CN109688166A - 一种异常外发行为检测方法及装置 - Google Patents
一种异常外发行为检测方法及装置 Download PDFInfo
- Publication number
- CN109688166A CN109688166A CN201910150739.3A CN201910150739A CN109688166A CN 109688166 A CN109688166 A CN 109688166A CN 201910150739 A CN201910150739 A CN 201910150739A CN 109688166 A CN109688166 A CN 109688166A
- Authority
- CN
- China
- Prior art keywords
- value
- dimension
- user
- data
- distributed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
Abstract
本公开实施例提供了一种异常外发行为检测方法及装置。该方法包括:获取用户在预设时间段的审计日志;确定审计日志在访问行为维度下行为特征的第一综合评分值;若第一综合评分值高于第一评分阈值,则确定审计日志在数据外发行为维度下行为特征的第二综合评分值,第一评分阈值用于确定用户在所述访问行为维度下是否存在异常;若第二综合评分值高于第二评分阈值,则确定用户存在异常外发行为,第二评分阈值用于确定用户在数据外发行为维度下是否存在异常。应用本公开实施例提供的技术方案,能够提高异常外发行为检测的准确度和精度。
Description
技术领域
本公开涉及网络安全技术领域,特别是涉及一种异常外发行为检测方法及装置。
背景技术
随着网络技术的快速发展与大量应用,网络安全威胁也在不断增加。网络安全威胁分为外部网络安全威胁和内部网络安全威胁。对于外部网络安全威胁,可以通过防火墙、入侵检测、防病毒软件等安全产品来抵御。但对于内部网络安全威胁,即内部的数据泄露,异常外发行为,可以采用DLP(Data leakage prevention,数据泄密防护)、上网行为审计产品、主机终端外发审计等技术来解决该问题。
发明内容
本公开实施例的目的在于提供一种异常外发行为检测方法及装置,以提高异常外发行为检测的准确度和精度。具体技术方案如下:
第一方面,本公开实施例提供了一种异常外发行为检测方法,所述方法包括:
获取用户在预设时间段的审计日志;
确定所述审计日志在访问行为维度下行为特征的第一综合评分值;
若所述第一综合评分值高于所述第一评分阈值,则确定所述审计日志在数据外发行为维度下行为特征的第二综合评分值,所述第一评分阈值用于确定所述用户在所述访问行为维度下是否存在异常;
若所述第二综合评分值高于所述第二评分阈值,则确定所述用户存在异常外发行为,所述第二评分阈值用于确定所述用户在所述数据外发行为维度下是否存在异常。
第二方面,本公开实施例提供了一种异常外发行为检测装置,所述装置包括:
获取单元,用于获取用户在预设时间段的审计日志;
第一确定单元,用于确定所述审计日志在访问行为维度下行为特征的第一综合评分值;
第二确定单元,用于若所述第一综合评分值高于第一评分阈值,则确定所述审计日志在数据外发行为维度下行为特征的第二综合评分值,所述第一评分阈值用于确定所述用户在所述访问行为维度下是否存在异常;
第三确定单元,用于若所述第二综合评分值高于第二评分阈值,则确定所述用户存在异常外发行为,所述第二评分阈值用于确定所述用户在所述数据外发行为维度下是否存在异常。
第三方面,本公开实施例提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述异常外发行为检测方法任一步骤。
第四方面,本公开实施例提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现上述异常外发行为检测方法任一步骤。
本公开实施例提供的异常外发行为检测方法及装置中,若访问行为维度下行为特征的第一综合评分值高于第一评分阈值,则确定用户在访问行为维度下存在异常。若数据外发行为维度下行为特征的第二综合评分值高于第二评分阈值,则确定用户在数据外发行为维度下存在异常。若用户在访问行为维度下和数据外发行为维度下均存在异常,则可确定用户存在异常外发行为。本公开实施例中,将访问行为维度以及数据外发行为维度进行了关联,对用户整体的行为进行分析,避免了形成信息孤岛的问题,提高了异常外发行为检测的准确度和精度。当然,实施本公开的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的异常外发行为检测方法的一种流程示意图;
图2为本公开实施例提供的异常外发行为检测装置的一种结构示意图;
图3为本公开实施例提供的电子设备的一种结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
目前,对于内部网络安全威胁,即内部的数据泄露,异常外发行为,可以采用DLP、上网行为审计产品、主机终端外发审计等技术来解决该问题。
以DLP技术为例。采用DLP技术来进行异常外发行为检测时,设置包括外发文件次数阈值、和/或外发文件大小阈值等审计规则。DLP设备获取针对一用户的日志,从日志中提取用户外发文件次数,以及用户外发文件大小。若提取到的外发文件次数超过外发文件次数阈值,或提取到的外发文件大小超过外发文件大小阈值,则确定用户违反审计规则,该用户存在异常外发行为。
上述检测异常外发行为的方式,利用单一数据外发的行为维度进行检测,很容易形成信息孤岛,检测的准确度和精度较低。
为提高异常外发行为检测的准确度和精度,本公开实施例提供了一种异常外发行为检测方法。该方法可以应用于DLP设备、上网行为审计设备和主机终端外发审计设备等。DLP设备为进行DLP的电子设备,上网行为审计设备为进行上网行为审计的设备,主机终端外发审计设备为主机终端外发审计的设备。该方法中,获取用户在预设时间段的审计日志;确定审计日志在访问行为维度下行为特征的第一综合评分值;判断第一综合评分值是否高于第一评分阈值;若第一综合评分值高于第一评分阈值,则确定审计日志在数据外发行为维度下行为特征的第二综合评分值;判断第二综合评分值是否高于第二评分阈值;若第二综合评分值高于第二评分阈值,则确定用户存在异常外发行为。其中,第一评分阈值用于确定用户在访问行为维度下是否存在异常,第二评分阈值用于确定用户在数据外发行为维度下是否存在异常。
本公开实施例提供的异常外发行为检测方法中,若访问行为维度下行为特征的第一综合评分值高于第一评分阈值,则确定用户在访问行为维度下存在异常。若数据外发行为维度下行为特征的第二综合评分值高于第二评分阈值,则确定用户在数据外发行为维度下存在异常。若用户在访问行为维度下和数据外发行为维度下均存在异常,则可确定用户存在异常外发行为。本公开实施例中,将访问行为维度以及数据外发行为维度进行了关联,对用户整体的行为进行分析,避免了形成信息孤岛的问题,提高了异常外发行为检测的准确度和精度。
下面通过具体实施例,对本公开实施例提供的异常外发行为检测方法进行说明。
参考图1,图1为本公开实施例提供的异常外发行为检测方法的一种流程示意图。为便于描述,下面以DLP设备为执行主体进行说明。
步骤101,获取用户在预设时间段的审计日志。
本公开实施例中,用户在访问应用系统时,应用系统上可以生成且保存访问日志。例如,公司内部会部署安全等级高于预设等级的应用系统(以下简称“密级应用系统”),密级应用系统中存储着大量的公司敏感信息。用户访问密级应用系统时,密级应用系统上生成且保存该用户的访问日志。访问日志可以用于记录用户访问应用的行为轨迹。访问日志中可以包括:应用系统,用户名,IP(Internet Protocol,网络协议)地址,MAC(MediaAccess Control,媒体访问控制)地址,操作,文件,以及发生时间等。如表1所示。
表1
表1中,应用系统:为用户访问的应用系统。如表1中PMS(Power ProductionManagement System,工程生产管理系统)为用户访问的应用系统。
用户名:为用户访问应用系统所使用的名称。如表1中Z18342为用户名,即为用户访问PMS所使用的名称。
IP地址:为用户访问应用系统时所使用的用户设备的IP地址。如表1中10.10.10.2为用户访问PMS时所使用的用户设备的IP地址。
MAC地址:为用户访问应用系统时所使用的用户设备的MAC地址。如表1中xxxxxxxx为用户访问PMS时所使用的用户设备的MAC地址。
操作:为用户对应用系统所执行的访问操作。如表1中下载操作,为用户对PMS所执行的访问操作。
文件:为用户操作的文件。如表1中销售报表.xlsx为用户从PMS所下载的文件。
发生时间:为用户对应用系统执行访问操作的时间。如表1中2018-10-1210:30:21为发生时间,即为用户对PMS执行下载操作的时间。
另外,本公开实施例中,企业为了防止重要敏感数据丢弃,可以部署数据外发行为审计的产品,对外发数据行为进行记录,生成数据外发日志。数据外发日志可以包括:外发方式、文件、文件大小、用户名、IP地址、MAC地址、上报时间、上报设备。如表2所示。
表2
表2中,外发方式:为用户向外发送的文件的方式。如表2中,USB拷贝为用户向外发送的文件的方式。本公开实施例中,用户向外发送的文件的方式还可以为邮件外发、文件外传等。
文件:为用户外发的文件。如表2中设计文档.doc为用户外发的文件。
文件大小:为用户外发文件的大小。如表2中5M外发的设计文档.doc的大小。
用户名:为用户外发文件时所使用的名称。如表2中Z18342为用户名,即为用户外发设计文档.doc时所使用的名称。
IP地址:为用户外发文件时所使用的用户设备的IP地址。如表2中10.10.10.2为用户外发设计文档.doc时所使用的用户设备的IP地址。
MAC地址:为用户外发文件时所使用的用户设备的MAC地址。如表2中xxxxxxxx为用户外发设计文档.doc时所使用的用户设备的MAC地址。
上报时间:为上报该数据外发日志的时间,也可以理解为生成该数据外发日志的时间。如表2中2018-10-12 10:30:21为生成该数据外发日志的时间。
上报设备:为上报该数据外发日志的设备,也可以理解为生成该数据外发日志的设备。如表2中DLP设备生成该数据外发日志的设备。
上述访问日志和数据外发日志可以统称为审计日志。
在进行异常外发行为检测时,DLP设备获取用户在预设时间段的审计日志。预设时间可以根据实际需求进行设备。例如,预设时间为0.5小时。当前时间为10:00,则在进行异常外发行为检测时,DLP设备获取9:30-10:00这0.5小时之间的审计日志。
一个实施例中,为提高异常外发行为检测效率,可以预设需要检测的应用系统,即预设应用系统。在进行异常外发行为检测时,DLP设备获取用户在预设时间段针对预设应用系统的审计日志。预设应用系统可以为一个或多个。
步骤102,确定审计日志在访问行为维度下行为特征的第一综合评分值。
本公开实施例中,DLP设备在获取到审计日志后,对审计日志进行分析,确定在各访问行为维度下的行为特征,计算这些行为特征的综合评分值,作为第一综合评分值。
一个可选的实施例中,上述访问行为维度可以包括:用户访问密级应用系统的次数,用户访问密级应用系统的频率,用户下载文件的数量,用户下载文件的总数据量,以及用户下载预设类型文件的数量中的一种或多种。一个示例中,预设类型文件可以为标题中预设敏感字的文件,也可以为预设后缀名的文件等。
一个可选的实施例中,DLP设备确定第一综合评分值的流程如下。DLP设备从审计日志中提取多个访问行为维度中各访问行为维度下的特征值。针对每一访问行为维度下的特征值,DLP设备判断该访问行为维度下的特征值是否高于该访问行为维度下的特征阈值。若该访问行为维度下的特征值高于该访问行为维度下的特征阈值,则DLP设备可确定该访问行为维度为目标访问行为维度。DLP设备根据预先存储的访问行为维度与评分值的对应关系,确定各目标访问行为维度的评分值的和值,作为第一综合评分值。
例如,访问行为维度可以包括:用户访问密级应用系统的次数,用户访问密级应用系统的频率,用户下载文件的数量,用户下载文件的总数据量,以及用户下载预设类型文件的数量。用户访问密级应用系统的次数阈值为S1,用户访问密级应用系统的频率阈值为S2,用户下载文件的数量阈值为S3,用户下载文件的总数据量阈值为S4,以及用户下载预设类型文件的数量阈值为S5。
预先存储的用户访问密级应用系统的次数对应的评分值为10。
预先存储的用户访问密级应用系统的频率对应的评分值为11。
预先存储的用户下载文件的数量对应的评分值为12。
预先存储的用户下载文件的总数据量对应的评分值为13。
预先存储的用户下载预设类型文件的数量对应的评分值为14。
DLP设备对预设时间段的审计日志进行分析,确定在预设时间段内,用户访问密级应用系统的次数为P1,用户访问密级应用系统的频率为P2,用户下载文件的数量为P3,用户下载文件的总数据量为P4,以及用户下载预设类型文件的数量为P5。
若P1>S1,P2<S2,P3>S3,P4<S4,P5>S5,则DLP设备可确定第一综合评分值为10+12+14=36。
上述各个访问行为维度的特征阈值可以根据实际需要进行设定。
步骤103,判断第一综合评分值是否高于第一评分阈值。若是,则执行步骤104。
本公开实施例中,第一评分阈值用于确定用户在所述访问行为维度下是否存在异常。第一评分阈值的大小可以根据实际需求进行设定。DLP设备若确定第一综合评分值高于第一评分阈值,则可确定用户在访问行为维度下存在异常行为,该用户为需要重点关注的用户,继续执行步骤104。DLP设备若确定第一综合评分值不高于第一评分阈值,则可确定用户在访问行为维度下不存在异常行为,进而确定用户不存在异常外发行为,返回执行步骤101,继续下一次的异常外发行为检测。
仍以步骤102中的例子进行说明。DLP设备确定第一综合评分值为36。若确定第一评分阈值为30,36>30,则继续执行步骤104。若确定第一评分阈值为40,36<40,则返回执行步骤101。
步骤104,确定审计日志在数据外发行为维度下行为特征的第二综合评分值。
本公开实施例中,DLP设备在确定第一综合评分值高于第一评分阈值的情况下,对审计日志进行分析,确定在各数据外发行为维度下的行为特征,计算这些行为特征的综合评分值,作为第二综合评分值。
一个可选的实施例中,上述数据外发行为维度可以包括:用户外发文件的数量,用户外发文件的频率,用户外发文件的总数据量,用户外发预设类型文件的总数据量,以及用户外发下载的文件的数量中的一种或多种。一个示例中,预设类型文件可以为标题中预设敏感字的文件,也可以为预设后缀名的文件等。对于用户外发下载的文件的数量,若用户下载了文件A、B、C、D和E的5个文件,若向外发送了A、B、C、F和G这5个文件,则上述用户外发下载的文件的数量为3个。
一个可选的实施例中,DLP设备确定第二综合评分值的流程如下。DLP设备从审计日志中提取多个数据外发行为维度中各数据外发行为维度下的特征值。针对每一数据外发行为维度下的特征值,DLP设备判断该数据外发行为维度下的特征值是否高于该数据外发行为维度下的特征阈值。若该数据外发行为维度下的特征值高于该数据外发行为维度下的特征阈值,则DLP设备可以确定该数据外发行为维度为目标数据外发行为维度。DLP设备根据预先存储的数据外发行为维度与评分值的对应关系,确定各目标数据外发行为维度的评分值的和值,作为第二综合评分值。
例如,数据外发行为维度可以包括:用户外发文件的数量,用户外发文件的频率,用户外发文件的总数据量,用户外发预设类型文件的总数据量,以及用户外发下载的文件的数量。用户外发文件的数量阈值为Y1,用户外发文件的频率阈值为Y2,用户外发文件的总数据量阈值为Y3,用户外发预设类型文件的总数据量阈值为Y4,以及用户外发下载的文件的数量阈值为Y5。
预先存储的用户外发文件的数量对应的评分值为10。
预先存储的用户外发文件的频率对应的评分值为11。
预先存储的用户外发文件的总数据量对应的评分值为12。
预先存储的用户外发预设类型文件的总数据量对应的评分值为13。
预先存储的用户外发下载的文件的数量对应的评分值为14。
DLP设备对预设时间段的审计日志进行分析,确定在预设时间段内,用户外发文件的数量为X1,用户外发文件的频率为X2,用户外发文件的总数据量为X3,用户外发预设类型文件的总数据量为X4,以及用户外发下载的文件的数量为X5。
若X1>Y1,X2<Y2,X3>Y3,X4>Y4,X5>Y5,则DLP设备可确定第一综合评分值为10+12+13+14=49。
上述各个数据外发行为维度的特征阈值可以根据实际需要进行设定。
步骤105,判断第二综合评分值是否高于第二评分阈值。若是,则执行步骤106。
本公开实施例中,第二评分阈值用于确定用户在数据外发行为维度下是否存在异常。第二评分阈值的大小可以根据实际需求进行设定。DLP设备若确定第二综合评分值高于第二评分阈值,则可确定用户在数据外发行为维度下存在异常行为,继续执行步骤106,进而确定用户存在异常外发行为。DLP设备若确定第二综合评分值不高于第二评分阈值,则可确定用户在数据外发行为维度下不存在异常行为,进而确定用户不存在异常外发行为,返回执行步骤101,继续下一次的异常外发行为检测。
仍以步骤104中的例子进行说明。DLP设备确定第二综合评分值为49。若确定第二评分阈值为30,49>30,则继续执行步骤106。若确定第二评分阈值为50,49<50,则返回执行步骤101。
本公开实施例中并不限定步骤103和步骤105的执行顺序。只需要确定第一综合评分值高于第一评分阈值,且确定第二综合评分值高于第二评分阈值,则执行步骤106。
步骤106,确定用户存在异常外发行为。
本公开实施例提供的异常外发行为检测方法中,若访问行为维度下行为特征的第一综合评分值高于第一评分阈值,则确定用户在访问行为维度下存在异常。若数据外发行为维度下行为特征的第二综合评分值高于第二评分阈值,则确定用户在数据外发行为维度下存在异常。若用户在访问行为维度下和数据外发行为维度下均存在异常,则可确定用户存在异常外发行为。本公开实施例中,将访问行为维度以及数据外发行为维度进行了关联,对用户整体的行为进行分析,避免了形成信息孤岛的问题,提高了异常外发行为检测的准确度和精度。
与上述异常外发行为检测方法实施例对应,本公开实施例还提供了一种异常外发行为检测装置。参考图2,图2为本公开实施例提供的异常外发行为检测装置的一种结构示意图。该装置包括:获取单元201、第一确定单元202、第二确定单元203、第三确定单元204。
获取单元201,用于获取用户在预设时间段的审计日志;
第一确定单元202,用于确定审计日志在访问行为维度下行为特征的第一综合评分值;
第二确定单元203,用于若第一综合评分值高于第一评分阈值,则确定审计日志在数据外发行为维度下行为特征的第二综合评分值,第一评分阈值用于确定用户在访问行为维度下是否存在异常;
第三确定单元204,用于若第二综合评分值高于第二评分阈值,则确定用户存在异常外发行为,第二评分阈值用于确定用户在数据外发行为维度下是否存在异常。
一个可选的实施例中,第一确定单元202,具体可以用于:
从审计日志中提取多个访问行为维度中各访问行为维度下的特征值;
针对每一访问行为维度下的特征值,判断该访问行为维度下的特征值是否高于该访问行为维度下的特征阈值;若是,则确定该访问行为维度为目标访问行为维度;
根据预先存储的访问行为维度与评分值的对应关系,确定各目标访问行为维度的评分值的和值,作为第一综合评分值。
一个可选的实施例中,上述访问行为维度可以包括:用户访问安全等级高于预先等级的应用系统的次数,用户访问安全等级高于预先等级的应用系统的频率,用户下载文件的数量,用户下载文件的总数据量,以及用户下载预设类型文件的数量中的一种或多种。
一个可选的实施例中,第二确定单元203,具体可以用于:
从审计日志中提取多个数据外发行为维度中各数据外发行为维度下的特征值;
针对每一数据外发行为维度下的特征值,判断该数据外发行为维度下的特征值是否高于该数据外发行为维度下的特征阈值;若是,则确定该数据外发行为维度为目标数据外发行为维度;
根据预先存储的数据外发行为维度与评分值的对应关系,确定各目标数据外发行为维度的评分值的和值,作为第二综合评分值。
一个可选的实施例中,上述数据外发行为维度可以包括:用户外发文件的数量,用户外发文件的频率,用户外发文件的总数据量,用户外发预设类型文件的总数据量,以及用户外发下载的文件的数量中的一种或多种。
本公开实施例提供的技术方案中,将访问行为维度以及数据外发行为维度进行了关联,对用户整体的行为进行分析,避免了形成信息孤岛的问题,提高了异常外发行为检测的准确度和精度。
与上述异常外发行为检测方法实施例对应,本公开实施例还提供了一种电子设备,如图3所示,包括处理器301和机器可读存储介质302,机器可读存储介质302存储有能够被处理器301执行的机器可执行指令。处理器301被机器可执行指令促使实现上述图1所示的异常外发行为检测方法的任一步骤。该异常外发行为检测方法包括:
获取用户在预设时间段的审计日志;
确定审计日志在访问行为维度下行为特征的第一综合评分值;
若第一综合评分值高于第一评分阈值,则确定审计日志在数据外发行为维度下行为特征的第二综合评分值,第一评分阈值用于确定用户在访问行为维度下是否存在异常;
若第二综合评分值高于第二评分阈值,则确定用户存在异常外发行为,所述第二评分阈值用于确定用户在数据外发行为维度下是否存在异常。
本公开实施例提供的技术方案中,将访问行为维度以及数据外发行为维度进行了关联,对用户整体的行为进行分析,避免了形成信息孤岛的问题,提高了异常外发行为检测的准确度和精度。
一个可选的实施例中,如图3所示,电子设备还可以包括:通信接口303和通信总线304;其中,处理器301、机器可读存储介质302、通信接口303通过通信总线304完成相互间的通信,通信接口303用于上述电子设备与其他设备之间的通信。
上述通信总线304可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard Architecture,扩展工业标准结构)总线等。该通信总线304可以分为地址总线、数据总线、控制总线等。为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
上述机器可读存储介质302可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质302还可以是至少一个位于远离前述处理器的存储装置。
上述处理器301可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital SignalProcessing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
与上述异常外发行为检测方法实施例对应,本公开实施例还提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现上述图1所示的异常外发行为检测方法的任一步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于异常外发行为检测装置、电子设备、机器可读存储介质实施例而言,由于其基本相似于异常外发行为方法实施例,所以描述的比较简单,相关之处参见异常外发行为方法实施例的部分说明即可。
以上所述仅为本公开的较佳实施例而已,并非用于限定本公开的保护范围。凡在本公开的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本公开的保护范围内。
Claims (12)
1.一种异常外发行为检测方法,其特征在于,所述方法包括:
获取用户在预设时间段的审计日志;
确定所述审计日志在访问行为维度下行为特征的第一综合评分值;
若所述第一综合评分值高于第一评分阈值,则确定所述审计日志在数据外发行为维度下行为特征的第二综合评分值,所述第一评分阈值用于确定所述用户在所述访问行为维度下是否存在异常;
若所述第二综合评分值高于第二评分阈值,则确定所述用户存在异常外发行为,所述第二评分阈值用于确定所述用户在所述数据外发行为维度下是否存在异常。
2.根据权利要求1所述的方法,其特征在于,所述确定所述审计日志在访问行为维度下行为特征的第一综合评分值的步骤,包括:
从所述审计日志中提取多个访问行为维度中各访问行为维度下的特征值;
针对每一访问行为维度下的特征值,判断该访问行为维度下的特征值是否高于该访问行为维度下的特征阈值;若是,则确定该访问行为维度为目标访问行为维度;
根据预先存储的访问行为维度与评分值的对应关系,确定各目标访问行为维度的评分值的和值,作为第一综合评分值。
3.根据权利要求1或2所述的方法,其特征在于,所述访问行为维度包括:所述用户访问安全等级高于预先等级的应用系统的次数,所述用户访问安全等级高于所述预先等级的应用系统的频率,所述用户下载文件的数量,所述用户下载文件的总数据量,以及所述用户下载预设类型文件的数量中的一种或多种。
4.根据权利要求1所述的方法,其特征在于,所述确定所述日志在数据外发行为维度下行为特征的第二综合评分值的步骤,包括:
从所述审计日志中提取多个数据外发行为维度中各数据外发行为维度下的特征值;
针对每一数据外发行为维度下的特征值,判断该数据外发行为维度下的特征值是否高于该数据外发行为维度下的特征阈值;若是,则确定该数据外发行为维度为目标数据外发行为维度;
根据预先存储的数据外发行为维度与评分值的对应关系,确定各目标数据外发行为维度的评分值的和值,作为第二综合评分值。
5.根据权利要求1或4所述的方法,其特征在于,所述数据外发行为维度包括:所述用户外发文件的数量,所述用户外发文件的频率,所述用户外发文件的总数据量,所述用户外发预设类型文件的总数据量,以及所述用户外发下载的文件的数量中的一种或多种。
6.一种异常外发行为检测装置,其特征在于,所述装置包括:
获取单元,用于获取用户在预设时间段的审计日志;
第一确定单元,用于确定所述审计日志在访问行为维度下行为特征的第一综合评分值;
第二确定单元,用于若所述第一综合评分值高于第一评分阈值,则确定所述审计日志在数据外发行为维度下行为特征的第二综合评分值,所述第一评分阈值用于确定所述用户在所述访问行为维度下是否存在异常;
第三确定单元,用于若所述第二综合评分值高于第二评分阈值,则确定所述用户存在异常外发行为,所述第二评分阈值用于确定所述用户在所述数据外发行为维度下是否存在异常。
7.根据权利要求6所述的装置,其特征在于,所述第一确定单元,具体用于:
从所述审计日志中提取多个访问行为维度中各访问行为维度下的特征值;
针对每一访问行为维度下的特征值,判断该访问行为维度下的特征值是否高于该访问行为维度下的特征阈值;若是,则确定该访问行为维度为目标访问行为维度;
根据预先存储的访问行为维度与评分值的对应关系,确定各目标访问行为维度的评分值的和值,作为第一综合评分值。
8.根据权利要求6或7所述的装置,其特征在于,所述访问行为维度包括:所述用户访问安全等级高于预先等级的应用系统的次数,所述用户访问安全等级高于所述预先等级的应用系统的频率,所述用户下载文件的数量,所述用户下载文件的总数据量,以及所述用户下载预设类型文件的数量中的一种或多种。
9.根据权利要求6所述的装置,其特征在于,所述第二确定单元,具体用于:
从所述审计日志中提取多个数据外发行为维度中各数据外发行为维度下的特征值;
针对每一数据外发行为维度下的特征值,判断该数据外发行为维度下的特征值是否高于该数据外发行为维度下的特征阈值;若是,则确定该数据外发行为维度为目标数据外发行为维度;
根据预先存储的数据外发行为维度与评分值的对应关系,确定各目标数据外发行为维度的评分值的和值,作为第二综合评分值。
10.根据权利要求6或9所述的装置,其特征在于,所述数据外发行为维度包括:所述用户外发文件的数量,所述用户外发文件的频率,所述用户外发文件的总数据量,所述用户外发预设类型文件的总数据量,以及所述用户外发下载的文件的数量中的一种或多种。
11.一种电子设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-5任一所述的方法步骤。
12.一种机器可读存储介质,其特征在于,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现权利要求1-5任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910150739.3A CN109688166B (zh) | 2019-02-28 | 2019-02-28 | 一种异常外发行为检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910150739.3A CN109688166B (zh) | 2019-02-28 | 2019-02-28 | 一种异常外发行为检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109688166A true CN109688166A (zh) | 2019-04-26 |
| CN109688166B CN109688166B (zh) | 2021-06-04 |
Family
ID=66196117
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910150739.3A Active CN109688166B (zh) | 2019-02-28 | 2019-02-28 | 一种异常外发行为检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109688166B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110334517A (zh) * | 2019-07-05 | 2019-10-15 | 北京可信华泰信息技术有限公司 | 可信策略的更新方法及装置、可信安全管理平台 |
| CN110365698A (zh) * | 2019-07-29 | 2019-10-22 | 杭州数梦工场科技有限公司 | 风险评估方法与装置 |
| CN110493181A (zh) * | 2019-07-05 | 2019-11-22 | 中国平安财产保险股份有限公司 | 用户行为检测方法、装置、计算机设备及存储介质 |
| CN110569493A (zh) * | 2019-11-05 | 2019-12-13 | 广东博智林机器人有限公司 | 一种平面设计框架的调整方法及系统 |
| CN110825757A (zh) * | 2019-10-31 | 2020-02-21 | 北京北信源软件股份有限公司 | 一种设备行为风险分析方法及系统 |
| CN111107054A (zh) * | 2019-11-21 | 2020-05-05 | 深信服科技股份有限公司 | 数据审计方法、装置、设备及存储介质 |
| CN111756745A (zh) * | 2020-06-24 | 2020-10-09 | Oppo(重庆)智能科技有限公司 | 告警方法、告警装置及终端设备 |
| CN112507384A (zh) * | 2020-12-22 | 2021-03-16 | 北京明朝万达科技股份有限公司 | 一种数据外发行为的处理方法和装置 |
| CN112511372A (zh) * | 2020-11-06 | 2021-03-16 | 新华三技术有限公司 | 一种异常检测方法、装置及设备 |
| CN112685204A (zh) * | 2020-12-29 | 2021-04-20 | 北京中科闻歌科技股份有限公司 | 一种基于异常检测的社交机器人检测方法及装置 |
| CN113723522B (zh) * | 2021-08-31 | 2023-06-16 | 平安科技(深圳)有限公司 | 异常用户的识别方法、装置、电子设备以及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140244125A1 (en) * | 2013-02-27 | 2014-08-28 | Navteq B.V. | Driver behavior from probe data for augmenting a data model |
| CN104038929A (zh) * | 2014-05-09 | 2014-09-10 | 宇龙计算机通信科技(深圳)有限公司 | 网络访问异常识别方法和网络访问异常识别装置 |
| CN105357217A (zh) * | 2015-12-02 | 2016-02-24 | 北京北信源软件股份有限公司 | 基于用户行为分析的数据盗取风险评估方法和系统 |
| CN107222472A (zh) * | 2017-05-26 | 2017-09-29 | 电子科技大学 | 一种Hadoop集群下的用户行为异常检测方法 |
| CN107302547A (zh) * | 2017-08-21 | 2017-10-27 | 深信服科技股份有限公司 | 一种web业务异常检测方法及装置 |
| CN107645480A (zh) * | 2016-07-22 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 数据监控方法及系统、装置 |
| CN109040110A (zh) * | 2018-08-31 | 2018-12-18 | 新华三信息安全技术有限公司 | 一种外发行为检测方法及装置 |
-
2019
- 2019-02-28 CN CN201910150739.3A patent/CN109688166B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140244125A1 (en) * | 2013-02-27 | 2014-08-28 | Navteq B.V. | Driver behavior from probe data for augmenting a data model |
| CN104038929A (zh) * | 2014-05-09 | 2014-09-10 | 宇龙计算机通信科技(深圳)有限公司 | 网络访问异常识别方法和网络访问异常识别装置 |
| CN105357217A (zh) * | 2015-12-02 | 2016-02-24 | 北京北信源软件股份有限公司 | 基于用户行为分析的数据盗取风险评估方法和系统 |
| CN107645480A (zh) * | 2016-07-22 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 数据监控方法及系统、装置 |
| CN107222472A (zh) * | 2017-05-26 | 2017-09-29 | 电子科技大学 | 一种Hadoop集群下的用户行为异常检测方法 |
| CN107302547A (zh) * | 2017-08-21 | 2017-10-27 | 深信服科技股份有限公司 | 一种web业务异常检测方法及装置 |
| CN109040110A (zh) * | 2018-08-31 | 2018-12-18 | 新华三信息安全技术有限公司 | 一种外发行为检测方法及装置 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110493181A (zh) * | 2019-07-05 | 2019-11-22 | 中国平安财产保险股份有限公司 | 用户行为检测方法、装置、计算机设备及存储介质 |
| CN110334517A (zh) * | 2019-07-05 | 2019-10-15 | 北京可信华泰信息技术有限公司 | 可信策略的更新方法及装置、可信安全管理平台 |
| CN110365698A (zh) * | 2019-07-29 | 2019-10-22 | 杭州数梦工场科技有限公司 | 风险评估方法与装置 |
| CN110825757B (zh) * | 2019-10-31 | 2022-07-26 | 北京北信源软件股份有限公司 | 一种设备行为风险分析方法及系统 |
| CN110825757A (zh) * | 2019-10-31 | 2020-02-21 | 北京北信源软件股份有限公司 | 一种设备行为风险分析方法及系统 |
| CN110569493A (zh) * | 2019-11-05 | 2019-12-13 | 广东博智林机器人有限公司 | 一种平面设计框架的调整方法及系统 |
| CN111107054A (zh) * | 2019-11-21 | 2020-05-05 | 深信服科技股份有限公司 | 数据审计方法、装置、设备及存储介质 |
| CN111756745A (zh) * | 2020-06-24 | 2020-10-09 | Oppo(重庆)智能科技有限公司 | 告警方法、告警装置及终端设备 |
| CN112511372A (zh) * | 2020-11-06 | 2021-03-16 | 新华三技术有限公司 | 一种异常检测方法、装置及设备 |
| CN112507384A (zh) * | 2020-12-22 | 2021-03-16 | 北京明朝万达科技股份有限公司 | 一种数据外发行为的处理方法和装置 |
| CN112507384B (zh) * | 2020-12-22 | 2022-10-04 | 北京明朝万达科技股份有限公司 | 一种数据外发行为的处理方法和装置 |
| CN112685204A (zh) * | 2020-12-29 | 2021-04-20 | 北京中科闻歌科技股份有限公司 | 一种基于异常检测的社交机器人检测方法及装置 |
| CN112685204B (zh) * | 2020-12-29 | 2024-03-05 | 北京中科闻歌科技股份有限公司 | 一种基于异常检测的社交机器人检测方法及装置 |
| CN113723522B (zh) * | 2021-08-31 | 2023-06-16 | 平安科技(深圳)有限公司 | 异常用户的识别方法、装置、电子设备以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109688166B (zh) | 2021-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109688166A (zh) | 一种异常外发行为检测方法及装置 | |
| US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
| US11030311B1 (en) | Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise | |
| CN104468249B (zh) | 一种账号异常的检测方法及装置 | |
| US8443449B1 (en) | Silent detection of malware and feedback over a network | |
| WO2021121244A1 (zh) | 一种告警信息生成方法、装置、电子设备及存储介质 | |
| EP3420489B1 (en) | Cybersecurity systems and techniques | |
| US8738721B1 (en) | System and method for detecting spam using clustering and rating of E-mails | |
| US10135862B1 (en) | Testing security incident response through automated injection of known indicators of compromise | |
| US20210120022A1 (en) | Network security blacklist derived from honeypot statistics | |
| CN108038130B (zh) | 虚假用户的自动清理方法、装置、设备及存储介质 | |
| EP3108399A1 (en) | Scoring for threat observables | |
| JP2010250502A (ja) | 異常操作検出装置、異常操作検出方法、および異常操作検出プログラム | |
| JP2009020812A (ja) | 操作検知システム | |
| JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| EP3251291A1 (en) | Collaborative investigation of security indicators | |
| CN114003904B (zh) | 情报共享方法、装置、计算机设备及存储介质 | |
| JP2018196054A (ja) | 評価プログラム、評価方法および情報処理装置 | |
| CN109040110A (zh) | 一种外发行为检测方法及装置 | |
| CN109639726A (zh) | 入侵检测方法、装置、系统、设备及存储介质 | |
| CN106571971B (zh) | 检测空壳网站的方法、装置及系统 | |
| CN107766737B (zh) | 一种数据库审计方法 | |
| US20200382470A1 (en) | Computer program and method for detecting, analyzing and classifying safe, non-malicous processes or files on a computing device | |
| JP2015132942A (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
| CN116016174A (zh) | 规则库升级方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |