CN109446768A - 应用访问行为异常检测方法及系统 - Google Patents
应用访问行为异常检测方法及系统 Download PDFInfo
- Publication number
- CN109446768A CN109446768A CN201811174406.6A CN201811174406A CN109446768A CN 109446768 A CN109446768 A CN 109446768A CN 201811174406 A CN201811174406 A CN 201811174406A CN 109446768 A CN109446768 A CN 109446768A
- Authority
- CN
- China
- Prior art keywords
- user
- application
- access
- detected
- irrelevance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Software Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例提供了一种应用访问行为异常检测方法及系统,方法包括:获取第一用户在待检测时间段内对每个应用的访问数据;根据第一用户的历史数据、关联用户在待检测时间段内的访问数据以及第一用户在待检测时间段内对每个应用的访问数据,分别计算第一用户对每个应用的访问偏离度;根据第一用户对每个应用的访问偏离度以及每个应用的重要程度,计算第一用户的应用访问异常值;若第一用户的应用访问异常值大于预设阈值,则判定第一用户在待检测时间段内应用访问行为异常。通过偏离度计算和加权异常值计算就能成功检测用户是否应用访问行为异常,且检测的数据来源不依赖过多的访问行为因子和复杂的异常发现机制,简单快捷的实现了减少数据泄露。
Description
技术领域
本发明实施数据安全技术领域,尤其涉及一种应用访问行为异常检测方法及系统。
背景技术
随着各行业信息化生产程度的加深,各种信息资源被存储、管理在不同的应用系统中并加以分析和展示,如办公自动化OA系统、客户关系管理CRM系统、企业资源计划ERP系统等,极大提高了工作人员的作业效率。与此同时,这些系统存储了丰富的单位生产资料和个人保密信息,与应用系统相关的异常访问等行为时有发生,尤其是单位内部人员,可能会利用其合法的应用访问权限,实施非法的操作,如泄密生产资料、员工或客户信息等,给单位造成严重的损害。
现有技术中,为了有效管理单位内部人员应用访问行为,单位通常会给不同岗位或工作性质的内部人员分配与其相对应的应用访问权限账号,从而可以从源头上杜绝越权访问、违规访问的行为。除了做权限分配外,对单位内部人员应用访问进行规范的方法还包括采集并审计内部人员应用访问日志,通过设定违规操作条件,一旦应用访问记录触发违规操作条件,即判定该次访问异常。
但现有技术的管理模式一方面只能在拥有权限分配模块的应用系统中实施,另一方面并不能防止有访问权限的人员实施违规操作,或有访问权限人员的账号被恶意窃取后,被用于恶意访问应用资源。并且现有技术能够采集到的应用访问相关因子并不完整,或者难以形成合理的、完整的安全管理阈值,因此也难以通过设定复杂的安全模型找出应用访问行为异常人员。因此,现在亟需一种应用访问行为异常检测方法来解决上述问题。
发明内容
为了解决上述问题,本发明实施例提供一种克服上述问题或者至少部分地解决上述问题的应用访问行为异常检测方法及系统。
第一方面本发明实施例提供一种应用访问行为异常检测方法,包括:
获取第一用户在待检测时间段内对每个应用的访问数据;
根据第一用户的历史数据、关联用户在待检测时间段内的访问数据以及所述第一用户在待检测时间段内对每个应用的访问数据,分别计算所述第一用户对每个应用的访问偏离度;
根据所述第一用户对每个应用的访问偏离度以及每个应用的重要程度,计算所述第一用户的应用访问异常值;
若所述第一用户的应用访问异常值大于预设阈值,则判定所述第一用户在待检测时间段内应用访问行为异常。
第二方面本发明实施例提供了一种应用访问行为异常检测系统,包括:
获取模块,用于获取第一用户在待检测时间段内对每个应用的访问数据;
第一计算模块,用于根据第一用户的历史数据、关联用户在待检测时间段内的访问数据以及所述第一用户在待检测时间段内对每个应用的访问数据,分别计算所述第一用户对每个应用的访问偏离度;
第二计算模块,用于根据所述第一用户对每个应用的访问偏离度以及每个应用的重要程度,计算所述第一用户的应用访问异常值;
检测模块,用于若所述第一用户的应用访问异常值大于预设阈值,则判定所述第一用户在待检测时间段内应用访问行为异常。
第三方面本发明实施例提供了一种电子设备,包括:
处理器、存储器、通信接口和总线;其中,所述处理器、存储器、通信接口通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行上述所述的一种应用访问行为异常检测方法。
第四方面本发明实施例提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述应用访问行为异常检测方法。
本发明实施例提供的一种应用访问行为异常检测方法及系统,通过偏离度计算和加权异常值计算就能成功检测用户是否应用访问行为异常,并且检测的数据来源不依赖过多的访问行为因子和复杂的异常发现机制,简单快捷的实现了减少数据泄露。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种应用访问行为异常检测方法流程示意图;
图2是本发明实施例提供的一种应用访问行为异常检测系统结构示意图;
图3是本发明实施例提供的电子设备的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,现有技术难以通过合理有效的措施找出应用访问行为异常的用户,从而无法减少数据泄露发生。
针对上述问题,图1是本发明实施例提供的一种应用访问行为异常检测方法流程示意图,如图1所示,包括:
101、获取第一用户在待检测时间段内对每个应用的访问数据;
102、根据第一用户的历史数据、关联用户在待检测时间段内的访问数据以及所述第一用户在待检测时间段内对每个应用的访问数据,分别计算所述第一用户对每个应用的访问偏离度;
103、根据所述第一用户对每个应用的访问偏离度以及每个应用的重要程度,计算所述第一用户的应用访问异常值;
104、若所述第一用户的应用访问异常值大于预设阈值,则判定所述第一用户在待检测时间段内应用访问行为异常。
需要说明的是,本发明实施例提供的方法可以部署在终端或者服务器上,通过前端或后台的自动检测,判断用户是否存在应用访问行为的异常操作,当检测出用户存在该异常操作时,可以及时进行应对处理,减少数据泄露的发生。本发明实施例提供的方法主要部署在企业的内网,如有需要也可部署在其他环境,本发明实施例对此不作具体限定。
具体的,在步骤101中,可以理解的是,对用户应用访问行为异常的检测会采用分时间段检测的方式,每个需要检测的时间段称为待检测时间段,待检测时间段可由检测人员随时设置,例如:设置成一整天、上班时间段、下班时间段、一周等。在本发明实施例中,对于被检测的用户称为第一用户,对于每个用户均采用同样的检测流程。那么在待检测时间段内,本发明实施例会自动采集第一用户访问各个应用的访问数据。例如:用户A在两点至四点分别访问了应用1、应用2、应用3,那么将会分别获取用户A访问应用1的访问数据、访问应用2的访问数据以及访问应用3的访问数据。
进一步的,在步骤102中,在采集到第一用户访问各个应用的访问数据后,结合历史数据,能够分析出第一用户对每个应用的访问偏离度。该历史数据包括第一用户对各个应用的历史访问数据,关联用户一般指代和该用户工作性质相同的一个团体内的成员,具体的划分可根据实际情况进行设置。可以理解的是,对应用的访问偏离度能够反映该用户是否做出了偏离习惯的操作,或者是一些离群操作。例如:用户A历史上80%的时间用来访问了应用1,而今天在同样的时间段却花了80%的时间访问应用2,那么用户A很有可能做出了异常操作。
可以理解的是,仅仅通过访问偏离度只能反映出用户做出了违背习惯的操作,但他的这个操作是否属于异常还需要进一步的进行判断。在步骤103中,本发明实施例提供一种异常值计算的方式来进行判断,可以理解的是,重要程度高的应用度如果用户同时偏离度较高,那么很有可能该用户在该应用上存在异常访问行为。而重要度较低的应用用户即使偏离度较高,很有可能只是不重要的误操作,不能被判定为异常访问行为。那么本发明实施例将会根据第一用户对每个应用的访问偏离度以及每个应用的重要程度,为该用户计算一个应用访问异常值。本发明实施例预先会对各个不同应用按照重要程度进行划分,划分标准可自由设置,例如将重要程度分为非常重要、一般以及不重要这样三个级别,再根据不同级别分别计算各个级别的访问异常值,最终整合为第一用户的应用访问异常值。通过应用访问异常值来反映该用户的异常操作的程度,应用访问异常值越高证明该用户存在应用访问行为异常的概率越高。
那么,在步骤104中,本发明实施例将会将应用访问异常值大于预设阈值的第一用户判定为存在应用访问行为异常的用户,该预设阈值可根据实际情况进行设置,本发明实施例对此不作具体限定。需要说明的是,如未设置预设阈值的情况下,也可将所有用户的应用访问异常值由高至低进行排序,从中选取出排序靠前的若干数量的用户作为可能存在应用访问行为异常的用户。
本发明实施例提供的一种应用访问行为异常检测方法,通过偏离度计算和加权异常值计算就能成功检测用户是否应用访问行为异常,并且检测的数据来源不依赖过多的访问行为因子和复杂的异常发现机制,简单快捷的实现了减少数据泄露。
在上述实施例的基础上,所述根据第一用户的历史数据、关联用户在待检测时间段内的访问数据以及所述第一用户在待检测时间段内对每个应用的访问数据,分别计算所述第一用户对每个应用的访问偏离度,包括:
对于任一应用,根据所述第一用户的历史数据以及所述第一用户在待检测时间段内对应用的访问数据,计算第一用户的个人偏离度;
根据所述关联用户在待检测时间段内的访问数据以及第一用户在待检测时间段内对应用的访问数据,计算第一用户的团体偏离度;
根据所述第一用户的个人偏离度和所述第一用户的团体偏离度,计算所述第一用户对应用的访问偏离度。
由上述实施例的内容可知,本发明实施例将根据历史数据和待检测时间段的访问数据,计算用户对应用的访问偏离度,具体的,本发明实施例实质上是通过计算用户的个人偏离度和团体偏离度来综合反映该用户对应用的访问偏离度。
那么根据第一用户的历史数据以及第一用户在待检测时间段内对应用的访问数据,能够计算出第一用户的个人偏离度,第一用户的个人偏离度是用来反映第一用户的操作偏离习惯操作的程度。
并根据所述关联用户在待检测时间段内的访问数据以及第一用户在待检测时间段内对应用的访问数据,能够计算出第一用户的团体偏离度,第一用户的团体偏离度是用来反映第一用户的离群操作的程度。
最后本发明实施例根据第一用户的个人偏离度和所述第一用户的团体偏离度,综合计算出第一用户对应用的访问偏离度。
需要说明的是,对于任意一个应用的访问偏离度计算均可以按照上述过程进行计算,并且在使用历史数据进行计算时,需要确保使用的历史数据的时间段和待检测的时间段为同一时间段。
本发明实施例提供的访问偏离度包括个人偏离度和团体偏离度,从而全面的反映了用户对应用访问的偏离程度。
在上述实施例的基础上,所述根据所述第一用户的历史数据以及所述第一用户在待检测时间段内对应用的访问数据,计算第一用户的个人偏离度,包括:
根据所述第一用户的历史数据,获取所述第一用户在待检测时间段内对应用的历史访问次数均值;
根据所述第一用户在待检测时间段内对应用的访问数据,获取所述第一用户在待检测时间段内对应用的访问次数;
根据所述第一用户在待检测时间段内对应用的历史访问次数均值以及所述第一用户在待检测时间段内对应用的访问次数,计算所述第一用户的个人偏离度。
由上述实施例的内容可知,本发明实施例能够计算出用户的个人偏离度。具体的,本发明实施例会根据第一用户的历史数据,获取第一用户在待检测时间段内对应用的历史访问次数均值p_pre,具体计算公式为:
其中,p_pre表示第一用户在待检测时间段内对应用的历史访问次数均值,p_pre(i)表示待检测时间段内历史时期第一用户访问该应用的次数,tn表示历史数据所有分析的时段个数。
再根据第一用户在待检测时间段内对应用的访问数据,获取第一用户在待检测时间段内对应用的访问次数,记作p_now。
最后根据第一用户在待检测时间段内对应用的历史访问次数均值p_pre以及第一用户在待检测时间段内对应用的访问次数,计算第一用户的个人偏离度p_dev,具体计算公式为:
p_dev=(p_now-p_pre)/p_pre;
其中,p_dev表示第一用户的个人偏离度,p_now表示第一用户在待检测时间段内对应用的访问次数。
在上述实施例的基础上,所述根据所述关联用户在待检测时间段内的访问数据以及第一用户在待检测时间段内对应用的访问数据,计算第一用户的团体偏离度,包括:
根据所述所述关联用户在待检测时间段内的访问数据,获取所有关联用户在待检测时间段内对应用的访问次数均值;
根据所述第一用户在待检测时间段内对应用的访问数据,获取所述第一用户在待检测时间段内对应用的访问次数;
根据所有关联用户在待检测时间段内对应用的访问次数均值以及所述第一用户在待检测时间段内对应用的访问次数,计算所述第一用户的团体偏离度。
由上述实施例的内容可知,本发明实施例能够计算出用户的团体偏离度。具体的,本发明实施例会根据所述关联用户在待检测时间段内的访问数据,获取所有关联用户在待检测时间段内对应用的访问次数均值p_org,具体计算公式为:
其中,p_org表示所有关联用户在待检测时间段内对应用的访问次数均值,p_now(i)表示待检测时间段内所有关联用户访问该应用的次数,pn表示关联用户的人数。
再根据第一用户在待检测时间段内对应用的访问数据,获取第一用户在待检测时间段内对应用的访问次数,记作p_now。
最后根据所有关联用户在待检测时间段内对应用的访问次数均值p_org以及第一用户在待检测时间段内对应用的访问次数p_now,计算第一用户的团体偏离度org_dev,具体计算公式为:
org_dev=(p_now-p_org)/p_org;
其中,org_dev表示第一用户的团体偏离度,p_now表示第一用户在待检测时间段内对应用的访问次数。
在上述实施例的基础上,所述根据所述第一用户的个人偏离度和所述第一用户的团体偏离度,计算所述第一用户对应用的访问偏离度,包括:
将所述第一用户的个人偏离度和所述第一用户的团体偏离度归一化到同一预设区间范围内;
计算归一化后所述第一用户的个人偏离度和所述第一用户的团体偏离度的均值,并将所述均值作为所述第一用户对应用的访问偏离度。
由上述实施例的内容可知,本发明实施例能够分别计算出用户的个人偏离度和用户团体偏离度,但个人偏离度和团体分离度计算出的数值量级可能不同,故而不能很好地进行综合比较。
针对上述情形,本发明实施例将个人偏离度和团体偏离度的值进行标准化处理,优选的,本发明实施例将个人偏离度和团体偏离度归一化到同一预设区间范围内,一般的,将该区间范围设置为[-1,1]。
归一化(标准化)的公式为:
k=(b-a)/(max-min),
S=a+k(s-min);
其中,a、b为标准化值范围区间,如本实施例中将区间设置为[-1,1],则a为-1,b为1;max为原始值中最大值;min为原始值中最小值;k为标准化转换系数;s为原始值;S为标准化后的值。
那么通过上述归一化过程,能够将用户的个人偏离度和用户的团体偏离度归一化到同一区间范围,从而方便综合比较,优选的,本发明实施例采用将二者平均值的方式计算该用户的综合偏离度。综合偏离度即本发明实施例中的第一用户对应用的访问偏离度。
具体的,综合偏离度的计算方式为:
dev=(S_p+S_org)/2;
其中,dev为综合偏离度,S_p为用户的个人偏离度归一化值,S_org为用户的团体偏离度归一化值。
本发明实施例提供的归一化法能够将用户的个人偏离度和团体偏离度进行整合,从而计算出用户对应用的访问偏离度,评价更为标准和方便。
在上述实施例的基础上,所述根据所述第一用户对每个应用的访问偏离度以及每个应用的重要程度,计算所述第一用户的应用访问异常值,包括:
将每个应用的重要程度转化为每个应用对应的权重值;
根据所述第一用户对每个应用的访问偏离度以及所述每个应用对应的权重值,加权计算所述第一用户的应用访问异常值。
可以理解的是,不同应用的重要程度不同,例如涉及核心机密的应用重要程度较高,而一些外围的应用重要程度较低,对于重要程度较高的应用,所允许出现的偏离度也会较低,而重要程度较低的应用所允许出现偏离度会较高。
针对上述情形,本发明实施例提出了一种根据应用重要程度计算应用访问异常值的方式。具体的,本发明实施例会根据应用重要程度给不同的应用分配对应的权重值。例如:同时用户在待检测时间段内访问了应用1和应用2,应用1的重要程度是非常高,而应用2的重要程度为一般,那么相应的会为应用1分配权重值0.8,而应用2只分配0.2。需要说明的是,上述权重值的分配方式只用于举例说明不同的重要程度对权重值的影响,具体的权重值分配规则可根据实际情况自由设置。
一般的确定权重的方式可以采用主观法和客观法,主观方法可参考专家调查法、层次分析法等,客观方法可参考主成分分析法、熵权法等,本发明实施例对此不作具体限定。
在获取了每个应用对应的权重值后,本发明实施例再根据用户对每个应用的访问偏离度和权重值,进行加权计算,从而获得用户最终的应用访问异常值,应用访问异常值计算方式为:
其中,u为应用访问异常值,dev(i)为用户对各个应用的访问偏离度,w(i)为第i个应用对应的权重值,n为应用个数。
通过上述方式就可以计算出每个用户的应用访问异常值。那么应用访问异常值较高的用户即可判定其大概率应用访问行为异常。
在上述实施例的基础上,所述方法还包括:
对于每个用户,采集用户对每个应用的访问数据,并将所有访问数据存储至预设数据库中。
由上述实施例的内容可知,本发明实施例需要获取历史数据并采集待检测时间段内对每个应用的访问数据。优选的,本发明是实施例提供了一个预设数据库对数据进行存储,将历史数据分字段存储在数据库中。字段包括有:用户身份识别字段、访问的应用名称字段、访问名称字段等。通过字段标识可以方便的在数据库中检索检测过程所需的历史数据。数据库可以是关系型数据库MySQL、Oracle等,也可以是非关系型数据库ElasticSearch、Hive等,本发明实施例对此不作具体限定。
需要说明的是,在采集数据的过程中,本发明实施例不限定采集的方式,例如:可以通过网络设备如交换机日志可获取内网各用户访问内网各应用的数据,也可以利用应用系统所在服务器日志可获取内网各用户访问内网各应用的数据,还可以利用内网终端设备采集软获取内网各用户访问内网各应用的数据。
图2是本发明实施例提供的一种应用访问行为异常检测系统结构示意图,如图2所示,包括:获取模块201、第一计算模块202、第二计算模块203以及检测模块204,其中:
获取模块201用于获取第一用户在待检测时间段内对每个应用的访问数据;
第一计算模块202用于根据第一用户的历史数据、关联用户在待检测时间段内的访问数据以及所述第一用户在待检测时间段内对每个应用的访问数据,分别计算所述第一用户对每个应用的访问偏离度;
第二计算模块203用于根据所述第一用户对每个应用的访问偏离度以及每个应用的重要程度,计算所述第一用户的应用访问异常值;
检测模块204用于若所述第一用户的应用访问异常值大于预设阈值,则判定所述第一用户在待检测时间段内应用访问行为异常。
具体的如何通过获取模块201、第一计算模块202、第二计算模块203以及检测模块204对应用访问行为异常检测可用于执行图1所示的应用访问行为异常检测处理方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本发明实施例提供的一种应用访问行为异常检测系统,通过偏离度计算和加权异常值计算就能成功检测用户是否应用访问行为异常,并且检测的数据来源不依赖过多的访问行为因子和复杂的异常发现机制,简单快捷的实现了减少数据泄露。
在上述实施例的基础上,所述第一计算模块包括:
个人偏离度计算单元,用于对于任一应用,根据所述第一用户的历史数据以及所述第一用户在待检测时间段内对应用的访问数据,计算第一用户的个人偏离度;
团体偏离度计算单元,用于根据所述关联用户在待检测时间段内的访问数据以及第一用户在待检测时间段内对应用的访问数据,计算第一用户的团体偏离度;
访问偏离度计算单元,用于根据所述第一用户的个人偏离度和所述第一用户的团体偏离度,计算所述第一用户对应用的访问偏离度。
在上述实施例的基础上,个人偏离度计算单元包括:
个人历史访问次数均值子单元,用于根据所述第一用户的历史数据,获取所述第一用户在待检测时间段内对应用的历史访问次数均值;
个人访问次数子单元,用于根据所述第一用户在待检测时间段内对应用的访问数据,获取所述第一用户在待检测时间段内对应用的访问次数;
个人偏离度计算子单元,用于根据所述第一用户在待检测时间段内对应用的历史访问次数均值以及所述第一用户在待检测时间段内对应用的访问次数,计算所述第一用户的个人偏离度。
在上述实施例的基础上,所述团体偏离度计算单元包括:
团体历史访问次数均值子单元,用于根据所述关联用户在待检测时间段内的访问数据,获取所有关联用户在待检测时间段内对应用的访问次数均值;
个人访问次数子单元,用于根据所述第一用户在待检测时间段内对应用的访问数据,获取所述第一用户在待检测时间段内对应用的访问次数;
团体偏离度计算子单元,用于根据所有关联用户在待检测时间段内对应用的访问次数均值以及所述第一用户在待检测时间段内对应用的访问次数,计算所述第一用户的团体偏离度。
在上述实施例的基础上,所述访问偏离度计算单元包括:
归一化子单元,用于将所述第一用户的个人偏离度和所述第一用户的团体偏离度归一化到同一预设区间范围内;
访问偏离度计算子单元,用于计算归一化后所述第一用户的个人偏离度和所述第一用户的团体偏离度的均值,并将所述均值作为所述第一用户对应用的访问偏离度。
在上述实施例的基础上,所述第二计算模块包括:
权重值获取单元,用于将每个应用的重要程度转化为每个应用对应的权重值;
异常值计算单元,用于根据所述第一用户对每个应用的访问偏离度以及所述每个应用对应的权重值,加权计算所述第一用户的应用访问异常值。
通过本发明实施例提供的权重值获取单元和异常值计算单元能够实现对每个用户的异常值计算,从而为检测用户应用异常访问提供数据支持。
在上述实施例的基础上,所述系统还包括:
存储模块,用于对于每个用户,采集用户对每个应用的访问数据,并将所有访问数据存储至预设数据库中。
通过本发明实施例的存储模块能够实现对历史数据的存储和检索。
本发明实施例提供一种电子设备,包括:至少一个处理器;以及与所述处理器通信连接的至少一个存储器,其中:
图3是本发明实施例提供的电子设备的结构框图,参照图3,所述电子设备,包括:处理器(processor)301、通信接口(Communications Interface)302、存储器(memory)303和总线304,其中,处理器301,通信接口302,存储器303通过总线304完成相互间的通信。处理器301可以调用存储器303中的逻辑指令,以执行如下方法:获取第一用户在待检测时间段内对每个应用的访问数据;根据第一用户的历史数据、关联用户在待检测时间段内的访问数据以及所述第一用户在待检测时间段内对每个应用的访问数据,分别计算所述第一用户对每个应用的访问偏离度;根据所述第一用户对每个应用的访问偏离度以及每个应用的重要程度,计算所述第一用户的应用访问异常值;若所述第一用户的应用访问异常值大于预设阈值,则判定所述第一用户在待检测时间段内应用访问行为异常。
本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取第一用户在待检测时间段内对每个应用的访问数据;根据第一用户的历史数据、关联用户在待检测时间段内的访问数据以及所述第一用户在待检测时间段内对每个应用的访问数据,分别计算所述第一用户对每个应用的访问偏离度;根据所述第一用户对每个应用的访问偏离度以及每个应用的重要程度,计算所述第一用户的应用访问异常值;若所述第一用户的应用访问异常值大于预设阈值,则判定所述第一用户在待检测时间段内应用访问行为异常。
本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取第一用户在待检测时间段内对每个应用的访问数据;根据第一用户的历史数据、关联用户在待检测时间段内的访问数据以及所述第一用户在待检测时间段内对每个应用的访问数据,分别计算所述第一用户对每个应用的访问偏离度;根据所述第一用户对每个应用的访问偏离度以及每个应用的重要程度,计算所述第一用户的应用访问异常值;若所述第一用户的应用访问异常值大于预设阈值,则判定所述第一用户在待检测时间段内应用访问行为异常。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行每个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种应用访问行为异常检测方法,其特征在于,包括:
获取第一用户在待检测时间段内对每个应用的访问数据;
根据第一用户的历史数据、关联用户在待检测时间段内的访问数据以及所述第一用户在待检测时间段内对每个应用的访问数据,分别计算所述第一用户对每个应用的访问偏离度;
根据所述第一用户对每个应用的访问偏离度以及每个应用的重要程度,计算所述第一用户的应用访问异常值;
若所述第一用户的应用访问异常值大于预设阈值,则判定所述第一用户在待检测时间段内应用访问行为异常。
2.根据权利要求1所述的方法,其特征在于,所述根据第一用户的历史数据、关联用户在待检测时间段内的访问数据以及所述第一用户在待检测时间段内对每个应用的访问数据,分别计算所述第一用户对每个应用的访问偏离度,包括:
对于任一应用,根据所述第一用户的历史数据以及所述第一用户在待检测时间段内对应用的访问数据,计算第一用户的个人偏离度;
根据所述关联用户在待检测时间段内的访问数据以及第一用户在待检测时间段内对应用的访问数据,计算第一用户的团体偏离度;
根据所述第一用户的个人偏离度和所述第一用户的团体偏离度,计算所述第一用户对应用的访问偏离度。
3.根据权利要求2所述的方法,其特征在于,所述根据所述第一用户的历史数据以及所述第一用户在待检测时间段内对应用的访问数据,计算第一用户的个人偏离度,包括:
根据所述第一用户的历史数据,获取所述第一用户在待检测时间段内对应用的历史访问次数均值;
根据所述第一用户在待检测时间段内对应用的访问数据,获取所述第一用户在待检测时间段内对应用的访问次数;
根据所述第一用户在待检测时间段内对应用的历史访问次数均值以及所述第一用户在待检测时间段内对应用的访问次数,计算所述第一用户的个人偏离度。
4.根据权利要求2所述的方法,其特征在于,所述根据所述关联用户在待检测时间段内的访问数据以及第一用户在待检测时间段内对应用的访问数据,计算第一用户的团体偏离度,包括:
根据所述关联用户在待检测时间段内的访问数据,获取所有关联用户在待检测时间段内对应用的访问次数均值;
根据所述第一用户在待检测时间段内对应用的访问数据,获取所述第一用户在待检测时间段内对应用的访问次数;
根据所有关联用户在待检测时间段内对应用的访问次数均值以及所述第一用户在待检测时间段内对应用的访问次数,计算所述第一用户的团体偏离度。
5.根据权利要求2所述的方法,其特征在于,所述根据所述第一用户的个人偏离度和所述第一用户的团体偏离度,计算所述第一用户对应用的访问偏离度,包括:
将所述第一用户的个人偏离度和所述第一用户的团体偏离度归一化到同一预设区间范围内;
计算归一化后所述第一用户的个人偏离度和所述第一用户的团体偏离度的均值,并将所述均值作为所述第一用户对应用的访问偏离度。
6.根据权利要求1所述的方法,其特征在于,所述根据所述第一用户对每个应用的访问偏离度以及每个应用的重要程度,计算所述第一用户的应用访问异常值,包括:
将每个应用的重要程度转化为每个应用对应的权重值;
根据所述第一用户对每个应用的访问偏离度以及所述每个应用对应的权重值,加权计算所述第一用户的应用访问异常值。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对于每个用户,采集用户对每个应用的访问数据,并将所有访问数据存储至预设数据库中。
8.一种应用访问行为异常检测系统,其特征在于,包括:
获取模块,用于获取第一用户在待检测时间段内对每个应用的访问数据;
第一计算模块,用于根据第一用户的历史数据、关联用户在待检测时间段内的访问数据以及所述第一用户在待检测时间段内对每个应用的访问数据,分别计算所述第一用户对每个应用的访问偏离度;
第二计算模块,用于根据所述第一用户对每个应用的访问偏离度以及每个应用的重要程度,计算所述第一用户的应用访问异常值;
检测模块,用于若所述第一用户的应用访问异常值大于预设阈值,则判定所述第一用户在待检测时间段内应用访问行为异常。
9.一种电子设备,其特征在于,包括存储器和处理器,所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至7任一所述的方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811174406.6A CN109446768B (zh) | 2018-10-09 | 2018-10-09 | 应用访问行为异常检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811174406.6A CN109446768B (zh) | 2018-10-09 | 2018-10-09 | 应用访问行为异常检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109446768A true CN109446768A (zh) | 2019-03-08 |
| CN109446768B CN109446768B (zh) | 2020-10-13 |
Family
ID=65546292
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811174406.6A Active CN109446768B (zh) | 2018-10-09 | 2018-10-09 | 应用访问行为异常检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109446768B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110189178A (zh) * | 2019-05-31 | 2019-08-30 | 阿里巴巴集团控股有限公司 | 异常交易监测方法、装置及电子设备 |
| CN110445753A (zh) * | 2019-06-28 | 2019-11-12 | 平安科技(深圳)有限公司 | 终端设备异常访问的隔离方法和装置 |
| CN114390026A (zh) * | 2021-12-09 | 2022-04-22 | 奇安信科技集团股份有限公司 | 身份信息溯源方法、装置、设备、存储介质和程序 |
| CN117421729A (zh) * | 2023-12-18 | 2024-01-19 | 湖南森鹰科技有限公司 | 一种自动化程序攻击检测方法、装置、系统及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103533546A (zh) * | 2013-10-29 | 2014-01-22 | 无锡赛思汇智科技有限公司 | 基于多维度行为特征的隐式用户验证及隐私保护方法 |
| CN103945060A (zh) * | 2014-04-04 | 2014-07-23 | 惠州Tcl移动通信有限公司 | 一种基于传感器识别的移动终端处理方法及系统 |
| CN105005725A (zh) * | 2015-07-17 | 2015-10-28 | 广东欧珀移动通信有限公司 | 一种移动终端信息安全的保护方法及系统 |
| CN105590055A (zh) * | 2014-10-23 | 2016-05-18 | 阿里巴巴集团控股有限公司 | 用于在网络交互系统中识别用户可信行为的方法及装置 |
| CN107885852A (zh) * | 2017-11-13 | 2018-04-06 | 上海交通大学 | 一种基于app使用记录的app推荐方法及系统 |
| CN108573132A (zh) * | 2018-02-25 | 2018-09-25 | 刘晓英 | 手机app使用次数匹配系统 |
-
2018
- 2018-10-09 CN CN201811174406.6A patent/CN109446768B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103533546A (zh) * | 2013-10-29 | 2014-01-22 | 无锡赛思汇智科技有限公司 | 基于多维度行为特征的隐式用户验证及隐私保护方法 |
| CN103945060A (zh) * | 2014-04-04 | 2014-07-23 | 惠州Tcl移动通信有限公司 | 一种基于传感器识别的移动终端处理方法及系统 |
| CN105590055A (zh) * | 2014-10-23 | 2016-05-18 | 阿里巴巴集团控股有限公司 | 用于在网络交互系统中识别用户可信行为的方法及装置 |
| CN105005725A (zh) * | 2015-07-17 | 2015-10-28 | 广东欧珀移动通信有限公司 | 一种移动终端信息安全的保护方法及系统 |
| CN107885852A (zh) * | 2017-11-13 | 2018-04-06 | 上海交通大学 | 一种基于app使用记录的app推荐方法及系统 |
| CN108573132A (zh) * | 2018-02-25 | 2018-09-25 | 刘晓英 | 手机app使用次数匹配系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110189178A (zh) * | 2019-05-31 | 2019-08-30 | 阿里巴巴集团控股有限公司 | 异常交易监测方法、装置及电子设备 |
| CN110445753A (zh) * | 2019-06-28 | 2019-11-12 | 平安科技(深圳)有限公司 | 终端设备异常访问的隔离方法和装置 |
| CN114390026A (zh) * | 2021-12-09 | 2022-04-22 | 奇安信科技集团股份有限公司 | 身份信息溯源方法、装置、设备、存储介质和程序 |
| CN114390026B (zh) * | 2021-12-09 | 2024-04-26 | 奇安信科技集团股份有限公司 | 身份信息溯源方法、装置、设备、存储介质和程序 |
| CN117421729A (zh) * | 2023-12-18 | 2024-01-19 | 湖南森鹰科技有限公司 | 一种自动化程序攻击检测方法、装置、系统及介质 |
| CN117421729B (zh) * | 2023-12-18 | 2024-04-26 | 湖南森鹰科技有限公司 | 一种自动化程序攻击检测方法、装置、系统及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109446768B (zh) | 2020-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109446768A (zh) | 应用访问行为异常检测方法及系统 | |
| US6542881B1 (en) | System and method for revealing necessary and sufficient conditions for database analysis | |
| CN102932323B (zh) | 对计算机网络中安全相关事故的自动分析 | |
| CN111738549A (zh) | 食品安全风险评估方法、装置、设备及存储介质 | |
| US20140149466A1 (en) | Time-series database setup automatic generation method, setup automatic generation system and monitoring server | |
| CN113765881A (zh) | 异常网络安全行为的检测方法、装置、电子设备及存储介质 | |
| WO2009142875A2 (en) | Nursing home evaluation system | |
| Celikel et al. | A risk management approach to RBAC | |
| CN111191247A (zh) | 数据库安全审计系统 | |
| CN114270391A (zh) | 量化隐私影响 | |
| CN112819326A (zh) | 一种适用于居民小区的疫情防控管理系统及其搭建方法 | |
| CN106580350A (zh) | 一种疲劳状况监测方法及装置 | |
| CN113642672A (zh) | 医保数据的特征加工方法、装置、计算机设备及存储介质 | |
| CN113949652A (zh) | 基于人工智能的用户异常行为检测方法、装置及相关设备 | |
| CN118114301A (zh) | 一种基于数字化信息安全的档案处理方法及系统 | |
| CN110363381B (zh) | 一种信息处理方法和装置 | |
| Afshar et al. | Incorporating behavior in attribute based access control model using machine learning | |
| CN116644825A (zh) | 一种基于大数据的门诊信息查询预约管理系统 | |
| CN110782163A (zh) | 企业数据处理方法和装置 | |
| CN114242216A (zh) | 基于区块链的医疗设备使用数据管理方法及系统 | |
| CN109559206A (zh) | 一种区域企业诚信评价方法、装置及终端设备 | |
| CN117235797A (zh) | 大数据资源访问智能管理方法及装置、设备、系统 | |
| Cuny et al. | Occupational risks and the value and modelling of a measurement of severity | |
| CN115859350A (zh) | 一种基于链上存证和风险预测的医疗大数据访问控制方法 | |
| CN115422538A (zh) | 应用的风险识别方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |