CN109040110A - 一种外发行为检测方法及装置 - Google Patents
一种外发行为检测方法及装置 Download PDFInfo
- Publication number
- CN109040110A CN109040110A CN201811015472.9A CN201811015472A CN109040110A CN 109040110 A CN109040110 A CN 109040110A CN 201811015472 A CN201811015472 A CN 201811015472A CN 109040110 A CN109040110 A CN 109040110A
- Authority
- CN
- China
- Prior art keywords
- dimension
- baseline
- user
- log
- violation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请实施例提供了一种外发行为检测方法及装置,方法包括:获取DLP设备上报的第一用户的第一违规日志;第一违规日志为违反DLP设备中审计规则的日志;确定第一违规日志在预设的至少一个维度下的行为特征;根据预先存储的用户与维度下的维度基线的对应关系,确定第一用户对应的每一维度下的维度基线;针对每一维度,判断该维度下的行为特征是否与所确定的维度基线匹配,得到该维度下的判断结果;若所有维度下的判断结果均为否,则确定第一违规日志所表征的外发行为为正常外发行为。应用本申请实施例提供的技术方案,能够减轻安全信息人员的劳动,提高安全信息人员鉴定异常外发行为的效率。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种外发行为检测方法及装置。
背景技术
随着网络技术的快速发展与大量应用,网络安全威胁也在不断增加。网络安全威胁分为外部网络安全威胁和内部网络安全威胁。对于外部网络安全威胁,可以通过防火墙、入侵检测、防病毒软件等安全产品来抵御。但对于内部网络安全威胁,即内部的数据泄露,异常外发行为,则主要采用DLP(Data leakage prevention,数据泄密防护)技术来解决该问题。
具体性,采用DLP技术来进行异常外发行为检测时,根据设置的审计规则,由DLP设备对企业员工外发行为,包括邮件外发、文件外传等行为进行审计,具体的,DLP设备对记录外发行为信息的日志进行审计,将违反审计规则的日志(以下简称“违规日志”)所表征的外发行为确定为异常外发行为。然后DLP设备输出该违规日志,由安全信息人员对该违规日志进行人工处理,最终鉴定该违规日志所表征的外发行为是否真的为异常外发行为。
目前,采用DLP技术来进行异常外发行为检测时,DLP设备每天会输出有大量的违规日志,这使得安全信息人员具有大量的异常外发行为的鉴定工作,安全信息人员劳动繁琐,鉴定效率低。
发明内容
本申请实施例的目的在于提供一种外发行为检测方法及装置,以减轻安全信息人员的劳动量,提高安全信息人员鉴定异常外发行为的效率,并提高异常外发行为鉴定的准确率。具体技术方案如下:
第一方面,本申请实施例提供提供了一种外发行为检测方法,所述方法包括:
获取DLP设备上报的第一用户的第一违规日志;所述第一违规日志为违反所述DLP设备中审计规则的日志;
确定所述第一违规日志在预设的至少一个维度下的行为特征;
根据预先存储的用户与各维度下的维度基线的对应关系,确定所述第一用户对应的每一维度下的维度基线;
针对每一维度,判断该维度下的行为特征是否与所确定的维度基线匹配,得到该维度下的判断结果;
若所述至少一个维度中所有维度下的判断结果均为否,则确定所述第一违规日志所表征的外发行为为正常外发行为。
第二方面,本申请实施例提供提供了一种外发行为检测装置,所述装置包括:
第一获取单元,用于获取DLP设备上报的第一用户的第一违规日志;所述第一违规日志为违反所述DLP设备中审计规则的日志;
第一确定单元,用于确定所述第一违规日志在预设的至少一个维度下的行为特征;
第二确定单元,用于根据预先存储的用户与各维度下的维度基线的对应关系,确定所述第一用户对应的每一维度下的维度基线;
判断单元,用于针对每一维度,判断该维度下的行为特征是否与所确定的维度基线匹配,得到该维度下的判断结果;
处理单元,用于若所述判断单元在所述至少一个维度中所有维度下的判断结果均为否,则确定所述第一违规日志所表征的外发行为为正常外发行为。
第三方面,本申请实施例提供提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述外发行为检测方法的任一步骤。
第四方面,本申请实施例提供提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现上述外发行为检测方法的任一步骤。
本申请实施例提供了一种外发行为检测方法及装置,在获取到DLP设备上报的第一用户的第一违规日志后,确定第一违规日志在预设的至少一个维度下的行为特征,并确定第一用户对应的每一维度下的维度基线;若确定在上述至少一个维度中所有维度下的行为特征与所确定的维度基线均不匹配,则确定第一违规日志所表征的外发行为为正常外发行为。在确定第一违规日志所表征的外发行为为正常外发行为的情况下,就不会输出第一违规日志。这样,在输出违规日志前,对违规日志进行了过滤,有效减少了输出的违规日志的条数,进而减轻了安全信息人员的劳动量,提高了安全信息人员鉴定异常外发行为的效率。当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种网络拓扑结构示意图;
图2为本申请实施例提供的一种网络拓扑结构示意图;
图3为本申请实施例提供的外发行为检测方法的一种流程示意图;
图4为本申请实施例提供的用户与维度基线的对应关系更新的一种流程示意图;
图5为本申请实施例提供的另一种网络拓扑结构示意图;
图6为本申请实施例提供的外发行为检测装置的一种结构示意图;
图7为本申请实施例提供的电子设备的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,如图1所示网络拓扑结构,包括DLP设备100、数据库110和管理设备120。采用DLP技术来进行异常外发行为检测时,DLP设备100确定违反审计规则的日志(以下简称“违规日志”)后,输出违规日志,即将违规日志存储在数据库110中。安全信息人员通过管理设备120从数据库110中获取到违规日志,并对违规日志进行鉴定,确定违规日志所表征的外发行为是否为异常外发行为。
然而,DLP设备100每天会输出有大量的违规日志,即数据库110中每天会存储大量的违规日志。这使得安全信息人员没有重点的,疲于奔命的鉴定异常外发行为,安全信息人员劳动繁琐,鉴定效率低。
为了提高鉴定效率,降低劳动成本,安全信息人员选择性对DLP设备输出的部分违规日志进行鉴定,由所选择的违规日志的鉴定结果,来确定DLP设备输出的每一违规日志所表征的外发行为是否是异常外发行为。这虽然提高了鉴定效率,降低了劳动成本,但有很大可能会出现错误,例如,将真正的异常外发行为确定为正常外发行为,将真正的正常外发行为确定为异常外发行为,导致鉴定准确率低的问题。
为了减轻安全信息人员的劳动量,提高安全信息人员鉴定异常外发行为的效率及准确率,本申请实施例提供了一种外发行为检测方法,该方法可以应用于任一电子设备。如图2所示网络拓扑结构,除包括图1所示网络拓扑结构中的DLP设备100、数据库110和管理设备120外,还包括服务器130。该外发行为检测方法可以应用于服务器130。其中,数据库110可以集成在DLP设备100上,还可以集成在服务器130上,也可以位于一台独立的物理机上。此外服务器130可以与DLP设备100位于同一台物理机上,也可以与管理设备120位于同一台物理机上,还可以一台独立的物理机上。图2所示的网络拓扑结构可以包括一台DLP设备,也可以包括多台DLP设备,这里仅以DLP设备100为例进行说明,不起限定作用。
该外发行为检测方法中,获取DLP设备上报的第一用户的第一违规日志,第一违规日志为违反DLP设备中审计规则的日志,确定第一违规日志在预设的至少一个维度下的行为特征,根据预先存储的用户与各维度下的维度基线的对应关系,确定第一用户对应的每一维度下的维度基线,针对每一维度,判断该维度下的行为特征是否与所确定的维度基线匹配,若上述至少一个维度中所有维度下的判断结果均为否,则确定第一违规日志所表征的外发行为为正常外发行为。在确定第一违规日志所表征的外发行为为正常外发行为的情况下,就不会输出第一违规日志。在输出违规日志前,对违规日志进行了过滤,有效减少了输出的违规日志的条数,进而减轻了安全信息人员的劳动量,提高了安全信息人员鉴定异常外发行为的效率。并且,由于减小了输出的违规日志的条数,因此有效降低了安全信息人员进行异常外发行为鉴定时出现遗漏的概率。
另外,目前,现有技术中:为了提高鉴定效率,降低劳动成本,安全信息人员选择性对DLP设备100输出的部分违规日志进行鉴定,由所选择的违规日志的鉴定结果,来确定DLP设备输出的每一违规日志所表征的外发行为是否是异常外发行为。例如,设定一个比例阈值80%,若鉴定所选择的违规日志中超过80%的违规日志所表征的外发行为是异常外发行为,则确定未选择的违规日志所表征的外发行为均是异常外发行为。
若鉴定所选择的违规日志中低于80%的违规日志所表征的外发行为是异常外发行为,则从DLP设备100输出的违规日志选择出一部分违规日志,确定这一个部分的违规日志所表征的外发行为为异常外发行为,确定另外一部分违规日志所表征的外发行为正常外发行为。
这虽然提高了鉴定效率,降低了劳动成本,但势必会出现遗漏错误,将真正的异常外发行为确定为了正常外发行为,将真正的正常外发行为确定为了异常外发行为,导致鉴定准确率低的问题。
而本申请实施例中,由于减少了输入的违规日志的条数,安全信息人员可以对所有违规日志进行鉴定,提高了异常外发行为鉴定的准确率。即使安全信息人员仍然选择性对DLP设备输出的部分违规日志进行鉴定,但由于减少了输入的违规日志的条数,所选择的违规日志占输出的违规日志的比例大大提高,降低了出现错误的概率,提高了异常外发行为鉴定的准确率。
下面通过具体实施例,对本申请进行详细说明。
参考图3,图3为本申请实施例提供的外发行为检测方法的一种流程示意图。为便于描述,下面以执行主体为服务器为例进行说明。该外发行为检测方法包括如下步骤。
步骤301,获取DLP设备上报的第一用户的第一违规日志。
在本申请实施例中,服务器可以获取到DLP设备上报的任一用户的任一违规日志。这里,仅以第一用户的第一违规日志为例进行说明,不起限定作用。第一用户的第一违规日志是指包含第一用户标识(例如第一用户的用户名、用户终端的IP地址和/或用户终端的Mac地址)的违规日志。
其中,第一违规日志为违反DLP设备中审计规则的日志,审计规则可以记录正常外发行为的行为特征。一个示例中,日志包括的信息如表1所示。
表1
| 事件类型 | 文件 | 文件大小 | 用户名 | 用户IP | 用户Mac | 上报时间 |
其中,事件类型:日志所表征的外发行为的类型,例如,邮件外发、文件外传、文件共享等。
文件:日志所表征的外发行为所外发文件的类型,例如,代码文件、Word文件、Excel文件、PPT文件等。代码文件包括:java文件、h文件、c文件、dsw文件、cpp文件、cs文件、exe文件、asp文件、dll文件、php文件、lib文件、jsp文件和dsp文件等。
文件大小:日志所表征的外发行为所外发文件的数据量。
用户名:日志所表征的外发行为的用户的用户名。
用户IP(Intern。et Protocol,网络协议):日志所表征的外发行为的用户终端的IP地址。
用户MAC(Media Access Control,媒体访问控制):日志所表征的外发行为的用户终端的MAC地址。
用户名、用户IP、用户MAC可以统称为用户的标识。
上报时间:为产生日志所表征的外发行为的时间点。
例如:某条违规日志可以如表2所示。
表2
| 事件类型 | 文件 | 文件大小 | 用户名 | 用户IP | 用户Mac | 上报时间 |
| 文件外传 | PPT | 10M | A | 1.1.1.1 | 08:00:20:0A:8C:6D | 2018/8/30 |
本申请实施例中,DLP设备获取到记录有第一用户的外发行为信息的日志后,根据设定的审计规则,对该日志进行审计,若该日志违反了审计规则,则将该日志作为第一违规日志,上报数据库。服务器从数据库中获取到该第一违规日志。
步骤302,确定第一违规日志在预设的至少一个维度下的行为特征。
本申请实施例中,服务器中可以预设的一个或多个维度。
一个实施例中,服务器中预设的至少一个维度包括如下维度中的至少一种:
第一维度:单位天数内上报第一用户的违规日志的条数;
第二维度:第一违规日志的上报时间,如表1中的上报时间;
第三维度:当前时间之前的第一预设周期内上报第一用户的违规日志的条数;
第四维度:第一违规日志包括的外发文件的文件类型,如表1中的文件;
第五维度:第一违规日志包括的外发文件的数据量,如表1中的文件大小;
第六维度:单位天数内第一用户外发文件的总数据量。
若预设的至少一个维度包括第一维度,则服务器确定第一违规日志在预设的至少一个维度下的行为特征,具体可为:确定单位天数内上报第一用户的违规日志的条数。
一个示例中,单位天数指当前日期的0:00至当前时刻。例如,当前时刻为1月2日10:00,则单位天数内上报第一用户的违规日志的条数为:1月2日0:00-10:00期间上报第一用户的违规日志的条数。
另一个示例中,单位天数指当前时刻之前的24小时。例如,当前时刻为1月2日10:00,则单位天数内上报第一用户的违规日志的条数为:1月1日10:00-1月2日10:00期间上报第一用户的违规日志的条数。
若预设的至少一个维度包括第二维度,则服务器确定第一违规日志在预设的至少一个维度下的行为特征,具体可为:确定上报第一违规日志的上报时间。
若预设的至少一个维度包括第三维度,则服务器确定第一违规日志在预设的至少一个维度下的行为特征,具体可为:确定当前时间之前的第一预设周期内上报第一用户的违规日志的条数。
例如,第一预设周期为30天。若当前时间为2月3日,则当前时间之前的第一预设周期内上报第一用户的违规日志的条数为:1月5日-2月3日之间上报第一用户的违规日志的条数。
若预设的至少一个维度包括第四维度,则服务器确定第一违规日志在预设的至少一个维度下的行为特征,具体可为:确定第一违规日志包括的外发文件的文件类型。文件类型包括但不限于:代码文件、Word文件、Excel文件、PPT文件等。其中,代码文件包括但不限于:java文件、h文件、c文件、dsw文件、cpp文件、cs文件、exe文件、asp文件、dll文件、php文件、lib文件、jsp文件和dsp文件等。
若预设的至少一个维度包括第五维度,则服务器确定第一违规日志在预设的至少一个维度下的行为特征,具体可为:确定第一违规日志包括的外发文件的数据量。
若预设的至少一个维度包括第六维度单位天数内,则服务器确定第一违规日志在预设的至少一个维度下的行为特征,具体可为:确定单位天数内第一用户外发文件的总数据量。
例如,单位天数内上报3条第一用户的违规日志,每条违规日志包括的外发文件的数据量分别为1.2M、1.3M和1M,则单位天数内第一用户的外发文件的总数据量为:1.2+1.3+1=3.5M。
步骤303,根据预先存储的用户与各维度下的维度基线的对应关系,确定第一用户对应的每一维度下的维度基线。
其中,维度基线用于区分违规日志所表征的外发行为是正常外发行为和异常外发行为。
服务器中存储有用户与各维度下的维度基线的对应关系。服务器在获取到第一用户的第一违规日志后,从预先存储的用户与各维度下的维度基线的对应关系中,查找到包括第一用户的第一对应关系,进而从第一对应关系中获得第一用户对应的每一维度下的维度基线。
例如,预设的至少一个维度包括第一维度和第二维度。服务器从预先存储的用户与各维度下的维度基线的对应关系中,查找到包括第一用户的第一对应关系,进而从第一对应关系中获得第一用户对应的第一维度下的维度基线,以及第一用户对应的第二维度下的维度基线。
本申请实施例中,不限定步骤302和步骤303的执行顺序。步骤302可在步骤303之前执行,可在步骤303之后执行,还可与步骤303同时执行。
在本申请的一个实施例中,为提高输出违规日志的准确性,可以每间隔一段时间更新一次预先存储的用户与各维度下的维度基线的对应关系。其中,间隔的时间可以根据用户需要进行设定。例如,间隔的时间可以为1天、1个星期、或1个月等。例如,若间隔的时间为1天,则每天更新一次预先存储的用户与各维度下的维度基线的对应关系。对应关系的更新可参考图4所示,对应关系的更新包括如步骤。
步骤401,获取第二预设周期内DLP设备上报的第一用户的违规日志。
其中,第二预设周期为当前时间之前的周期,第二预设周期与第一预设周期可以相同,也可以不同。
假设,对应关系的更新时间为每天的0:00。第二预设周期为30天,当前时间为2月3日。当到达2月4日0:00时,获取1月5日-2月3日内DLP设备上报的第一用户的违规日志。当到达2月5日0:00时,获取1月6日-2月4日内DLP设备上报的第一用户的违规日志。以此类推。
步骤402,根据第二预设周期内每天上报第一用户的违规日志的条数,确定第一维度基线,第一维度基线为单位天数内上报第一用户的违规日志的条数阈值。
一个实施例中,服务器可以根据以下公式确定第一维度基线N:
N=n*Max(Ni)*w;
其中,n为预设数值,n>0;Ni为第二预设周期内第i天上报第一用户的违规日志的条数,1≤i≤T,T为第二预设周期;w为预设分位数,0<w≤1。Max(Ni):表示第1-T天中上报第一用户的违规日志的条数最大的一天,所上报的第一用户的违规日志的条数。
例如,第二预设周期T为5天,n=2,w=0.95。服务器获取5天内每天上报用户1的违规日志的条数分别为:20,25,26,28,21,则可确定第一维度基线N=2*Max(20,25,26,28,21)*0.95=2*28*0.95=53.2,即用户1对应的第一维度基线为:单位天数内上报用户1的违规日志的条数阈值为53.2。
另一个实施例中,服务器可以根据以下公式确定第一维度基线N:
其中,Ni为第二预设周期内第i天上报第一用户的违规日志的条数,1≤i≤T,T为第二预设周期。
例如,第二预设周期T为5天,n=2,w=0.95。服务器获取5天内每天上报用户1的违规日志的条数分别为:20,25,26,28,21,则可确定第一维度基线N=(20+25+26+28+21)/5=24,即用户1对应的第一维度基线为:单位天数内上报用户1的违规日志的条数阈值为24。
在本申请的一个实施例中,根据第二预设周期内每天上报第一用户的违规日志的条数,确定的第一维度基线可能不是正整数。此时,可以对确定的第一维度基线进行向上取整,将取整后得到的数值作为最终确定的第一维度基线。例如,上述确定第一维度基线N为53.2,对53.2向上取整,得到54,最终确定的第一维度基线为:单位天数内上报用户1的违规日志的条数阈值为54。
本申请实施例中还可以采用其他方式确定第一维度基线N,只要是基于获取的第二预设周期内上报的第一用户的违规日志的条数确定即可。
步骤403,根据所获取的违规日志中上报时间位于第一时间段内的违规日志的第一条数,以及所获取的违规日志的第二条数,确定第二维度基线。第二维度基线为上报第一用户的违规日志的时间段。
一个实施例中,服务器采用以下方式确定第二维度基线:确定所获取的违规日志中每一违规日志的上报时间;确定所获取的违规日志中上报时间位于第一时间段内的违规日志的第一条数,以及所获取的违规日志的第二条数;计算第一条数与第二条数的比值;若第一条数与第二条数的比值达到预设比例阈值,则将上报第一用户的违规日志的第一时间段作为第二维度基线。
例如,预设比例阈值为0.95,服务器总共获取到100条用户1的违规日志,即第二条数为100,若这100条的违规日志中,上报时间位于第一时间段6:00-22:00内的违规日志的条数大于等于95,即第一条数大于等于95,95/100=0.95,则确定6:00-22:00为用户1的常用工作时间段,上报用户1上报违规日志的6:00-22:00为用户1对应的第二维度基线。
本申请实施例中,不限定步骤402和步骤403的执行顺序。步骤402可在步骤403之前执行,可在步骤403之后执行,还可与步骤403同时执行。
步骤404,存储第一用户与第一维度基线和第二维度基线的对应关系。
用户存储第一用户与第一维度基线和第二维度基线的对应关系,以便于后续确定第一用户对应的每一维度下的维度基线(如步骤303)时使用。
例如,服务器确定用户1对应的第一维度基线中单位天数内上报用户1的违规日志的条数阈值为53.2,用户1对应的第二维度基线中上报用户1上报违规日志的第一时间段为6:00-22:00,则存储{用户1,53.2,6:00-22:00}。当接收到用户1的违规日志1时,根据{用户1,53.2,6:00-22:00},确定用户1对应的第一维度基线为53.2,确定用户1对应的第二维度基线为6:00-22:00。
步骤304,针对每一维度,判断该维度下第一用户的行为特征是否与所确定的维度基线匹配,得到该维度下的判断结果。
在本申请的一个实施例中,若预设的至少一个维度包括第一维度,即预设的至少一个维度包括单位天数内上报第一用户的违规日志的条数,则判断单位天数内上报第一用户的违规日志的条数是否大于或等于第一维度基线,第一维度基线为单位天数内上报第一用户的违规日志的条数阈值。若是,则确定在第一维度下第一用户的行为特征与所确定的维度基线匹配,即确定在第一维度下第一用户的行为特征与第一维度基线匹配,第一违规日志所表征的第一维度下的外发行为为异常外发行为。若否,则确定在第一维度下的行为特征与所确定的维度基线不匹配,即确定在第一维度下第一用户的行为特征与第一维度基线不匹配,第一违规日志所表征的第一维度下的外发行为为正常外发行为。
例如,用户1对应的第一维度基线为:单位天数内上报用户1的违规日志的条数阈值53.2,若接收到用户1的违规日志1后,确定单位天数内上报用户1的违规日志的条数为54条,54>53.2,则服务器确定用户1的违规事件数激增,确定在第一维度下用户1的行为特征与第一维度基线匹配。若接收到用户1的违规日志1后,确定单位天数内上报用户1的违规日志的条数为50条,50<53.2,则服务器确定在第一维度下用户1的行为特征与第一维度基线不匹配。
在本申请的一个实施例中,若预设的至少一个维度包括第二维度,即预设的至少一个维度包括第一违规日志的上报时间,则判断第一违规日志的上报时间是否位于第二维度基线外,第二维度基线为上报第一用户的违规日志的时间段。若是,则确定在第二维度下第一用户的行为特征与所确定的维度基线匹配,即确定在第二维度下第一用户的行为特征与第二维度基线匹配,第一违规日志所表征的第二维度下的外发行为为异常外发行为。若否,则确定在第二维度下的行为特征与所确定的维度基线不匹配,即确定在第二维度下第一用户的行为特征与第二维度基线不匹配,第一违规日志所表征的第二维度下的外发行为为正常外发行为。
例如,用户1对应的第二维度基线为:违规日志的上报时间段6:00-22:00,若接收到用户1的违规日志1后,确定违规日志1的上报时间为23:00,23:00在6:00-22:00外,则服务器确定在第二维度下用户1的行为特征与第二维度基线匹配。若确定违规日志1的上报时间为12:00,12:00在6:00-22:00内,则服务器确定在第二维度下用户1的行为特征与第二维度基线不匹配。
在本申请的一个实施例中,若预设的至少一个维度包括第三维度,即预设的至少一个维度包括当前时间之前的第一预设周期内上报第一用户的违规日志的条数,则判断当前时间之前的第一预设周期内上报第一用户的违规日志的条数是否小于第三维度基线,第三维度基线为当前时间之前的第一预设周期内上报第一用户的违规日志的条数阈值。若是,则确定在第三维度下第一用户的行为特征与所确定的维度基线匹配,即确定在第三维度下第一用户的行为特征与第三维度基线匹配,第一违规日志所表征的第三维度下的外发行为为异常外发行为。若否,则确定在第三维度下的行为特征与所确定的维度基线不匹配,即确定在第三维度下第一用户的行为特征与第三维度基线不匹配,第一违规日志所表征的第三维度下的外发行为为正常外发行为。
本申请实施例中,在当前时间接收到第一用户的第一违规日志时,会依据当前时间之前的第一预设周期内第一用户的违规日志的条数与第三维度基线的大小,判断第一用户是否为新增违规用户。其中,第三维度基线设置的数值较小(可以是10以内的数值,还可以是第一预设周期内所有违规日志的万分之一,此比例并不做特别限定),若当前时间之前的第一预设周期内第一用户的违规日志的条数小于第三维度基线,则可确定第一用户在第一预设周期内几乎是没有发生过违规事件,为正常用户。那么在当前时间接收到第一用户的第一违规日志时,则认为第一用户为新增违规用户。对于新增违规用户,新增违规用户的违规日志所表征的外发行为均可判定为异常外发行为。
例如,用户1对应的第三维度基线为:当前时间之前的第一预设周期内上报用户1的违规日志的条数阈值5,若在当前时间接收到用户1的违规日志1后,确定当前时间之前的第一预设周期内上报用户1的违规日志的条数为4,4<5,则服务器确定用户1在当前时间之前没有发生过违规事件,那么用户1此时发生了违规事件,用户1为新增违规用户,在第三维度下用户1的行为特征与第三维度基线匹配。若确定当前时间之前的第一预设周期内上报用户1的违规日志的条数为6,6>5,则服务器确定在第三维度下用户1的行为特征与第三维度基线不匹配,用户1在当前时间之前经常发生违规事件,用户1已是违规用户。
在本申请的一个实施例中,若预设的至少一个维度包括第四维度,即预设的至少一个维度包括第一违规日志包括的外发文件的文件类型,则判断第一违规日志包括的外发文件的文件类型是否包含于第四维度基线中,第四维度基线为第一用户外发文件的文件类型。若是,则确定在第四维度下第一用户的行为特征与所确定的维度基线匹配,即确定在第四维度下第一用户的行为特征与第四维度基线匹配,第一违规日志所表征的第四维度下的外发行为为异常外发行为。若否,则确定在第四维度下的行为特征与所确定的维度基线不匹配,即确定在第四维度下第一用户的行为特征与第四维度基线不匹配,第一违规日志所表征的第四维度下的外发行为为正常外发行为。
例如,用户1对应的第四维度基线为:用户1外发文件的文件类型为代码文件。若接收到用户1的违规日志1后,确定违规日志1包括的外发文件的文件类型为代码文件,则服务器确定用户1的行为特征与第四维度基线匹配。若确定违规日志1包括的外发文件的文件类型不是代码文件,则服务器确定用户1的行为特征与第四维度基线不匹配。
本申请实施例中,若第一违规日志包括的外发文件的文件类型有多种,这多种文件类型中有一种文件类型存在于第四维度基线中,则可确定第一违规日志包括的外发文件的文件类型包含于第四维度基线中。
在本申请的一个实施例中,若预设的至少一个维度包括第五维度,即预设的至少一个维度包括第一违规日志包括的外发文件的数据量,则判断第一违规日志包括的外发文件的数据量是否大于或等于第五维度基线,第五维度基线为第一用户单次外发文件的数据量阈值。若是,则确定在第五维度下第一用户的行为特征与所确定的维度基线匹配,即确定在第五维度下第一用户的行为特征与第五维度基线匹配,第一违规日志所表征的第五维度下的外发行为为异常外发行为。若否,则确定在第五维度下第一用户的行为特征与所确定的维度基线不匹配,即确定在第五维度下第一用户的行为特征与第五维度基线不匹配,第一违规日志所表征的第五维度下的外发行为为正常外发行为。
例如,用户1对应的第五维度基线为:第一用户单次外发文件的数据量1M。若接收到用户1的违规日志1后,确定违规日志1包括的外发文件的数据量大于或等于1M,则服务器确定用户1的行为特征与第五维度基线匹配。若确定违规日志1包括的外发文件的数据量小于1M,则服务器确定用户1的行为特征与第五维度基线不匹配。
在本申请的一个实施例中,若预设的至少一个维度包括第六维度,即预设的至少一个维度包括单位天数内第一用户外发文件的总数据量,则判断单位天数内第一用户外发文件的总数据量是否大于或等于第六维度基线,第六维度基线为单位天数内第一用户外发文件的总数据量阈值。若是,则确定在第六维度下第一用户的行为特征与所确定的维度基线匹配,即确定在第六维度下第一用户的行为特征与第六维度基线匹配,第一违规日志所表征的第六维度下的外发行为为异常外发行为。若否,则确定在第六维度下第一用户的行为特征与所确定的维度基线不匹配,即确定在第六维度下第一用户的行为特征与第六维度基线不匹配,第一违规日志所表征的第六维度下的外发行为为正常外发行为。
例如,用户1对应的第六维度基线为:单位天数内用户1外发文件的总数据量10M。若接收到用户1的违规日志1后,确定单位天数内上报用户1的所有违规日志包括的外发文件的总数据量大于或等于10M,则服务器确定在第六维度下用户1的行为特征与第六维度基线匹配。若确定单位天数内上报用户1的所有违规日志包括的外发文件的总数据量小于10M,则服务器确定在第六维度下用户1的行为特征与第六维度基线不匹配。
步骤305,若上述至少一个维度中所有维度下的判断结果均为否,则确定第一违规日志所表征的外发行为为正常外发行为。
若服务器确定上述至少一个维度中所有维度下的判断结果均为否,也就是,第一违规日志所表征的所有维度下的外发行为均为正常外发行为,则第一违规日志所表征的外发行为为正常外发行为,也就是,不会输出第一违规日志,减少安全信息人员鉴定违规日志的条数,减轻安全信息人员的劳动量,提高安全信息人员鉴定异常外发行为的效率。
一个实施例中,服务器确定第一违规日志所表征的外发行为为正常外发行为之后,可以清除存储的第一违规日志。如图2所示,服务器130确定第一违规日志所表征的外发行为为正常外发行为之后,向数据库110下发针对第一违规日志的删除指令。数据库110根据删除指令清除数据库110中存储的第一违规日志,以达到不输出第一违规日志的目的。
在本申请的一个实施例中,服务器若得到上述至少一个维度中任一维度下的判断结果为是,即确定第一违规日志所表征的任一维度下的外发行为为异常外发行为,则确定第一违规日志所表征的外发行为为异常外发行为,即输出第一违规日志,以供用户鉴定第一违规日志所表征的外发行为是否真的为异常外发行为。一个实施例中,如图2所示,服务器130确定第一违规日志所表征的外发行为为异常外发行为之后,为保证第一违规日志的输出,服务器130不做其他处理,也就是,保留数据库110中存储的第一违规日志。
在本申请的一个实施例中,如图5所示的网络拓扑结构,在图2的基础上,可以在网络中另外设置一个数据库140。服务器130若确定第一违规日志所表征的外发行为为异常外发行为,则将数据库110中存储的第一违规日志复制至数据140。服务器130若确定第一违规日志所表征的外发行为为正常外发行为,则不做其他处理。安全信息人员鉴定违规日志时,通过管理设备120从数据库140中获取违规日志,进而实现减少安全信息人员鉴定违规日志的条数,提高安全信息人员鉴定异常外发行为的效率的目的。
另外,由于减少了输入的违规日志的条数,安全信息人员可以对所有违规日志进行鉴定,提高了异常外发行为鉴定的准确率。即使安全信息人员仍然选择性对DLP设备输出的部分违规日志进行鉴定,但由于减少了输入的违规日志的条数,所选择的违规日志占输出的违规日志的比例大大提高,降低了出现错误的概率,提高了异常外发行为鉴定的准确率。
在本申请的一个实施例中,对于第一用户对应的第三维度基线,即当前时间之前的第一预设周期内上报第一用户的违规日志的条数阈值,服务器可以获取当前时间之前的第一预设周期内上报第一用户的违规日志的条数,若获取的条数小于第三维度基线,则可以确定第一用户在第一预设周期内几乎是没有发生过违规事件,为正常用户。那么在当前时间接收到第一用户的第一违规日志时,则认为第一用户为新增违规用户。之后,若获取到第一用户的第一违规日志,则直接确定第一违规日志所表征的外发行为为异常外发行为,输出第一违规日志,以供安全信息人员鉴定第一违规日志所表征的外发行为是否为异常外发行为。这有效提高了异常外发行为鉴定的效率。
例如,第三维度基线为:当前时间之前的第一预设周期内上报用户1的违规日志的条数阈值为5,则若当前时间之前的第一预设周期内上报用户1的违规日志的条数为4条,4<5,则确定用户1为新增违规用户。之后,若再次获取到用户1的违规日志1,直接确定违规日志1所表征的外发行为为异常外发行为,输出违规日志1。
为提高输出违规日志的准确性,当前时间之前的第一预设周期内上报第一用户的违规日志的条数可以每间隔一段时间统计一次。例如,间隔的时间为1天,每天获取当前时间之前的第一预设周期内DLP设备上报的第一用户的违规日志,确定所获取的第一用户的违规日志的条数是否小于第三维度基线。若是,则确定第一用户为新增违规用户。之后,若获取到第一用户的第一违规日志,则直接确定第一违规日志所表征的外发行为为异常外发行为,输出第一违规日志。
与上述外发行为检测方法实施例对应,本申请实施例还提供了一种外发行为检测装置。参考图6,图6为本申请实施例提供的外发行为检测装置的一种结构示意图,该装置包括:
第一获取单元601,用于获取DLP设备上报的第一用户的第一违规日志;第一违规日志为违反DLP设备中审计规则的日志;
第一确定单元602,用于确定第一违规日志在预设的至少一个维度下的行为特征;
第二确定单元603,用于根据预先存储的用户与各维度下的维度基线的对应关系,确定第一用户对应的每一维度下的维度基线;
判断单元604,用于针对每一维度,判断该维度下的行为特征是否与所确定的维度基线匹配,得到该维度下的判断结果;
处理单元605,用于若判断单元604在上述至少一个维度中所有维度下的判断结果均为否,则确定第一违规日志所表征的外发行为为正常外发行为。
这样,有效减少了输出的违规日志的条数,进而减轻了安全信息人员的劳动,提高了安全信息人员鉴定异常外发行为的效率,并提高了异常外发行为鉴定的准确率。
一个实施例中,处理单元605,还可以用于若判断单元604在上述至少一个维度中任一维度下的判断结果为是,则确定第一违规日志所表征的外发行为为异常外发行为。
一个实施例中,上述至少一个维度包括如下维度中的至少一种:
第一维度:单位天数内上报第一用户的违规日志的条数;
第二维度:第一违规日志的上报时间;
第三维度:当前时间之前的第一预设周期内上报第一用户的违规日志的条数;
第四维度:第一违规日志包括的外发文件的文件类型;
第五维度:第一违规日志包括的外发文件的数据量;
第六维度:单位天数内第一用户外发文件的总数据量。
一个实施例中,判断单元604,具体可以用于:
若上述至少一个维度中包括第一维度,则判断单位天数内上报第一用户的违规日志的条数是否大于或等于第一维度基线,第一维度基线为单位天数内上报第一用户的违规日志的条数阈值;若是,则确定在第一维度下的行为特征与所确定的维度基线匹配;若否,则确定在第一维度下的行为特征与所确定的维度基线不匹配;
若上述至少一个维度中包括第二维度,则判断第一违规日志的上报时间是否位于第二维度基线外,第二维度基线为上报第一用户的违规日志的时间段;若是,则确定在第二维度下的行为特征与所确定的维度基线匹配;若否,则确定在第二维度下的行为特征与所确定的维度基线不匹配;
若上述至少一个维度中包括第三维度,则判断当前时间之前的第一预设周期内上报第一用户的违规日志的条数是否小于第三维度基线,第三维度基线为当前时间之前的第一预设周期内上报第一用户的违规日志的条数阈值;若是,则确定在第三维度下的行为特征与所确定的维度基线匹配;若否,则确定在第三维度下的行为特征与所确定的维度基线不匹配;
若上述至少一个维度中包括第四维度,则判断第一违规日志包括的外发文件的文件类型是否包含于第四维度基线中,第四维度基线为第一用户外发文件的文件类型;若是,则确定在第四维度下的行为特征与所确定的维度基线匹配;若否,则确定在第四维度下的行为特征与所确定的维度基线不匹配;
若上述至少一个维度中包括第五维度,则判断第一违规日志包括的外发文件的数据量是否大于或等于第五维度基线,第五维度基线为第一用户单次外发文件的数据量阈值;若是,则确定在第五维度下的行为特征与所确定的维度基线匹配;若否,则确定在第五维度下的行为特征与所确定的维度基线不匹配;
若上述至少一个维度中包括第六维度,则判断单位天数内第一用户外发文件的总数据量是否大于或等于第六维度基线,第六维度基线为单位天数内第一用户外发文件的总数据量阈值;若是,则确定在第六维度下的行为特征与所确定的维度基线匹配;若否,则确定在第六维度下的行为特征与所确定的维度基线不匹配单位天数内单位天数内单位天数内单位天数内。
一个实施例中,上述装置还可以包括:
第二获取单元,用于获取第二预设周期内DLP设备上报的第一用户的违规日志;
第三确定单元,用于根据第二预设周期内每天上报第一用户的违规日志的条数,确定第一维度基线,并根据所获取的违规日志中上报时间位于第一时间段内的违规日志的第一条数,以及所获取的违规日志的第二条数,确定第二维度基线;
存储单元,用于存储第一用户与第一维度基线和第二维度基线的对应关系。
一个实施例中,第三确定单元,具体可以用于:
根据以下公式确定第一维度基线N:
N=n*Max(Ni)*w;
其中,n为预设数值,n>0;Ni为第二预设周期内第i天上报第一用户的违规日志的条数,0≤i≤T,T为第二预设周期;w为预设分位数,0<i≤1。
一个实施例中,第三确定单元,具体可以用于:
确定所获取的违规日志中上报时间位于第一时间段内的违规日志的第一条数,以及所获取的违规日志的第二条数;确定第一条数与第二条数的比值;若比值达到预设比例阈值,则将上报第一用户的违规日志的第一时间段作为第二维度基线。
与上述外发行为检测方法实施例对应,本申请实施例还提供了一种电子设备,如图7所示,包括处理器701和机器可读存储介质702,机器可读存储介质702存储有能够被处理器701执行的机器可执行指令。处理器701被机器可执行指令促使实现上述图2-图5所示的外发行为检测方法的任一步骤。其中,外发行为检测方法包括:
获取DLP设备上报的第一用户的第一违规日志;第一违规日志为违反DLP设备中审计规则的日志;
确定第一违规日志在预设的至少一个维度下的行为特征;
根据预先存储的用户与各维度下的维度基线的对应关系,确定第一用户对应的每一维度下的维度基线;
针对每一维度,判断该维度下的行为特征是否与所确定的维度基线匹配,得到该维度下的判断结果;
若至少一个维度中所有维度下的判断结果均为否,则确定第一违规日志所表征的外发行为为正常外发行为。
这样,有效减少了输出的违规日志的条数,进而减轻了安全信息人员的劳动,提高了安全信息人员鉴定异常外发行为的效率,并提高了异常外发行为鉴定的准确率。
一个实施例中,如图7所示,电子设备还可以包括:通信接口703和通信总线704;其中,处理器701、机器可读存储介质702、通信接口703通过通信总线704完成相互间的通信,通信接口703用于上述电子设备与其他设备之间的通信。
与上述外发行为检测方法实施例对应,本申请实施例还提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,机器可执行指令促使处理器实现上述图2-图5所示的外发行为检测方法的任一步骤。其中,外发行为检测方法包括:
获取DLP设备上报的第一用户的第一违规日志;第一违规日志为违反DLP设备中审计规则的日志;
确定第一违规日志在预设的至少一个维度下的行为特征;
根据预先存储的用户与各维度下的维度基线的对应关系,确定第一用户对应的每一维度下的维度基线;
针对每一维度,判断该维度下的行为特征是否与所确定的维度基线匹配,得到该维度下的判断结果;
若至少一个维度中所有维度下的判断结果均为否,则确定第一违规日志所表征的外发行为为正常外发行为。
这样,有效减少了输出的违规日志的条数,进而减轻了安全信息人员的劳动,提高了安全信息人员鉴定异常外发行为的效率,并提高了异常外发行为鉴定的准确率。
上述通信总线可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard Architecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。
上述机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于外发行为检测装置、电子设备、机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (14)
1.一种外发行为检测方法,其特征在于,所述方法包括:
获取数据泄密防护DLP设备上报的第一用户的第一违规日志;所述第一违规日志为违反所述DLP设备中审计规则的日志;
确定所述第一违规日志在预设的至少一个维度下的行为特征;
根据预先存储的用户与各维度下的维度基线的对应关系,确定所述第一用户对应的每一维度下的维度基线;
针对每一维度,判断该维度下的行为特征是否与所确定的维度基线匹配,得到该维度下的判断结果;
若所述至少一个维度中所有维度下的判断结果均为否,则确定所述第一违规日志所表征的外发行为为正常外发行为。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述至少一个维度中任一维度下的判断结果是,则确定所述第一违规日志所表征的外发行为为异常外发行为。
3.根据权利要求1或2所述的方法,其特征在于,所述至少一个维度包括如下维度中的至少一种:
第一维度:单位天数内上报所述第一用户的违规日志的条数;
第二维度:所述第一违规日志的上报时间;
第三维度:当前时间之前的第一预设周期内上报所述第一用户的违规日志的条数;
第四维度:所述第一违规日志包括的外发文件的文件类型;
第五维度:所述第一违规日志包括的外发文件的数据量;
第六维度:单位天数内所述第一用户外发文件的总数据量。
4.根据权利要求3所述的方法,其特征在于,所述针对每一维度,判断该维度下的行为特征是否与所确定的维度基线匹配的步骤,包括:
若所述至少一个维度中包括所述第一维度,则判断单位天数内上报所述第一用户的违规日志的条数是否大于或等于第一维度基线,所述第一维度基线为单位天数内上报所述第一用户的违规日志的条数阈值;若是,则确定在所述第一维度下的行为特征与所确定的维度基线匹配;若否,则确定在所述第一维度下的行为特征与所确定的维度基线不匹配;
若所述至少一个维度中包括所述第二维度,则判断所述第一违规日志的上报时间是否位于第二维度基线外,所述第二维度基线为上报所述第一用户的违规日志的时间段;若是,则确定在所述第二维度下的行为特征与所确定的维度基线匹配;若否,则确定在所述第二维度下的行为特征与所确定的维度基线不匹配;
若所述至少一个维度中包括所述第三维度,则判断当前时间之前的第一预设周期内上报所述第一用户的违规日志的条数是否小于第三维度基线,所述第三维度基线为当前时间之前的第一预设周期内上报所述第一用户的违规日志的条数阈值;若是,则确定在所述第三维度下的行为特征与所确定的维度基线匹配;若否,则确定在所述第三维度下的行为特征与所确定的维度基线不匹配;
若所述至少一个维度中包括所述第四维度,则判断所述第一违规日志包括的外发文件的文件类型是否包含于第四维度基线中,所述第四维度基线为所述第一用户外发文件的文件类型;若是,则确定在所述第四维度下的行为特征与所确定的维度基线匹配;若否,则确定在所述第四维度下的行为特征与所确定的维度基线不匹配;
若所述至少一个维度中包括所述第五维度,则判断所述第一违规日志包括的外发文件的数据量是否大于或等于第五维度基线,所述第五维度基线为所述第一用户单次外发文件的数据量阈值;若是,则确定在所述第五维度下的行为特征与所确定的维度基线匹配;若否,则确定在所述第五维度下的行为特征与所确定的维度基线不匹配;
若所述至少一个维度中包括所述第六维度,则判断单位天数内所述第一用户外发文件的总数据量是否大于或等于第六维度基线,所述第六维度基线为所述单位天数内第一用户外发文件的总数据量阈值;若是,则确定在所述第六维度下的行为特征与所确定的维度基线匹配;若否,则确定在所述第六维度下的行为特征与所确定的维度基线不匹配。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
获取第二预设周期内所述DLP设备上报的所述第一用户的违规日志;
根据所述第二预设周期内每天上报所述第一用户的违规日志的条数,确定所述第一维度基线,并根据所获取的违规日志中上报时间位于第一时间段内的违规日志的第一条数,以及所获取的违规日志的第二条数,确定所述第二维度基线;
存储所述第一用户与所述第一维度基线和所述第二维度基线的对应关系。
6.根据权利要求5所述的方法,其特征在于,所述根据所述第二预设周期内每天上报所述第一用户的违规日志的条数,确定所述第一维度基线的步骤,包括:
根据以下公式确定所述第一维度基线N:
N=n*Max(Ni)*w;
其中,n为预设数值,n>0;Ni为所述第二预设周期内第i天上报所述第一用户的违规日志的条数,0≤i≤T,T为所述第二预设周期;w为预设分位数,0<i≤1。
7.根据权利要求5所述的方法,其特征在于,所述根据所获取的违规日志中上报时间位于第一时间段内的违规日志的第一条数,以及所获取的违规日志的第二条数,确定所述第二维度基线的步骤,包括:
确定所获取的违规日志中上报时间位于第一时间段内的违规日志的第一条数,以及所获取的违规日志的第二条数;
确定所述第一条数与所述第二条数的比值;
若所述比值达到预设比例阈值,则将上报所述第一用户的违规日志的所述第一时间段作为所述第二维度基线。
8.一种外发行为检测装置,其特征在于,所述装置包括:
第一获取单元,用于获取数据泄密防护DLP设备上报的第一用户的第一违规日志;所述第一违规日志为违反所述DLP设备中审计规则的日志;
第一确定单元,用于确定所述第一违规日志在预设的至少一个维度下的行为特征;
第二确定单元,用于根据预先存储的用户与各维度下的维度基线的对应关系,确定所述第一用户对应的每一维度下的维度基线;
判断单元,用于针对每一维度,判断该维度下的行为特征是否与所确定的维度基线匹配,得到该维度下的判断结果;
处理单元,用于若所述判断单元在所述至少一个维度中所有维度下的判断结果均为否,则确定所述第一违规日志所表征的外发行为为正常外发行为。
9.根据权利要求8所述的装置,其特征在于,所述处理单元,还用于若所述判断单元在所述至少一个维度中任一维度下的判断结果为是,则确定所述第一违规日志所表征的外发行为为异常外发行为。
10.根据权利要求8或9所述的装置,其特征在于,所述至少一个维度包括如下维度中的至少一种:
第一维度:单位天数内上报所述第一用户的违规日志的条数;
第二维度:所述第一违规日志的上报时间;
第三维度:当前时间之前的第一预设周期内上报所述第一用户的违规日志的条数;
第四维度:所述第一违规日志包括的外发文件的文件类型;
第五维度:所述第一违规日志包括的外发文件的数据量;
第六维度:单位天数内所述第一用户外发文件的总数据量。
11.根据权利要求10所述的装置,其特征在于,所述判断单元,具体用于:
若所述至少一个维度中包括所述第一维度,则判断单位天数内上报所述第一用户的违规日志的条数是否大于或等于第一维度基线,所述第一维度基线为单位天数内上报第一用户的违规日志的条数阈值;若是,则确定在所述第一维度下的行为特征与所确定的维度基线匹配;若否,则确定在所述第一维度下的行为特征与所确定的维度基线不匹配;
若所述至少一个维度中包括所述第二维度,则判断所述第一违规日志的上报时间是否位于第二维度基线外,所述第二维度基线为上报所述第一用户的违规日志的时间段;若是,则确定在所述第二维度下的行为特征与所确定的维度基线匹配;若否,则确定在所述第二维度下的行为特征与所确定的维度基线不匹配;
若所述至少一个维度中包括所述第三维度,则判断当前时间之前的第一预设周期内上报所述第一用户的违规日志的条数是否小于第三维度基线,所述第三维度基线为当前时间之前的第一预设周期内上报所述第一用户的违规日志的条数阈值;若是,则确定在所述第三维度下的行为特征与所确定的维度基线匹配;若否,则确定在所述第三维度下的行为特征与所确定的维度基线不匹配;
若所述至少一个维度中包括所述第四维度,则判断所述第一违规日志包括的外发文件的文件类型是否包含于第四维度基线中,所述第四维度基线为所述第一用户外发文件的文件类型;若是,则确定在所述第四维度下的行为特征与所确定的维度基线匹配;若否,则确定在所述第四维度下的行为特征与所确定的维度基线不匹配;
若所述至少一个维度中包括所述第五维度,则判断所述第一违规日志包括的外发文件的数据量是否大于或等于第五维度基线,所述第五维度基线为所述第一用户单次外发文件的数据量阈值;若是,则确定在所述第五维度下的行为特征与所确定的维度基线匹配;若否,则确定在所述第五维度下的行为特征与所确定的维度基线不匹配;
若所述至少一个维度中包括所述第六维度,则判断单位天数内上报所述第一用户外发文件的总数据量是否大于或等于第六维度基线,所述第六维度基线为单位天数内所述第一用户外发文件的总数据量阈值;若是,则确定在所述第六维度下的行为特征与所确定的维度基线匹配;若否,则确定在所述第六维度下的行为特征与所确定的维度基线不匹配。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:
第二获取单元,用于获取第二预设周期内所述DLP设备上报的所述第一用户的违规日志;
第三确定单元,用于根据所述第二预设周期内每天上报所述第一用户的违规日志的条数,确定所述第一维度基线,并根据所获取的违规日志中上报时间位于第一时间段内的违规日志的第一条数,以及所获取的违规日志的第二条数,确定所述第二维度基线;
存储单元,用于存储所述第一用户与所述第一维度基线和所述第二维度基线的对应关系。
13.根据权利要求12所述的装置,其特征在于,所述第三确定单元,具体用于:
确定所获取的违规日志中上报时间位于第一时间段内的违规日志的第一条数,以及所获取的违规日志的第二条数;
确定所述第一条数与所述第二条数的比值;
若所述比值达到预设比例阈值,则将上报所述第一用户的违规日志的所述第一时间段作为所述第二维度基线。
14.一种电子设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-7任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811015472.9A CN109040110B (zh) | 2018-08-31 | 2018-08-31 | 一种外发行为检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811015472.9A CN109040110B (zh) | 2018-08-31 | 2018-08-31 | 一种外发行为检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109040110A true CN109040110A (zh) | 2018-12-18 |
| CN109040110B CN109040110B (zh) | 2021-10-22 |
Family
ID=64623440
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811015472.9A Active CN109040110B (zh) | 2018-08-31 | 2018-08-31 | 一种外发行为检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109040110B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109525611A (zh) * | 2019-01-11 | 2019-03-26 | 新华三信息安全技术有限公司 | 一种内网用户的异常外发行为检测方法及装置 |
| CN109688166A (zh) * | 2019-02-28 | 2019-04-26 | 新华三信息安全技术有限公司 | 一种异常外发行为检测方法及装置 |
| CN113535501A (zh) * | 2020-04-15 | 2021-10-22 | 中移动信息技术有限公司 | 一种信息审计方法、装置、设备和计算机存储介质 |
| CN114676222A (zh) * | 2022-03-29 | 2022-06-28 | 北京国信网联科技有限公司 | 快速对进出内部网络数据审计方法 |
| CN114866276A (zh) * | 2022-03-21 | 2022-08-05 | 杭州薮猫科技有限公司 | 异常传输文件的终端检测方法、装置、存储介质及设备 |
| CN114866276B (zh) * | 2022-03-21 | 2024-06-11 | 杭州薮猫科技有限公司 | 异常传输文件的终端检测方法、装置、存储介质及设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973708A (zh) * | 2014-05-26 | 2014-08-06 | 中电长城网际系统应用有限公司 | 一种外泄事件的确定方法和系统 |
| US20140282816A1 (en) * | 2013-03-14 | 2014-09-18 | Fortinet, Inc. | Notifying users within a protected network regarding events and information |
| CN104268064A (zh) * | 2014-09-11 | 2015-01-07 | 百度在线网络技术(北京)有限公司 | 产品日志的异常诊断方法和装置 |
| CN105183912A (zh) * | 2015-10-12 | 2015-12-23 | 北京百度网讯科技有限公司 | 异常日志确定方法和装置 |
| CN105786521A (zh) * | 2016-03-18 | 2016-07-20 | 山东华软金盾软件股份有限公司 | 一种文件外发保护方法和装置 |
| CN107169361A (zh) * | 2017-06-15 | 2017-09-15 | 深信服科技股份有限公司 | 一种数据泄露的检测方法及系统 |
| CN107818150A (zh) * | 2017-10-23 | 2018-03-20 | 中国移动通信集团广东有限公司 | 一种日志审计方法及装置 |
| CN108011809A (zh) * | 2017-12-04 | 2018-05-08 | 北京明朝万达科技股份有限公司 | 基于用户行为和文档内容的数据防泄漏分析方法及系统 |
| CN108304723A (zh) * | 2018-01-17 | 2018-07-20 | 链家网(北京)科技有限公司 | 一种异常行为检测方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101275707B1 (ko) * | 2011-12-22 | 2013-07-30 | (주)소만사 | 미러링, 인라인 및 인라인-미러링 혼합 정합 방식을 제공하며, 멀티 객체 구조의 고가용 ndlp 어플라이언스 시스템 및 그 동작 방법 |
| CN104778420B (zh) * | 2015-04-24 | 2018-07-03 | 广东电网有限责任公司信息中心 | 非结构化数据全生命周期的安全管理视图建立方法 |
-
2018
- 2018-08-31 CN CN201811015472.9A patent/CN109040110B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140282816A1 (en) * | 2013-03-14 | 2014-09-18 | Fortinet, Inc. | Notifying users within a protected network regarding events and information |
| CN103973708A (zh) * | 2014-05-26 | 2014-08-06 | 中电长城网际系统应用有限公司 | 一种外泄事件的确定方法和系统 |
| CN104268064A (zh) * | 2014-09-11 | 2015-01-07 | 百度在线网络技术(北京)有限公司 | 产品日志的异常诊断方法和装置 |
| CN105183912A (zh) * | 2015-10-12 | 2015-12-23 | 北京百度网讯科技有限公司 | 异常日志确定方法和装置 |
| CN105786521A (zh) * | 2016-03-18 | 2016-07-20 | 山东华软金盾软件股份有限公司 | 一种文件外发保护方法和装置 |
| CN107169361A (zh) * | 2017-06-15 | 2017-09-15 | 深信服科技股份有限公司 | 一种数据泄露的检测方法及系统 |
| CN107818150A (zh) * | 2017-10-23 | 2018-03-20 | 中国移动通信集团广东有限公司 | 一种日志审计方法及装置 |
| CN108011809A (zh) * | 2017-12-04 | 2018-05-08 | 北京明朝万达科技股份有限公司 | 基于用户行为和文档内容的数据防泄漏分析方法及系统 |
| CN108304723A (zh) * | 2018-01-17 | 2018-07-20 | 链家网(北京)科技有限公司 | 一种异常行为检测方法及装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109525611A (zh) * | 2019-01-11 | 2019-03-26 | 新华三信息安全技术有限公司 | 一种内网用户的异常外发行为检测方法及装置 |
| CN109525611B (zh) * | 2019-01-11 | 2021-03-12 | 新华三信息安全技术有限公司 | 一种内网用户的异常外发行为检测方法及装置 |
| CN109688166A (zh) * | 2019-02-28 | 2019-04-26 | 新华三信息安全技术有限公司 | 一种异常外发行为检测方法及装置 |
| CN109688166B (zh) * | 2019-02-28 | 2021-06-04 | 新华三信息安全技术有限公司 | 一种异常外发行为检测方法及装置 |
| CN113535501A (zh) * | 2020-04-15 | 2021-10-22 | 中移动信息技术有限公司 | 一种信息审计方法、装置、设备和计算机存储介质 |
| CN114866276A (zh) * | 2022-03-21 | 2022-08-05 | 杭州薮猫科技有限公司 | 异常传输文件的终端检测方法、装置、存储介质及设备 |
| CN114866276B (zh) * | 2022-03-21 | 2024-06-11 | 杭州薮猫科技有限公司 | 异常传输文件的终端检测方法、装置、存储介质及设备 |
| CN114676222A (zh) * | 2022-03-29 | 2022-06-28 | 北京国信网联科技有限公司 | 快速对进出内部网络数据审计方法 |
| CN114676222B (zh) * | 2022-03-29 | 2022-12-02 | 北京国信网联科技有限公司 | 快速对进出内部网络数据审计方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109040110B (zh) | 2021-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109040110A (zh) | 一种外发行为检测方法及装置 | |
| US20190362274A1 (en) | Conformance authority reconciliation | |
| CN108038130B (zh) | 虚假用户的自动清理方法、装置、设备及存储介质 | |
| US20170126710A1 (en) | Identifying insider-threat security incidents via recursive anomaly detection of user behavior | |
| CN106656536A (zh) | 一种用于处理服务调用信息的方法与设备 | |
| CN113765881A (zh) | 异常网络安全行为的检测方法、装置、电子设备及存储介质 | |
| US20050283751A1 (en) | Method and apparatus for automated risk assessment in software projects | |
| US20070124255A1 (en) | Pluggable heterogeneous reconciliation | |
| CN109688166A (zh) | 一种异常外发行为检测方法及装置 | |
| CN112685711A (zh) | 基于用户风险评估的新型信息安全访问控制系统及方法 | |
| WO2007022364A2 (en) | Change audit method, apparatus and system | |
| CN110113315B (zh) | 一种业务数据的处理方法及设备 | |
| CN109992986B (zh) | 一种敏感数据的脱敏处理方法及装置 | |
| US11750619B2 (en) | Modify assigned privilege levels and limit access to resources | |
| CN111476375B (zh) | 一种确定识别模型的方法、装置、电子设备及存储介质 | |
| CN109710585A (zh) | 多系统关联预警方法、装置、设备及计算机可读存储介质 | |
| CN109684863A (zh) | 数据防泄漏方法、装置、设备及存储介质 | |
| Farokhi et al. | Security versus privacy | |
| CN111143875B (zh) | 一种基于大数据的数据信息脱敏方法及系统 | |
| CN107766737B (zh) | 一种数据库审计方法 | |
| CN114765584A (zh) | 一种用户行为监测方法、装置、电子设备及存储介质 | |
| CN106485144A (zh) | 涉密信息的分析方法及装置 | |
| CN112235312B (zh) | 一种安全事件的可信度确定方法、装置及电子设备 | |
| CN114238041A (zh) | 一种告警方法、装置、电子设备及存储介质 | |
| CN106355089A (zh) | 涉密信息的分析方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |