见表3，处理后数据示例参见表4。
[0182]
表3
‑
处理前数据示例
[0183][0184]
表4
‑
处理后数据示例
[0185][0186][0187]
3、风险处置模块
[0188]
风险处置模块3负责对数据分析模块2最终输出的堡垒机绕行事件进行风险处置，具体分为两种情况：
[0189]
第一，针对通过运维终端直接访问服务器绕行事件，可以自动定位到运维终端及使用人员信息并生成告警信息发送至监控平台，同时中断堡垒机绕行登陆进程，即执行下述处置策略(1)(2)(3)。
[0190]
第二，针对通过服务器跳转一次或多次的绕行事件，直接生成告警信息发送至监控平台，同时中断堡垒机绕行登陆进程，即执行下述处置策略(2)(3)。
[0191]
处置策略具体包含有如下内容：
[0192]
(1)自动定位单元31：将堡垒机绕行事件中涉及源地址、主机名及登陆时间，在数据索引单元13生成的索引表(ad域控服务器)中匹配到早于登陆时间的最近一次ad用户登陆记录，从而定位到操作人员的ad用户名及操作终端的主机名。下面定位日志示例中，参见表5；ad用户名为dccj
‑
shir，主机名为pdccjfpgasvr031。
[0193]
表5
‑
定位日志
[0194][0195]
(2)监控报警单元32：按照开放平台集中监控系统上送接口标准报警事件格式，输出至集中监控系统生成告警信息，并在监控平台上显示。
[0196]
(3)事件处置单元33：从访问记录中获取会话id，向堡垒机发送指令，通过堡垒机向发生绕行事件的目标服务器发送命令，断开该登陆进程。
[0197]
参见图15，应用快速发现堡垒机绕行事件的监测系统实现的服务器访问风险监测方法具体包含有如下内容：
[0198]
步骤101：从企业内网获取各渠道日志信息：通过数据采集模块1的数据采集单元11，从企业内网获取各渠道日志信息；
[0199]
步骤102：将非格式化数据进行清洗、标准化处理后存储：通过数据采集模块1的数据预处理单元12，将非格式化数据进行清洗、标准化处理后存储；
[0200]
步骤103：从ad域服务器日志中查询终端用户登陆记录并生成索引表：通过数据采集模块1的数据索引单元13，从ad域服务器日志中查询终端用户登陆记录并生成索引表；
[0201]
步骤104：将预处理后的服务器系统日志与预设的特征表进行匹配初步识别出成功的绕行事件：通过数据分析模块2特征匹配单元21，将预处理后的服务器系统日志与预设的特征表进行匹配初步识别出成功的绕行事件；
[0202]
步骤105：从成功的绕行事件中剔除掉已授权的访问数据：通过数据分析模块2授权数据处理单元22，从成功的绕行事件中剔除掉已授权的访问数据；
[0203]
步骤106：判断授权数据处理单元22后的输出数据是否存在误报情况，通过聚类算法构建分类模型以实现自动化识别模型：通过数据分析模块2应用互访数据处理单元23，判断授权数据处理单元22后的数据是否存在误报情况，通过聚类算法构建分类模型以实现自动化识别模型；
[0204]
针对通过运维终端直接访问服务器绕行事件，执行步骤107
‑
109，针对通过服务器跳转一次或多次的绕行事件，执行步骤108
‑
109：
[0205]
步骤107：在索引表中匹配到早于登陆时间的最近一次ad用户登陆记录，定位到人及其终端：通过风险处置模块3自动定位单元31，在索引表中匹配到早于登陆时间的最近一次ad用户登陆记录，定位到运维终端及使用人员信息；
[0206]
步骤108：自动生成告警事件并在监控平台上展示：通过风险处置模块3监控报警单元32，自动生成告警事件并在监控平台上展示；
[0207]
步骤109：通过堡垒机向目标服务器发送命令，阻断绕行登陆事件：通过风险处置模块3事件处置单元33，通过堡垒机向目标服务器发送命令，阻断绕行登陆事件。
[0208]
本技术应用实例通过收集的企业内网服务器、堡垒机、终端日志和变更单、应用配置等信息，高效检测出堡垒机绕行事件。与现有检测及审计手段相比，本技术应用实例的提出具有以下效果和优点：
[0209]
1、适用范围广。本技术应用实例适用于所有可以产生设备日志的服务器，包括unix、linux、windows服务器等。
[0210]
2、对服务器入侵性小，可以覆盖全量服务器。本技术应用实例采用对服务器产生的日志进行处理分析，而服务器日志通常是实施运行监控、满足监管要求等需求的必须项，因此本技术应用实例无需服务器进行升级改造，不额外占用系统资源，日志的采集范围有多广，监测的覆盖范围就有多广。
[0211]
3、提升了监测的准确性和应用灵活性。本技术应用实例利用聚类算法，自动剔除了应用间正常互访的情况，并结合变更单信息及堡垒机、终端日志，识别出已授权的情况，大幅度降低了监测的误报率。此外，本技术应用实例对单台服务器的日志连续性要求不高，对于选取实时日志的情况，可以实现准实时的异常检测；对于选取往期日志的情况，可以实现事后的异常检测，具有较高的应用灵活性。
[0212]
4、提升了安全运维的审计效率。在日常运维过程中，可以通过逐台登陆服务器查看系统日志，人工判断是否发生了非授权的绕行访问。本技术应用实例是基于企业已经收集的服务器日志，进行处理、分析，实现了对堡垒机绕行事件的自动化全量监测，极大地提升了审计效率。
[0213]
从硬件层面来说，为了解决当前尚未有专门针对搭建有堡垒机环境的服务器系统进行堡垒机绕行行为监测的有利方式，因此存在堡垒机的安全控制失效，难以对用户操作进行追溯和审计，以及无法保证服务器系统的运行安全性及稳定性等问题，本技术提供一种用于实现所述服务器访问风险监测方法中的全部或部分内容的电子设备的实施例，所述电子设备具体包含有如下内容：
[0214]
图16为本技术实施例的电子设备9600的系统构成的示意框图。如图16所示，该电子设备9600可以包括中央处理器9100和存储器9140；存储器9140耦合到中央处理器9100。值得注意的是，该图16是示例性的；还可以使用其他类型的结构，来补充或代替该结构，以实现电信功能或其他功能。
[0215]
在一实施例中，服务器访问风险监测功能可以被集成到中央处理器中。其中，中央处理器可以被配置为进行如下控制：
[0216]
步骤100：根据预设的访问风险数据特征，在设有堡垒机的服务器系统当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录。
[0217]
步骤200：自所述目标登陆数据记录中确定存在关联关系的应用节点，并提取每两个关联的应用节点之间的新增访问数据。
[0218]
步骤300：基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据，若剔除误
报数据后的所述目标登陆数据记录中还存在数据记录，则将该数据记录确定为服务器访问风险数据。
[0219]
从上述描述可知，本技术实施例提供的电子设备，通过根据预设的访问风险数据特征，在设有堡垒机的服务器系统当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录，能够有效实现对绕行堡垒机行为的目标登陆数据记录的自动监测，并能够提高堡垒机绕行事件的检测效率及检测全面性，以及时发现运维违规操作或安全入侵事件；通过自所述目标登陆数据记录中确定存在关联关系的应用节点，并提取每两个关联的应用节点之间的新增访问数据，并基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据，若剔除误报数据后的所述目标登陆数据记录中还存在数据记录，则将该数据记录确定为服务器访问风险数据，能够实现对绕行堡垒机行为的目标登陆数据记录进行自动识别的基础上，还能够有效降低堡垒机绕行事件报警的误报率，能够有效提高堡垒机绕行事件的识别准确性及可靠性，进而能够有效提高搭建有堡垒机环境的服务器系统的运行安全性及稳定性，同时能够大幅度减少人工审计成本，有效提升服务器系统所属企业的信息安全管理能力，提高企业及运维人员的用户体验。
[0220]
在另一个实施方式中，服务器访问风险监测装置可以与中央处理器9100分开配置，例如可以将服务器访问风险监测装置配置为与中央处理器9100连接的芯片，通过中央处理器的控制来实现服务器访问风险监测功能。
[0221]
如图16所示，该电子设备9600还可以包括：通信模块9110、输入单元9120、音频处理器9130、显示器9160、电源9170。值得注意的是，电子设备9600也并不是必须要包括图16中所示的所有部件；此外，电子设备9600还可以包括图16中没有示出的部件，可以参考现有技术。
[0222]
如图16所示，中央处理器9100有时也称为控制器或操作控件，可以包括微处理器或其他处理器装置和/或逻辑装置，该中央处理器9100接收输入并控制电子设备9600的各个部件的操作。
[0223]
其中，存储器9140，例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息，此外还可存储执行有关信息的程序。并且中央处理器9100可执行该存储器9140存储的该程序，以实现信息存储或处理等。
[0224]
输入单元9120向中央处理器9100提供输入。该输入单元9120例如为按键或触摸输入装置。电源9170用于向电子设备9600提供电力。显示器9160用于进行图像和文字等显示对象的显示。该显示器例如可为lcd显示器，但并不限于此。
[0225]
该存储器9140可以是固态存储器，例如，只读存储器(rom)、随机存取存储器(ram)、sim卡等。还可以是这样的存储器，其即使在断电时也保存信息，可被选择性地擦除且设有更多数据，该存储器的示例有时被称为eprom等。存储器9140还可以是某种其它类型的装置。存储器9140包括缓冲存储器9141(有时被称为缓冲器)。存储器9140可以包括应用/功能存储部9142，该应用/功能存储部9142用于存储应用程序和功能程序或用于通过中央处理器9100执行电子设备9600的操作的流程。
[0226]
存储器9140还可以包括数据存储部9143，该数据存储部9143用于存储数据，例如
联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器9140的驱动程序存储部9144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
[0227]
通信模块9110即为经由天线9111发送和接收信号的发送机/接收机9110。通信模块(发送机/接收机)9110耦合到中央处理器9100，以提供输入信号和接收输出信号，这可以和常规移动通信终端的情况相同。
[0228]
基于不同的通信技术，在同一电子设备中，可以设置有多个通信模块9110，如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)9110还经由音频处理器9130耦合到扬声器9131和麦克风9132，以经由扬声器9131提供音频输出，并接收来自麦克风9132的音频输入，从而实现通常的电信功能。音频处理器9130可以包括任何合适的缓冲器、解码器、放大器等。另外，音频处理器9130还耦合到中央处理器9100，从而使得可以通过麦克风9132能够在本机上录音，且使得可以通过扬声器9131来播放本机上存储的声音。
[0229]
本技术的实施例还提供能够实现上述实施例中的服务器访问风险监测方法中全部步骤的一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例中的执行主体为服务器或客户端的服务器访问风险监测方法的全部步骤，例如，所述处理器执行所述计算机程序时实现下述步骤：
[0230]
步骤100：根据预设的访问风险数据特征，在设有堡垒机的服务器系统当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录。
[0231]
步骤200：自所述目标登陆数据记录中确定存在关联关系的应用节点，并提取每两个关联的应用节点之间的新增访问数据。
[0232]
步骤300：基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据，若剔除误报数据后的所述目标登陆数据记录中还存在数据记录，则将该数据记录确定为服务器访问风险数据。
[0233]
从上述描述可知，本技术实施例提供的计算机可读存储介质，通过根据预设的访问风险数据特征，在设有堡垒机的服务器系统当前的新增日志组合中获取存在绕行堡垒机行为的目标登陆数据记录，能够有效实现对绕行堡垒机行为的目标登陆数据记录的自动监测，并能够提高堡垒机绕行事件的检测效率及检测全面性，以及时发现运维违规操作或安全入侵事件；通过自所述目标登陆数据记录中确定存在关联关系的应用节点，并提取每两个关联的应用节点之间的新增访问数据，并基于预设的聚类方式对所述目标登陆数据记录中的每两个关联的应用节点之间的新增访问数据进行聚类以剔除所述目标登陆数据记录中的误报数据，若剔除误报数据后的所述目标登陆数据记录中还存在数据记录，则将该数据记录确定为服务器访问风险数据，能够实现对绕行堡垒机行为的目标登陆数据记录进行自动识别的基础上，还能够有效降低堡垒机绕行事件报警的误报率，能够有效提高堡垒机绕行事件的识别准确性及可靠性，进而能够有效提高搭建有堡垒机环境的服务器系统的运行安全性及稳定性，同时能够大幅度减少人工审计成本，有效提升服务器系统所属企业的信息安全管理能力，提高企业及运维人员的用户体验。
[0234]
本领域内的技术人员应明白，本发明的实施例可提供为方法、装置、或计算机程序
产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
[0235]
本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0236]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0237]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0238]
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。