CN109286605B - 一种基于大数据的业务行为路径监控方法及装置 - Google Patents
一种基于大数据的业务行为路径监控方法及装置 Download PDFInfo
- Publication number
- CN109286605B CN109286605B CN201710602818.4A CN201710602818A CN109286605B CN 109286605 B CN109286605 B CN 109286605B CN 201710602818 A CN201710602818 A CN 201710602818A CN 109286605 B CN109286605 B CN 109286605B
- Authority
- CN
- China
- Prior art keywords
- service
- service behavior
- behavior path
- target user
- path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及大数据技术,特别涉及一种基于大数据的业务行为路径监控方法及装置。用以提高业务支撑系统的安全性。该方法为:系统对海量样本数据进行解析,分别对应每一种用户属性建立了至少一条标准业务行为路径,在系统获取至少一个目标用户的业务数据时,基于获得的业务数据确定上述至少一个目标用户的至少一条业务行为路径,然后,采用对应上述至少一个目标用户的用户属性设置的至少一条标准业务行为路径,对上述至少一条业务行为路径进行检测,实现对目标用户的准确监控,有效规避因非法的业务行为所带来的数据泄露风险,同时可以有针对性地弥补非法的业务行为所造成的损失,有效提高了安全审计的实时性,以及业务支撑系统的工作效率和安全性。
Description
技术领域
本发明涉及大数据技术,特别涉及一种基于大数据的业务行为路径监控方法及装置。
背景技术
目前,业务支撑系统的用户(如,网络侧的业务员或普通终端用户)众多,业务场景复杂,用户对业务支撑系统的安全业务要求越来越高。
目前技术下,业务支撑系统中安全业务模型的实现主要有两种方式:
第一种方式中所有的操作步骤和操作方法全部通过用户手工操作实现,业务员根据所执行的安全业务规则的既定顺序,通过点击不同的系统功能按钮完成整个业务操作;
第二种方式中将一部分操作步骤和操作方法相同的内容用脚本的方法进行固化,采用脚本自动执行,其余的操作步骤和操作方法仍需要依靠业务员手工操作实现。
由此可见,目前技术下,业务支撑系统中的安全业务模型主要依靠纯手工操作或定制开发的方式来实现,开发维护成本高,使用操作效率低下。因此,现有技术方案无法对业务支撑系统中业务员的操作进行访问路径的完整监控,只能通过多个审计系统进行分散审计,工作效率低下,存在漏审或误判的问题。
发明内容
本发明实施例提供一种基于大数据的业务行为路径监控方法及装置,用以提高对业务支撑系统的安全性。
本发明实施例提供的具体技术方案如下:
第一方面,一种基于大数据的业务行为路径监控方法,包括:
对至少一个目标用户的业务数据进行解析,根据解析结果确定所述至少一个目标用户的至少一条业务行为路径,其中,一条业务行为路径包括目标用户在一次业务事件中产生的各个业务行为的执行顺序;
根据所述至少一个目标用户的用户属性,确定对应所述用户属性预设的至少一条标准业务行为路径;
根据所述至少一条标准业务行为路径对所述至少一个目标用户的至少一条业务行为路径进行检测,筛选出所述目标用户执行的非法的业务行为。
可选的,对至少一个目标用户的业务数据进行解析之前,进一步包括:
在预处理阶段,对海量样本数据进行解析,根据解析结果确定海量样本数据中用户执行的各个业务行为的发生率和各个业务行为之间的逻辑层次关系,
根据用户属性对用户进行分类,并根据每一类用户所执行的各个业务行为的发生率和各个业务行为之间的逻辑层次关系,分别对应每一类用户建立至少一条标准业务行为路径,其中,一条标准业务行为路径中至少记录了一种业务事件所包含的各个业务行为的执行顺序。
可选的,根据任意一类用户所执行的各个业务行为的发生率和各个业务行为之间的逻辑层次关系,对应所述任意一类用户建立任意一条标准业务行为路径,包括:
确定作为源节点的业务行为;
将源节点作为当前节点,从源节点开始,循环执行以下操作,直至生成所述任意一条标准业务行为路径:
基于各个业务行为之间的逻辑层次关系及发生率,筛选出在当前节点之后执行且发生率达到设定阈值的业务行为,作为当前节点的下一节点;
将所述下一节点作为新的当前节点。
可选的,根据任意一条标准业务行为路径对所述至少一个目标用户的任意一条业务行为路径进行检测,筛选出所述目标用户执行的非法的业务行为,包括:
分别将所述任意一条标准业务行为路径中的每一个节点和所述任意一条业务行为路径中相应位置的节点作为节点组进行比对,其中,一个节点表征一个业务行为;
筛选出符合以下条件的节点组:两个节点表征的业务行为不相同;
将筛选出的节点组中归属于所述任意一条业务行为路径的节点对应的业务行为,判定为非法的业务行为。
可选的,进一步包括:
将检测出的非法的业务行为及其所归属的业务行为路径作为检测结果上报至网络侧;
根据网络侧的反馈信息,判断所述检测结果中是否存在误判部分;
确定存在误判部分时,将所述误判部分对应的业务行为路径,关联相应目标用户的用户属性保存为新的标准业务行为路径。
第二方面,一种基于大数据的业务行为路径监控装置,包括:
解析单元,用于对至少一个目标用户的业务数据进行解析,根据解析结果确定所述至少一个目标用户的至少一条业务行为路径,其中,一条业务行为路径包括目标用户在一次业务事件中产生的各个业务行为的执行顺序;
确定单元,用于根据所述至少一个目标用户的用户属性,确定对应所述用户属性预设的至少一条标准业务行为路径;
检测单元,用于根据所述至少一条标准业务行为路径对所述至少一个目标用户的至少一条业务行为路径进行检测,筛选出所述目标用户执行的非法的业务行为。
可选的,对至少一个目标用户的业务数据进行解析之前时,解析单元用于:
在预处理阶段,对海量样本数据进行解析,根据解析结果确定海量样本数据中用户执行的各个业务行为的发生率和各个业务行为之间的逻辑层次关系,
根据用户属性对用户进行分类,并根据每一类用户所执行的各个业务行为的发生率和各个业务行为之间的逻辑层次关系,分别对应每一类用户建立至少一条标准业务行为路径,其中,一条标准业务行为路径中至少记录了一种业务事件所包含的各个业务行为的执行顺序。
可选的,根据任意一类用户所执行的各个业务行为的发生率和各个业务行为之间的逻辑层次关系,对应所述任意一类用户建立任意一条标准业务行为路径时,确定单元用于:
确定作为源节点的业务行为;
将源节点作为当前节点,从源节点开始,循环执行以下操作,直至生成所述任意一条标准业务行为路径:
基于各个业务行为之间的逻辑层次关系及发生率,筛选出在当前节点之后执行且发生率达到设定阈值的业务行为,作为当前节点的下一节点;
将所述下一节点作为新的当前节点。
可选的,根据任意一条标准业务行为路径对所述至少一个目标用户的任意一条业务行为路径进行检测,筛选出所述目标用户执行的非法的业务行为时,检测单元用于:
分别将所述任意一条标准业务行为路径中的每一个节点和所述任意一条业务行为路径中相应位置的节点作为节点组进行比对,其中,一个节点表征一个业务行为;
筛选出符合以下条件的节点组:两个节点表征的业务行为不相同;
将筛选出的节点组中归属于所述任意一条业务行为路径的节点对应的业务行为,判定为非法的业务行为。
可选的,检测单元进一步用于:
将检测出的非法的业务行为及其所归属的业务行为路径作为检测结果上报至网络侧;
根据网络侧的反馈信息,判断所述检测结果中是否存在误判部分;
确定存在误判部分时,将所述误判部分对应的业务行为路径,关联相应目标用户的用户属性保存为新的标准业务行为路径。
第三方面,一种存储介质,存储有用于实现基于大数据的业务行为路径监控的程序,所述程序被处理器运行时,执行以下步骤:
对至少一个目标用户的业务数据进行解析,根据解析结果确定所述至少一个目标用户的至少一条业务行为路径,其中,一条业务行为路径包括目标用户在一次业务事件中产生的各个业务行为的执行顺序;
根据所述至少一个目标用户的用户属性,确定对应所述用户属性预设的至少一条标准业务行为路径;
根据所述至少一条标准业务行为路径对所述至少一个目标用户的至少一条业务行为路径进行检测,筛选出所述目标用户执行的非法的业务行为。
第四方面,一种通信装置,包括一个或多个处理器,以及:
一个或多个计算机可读介质,所述可读介质上存储有指令,所述指令被所述一个或多个处理器执行时,使得所述装置执行如第一方面中任一项所述的方法。
本发明有益效果如下:
本发明实施例中,系统对海量样本数据进行解析,分别对应每一种用户属性建立了至少一条标准业务行为路径,而在系统获取至少一个目标用户的业务数据时,基于获得的业务数据确定上述至少一个目标用户的至少一条业务行为路径,然后,采用对应上述至少一个目标用户的用户属性设置的至少一条标准业务行为路径,对上述至少一条业务行为路径进行检测,这样,不但可以准确地筛选出非法的业务行为路径,进一步地,更能准确地定位至具体的非法的业务行为,从而实现对目标用户的准确监控,有效规避了因非法的业务行为所带来的数据泄露风险,同时也能够有针对性地弥补非法的业务行为所造成的损失,进而有效提高了安全审计的实时性,同时提高了业务支撑系统的工作效率和安全性。
附图说明
图1为建立标准业务行为路径的流程图;
图2为全网业务行为发生频次统计图;
图3为各业务行为逻辑层次关系图;
图4为系统对新产生的业务数据进行监控的流程图;
图5为系统结构功能示意图。
具体实施方式
为了提高对业务支撑系统的安全性,本发明实施例中分别对应每一种用户属性建立了至少一条标准业务行为路径,采用各个标准业务行为路径对系统中后续产生的相同用户属性的业务行为路径进行检验,以筛选出非法的业务行为。
下面结合附图对本发明优选的实施方式进行详细说明。
本发明实施例中,系统根据选用的海量样本数据预先建立标准业务行为路径,所为业务行为路径是指:发生某一业务事件时,用户所需要执行的各个业务行为之间的执行顺序和执行概率。而标准业务行为路径则是指:根据海量样本数据总结归纳得到的,发生某一业务事件时,大多数用户遵守执行的各个业务行为之间的执行顺序和执行概率。
参阅图1所示,本发明实施例中,根据样本数据建立标准业务行为路径的具体流程如下:
步骤100:系统获取海量样本数据。
具体的,本发明实施例中,系统在大数据池中建立数据采集接口,通过协议适配层对全网流量日志和行为日志的数据进行采集,将包含有业务员正确业务行为的海量数据作为样本数据,系统将采集的样本数据以文件的形式进行集中存储。
步骤101:系统对海量样本数据进行解析,确定各个业务行为的发生频次以及各个业务行为的发生率。
参阅图2所示,实际应用中,样本数据内可能会包括多条日志数据,一条日志数据中可以记录用户在一次业务事件所执行的所有业务行为,因此,系统对海量样本数据进行集中计算,可以分别确定每一个业务行为的发生频次。
例如:4A系统登录发生频次(如,1000次),业务运营支撑系统(BusinessOperation Support System,BOSS)系统登录发生频次(如,800次),经营分析系统(Business Analysis Support System,BASS)系统登录发生频次(如,750次),套餐变更发生频次(如,650次),详单操作发生频次(如,600次),面向大中型企业与公共组织的统一应用平台(Unified Application Platform,UAP)系统登录发生频次(如,630次),金库设定频次(如,200次),角色变更发生频次(如,240次)等。
具体的,在海量的样本数据中,以业务事件的总数量作为基数,通过计算每一个业务行为的发生频次在基数中的占比,即可确定各个业务行为的发生率。
参阅图3所示,例如:假设存在100条样本数据,而100条样本数据中均记录了“4A系统登录”这一业务行为,因此,“4A系统登录”的发生率为100%,即可确定“4A系统登录”是最重要的业务行为,发生其他业务行为之前必须先执行这一业务行为。
又例如,假设存在100条样本数据,而100条样本数据中“4A系统登录”之后,有80条记录了“BOSS系统登录”这一业务行为,有75条记录了“BASS系统登录”这一业务行为,有70条记录了“UAP系统登录”这一业务行为,因此,4A系统登录后,“BOSS系统登录”的发生率为80%,“BASS系统登录”的发生率为75%,“UAP系统登录”的发生率为70%;其中,由于各个业务行为可以重叠执行,因此各个业务行为的发生率之和可以大于100%。
步骤102:系统对海量样本数据进行解析,确定各个业务行为之间的逻辑层次关系。
具体的,在每一条样本数据中,不仅包括用户在一次业务事件所执行的所有业务行为,还包括在一次业务事件中所执行的所有业务行为的执行顺序,因而,根据样本数据可以确定各个业务行为的逻辑层次关系。
以4A系统登录后,又执行BOSS系统登录为例,假设在100条样本数据中,在BOSS系统登录之后,有90条记录了“套餐变更”这一业务行为,则说明BOSS系统登录后,“套餐变更”的发生率为90%。假设“套餐变更”为最底层业务,则系统可以确定其中一种逻辑层次关系为:4A系统登录->BOSS系统登录(80%发生率)->套餐变更(90%发生率)。
以4A系统登录后,又执行BASS系统登录为例,假设在100条样本数据中,在BASS系统登录之后,有85条记录了“详单操作”这一业务行为,则说明BASS系统登录后,“详单操作”的发生率为85%。假设“详单操作”为最底层业务,则系统可以确定其中一种逻辑层次关系为:4A系统登录->BASS系统登录(75%发生率)->详单操作(85%发生率)。
以4A系统登录后,又执行UAP系统登录为例,假设在100条样本数据中,在UAP系统登录之后,有75条记录了“金库设定”这一业务行为,则说明UAP系统登录后,“金库设定”的发生率为75%。假设“金库设定”为最底层业务,则系统可以确定其中一种逻辑层次关系为:4A系统登录->UAP系统登录(70%发生率)->金库设定(75%发生率)。
由此类推,系统对样本数据逐层进行分析,即可确定各个业务行为的发生率和各个业务行为之间的逻辑层次关系。
当然,上述举例仅以每一种逻辑层次关系包含三种业务行为为例进行说明,实际应用中,系统可以根据海量样本数据,确定各个业务行为之间更为深层次更为复杂的逻辑层次关系,在此不再赘述。
步骤103:系统根据用户属性对用户进行分类,并根据每一类用户所执行的各个业务行为的发生率和各个业务行为之间的逻辑层次关系,分别对应每一类用户建立至少一条标准业务行为路径。
一条标准业务行为路径中至少记录了一种业务事件所包含的各个业务行为的执行顺序。
实际应用中,用户有可能按照各种顺序执行业务行为,只有发生率高的业务行为才可能被系统选中归纳为标准业务行为路径,因此,以一条标准业务行为路径x为例,在生成标准业务行为路径x的过程中,系统可以执行以下操作:
确定标准业务行为路径x中作为源节点的业务行为后,将源节点作为当前节点,从源节点开始,循环执行以下操作,直至生成标准业务行为路径x:
1)系统基于各个业务行为之间的逻辑层次关系及发生率,筛选出在当前节点之后执行且发生率达到设定阈值的业务行为,作为当前节点的下一节点;
2)系统将上述下一节点作为新的当前节点。
例如,假设在“4A系统登录”后,“BOSS系统登录”,“BASS系统登录”和“UAP系统登录”三个业务行为的发生率均达到了设定阈值(如,60%)以上,则确定“BOSS系统登录”,“BASS系统登录”和“UAP系统登录”三个业务行为全部为“4A系统登录”的下一个节点;又假设在“4A系统登录”和“BOSS系统登录”后,“套餐变更”的发生率为90%,“角色变更”的发生率为20%,“金库设定”的发生率为15%,则将“角色变更”作为“4A系统登录”和“BOSS系统登录”后的下一个节点,对“角色变更”和“金库设定”两个业务行为不作考虑,由此确定一条标准行为路径为:4A系统登录->BOSS系统登录(80%发生率)->套餐变更(90%发生率)
例如,步骤102中的三种逻辑层次关系:4A系统登录->BOSS系统登录(80%发生率)->套餐变更(90%发生率);4A系统登录->BASS系统登录(75%发生率)->详单操作(85%发生率);4A系统登录->UAP系统登录(70%发生率)->金库设定(75%发生率),分别为三条标准业务行为路径。
另一方面,系统按照用户属性对用户进行分类,具有相同用户属性的用户各自的业务行为路径之间具有相似性,那么,将具有相同用户属性的用户各自的业务行为路径进行汇总(即将离散的点状数据完成聚合分析),将高频业务行为提取出来按照业务执行顺序进行关联,便可以得到某一用户属性下的至少一条标准业务行为路径,以下实施例中仅以一种用户属性对应一条标准业务行为路径为例进行说明。
例如,假设用户属性为普通终端用户,则经过数据汇总分析后,得到了“4A系统登录->BASS系统登录(75%发生率)->详单操作(85%发生率)”这一条标准业务行为路径。
又例如,假设用户属性为业务员,则经过数据汇总分析后,得到了“4A系统登录->BOSS系统登录(80%发生率)->套餐变更(90%发生率)”这一条标准业务行为路径。。
当然,上述举例仅以业务员和普通终端用户两种用户属性为例进行说明,实际应用中,系统可以根据用户属性对用户进行更加详细的分类,对每一类用户所执行的各个业务行为之间的更为深层次更为复杂的逻辑层次关系进行分析,在此不再赘述。
基于上述实施例,在建立了标准业务行为路径后,系统便可以根据标准业务行为路径对新产生的业务数据进行监控,以筛选出非法的业务行为。
具体的,参阅图4所示,本发明实施例中,基于大数据对业务行为路径进行监控的具体流程如下:
步骤400:系统获取新产生的至少一个目标用户的业务数据。
具体的,系统在大数据池中建立数据采集接口,在有新的业务数据产生时,系统通过协议适配层对新产生的全网流量日志和行为日志的数据进行采集。系统采集的日志数据中通常包含有大量用户的业务数据,本发明实施例中,为了便于说明,以采集新产生的至少一个目标用户的业务数据为例进行说明,系统可以根据日志数据内记录的用户标识对不同用户进行区分。
步骤401:系统对新产生的至少一个目标用户的业务数据进行解析,根据解析结果确定上述至少一个目标用户的至少一条业务行为路径,其中,一条业务行为路径包括目标用户在一次业务事件中所包含的各个业务行为的执行顺序。
在实际应用中,以一个目标用户为例,系统可以根据日志数据内记录的目标用户执行各个业务行为的方式,确定各个业务行为之间的逻辑层次关系,那么,基于各个业务行为之间的逻辑层次关系则可以确定出各个业务行为之间的执行顺序,从而确定出至少一条业务行为路径。
以新产生的一条业务数据为例:假设系统监测到目标用户在4A系统登录后,继续执行BOSS系统登录,最后执行了套餐变更这一业务行为,则可以确定此目标用户的一条业务行为路径(以下称为业务行为路径x)为:4A系统登录->BOSS系统登录->套餐变更。
又以新产生的另一条业务数据为例:假设系统监测到目标用户在4A系统登录后,继续执行BASS系统登录,最后执行了套餐变更这一业务行为,则可以确定此目标用户的另一条业务行为路径(以下称为业务行为路径y)为:4A系统登录->BASS系统登录->套餐变更。
由此类推,系统对新产生的业务数据逐层进行分析,即可确定业务数据中记录的目标用户的各条业务行为路径。
当然,上述举例仅以每一条业务行为路径包含三种业务行为为例进行说明,实际应用中,系统可以根据新产生的业务数据,确定目标用户更为深层次更为复杂的业务行为路径,在此不再赘述。
步骤402:系统基于上述至少一个目标用户的用户属性确定相应的至少一条标准业务行为路径。
具体的,由于系统预先对应不同的用户属性已经设置了相应的至少一条标准业务行为路径,因此,在执行步骤402时,系统会先提取出目标用户的用户属性,根据用户属性确定目标用户属于哪一种类别的用户,从而提取出符合这一种类别的用户的业务特点的标准业务行为路径,以便后续基于获得的标准业务行为路径对目标用户的业务行为路径进行检测。
步骤403:系统基于获得的至少一条标准业务行为路径对上述至少一个目标用户的至少一条业务行为路径进行检测,筛选出上述至少一个目标用户执行的非法的业务行为。
具体的,系统分别将上述任意一条标准业务行为路径中的每一个节点和上述任意一条业务行为路径中相应位置的节点作为节点组进行比对,其中,一个节点表征一个业务行为,在比对过程中,系统筛选出存在两个节点表征的业务行为不相同的节点组,并且将筛选出的节点组中归属于上述任意一条业务行为路径的节点对应的业务行为,判定为非法的业务行为。
例如,步骤402中目标用户的业务行为路径x为:4A系统登录->BOSS系统登录->套餐变更,假设系统通过日志数据确定目标用户的用户属性为业务员;而在步骤103中,系统已经确定“4A系统登录->BOSS系统登录(80%发生率)->套餐变更(90%发生率)”是业务员的标准业务行为路径,则系统将业务行为路径x与业务员的标准业务行为路径进行对比,确定“4A系统登录->BOSS系统登录->套餐变更”包含的业务行为的执行顺序正确,进而判定在这一业务事件中,目标用户没有执行非法的业务行为。
又例如,步骤402中的目标用户的业务行为路径y为:4A系统登录->BASS系统登录->套餐变更,假设系统通过日志数据确定目标用户的用户属性为普通终端用户;而在步骤103中,已经确定“4A系统登录->BASS系统登录(75%发生率)->详单操作(85%发生率)”是普通终端用户的标准业务行为路径,则系统将业务行为路径y与普通终端用户的标准业务行为路径进行对比,确定“4A系统登录->BASS系统登录->套餐变更”包含的业务行为的执行顺序错误,在普通终端用户的标准业务行为路径中,执行完成“4A系统登录”和“BASS系统登录”这两种业务行为之后,有85%发生率会执行“详单操作”这一业务行为,而业务行为路径y中,目标用户却执行了“套餐变更”这一业务行为,则系统可以判定在这一业务事件中,目标用户执行“BASS系统登录”这一业务行为后,有可能执行了“套餐变更”这一非法的业务行为。
当然,上述举例仅以业务员和普通终端用户这两种用户属性为例进行说明,实际应用中,系统根据每一个目标用户的用户属性确定每一个目标用户所对应的标准业务行为路径,从而检测每一条业务数据中目标用户的每一条业务行为路径是否正确,以筛选出非法的业务行为路径并且准确定位至非法的业务行为。
系统筛选出目标用户非法的业务行为后,将检测出的非法的业务行为及其所归属的业务行为路径作为检测结果上报至网络侧,由网络侧对上述检测结果进行核对后,将核对结果反馈给系统,系统根据网络侧的反馈信息,判断上述检测结果中是否存在误判部分,系统确定存在误判部分时,将误判部分对应的业务行为路径,关联相应目标用户的用户属性保存为新的标准业务行为路径,对标准业务行为路径库进行实时更新。
系统在筛选出系统筛选出目标用户非法的业务行为后,还会继续上报给网络侧,由网络侧的后台分析人员进行分析判断。这是因为,业务内容是不断更新的,因此用户执行业务行为的方式也会不断更新,那么当系统筛选出非法的业务行为后,需要上报至网络侧,由专门的分析人员对其进行分析,判定是真实的非法的业务行为,还是由于标准业务行为路径库未及时更新,而造成的误判,这样,若确定系统存在误判,则说明需要及时更新标准行为库。显然,系统可以通过这种自学习的方式,完成标准业务行为路径库的实时更新。
另一方面,若系统确定不存在误判部分时,则应由网络侧判断目标用户是偶然误操作,还是有目的的非法操作,以便做出后续处理,在此不再赘述。
综上所述,参阅图5所示,本发明实施例中,一种基于大数据的业务行为路径监控装置(即上述系统)至少包括解析单元50、确定单元51和检测单元52,其中,
解析单元50,用于对至少一个目标用户的业务数据进行解析,根据解析结果确定所述至少一个目标用户的至少一条业务行为路径,其中,一条业务行为路径包括目标用户在一次业务事件中产生的各个业务行为的执行顺序;
确定单元51,用于根据所述至少一个目标用户的用户属性,确定对应所述用户属性预设的至少一条标准业务行为路径;
检测单元52,用于根据所述至少一条标准业务行为路径对所述至少一个目标用户的至少一条业务行为路径进行检测,筛选出所述目标用户执行的非法的业务行为。
可选的,对至少一个目标用户的业务数据进行解析之前时,解析单元50用于:
在预处理阶段,对海量样本数据进行解析,根据解析结果确定海量样本数据中用户执行的各个业务行为的发生率和各个业务行为之间的逻辑层次关系,
根据用户属性对用户进行分类,并根据每一类用户所执行的各个业务行为的发生率和各个业务行为之间的逻辑层次关系,分别对应每一类用户建立至少一条标准业务行为路径,其中,一条标准业务行为路径中至少记录了一种业务事件所包含的各个业务行为的执行顺序。
可选的,根据任意一类用户所执行的各个业务行为的发生率和各个业务行为之间的逻辑层次关系,对应所述任意一类用户建立任意一条标准业务行为路径时,确定单元51用于:
确定作为源节点的业务行为;
将源节点作为当前节点,从源节点开始,循环执行以下操作,直至生成所述任意一条标准业务行为路径:
基于各个业务行为之间的逻辑层次关系及发生率,筛选出在当前节点之后执行且发生率达到设定阈值的业务行为,作为当前节点的下一节点;
将所述下一节点作为新的当前节点。
可选的,根据任意一条标准业务行为路径对所述至少一个目标用户的任意一条业务行为路径进行检测,筛选出所述目标用户执行的非法的业务行为时,检测单元52用于:
分别将所述任意一条标准业务行为路径中的每一个节点和所述任意一条业务行为路径中相应位置的节点作为节点组进行比对,其中,一个节点表征一个业务行为;
筛选出符合以下条件的节点组:两个节点表征的业务行为不相同;
将筛选出的节点组中归属于所述任意一条业务行为路径的节点对应的业务行为,判定为非法的业务行为。
可选的,检测单元52进一步用于:
将检测出的非法的业务行为及其所归属的业务行为路径作为检测结果上报至网络侧;
根据网络侧的反馈信息,判断所述检测结果中是否存在误判部分;
确定存在误判部分时,将所述误判部分对应的业务行为路径,关联相应目标用户的用户属性保存为新的标准业务行为路径。
本发明一个实施例中,提供了一种存储介质,存储有用于实现基于大数据的业务行为路径监控的程序,所述程序被处理器运行时,执行以下步骤:
对至少一个目标用户的业务数据进行解析,根据解析结果确定所述至少一个目标用户的至少一条业务行为路径,其中,一条业务行为路径包括目标用户在一次业务事件中产生的各个业务行为的执行顺序;
根据所述至少一个目标用户的用户属性,确定对应所述用户属性预设的至少一条标准业务行为路径;
根据所述至少一条标准业务行为路径对所述至少一个目标用户的至少一条业务行为路径进行检测,筛选出所述目标用户执行的非法的业务行为。
本发明一个实施例中,提供了一种通信装置,包括一个或多个处理器,以及:
一个或多个计算机可读介质,所述可读介质上存储有指令,所述指令被所述一个或多个处理器执行时,使得所述装置执行上述实施例中的任意一种的方法。
综上所述,本发明实施例中,系统对海量样本数据进行解析,分别对应每一种用户属性建立了至少一条标准业务行为路径,而在系统获取至少一个目标用户的业务数据时,基于获得的业务数据确定上述至少一个目标用户的至少一条业务行为路径,然后,采用对应上述至少一个目标用户的用户属性设置的至少一条标准业务行为路径,对上述至少一条业务行为路径进行检测,这样,不但可以准确地筛选出非法的业务行为路径,进一步地,更能准确地定位至具体的非法的业务行为,从而实现对目标用户的准确监控,有效规避了因非法的业务行为所带来的数据泄露风险,同时也能够有针对性地弥补非法的业务行为所造成的损失,进而有效提高了安全审计的实时性,同时提高了业务支撑系统的工作效率和安全性。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (7)
1.一种基于大数据的业务行为路径监控方法,其特征在于,包括:
对海量样本数据进行解析,根据解析结果确定海量样本数据中用户执行的各个业务行为的发生率,基于所述发生率确定各个业务行为之间的逻辑层次关系;
根据用户属性对用户进行分类,并根据每一类用户所执行的各个业务行为的发生率和各个业务行为之间的逻辑层次关系,分别对应每一类用户建立至少一条标准业务行为路径,其中,一条标准业务行为路径中至少记录了一种业务事件所包含的各个业务行为的执行顺序;
对至少一个目标用户的业务数据进行解析,根据解析结果确定所述至少一个目标用户的至少一条业务行为路径,其中,一条业务行为路径包括目标用户在一次业务事件中产生的各个业务行为的执行顺序;
根据所述至少一个目标用户的用户属性,确定对应所述用户属性预设的至少一条标准业务行为路径;
根据所述至少一条标准业务行为路径对所述至少一个目标用户的至少一条业务行为路径进行检测,筛选出所述目标用户执行的非法的业务行为。
2.如权利要求1所述的方法,其特征在于,根据任意一类用户所执行的各个业务行为的发生率和各个业务行为之间的逻辑层次关系,对应所述任意一类用户建立任意一条标准业务行为路径,包括:
确定作为源节点的业务行为;
将源节点作为当前节点,从源节点开始,循环执行以下操作,直至生成所述任意一条标准业务行为路径:
基于各个业务行为之间的逻辑层次关系及发生率,筛选出在当前节点之后执行且发生率达到设定阈值的业务行为,作为当前节点的下一节点;
将所述下一节点作为新的当前节点。
3.如权利要求1或2所述的方法,其特征在于,根据任意一条标准业务行为路径对所述至少一个目标用户的任意一条业务行为路径进行检测,筛选出所述目标用户执行的非法的业务行为,包括:
分别将所述任意一条标准业务行为路径中的每一个节点和所述任意一条业务行为路径中相应位置的节点作为节点组进行比对,其中,一个节点表征一个业务行为;
筛选出符合以下条件的节点组:两个节点表征的业务行为不相同;
将筛选出的节点组中归属于所述任意一条业务行为路径的节点对应的业务行为,判定为非法的业务行为。
4.如权利要求3所述的方法,其特征在于,进一步包括:
将检测出的非法的业务行为及其所归属的业务行为路径作为检测结果上报至网络侧;
根据网络侧的反馈信息,判断所述检测结果中是否存在误判部分;
确定存在误判部分时,将所述误判部分对应的业务行为路径,关联相应目标用户的用户属性保存为新的标准业务行为路径。
5.一种基于大数据的业务行为路径监控装置,其特征在于,包括:
第一处理单元,对海量样本数据进行解析,根据解析结果确定海量样本数据中用户执行的各个业务行为的发生率,基于所述发生率确定各个业务行为之间的逻辑层次关系;
第二处理单元,根据用户属性对用户进行分类,并根据每一类用户所执行的各个业务行为的发生率和各个业务行为之间的逻辑层次关系,分别对应每一类用户建立至少一条标准业务行为路径,其中,一条标准业务行为路径中至少记录了一种业务事件所包含的各个业务行为的执行顺序;
解析单元,用于对至少一个目标用户的业务数据进行解析,根据解析结果确定所述至少一个目标用户的至少一条业务行为路径,其中,一条业务行为路径包括目标用户在一次业务事件中产生的各个业务行为的执行顺序;
确定单元,用于根据所述至少一个目标用户的用户属性,确定对应所述用户属性预设的至少一条标准业务行为路径;
检测单元,用于根据所述至少一条标准业务行为路径对所述至少一个目标用户的至少一条业务行为路径进行检测,筛选出所述目标用户执行的非法的业务行为。
6.一种存储介质,其特征在于,存储有用于实现基于大数据的业务行为路径监控的程序,所述程序被处理器运行时,执行以下步骤:
对海量样本数据进行解析,根据解析结果确定海量样本数据中用户执行的各个业务行为的发生率,基于所述发生率确定各个业务行为之间的逻辑层次关系;
根据用户属性对用户进行分类,并根据每一类用户所执行的各个业务行为的发生率和各个业务行为之间的逻辑层次关系,分别对应每一类用户建立至少一条标准业务行为路径,其中,一条标准业务行为路径中至少记录了一种业务事件所包含的各个业务行为的执行顺序;
对至少一个目标用户的业务数据进行解析,根据解析结果确定所述至少一个目标用户的至少一条业务行为路径,其中,一条业务行为路径包括目标用户在一次业务事件中产生的各个业务行为的执行顺序;
根据所述至少一个目标用户的用户属性,确定对应所述用户属性预设的至少一条标准业务行为路径;
根据所述至少一条标准业务行为路径对所述至少一个目标用户的至少一条业务行为路径进行检测,筛选出所述目标用户执行的非法的业务行为。
7.一种通信装置,其特征在于,包括一个或多个处理器,以及:
一个或多个计算机可读介质,所述可读介质上存储有指令,所述指令被所述一个或多个处理器执行时,使得所述装置执行如权利要求1至4中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710602818.4A CN109286605B (zh) | 2017-07-21 | 2017-07-21 | 一种基于大数据的业务行为路径监控方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710602818.4A CN109286605B (zh) | 2017-07-21 | 2017-07-21 | 一种基于大数据的业务行为路径监控方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109286605A CN109286605A (zh) | 2019-01-29 |
| CN109286605B true CN109286605B (zh) | 2020-12-08 |
Family
ID=65185852
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710602818.4A Active CN109286605B (zh) | 2017-07-21 | 2017-07-21 | 一种基于大数据的业务行为路径监控方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109286605B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109947853A (zh) * | 2019-03-25 | 2019-06-28 | 阿里巴巴集团控股有限公司 | 一种业务活动变更感知方法、系统及服务器 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104090941A (zh) * | 2014-06-30 | 2014-10-08 | 江苏华大天益电力科技有限公司 | 一种数据库审计系统及其审计方法 |
| CN104123217A (zh) * | 2014-08-13 | 2014-10-29 | 北京华夏威科软件技术有限公司 | 一种业务服务器执行命令的捕获方法及系统 |
| CN104156439A (zh) * | 2014-08-12 | 2014-11-19 | 华北电力大学句容研究中心 | 一种远程运维智能审计的方法 |
| CN105553940A (zh) * | 2015-12-09 | 2016-05-04 | 北京中科云集科技有限公司 | 一种基于大数据处理平台的安全防护方法 |
| CN106209893A (zh) * | 2016-07-27 | 2016-12-07 | 中国人民解放军信息工程大学 | 基于业务过程模型挖掘的内部威胁检测系统及其检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140058789A1 (en) * | 2012-08-24 | 2014-02-27 | Markus Doehring | Process model generation and weak-spot analysis from plain event logs |
-
2017
- 2017-07-21 CN CN201710602818.4A patent/CN109286605B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104090941A (zh) * | 2014-06-30 | 2014-10-08 | 江苏华大天益电力科技有限公司 | 一种数据库审计系统及其审计方法 |
| CN104156439A (zh) * | 2014-08-12 | 2014-11-19 | 华北电力大学句容研究中心 | 一种远程运维智能审计的方法 |
| CN104123217A (zh) * | 2014-08-13 | 2014-10-29 | 北京华夏威科软件技术有限公司 | 一种业务服务器执行命令的捕获方法及系统 |
| CN105553940A (zh) * | 2015-12-09 | 2016-05-04 | 北京中科云集科技有限公司 | 一种基于大数据处理平台的安全防护方法 |
| CN106209893A (zh) * | 2016-07-27 | 2016-12-07 | 中国人民解放军信息工程大学 | 基于业务过程模型挖掘的内部威胁检测系统及其检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109286605A (zh) | 2019-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107291911B (zh) | 一种异常检测方法和装置 | |
| US11496495B2 (en) | System and a method for detecting anomalous patterns in a network | |
| CN110958220B (zh) | 一种基于异构图嵌入的网络空间安全威胁检测方法及系统 | |
| CN108881265B (zh) | 一种基于人工智能的网络攻击检测方法及系统 | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
| US10205734B2 (en) | Network sampling based path decomposition and anomaly detection | |
| US11966319B2 (en) | Identifying anomalies in a data center using composite metrics and/or machine learning | |
| CN108471429A (zh) | 一种网络攻击告警方法及系统 | |
| CN102881125A (zh) | 基于多信息融合集中处理平台的报警监控系统 | |
| CN111163065A (zh) | 异常用户检测方法及装置 | |
| CN112769605B (zh) | 一种异构多云的运维管理方法及混合云平台 | |
| CN109743286A (zh) | 一种基于图卷积神经网络的ip类型标记方法及设备 | |
| CN113409016A (zh) | 应用于大数据云办公的信息处理方法、服务器及介质 | |
| CN114553596A (zh) | 适用于网络安全的多维度安全情况实时展现方法及系统 | |
| CN109286605B (zh) | 一种基于大数据的业务行为路径监控方法及装置 | |
| CN111651760B (zh) | 一种设备安全状态综合分析的方法及计算机可读存储介质 | |
| CN107908525A (zh) | 告警处理方法、设备及可读存储介质 | |
| CN115794479A (zh) | 日志数据处理方法、装置、电子设备及存储介质 | |
| CN114579809A (zh) | 事件分析方法、装置、电子设备及存储介质 | |
| Li et al. | Generic and robust root cause localization for multi-dimensional data in online service systems | |
| CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
| CN112084239A (zh) | 基于大数据特征模型识别的信令网络安全挖掘分析方法 | |
| CN117596078B (zh) | 一种基于规则引擎实现的模型驱动用户风险行为判别方法 | |
| US11316746B1 (en) | Generating a representation of program processes executing on an information technology environment | |
| WO2023093527A1 (zh) | 告警关联规则生成方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |