專利名稱::4a管理平臺中的智能審計決策樹生成方法
技術領域:
:本發(fā)明涉及一種4A管理平臺中的智能審計決策樹生成方法,適用于電信行業(yè),4A管理平臺(4A即統(tǒng)一用戶賬號管理、統(tǒng)一認證管理、統(tǒng)一授權管理、統(tǒng)一安全審計)中的統(tǒng)一安全審計。
背景技術:
:隨著各大電信運營商的業(yè)務網(wǎng)發(fā)展,其內部用戶數(shù)量持續(xù)增加,網(wǎng)絡規(guī)模迅速擴大,安全問題不斷出現(xiàn)。而每個業(yè)務網(wǎng)系統(tǒng)分別維護一套用戶信息數(shù)據(jù),管理本系統(tǒng)內的賬號和口令,孤立的以日志形式審計操作者在系統(tǒng)內的操作行為,已遠遠不能滿足自身業(yè)務發(fā)展需求,及與國際業(yè)務接軌的需求。4A解決方案的提出正是應上述趨勢,它包括統(tǒng)一用戶賬號管理、統(tǒng)一認證管理、統(tǒng)一授權管理和統(tǒng)一安全審計四要素。其中統(tǒng)一安全審計是4A體現(xiàn)其綜合管理價值的一個重要方面,其主要功能為(1)安全日志采集;(2)安全日志多維分析;(3)安全日志實時展現(xiàn);(4)報表分析;(5)審計策略配置;(6)數(shù)據(jù)存儲。4A管理平臺的統(tǒng)一安全審計子系統(tǒng)的審計對象是來自認證、授權、網(wǎng)絡審計及綜合平臺的syslog、snmp、snmptrap、ftp、webservice、0DBC/JDBC等日志,其數(shù)據(jù)量至少可達到每秒5000條-7000條,對于這樣的海量數(shù)據(jù)的處理目前大多數(shù)軟件產(chǎn)品都是通過定制化實現(xiàn)復雜的審計策略集并人工錄入系統(tǒng)再進行應用,這樣不但工作量大,而且實際效果不好順序遍歷策略集的性能是用于處理海量數(shù)據(jù)的審計系統(tǒng)不能接受的,復雜審計邏輯結構較為凌亂,通用性較差、可移植性差等?,F(xiàn)有的4A管理平臺綜合審計系統(tǒng)大多都是定制式,由專業(yè)人員產(chǎn)生審計策略并錄入系統(tǒng),對日志的審計也是采用規(guī)則集順序遍歷,總體來說存在以下缺點-(1)4A綜合審計策略生成工作量大,由于整個過程過多的依賴于人,存在很大的安全隱患。(2)審計策略集錄入復雜邏輯不易實現(xiàn)。(3)通過定制式方式實現(xiàn)的審計策略邏輯結構較為凌亂,通用性差,審計策略不易優(yōu)化。(4)遍歷以規(guī)則集形式存儲的策略遍歷效率低,不適合用于處理海量數(shù)據(jù)的審計系統(tǒng)。(5)為不同的業(yè)務系統(tǒng)建立通用的審計策略模板難度大,使得4A綜合審計系統(tǒng)可移植性變差。(6)業(yè)務系統(tǒng)若有變更,審計策略則不易優(yōu)化。
發(fā)明內容本發(fā)明所要解決的技術問題是針對上述現(xiàn)有技術中存在的缺點,而提供一種4A管理平臺中的智能審計決策樹生成方法。本發(fā)明解決其技術問題所采用的技術方案本發(fā)明根據(jù)用戶導入的審計資料由機器學習模塊自動生成審計決策樹,再將其送至審計策略應用模塊供4A管理平臺進行實際審計應用;所述4A即統(tǒng)一賬號管理、統(tǒng)一認證管理、統(tǒng)一授權管理、統(tǒng)一安全審計;本方法的具體步驟如下一、數(shù)據(jù)輸入步驟-利用4A管理平臺中的審計策略配置模塊即人機交互模塊,在系統(tǒng)初始化時,將用戶審計資料導入;二、機器學習步驟-利用機器學習模塊中的數(shù)據(jù)預處理子模塊、審計決策樹生成子模塊和算法-決策顯示子模塊,通過機器學習生成相應的審計決策樹a)利用數(shù)據(jù)處理子模塊,對用戶導入的所述用戶審計資料進行預處理,即填充屬性值、理順權限、操作、賬號的對應關系、模擬訓練集,然后將預處理過的數(shù)據(jù)存儲到數(shù)據(jù)庫;b)利用審計決策樹生成子模塊,對己經(jīng)預處理過的數(shù)據(jù)進行數(shù)據(jù)挖掘,通過計算信息增益V^益率WINI系數(shù)確定根節(jié)點測試屬性以及其各子節(jié)點測試屬性;C)利用算法選擇-決策顯示子模塊,實現(xiàn)根據(jù)不同的審計數(shù)據(jù)到方法庫中選擇不同的決策生成算法;三、審計策略修正、應用步驟通過審計策略應用模塊,一方面對由機器學習模塊傳遞過來的審計決策樹進行存儲、加載及應用,另一方面對用戶修正過的審計策略進行存儲、加載、應用,并將所有的審計策略按產(chǎn)生時間順序,添加版本號入知識庫。所述用戶審計資料包括有實體權限矩陣表、審計對象列表。本發(fā)明的工作過程如下用戶通過4A管理平臺的審計策略配置模塊導入需要審計的用戶審計資料,機器學習模塊就能通過機器學習自動生成相應的審計決策樹并輸出到審計策略應用模塊供4A管理平臺進行實際審計應用。由本方法產(chǎn)生的審計策略將會在4A管理平臺的審計策略配置模塊展現(xiàn)給用戶,用戶可根據(jù)實際業(yè)務系統(tǒng)的需求對其進行修正。修正是通過4A管理平臺審計策略配置界面,以規(guī)則集的形式將具體要修正的策略輸入系統(tǒng),并加載應用。本發(fā)明有益效果如下(1)審計策略自主生成在一定程度上極大的減少了審計策略制定人員的工作量,使4A管理平臺更具人性化、智能化。(2)無需規(guī)則錄入減少了由人為因素而帶來的安全隱患。(3)高性能由于審計策略是以樹的結構進行存儲,每次進行審計時按深度或廣度優(yōu)先的方式遍歷樹比起逐條遍歷以規(guī)則集形式存儲的策略效率要高很多,以二叉樹為例最壞的情況其復雜度為o(n)。(4)算法多選擇本方法提供多種決策樹建立算法,針對不同的訓練集選用較為合適的分類算法。(5)支持人為策略修正在實際4A應用中,本方法建議采用以機器生成策略為主,人工策略修正為輔。決策樹生成的策略很大程度上依賴于訓練集的好壞,現(xiàn)實中得不到完美的訓練集,審計策略一定存在不合理的地方,增加人工修正相當于為審計加了保險。圖1為本發(fā)明組織框架圖(原理框圖)。圖2為本發(fā)明的用例圖。具體實施例方式現(xiàn)結合圖l、2舉例說明本方法首先通過審計策略配置模塊將用戶審計資料導入機器學習模塊中的數(shù)據(jù)預處理子模塊,在數(shù)據(jù)預處理子模塊中,將不同的業(yè)務數(shù)據(jù)進行融合并對其進行屬性概化、模擬訓練集等數(shù)據(jù)預處理,之后輸出一條條帶有類標號的用于機器學習的數(shù)據(jù)即形成訓練集,訓練集中的一部分數(shù)據(jù)被送至審計決策樹生成子模塊,另一部分數(shù)據(jù)直接入數(shù)據(jù)庫;系統(tǒng)配置員可以根據(jù)數(shù)據(jù)本身的特征到方法庫中選擇適合的決策樹生成算法進行數(shù)據(jù)挖掘,輸出審計決策樹到審計策略應用模塊進行審計應用。被送去審計應用模塊的審計策略一方面直接用于系統(tǒng)審計,另一方面送至4A管理平臺審計策略配置模塊展示給用戶以便用戶對其進行修正。如果用戶對審計策略的某些部分不滿意,可以對其進行修正,如果用戶認為系統(tǒng)產(chǎn)生的通用審計策略不能全部覆蓋實際的業(yè)務審計范圍則可以通過審計策略配置模塊進行添加;如果用戶認為系統(tǒng)產(chǎn)生的某些審計策略不合理,想要刪除,則也可以通過審計策略配置模塊進行審計策略禁用。對于4A管理平臺審計策略應用模塊而言,用戶修正過的規(guī)則總是處于最高優(yōu)先級,遇到系統(tǒng)生成的規(guī)則與用戶修改的審計規(guī)則有沖突時,用戶修正過的審計規(guī)則為有效規(guī)則。當系統(tǒng)生成的規(guī)則中有部分規(guī)則被用戶禁用,則系統(tǒng)直接跳過這些規(guī)則的判斷,執(zhí)行別的規(guī)則。對于用戶先添加的規(guī)則,系統(tǒng)也總是置于系統(tǒng)生成的規(guī)則之前,便于其先被判斷。下面重點介紹一下數(shù)據(jù)預處理子模塊中的模擬訓練集和審計策略應用模塊-一、模擬訓練集數(shù)據(jù)挖掘顧名思義是要對數(shù)據(jù)進行分析,但當系統(tǒng)第一次進行應用時,其所管理的業(yè)務系統(tǒng)是沒有合適的歷史數(shù)據(jù)用于進行審計策略生成訓練的,故在系統(tǒng)初始化運行時,需要進行模擬訓練集。為了便于理解,先解釋一下機器學習的概念,所謂的機器學習實際上就是通過某一算法讓電腦去模擬人思維的過程——去掌握某些規(guī)則,這些規(guī)則是潛藏在海量數(shù)據(jù)中的規(guī)則,也是最終想要的結果。實際上在模擬訓練集的過程中已經(jīng)實現(xiàn)大致能預期到最終生成的部分審計策略,這是基于經(jīng)驗,當然在設計本方法時,借助了已經(jīng)很成熟的強制訪問控制的思想,即主體、客體和操作。將其擴展為賬號、目標訪問對象、及對對象所進行的操作,再結合網(wǎng)絡安全審計的特點,增加屬性源ip、資源ip(包括設備ip或數(shù)據(jù)庫帳號)或端口號等。為了便于說明,現(xiàn)舉最簡單的例子選定最普遍的測試屬性為源ip、設備ip(數(shù)據(jù)庫名)、賬號、審計對象(表格、文件、腳本或進程)、相應的操作。模擬訓練集需要一些審計資料實體權限矩陣表、審計對象列表。有了這些信息便可以獲得相應的資源ip及在其之上相應的賬號及其所擁有的權限。實體權限矩陣表如附表1所示;文件列表如附表2所示。首先從實體權限矩陣表(附表l)中獲得如下信息-(1)授權用戶的合法操作;(2)敏感設備\數(shù)據(jù)庫列表dev—ip—list、db—list;(3)在敏感設備\數(shù)據(jù)庫上建立的賬號列表aCC—list;(4)特殊權限賬戶列表sp—acc」ist;(5)公用賬號列表gn—acc—list;(6)用于外部連接的源ip地址列表src—ip_list;(7)待補充如外部連接類對像列表a11—obj—list、全賬號列表all—acc_list、全設備ip地址列表all—dev—ip、全源Ip地址列表all—src_ip等。其中敏感設備\數(shù)據(jù)庫列表和用于外部連接的源Ip地址列表要被用于4A后臺采集數(shù)據(jù)模塊在泛化時對日志進行處理,特殊賬號和公用賬號列表主要用于模擬訓練集用來產(chǎn)生非授權用戶類數(shù)據(jù),值得注意將賬號與其相對應的設備ip或數(shù)據(jù)庫賬號進行綁定。由于模擬的數(shù)據(jù)主要是用來作為訓練集以便機器進行學習產(chǎn)生審計策略,所以在此之前必須明確幾個重要的概念a、審計域——對敏感系統(tǒng)、設備、數(shù)據(jù)庫上的敏感資料的操作(見附表3)。b、期望的模擬訓練集涵蓋以下幾類數(shù)據(jù)(見附表4)。各類數(shù)據(jù)產(chǎn)生的邏輯為(1)授權用戶合法操作直接從實體權限配置表中讀出的每一行操作對象單元格不為空的記錄,保存并添加類標號授權用戶的合法操作。(2)隨機組合上述獲得的各列表值(源Ip列表srcjp—list、設備ip列表dev—ip—list、db—list、貝長號歹!j表sp—acc—list、gn—acc_list,審計對象列表all—obj—list、相應的操作列表opt—list)。1、組合二元組(dev—ip_,,sp—acc—)、(dev—ip—,gn—acc一)、(db—,sp一acc)、(db—,gn一acc);2、增加源Ip列表跟以上二元組進行組合形成3元組(src_ip,二元組),(any,二元組);3、隨機組合all—obj—list和opt—list產(chǎn)生二元組(obj,opt);4、將3元組(src—ip,二元組),(any,二元組)與二元組(obj,opt)進行組合生成五元組(src_ip—*,dev—ip一氺,acc—*,obj—*,opt—*)、(src—ip_*,db一氺,acc_*,obj—求,opt—*);經(jīng)過上述的四步驟,己經(jīng)有了原始日志的"標準數(shù)據(jù)"了,這里是指該五元組已經(jīng)與4A系統(tǒng)運行以后所采集上來的原始日志經(jīng)過數(shù)據(jù)預處理后的數(shù)據(jù)具有相同的形式只是值可能不一樣。接下來很重要的一步就是從這些由隨機產(chǎn)生的5元組中分出哪些是授權用戶的合法操作、哪些是授權用戶的非法操作亦或是非授權用戶、非法連接或是非法用戶,其邏輯規(guī)則為(1)非法用戶賬號不是改設備或數(shù)據(jù)庫上應有的賬號(2)非授權用戶賬號對此對象不具有任何權限(3)非法連接該源ip不是信任源ip(4)授權用戶的非法操作該賬號對此對象具有一定的操作權限但進行了不該做的操作(5)授權用戶的合法操作與實體權限對應表中直接獲得的記錄完全一樣根據(jù)以上5條原則對隨機產(chǎn)生的5元組進行添加相應的類標號,此時產(chǎn)生的六元組(五元組,類標號)既是最終的模擬訓練集,將被用于機器學習。二、審計策略應用模塊.-審計策略應用模塊實際上是本方法真正使4A管理平臺審計策略運行起來的模塊,其主要作用就是實現(xiàn)審計策略在4A管理平臺的應用。它一方面接收來自機器學習模塊生成的審計決策樹,一方面接收來自4A管理平臺用戶修正的審計策略,并將其匯總、添加版本號入知識庫存儲、備份。無論是來自哪的審計策略,初次輸入到審計策略應用模塊一律先入庫,并放入緩存,由用戶手動選擇啟用時再通過發(fā)送命令加載應用。加載時應當遵守的原則(1)初次使用時先添加版本號、入知識庫、后直接加載機器學習模塊統(tǒng)生成的審計決策樹,并標注優(yōu)先級最低。(2)對于由4A管理平臺中用戶修正的審計策略先判斷是否啟用,如果啟用則先添加版本號、入知識庫再加載,加載時標準優(yōu)先級為高,并做計數(shù)統(tǒng)計使用頻率。如上加載過程中一律遵循用戶修正策略優(yōu)先級最高,系統(tǒng)生成審計決策樹優(yōu)先級最低。審計策略在審計策略應用模塊中的存儲方式為樹狀結構。以樹結構進行審計判別時時間復雜度小于規(guī)則集形式,與樹的高度成線性關系。<table>complextableseeoriginaldocumentpage10</column></row><table><table>complextableseeoriginaldocumentpage10</column></row><table><table>complextableseeoriginaldocumentpage11</column></row><table>權利要求1、4A管理平臺中的智能審計決策樹生成方法,其特征在于根據(jù)用戶導入的審計資料由機器學習模塊自動生成審計決策樹,再將其送至審計策略應用模塊供4A管理平臺進行實際審計應用;所述4A即統(tǒng)一賬號管理、統(tǒng)一認證管理、統(tǒng)一授權管理、統(tǒng)一安全審計;本方法的具體步驟如下一、數(shù)據(jù)輸入步驟利用4A管理平臺中的審計策略配置模塊即人機交互模塊,在系統(tǒng)初始化時,將用戶審計資料導入;二、機器學習步驟利用機器學習模塊中的數(shù)據(jù)預處理子模塊、審計決策樹生成子模塊和算法-決策顯示子模塊,通過機器學習生成相應的審計決策樹a)利用數(shù)據(jù)預處理子模塊,對用戶導入的所述用戶審計資料進行預處理,即填充屬性值、理順權限、操作、賬號的對應關系、模擬訓練集,然后將預處理過的數(shù)據(jù)存儲到數(shù)據(jù)庫;b)利用審計決策樹生成子模塊,對已經(jīng)預處理過的數(shù)據(jù)進行數(shù)據(jù)挖掘,通過計算信息增益\增益率\GINI系數(shù)確定根節(jié)點測試屬性以及其各子節(jié)點測試屬性;c)利用算法選擇-決策顯示子模塊,實現(xiàn)根據(jù)不同的審計數(shù)據(jù)到方法庫中選擇不同的決策生成算法;三、審計策略修正、應用步驟通過審計策略應用模塊,一方面對由機器學習模塊傳遞過來的審計決策樹進行存儲、加載及應用,另一方面對用戶修正過的審計策略進行存儲、加載、應用,并將所有的審計策略按產(chǎn)生時間順序,添加版本號入知識庫。2、根據(jù)權利要求1所述的4A管理平臺中的智能審計決策樹生成方法,其特征在于所述用戶審計資料包括有實體權限矩陣表、審計對象列表。全文摘要本發(fā)明涉及一種4A管理平臺中的智能審計決策樹生成方法,本發(fā)明的技術要點是根據(jù)用戶導入的審計資料由機器學習模塊自動生成審計決策樹,再將其送至審計策略應用模塊供4A管理平臺進行實際審計應用;所述4A即統(tǒng)一賬號管理、統(tǒng)一認證管理、統(tǒng)一授權管理、統(tǒng)一安全審計。本發(fā)明的有益效果是審計策略自主生成;無需規(guī)則錄入;以樹形結構存儲,策略遍歷性能高;算法多選擇;支持人為策略修正。文檔編號G06Q10/00GK101344941SQ20081007923公開日2009年1月14日申請日期2008年8月21日優(yōu)先權日2008年8月21日發(fā)明者輝喬,盧建輝,孟立文,詠龐,智韶清,楊光彤,武海斌,宏狄,東王,賈殿承,郭林江,峰陳申請人:河北全通通信有限公司