CN108717510A - 一种通过聚类分析文件异常操作行为的方法、系统及终端 - Google Patents
一种通过聚类分析文件异常操作行为的方法、系统及终端 Download PDFInfo
- Publication number
- CN108717510A CN108717510A CN201810448874.1A CN201810448874A CN108717510A CN 108717510 A CN108717510 A CN 108717510A CN 201810448874 A CN201810448874 A CN 201810448874A CN 108717510 A CN108717510 A CN 108717510A
- Authority
- CN
- China
- Prior art keywords
- abnormal
- clustering
- operation behavior
- current operation
- behavioral data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明属于信息安全技术领域,具体涉及一种通过聚类分析文件异常操作行为的方法、系统及终端,包括以下步骤:获取对文件进行操作的当前操作行为数据;将当前操作行为数据输入聚类模型进行分析,得到操作行为是否异常的分析结果,若为异常则计算综合异常指数。本发明能够监测和判断文件操作行为是否异常,相比于现有技术,具有不可比拟的自动性、及时性和准确性。
Description
技术领域
本发明属于信息安全技术领域,具体涉及一种通过聚类分析文件异常操作行为的方法、系统及终端。
背景技术
随着信息技术的发展与进步,各种资料文档通常以电子文件形式存储在各种终端或远程服务器上。对于一些敏感文件或涉密文件,为了防止没有权限的人员获取文件信息或有权限的人员进行异常操作,通常需要对文件操作行为进行监测和判断。
现有技术主要利用规则或策略来判断文件操作行为是否异常,但规则与策略并不能涵盖所有异常行为,因此现有技术比较机械,且会忽略或不能及时识别出新的异常行为。
发明内容
针对现有技术中的缺陷,本发明提供了一种通过聚类分析文件异常操作行为的方法、系统及终端,能够监测和判断文件操作行为是否异常,相比于现有技术,具有不可比拟的自动性、及时性和准确性。
第一方面,本发明提供了一种通过聚类分析文件异常操作行为的方法,包括以下步骤:
获取对文件进行操作的当前操作行为数据;
将当前操作行为数据输入聚类模型进行分析,得到操作行为是否异常的分析结果,若为异常则计算综合异常指数。
优选地,所述将当前操作行为数据输入聚类模型进行分析,得到操作行为是否异常的分析结果,若为异常则计算综合异常指数,具体为:
将当前操作行为数据输入单聚类模型,得到操作行为是否异常的分析结果,若为异常则得到单异常指数;
将当前操作行为数据输入群聚类模型,得到操作行为是否异常的分析结果,若为异常则得到群异常指数;
根据单异常指数和群异常指数,通过加权计算公式计算综合异常指数。
优选地,所述单聚类模型的建立方法如下:
收集单台终端上对文件进行操作的历史操作行为数据;
对历史操作行为数据进行数据标准化预处理,得到单台终端的样本数据,计算样本数据的单距离矩阵;
根据单距离矩阵,利用层次聚类方法对样本数据进行聚类;
得到聚类结果:每个单类的单类中心和单类半径。
优选地,所述群聚类模型的建立方法如下:
采用皮尔逊相关系数,根据若干单台终端的若干样本数据,计算群体终端之间的群距离矩阵;
根据群距离矩阵,利用层次聚类方法对若干样本数据进行聚类;
得到聚类结果:每个群类的群类中心和群类半径。
优选地,所述将当前操作行为数据输入单聚类模型,得到操作行为是否异常的分析结果,若为异常则得到单异常指数,具体为:
将当前操作行为数据输入单聚类模型,找出离当前操作行为数据最近的单类中心,并计算当前操作行为数据与单类中心的距离H1;
若距离H1小于等于单类中心对应的单类半径,则判定当前的操作行为正常;
若距离H1大于单类中心对应的单类半径,则判定当前的操作行为异常,并根据距离H1和单类半径计算超出的单异常指数。
优选地,所述将当前操作行为数据输入群聚类模型,得到操作行为是否异常的分析结果,若为异常则得到群异常指数,具体为:
将当前操作行为数据输入群聚类模型,找出离当前操作行为数据最近的群类中心,并计算当前操作行为数据与群类中心的距离H2;
若距离H2小于等于群类中心对应的群类半径,则判定当前的操作行为正常;
若距离H2大于群类中心对应的群类半径,则判定当前的操作行为异常,并根据距离H2和群类半径计算超出的群异常指数。
优选地,所述加权计算公式如下:
result=a*score_single+(1-a)*score_community;
其中,a为指数系数,score_single为单异常指数,score_community为群异常指数。
优选地,所述单聚类模型和群聚类模型的建立方法均包括模型修正的步骤,所述模型修正的步骤具体为:
将做了标记的修正样本数据输入模型,若模型识别的结果与标记不同,将相应更新距修正样本数据最近的类中心和类半径。
第二方面,本发明提供了一种通过聚类分析文件异常操作行为的系统,适用于第一方面所述的通过聚类分析文件异常操作行为的方法,包括:
数据获取单元,用于获取对文件进行操作的当前操作行为数据;
异常分析单元,用于将当前操作行为数据输入聚类模型进行分析,得到操作行为是否异常的分析结果,若为异常则计算综合异常指数。
第三方面,本发明提供了一种通过聚类分析文件异常操作行为的终端,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行第一方面所述的方法。
本发明的有益效果为:本发明能够监测和判断文件操作行为是否异常,相比于现有技术,具有不可比拟的自动性、及时性和准确性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。
图1为本实施例中通过聚类分析文件异常操作行为的方法流程图;
图2为本实施例中通过聚类分析文件异常操作行为的系统结构框图;
图3为本实施例中通过聚类分析文件异常操作行为的终端模块框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
具体实现中,本发明实施例中描述的终端包括但不限于诸如具有触摸敏感表面(例如,触摸屏显示器和/或触摸板)的移动电话、膝上型计算机或平板计算机之类的其它便携式设备。还应当理解的是,在某些实施例中,所述设备并非便携式通信设备,而是具有触摸敏感表面(例如,触摸屏显示器和/或触摸板)的台式计算机。
实施例一:
本实施例提供了一种通过聚类分析文件异常操作行为的方法,所述方法需应用单聚类模型和群聚类模型。
其中,所述单聚类模型的建立方法如下:
收集单台终端上对文件进行操作的历史操作行为数据;
对历史操作行为数据进行数据标准化预处理,得到单台终端的样本数据,计算样本数据的单距离矩阵;
根据单距离矩阵,利用层次聚类方法对样本数据进行聚类;
得到聚类结果:每个单类的单类中心和单类半径。
本实施例中,所述操作行为包括但不限于文件的创建、发送、复制、删除等等。所述操作行为数据,如:操作者身份、操作时间、进程名、文件名、文件类型、文件所在磁盘、文件大小、读写数据大小、操作次数、每次持续时间等等。所述数据标准化预处理,如数据清理、数据集成、数据变换、数据归约等等,数据预处理后得到更高质量的样本数据。计算样本数据的单距离矩阵,本实施例的单距离矩阵即为一个包含两两样本数据之间距离的矩阵(即二维数组),再根据单距离矩阵,利用层次聚类方法对样本数据进行聚类,并得到若干个单类、每个单类的单类中心和相对应的单类半径。
其中,所述群聚类模型的建立方法如下:
采用皮尔逊相关系数,根据若干单台终端的若干样本数据,计算群体终端之间的群距离矩阵;
根据群距离矩阵,利用层次聚类方法对若干样本数据进行聚类;
得到聚类结果:每个群类的群类中心和群类半径。
本实施例中,得到每台终端的样本数据后,进而得到若干台终端的样本数据集合,并计算这若干台终端之间的群距离矩阵。同上述方法类似,进行聚类后,得到得到若干个群类、每个群类的群类中心和相对应的群类半径。
为了使建立的模型更准确,所述单聚类模型和群聚类模型的建立方法均包括模型修正的步骤,所述模型修正的步骤具体为:
将做了标记的修正样本数据输入模型,若模型识别的结果与标记不同,将相应更新距修正样本数据最近的类中心和类半径。
在模型建立好后,管理人员对修正样本数据做标记,所述标记为操作行为异常或操作行为正常。修正样本数据输入模型后,模型进行识别,若模型识别的结果与标记不同,则表示该模型有误,则进行模型修正。如标记为操作行为异常,模型识别结果也为异常,则识别正确,将该操作行为归类为异常;如标记为操作行为异常,但模型识别为操作行为正常,则识别不正确,更新距修正样本数据最近的类中心和类半径,对模型进行修正。对模型输入多个做了标记的修正样本,直至模型识别的结果无误,进而提高模型识别的准确性。
本实施例中,通过聚类分析文件异常操作行为的方法包括S1和S2两个步骤:
S1,获取对文件进行操作的当前操作行为数据。例如对某电脑终端实时监测用户的操作行为,监测到用户打开了目录(电脑D盘/公司文件/保密类别/研发资料)下的一个word文档,并复制了该word文档的内容。电脑终端通过监测采集到用户对word文档进行操作的当前操作行为数据,并把操作行为数据发送给远程服务器,远程服务器进而获取了当前操作数据。
S2,将当前操作行为数据输入聚类模型进行分析,得到操作行为是否异常的分析结果,若为异常则计算综合异常指数。所述S2包括S21、S22和S23三个步骤:
S21,将当前操作行为数据输入单聚类模型,得到操作行为是否异常的分析结果,若为异常则得到单异常指数。步骤S21具体为:
将当前操作行为数据输入单聚类模型,找出离当前操作行为数据最近的单类中心,并计算当前操作行为数据与单类中心的距离H1;
若距离H1小于等于单类中心对应的单类半径,则判定当前的操作行为正常;
若距离H1大于单类中心对应的单类半径,则判定当前的操作行为异常,并根据距离H1和单类半径计算超出的单异常指数。
本实施例中,将用户对word文档进行操作的当前操作行为数据输入单聚类模型,找出该模型中与当前操作行为数据最近的单类中心,并计算当前操作行为与单类中心的距离H1=21,单类中心对应的单类半径为19,因距离21大于单类半径19,则判断当前的操作行为异常,且将计算单异常指数:(21-19)/19=0.105。
S22,将当前操作行为数据输入群聚类模型,得到操作行为是否异常的分析结果,若为异常则得到群异常指数。步骤S22具体为:
将当前操作行为数据输入群聚类模型,找出离当前操作行为数据最近的群类中心,并计算当前操作行为数据与群类中心的距离H2;
若距离H2小于等于群类中心对应的群类半径,则判定当前的操作行为正常;
若距离H2大于群类中心对应的群类半径,则判定当前的操作行为异常,并根据距离H2和群类半径计算超出的群异常指数。
本实施例中,将用户对word文档进行操作的当前操作行为数据输入群聚类模型,找出该模型中与当前操作行为数据最近的群类中心,并计算当前操作行为与群类中心的距离H2=20,群类中心对应的群类半径为18,因距离20大于群类半径18,则判断当前的操作行为异常,且将计算群异常指数:(20-18)/18=0.111。单类模型和群类模型任一个识别为异常,则该操作行为异常。
S23,根据单异常指数和群异常指数,通过加权计算公式计算综合异常指数。所述加权计算公式如下:
result=a*score_single+(1-a)*score_community;
其中,a为指数系数,score_single为单异常指数,score_community为群异常指数。本实施例中a为根据实验和经验设置的指数系数,若a为0.6,则综合异常指数result=0.6*0.105+(1-0.6)*0.111=0.063+0.0444=0.107。因此通过分析得到该用户对word文档的操作行为异常,且异常指数为0.107。远程服务器将当前操作行为数据和分析的结果发送给管理终端,管理人员发现公司的保密文件被复制,有可能导致保密文件泄密,从而及时采集解决措施。
一般情况下,可以确定的是大部分的操作行为,都应该是属于正常的操作行为,只有特定的或者是少量的操作行为,属于异常的操作行为,可能涉及到泄密的问题。本实施例建立好单聚类模型和群聚类模型后,将获取的当前操作行为数据输入单聚类模型,通过当前操作行为与单用户的历史操作行为的偏差来检测操作行为是否异常;将获取的当前操作行为数据输入群聚类模型,通过当前操作行为与群体用户的历史操作行为的偏差来检测操作行为是否异常;最后采用加权算法将两者综合,进而对操作行为作出综合性的评价。
本实施例能够监测和判断文件操作行为是否异常,相比于现有技术,具有不可比拟的自动性、及时性和准确性。本实施例具有聚类的异常检测,不但能识别是否异常,还能识别出异常的程度。本实施例不但从单个终端用户的行为模式聚类,还从群体用户的行为模式聚类,进而提高了文件操作行为异常检测的可解释性和丰富性,同时也提高了准确率。
实施例二:
本实施例提供了一种通过聚类分析文件异常操作行为的系统,适用于实施例一所述的通过聚类分析文件异常操作行为的方法,包括数据获取单元和异常分析单元等。
所述数据获取单元,用于获取对文件进行操作的当前操作行为数据。例如对某电脑终端实时监测用户的操作行为,监测到用户打开了目录(电脑D盘/公司文件/保密类别/研发资料)下的一个word文档,并复制了该word文档的内容。电脑终端通过监测采集到用户对word文档进行操作的当前操作行为数据,并把操作行为数据发送给远程服务器,远程服务器进而获取了当前操作数据。
所述异常分析单元,用于将当前操作行为数据输入聚类模型进行分析,得到操作行为是否异常的分析结果,若为异常则计算综合异常指数。
所述异常分析单元具体用于:
A,将当前操作行为数据输入单聚类模型,得到操作行为是否异常的分析结果,若为异常则得到单异常指数。
将当前操作行为数据输入单聚类模型,找出离当前操作行为数据最近的单类中心,并计算当前操作行为数据与单类中心的距离H1;
若距离H1小于等于单类中心对应的单类半径,则判定当前的操作行为正常;
若距离H1大于单类中心对应的单类半径,则判定当前的操作行为异常,并根据距离H1和单类半径计算超出的单异常指数。
本实施例中,将用户对word文档进行操作的当前操作行为数据输入单聚类模型,找出该模型中与当前操作行为数据最近的单类中心,并计算当前操作行为与单类中心的距离H1=21,单类中心对应的单类半径为19,因距离21大于单类半径19,则判断当前的操作行为异常,且将计算单异常指数:(21-19)/19=0.105。
B,将当前操作行为数据输入群聚类模型,得到操作行为是否异常的分析结果,若为异常则得到群异常指数。
将当前操作行为数据输入群聚类模型,找出离当前操作行为数据最近的群类中心,并计算当前操作行为数据与群类中心的距离H2;
若距离H2小于等于群类中心对应的群类半径,则判定当前的操作行为正常;
若距离H2大于群类中心对应的群类半径,则判定当前的操作行为异常,并根据距离H2和群类半径计算超出的群异常指数。
本实施例中,将用户对word文档进行操作的当前操作行为数据输入群聚类模型,找出该模型中与当前操作行为数据最近的群类中心,并计算当前操作行为与群类中心的距离H2=20,群类中心对应的群类半径为18,因距离20大于群类半径18,则判断当前的操作行为异常,且将计算群异常指数:(20-18)/18=0.111。单类模型和群类模型任一个识别为异常,则该操作行为异常。
C,根据单异常指数和群异常指数,通过加权计算公式计算综合异常指数。所述加权计算公式如下:
result=a*score_single+(1-a)*score_community;
其中,a为指数系数,score_single为单异常指数,score_community为群异常指数。本实施例中a为根据实验和经验设置的指数系数,若a为0.6,则综合异常指数result=0.6*0.105+(1-0.6)*0.111=0.063+0.0444=0.107。因此通过分析得到该用户对word文档的操作行为异常,且异常指数为0.107。远程服务器将当前操作行为数据和分析的结果发送给管理终端,管理人员发现公司的保密文件被复制,有可能导致保密文件泄密,从而及时采集解决措施。
一般情况下,可以确定的是大部分的操作行为,都应该是属于正常的操作行为,只有特定的或者是少量的操作行为,属于异常的操作行为,可能涉及到泄密的问题。本实施例建立好单聚类模型和群聚类模型后,将获取的当前操作行为数据输入单聚类模型,通过当前操作行为与单用户的历史操作行为的偏差来检测操作行为是否异常;将获取的当前操作行为数据输入群聚类模型,通过当前操作行为与群体用户的历史操作行为的偏差来检测操作行为是否异常;最后采用加权算法将两者综合,进而对操作行为作出综合性的评价。
本实施例能够监测和判断文件操作行为是否异常,相比于现有技术,具有不可比拟的自动性、及时性和准确性。本实施例具有聚类的异常检测,不但能识别是否异常,还能识别出异常的程度。本实施例不但从单个终端用户的行为模式聚类,还从群体用户的行为模式聚类,进而提高了文件操作行为异常检测的可解释性和丰富性,同时也提高了准确率。
实施例三:
本实施例提供了一种通过聚类分析文件异常操作行为的终端,包括处理器42、输入设备41、输出设备44和存储器43,所述处理器42、输入设备、输出设备41和存储器43相互连接,其中,所述存储器43用于存储计算机程序,所述计算机程序包括程序指令,所述处理器42被配置用于调用所述程序指令,执行实施例一所述的方法。
应当理解,在本发明实施例中,所称存储器43可以包括只读存储器和随机存取存储器,并向处理器42提供指令和数据。存储器43的一部分还可以包括非易失性随机存取存储器。例如,存储器43还可以存储有设备类型的相关信息。
处理器42用于运行或执行被存储在内部存储器43中的操作系统,各种软件程序,以及自身的指令集,并用于处理来自于触摸式输入装置或自其它外部输入途径接收到的数据和指令,以实现各种功能。处理器42可以包括但不限于中央处理器(CPU)、通用图像处理器(GPU)、微处理器(MCU)、数字信号处理器(DSP)、现场可编程逻辑门阵列(FPGA),应用专用集成电路(ASIC)中的一种或多种。在一些实施例中,处理器42和存储器43可在单个芯片上实现。在一些其他实施方案中,它们可分别在彼此独立的芯片上实现。
输入设备41可以包括触控板、指纹采传感器(用于采集用户的指纹信息和指纹的方向信息)、麦克风等,输出设备44可以包括显示器(LCD等)、扬声器等。
本实施例能够监测和判断文件操作行为是否异常,相比于现有技术,具有不可比拟的自动性、及时性和准确性。本实施例具有聚类的异常检测,不但能识别是否异常,还能识别出异常的程度。本实施例不但从单个终端用户的行为模式聚类,还从群体用户的行为模式聚类,进而提高了文件操作行为异常检测的可解释性和丰富性,同时也提高了准确率。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本申请所提供的几个实施例中,应该理解到,所描述的系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (10)
1.一种通过聚类分析文件异常操作行为的方法,其特征在于,包括以下步骤:
获取对文件进行操作的当前操作行为数据;
将当前操作行为数据输入聚类模型进行分析,得到操作行为是否异常的分析结果,若为异常则计算综合异常指数。
2.根据权利要求1所述的一种通过聚类分析文件异常操作行为的方法,其特征在于,所述将当前操作行为数据输入聚类模型进行分析,得到操作行为是否异常的分析结果,若为异常则计算综合异常指数,具体为:
将当前操作行为数据输入单聚类模型,得到操作行为是否异常的分析结果,若为异常则得到单异常指数;
将当前操作行为数据输入群聚类模型,得到操作行为是否异常的分析结果,若为异常则得到群异常指数;
根据单异常指数和群异常指数,通过加权计算公式计算综合异常指数。
3.根据权利要求2所述的一种通过聚类分析文件异常操作行为的方法,其特征在于,所述单聚类模型的建立方法如下:
收集单台终端上对文件进行操作的历史操作行为数据;
对历史操作行为数据进行数据标准化预处理,得到单台终端的样本数据,计算样本数据的单距离矩阵;
根据单距离矩阵,利用层次聚类方法对样本数据进行聚类;
得到聚类结果:每个单类的单类中心和单类半径。
4.根据权利要求3所述的一种通过聚类分析文件异常操作行为的方法,其特征在于,所述群聚类模型的建立方法如下:
采用皮尔逊相关系数,根据若干单台终端的若干样本数据,计算群体终端之间的群距离矩阵;
根据群距离矩阵,利用层次聚类方法对若干样本数据进行聚类;
得到聚类结果:每个群类的群类中心和群类半径。
5.根据权利要求4所述的一种通过聚类分析文件异常操作行为的方法,其特征在于,所述将当前操作行为数据输入单聚类模型,得到操作行为是否异常的分析结果,若为异常则得到单异常指数,具体为:
将当前操作行为数据输入单聚类模型,找出离当前操作行为数据最近的单类中心,并计算当前操作行为数据与单类中心的距离H1;
若距离H1小于等于单类中心对应的单类半径,则判定当前的操作行为正常;
若距离H1大于单类中心对应的单类半径,则判定当前的操作行为异常,并根据距离H1和单类半径计算超出的单异常指数。
6.根据权利要求5所述的一种通过聚类分析文件异常操作行为的方法,其特征在于,所述将当前操作行为数据输入群聚类模型,得到操作行为是否异常的分析结果,若为异常则得到群异常指数,具体为:
将当前操作行为数据输入群聚类模型,找出离当前操作行为数据最近的群类中心,并计算当前操作行为数据与群类中心的距离H2;
若距离H2小于等于群类中心对应的群类半径,则判定当前的操作行为正常;
若距离H2大于群类中心对应的群类半径,则判定当前的操作行为异常,并根据距离H2和群类半径计算超出的群异常指数。
7.根据权利要求6所述的一种通过聚类分析文件异常操作行为的方法,其特征在于,所述加权计算公式如下:
result=a*score_single+(1-a)*score_community;
其中,a为指数系数,score_single为单异常指数,score_community为群异常指数。
8.根据权利要求6所述的一种通过聚类分析文件异常操作行为的方法,其特征在于,所述单聚类模型和群聚类模型的建立方法均包括模型修正的步骤,所述模型修正的步骤具体为:
将做了标记的修正样本数据输入模型,若模型识别的结果与标记不同,将相应更新距修正样本数据最近的类中心和类半径。
9.一种通过聚类分析文件异常操作行为的系统,适用于权利要求1-8任一项所述的通过聚类分析文件异常操作行为的方法,其特征在于,包括:
数据获取单元,用于获取对文件进行操作的当前操作行为数据;
异常分析单元,用于将当前操作行为数据输入聚类模型进行分析,得到操作行为是否异常的分析结果,若为异常则计算综合异常指数。
10.一种通过聚类分析文件异常操作行为的终端,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-8任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810448874.1A CN108717510A (zh) | 2018-05-11 | 2018-05-11 | 一种通过聚类分析文件异常操作行为的方法、系统及终端 |
| PCT/CN2019/085190 WO2019214511A1 (zh) | 2018-05-11 | 2019-04-30 | 一种通过聚类分析文件异常操作行为的方法、系统及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810448874.1A CN108717510A (zh) | 2018-05-11 | 2018-05-11 | 一种通过聚类分析文件异常操作行为的方法、系统及终端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108717510A true CN108717510A (zh) | 2018-10-30 |
Family
ID=63899690
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810448874.1A Pending CN108717510A (zh) | 2018-05-11 | 2018-05-11 | 一种通过聚类分析文件异常操作行为的方法、系统及终端 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN108717510A (zh) |
| WO (1) | WO2019214511A1 (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110008082A (zh) * | 2019-03-16 | 2019-07-12 | 平安科技(深圳)有限公司 | 异常任务智能监测方法、装置、设备及存储介质 |
| WO2019214511A1 (zh) * | 2018-05-11 | 2019-11-14 | 深圳市联软科技股份有限公司 | 一种通过聚类分析文件异常操作行为的方法、系统及终端 |
| CN110874310A (zh) * | 2018-12-21 | 2020-03-10 | 北京安天网络安全技术有限公司 | 一种终端行为监测方法、装置、电子设备及存储介质 |
| CN111159231A (zh) * | 2019-12-03 | 2020-05-15 | 深圳市智微智能软件开发有限公司 | 资料追踪查询方法及系统 |
| CN111723118A (zh) * | 2019-03-18 | 2020-09-29 | 顺丰科技有限公司 | 一种运单查询异常行为检测方法和装置 |
| CN111723825A (zh) * | 2019-03-18 | 2020-09-29 | 顺丰科技有限公司 | 一种客户信息查询异常行为检测方法和装置 |
| CN112035507A (zh) * | 2020-08-06 | 2020-12-04 | 杭州安恒信息技术股份有限公司 | 异常查询人员预警方法、装置、电子设备和可读存储介质 |
| CN112764957A (zh) * | 2021-01-15 | 2021-05-07 | 中国工商银行股份有限公司 | 应用故障定界方法及装置 |
| CN113486366A (zh) * | 2021-06-08 | 2021-10-08 | 贵州电网有限责任公司 | 一种基于聚类分析的Web违规操作行为检测方法 |
| CN114819565A (zh) * | 2022-04-14 | 2022-07-29 | 中国南方电网有限责任公司 | 系统规范描述文件的校核方法、控制设备及智能变电站 |
| CN116702229A (zh) * | 2023-08-04 | 2023-09-05 | 四川蓉城蕾茗科技有限公司 | 一种安全屋信息安全管控方法及系统 |
| CN117478441A (zh) * | 2023-12-28 | 2024-01-30 | 云南建投物流有限公司 | 基于用户行为智能分析的动态访问控制方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1627699A (zh) * | 2004-06-24 | 2005-06-15 | 西安交通大学 | 异常文件访问自适应检测方法 |
| CN105653427A (zh) * | 2016-03-04 | 2016-06-08 | 上海交通大学 | 基于行为异常检测的日志监控方法 |
| CN105825242A (zh) * | 2016-05-06 | 2016-08-03 | 南京大学 | 基于混合网格分层聚类的集群通信终端轨迹实时异常检测方法与系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9225737B2 (en) * | 2013-03-15 | 2015-12-29 | Shape Security, Inc. | Detecting the introduction of alien content |
| CN106101116B (zh) * | 2016-06-29 | 2019-01-08 | 东北大学 | 一种基于主成分分析的用户行为异常检测系统及方法 |
| CN106778259B (zh) * | 2016-12-28 | 2020-01-10 | 北京明朝万达科技股份有限公司 | 一种基于大数据机器学习的异常行为发现方法及系统 |
| CN106713341A (zh) * | 2017-01-04 | 2017-05-24 | 成都四方伟业软件股份有限公司 | 一种基于大数据的网络安全预警方法与系统 |
| CN107122669B (zh) * | 2017-04-28 | 2020-06-02 | 北京北信源软件股份有限公司 | 一种评估数据泄露风险的方法和装置 |
| CN108717510A (zh) * | 2018-05-11 | 2018-10-30 | 深圳市联软科技股份有限公司 | 一种通过聚类分析文件异常操作行为的方法、系统及终端 |
-
2018
- 2018-05-11 CN CN201810448874.1A patent/CN108717510A/zh active Pending
-
2019
- 2019-04-30 WO PCT/CN2019/085190 patent/WO2019214511A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1627699A (zh) * | 2004-06-24 | 2005-06-15 | 西安交通大学 | 异常文件访问自适应检测方法 |
| CN105653427A (zh) * | 2016-03-04 | 2016-06-08 | 上海交通大学 | 基于行为异常检测的日志监控方法 |
| CN105825242A (zh) * | 2016-05-06 | 2016-08-03 | 南京大学 | 基于混合网格分层聚类的集群通信终端轨迹实时异常检测方法与系统 |
Non-Patent Citations (1)
| Title |
|---|
| 张锐: ""基于文件访问行为的内部威胁异常检测模型研究"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019214511A1 (zh) * | 2018-05-11 | 2019-11-14 | 深圳市联软科技股份有限公司 | 一种通过聚类分析文件异常操作行为的方法、系统及终端 |
| CN110874310A (zh) * | 2018-12-21 | 2020-03-10 | 北京安天网络安全技术有限公司 | 一种终端行为监测方法、装置、电子设备及存储介质 |
| CN110874310B (zh) * | 2018-12-21 | 2023-09-12 | 北京安天网络安全技术有限公司 | 一种终端行为监测方法、装置、电子设备及存储介质 |
| CN110008082B (zh) * | 2019-03-16 | 2022-06-17 | 平安科技(深圳)有限公司 | 异常任务智能监测方法、装置、设备及存储介质 |
| CN110008082A (zh) * | 2019-03-16 | 2019-07-12 | 平安科技(深圳)有限公司 | 异常任务智能监测方法、装置、设备及存储介质 |
| CN111723118A (zh) * | 2019-03-18 | 2020-09-29 | 顺丰科技有限公司 | 一种运单查询异常行为检测方法和装置 |
| CN111723825A (zh) * | 2019-03-18 | 2020-09-29 | 顺丰科技有限公司 | 一种客户信息查询异常行为检测方法和装置 |
| CN111159231A (zh) * | 2019-12-03 | 2020-05-15 | 深圳市智微智能软件开发有限公司 | 资料追踪查询方法及系统 |
| CN112035507A (zh) * | 2020-08-06 | 2020-12-04 | 杭州安恒信息技术股份有限公司 | 异常查询人员预警方法、装置、电子设备和可读存储介质 |
| CN112035507B (zh) * | 2020-08-06 | 2024-04-12 | 杭州安恒信息技术股份有限公司 | 异常查询人员预警方法、装置、电子设备和可读存储介质 |
| CN112764957A (zh) * | 2021-01-15 | 2021-05-07 | 中国工商银行股份有限公司 | 应用故障定界方法及装置 |
| CN113486366A (zh) * | 2021-06-08 | 2021-10-08 | 贵州电网有限责任公司 | 一种基于聚类分析的Web违规操作行为检测方法 |
| CN114819565A (zh) * | 2022-04-14 | 2022-07-29 | 中国南方电网有限责任公司 | 系统规范描述文件的校核方法、控制设备及智能变电站 |
| CN114819565B (zh) * | 2022-04-14 | 2024-03-22 | 中国南方电网有限责任公司 | 系统规范描述文件的校核方法、控制设备及智能变电站 |
| CN116702229A (zh) * | 2023-08-04 | 2023-09-05 | 四川蓉城蕾茗科技有限公司 | 一种安全屋信息安全管控方法及系统 |
| CN116702229B (zh) * | 2023-08-04 | 2023-11-21 | 四川蓉城蕾茗科技有限公司 | 一种安全屋信息安全管控方法及系统 |
| CN117478441A (zh) * | 2023-12-28 | 2024-01-30 | 云南建投物流有限公司 | 基于用户行为智能分析的动态访问控制方法及系统 |
| CN117478441B (zh) * | 2023-12-28 | 2024-03-12 | 云南建投物流有限公司 | 基于用户行为智能分析的动态访问控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019214511A1 (zh) | 2019-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108717510A (zh) | 一种通过聚类分析文件异常操作行为的方法、系统及终端 | |
| CN109474483A (zh) | 一种设备异常情况的检测方法、检测装置及终端设备 | |
| EP2069993B1 (en) | Security system and method for detecting intrusion in a computerized system | |
| Wu et al. | Intrusion detection system combined enhanced random forest with SMOTE algorithm | |
| Tseng et al. | Fraudetector: A graph-mining-based framework for fraudulent phone call detection | |
| CN104541293B (zh) | 用于客户端‑云行为分析器的架构 | |
| CN110347547A (zh) | 基于深度学习的日志异常检测方法、装置、终端及介质 | |
| Singh et al. | Dynamic behavior analysis of android applications for malware detection | |
| Ekina et al. | Application of bayesian methods in detection of healthcare fraud | |
| CN107515890A (zh) | 一种识别常驻点的方法及终端 | |
| CN108011928A (zh) | 一种信息推送方法、终端设备及计算机可读介质 | |
| CN110442712B (zh) | 风险的确定方法、装置、服务器和文本审理系统 | |
| Jin et al. | Artificial neural network-based metric selection for software fault-prone prediction model | |
| Kumar et al. | Rise of data mining: current and future application areas | |
| CN109817339A (zh) | 基于大数据的患者分组方法和装置 | |
| US12112268B2 (en) | Counter data generation for data profiling using only true samples | |
| CN108469975A (zh) | 控件显示方法、装置、计算机设备和存储介质 | |
| CN109740630A (zh) | 异常数据处理方法及装置 | |
| Chaulagain et al. | Hybrid analysis of android apps for security vetting using deep learning | |
| CN109559206A (zh) | 一种区域企业诚信评价方法、装置及终端设备 | |
| CN108520186A (zh) | 录屏方法、移动终端及计算机可读存储介质 | |
| Alzubaidi et al. | A data reduction scheme for active authentication of legitimate smartphone owner using informative apps ranking | |
| CN109993365A (zh) | 患病概率预测方法、装置、计算机设备及存储介质 | |
| CN115471336A (zh) | 交易系统的异常检测方法、装置和服务器 | |
| Genga et al. | Discovering reliable evidence of data misuse by exploiting rule redundancy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181030 |