[发明专利]基于堡垒机的用户行为监控方法、系统、设备及介质

权利要求书

1.一种基于堡垒机的用户行为监控方法，其特征在于，包括：

预设判断用户行为是否异常的规则；

根据所述规则对基于堡垒机日志监控的当前用户行为进行分析，预测所述用户行为是否异常。

2.根据权利要求1所述的方法，其特征在于，预设判断用户行为是否异常的规则，具体包括：

结合用户在应用场景下的行为习惯预设所述规则；

其中，所述行为习惯包括用户的行为所在时间段、和/或行为中的操作频次。

3.根据权利要求1或2所述的方法，其特征在于，预设判断用户行为是否异常的规则，具体包括：

设置敏感操作；

所述敏感操作包括存在下列一个条件或多个条件的组合：处于敏感时间段、用户行为的时间长度超过一预设时间阈值、业务操作频次符合一预设条件、业务操作的历史记录状态发生变化、敏感指令、工作状态发生变化、业务操作设备与业务人员不匹配、特定脚本被执行；

如果用户行为存在一个或多个所述敏感操作，则预测所述用户行为异常、和/或所述用户行为对应的用户为敏感用户。

4.根据权利要求3所述的方法，其特征在于，根据所述规则对基于堡垒机日志监控的当前用户行为进行分析，预测所述用户行为是否异常，具体包括：

通过部署的所述堡垒机进行扫描或侦听，以监控用户行为；

根据所述堡垒机提供的实时数据流中的日志，获取当前用户行为；

根据所述规则分析当前所述用户行为中是否存在敏感操作。

5.根据权利要求4所述的方法，其特征在于，根据所述规则分析当前所述用户行为中是否存在敏感操作，具体包括：

结合用户在应用场景下的行为习惯，通过有监督学习和/或无监督学习方式，根据所述规则对当前所述用户行为中是否存在敏感操作进行分析，以预测当前所述用户行为是否异常。

6.根据权利要求5所述的方法，其特征在于，

所述有监督学习采用逻辑回归算法，所述无监督学习采用聚类算法；

先通过有监督学习进行分析后再通过无监督学习进行分析；

分析结果反馈到所述堡垒机。

7.根据权利要求1至6任一项所述的方法，其特征在于，还包括：

当预测当前用户行为异常时，进行报警处理；

和/或，

如果当前用户行为被预测为异常，则进行一次报警、进行人工审计以及标记当前用户行为对应的用户为敏感用户，以及，当人工审计确定该敏感用户是进行了敏感操作时、反馈到所述堡垒机并由堡垒机对监控的所述敏感用户的账户降权、永久封禁和/或对所述敏感用户操作过的服务器进行排查，和/或，当人工审计确定该敏感用户并非进行敏感操作时、人工审核和/或调整所述规则。

8.一种基于堡垒机的用户行为监控方法，其特征在于，包括：

规则模块，用于预设判断用户行为是否异常的规则；

分析模块，用于根据所述规则对基于堡垒机日志监控的当前用户行为进行分析，预测所述用户行为是否异常；

和/或，

处理模块，用于当预测当前用户行为异常时，进行报警处理。

9.一种电子设备，包括处理器和存储器，所述存储器用于存储计算机可执行程序，其特征在于：

当所述计算机程序被所述处理器执行时，所述处理器执行如权利要求1至7中任一项所述的方法。

10.一种计算机可读存储介质，存储有计算机可执行程序，其特征在于，所述计算机可执行程序被执行时，实现如权利要求1至7中任一项所述的方法。