本發明提供從流量還原賬號信息的方法、裝置、設備及存儲介質，屬于網絡安全領域。它解決現有賬號還原成功率低問題。本從流量還原賬號信息的方法，包括以下步驟：S1：一般事件解析：事件處理模塊對賬號進行配置解析；S2：登錄接口自動識別：登錄接口模塊根據URL關鍵詞識別登錄接口；S3：登錄接口手動識別：系統根據用戶輸入的URL關鍵詞識別登錄接口；S4：登錄事件解析：判斷登錄事件包含賬號字段或登錄憑證字段；S5：完整事件解析：對流量解析，建立IP、登錄憑證字段、賬號字段關系對；S6：不完整事件解析：建立IP、賬號字段關系對或IP、登錄憑證字段關系對；S7：關系對的補全；S8：賬號信息獲得。本發明具有賬號還原成功率高優點。

技術領域

本發明屬于網絡安全技術領域，特別涉及一種從流量還原賬號信息的方法、裝置、設備及存儲介質。

背景技術

從網絡流量中還原賬號在數據安全領域具有很重要的意義，還原賬號有利于我們對賬號行為進行監控，通過監控不同賬號的訪問行為，對比分析可以獲取哪些賬號行為存在異常。可以幫助安全人員及時發現存在的風險。

隨著企業的快速發展，企業內部的應用和賬號體系越來越多，企業內部敏感信息越來越多。企業急需一套可以監控所有應用賬號訪問行為的方案。但是在實際實施過程中，賬號的獲取通常需要和多個部門進行對接，需要開發人員留存包含賬號在內的相關信息才能進行進一步監控分析與管控。這樣做一方面加大了成本，另一方面在原有應用的基礎上新增賬號訪問行為留存模塊，可能會帶來未知的風險和不必要的麻煩。

從網絡流量中獲取賬號信息，可以不依賴與應用開發人員，但是現有技術多是從網絡流程中獲取IP地址信息，根據IP映射到人，這種方式還原成功率低。

發明內容

本發明的目的是針對現有技術中存在的上述問題，提供了一種還原成功率高的從流量還原賬號信息的方法、裝置、設備及存儲介質。

本發明的第一個目的可通過下列技術方案來實現：一種從流量還原賬號信息的方法，其特征在于，包括以下步驟：

S1：一般事件解析：接口接入流量時，事件處理模塊對賬號進行配置解析，事件處理模塊識別一般事件是否包含賬號字段，

-若包含賬號字段，則執行S8；

-若不包含賬號字段，則執行S2；

S2：登錄接口自動識別：系統內預置有登錄憑證字段、賬號字段、URL關鍵詞，登錄接口模塊根據URL關鍵詞識別登錄接口，

-若識別登錄接口成功，則執行S4；

-若識別登錄接口失敗，則執行S3；

S3：登錄接口手動識別：系統用于接收用戶輸入的URL關鍵詞或賬號字段或登錄憑證字段，系統根據用戶輸入的URL關鍵詞或賬號字段或登錄憑證字段識別登錄接口，并執行S4；

S4：登錄事件解析：

-若登錄事件中包含賬號字段和登錄憑證字段，則一次通過登錄請求，并執行S5；

-若登錄事件中只包含賬號字段或登錄憑證字段，則多次跳轉通過登錄請求，并執行S6；

S5：完整事件解析：對流量進行解析和匹配，建立IP、登錄憑證字段、賬號字段之間的關系對；

S6：不完整事件解析：

-若登錄事件中只包含賬號字段，則建立IP、賬號字段之間的關系對，并執行S7；

-若登錄事件中只包含登錄憑證字段，則建立IP、登錄憑證字段之間的關系對，并執行S7；

S7：關系對的補全：根據IP或賬號字段查找已建立的關系對，根據已建立的關系對匹配并建立IP、登錄憑證字段、賬號字段之間的關系對；