[发明专利]运维违规操作的识别方法、装置和存储介质

说明书

本申请公开了一种运维违规操作的方法、装置和存储介质，根据会话的会话特征向量信息对采集到的多个会话进行聚类得到多个簇类，将簇类中会话数量小于数量阈值的簇类中的会话识别为异常会话，由此确定异常会话对应的运维操作属于违规操作，解决了现有技术中人工判别违规操作效率低下的问题，可以提高识别违规操作的效率，提高安全审计的自动化水平。

技术领域

本申请涉及安全运维领域，尤其涉及一种运维违规操作的识别方法、装置和存储介质。

背景技术

随着互联网信息技术的迅速发展，各类信息系统及网络产品层出不穷。尤其是在大中型的实体机构中，快速建设的IT系统正从以前传统封闭的业务系统向大型关键业务系统扩展，所涉及的应用类型也日趋增加。

IT系统的广泛应用是一柄双刃剑，一方面带来了规范、便捷、高效的办公流程和业务模式，一方面也引发了对IT系统的安全性问题，以及内部运维的防御难、控制难、追溯难等问题。这些问题威胁着信息中心的安全。如：内部业务数据被篡改、泄露、窃取；恶意传播病毒、在服务器访问非法网站、误操作，重要服务器上乱操作等。

在目前的安全控制方案中，对于违规操作的实时告警和事后追溯，运维安全审计系统会操作日志审计人员审查，在实际场景中，用户的相关操作的大部分是安全的，如果审计人员通过运维安全审计系统提供的操作日志去发现用户的违规操作，实时监控和事后追溯效率低下。

发明内容

为解决现有技术中人工进行运维管理效率低下的问题，本申请提供一种异常会话的识别方法和装置，可以通过无监督学习的方式自动识别异常会话，从而提高运维操作的工作效率。

第一方面，本申请提供了一种异常会话的识别方法，包括：采集多个会话各种对应的操作数据集，操作数据集包括界面操作视频和运维访问记录，根据操作数据集生成多个会话各自对应的特征向量，根据特征向量使用聚类算法将多个会话进行聚类，得到K个簇类，每个簇类包含一个或多个会话，统计各个簇类中包含的会话数量，将会话数量少于数量阈值的簇类中的会话识别为异常会话。

在一种可能的设计中，根据操作数据集生成多个会话各自对应的会话特征向量，包括：提取界面操作视频中的关键帧生成序列图像集；基于卷积神经网络CNN生成序列图像集的视觉特征向量，对视觉特征向量进行对齐处理，根据对齐处理后的视觉特征向量和运维会话记录生成会话的会话特征向量。

其中，多个会话各自对应一个会话特征向量，会话特征向量包括视觉特征向量和根据运维会话记录生成的文本特征向量，对齐处理是确保各个会话的视觉特征向量的维度是相等的。

在一种可能的设计中，提取界面操作视频中的关键帧生成序列图像集，包括：

采用遍历的方式从界面操作视频中提取一个当前视频帧，比较当前视频帧和上一视频帧之间的像素强度差，若像素强度差大于像素强度阈值，将当前帧作为关键帧，直到界面操作视频中所有的视频帧遍历完成。

在一种可能的设计中，采集多个会话各自对应的操作数据集，包括：根据预设的时间周期采集多个会话各自对应的操作数据集。时间周期的长短可根据需要来进行设置，例如：设置1分钟、5分钟或10分钟等，操作数据集包括结构化数据和非结构化数据，结构化数据包括运维会话记录，非结构化数据包括界面操作视频。

在一种可能的设计中，运维会话记录包括会话标识、用户标识、会话时长、会话开始时间、会话结束时间和会话协议类型中的一种或多种。

第二方面，本申请提供了一种运维违规操作的识别装置，包括：

采集单元，用于采集多个会话各自对应的操作数据集；其中，所述操作数据集包括界面操作视频和运维访问记录；

生成单元，用于根据操作数据集生成所述多个会话各自对应的会话特征向量；