虚拟专用网络异常使用检测方法、装置和电子设备

技术领域

本公开涉及人工智能和金融技术领域，更具体地，涉及一种虚拟专用网络异常使用检测方法、装置和电子设备。

背景技术

虚拟专用网络(virtual private network，简称VPN)是通过安全性无法满足要求的网络传输创建安全网络。具体地，采用封装、加密、认证、访问控制等手段，而构建的独立、自治的虚拟网络，可应用于网络的安全互联、移动安全接入等领域。很多企业通过内网和互联网隔离的方法实现内网的安全性。通过VPN技术，使用户在互联网环境下也可以安全接入企业内网，实现远程办公。VPN也是现阶段的用户进行移动办公的首选安全技术。

随着远程办公需求的提升，如由于疫情等突发事件导致员工需要在工位之外的位置进行办公或居家办公等，VPN的使用越来越广泛。

在实现本公开构思的过程中，申请人发现相关技术中至少存在如下问题。如果VPN账号被盗用或者员工之间违规共用VPN账号，会造成非法访问企业内网，导致企业内网信息安全存在隐患。

发明内容

有鉴于此，本公开提供了一种用于检测通过VPN非法访问局域网的虚拟专用网络异常使用检测方法、装置和电子设备。

本公开的一个方面提供了一种由服务器端执行的虚拟专用网络异常使用检测方法，包括：获得虚拟专用网络日志，虚拟专用网络日志是用户使用虚拟专用网络账号登录虚拟专用网络时产生的日志，日志包括待检测媒体存取控制位地址和待检测虚拟专用网络账号；响应于虚拟专用网络日志，生成待检测媒体存取控制位地址和待检测虚拟专用网络账号之间的待检测映射关系；基于待检测映射关系在关系数据集合中进行匹配，得到匹配结果，关系数据集合包括媒体存取控制位地址和虚拟专用网络账号之间的历史映射关系和历史映射次数；以及基于匹配结果进行异常使用检测。

根据本公开的实施例，基于匹配结果进行异常使用检测包括：基于针对待检测映射关系的匹配结果是匹配成功的历史映射次数、针对待检测媒体存取控制位地址的匹配结果或者针对待检测虚拟专用网络账号的匹配结果中至少一种进行异常使用检测。

根据本公开的实施例，基于针对待检测映射关系的匹配结果是匹配成功的历史映射次数、针对待检测媒体存取控制位地址的匹配结果或者针对待检测虚拟专用网络账号的匹配结果中至少一种进行异常使用检测，包括：如果待检测映射关系匹配结果是匹配成功的历史映射次数，是针对待检测媒体存取控制位地址的映射次数的前N位，或者是针对待检测虚拟专用网络账号的映射次数的前N位，则确定异常使用风险为第一风险等级，其中，N是大于或等于1的正整数。

根据本公开的实施例，基于针对待检测映射关系的匹配结果是匹配成功的历史映射次数、针对待检测媒体存取控制位地址的匹配结果或者针对待检测虚拟专用网络账号的匹配结果中至少一种进行异常使用检测，包括：如果待检测映射关系匹配结果是匹配成功的历史映射次数，位于针对待检测媒体存取控制位地址的映射次数的前N位之外，或者位于针对待检测虚拟专用网络账号的映射次数的前N位之外，则确定异常使用风险为第二风险等级，其中，N是大于或等于1的正整数。

根据本公开的实施例，基于针对待检测映射关系的匹配结果是匹配成功的历史映射次数、针对待检测媒体存取控制位地址的匹配结果或者针对待检测虚拟专用网络账号的匹配结果中至少一种进行异常使用检测，包括：如果与待检测媒体存取控制位地址存在映射关系的虚拟专用网络账号的数量大于或等于第一预设阈值，和/或，与待检测虚拟专用网络账号存在映射关系的媒体存取控制位地址的数量大于或等于第二预设阈值，则确定异常使用风险为第三风险等级。

根据本公开的实施例，上述方法还包括：在生成待检测媒体存取控制位地址和待检测虚拟专用网络账号之间的待检测映射关系之后，基于待检测映射关系更新关系数据集合。

根据本公开的实施例，关系数据集合的构建方式包括：获取多个历史虚拟专用网络日志；针对每个历史虚拟专用网络日志，获取针对历史虚拟专用网络日志的格式化数据；从格式化数据中获取历史媒体存取控制位地址和历史虚拟专用网络账号之间的历史映射关系；以及关联各历史媒体存取控制位地址和各历史虚拟专用网络账号，得到各历史媒体存取控制位地址和各历史虚拟专用网络账号之间的历史映射关系以及历史映射次数。

根据本公开的实施例，用户具有邮箱地址；上述方法还包括：在基于匹配结果进行异常使用检测之后，如果异常使用检测结果是异常，则给用户的邮箱地址和/或审计用户的邮箱地址发送异常使用检测结果。

根据本公开的实施例，上述方法还包括：获取满足指定时间范围的虚拟专用网络日志；获取满足指定时间范围的虚拟专用网络日志中各媒体存取控制位地址和各虚拟专用网络账号之间的待审计映射关系；图形化待审计映射关系，得到待审计映射关系图，待审计映射关系图中映射关系通过线段进行表示，线段具有表征映射次数的标注信息；以及输出待审计映射关系图。

本公开的一个方面提供了一种虚拟专用网络异常使用检测装置，该装置包括：日志获得模块、映射关系生成模块、映射关系匹配模块和异常检测模块。其中，日志获得模块用于获得虚拟专用网络日志，虚拟专用网络日志是用户使用虚拟专用网络账号登录虚拟专用网络时产生的日志，日志包括待检测媒体存取控制位地址和待检测虚拟专用网络账号；映射关系生成模块用于响应于虚拟专用网络日志，生成待检测媒体存取控制位地址和待检测虚拟专用网络账号之间的待检测映射关系；映射关系匹配模块用于基于待检测映射关系在关系数据集合中进行匹配，得到匹配结果，关系数据集合包括媒体存取控制位地址和虚拟专用网络账号之间的历史映射关系和历史映射次数；以及异常检测模块用于基于匹配结果进行异常使用检测。

本公开的另一方面提供了一种电子设备，包括一个或多个处理器以及存储装置，其中，存储装置用于存储可执行指令，可执行指令在被处理器执行时，实现如上的方法。

本公开的另一方面提供了一种计算机可读存储介质，存储有计算机可执行指令，指令在被执行时用于实现如上的方法。

本公开的另一方面提供了一种计算机程序，计算机程序包括计算机可执行指令，指令在被执行时用于实现如上的方法。

附图说明

通过以下参照附图对本公开实施例的描述，本公开的上述以及其他目的、特征和优点将更为清楚，在附图中：

图1示意性示出了根据本公开实施例的可以应用虚拟专用网络异常使用检测方法、装置和电子设备的示例性系统架构；

图2示意性示出了根据本公开实施例的虚拟专用网络异常使用检测方法的流程图；

图3示意性示出了根据本公开实施例的关系数据集合的示意图；

图4示意性示出了根据本公开实施例的关系数据集合的构建方法的流程图；

图5示意性示出了根据本公开实施例的历史映射关系的示意图；

图6示意性示出了根据本公开实施例的审计VPN日志的流程图；

图7示意性示出了根据本公开实施例的VPN共用关系的示意图；

图8示意性示出了根据本公开实施例的虚拟专用网络异常使用检测装置的方框图；

图9示意性示出了根据本公开实施例的虚拟专用网络异常使用检测系统结构示意图；以及

图10示意性示出了根据本公开实施例的电子设备的方框图。

具体实施方式

以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。

在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。

在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。

在使用类似于“A、B和C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个特征。

虚拟专用网络是指在公用网络上建立专用网络的技术。整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，用户数据在逻辑链路中传输。VPN涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。连接了VPN的设备，其用户的所有网络请求可能会有被第三方监听或更改的风险。

可以通过审计的方式发现异常访问，来降低局域网的内部信息泄露的风险。

相关技术的VPN日志审计方案中，可以根据一个固定的配置表，通过定期与VPN日志进行比对，基于用户登录成功失败情况(是否连续输错密码，存在账号被盗用的风险)，登录时长等信息开展审计。

然而，经过分析申请人在使用过程中遇到的问题，发现以上审计方案存在诸如如下所示的问题。

例如，需要事先收集VPN使用者的配置信息：现有审计技术，需要事先将VPN使用者的媒体存取控制位地址(Media Access Control Address，简称MAC地址)、互联网协议(Internet Protocol Address，简称IP)、登录账号都是提前配置好，针对日志记录的以上信息开展匹配。该方式中进行人工配置导致存在较大人力成本。此外，在录入过程中，也会有错误发生。

例如，配置文件存在滞后性：随着网络技术的发展，电脑终端存在多个网卡地址，包括有线网卡、无线网卡，另外有线网卡变成外置设备后，共用有线网卡发生的情况也会产生新的有限网卡地址，这就使得通过网卡地址也无法唯一定位终端。另一方面由于频繁变换工作地点、IP地址的动态发放，通过IP地址也无法唯一识别使用VPN的电脑终端；所以，基于固定的配置开展VPN日志审计明显应对不了现在丰富多样的上网形式。

例如，识别异常访问行为的效率差，精确度低。配置文件的不准确，当使用人员换了登录VPN的终端电脑，使用有线网、无线网都会有不同的MAC地址及IP，导致在审计过程中，耗费大量精力重新核对匹配这些信息。对于使用VPN人员较多的组织，每个人都存在若干条此类不确定配置的，难以从成千上万条VPN日志中发现异常的登录，识别潜在的账号被盗用或违规窃取行为。

基于以上分析，通过相关技术的VPN审计方案，无法识别账号共用或者非授权使用，也就无法及时精准发现异常访问企业内网的行为，给企业内网安全带来安全隐患。

本公开的实施例提供了一种虚拟专用网络异常使用检测方法、装置和电子设备。该虚拟专用网络异常使用检测方法包括映射关系生成过程和异常使用检测过程。在映射关系生成过程中，首先，获得虚拟专用网络日志，虚拟专用网络日志是用户使用虚拟专用网络账号登录虚拟专用网络时产生的日志，日志包括待检测媒体存取控制位地址和待检测虚拟专用网络账号，然后，响应于虚拟专用网络日志，生成待检测媒体存取控制位地址和待检测虚拟专用网络账号之间的待检测映射关系。在完成映射关系生成过程之后进入异常使用检测过程，首先，基于待检测映射关系在关系数据集合中进行匹配，得到匹配结果，关系数据集合包括媒体存取控制位地址和虚拟专用网络账号之间的历史映射关系和历史映射次数，然后，基于匹配结果进行异常使用检测。

本公开实施例提供的虚拟专用网络异常使用检测方法、装置和电子设备，为解决目前VPN使用过程中存在的技术问题，以便精准快速地定位被盗用或违规共用的VPN账号，识别异常访问局域网(如企业内网)的行为。具体地，基于知识图谱技术通过知识抽取、知识推理和知识表示，无需预先、额外对用户终端各种信息进行配置，就可通过图计算筛查出账号被盗用及异常访问企业内网的情况。

本公开实施例提供的虚拟专用网络异常使用检测方法、装置和电子设备可用于人工智能领域在虚拟专用网络异常使用检测相关方面，也可用于除人工智能领域之外的多种领域，如金融领域，本公开实施例提供的虚拟专用网络异常使用检测方法、装置和电子设备的应用领域不做限定。

图1示意性示出了根据本公开实施例的可以应用虚拟专用网络异常使用检测方法、装置和电子设备的示例性系统架构。需要注意的是，图1所示仅为可以应用本公开实施例的系统架构的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。

如图1所示，根据该实施例的系统架构100可以包括终端设备101、102、103，网络104和服务器105、106、107。网络104可以包括多个网关、路由器、集线器、网线等，用以在终端设备101、102、103和服务器105、106、107之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用终端设备101、102、103通过网络104与其他终端设备和服务器105、106、107进行交互，以接收或发送信息等，如接收异常使用告警信息、发送VPN日志定期审计请求等。终端设备101、102、103可以安装有各种通讯客户端应用，例如，审计类应用、软件开发类应用、银行类应用、政务类应用、监控类应用、网页浏览器应用、搜索类应用、办公类应用、即时通信工具、邮箱客户端、社交平台软件等应用(仅为示例)。例如，用户可以使用终端设备101查看包括Mac地址和VPN账号的映射关系的知识图谱。例如，用户可以使用终端设备102发送VPN日志定期审查请求。例如，用户可以使用终端103查看历史映射关系等。

终端设备101、102、103包括但不限于能够使用网页浏览器的智能手机、虚拟现实设备、增强现实设备、平板电脑、膝上型便携计算机、台式电脑等等。

服务器105、106、107可以接收请求，并对请求进行处理，具体可以为存储服务器、后台管理服务器、服务器集群等。例如，服务器105可以存储有关系数据集合，服务器106可以用于构建知识图谱，如通过(Extract-Transform-Load，简称ETL)技术从日志中提取结构化数据，服务器107可以基于进行匹配，并基于匹配结果进行异常使用检测，并将检测结果(如是否存在异常使用等)反馈给终端设备。

需要说明的是，本公开实施例所提供的虚拟专用网络异常使用检测方法一般可以由服务器105、106、107执行。相应地，本公开实施例所提供的虚拟专用网络异常使用检测装置一般可以设置于服务器105、106、107中。本公开实施例所提供的虚拟专用网络异常使用检测方法也可以由不同于服务器105、106、107且能够与终端设备101、102、103和/或服务器105、106、107通信的服务器或服务器集群执行。

应该理解，终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

为了便于理解本公开的实施例，首先对涉及到的部分术语进行说明。

知识图谱：是一种用图模型来描述知识和建模世界万物之间的关联关系的技术方法。由节点和边组成：节点可以是实体，也可以是抽象的概念；边是实体的属性，通常用“关系”来表示。

VPN通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，进行加密通讯。是企业内部网的扩展。

图数据库：是一种非关系型数据库，它应用图形理论存储实体之间关系信息。

知识抽取：是指把蕴含与信息源中的知识经过识别、理解、筛选、归纳等过程抽取出来，存储形成知识元库。

知识推理：是指在计算机或智能系统中，模拟人类的智能推理方式，依据推理控制策略，利用形式化的知识进行机器思维和求解问题的过程。

知识表示：是指把知识客体中的知识因子与知识关联起来，便于人们识别和理解知识。

终端设备：如办公用的笔记本电脑，是一种能够按照程序运行，自动、高速处理海量数据的现代化智能电子设备。

MAC地址：用于在网络中唯一标示一个网卡，一台设备；若有异或多个网卡，则每个网卡都需要并会有一个唯一的MAC地址。

ETL技术：是Extract-Transform-Load的缩写，用来描述将数据从来源端经过抽取、转换、加载至目的端的过程。

图2示意性示出了根据本公开实施例的虚拟专用网络异常使用检测方法的流程图。该虚拟专用网络异常使用检测方法由服务器端执行。

如图2所示，该虚拟专用网络异常使用检测方法可以包括操作S210～操作S240。

在操作S210，获得虚拟专用网络日志。

在本实施例中，虚拟专用网络日志是用户使用虚拟专用网络账号登录虚拟专用网络时产生的日志，日志包括待检测媒体存取控制位地址和待检测虚拟专用网络账号。此外，虚拟专用网络日志还可以进一步包括：登录时间、优先级、主机名称、用户标识、用户名称、IP地址、操作类型、操作是否成功、详细信息等中至少一种，在此不做限定。

在操作S220，响应于虚拟专用网络日志，生成待检测媒体存取控制位地址和待检测虚拟专用网络账号之间的待检测映射关系。

在本实施例中，通过检测待检测媒体存取控制位地址和待检测虚拟专用网络账号之间的映射关系是否为已有映射关系，或者统计该映射关系已使用过的次数，来预测是否存在异常使用。例如，正常情况下，一个用户应当使用指定的VPN账号登录局域网，而不应当使用他人的VPN账号登录局域网。一个用户可能使用的终端设备比较固定，如自用的一台或数台笔记本电脑、家用的一台或数台计算机等。

在操作S230，基于待检测映射关系在关系数据集合中进行匹配，得到匹配结果。

在本实施例中，关系数据集合可以包括媒体存取控制位地址和虚拟专用网络账号之间的历史映射关系和历史映射次数。

关系数据集合可以是基于专家经验构建的，也可以是机器自动学习得到的。

图3示意性示出了根据本公开实施例的关系数据集合的示意图。

如图3所示，示出了具有3组映射关系的关系数据集合，本领域技术人员应当明白，关系数据集合可以包括更多个或者更少个映射关系，在此不做限定。此外，关系数据集合是可以进行更新的。

如图3所示，关系数据集合包括4个变量：序号、VPN账号、MAC地址和次数。其中，一组映射关系中的VPN账号和MAC地址是用户使用该VPN账号在具有该MAC地址的终端设备上进行登录的。次数是该映射关系发生的次数，如第一组映射关系是用户使用该VPN账号在具有该MAC地址的终端设备上登录了30次。

在操作S240，基于匹配结果进行异常使用检测。

在本实施例中，可以基于映射关系的整体的匹配结果、基于映射关系中包括的对象的匹配结果等进行异常使用检测。

在某些实施例中，基于匹配结果进行异常使用检测包括：基于针对待检测映射关系的匹配结果是匹配成功的历史映射次数、针对待检测媒体存取控制位地址的匹配结果或者针对待检测虚拟专用网络账号的匹配结果中至少一种进行异常使用检测。

在某些实施例中，基于针对待检测映射关系的匹配结果是匹配成功的历史映射次数、针对待检测媒体存取控制位地址的匹配结果或者针对待检测虚拟专用网络账号的匹配结果中至少一种进行异常使用检测可包括如下操作：如果待检测映射关系匹配结果是匹配成功的历史映射次数，是针对待检测媒体存取控制位地址的映射次数的前N位，或者是针对待检测虚拟专用网络账号的映射次数的前N位，则确定异常使用风险为第一风险等级，其中，N是大于或等于1的正整数。

其中，与一个媒体存取控制位地址存在映射关系的虚拟专用网络账号可能不止一个，如可能存在一个用户具有两个账号、一个用户具有多个终端设备的情形。上述N可以是固定值，如N可以是1个、2个或3个等。上述N可以是动态值，如当与一个虚拟专用网络账号存在多个具有映射关系的媒体存取控制位地址存时，可以取该N值可以是总映射关系的个数的30％、50％的取整等。如一个虚拟专用网络账号相关的映射关系共计6种，则N可以为2或者3。此外，上述N可以是也可以根据映射次数的占比来决定的，如映射次数的占比超过15％的映射个数。

在某些实施例中，基于针对待检测映射关系的匹配结果是匹配成功的历史映射次数、针对待检测媒体存取控制位地址的匹配结果或者针对待检测虚拟专用网络账号的匹配结果中至少一种进行异常使用检测可包括如下操作：如果待检测映射关系匹配结果是匹配成功的历史映射次数，位于针对待检测媒体存取控制位地址的映射次数的前N位之外，或者位于针对待检测虚拟专用网络账号的映射次数的前N位之外，则确定异常使用风险为第二风险等级，其中，N是大于或等于1的正整数。

例如，当存在员工共用VPN账号时，则会导致一个MAC地址与少量的VPN账号之间存在映射关系。例如，一个VPN账号与少量的MAC地址之间存在映射关系。

在某些实施例中，基于针对待检测映射关系的匹配结果是匹配成功的历史映射次数、针对待检测媒体存取控制位地址的匹配结果或者针对待检测虚拟专用网络账号的匹配结果中至少一种进行异常使用检测可包括如下操作：如果与待检测媒体存取控制位地址存在映射关系的虚拟专用网络账号的数量大于或等于第一预设阈值，和/或，与待检测虚拟专用网络账号存在映射关系的媒体存取控制位地址的数量大于或等于第二预设阈值，则确定异常使用风险为第三风险等级。

例如，由于用户会经常使用VPN账号进行登录，并且同一时间段内只能由一个终端设备使用该VPN账号进行登录。不法分子在进行非法登录时，通常不会频繁使用一个VPN账号进行登录，也不会长时间使用一个VPN账号进行登录。其可能使用多个VPN账号或多个MAC地址进行登录。因此，可以通过统计一个VPN账号对应多个MAC地址，或者一个MAC地址对应多个VPN账号的情形，来确定该映射关系属于盗用账号入侵的风险大小。如一个MAC地址对应多个VPN账号，则其风险等级最高。

其中，从风险较大考虑，第三风险等级高于第二风险等级，第二风险等级高于第一风险等级。

在某些实施例中，上述方法还可以包括：在生成待检测媒体存取控制位地址和待检测虚拟专用网络账号之间的待检测映射关系之后，基于待检测映射关系更新关系数据集合。

例如，随时会有新的VPN账号或新的MAC地址，可以基于此对关系数据集合进行更新。此外，每当用户是有特定的VPN账号进行一次登录时，都可以针对本次登录对关系数据集合进行更新。

图4示意性示出了根据本公开实施例的关系数据集合的构建方法的流程图。

如图4所示，关系数据集合的构建方式可以包括操作S401～操作S403。

在操作S401，获取多个历史虚拟专用网络日志。

在操作S402，针对每个历史虚拟专用网络日志，获取针对历史虚拟专用网络日志的格式化数据；从格式化数据中获取历史媒体存取控制位地址和历史虚拟专用网络账号之间的历史映射关系。

例如，格式化VPN日志包含如下变量：时间(Time)，优先(Priority)，主机名(HostName)，用户标识(User_Id)，用户名(User_Name)，部门(Department)，IP，操作(Action)，操作结果(Success/fail)，信息(Information)等。其中，至少部分变量的取值可以是空。上述格式仅为示例，可以仅抽取其中部分变量，也可以抽取更多变量，在此不做限定。

通过对格式化的VPN日志进行关键字段抽取，构建VPN审计相关对象的关系图谱。构建关系图谱所需字段包含VPN账号(User_Id)、MAC地址信息(Information)、登录时间(Time)、登录状态(Success/fail)等信息。

在操作S403，关联各历史媒体存取控制位地址和各历史虚拟专用网络账号，得到各历史媒体存取控制位地址和各历史虚拟专用网络账号之间的历史映射关系以及历史映射次数。

通过统计VPN账号通过某一MAC地址登录的次数等信息，构建VPN账号--访问MAC地址--访问时长等关系，并将其存储在图数据库中。

图5示意性示出了根据本公开实施例的历史映射关系的示意图。

如图5所示，参考图3所示，账号1与地址1之间存在映射关系，并且该映射关系发生了30次。账号2与地址1之间存在映射关系，并且该映射关系发生了1次。需要说明的是，可以将图5中所示的两个地址1的实体进行合并，这样就可以生成映射关系图。

在某些实施例中，可以在存在较高的异常登录风险时，对用户或审计人员进行告警，以降低因异常登录导致的损失。

例如，用户具有邮箱地址。相应地，上述方法还可以包括：在基于匹配结果进行异常使用检测之后，如果异常使用检测结果是异常，则给用户的邮箱地址和/或审计用户的邮箱地址发送异常使用检测结果。

在某些实施例中，还可以开展定期审计，通过该定期审计有助于基于大量数据分析异常登录。

图6示意性示出了根据本公开实施例的审计VPN日志的流程图。

如图6所示，上述方法还可以包括操作S601～操作S604。

在操作S601，获取满足指定时间范围的虚拟专用网络日志。其中，指定时间范围可以由用户设定的，如1天、3天、1月、3月、半年等。

在操作S602，获取满足指定时间范围的虚拟专用网络日志中各媒体存取控制位地址和各虚拟专用网络账号之间的待审计映射关系。获取待审计映射关系的方法可以参考如上的获取待检测映射关系的相关部分内容，在此不做限定。

在操作S603，图形化待审计映射关系，得到待审计映射关系图，待审计映射关系图中映射关系通过线段进行表示，线段具有表征映射次数的标注信息。

在操作S604，输出待审计映射关系图。

如将待审计映射关系图发送给客户端，以便审计人员直观地从待审计映射关系图中看到异常使用、登录等。

图7示意性示出了根据本公开实施例的VPN共用关系的示意图。

如图7所示，包括明显的VPN账号共用的事件。基于一个事实，每个人通过自己的终端使用VPN次数多于他人冒用或共用的情况。所以，可以虚线方框中的使用关系为正常的，另外的连线为与违规冒用或公用VPN账号对应的映射关系。其中，地址1与账号1之间的映射关系发生的次数在所有相关联的映射关系的总发生次数的占比超过了15％(该值可以由用户进行设定，如10％、15％、20％、25％、30％等)。

本公开实施例基于知识图谱技术，将VPN日志审计和知识图谱技术结合在一起，与相关方法相比，无需预先、额外对用户终端各种信息进行配置，具备自发现配置和配置自更新功能。可通过图计算筛查出VPN用户被盗用、违规共用的情况，及时发现VPN账号的违规使用，提升VPN异常访问行为识别效率高，准确度高，从而阻止用户对企业内网信息的非授权访问。

本公开的另一方面提供了一种虚拟专用网络异常使用检测装置。

图8示意性示出了根据本公开实施例的虚拟专用网络异常使用检测装置的方框图。

如图8所示，该虚拟专用网络异常使用检测装置800可以包括：日志获得模块810、映射关系生成模块820、映射关系匹配模块830和异常检测模块840。

日志获得模块810用于获得虚拟专用网络日志，虚拟专用网络日志是用户使用虚拟专用网络账号登录虚拟专用网络时产生的日志，日志包括待检测媒体存取控制位地址和待检测虚拟专用网络账号。

映射关系生成模块820用于响应于虚拟专用网络日志，生成待检测媒体存取控制位地址和待检测虚拟专用网络账号之间的待检测映射关系。

映射关系匹配模块830用于基于待检测映射关系在关系数据集合中进行匹配，得到匹配结果，关系数据集合包括媒体存取控制位地址和虚拟专用网络账号之间的历史映射关系和历史映射次数。

异常检测模块840用于基于匹配结果进行异常使用检测。

本公开实施例的另一方面提供了一种虚拟专用网络异常使用检测系统。

图9示意性示出了根据本公开实施例的虚拟专用网络异常使用检测系统结构示意图。

如图9所示，该系统可以包括：VPN日志收集模块、VPN日志分析模块、VPN日志审计结果展示模块和VPN使用异常行为通知模块。

其中，VPN日志收集模块用于实时收集VPN日志数据，存储到数据库中。

VPN日志分析模块主要基于知识图谱技术，基于已经格式化的VPN数据，进行关系抽取、表示和推理三个步骤处理VPN日志数据，实现配置的创建和动态更新、异常登录及访问行为的识别两大类核心功能。

VPN日志审计结果展示模块用于负责展示VPN使用频率、时长情况，总体把控VPN使用情况。

VPN使用异常行为通知模块：将分析模块判断为VPN异常使用的行为，通过邮件报警的形式，实时通知至本人及审计人员。

具体地，VPN日志收集模块用于实时收集VPN日志数据，将原始的文本形式的VPN日志抽取成结构化的VPN日志格式后存储到数据库中。格式化VPN日志包含如下列：时间(Time)，优先(Priority)，主机名(HostName)，User_Id，User_Name，Department，IP，Action，Success/fail，Information等。每个终端使用VPN账号时都都会形成一条记录。

知识图谱分析模块主要基于知识图谱技术，基于已经格式化的VPN数据，进行关系抽取、表示和推理三个步骤处理VPN日志数据，实现配置的创建和动态更新、异常登录及访问行为的识别两大类核心功能。

其中，关于关系抽取和表示：通过对格式化的VPN日志进行关键字段抽取，构建VPN审计相关对象的关系图谱。构建关系图谱所需字段包含VPN账号(User_Id)、MAC地址信息(Information)、登录时间(Time)、登录状态(Success/fail)等信息，同时统计VPN账号通过某一MAC地址登录的次数等信息，构建VPN账号--访问MAC地址--访问时长等关系，并将其存储在图数据库中。

参考图5所示，横线填充的圆圈代表vpn登录账号(包含员工个人标识)，竖线填充代表登录终端的MAC地址，中间的连线为VPN账号和MAC地址的映射关系(也可以称为使用关系，包含该账号通过该地址的登录次数)。

关于知识推理：主要完成两部分功能：实现配置的创建和动态更新，异常登录及访问行为的识别。

针对基于历史数据实现配置的创建和动态更新：基于企业VPN访问的历史日志，在完成数据预处理及关系抽取及表示后，根据登录次数、登录成功或失败等信息，得到员工、VPN账号、登录VPN账号的终端MAC信息的配置信息。即配置的自发现功能，同时历史数据的积累，动态更新配置。此类配置是基于历史数据的分析完全自发现和动态更新，对于较少的存在问题的，可以人为干预调整。

针对异常登录及访问行为的识别，包括异常登录实时发现和定期的审计。

其中，关于异常登录实时发现：将新产生的VPN日志，实时和历史数据生成的动态配置去比对，判断VPN账号是否通过非已有范围内的MAC地址进行访问，从而判断是否有账号被盗用的行为。

关于定期的审计：使用图计算，针对一段时间的VPN日志记录，同一VPN用户连接的MAC地址，通过统计VPN账号与MAC地址连接的次数，在知识图谱中体现为二者的关联关系次数。如下图3所示，是一个明显的VPN账号共用的事件。基于一个事实，每个人通过自己的终端使用VPN次数多于他人冒用的情况，所以，可以判断红框的使用关系为正常的，另外的连线为违规冒用或公用。

通过构建VPN使用者账号、MAC地址、登录次数的关系，通过图数据库进行存储，完成以VPN账号为单位的知识图谱构建；结合VPN账号、MAC地址的关联关系，从知识图示中可以直观的看出是否有账号共用现象的存在。

此外，关于VPN日志审计结果展示模块，通过可视化组件，实现web页面展示公司VPN使用频率、时长情况、登录成功次数、失败次数等关键指标，便于总体把控VPN使用情况。

关于VPN使用异常行为通知模块，该模块基于分析模块判断为VPN异常使用的行为，将异常、非法的使用情况，以邮件的方式发送给VPN使用人员和审计人员，以便及时采取措施，有效防止企业内网发生更严重的安全问题。

本公开实施例提供的虚拟专用网络异常使用检测系统，基于知识图谱技术，将VPN日志审计和知识图谱技术结合在一起，与传统的方法比，无需预先、额外对用户终端各种信息进行配置，具备自发现配置和配置自更新功能。可通过图计算筛查出VPN用户被盗用、违规共用的情况，及时发现VPN账号的违规使用，提升VPN异常访问行为识别效率高，准确度高，从而阻止用户对企业内网信息的非授权访问。

需要说明的是，装置部分实施例中各模块/单元等的实施方式、解决的技术问题、实现的功能、以及达到的技术效果分别与方法部分实施例中各对应的步骤的实施方式、解决的技术问题、实现的功能、以及达到的技术效果相同或类似，在此不再一一赘述。

根据本公开的实施例的模块、单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、单元中的任意一个或多个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC)，或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，根据本公开实施例的模块、单元中的一个或多个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

例如，日志获得模块810、映射关系生成模块820、映射关系匹配模块830和异常检测模块840中的任意多个可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，日志获得模块810、映射关系生成模块820、映射关系匹配模块830和异常检测模块840中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，日志获得模块810、映射关系生成模块820、映射关系匹配模块830和异常检测模块840中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

图10示意性示出了根据本公开实施例的电子设备的方框图。图10示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图10所示，根据本公开实施例的电子设备1000包括处理器1001，其可以根据存储在只读存储器(ROM)1002中的程序或者从存储部分1008加载到随机访问存储器(RAM)1003中的程序而执行各种适当的动作和处理。处理器1001例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(ASIC))，等等。处理器1001还可以包括用于缓存用途的板载存储器。处理器1001可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

在RAM 1003中，存储有电子设备1000操作所需的各种程序和数据。处理器1001、ROM 1002以及RAM 1003通过总线1004彼此通讯连接。处理器1001通过执行ROM 1002和/或RAM 1003中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，程序也可以存储在除ROM 1002和RAM 1003以外的一个或多个存储器中。处理器1001也可以通过执行存储在一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。

根据本公开的实施例，电子设备1000还可以包括输入/输出(I/O)接口1005，输入/输出(I/O)接口1005也连接至总线1004。电子设备1000还可以包括连接至I/O接口1005的以下部件中的一项或多项：包括键盘、鼠标等的输入部分1006；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1007；包括硬盘等的存储部分1008；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至I/O接口1005。可拆卸介质1011，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1010上，以便于从其上读出的计算机程序根据需要被安装入存储部分1008。

根据本公开的实施例，根据本公开实施例的方法流程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分1009从网络上被下载和安装，和/或从可拆卸介质1011被安装。在该计算机程序被处理器1001执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。

本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。

根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的ROM 1002和/或RAM 1003和/或ROM 1002和RAM 1003以外的一个或多个存储器。

本公开的实施例还包括一种计算机程序产品，其包括计算机程序，该计算机程序包含用于执行本公开实施例所提供的方法的程序代码，当计算机程序产品在电子设备上运行时，该程序代码用于使电子设备实现本公开实施例所提供的图像模型训练方法或图像处理方法。

在该计算机程序被处理器1001执行时，执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例，上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。

在一种实施例中，该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中，该计算机程序也可以在网络介质上以信号的形式进行传输、分发，并通过通信部分1009被下载和安装，和/或从可拆卸介质1011被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。

根据本公开的实施例，可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码，具体地，可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java，C++，python，“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合，即使这样的组合或结合没有明确记载于本公开中。这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。