[0001] 本发明涉及信息安全领域，特别是一种异常行为识别系统。

[0002] 本部分只是为了方便理解本发明的内容，不应视为现有技术。

[0003] 根据网络面向的用户不同，可以将网络划分为外网（互联网）和内网（局域网）。内网又可以划分为办公网和生产网。办公上网的网络行为相对开放，容易发生病毒和网络入侵事件。若办公用户和生产用户处于同一网络中，则办公网络发生的病毒和入侵事件会几乎迅速传播到生产网，给生产安全带来极大的威胁。因此，办公网和生产网也被要求隔离。生产网也称为数据中心。数据中心包括计算资源、存储资源和网络资源等。

[0004] 常见的攻击行为包括：1、口令入侵，指使用某些合法用户的帐号和口令登录到目的设备，然后再实施攻击活动。这种方法的前提是必须先得到该设备上的某个合法用户的帐号，然后再进行合法用户口令的破译。2、特洛伊木马，常被伪装成工具程式或游戏等诱使用户打开，一旦用户打开了这些邮件的附件或执行了这些程式之后，他们就会留在计算机中，并在自己的计算机系统中隐藏一个能在windows启动时悄悄执行的程式。3、WWW欺骗，正在访问的网页已被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求。4、节点攻击，攻击者在突破一台设备后，往往以此设备作为根据地，攻击其他设备。他们能使用网络监听方法，尝试攻破同一网络内的其他设备；也能通过IP欺骗和设备信任关系，攻击其他设备。5、网络监听，是设备的一种工作模式，在这种模式下，设备能接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。

[0005] 但是，对于风险的监控或预警都只是用户，或者目标设备各自报警，所有预警都是是单一维度的信息。例如：用户报警：XX账号异常；或者是目标设备报警：XX设备异常。单一维度的信息无法获知是由于被攻击造成的异常报警，还是只是因为临时改变了操作规则导致的误报。

[0006] 现有的异常识别，能够单独针对账号或目标设备进行异常事件报警。该异常事件报警机制是在单一数据维度、基于固定规则进行判断而识别出的单一维度异常事件。这种异常事件报警机制存在的问题是：1、固定规则死板、无法与时俱进。如，某账号在非有效时段登录数据中心，则该账号发出异常事件报警。但是，有可能该账号是由临时的工作任务需要进入数据中心，并且已经过工作流引擎审批通过形成被允许的操作，但该被允许的操作并非固定规则，因此，具有合法被允许的操作的账号在非固定规则规定的有效时段登录数据中心，账号维度会发出账号异常事件报警。2、只从单一维度进行报警，而单一维度的异常事件无法构成异常行为或攻击行为。如某账号发出账号异常事件，但异常信息也仅在于该账号异常，没有办法获得与该账号关联的其他维度的信息。这些原因造成的问题主要有：1、误报率高，2、单一维度的异常事件报警，出本维度信息以外，没有其他维度的信息，因此无法判断异常事件是否由攻击行为造成，异常事件报警的参考价值较低。误报率高加上报警的参考价值不高，导致运维人员习惯性忽略异常事件报警，导致报警形同虚设。

[0043] 异常行为本发明中所述的异常行为，是指与白名单的内容不相符的操作行为，包括但不限于由黑客的攻击造成的异常行为，内部运维人员误操作造成的异常行为等。

[0044] 网关大家都知道，从一个房间走到另一个房间，必然要经过一扇门。同样，从一个网络向另一个网络发送信息，也必须经过一道“关口”，这道关口就是网关。顾名思义，网关（Gateway）就是一个网络连接到另一个网络的“关口”，也就是网络关卡。本发明中所述的网关，是指进入数据中心的门。

[0045] 工作流引擎所谓工作流引擎是指workflow作为应用系统的一部分，并为之提供对各应用系统有决定作用的根据角色、分工和条件的不同决定信息传递路由、内容等级等核心解决方案。本发明的工作流引擎能够完成运维人员的工作单审批与授权，工作单的内容包括终端（谁）以某身份账号以哪个服务端账号登录对应的服务端、进行哪些工作（操作权限）。

[0046] 服务端服务端是一种有针对性的服务程序，主要表现形式以“窗口程序”与“控制台”为主。服务端一般在Linux，Unix，Windows等操作系统下搭建。本发明中所述的服务端是指数据中心的所有设备服务程序，包括但不限于：主机（包括虚拟机），网络资源，Web，应用程序，中间件和数据库。

[0047] 服务端账号服务端账号是指登录服务端的账号-密码，每个服务端账号都对应相应的权限（操作权限）。

[0048] 堡垒机如图1所示，一种堡垒机，该堡垒机作为数据中心的运维操作网关；堡垒机内有身份账号，服务端账号，和身份账号与服务端账号的匹配关系；堡垒机具有身份认证模块，通过身份认证的终端，堡垒机对该终端匹配服务端账号，每个服务端账号具有各自的操作权限，堡垒机根据操作权限建立终端和服务端连接，终端对服务端的操作形成操作日志留存于堡垒机。

[0049] 堡垒机能够获取允许进入数据中心的所有人的身份账号，和数据中心中的所有服务端账号，堡垒机作为运维时进入数据中心的唯一通道，将通过堡垒机进入数据中心视为合法，未通过堡垒机进入数据中心视为非法。由堡垒机实现终端（责任人）与服务端的自动化匹配，解决了账号数量庞大、难以管理的问题。身份认证实现对终端的身份确定，获知“你是谁”，即谁要进入数据中心的服务端。也就是说，堡垒机对人的身份实现两次确认：1、申请进入的责任人属于允许进入的人的集合，2、申请进入的人是本人。如此，解决了身份模糊的问题，若发现问题，能够直接追溯到人。

[0050] 堡垒机对终端自动匹配服务端账号，实现对终端进入数据中心的访问控制，确定“你能去哪儿”解决越权访问的问题。服务端账号又与操作权限绑定，操作权限代表你能做什么，能够精确到指令，解决了违规和误操作的问题。终端对服务端所有的操作都以日志留存在堡垒机，解决日志难追溯的问题。

[0051] 进一步，服务端账号是指能够进入该服务端的账号-密码，每个服务端账号都有各自的操作权限，操作权限的内容包括允许进行操作的时间，允许进入的服务端和允许执行的操作。

[0052] 操作权限可以是预先配置在堡垒机中的固有规则或者是生产方审批后允许的规则。固有规则包括但不限于网络安全法，登记保护要求，上市企业规范，行业监管要求，运维安全需求等。

[0053] 在一些实施例中，在上述固有规则的基础上，操作权限可以通过灵活的授权策略定时或实时输入堡垒机。堡垒机与工作流引擎相连，工作流引擎中审批通过的工作单作为操作权限输入堡垒机。

[0054] 堡垒机通过API接口进行数据传输，如图2所示。堡垒机与生产方的办公平台相连，从而获取允许进入数据中心的人员名单、数据中心的资产记录，网络信息等。

[0055] 由于生产方数据中心的服务端数量大，种类多，品牌多，因此，堡垒机需要能够兼容各种服务端，作为优选的方案，堡垒机包括字符主机协议模块，图形主机协议模块，文件传输协议模块，数据库协议模块和应用发布协议模块。不同的协议模块用于兼容不同品牌、不同操作系统和不同的应用等。

[0056] 服务端包括主机，网络设备，web服务器，应用，中间件和数据库。服务端也被称为资产。

[0057] 终端访问堡垒机的方式包括：通过网页访问，或者，通过移动终端APP访问，或者，通过运维工具直连堡垒机；或者本地访问。

[0058] 在一些实施例中，身份认证模块采用双因子认证机制实现身份认证。

[0059] 服务端账号的操作权限首创基于用户属性授权，用户属性包括用户名、姓名、邮箱、和/或认证方式；和、或，服务端账号的操作权限首创基于服务端属性，服务端属性包括资产名称、IP地址、资产类型、和/或责任人。

[0060] 堡垒机中的操作权限和终端经堡垒机访问服务端（资产）后留下的操作日志进行比对，实现审计；审计包括字符操作审计，图形操作审计，文件传输审计，数据库操作审计，和/或日志检索。也就是说，审计时根据数据类型分类审计，比如图形数据、文件传输量、数据库文件等。

[0061] 堡垒机采用数据仓储技术进行数据管理，采用大数据索引技术进行数据检索，采用Spring Boot模块化技术进行任务构建和调度。任务包括字符协议处理、图形协议处理、授权数据处理等。

[0062] 在一些实施例中，堡垒机的部署方式是主机和备用机的双机部署方式，双机共用虚拟IP，如图3所示。

[0063] 在一些实施例中，堡垒机的部署方式是以每台堡垒机作为一个集群节点、可横向扩展的集群节点部署方式，所有集群节点共用虚拟IP，如图3所示。

[0064] 在一些实施例中，堡垒机的部署方式是以多站点方式部署，每个站点以双机部署、双机共用虚拟IP，或集群节点部署、集群节点共用虚拟IP，或单机部署、单机使用实际IP，如图3所示。

[0065] 在一些实施例中，堡垒机的部署方式是集群节点根据服务类型分类，多个集群节点组合形成完整的堡垒机功能。比如，集群节点包括Master HA，Worker节点，ES大数据索引集群和存储集群如图3所示。

[0066] 无Agent数据采集方法一种数据中心的数据采集方法，该方法在数据中心内设置数据采集器，对数据采集器输入初始的服务端账号，数据采集器以服务端账号定时登录服务端进行数据采集。

[0067] 在一些实施例中，数据采集器进入服务端采集数据，执行以下操作：数据采集器远程登录目标设备的操作系统，在服务设备的操作系统探测目标信息所在的文件，获取文件中的目标信息，将目标信息采集到数据采集器的存储模块中。

[0068] 数据采集器内设有数据配置模块，数据配置模块预设有数据的配置规则；数据采集器进行数据采集时，获取到目标信息后，将目标信息按配置规则形成配置数据，配置数据作为数据配置模块的输出。

[0069] 数据采集器一种数据中心的数据采集器，数据采集器是数据中心的服务端，数据采集器具有自动化采集数据模块，数据采集器通过服务端账号以远程登录的方式进入目标服务端搜索并采集目标数据。

[0070] 自动化数据采集模块包括但不限于应用、插件或脚本等。

[0071] 生产方的运维部门作为数据中心的管理者，具有进入服务端操作系统的账号。优选的，将服务端账号配置于数据采集器，数据采集器按配置的服务端定时、批量的登录数据中心进行数据采集。比如，数据采集器（IP地址）在XX时间以账号A登录服务端A进行数据采集，以账号B登录服务端B进行数据采集，账号C登录服务端C进行数据采集……。本方案的数据采集是配置数据全采集，如图6所示，资产数据中台采集和探测数据中心的所有资产，诸如补丁，账号，网络设备，操作系统，中间件，数据库，服务器，端口，进程，安全设备等。目前，单次采集可以配置500及以上个服务端的数据采集。如图5所示，采集层可以通过指令集登录服务端，或者通过将脚本植入服务端，通过脚本将服务端数据发送到数据层，还可以通过JMX、JDBC、API端口采集或者离线采集，或者本发明中的无Agent数据采集器或采集方法进行数据采集。

[0072] 在一些实施例中，数据采集器进入服务端采集数据，执行以下操作：数据采集器远程登录目标设备的操作系统，在服务设备的操作系统探测目标信息所在的文件，获取文件中的目标信息，将目标信息采集到数据采集器的存储模块中。

[0073] 数据采集器内设有数据配置模块，数据配置模块预设有数据的配置规则；数据采集器进行数据采集时，获取到目标信息后，将目标信息按配置规则形成配置数据，配置数据作为数据配置模块的输出。

[0074] 数据采集器承担了主动搜寻目标数据，并且将数据中心内各种品牌、各种种类的服务端数据以统一的格式输出，实现了主动采集数据和将不同类型的数据进行数据转换后输出的目的。

[0075] 在一些实施例中，该数据中心具有上述堡垒机，数据采集器中初始化的服务端账号来自于堡垒机，数据采集器独立于堡垒机。

[0076] 从资产的维度，利用堡垒机向数据中心采集数据，全面梳理在线资产。在生产方的运维记录中、具有数据中心所有设备的记录，设备记录包含登录该设备的账号密码。在构建数据中心时，生产方会对每一台购入的设备进入登记，并设置初始的登录账号（账号密码）。但是，在数据中心投入使用后，虽然设备没有改变，但是设备中的数据、设备的属性都在时刻变化。比如，登记设备时，设备A登记了设备ID，账号（进入的账号密码），属性为主机。但是，投入使用后，对设备A进行了重装，其属性变更为Web服务器。比如，设备A的属性不变，但主机的生产数据也在不断变化，等等。

[0077] 堡垒机定时登录服务端采集的数据包括端口数据、进程数据、账号数据、应用数据、硬件数据、补丁信息、网络数据、软件数据、服务端日志数据和服务端的登录数据，以及接口数据等。当然，堡垒机能够从服务端采集的数据不局限于上述举例，还可以是服务端具有的其他数据。

[0078] 通过从数据中心采集数据，发现资产、发现资产属性，进而达到全面梳理在线资产的目的。定时采集和梳理，使资产记录随着数据的变化而变化，构建全面完整的资产信息库。

[0079] 账号维护系统终端经过身份认证后被允许进入服务端进行操作。但是，服务端的数量非常庞大，每个服务端都有各自的账号和密码；因此账号-密码的数据量也非常庞大，账号管理方案应运而生。

[0080] 目前信息安全中的账号管理方案通常是管理终端向服务端的访问，记录并监控终端登录服务端之后的操作日志。这种账号管理方案存在的问题是：账号数量庞大，运维部门无法掌握服务端的所有账号，因此无法实现终端向服务端的唯一通道控制。

[0081] 一种数据中心账号维护系统，该账号维护系统包括数据采集器，数据采集器定时从在服务端的操作系统内搜索账号的存放位置，再获取该服务端上的所有账号；自动增加新出现的服务端账号；数据采集器定时对所有账号自动修改密码。

[0082] 操作系统和应用软件在安装时，都会在操作系统中有专门的存放登录账号（账号密码）以及该账号拥有的操作权限的文件。在进行账号维护时，数据采集器远程登录到服务端的操作系统后，先自动探测到账号的存放文件，然后再从存放文件中找到账号的账号密码和操作权限，并收集到数据采集器中。通常来说，存放文件中的密码可能是加密过的密文，因此，在进行账号维护时，对账号的密码进行自动改密，从而获得可使用的账号。

[0083] 通过不断的数据采集，能够获得服务端记载的所有账号-密码，并梳理账号。另外，获取服务端账号后自动修改密码，而密码的自动生成规则预先配置在数据采集器中，自动生成的密码自然符合各种密码规则，弱口令密码问题迎刃而解。数据采集器通过不断的采集，能够获取服务端的所有账号-密码，并自动改密，长期未改密账号问题，也迎刃而解。账号密码配置策略预设于数据采集器中，自动改密采用现有技术实现。

[0084] 数据采集器搜寻操作系统的账号存放位置，获取能够登录操作系统的所有账号。数据采集器获取服务端的操作系统账号，数据采集器以操作系统账号远程登录服务端，登录后、探测该操作系统的进程，以进程对应应用，再搜寻应用的账号存放文件，获取操作系统上每个应用的所有账号。

[0085] 在获取账号时获取账号的属性信息，账号的属性信息包括该账号最近一次的登录时间，账号权限，账号对应的身份信息，账号数量，账号创建时间，账号ID，账号的过期时间和账号来源等，如图9所示，可以通过网段扫描工具，精准扫描工具获取账号信息；将当前次的账号属性信息与上一次采集的账号属性信息进行比对，若账号属性信息有变化，则将变化视为账号异常事件。账号-密码，及该账号的属性信息都属于服务端账号的内容。

[0086] 数据采集器具有搜索模块，账号异常时间按账号属性信息分类，归类统计账号异常事件。

[0087] 将账号最近一次的登录时间与预设时间阈值相比，超出预设时间阈值的账号视为僵尸账号；和、或，将账号权限与上一次采集的账号权限比对，若权限内容变化，则视为越权账号；和、或，识别账号对应的身份信息，若身份信息为空，则视为幽灵账号；若身份信息不为空，则将身份信息与上一次采集的身份信息比对，若身份信息变化，则视为风险账号；僵尸账号、越权账号、幽灵账号和风险账号都属于账号异常事件。

[0088] 和、或，判断当前次获得的账号数量与上一次获得的账号数量是否相等，若当前次获得的账号数量大于上一次获得的账号数量，将新增账号视为账号异常事件；若当前次获得的账号数量小于上一次获得的账号数量，则获取被删除账号，账号删除视为账号异常事件等。账号异常事件很可能是由于攻击行为或者误操作导致，异常事件触发风险提醒。

[0089] 使用SDK获取密码；或者，使用自动化插件获取密码。

[0090] 对于每一次采集的账号数据，筛查账号的过期时间，将达到过期时间的账号删除，并生成新的账号及其密码。新的账号-密码的生成根据账号密码配置策略获得。如此，可以实现账号生命周期管理，和一事一密。

[0091] 使用数据采集器进行账号维护的数据中心具有堡垒机，数据采集器第一次自动登录服务端的账号来自于堡垒机，数据采集器每一次采集的服务端账号记录都输入堡垒机。如图10所示，账号维护系统进行账号梳理，每次获取新的账号即对新获取的账号改密，并存储账号和密码，账户维护系统梳理获得的所有账号信息推送给堡垒机，堡垒机根据账号进行访问授权，建立终端与资产（服务端）的连接、实现资产访问，实现终端对资产的操作审计。

[0092] 数据采集器中预设有账号安全基线，账号安全基线包括上一次更新的数据，若数据采集器当前次采集的数据与账号安全基线相比有变化，则将变化的数据标记为账号异常事件。

[0093] 这种数据中心账号维护的方法具有以下优点：1、能够全面收集账号数据，获取数据中心存在的所有服务端账号。2、能够全面收集数据，并对账号进行综合风险评测；从操作系统直接获得账号密码，通过多种密码探测方式，兼容数据中心所有资产类型。3、账号密码配置策略预设于数据采集器中，账号密码配置策略可以包括加密算法，实现密码的自动加密，也可以将密码与当前硬件信息结合，支持硬件加密。4、使用API实现数据传输，与堡垒机无缝联动，数据采集器以插件形式快速与堡垒机或其他服务端集成，能够适用于超大规模账号管理场景。

[0094] 服务器、网络设备、数据库、安全设备和中间件等都是数据中心的资产，因资产设备的数量大、种类多、多品牌、变化快，导致资产台账难以梳理；而资产风险多样且分散，安全部门不是数据的生产者，也不是数据中心的构建者，而作为数据生产者和数据中心构建者的技术部门，着重关注IT效率，而不关注IT安全；安全部门着重关注IT安全，而不注重IT效率；导致安全部门在获取资产安全数据上举步维艰，资产风险难以识别，行业安全规则难以实现。

[0095] 资产数据中台为了克服资产不清晰、风险不可知、整改不透明的问题，本发明提出一种对数据生产低干扰，能够获得数据中心完整的资产安全数据的资产数据中台。

[0096] 一种数据中心的资产数据中台，包括：采集层，数据层和应用层，采集层定时从服务端、搜索并获取目标数据；目标数据输入数据层，数据层将目标数据分类存储；资产数据中台预设有数据的配置规则，数据层的目标数据配置后输出，应用层包括多个展示模块，应用层的展示模块横向扩展，如图5所示。

[0097] 采集层从服务端主动式搜寻目标数据，也就是说，采集层先寻找到目标数据，再进行数据采集，如图4所示，资产安全数据中台对数据中心进行数据全采集，将当前采集的数据与安全基线比对，获取和识别恶意文件，非法进程，非法变更，病毒，高危漏洞，非法端口等。而非被动式的接收服务端的数据。并且，采集后的数据在数据中台内进行分类存储以及数据格式配置，配置后的数据输入远程分析平台，或者由数据中台的应用层的各展示模块进行结果展示。

[0098] 采集层从服务端获取数据的方式包括但不限于：利用脚本采集数据，利用指令集采集数据，利用装载在服务端的Agent采集数据，利用JMX方式采集，利用JDBC方式采集，利用API接口获取数据等，如图5所示。如图7所示，从数据中心采集的数据包括端口信息、进程信息、文件信息、账号信息、网络信息、软件信息、版本信息、补丁信息、应用服务配置、账号配置、操作系统（OS）配置、网络设备配置、安全设备配置、数据库配置等等。

[0099] 采集层定时通过服务端账号登录操作系统进行数据搜索和采集；采集层内配置有服务端账号集合，采集层定时自动化采集数据。

[0100] 数据中心具有上述堡垒机，采集层的服务端账号集合来自堡垒机。优选的，数据中心具有上述账号维护系统，账号维护系统每次获取的服务端账号集合定时与堡垒机同步，堡垒机的服务端账号与数据中台同步。

[0101] 数据中台具有探测模块，探测模块包括SNMP扫描工具，和、或NMAP网络连接端扫描工具，和、或ping发现，和、或主机ARP缓存发现，和、或局域网ARP扫描发现；和、或探测进程发现应用。探测模块用于发现数据中心的新资产。

[0102] 基于snmp的自动发现网络内的主机。NMAP扫描数据中心开放的网络连接端，探测工作环境中未登记的服务器。Ping用于发现与当前登录的服务端远程连接的远程服务端。通过查询主机ARP缓存发现访问当前服务端的主机IP地址。利用局域网ARP扫描发现局域网内所有主机。

[0103] 这是因为，数据中心的数据生产者和设备构建者是技术部门，而非安全部门，安全部门无法及时得知数据中心的资产现状。因此，在进行资产数据采集的同时或之前，也对数据中心进行资产探测，发现网络中存在的资产，查漏补缺确保资产台账的完整性。探测到新资产后，通过人工添加资产的服务端账号，或者利用账号维护系统等其它途径获得资产的服务端账号。

[0104] 采集层采集的数据包括但不限于：账号信息，端口信息，进程信息，补丁信息，文件信息，网络信息，软件信息，版本信息，操作系统配置，应用服务配置，账号配置，网络设备配置，安全设备配置，中间件配置，数据库配置，业务信息，硬件信息，操作系统信息，内核信息，磁盘分区等。

[0105] 以服务端账号定时登录服务端，自动化、批量采集数据，无需在设备中植入脚本或安装Agent，对业务的影响降到最低。只需要在采集层配置需要采集的目标数据，即可实现多维数据一次性采集，采集效率高，无需频繁采集。

[0106] 在一些实施例中，资产数据中台配置安全基线，安全基线为上一次采集的数据，和、或风险点规则；每一次数据采集后，将当前数据与安全基线进行比对，将发生变化的数据作为异常事件；比如，资产数据中，在上一次数据中，端口1关闭；但当前数据中，端口1打开，则端口1出现数据变化，被标记为异常事件。再比如，账号数据中，在上一次数据中，无账号X。但当前数据中，出现账号X，即新增账号X，则账号X为数据变化，被标记为异常事件。异常事件很可能是由于攻击行为或者误操作导致，异常事件触发风险提醒。

[0107] 比如，账号应该包含数字、字母和符号，但出现账号Y只有数字，则将账号Y标记为异常事件。比如，服务端X在周末不应该被登录，但服务端X在周末被登录了，则将在周末登录服务端X标记为异常事件。风险点规则可以是行业规则，比如判断弱口令账号的规则，长期不登录的僵尸账号等。风险点规则，也可以是法律规定。

[0108] 异常行为识别系统上述堡垒机实现运维人员进入数据中心时的身份认证、访问控制、权限控制和操作审计，账号维护系统能够自动收集到数据中心的所有服务端账号，从而实现了在设备和主机层，堡垒机作为进入数据中心运维的唯一通道。资产数据中台能够定时采集资产信息，并梳理获得数据中心完整的资产信息，发现资产上的异常事件，实现资产维度的风险预警。但是，异常事件都是单维度事件，异常事件需要与人相关联才能形成行为。本发明的第五方面，以堡垒机、账号维护系统和资产数据中台作为数据来源，基于堡垒机建立白名单，利用异常事件触发和白名单来识别人的异常行为，降低异常误报率的异常行为识别系统。

[0109] 异常行为识别系统，如图11所示，包括数据采集层和行为分析引擎，数据采集层收集所有被授权的行为数据，数据中心所有的服务端账号，和资产数据以及资产数据的变化；以被授权的行为数据建立白名单，以资产数据的变化作为异常事件，数据采集层的数据汇总于行为分析引擎，行为分析引擎将每一个异常事件与白名单对比，判断异常事件的内容是否属于白名单，若不属于白名单，则该异常事件标记为异常行为；行为分析引擎只对异常行为报警。

[0110] 本方案将人的行为划分为以下几个基本要素：人（某责任人），时（在什么时间、时段），地（在哪里，即设备），事（做了什么，即操作指令）。而人的信息包括：操作人员和账号密码。因此，要看清在数据中心中人的异常行为，需要包含以下内容：哪位操作人员用哪组账号密码（人）进入到哪个服务端（地）在什么时间（时）执行哪些操作指令（事）。

[0111] 账号维度的数据包含：哪个服务端上（地）在什么时间（时）发什么账号（确实操作人员的人的相关信息）变化。因此账号维度的数据缺失了操作人员的信息，即无法看到是哪个自然人执行的操作，从而无法鉴别是工作人员进行正常工作（正常行为），还是黑客（非工作人员）进行攻击。

[0112] 资产维度的数据包含：哪个服务端上（地）在什么时间（时）发什么设备数据变化（事）。因此，资产维度的数据缺失了人的信息。

[0113] 被授权的行为包含：允许某责任人以某组账号密码（人）在什么时间（时）登录某台设备（地）进行操作（事）。被允许的操作具有人、时、地、事这些行为的基本要素。但是，被允许的操作是被预先配置的规则，被允许的操作本身是明确的规则，只会动态更新或补充，行业内不会因为被允许的操作的动态变化而认为攻击行为发生。而账号维度和、或资产维度的数据变化（异常事件触发）却有可能是因攻击行为造成。因此，本发明基于被允许的操作（被配置的规则）作为白名单，将账号维度的数据、资产维度的数据和白名单相互对照，实现行为的基本要素的拼接，从而达到识别基于人的异常行为的目的。

[0114] 优选的，数据采集层包括堡垒机，账号维护系统和资产数据中台，堡垒机中的操作权限和操作日志属于被授权的行为。

[0115] 堡垒机实现了运维通道唯一性，资产数据中台实现了数据中心资产数据的完整性，因此，堡垒机拥有所有被授权的行为信息、建立白名单，资产数据中台能够发现资产端的所有数据变化并触发异常事件告警；行为分析引擎针对异常事件告警在白名单中确认信息，判断是否未授权的异常行为。

[0116] 操作日志中详细记录了实际发生的操作指令。被允许的操作是允许做的、未必实际发生。操作日志是实际发生的，操作指令和被允许的操作相互补充、完善白名单的内容。

[0117] 账号维护系统收集数据中心内所有的服务端账号，账号维护系统与堡垒机连接，更新堡垒机内的服务端账号，服务端账号属于白名单。

[0118] 资产数据中台获得数据中心完整全面的资产信息，并且在每一次采集数据后，识别出异常事件。

[0119] 行为分析引擎行为分析引擎封装为一个独立的模块，能够移植到任意平台、系统或整体方案中。行为分析引擎包括获取数据的输入接口，分析数据的引擎内核，和输出数据的输出接口。输出接口可以是直接与应用APP相连，也可以是与其他数据引擎（比如搜索引擎）相连。

[0120] 在一些实施例中，行为分析引擎针对每一个异常事件，判断该异常事件是否具有身份认证信息，若是，则判断该身份认证信息是否属于白名单，若否，则该异常事件视为异常行为。是否具有对人的身份认证是指该异常事件是否具有身份认证的阶段。比如异常事件对应的行为拼接数据为：责任人A1登录服务端D1，但责任人A1不属于白名单中允许登录服务端D1的人员列表的人员集合，则该异常事件视为异常行为。即，未经授权的人登录的数据中心的服务端是异常行为。

[0121] 在一些实施例中，若该异常事件通过堡垒机的身份认证，则获得该异常事件对应的服务端账号，判断异常事件的服务端账号是否属于白名单，若否，则该异常事件视为异常行为。比如，责任人A1以账号B1在时间T1进入服务端D1，责任人经身份认证后属于白名单中在时间T1允许进入的人员，但账号B1不属于白名单中在时间T1进入服务端D1的账号集合，则该异常事件为异常行为。使用未经授权的服务端账号，是异常行为。

[0122] 在一些实施例中，判断服务端账号是否属于白名单时，先获取服务端账号的账号-密码，若服务端账号的账号-密码不属于白名单，则认为是异常行为；若服务端账号的账号-密码属于白名单，则判断该账号的实际使用时间是否与服务端账号的操作权限一致，若不一致，则认为是异常行为。

[0123] 也就是说，在判断服务端账号是否属于白名单时，先判断进入该服务端的账号-密码是否在堡垒机中有记录，若出现新的账号-密码，则认为出现异常行为。这是因为，根据堡垒机的访问控制功能，所有经过堡垒机授权进入数据中心的行为都会被记录，若堡垒机中无相应记录，则说明当前登录行为未经过堡垒机授权，属于非法操作，即异常行为。

[0124] 当服务端账号的账号-密码属于白名单时，还要判断该登录时间是否在权限允许的时间内，基于堡垒机的权限控制功能，堡垒机只在权限允许的范围内进行访问通道的建立，若实际的操作信息与操作权限不符，也说明当前登录行为未经过堡垒机授权，属于非法操作，即异常行为。

[0125] 在一些实施例中，若异常事件时经过堡垒机认证、并使用白名单内的服务端账号在允许的时间内登录，则判断该异常事件对应操作指令是否属于白名单，若否，则该异常事件视为异常行为。堡垒机的操作日志是用于比对操作指令的白名单内容。异常事件的实质是数据变化，而数据变化是由操作指令导致。若操作日志中没有相应的操作指令，基于堡垒机的审计功能，可知当前操作并非经过堡垒机授权进行，可能是从漏洞进入，是异常行为。

[0126] 以账号维度的异常事件入手，账号维度的数据采集器发现账号异常事件，提取异常事件发生的时间和服务端，在白名单中搜索是否有跟事件发生时间和服务端匹配的权限，若是，则判断权限中是否记录有操作指令，若记录有操作指令，则判断该操作指令是否会导致该异常事件对应的数据变化，若操作指令对应数据变化，则认为是正常行为，若操作指令与数据变化不对应，则认为是异常行为；若没有跟事件发生时间和服务端匹配的权限，则认为是异常行为。

[0127] 若权限中未记录操作指令，则寻找该权限在事件发生时间前后出现的操作日志，从操作日志中提取操作指令，判断日志中的操作指令是否会导致该账号异常事件对应的账号变化，若操作指令对应账号变化，则认为是正常行为，若操作指令与账号变化不对应，则认为是异常行为。

[0128] 以资产维度的异常事件入手，资产维度的数据采集器发现资产异常事件，提取资产异常事件发生的时间和服务端，在白名单中搜索是否有跟事件发生时间和服务端匹配的权限，若是，则判断权限中是否记录有操作指令，若记录有操作指令，则判断该操作指令是否会导致该异常事件对应的数据变化，若操作指令对应资产状态变化，则认为是正常行为，若操作指令与资产状态变化不对应，则认为是异常行为；若没有跟事件发生时间和服务端匹配的权限，则认为是异常行为。

[0129] 若权限中未记录操作指令，则寻找该权限在事件发生时间前后出现的操作日志，从操作日志中提取操作指令，判断日志中的操作指令是否会导致该资产异常事件对应的资产状态变化，若操作指令对应资产状态变化，则认为是正常行为，若操作指令与资产状态变化不对应，则认为是异常行为。

[0130] 运维的安全系统数据中心运维的安全系统，该系统包括数据采集层，数据分析层和应用层；数据采集层包括横向扩展的数据采集器和堡垒机，数据采集层获得的数据汇集于数据分析层；数据分析层包括横向扩展的分析引擎，所有分析引擎共用来自于数据采集层的数据；应用层包括横向扩展的应用模块，数据分析层的结果由相应的应用来展示，如图8所示数据中心运维的安全系统包括应用层，分析层，和采集层；堡垒机、账号管理系统，资产数据中台（或称资产管理系统）作为从数据中心（对象层）进行数据采集的采集器。分析层包括诸如搜索引擎、任务调度引擎、大数据处理引擎、机器学习引擎和行为分析引擎等数据分析引擎；采集层从对象层获取的数据输入分析层进行数据分析，数据分析的结果由应用层的各种应用APP展示结果。

[0131] 该运维系统将传统的一数据采集器对应一个分析模块，再对应一个展示模块的烟囱式架构，改为划分为数据采集层，数据分析层和应用层之后，层间纵向叠加，本层横向扩展，所有展示模块共用数据分析层和数据采集层的架构，能够根据用户需求及时、灵活的扩展，提高采集效率、分析效率和展示效率。

[0132] 数据采集层包括但不限于堡垒机，账号维护系统和资产数据中台等。

[0133] 数据分析层包括但不限于上述行为分析引擎，搜索引擎，任务管理引擎等。

[0134] 本说明书实施例所述的内容仅仅是对发明构思的实现形式的列举，本发明的保护范围不应当被视为仅限于实施例所陈述的具体形式，本发明的保护范围也及于本领域技术人员根据本发明构思所能够想到的等同技术手段。