CN110020687A - 基于操作人员态势感知画像的异常行为分析方法及装置 - Google Patents

Abstract

本申请提供了一种基于操作人员态势感知画像的异常行为分析方法及装置，其中，该方法包括：将操作人员数据划分成群体数据集和个人数据集；对群体数据集和个人数据集中的所述操作人员数据添加行为标记，所述行为标记至少包括异常行为标记；以所述群体数据集和所述个人数据集作为两个训练维度，训练异常行为分析模型；根据所述异常行为分析模型生成操作人员的态势感知画像。本申请的技术方案，利用操作人员的群体数据特征和个人数据特征两个维度，训练了异常行为分析模型，并通过该异常行为分析模型对未知的操作人员数据进行态势感知，及时发现未来可能出现的网络威胁，使企业对操作人员的安全管控上变得主动，提高企业防范网络风险的能力。

Description

基于操作人员态势感知画像的异常行为分析方法及装置

技术领域

本申请涉及信息安全技术领域，尤其涉及一种基于操作人员态势感知画像的异常行为分析方法及装置。

背景技术

随着网络技术的高速发展，网络攻击手段也不断丰富，由此导致的网络安全问题日益突出，网络安全威胁日趋严重。企业的网络安全管理一方面是对操作人员的行为的安全管控，例如，现有技术的针对操作人员的行为的安全管控可以通过以下的方式实现：第一种方式是对企业IT系统的业务使用人员、企业内部的维护人员、第三方维护人员等进行账户、认证、授权和访问控制等管控；第二种方式是对操作人员的行为进行安全审计，包括采集操作人员的相关安全日志、事件和网络流量数据进行分析和报警。

其中，第一种安全管控方式主要偏重于安全防御，即对操作人员的权限进行管控，这种安全管控方式在面对复杂和隐藏的网络安全攻击手段时显得保守和被动。第二种安全管控方式是通过安全日志、事件等信息分析安全人员已经产生的行为去发现威胁，只能对网络威胁进行事后即时分析，对未来的威胁态势分析能力较弱。

因此，现有技术的针对操作人员的行为的安全管控方法，无论从管理手段和分析手段上都显得保守和被动，无法预知未来可能出现的网络威胁。

发明内容

本申请实施例提供了一种基于操作人员态势感知画像的异常行为分析方法、装置及服务器，以解决现有技术针对操作人员的行为的安全管控方法，在管理手段和分析手段上保守和被动，无法预知未来可能出现的网络威胁的问题。

第一方面，根据本申请的实施例，提供了一种基于操作人员态势感知画像的异常行为分析方法，包括：

将操作人员数据划分成群体数据集和个人数据集；

对群体数据集和个人数据集中的所述操作人员数据添加行为标记，所述行为标记至少包括异常行为标记；

以所述群体数据集和所述个人数据集作为两个训练维度，训练异常行为分析模型；

根据所述异常行为分析模型生成操作人员的态势感知画像。

第二方面，根据本申请的实施例，提供了一种基于操作人员态势感知画像的异常行为分析装置，包括：

数据划分模块，用于将操作人员数据划分成群体数据集和个人数据集；

数据标记模块，用于对群体数据集和个人数据集中的所述操作人员数据添加行为标记，所述行为标记至少包括异常行为标记；

训练模块，用于以所述群体数据集和所述个人数据集作为两个训练维度，训练异常行为分析模型；

预测模块，用于根据所述异常行为分析模型生成操作人员的态势感知画像。

第三方面，根据本申请的实施例，提供了一种服务器，包括：

包括存储器和处理器；

所述存储器，用于存储操作人员数据和态势感知画像，以及所述处理器的可执行程序；

所述处理器被配置为执行以下程序步骤：

将操作人员数据划分成群体数据集和个人数据集；

对群体数据集和个人数据集中的所述操作人员数据添加行为标记，所述行为标记至少包括异常行为标记；

以所述群体数据集和所述个人数据集作为两个训练维度，训练异常行为分析模型；

根据所述异常行为分析模型生成操作人员的态势感知画像。

由以上技术方案可知，本申请实施例提供了一种基于操作人员态势感知画像的异常行为分析方法、装置及服务器，其中所述方法包括：将操作人员数据划分成群体数据集和个人数据集；对群体数据集和个人数据集中的所述操作人员数据添加行为标记，所述行为标记至少包括异常行为标记；以所述群体数据集和所述个人数据集作为两个训练维度，训练异常行为分析模型；根据所述异常行为分析模型生成操作人员的态势感知画像。本申请实施例提供的技术方案，利用操作人员的群体数据特征和个人数据特征两个维度，训练了异常行为分析模型，并通过该异常行为分析模型对未知的操作人员数据进行态势感知，及时发现未来可能出现的网络威胁，从而使企业对操作人员的安全管控上变得主动，提高企业防范网络风险的能力。

附图说明

为了更清楚地说明本申请的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提的一种信息提取方法的流程图；

图2为本申请实施例提供的一种基于操作人员态势感知画像的异常行为分析方法步骤S110的流程图；

图3为本申请实施例提供的一种基于操作人员态势感知画像的异常行为分析方法步骤S120的流程图；

图4为表征操作人员行为特征数据的特征坐标系的示意图；

图5为本申请实施例提供的一种获取操作人员数据的流程图；

图6为本申请实施例提供的一种基于操作人员态势感知画像的异常行为分析方法步骤S020的流程图；

图7为本申请实施例提的一种基于操作人员态势感知画像的异常行为分析装置的示意图；

图8为本申请实施例提的一种服务器的示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请中的技术方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

企业的网络安全管理一个重要的方面是对操作人员的行为的安全管控。其中，安全管控所涉及到的操作人员可包括企业IT系统的业务使用人员(例如：IT系统的开发人员、运营人员等)、企业内部的维护人员(例如：运维人员、测试人员等)、第三方维护人员(例如：具有一定系统权限的非企业员工)等。虽然现有技术中对这些操作人员提供了包括账户控制、认证控制、授权控制和访问控制等一些安全管控措施，但这些安全管控措施复杂和隐藏的网络安全攻击手段时显得保守和被动，并且无法通过操作人员当前的行为预知未来可能出现的网络威胁。一旦一些操作人员有意识或者无意地利用自身权限或者利用IT系统可能存在的越权漏洞进行危险操作，就会给企业IT系统的安全运行带来威胁和隐患，可能导致数据丢失、损害或者泄露，甚至IT系统瘫痪，造成企业利益的损失。

为了解决现有技术中针对操作人员的行为的安全管控方法，在管理手段和分析手段上保守和被动，无法预知未来可能出现的网络威胁的问题，本申请实施例提供了一种基于操作人员态势感知画像的异常行为分析方法、装置及服务器。

下面是本申请的方法实施例。

图1是本申请实施例提的一种信息提取方法的流程图。该方法可以应用于服务器、PC(个人电脑)、平板电脑、手机、虚拟现实设备和智能穿戴设备等多种设备中。

参见图1所示，该方法可以包括以下步骤：

步骤S110，将操作人员数据划分成群体数据集和个人数据集。

其中，每个群体数据集包含一个用户群的所有操作人员的操作人员数据，并且，该用户群中的所有操作人员具有相同的IT系统权限，可以用同一个评价标准去评价同一个用户群中的操作人员的行为。例如，以某个企业的IT系统所有业务使用人员作为一个用户群，将用户群中所有业务使用人员的数据汇聚在一起，可以形成业务使用人员的群体数据集。例如。将企业自有维护人员作为一个用户群，将用户群中所有企业自有维护人员的数据汇集在一起，可以形成企业自有人员的群体数据集。对于上述两个群体数据集来说，每个群体数据集对应一个IT系统权限，并且这两个群体数据集对应的IT系统权限不同。

由于同一个用户群中的所有操作人员的行为可以用同一个评价标准去评价，因此，每个群体数据集中包含的操作人员数据就可以用同一个标准去分类，例如分类成正常行为数据或者异常行为数据等，从而，可以为后续预测训练模型提供群体维度的已分类样本数据。

另外，每个个人数据集包含某一个操作人员的所有数据。例如，可以将某个企业自有运维人员的所有数据汇集在一起，生成该企业自有运维人员的个人数据集。

由于每个操作人员都会拥有一个指定的IT系统权限，因此，每个个人数据集中包含的操作人员数据也可以根据该IT系统权限进行分类，例如分类成正常行为数据或者异常行为数据等，从而，可以为后续预测训练模型提供个体维度的已分类样本数据。

在一种可选择的实施方式中，操作人员数据具体可以包括：与群体数据集或者个人数据集对应的操作人员身份数据，以及每个操作人员的操作人员行为数据和约束类数据。其中，操作人员行为数据可以采集自IT系统日志中记录的操作人员执行操作行为时产生的历史数据，并可以随着操作人员的操作行为的进行而实时更新；约束类数据可以由企业的网络安全管理者配置产生，例如：可以配置企业内网的IP地址库，以及，根据允许接入企业IT系统的外网IP地址段配置的外网IP库，以及，根据企业IT系统允许使用的网络端口配置的端口数据库，以及，根据IT系统指定的数据传输协议配置的协议数据库等。

例如：操作人员身份数据可以包括：

身份管理类数据D101：主账号数据、组织机构数据、主账号管理组数据、角色数据等。

例如：操作人员行为数据可以包括：

人员行为及操作数据D104：应用系统操作数据、资源操作数据、数据库操作数据、单点登陆日志数据等。

流量数据D105：流量识别及解析数据、访问关系数据、流量大小及方向数据、流量协议数据、流量分布及趋势数据等。

企业业务类数据D108：业务输入、输出数据等。

其他数据D109：操作地址类数据、操作时间段数据等。

例如：约束类数据可以包括：

资产相关数据D102：资源数据、资源指纹数据、资源组数据等。

权限数据D103：操作类授权数据、管理类授权数据等。

安全威胁类数据D106：威胁情报类数据、网络威胁数据、安全事件数据等。

企业管理类数据D107：企业管理规范、管理流程数据等。

内置分析库D110：IP地址库、外网IP库、端口数据库、协议数据库等。

需要补充说明的是，例如上述“身份管理类数据”等数据类别后面的编码“D101”为类别标记，由字符和数字编号组成，用于指代类别名称，即“D101”就是指“身份管理类数据”。

另外，操作人员数据的内容和分类可以随着企业业务的开展不断丰富和完善。

参见图2，为本申请实施例提供的一种基于操作人员态势感知画像的异常行为分析方法步骤S110的流程图。

在一种可选择的实施方式中，如图2所示，步骤S110可以包括以下步骤：

其中，将操作人员数据划分成群体数据集包括：

步骤S111，根据所述操作人员身份数据将操作人员数据划分成至少一个群体数据集。

首先，根据操作人员身份数据，例如主账号数据、组织机构数据、主账号管理组数据、角色数据等，可将操作人员分成不同的用户群，例如：运营人员用户群，测试人员用户群、第三方维护人员用户群等；其中，每个用户群中的所有操作人员具有相同的IT系统权限，可以用同一个评价标准去评价同一个用户群中的操作人员的行为。然后，将同一用户群的所有操作人员的数据汇聚在一起作为一个群体数据集。

另外，将操作人员数据划分成个人数据集包括：

步骤S112，根据所述操作人员身份数据对每个操作人员的操作人员数据创建个人数据集。

例如，身份管理类数据D101中的“账号：AQ3001”对应一个第三方运维人员，该第三方运维人员的操作人员数据就可以形成一个个人数据集。

步骤S120，对群体数据集和个人数据集中的所述操作人员数据添加行为标记。

其中，行为标记可以包括对表征操作人员异常行为的操作人员数据添加的异常行为标记，以及，对表征操作人员正常行为的操作人员数据添加的正常行为标记。

示例地，在第三方维护人员对应的一个群体数据集中包含以下操作人员数据：

操作人员身份数据：

身份管理类数据D101：

账号：AQ3001

角色：第三方维护人员

操作人员行为数据

人员行为及操作数据D104：

数据库操作：数据导出

操作时间：2018-09-3023:30:23

操作IP：60.231.83.24

那么，如果该企业只允许第三方维护人员在9:30:00-16:30:00进行数据操作，并且通过操作IP发现，那么操作人员通过非正常访问路径访问业务系统，则该操作人员产生绕行访问资源异常行为，那么，该操作人员行为数据就是异常数据，表征了第三方维护人员的异常操作行为，因此，可对该操作人员行为数据添加异常行为标记。

由此，通过对数据集中的操作人员数据添加行为标记，将数据集中的异常数据和正常的数据进行明确地分类，从而，可以使用这些已经标记的操作人员数据去训练异常行为分析模型，从而使异常行为分析模型具备对未知操作人员数据进行异常行为预测的能力。

参见图3，为本申请实施例提供的一种基于操作人员态势感知画像的异常行为分析方法步骤S120的流程图。

在一种可选择的实施方式中，如图3所示，步骤S120可以包括以下步骤：

步骤S121，从所述群体数据集和所述个人数据集中提取操作人员行为特征数据。

由于异常行为分析模型通常为数学模型，因此，需要使用数学参数作为变量来训练该模型，因此，为了将群体数据集和个人数据集转化成能够被异常行为分析模型使用的数学参数，本申请在步骤S121中首先从所述群体数据集和所述个人数据集中提取操作人员行为特征数据。其中，行为特征数据是操作人员行为在数学空间的一种表征形式，行为特征数据可以包括分类形式：

例如，行为特征数据可以分为Low level特征和High level特征。其中，Low level特征主要是指一些不需要或者极少需要人工处理和干预的原始特征，例如操作人员的访问时间、主账号数据等；High level是指经过复杂处理，或者结合部分业务逻辑和规则、模型得到的特征，例如对操作行为进行打分或标注的特征等。

例如，行为特征数据可以分为稳定特征与动态特征。其中，稳定特征是变化频率(更新频率)较少的特征，例如操作人员的主账号数据等，在较长的时间段内都不会发生变化；动态特征是更新变化比较频繁的特征，有些甚至是实时计算得到的特征，例如流量大小及方向数据、网络威胁数据等。

例如，行为特征数据可以分为二值特征、连续特征和枚举特征。其中，二值特征主要是0/1特征，即特征只取两种值：0或者1，例如操作人员是否登陆，登陆为1，未登录为0；连续值特征是取值为有理数的特征，特征取值个数不定，例如安全事件计数，特征取值为是0～正无穷；枚举值特征主要是特征有固定个数个可能值，例如操作人员可能访问业务系统中的五个数据库，分别为：数据库1、数据库2、……、数据库5。

在实际的使用中，我们可以对不同类型的特征进行转换，例如将枚举特征或者连续特征处理为二值特征。例如操作人员可能访问业务系统中的五个数据库可以转换成5个二值特征：是否访问数据库1、是否访问数据库2、……、是否访问数据库5，由此，该枚举值特征转换成一个5维的向量形式[0，1，1，1，1]，每个维度代表一个数据库，维度值为1表示访问数据库，维度值为0表示未访问数据库。

另外，群体数据集和个人数据集可分别对应一个训练维度，每个训练维度在数学层面上可对应一个特征坐标系，数据集中的操作人员数据可转化成该特征坐标系中的一个坐标点，那么整个数据集中的操作人员数据就可以转化成该特征坐标系中的坐标分布，如图4所示。

步骤S122，根据所述群体数据集和所述个人数据集中的约束类数据生成操作人员行为基线。

例如，通过人员行为及操作数据D104、资产相关数据D102、权限数据DS103和流量数据D105等，可以发现操作人员通过非正常路径访问业务系统，则说明该操作人员产生绕行访问资源的异常行为；或者，通过企业业务数据D108、权限数据D103，可以发现操作人员访问某个应用系统的非授权页面，则说明该操作人员产生了越权访问的异常行为；或者，其他数据D109，发现操作人员在非操作时间登陆业务系统，则说明该操作人员存在违反操作时间策略的异常行为。基于大量的操作人员行为数据与约束类数据之间的数据关联，就可以确定出操作人员行为基线。

具体来说，操作人员行为基线可以是特征坐标系中的一条或多条特征曲线，用于将坐标系中表征操作人员行为数据的坐标点进行分界；那么，表征用户异常行为的操作人员行为特征数据分布在操作人员行为基线的一侧，而表征用户正常行为的操作人员行为特征数据分布在操作人员行为基线的另一侧；进一步地，位于操作人员行为基线附近(例如操作人员行为基线两侧预设范围内)的操作人员行为特征数据就可以表征用户的疑似异常行为。

步骤S123，根据所述操作人员行为基线对表征操作人员异常行为的操作人员行为特征数据添加异常行为标记。

例如，对特征坐标系中位于操作人员行为基线一侧的表征操作人员异常行为的所有操作人员行为特征数据添加异常行为标记；对特征坐标系中位于操作人员行为基线另一侧的表征操作人员正常行为的所有操作人员行为特征数据添加正常行为标记。

进一步地，根据操作人员行为特征数据在特征坐标系中与操作人员行为基线距离的大小，异常行为标记可以分为多个级别。例如：操作人员行为特征数据与操作人员行为基线距离越大，则异常行为标记的级别越高，操作人员行为特征数据与操作人员行为基线距离越小，则异常行为标记的级别越低；并且，可进一步对表征疑似异常行为的操作人员行为特征数据添加最低级别的异常行为标记。

步骤S130，以所述群体数据集和所述个人数据集作为两个训练维度，训练异常行为分析模型。

可选的，以所述群体数据集包含的操作人员数据和行为标记作为异常行为分析模型的其中一个维度的指标变量，以所述个人数据集包含的操作人员数据和行为标记作为异常行为分析模型的另一个维度的指标变量，训练所述异常行为分析模型。

其中，所述异常行为分析模型可以为逻辑回归模型、线性回归模型，也可以是循环神经网络(recurrent neural networks，RNN)模型、长短期记忆网络模型(long-shorttermmemory，LSTM)、卷积神经网络模型(convolutional neural networks，CNN)，以及其他神经网络模型。当异常行为分析模型为逻辑回归模型时，所述指标变量包括训练逻辑回归模型所需的自变量和因变量，所述自变量可以为操作人员数据，所述因变量可以为操作人员数据对应的行为标记。当异常行为分析模型为神经网络模型时，指标变量包括神经网络的输入参数和输出参数，其中，输入参数可以为操作人员数据，输出参数可以为操作人员数据对应的行为标记。

具体地，当异常行为分析模型为逻辑回归模型时，可以将操作人员行为特征数据作为逻辑回归模型的自变量，将行为标记作为逻辑回归模型的因变量，去训练逻辑回归模型的内部参数，从而使逻辑回归模型具备异常行为预测能力。

另外，需要补充说明的是，在步骤S130中，可以对每个训练维度分别使用一个异常行为分析模型进行训练，然后对异常行为分析模型的输出端进行耦合，也可以在一个异常行为分析模型中同时训练两个维度，是异常行为分析模型输入两个维度的综合预测结果。

由此，本申请的方法，以群体数据集和个人数据集作为异常行为分析模型的两个训练维度，从而使训练得到的异常行为分析模型在预测未知操作人员数据时能够从群体和个人两个维度去生成预测结果，提高预测能力。

步骤S140，根据所述异常行为分析模型生成操作人员的态势感知画像。

本申请在步骤S110-步骤S130中，可以使用某一时间节点之前的操作人员数据训练得到异常行为分析模型，那么在该时间节点之后，伴随着操作人员的操作人员行为还会实时产生新的操作人员数据，此时，本申请在步骤S140中，就可以使用异常行为分析模型对这些实时产生的操作人员数据进行预测，生成态势感知画像。

例如，态势感知画像可以是基于多个维度的操作人员分析画像，该分析画像可以包括：用户的异常行为预警级别；触发异常行为预警的异常数据；所述异常数据包括异常行为对应的时间维度和空间维度的数据，以及，根据操作人员行为数据和约束类数据生成的关联分析结果，等等。从而为后续输出预警结果、将预测结果进行视图展示、以及其他业务系统调用等提供数据来源。

具体地，当异常行为分析模型为逻辑回归模型时，可以首先从待分析操作人员数据中提取出操作人员行为特征数据；然后，将操作人员行为特征数据输入到逻辑回归模型中；逻辑回归模型会将输入的操作人员行为特征数据与操作人员行为基线进行比较，并根据比较结果输出态势感知画像。另外，对于贴近操作人员行为基线的操作人员行为特征数据，逻辑回归模型可以将其作为疑似异常行为数据输出，并且疑似异常行为数据在添加行为标记之后，可以用于继续训练异常行为分析模型。

参见图5，为本申请实施例提供的获取操作人员数据的流程图。

如图5所示，获取操作人员数据包括以下步骤：

步骤S010，将作为训练样本的原始数据进行分类，并设置每个分类的类别标记。

其中，原始数据可以来自于IT系统中保存的各类数据以及实时产生的各类日志数据、监测数据等，例如：操作人员的账号数据、账号的管理组数据、操作人员的角色数据、操作类授权数据、管理类授权数据、系统资源操作日志、操作人员登陆日志、网络活动日志、网络威胁日志，等等。

可选的，可以根据步骤S110中示出的分类方式对原始数据进行分类，即：将原始数据分成操作人员身份数据，以及所述操作人员身份数据对应的操作人员行为数据和约束类数据。关于对原始数据进行分类，本领域技术人员可参照本申请步骤S110中示出的数据分类方式，也可以根据自身实际需求去设置分类，此处不做具体限定。

另外，类别标记是添加在数据类别名称后面的编码，例如“身份管理类数据”后面的“D101”，用于指代类别名称，即“D101”就是指“身份管理类数据”。通过类别标记迅速定位到某一个数据类别，便于对数据类别的管理。

步骤S020，对已分类的原始数据进行数据清洗和数据标准化，得到所述操作人员数据。

由于原始数据的来源广泛，因此会存在不同的数据格式，并且还可能存在数据冗余、数据缺失、数据错误、以及噪声数据等缺陷。因此，在步骤S020中，对已分类的原始数据清洗和数据标准化，以去除上述缺陷，得到可用于训练异常行为分析模型的操作人员数据。

参见图6，为本申请实施例提供的一种基于操作人员态势感知画像的异常行为分析方法步骤S020的流程图。

在一种可选择的实施方式中，如图6所示，步骤S020可以包括以下步骤：

步骤S021，对原始数据进行数据清洗，以去除冗余数据，并实现数据补全。

具体地，数据清洗可以包括通过数据比对的方式去冗余数据；以及，通过清洗规则去除错误数据(例如：可以对IP地址数据设置格式规则，当原始数据中出现了不符合格式规则的IP地址时，则去除所述IP地址)；以及，通过数据关联的方法，对缺失的数据进行补全；等等。

步骤S022，对数据清洗后的原始数据进行数据过滤，以去除无用数据。

例如，当仅需要对第三方运维人员的操作行为进行分析时，仅需要使用第三方运维人员的数据去训练异常行为分析模型即可，此时，非第三方运维人员的数据就都属于无用数据。去除无用数据可减少数据量，并提高训练异常行为分析模型的专注度。

步骤S023，根据预设的数据规则库，将原始数据转化成同一数据结构的标准化数据。

其中，数据规则库建立了从原始数据到预设的标准数据结构之间的映射，通过这个映射，将原始数据中的字段对应地转化成标准数据结构中的字段，从而实现数据的标准化，便于进行数据补全和数据分析。

步骤S024，根据操作人员身份数据和约束类数据，对操作人员行为数据进行补全。

例如，以身份管理类数据D101、资产相关数据D102、权限数据D103、其他数据D109和内置分析库D110作为基础类数据，并将基础类数据补全到人员行为及操作数据D104、流量数据D105和安全威胁类数据D106中，从而使每条数据表达的内容给更丰富，便于后续进行数据分析。

步骤S025，根据操作人员身份数据，对补全后的标准化数据添加数据标签。

例如，可对运维人员对应的标准化数据添加“运维人员”标签。从而，便于对数据进行识别和维护。

由以上技术方案可知，本申请实施例提供了一种基于操作人员态势感知画像的异常行为分析方法，包括：将操作人员数据划分成群体数据集和个人数据集；对群体数据集和个人数据集中的所述操作人员数据添加行为标记，所述行为标记至少包括异常行为标记；以所述群体数据集和所述个人数据集作为两个训练维度，训练异常行为分析模型；根据所述异常行为分析模型生成操作人员的态势感知画像。本申请实施例提供的技术方案，利用操作人员的群体数据特征和个人数据特征两个维度，训练了异常行为分析模型，并通过该异常行为分析模型对未知的操作人员数据进行态势感知，及时发现未来可能出现的网络威胁，从而使企业对操作人员的安全管控上变得主动，提高企业防范网络风险的能力。

下面是本申请的装置实施例，可用于执行本申请的方法实施例，该装置包括用于执行本申请的方法实施例的各个步骤的软件模块。对于本申请装置实施例中未披露的细节，请参照本申请方法实施例。

图7是本申请实施例提的一种基于操作人员态势感知画像的异常行为分析装置的示意图。该装置可以应用于服务器、PC(个人电脑)、平板电脑、手机、虚拟现实设备和智能穿戴设备等多种设备中。

参见图7所示，该装置可以包括：

数据划分模块210，用于将操作人员数据划分成群体数据集和个人数据集；

数据标记模块220，用于对群体数据集和个人数据集中的所述操作人员数据添加行为标记；

训练模块230，用于以所述群体数据集和所述个人数据集作为两个训练维度，训练异常行为分析模型；

预测模块240，用于根据所述异常行为分析模型生成操作人员的态势感知画像；

其中，所述行为标记至少包括异常行为标记。

由以上技术方案可知，本申请实施例提供了一种基于操作人员态势感知画像的异常行为分析装置，用于将操作人员数据划分成群体数据集和个人数据集；对群体数据集和个人数据集中的所述操作人员数据添加行为标记，所述行为标记至少包括异常行为标记；以所述群体数据集和所述个人数据集作为两个训练维度，训练异常行为分析模型；根据所述异常行为分析模型生成操作人员的态势感知画像。本申请实施例提供的技术方案，利用操作人员的群体数据特征和个人数据特征两个维度，训练了异常行为分析模型，并通过该异常行为分析模型对未知的操作人员数据进行态势感知，及时发现未来可能出现的网络威胁，从而使企业对操作人员的安全管控上变得主动，提高企业防范网络风险的能力。

下面是本申请的硬件实施例，提供了一种服务器，可用于执行本申请的方法实施例，该服务器包括用于执行本申请的方法实施例的各个步骤的硬件模块。对于本申请硬件实施例中未披露的细节，请参照本申请方法实施例。

图8是本申请实施例提的一种服务器的示意图。

参见图8所示，该服务器可以包括：

包括存储器310和处理器320；

所述存储器310，用于存储操作人员数据和态势感知画像，以及所述处理器320的可执行程序；

所述处理器320被配置为执行以下程序步骤：

将操作人员数据划分成群体数据集和个人数据集；

对群体数据集和个人数据集中的所述操作人员数据添加行为标记；

以所述群体数据集和所述个人数据集作为两个训练维度，训练异常行为分析模型；

根据所述异常行为分析模型生成操作人员的态势感知画像；

其中，所述行为标记至少包括异常行为标记。

由以上技术方案可知，本申请实施例提供了一种服务器，用于执行以下程序步骤：将操作人员数据划分成群体数据集和个人数据集；对群体数据集和个人数据集中的所述操作人员数据添加行为标记，所述行为标记至少包括异常行为标记；以所述群体数据集和所述个人数据集作为两个训练维度，训练异常行为分析模型；根据所述异常行为分析模型生成操作人员的态势感知画像。本申请实施例提供的技术方案，利用操作人员的群体数据特征和个人数据特征两个维度，训练了异常行为分析模型，并通过该异常行为分析模型对未知的操作人员数据进行态势感知，及时发现未来可能出现的网络威胁，从而使企业对操作人员的安全管控上变得主动，提高企业防范网络风险的能力。

本申请可用于众多通用或专用的计算系统环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。

本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

本领域技术人员在考虑说明书及实践这里公开的申请后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

Claims (10)

1.一种基于操作人员态势感知画像的异常行为分析方法，其特征在于，包括：

将操作人员数据划分成群体数据集和个人数据集；

对群体数据集和个人数据集中的操作人员数据添加行为标记，所述行为标记至少包括异常行为标记；

以所述群体数据集和所述个人数据集作为两个训练维度，训练异常行为分析模型；

根据所述异常行为分析模型生成操作人员的态势感知画像。

2.根据权利要求1所述的方法，其特征在于，所述操作人员数据包括：

与群体数据集或者个人数据集对应的操作人员身份数据，以及每个操作人员的操作人员行为数据和约束类数据。

3.根据权利要求2所述的方法，其特征在于，所述将操作人员数据划分成群体数据集和个人数据集，包括：

根据所述操作人员身份数据将操作人员数据划分成至少一个群体数据集；

根据所述操作人员身份数据对每个操作人员的操作人员数据创建个人数据集。

4.根据权利要求2所述的方法，其特征在于，所述对群体数据集和个人数据集中的所述操作人员数据添加行为标记，包括：

从所述群体数据集和所述个人数据集中提取操作人员行为特征数据；

根据所述群体数据集和所述个人数据集中的约束类数据生成操作人员行为基线；

根据所述操作人员行为基线对表征异常行为的操作人员行为特征数据添加异常行为标记。

5.根据权利要求2所述的方法，其特征在于，所述以群体数据集和所述个人数据集作为两个训练维度，训练异常行为分析模型，包括：

以所述群体数据集包含的操作人员数据和行为标记作为异常行为分析模型的其中一个维度的指标变量，以所述个人数据集包含的操作人员数据和行为标记作为异常行为分析模型的另一个维度的指标变量，训练所述异常行为分析模型；

其中，所述异常行为分析模型为逻辑回归模型，所述指标变量包括训练逻辑回归模型所需的自变量和因变量，所述自变量为操作人员数据，所述因变量为操作人员数据对应的行为标记。

6.根据权利要求2所述的方法，所述操作人员数据通过以下方式获得：

将作为训练样本的原始数据进行分类，并设置每个分类的类别标记；

对已分类的原始数据进行数据清洗和数据标准化，得到所述操作人员数据。

7.根据权利要求6所述的方法，所述对每个分类的原始数据清洗和数据标准化，包括：

对原始数据进行数据清洗，以去除冗余数据，并实现数据补全；

对数据清洗后的原始数据进行数据过滤，以去除无用数据；

根据预设的数据规则库，将原始数据转化成同一数据结构的标准化数据；

根据操作人员身份数据和约束类数据，对操作人员行为数据进行补全；

根据操作人员身份数据，对补全后的标准化数据添加数据标签。

8.根据权利要求1所述的方法，其特征在于，所述态势感知画像，包括：

操作人员的异常行为预警级别；触发异常行为预警的异常数据；所述异常数据包括异常行为对应的时间维度和空间维度的数据，以及，根据操作人员行为数据和约束类数据生成的关联分析结果。

9.一种基于操作人员态势感知画像的异常行为分析装置，其特征在于，包括：

数据划分模块，用于将操作人员数据划分成群体数据集和个人数据集；

数据标记模块，用于对群体数据集和个人数据集中的所述操作人员数据添加行为标记，所述行为标记至少包括异常行为标记；

训练模块，用于以所述群体数据集和所述个人数据集作为两个训练维度，训练异常行为分析模型；

预测模块，用于根据所述异常行为分析模型生成操作人员的态势感知画像。

10.一种服务器，其特征在于，包括存储器和处理器；

所述存储器，用于存储操作人员数据和态势感知画像，以及所述处理器的可执行程序；

所述处理器被配置为执行以下程序步骤：

将操作人员数据划分成群体数据集和个人数据集；

对群体数据集和个人数据集中的所述操作人员数据添加行为标记，所述行为标记至少包括异常行为标记；

以所述群体数据集和所述个人数据集作为两个训练维度，训练异常行为分析模型；

根据所述异常行为分析模型生成操作人员的态势感知画像。