[发明专利]安全风险的闭环处置方法、装置及存储介质

说明书

本发明涉及云安全领域，提出一种安全风险的闭环处置方法、装置及计算机可读存储介质，该方法包括：对操作日志数据包中的操作日志进行内容分析，并对所述操作日志中短时异常、长期规律性操作进行实时监控，对可疑操作日志进行违规确认，提取出所述违规操作日志中的违规操作行为及其操作账号，判定所述操作账号信息执行操作日志的风险违规级别，并根据违规级别调用信息安全执行程序对所述操作日志中的操作行为进行核实确认。

技术领域

本发明涉及平台安全领域，尤其涉及一种安全风险的闭环处置方法、装置及计算机可读存储介质。

背景技术

目前各项业务系统繁多，现有的监控机制只是针对单个系统、单个操作行为做监控，而无法监控用户跨多个业务系统的综合操作行为，而现有的监控规则也基本是从操作时间、频率来进行判断，对长时间低频率的数据爬取，有规律的机器外挂行为，以及内外勾结进行数据泄露行为等很难进行发掘和监控。

对于触发监控规则的告警，需要再次通过日志进行人工判断，然后再到风控系统进行账号拉黑或冻结处置，风险行为的监控→告警→处置的整个响应时间延迟较长(平均需一个小时)，人工干预较多。

现有的风控系统一般只能在登录验证环节进行控制，且目前的处置机制缺少联动闭环机制，拉黑账号后，风控系统无法及时杀掉风险账号的会话，若账号一直没有登出系统，就无法及时阻止其违规风险行为，且因为各个环节需要沟通不同单位、部门进行落实，处置效率极低。

因此，亟须一种基于多业务系统安全风险的闭环处置方法，以减少人工干预，大大提高风险违规行为发现能力，减少人工和时间成本，有效且及时发现和遏制信息安全风险。

发明内容

本发明提供一种安全风险的闭环处置方法、电子装置及计算机可读存储介质，其主要目的在于通过创建日志平台对操作日志进行统一汇总，形成操作日志数据包，对操作日志数据包中的操作日志进行内容分析，并对操作日志中短时异常、长期规律性操作进行实时监控，在监控过程中若出现可疑操作，则通过邮件、HTTP等方式进行实时告警，并将告警信息及可疑操作日志同步到作业平台，进而解析违规操作日志，提取出所述违规操作日志中的违规操作行为及其操作账号，判定操作账号信息执行操作日志的风险违规级别，并根据违规级别调用信息安全执行程序对所述操作日志中的操作行为进行核实确认以减少人工干预，大大提高风险违规行为发现能力，减少人工和时间成本，有效且及时发现和遏制信息安全风险。

为实现上述目的，本发明提供的方法，应用于电子装置，所述安全风险的闭环处置方法包括：

S110：安全闭环系统创建日志平台，所述日志平台用于将操作日志统一汇总为操作日志数据包，并对所述操作日志数据包中的操作日志进行内容分析，对所述操作日志中短时异常、长期规律性操作进行监控；以及，在所述监控过程中若出现可疑操作，则发出实时告警，并将告警信息及可疑操作日志同步到作业平台；

S120：根据预设的违规标准对所接收到的告警信息及可疑操作日志进行违规确认，将确认违规的操作日志上传至自动化处置单元，自动生成对所述确认违规的操作日志的检查通知，并将所述检查通知发送到调查问责控件；

S130：使用SPL高级查询语言进行日志检视以解析所述违规操作日志，提取出所述违规操作日志中的违规操作行为及其操作账号，根据预设的违规操作处理规则对所述违规操作日志的操作账号进行自动化处置处理，并将所述操作账号的信息及操作账号处置结果同步到调查问责控件；

S140：根据所述检查通知及所述操作账号处置结果，确定所述操作账号信息执行操作日志的风险违规级别，并根据违规级别调用信息安全执行程序对所述操作日志中的违规操作行为进行核实确认。

优选地，所述日志平台通过采集器对业务系统的日志进行采集，将采集到的日志输入到日志云的kafka形成操作日志，所述操作日志中的数据经过ES API的处理后统一汇总为操作日志数据包；

所述日志平台基于J2EE技术体系，采用微服务架构；