本發明實施例公開了一種訪問路徑的分析方法、訪問路徑的分析裝置、計算機設備和計算機可讀存儲介質。其中，訪問路徑的分析方法包括：從日志庫中獲取登錄日志；采用決策樹算法對登錄日志進行關聯分析，構建日志決策樹模型；根據日志決策樹模型中登錄日志的日志類型的關聯，補充訪問路徑，以獲取全部訪問路徑；采用聚類算法K?means對全部訪問路徑進行聚類分析；根據聚類分析結果輸出異常訪問路徑和訪問路徑基線。本發明使用決策樹算法、聚類算法K?means，實現了訪問路徑分析以及更有效的發現異常訪問路徑，提高了異常發現的準確性，挖掘出隱秘訪問通道，進而實現異常行為的審計，提高了訪問溯源的準確性。

技術領域

本發明涉及信息安全管理技術領域，尤其涉及一種訪問路徑的分析方法、訪問路徑的分析裝置、計算機設備及計算機可讀存儲介質。

背景技術

為了保護企業內部生產數據的安全，企業通過建立完整的日志審計系統，從技術上保證操作及行為的合規性，以減小審計管理員的壓力，消除生產數據的安全風險。審計系統通過采集和處理各種主機、網絡設備、安全設備、數據庫、中間件以及應用系統的日志信息，對各業務系統維護過程中的必要行為進行審計，實現操作行為的可查、可控。

企業依據法律法規及安全管理辦法，進行IT信息系統安全建設，規范企業員工的操作行為，日志審計系統依據上述規則規范，通過行為分析，從技術角度進行企業員工的操作行為審計。通常，審計系統建立5W1H(WHO何人、WHEN何時、WHERE何地、WHAT何事、WHY何因、HOW何法)模型，從WHO、WHEN、WHERE、WHAT、WHY、HOW幾個方面，通過規則、特征、關鍵字匹配及統計分析來進行審計。

作為審計里面的重要要素，WHERE，操作地點，從哪里來到哪里去，也就是整個操作訪問路徑的審計，至關重要。可以通過訪問路徑補全、溯源和分析，審計發現來自非常用地點、非安全專區、非授權IP(Internet Protocol，網絡之間互聯協議)的用戶訪問以及通過多級跳轉規避源IP的違規操作，還可以挖掘出網絡策略未覆蓋到的隱秘安全通道。

現有的訪問路徑分析，主要基于資源和系統的登錄日志，通過解析日志中的源地址和目的地址，依據事先制定的訪問規則字典，通過關鍵字匹配、統計對比來進行審計，而這些審計方法依賴的審計規則、審計策略和樣本數據，主要依靠審計人員的判斷、過往的經驗來制定或者設定，在準確性和靈活性方面大打折扣，無法應對手段豐富的惡意訪問，產生大量的漏審和誤審，遠遠無法滿足審計要求，普遍存在如下缺點：

1)溯源能力不夠：

對于多級跳轉的訪問，獲取不到準確的源地址，因而無法準地通過源地址進行審計。

2)審計發現異常路徑的準確性不夠：

生產環境情況復雜，很多時候也并不是非黑即白，所以目前主流的基于源IP地址的黑白名單的分析，其判斷依據的準確性直接影響到分析結果，由于分析依據主要靠人工依靠經驗來設定，所以可靠性并沒有那么高。

3)無法挖掘隱秘安全通道：

實際生產中，網絡環境復雜，有時候一條網絡策略的改變會影響很多網絡通道，會造成一些安全隱患，有些隱秘通道被惡意打通或者已經被利用，由于現有審計分析無法實現訪問路徑溯源補全，因而也無法獲取完整的訪問路徑，實現不了隱秘安全通道的挖掘。

發明內容

本發明實施例提供了一種訪問路徑的分析方法、訪問路徑的分析裝置、計算機設備和計算機可讀存儲介質。

第一方面，本發明實施例提供了一種訪問路徑的分析方法，方法包括：從日志庫中獲取登錄日志；采用決策樹算法對登錄日志進行關聯分析，構建日志決策樹模型；根據日志決策樹模型中登錄日志的日志類型的關聯，補充訪問路徑，以獲取全部訪問路徑；采用聚類算法K-means(K均值)對全部訪問路徑進行聚類分析；根據聚類分析結果輸出異常訪問路徑和訪問路徑基線。