国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種基于動態(tài)用戶行為的云取證方法及系統(tǒng)的制作方法

      文檔序號:6384754閱讀:342來源:國知局
      專利名稱:一種基于動態(tài)用戶行為的云取證方法及系統(tǒng)的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明屬于計算機技術(shù)領(lǐng)域,涉及一種基于動態(tài)用戶行為的云取證方法及系統(tǒng)。
      背景技術(shù)
      計算機取證是利用各種計算機軟硬件知識和辨析技術(shù),對計算機入侵、破壞、攻擊、欺詐等犯罪行為,按照符合法律規(guī)范的方式進行識別、保存、分析和提交數(shù)字證據(jù)的過程。它是打擊計算機及網(wǎng)絡(luò)違法犯罪活動、保障信息安全的最直接的武器,它是網(wǎng)絡(luò)安全技術(shù)的一個重要的分支,不僅可以用于網(wǎng)絡(luò)安全防護和應(yīng)急響應(yīng),必要時還可以介入司法程序,為法律訴訟提供可采信的證據(jù)。計算機取證自1991年提出以來,經(jīng)過十幾年的不斷深入研究和發(fā)展,國內(nèi)外在此方向上的研究已取得了一定的成果。隨著云計算的普及和運用,傳統(tǒng)取證方式不再能適應(yīng)新環(huán)境下的取證工作。云計算對傳統(tǒng)計算機取證提出了很多新的挑戰(zhàn),主要存在如下四點
      一、分布式存儲和司法管轄權(quán)跨域
      首先,傳統(tǒng)的離線取證在大規(guī)模分布式存儲的云計算環(huán)境中已經(jīng)失效。傳統(tǒng)的離線取證方式必須直接對目標計算機的存儲空間進行克隆來收集犯罪證據(jù),但是在分布式存儲的云計算環(huán)境中卻不可行。第一,一個完整的數(shù)據(jù)會被分割成若干數(shù)據(jù)塊(如64MB),并存儲在不同的節(jié)點上,而各節(jié)點可能存在于不同的地域。不同的地域?qū)?shù)據(jù)安全有著不同的規(guī)定和司法管轄權(quán)要求。這種存儲和司法管轄權(quán)的非定域性限制使得對云計算環(huán)境取證的復(fù)雜程度和成本激增;第 二,離線取證要求云計算的分布式存儲系統(tǒng)節(jié)點全部或部分停機,這對云計算服務(wù)來說是不可接受的;
      二、虛擬化技術(shù)
      虛擬化技術(shù)作為云計算的關(guān)鍵核心技術(shù),使得云計算成為能夠提供動態(tài)資源池、虛擬化和高可用性、負載均衡的下一代計算平臺,給企業(yè)和用戶帶來了很多的益處;硬件和資源的共享既節(jié)約了開銷,也為管理帶來了方便,同時也革新了許多傳統(tǒng)IT技術(shù)。然而從安全角度來分析,又帶來了很多威脅,除傳統(tǒng)的攻擊威脅之外,如隱蔽信道、基于VM的Rootkit攻擊(VMBR)以及新的惡意軟件等也隨之而來。另外,由于虛擬化技術(shù)支持虛擬機的動態(tài)遷移,雖然能提供高可用性、負載均衡、服務(wù)器動態(tài)擴容等功能,但是也為信息安全和數(shù)據(jù)安全提出了挑戰(zhàn)。虛擬機的動態(tài)遷移不僅要考慮安全策略的動態(tài)遷移,還有考慮虛擬機安全策略與目的物理主機安全策略的符合性等問題;
      三、大數(shù)據(jù)規(guī)模
      傳統(tǒng)單機無法解決海量數(shù)據(jù)的存儲、分析問題。目前計算機取證分析的主要依靠是單臺計算機(或工作站、大型主機),取證分析過程就是從原始證據(jù)中剔除無用數(shù)據(jù),找到有用的證據(jù)。但隨著數(shù)據(jù)規(guī)模、存儲器容量的迅速增大,對云計算環(huán)境進行取證將產(chǎn)生比單機取證高出若干個數(shù)量級的海量數(shù)據(jù),這些數(shù)據(jù)的存儲、分析、檢索需要海量存儲空間和強大的計算處理能力,這都是單臺計算機無法完成的。必須采用分布式數(shù)據(jù)庫(NoSQL、關(guān)系數(shù)據(jù)庫)、分布式并行編程模型MapReduce等來處理分析取證數(shù)據(jù);四、高性能計算需求
      密碼和口令問題一直是計算機取證中經(jīng)常遇到的難題之一。在云計算時代,取證對口令密碼破解的時效性要求更高。在加密算法和安全認證體系不存在巨大漏洞的情況下,窮舉已成為口令密碼破解的唯一 方式,但是窮舉所產(chǎn)生的計算量也是普通計算技術(shù)無法解決的。在云計算環(huán)境中,可以采用分布式并行處理,將對密碼和口令的窮舉破解任務(wù)分解為很多的子任務(wù),由成千上萬的虛擬計算節(jié)點來完成,能有效滿足對口令密碼破解的時效性要求。因此,針對上述云計算的安全威脅和計算機取證遇到的難題,實有必要進行研究開發(fā),以提供一種基于動態(tài)用戶行為的云取證方法及系統(tǒng)。

      發(fā)明內(nèi)容
      為解決上述問題,本發(fā)明的目的在于提供一種基于動態(tài)用戶行為的云取證方法及系統(tǒng)。為實現(xiàn)上述目的,本發(fā)明的技術(shù)方案為
      一種基于動態(tài)用戶行為的云取證方法,包括如下步驟
      步驟一、將云計算環(huán)境中動態(tài)用戶行為進行形式化定義;
      步驟二、數(shù)據(jù)收集
      根據(jù)動態(tài)用戶行為的形式化定義,收集來自云中各層(IaaS, PaaS, SaaS)中所有的動態(tài)行為及行為數(shù)據(jù),存儲到原始數(shù)據(jù)庫中;
      步驟三、預(yù)處理;
      對原始數(shù)據(jù)庫中的動態(tài)用戶行為及相關(guān)數(shù)據(jù)進行整合、歸一化、清洗,合并重復(fù)數(shù)據(jù),統(tǒng)一格式,并將預(yù)處理結(jié)果存儲到數(shù)據(jù)挖掘庫中;
      步驟四、數(shù)據(jù)挖掘;
      對數(shù)據(jù)挖掘庫中的數(shù)據(jù)進行挖掘,將挖掘結(jié)果保存到數(shù)據(jù)分析庫中;
      步驟五、數(shù)據(jù)分析;
      對數(shù)據(jù)分析庫中的數(shù)據(jù)進行分析;
      步驟六、證據(jù)呈現(xiàn)。進一步地,所述步驟二中,通過云中各數(shù)據(jù)收集Agent,收集來自云各層中所有的云用戶、云服務(wù)管理人員、異常用戶的動態(tài)行為及行為數(shù)據(jù)以及安全設(shè)備所產(chǎn)生的與動態(tài)用戶行為相關(guān)的安全事件、日志、告警信息。進一步地,所述步驟四中,數(shù)據(jù)分析庫采用鍵值模式,按列存儲數(shù)據(jù),以用戶為主鍵,時間狀態(tài)r以時間戳來表示,環(huán)境狀態(tài)以列族方式,分布式存儲該用戶所有的動態(tài)行為及行為數(shù)據(jù)。進一步地,所述步驟五中,對數(shù)據(jù)分析庫中的數(shù)據(jù)進行關(guān)聯(lián)分析、序列模式分析、孤立點分析;其中,通過關(guān)聯(lián)規(guī)則分析,將海量分析數(shù)據(jù)中的大量按特定規(guī)律分布的關(guān)聯(lián)規(guī)則挖掘出來;通過序列模式分析,找到入侵行為的時間序列、事件序列特征;而通過孤立點分析,分析數(shù)據(jù)中的異常數(shù)據(jù),找出異常數(shù)據(jù)模式,獲取有效證據(jù)信息。本發(fā)明的另一技術(shù)方案為
      提供一種基于動態(tài)用戶行為的云取證系統(tǒng),包括行為數(shù)據(jù)收集模塊、連接行為數(shù)據(jù)收集模塊的數(shù)據(jù)預(yù)處理模塊、連接數(shù)據(jù)預(yù)處理模塊的數(shù)據(jù)挖掘模塊、連接數(shù)據(jù)挖掘模塊的數(shù)據(jù)分析模塊、連接數(shù)據(jù)分析模塊的證據(jù)呈現(xiàn)模塊以及復(fù)數(shù)個連接各模塊的數(shù)據(jù)庫;其中,所述數(shù)據(jù)庫包括有原始數(shù)據(jù)庫,用于存儲收集到的原始動態(tài)用戶行為及相關(guān)行為數(shù)據(jù);數(shù)據(jù)挖掘庫,用于保存經(jīng)過整合、歸一化、清洗后的數(shù)據(jù);數(shù)據(jù)分析庫,用于保存經(jīng)過數(shù)據(jù)挖掘后的數(shù)據(jù);證據(jù)庫,用于保存經(jīng)過取證分析后的證據(jù)。進一步地,所述行為數(shù)據(jù)收集模塊根據(jù)動態(tài)用戶行為的形式化定義,收集用戶行為及相關(guān)數(shù)據(jù),并存儲到原始數(shù)據(jù)庫中。進一步地,所述數(shù)據(jù)預(yù)處理模塊用于對原始數(shù)據(jù)庫中的用戶行為及相關(guān)數(shù)據(jù)進行整合、歸一化、清洗,合并重復(fù)數(shù)據(jù),統(tǒng)一格式,并將預(yù)處理結(jié)果存儲到數(shù)據(jù)挖掘庫中。進一步地,所述數(shù)據(jù)挖掘模塊對數(shù)據(jù)挖掘庫中的數(shù)據(jù)進行挖掘,將挖掘結(jié)果保存到數(shù)據(jù)分析庫中。進一步地,所述數(shù)據(jù)分析模塊基于MapReduce對數(shù)據(jù)分析庫中的數(shù)據(jù)進行關(guān)聯(lián)分析、序列模式分析、孤立點分析;所述證據(jù)呈現(xiàn)模塊將數(shù)據(jù)分析模塊的分析結(jié)果以可視化形式進行呈現(xiàn)。相較于現(xiàn)有技術(shù),本發(fā)明基于動態(tài)用戶行為的云取證方法及系統(tǒng)提出動態(tài)用戶行為的形式化定義,以此為基礎(chǔ),通過收集動態(tài)用戶行為及行為數(shù)據(jù),保存這些數(shù)據(jù)為原始證據(jù)數(shù)據(jù);經(jīng)過數(shù)據(jù)整合、清洗和數(shù)據(jù)挖掘后,形成取證分析數(shù)據(jù),存儲在數(shù)據(jù)分析庫(鍵值數(shù)據(jù)庫)中,通過MapReduce對取證分析數(shù)據(jù)進行關(guān)聯(lián)分析、序列模式分析、孤立點分析,挖掘出潛在的用戶行為模式及可能存在的攻擊行為,形成取證證據(jù),以可視化的方式進行呈現(xiàn),將云計算的高性能計算能力和大規(guī)模分布式存儲環(huán)境應(yīng)用于計算機取證分析,以解決云計算取證中遇到的各種問題。


      圖1是本發(fā)明基于動態(tài)用戶行為的云取證系統(tǒng)的原理 圖2是本發(fā)明基于動態(tài)用戶行為的云取證方法的流程圖。
      具體實施例方式為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白,以下結(jié)合附圖及實施例,對本發(fā)明進行進一步詳細說明。應(yīng)當(dāng)理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。本發(fā)明基于動態(tài)用戶行為的云取證方法提出動態(tài)用戶行為的形式化定義,以此為基礎(chǔ),收集動態(tài)用戶行為及行為數(shù)據(jù),經(jīng)過數(shù)據(jù)整合、清洗和數(shù)據(jù)挖掘后,形成取證分析數(shù)據(jù),通過MapReduce對取證分析數(shù)據(jù)進行分析,挖掘出潛在的用戶行為模式及可能存在的攻擊行為,形成取證證據(jù),以可視化的方式進行呈現(xiàn)。參照圖1、圖2所示,本發(fā)明基于動態(tài)用戶行為的云取證方法具體如下 步驟一、將云計算環(huán)境中動態(tài)用戶行為進行形式化 定義將云計算環(huán)境中動態(tài)用戶行為形式化定義為五元組A^<S\0,0PJ,E> ,其中,具體定義
      (I)A :動態(tài)用戶行為;(2)S :行為主體,動態(tài)用戶行為的執(zhí)行者,由云用戶、云服務(wù)管理人員、異常用戶或代表云用戶、云服務(wù)管理人員、異常用戶的程序、進程來構(gòu)成;
      (3)O :行為客體,動態(tài)用戶行為所作用的對象,如云基礎(chǔ)設(shè)施虛擬機、虛擬存儲、數(shù)據(jù)庫、云服務(wù)開發(fā)工具和環(huán)境、云服務(wù)、云環(huán)境中安全設(shè)備及策略、安全事件、審計日志等;
      (4)OP :動態(tài)用戶行為所執(zhí)行的操作或動作,包括正常的云基礎(chǔ)設(shè)施、云服務(wù)管理以及主動的攻擊行為和異常訪問;
      (5)動態(tài)用戶行為的時態(tài)狀態(tài),即動態(tài)用戶行為所發(fā)生的起始時間、終止時間、持續(xù)時間;
      (6)萬:動態(tài)用戶行為的環(huán)境狀態(tài),即云計算環(huán)境中各種客觀因素組成的環(huán)境要素,如操作系統(tǒng)加載的驅(qū)動程序和服務(wù)進程,虛擬機快照,操作系統(tǒng)日志,虛擬機鏡像、網(wǎng)絡(luò)位置等。動態(tài)用戶行為的環(huán)境狀態(tài)包括動態(tài)用戶行為發(fā)生前的環(huán)境狀態(tài)和發(fā)生后的環(huán)境狀態(tài)。其中,所述用戶包括但不限于如下用戶
      (1)云服務(wù)用戶租借云服務(wù)提供商CSP所提供云服務(wù)的用戶;
      (2)云管理用戶云服務(wù)提供商CSP的負責(zé)管理維護云基礎(chǔ)設(shè)施、云服務(wù)的人員;
      (3)異常用戶通過未授權(quán)方式訪問以及惡意攻擊云服務(wù)的人員。所述動態(tài)用戶行為包括但不限于如下行為
      (I)云服務(wù)訪問行為,包括
      (a)客戶端的用戶登錄,安裝、使用瀏覽器第三方插件,執(zhí)行搜索,訪問云服務(wù)站點,上傳/下載文件,以及在表單 中輸入信息并提交;
      (b)IaaS層的請求、啟動、關(guān)閉虛擬機實例;安裝、配置虛擬機操作系統(tǒng),部署、配置應(yīng)用程序;上傳/下載數(shù)據(jù);監(jiān)控虛擬機運行狀態(tài);保存虛擬機快照;安裝、配置安全軟件(防火墻、入侵檢測/入侵防護、防病毒等);查看安全事件日志和虛擬機系統(tǒng)操作日志;虛擬存儲資源管理;虛擬網(wǎng)絡(luò)資源管理;
      (c) PaaS層的上傳、部署、配置、啟動應(yīng)用程序;借助云服務(wù)提供商CSP提供的開發(fā)工具和環(huán)境開發(fā)應(yīng)用程序;訪問數(shù)據(jù)庫服務(wù),上傳/下載數(shù)據(jù),進行數(shù)據(jù)庫事務(wù)操作;
      (d) SaaS層的配置、訪問云服務(wù),上傳/下載數(shù)據(jù),查看服務(wù)日志;
      (2)云服務(wù)管理行為,包括
      (a)IaaS層的物理主機操作系統(tǒng)的配置、性能監(jiān)控;虛擬機監(jiān)控器安裝、配置;物理存儲設(shè)備的加載啟動、配置;物理交換機、路由器的策略配置;
      (b)PaaS層的云服務(wù)開發(fā)環(huán)境和工具管理,數(shù)據(jù)庫、中間件安裝、配置;性能監(jiān)控與調(diào)
      優(yōu);
      (c)SaaS層的云服務(wù)安裝、配置、監(jiān)控;
      (d)安全設(shè)備的安裝、配置安全設(shè)備(防火墻、入侵檢測/入侵防護、防病毒、Web應(yīng)用防火墻等);安全策略配置分發(fā)、安全事件管理、安全審計、審計日志檢索、查看防火墻和入侵檢測告警;
      (e)云管理云計費管理、云審計、云資源和應(yīng)用管理;
      (3)異常行為,如應(yīng)用層攻擊行為(DoS和DDoS攻擊),使用惡意插件,輸入含有攻擊意圖的字符串,如SQL語句和腳本,攻擊云服務(wù)和基礎(chǔ)設(shè)施,非法訪問未授權(quán)數(shù)據(jù),執(zhí)行惡意代碼;利用虛擬機管理程序的漏洞,盜用虛擬機的權(quán)限并進行非法訪問和破壞;云服務(wù)用戶和云管理人員由于疏漏而造成的誤操作;云服務(wù)管理人員的有意破壞和泄露用戶數(shù)據(jù)。步驟二、數(shù)據(jù)收集
      根據(jù)動態(tài)用戶行為的形式化定義,通過云中各數(shù)據(jù)收集Agent,收集來自云中各層(IaaS, PaaS, SaaS)中所有的云用戶、云服務(wù)管理人員、異常用戶的動態(tài)行為及行為數(shù)據(jù)以及安全設(shè)備所產(chǎn)生的與動態(tài)用戶行為相關(guān)的安全事件、日志、告警信息,存儲到原始數(shù)據(jù)庫中;
      步驟三、預(yù)處理
      對原始數(shù)據(jù)庫中的動態(tài)用戶行為及相關(guān)數(shù)據(jù)進行整合、歸一化、清洗,合并重復(fù)數(shù)據(jù),統(tǒng)一格式,并將預(yù)處理結(jié)果存儲到數(shù)據(jù)挖掘庫中;
      步驟四、數(shù)據(jù)挖掘
      對數(shù)據(jù)挖掘庫中的數(shù)據(jù)進行挖掘,將挖掘結(jié)果保存到數(shù)據(jù)分析庫中。數(shù)據(jù)分析庫采用鍵值模式,按列存儲數(shù)據(jù),以用戶為主鍵,時間狀態(tài)r以時間戳來表示,環(huán)境狀態(tài)以列族方式,分布式存儲該用戶所有的動態(tài)行為及行為數(shù)據(jù);
      步驟五、數(shù)據(jù)分析
      基于MapReduce對數(shù)據(jù)分析庫中的數(shù)據(jù)進行關(guān)聯(lián)分析、序列模式分析、孤立點分析。通過關(guān)聯(lián)規(guī)則分析,將海量分析數(shù)據(jù)中的大量按特定規(guī)律分布的關(guān)聯(lián)規(guī)則挖掘出來;通過序列模式分析,找到入侵行為的時間序列、事件序列特征;通過孤立點分析,分析數(shù)據(jù)中的異常數(shù)據(jù),找出異常數(shù)據(jù)模式,獲取有效證據(jù)信息;將證據(jù)保存到證據(jù)庫中;
      步驟六、證據(jù)呈現(xiàn)
      將得到的證據(jù)信息以可視化形式進行呈現(xiàn),為用戶提供取證服務(wù)。參照圖1所示,本發(fā)明基于動態(tài)用戶行為的云取證系統(tǒng)包括有行為數(shù)據(jù)收集模塊、連接行為數(shù)據(jù)收集模塊的數(shù)據(jù)預(yù)處理模塊、連接數(shù)據(jù)預(yù)處理模塊的數(shù)據(jù)挖掘模塊、連接數(shù)據(jù)挖掘模塊的數(shù)據(jù)分析模塊、連接數(shù)據(jù)分析模塊的證據(jù)呈現(xiàn)模塊以及復(fù)數(shù)個連接各模塊的數(shù)據(jù)庫。其中,所述數(shù)據(jù)庫包括有原始數(shù)據(jù)庫,用于存儲收集到的原始動態(tài)用戶行為及相關(guān)行為數(shù)據(jù);數(shù)據(jù)挖掘庫,用于保存經(jīng)過整合、歸一化、清洗后的數(shù)據(jù);數(shù)據(jù)分析庫,用于保存經(jīng)過數(shù)據(jù)挖掘后的數(shù)據(jù);證據(jù)庫,用于保存經(jīng)過取證分析后的證據(jù)。所述行為數(shù)據(jù)收集模塊根據(jù)動態(tài)用戶行為的形式化定 義,收集用戶行為及相關(guān)數(shù)據(jù),并存儲到原始數(shù)據(jù)庫中。所述數(shù)據(jù)預(yù)處理模塊用于對原始數(shù)據(jù)庫中的用戶行為及相關(guān)數(shù)據(jù)進行整合、歸一化、清洗,合并重復(fù)數(shù)據(jù),統(tǒng)一格式,并將預(yù)處理結(jié)果存儲到數(shù)據(jù)挖掘庫中;所述數(shù)據(jù)挖掘模塊對數(shù)據(jù)挖掘庫中的數(shù)據(jù)進行挖掘,將挖掘結(jié)果保存到數(shù)據(jù)分析庫中;所述數(shù)據(jù)分析模塊基于MapReduce對數(shù)據(jù)分析庫中的數(shù)據(jù)進行關(guān)聯(lián)分析、序列模式分析、孤立點分析;所述證據(jù)呈現(xiàn)模塊將數(shù)據(jù)分析模塊的分析結(jié)果以可視化形式進行呈現(xiàn)。以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
      權(quán)利要求
      1.一種基于動態(tài)用戶行為的云取證方法及系統(tǒng),其特征在于,包括如下步驟 步驟一、將云計算環(huán)境中動態(tài)用戶行為進行形式化定義; 步驟二、數(shù)據(jù)收集 根據(jù)動態(tài)用戶行為的形式化定義,收集來自云中各層(IaaS, PaaS, SaaS)中所有的動態(tài)行為及行為數(shù)據(jù),存儲到原始數(shù)據(jù)庫中; 步驟三、預(yù)處理; 對原始數(shù)據(jù)庫中的動態(tài)用戶行為及相關(guān)數(shù)據(jù)進行整合、歸一化、清洗,合并重復(fù)數(shù)據(jù),統(tǒng)一格式,并將預(yù)處理結(jié)果存儲到數(shù)據(jù)挖掘庫中; 步驟四、數(shù)據(jù)挖掘; 對數(shù)據(jù)挖掘庫中的數(shù)據(jù)進行挖掘,將挖掘結(jié)果保存到數(shù)據(jù)分析庫中; 步驟五、數(shù)據(jù)分析; 對數(shù)據(jù)分析庫中的數(shù)據(jù)進行分析; 步驟六、證據(jù)呈現(xiàn)。
      2.如權(quán)利要求1所述基于動態(tài)用戶行為的云取證方法,其特征在于所述步驟二中,通過云中各數(shù)據(jù)收集Agent,收集來自云各層中所有的云用戶、云服務(wù)管理人員、異常用戶的動態(tài)行為及行為數(shù)據(jù)以及安全設(shè)備所產(chǎn)生的與動態(tài)用戶行為相關(guān)的安全事件、日志、告警信息。
      3.如權(quán)利要求2所述基于動態(tài)用戶行為的云取證方法,其特征在于所述步驟四中,數(shù)據(jù)分析庫采用鍵值模式,按列存儲數(shù)據(jù),以用戶為主鍵,時間狀態(tài)r以時間戳來表示,環(huán)境狀態(tài)以列族方式,分布式存儲該用戶所有的動態(tài)行為及行為數(shù)據(jù)。
      4.如權(quán)利要求3所述基于動態(tài)用戶行為的云取證方法,其特征在于所述步驟五中,對數(shù)據(jù)分析庫中的數(shù)據(jù)進行關(guān)聯(lián)分析、序列模式分析、孤立點分析;其中,通過關(guān)聯(lián)規(guī)則分析,將海量分析數(shù)據(jù)中的大量按特定規(guī)律分布的關(guān)聯(lián)規(guī)則挖掘出來;通過序列模式分析,找到入侵行為的時間序列、事件序列特征;而通過孤立點分析,分析數(shù)據(jù)中的異常數(shù)據(jù),找出異常數(shù)據(jù)模式,獲取有效證據(jù)信息。
      5.一種基于動態(tài)用戶行為的云取證系統(tǒng),其特征在于,包括行為數(shù)據(jù)收集模塊、連接行為數(shù)據(jù)收集模塊的數(shù)據(jù)預(yù)處理模塊、連接數(shù)據(jù)預(yù)處理模塊的數(shù)據(jù)挖掘模塊、連接數(shù)據(jù)挖掘模塊的數(shù)據(jù)分析模塊、連接數(shù)據(jù)分析模塊的證據(jù)呈現(xiàn)模塊以及復(fù)數(shù)個連接各模塊的數(shù)據(jù)庫;其中,所述數(shù)據(jù)庫包括有原始數(shù)據(jù)庫,用于存儲收集到的原始動態(tài)用戶行為及相關(guān)行為數(shù)據(jù);數(shù)據(jù)挖掘庫,用于保存經(jīng)過整合、歸一化、清洗后的數(shù)據(jù);數(shù)據(jù)分析庫,用于保存經(jīng)過數(shù)據(jù)挖掘后的數(shù)據(jù);證據(jù)庫,用于保存經(jīng)過取證分析后的證據(jù)。
      6.如權(quán)利要求5所述的基于動態(tài)用戶行為的云取證系統(tǒng),其特征在于所述行為數(shù)據(jù)收集模塊根據(jù)動態(tài)用戶行為的形式化定義,收集用戶行為及相關(guān)數(shù)據(jù),并存儲到原始數(shù)據(jù)庫中。
      7.如權(quán)利要求6所述的基于動態(tài)用戶行為的云取證系統(tǒng),其特征在于所述數(shù)據(jù)預(yù)處理模塊用于對原始數(shù)據(jù)庫中的用戶行為及相關(guān)數(shù)據(jù)進行整合、歸一化、清洗,合并重復(fù)數(shù)據(jù),統(tǒng)一格式,并將預(yù)處理結(jié)果存儲到數(shù)據(jù)挖掘庫中。
      8.如權(quán)利要求7所述的基于動態(tài)用戶行為的云取證系統(tǒng),其特征在于所述數(shù)據(jù)挖掘模塊對數(shù)據(jù)挖掘庫中的數(shù)據(jù)進行挖掘,將挖掘結(jié)果保存到數(shù)據(jù)分析庫中。
      9.如權(quán)利要求8所述的基于動態(tài)用戶行為的云取證系統(tǒng),其特征在于所述數(shù)據(jù)分析模塊基于MapReduce對數(shù)據(jù)分析庫中的數(shù)據(jù)進行關(guān)聯(lián)分析、序列模式分析、孤立點分析;所述證據(jù)呈現(xiàn)模塊將數(shù)據(jù)分析模塊的分析結(jié)果以可視化形式進行呈現(xiàn)。
      全文摘要
      本發(fā)明公開了一種基于動態(tài)用戶行為的云取證方法及系統(tǒng)提出動態(tài)用戶行為的形式化定義,以此為基礎(chǔ),通過收集動態(tài)用戶行為及行為數(shù)據(jù),保存這些數(shù)據(jù)為原始證據(jù)數(shù)據(jù);經(jīng)過數(shù)據(jù)整合、清洗和數(shù)據(jù)挖掘后,形成取證分析數(shù)據(jù),存儲在數(shù)據(jù)分析庫(鍵值數(shù)據(jù)庫)中,通過MapReduce對取證分析數(shù)據(jù)進行關(guān)聯(lián)分析、序列模式分析、孤立點分析,挖掘出潛在的用戶行為模式及可能存在的攻擊行為,形成取證證據(jù),以可視化的方式進行呈現(xiàn),將云計算的高性能計算能力和大規(guī)模分布式存儲環(huán)境應(yīng)用于計算機取證分析,以解決云計算取證中遇到的各種問題。
      文檔編號G06F17/30GK103051707SQ201210555958
      公開日2013年4月17日 申請日期2012年12月20日 優(yōu)先權(quán)日2012年12月20日
      發(fā)明者李清玉 申請人:浪潮集團有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1