[发明专利]一种从流量还原账号信息的方法、装置、设备及存储介质

说明书

本发明提供从流量还原账号信息的方法、装置、设备及存储介质，属于网络安全领域。它解决现有账号还原成功率低问题。本从流量还原账号信息的方法，包括以下步骤：S1：一般事件解析：事件处理模块对账号进行配置解析；S2：登录接口自动识别：登录接口模块根据URL关键词识别登录接口；S3：登录接口手动识别：系统根据用户输入的URL关键词识别登录接口；S4：登录事件解析：判断登录事件包含账号字段或登录凭证字段；S5：完整事件解析：对流量解析，建立IP、登录凭证字段、账号字段关系对；S6：不完整事件解析：建立IP、账号字段关系对或IP、登录凭证字段关系对；S7：关系对的补全；S8：账号信息获得。本发明具有账号还原成功率高优点。

技术领域

本发明属于网络安全技术领域，特别涉及一种从流量还原账号信息的方法、装置、设备及存储介质。

背景技术

从网络流量中还原账号在数据安全领域具有很重要的意义，还原账号有利于我们对账号行为进行监控，通过监控不同账号的访问行为，对比分析可以获取哪些账号行为存在异常。可以帮助安全人员及时发现存在的风险。

随着企业的快速发展，企业内部的应用和账号体系越来越多，企业内部敏感信息越来越多。企业急需一套可以监控所有应用账号访问行为的方案。但是在实际实施过程中，账号的获取通常需要和多个部门进行对接，需要开发人员留存包含账号在内的相关信息才能进行进一步监控分析与管控。这样做一方面加大了成本，另一方面在原有应用的基础上新增账号访问行为留存模块，可能会带来未知的风险和不必要的麻烦。

从网络流量中获取账号信息，可以不依赖与应用开发人员，但是现有技术多是从网络流程中获取IP地址信息，根据IP映射到人，这种方式还原成功率低。

发明内容

本发明的目的是针对现有技术中存在的上述问题，提供了一种还原成功率高的从流量还原账号信息的方法、装置、设备及存储介质。

本发明的第一个目的可通过下列技术方案来实现：一种从流量还原账号信息的方法，其特征在于，包括以下步骤：

S1：一般事件解析：接口接入流量时，事件处理模块对账号进行配置解析，事件处理模块识别一般事件是否包含账号字段，

-若包含账号字段，则执行S8；

-若不包含账号字段，则执行S2；

S2：登录接口自动识别：系统内预置有登录凭证字段、账号字段、URL关键词，登录接口模块根据URL关键词识别登录接口，

-若识别登录接口成功，则执行S4；

-若识别登录接口失败，则执行S3；

S3：登录接口手动识别：系统用于接收用户输入的URL关键词或账号字段或登录凭证字段，系统根据用户输入的URL关键词或账号字段或登录凭证字段识别登录接口，并执行S4；

S4：登录事件解析：

-若登录事件中包含账号字段和登录凭证字段，则一次通过登录请求，并执行S5；

-若登录事件中只包含账号字段或登录凭证字段，则多次跳转通过登录请求，并执行S6；

S5：完整事件解析：对流量进行解析和匹配，建立IP、登录凭证字段、账号字段之间的关系对；

S6：不完整事件解析：

-若登录事件中只包含账号字段，则建立IP、账号字段之间的关系对，并执行S7；

-若登录事件中只包含登录凭证字段，则建立IP、登录凭证字段之间的关系对，并执行S7；

S7：关系对的补全：根据IP或账号字段查找已建立的关系对，根据已建立的关系对匹配并建立IP、登录凭证字段、账号字段之间的关系对；