CN110825757B - 一种设备行为风险分析方法及系统 - Google Patents

一种设备行为风险分析方法及系统 Download PDF

Info

Publication number
CN110825757B
CN110825757B CN201911054529.0A CN201911054529A CN110825757B CN 110825757 B CN110825757 B CN 110825757B CN 201911054529 A CN201911054529 A CN 201911054529A CN 110825757 B CN110825757 B CN 110825757B
Authority
CN
China
Prior art keywords
equipment
behavior
risk
access
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911054529.0A
Other languages
English (en)
Other versions
CN110825757A (zh
Inventor
林皓
汪茹洋
阚佳男
戴祥华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Public Security Research Center
Beijing VRV Software Corp Ltd
Original Assignee
Sichuan Public Security Research Center
Beijing VRV Software Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Public Security Research Center, Beijing VRV Software Corp Ltd filed Critical Sichuan Public Security Research Center
Priority to CN201911054529.0A priority Critical patent/CN110825757B/zh
Publication of CN110825757A publication Critical patent/CN110825757A/zh
Application granted granted Critical
Publication of CN110825757B publication Critical patent/CN110825757B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • G06F16/2358Change logging, detection, and notification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Human Resources & Organizations (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Economics (AREA)
  • Strategic Management (AREA)
  • Quality & Reliability (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Educational Administration (AREA)
  • Development Economics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Game Theory and Decision Science (AREA)
  • Computer Hardware Design (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明实施例提供一种设备行为风险分析方法及系统。该方法包括:获取设备行为特征,基于所述设备行为特征对设备进行标签定义,获取若干设备标签;基于所述若干设备标签构建设备画像模型,并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征;根据所述若干个数据特征构建设备风险评估模型,基于所述设备风险评估模型对所述设备行为进行评估,得到设备风险值;基于所述设备风险值获取识别所述设备的异常行为。本发明实施例通过构建设备画像模型以获得设备行为不同维度的数据特征,再通过设备风险评估模型来评估设备的风险值,进而标记出有异常行为的设备,通过标记设备的异常行为,对整个系统中人员的异常行为进行有效的补充。

Description

一种设备行为风险分析方法及系统
技术领域
本发明涉及信息安全技术领域,尤其涉及一种设备行为风险分析方法及系统。
背景技术
近年来,越来越多的企业和组织意识到业务操作系统、数据库等系统在日常管理和运营中发挥了重要作用。
将企业内部信息,其中包括很多机密信息的数字化、信息化、规范化的过程即为各企业或组织带来了便利,但如果以上信息保护不当,就会给这些组织和企业带来巨大的乃至无以估量的损失。而由于网络安全防护措施的架构越来越完善,很多内部信息的泄漏不再是由于防护措施的不足,而是因为内部人员由于某些原因泄漏了这些敏感信息。因此,防范内部威胁成为了近年来企业级网络安全防护的主要方向。目前的主要措施是很多安全公司根据各企业和组织的需求专门定制安全策略,并以权限的形式分派给不同的操作人员,很多敏感信息还实施职责分离等安全原则,也会审计对数据和系统的操作是否符合规定。但是作为对核心人员的监管,还没有很完美的解决方案。而现在的很多研究中对于合法权限的内部人员,对其行为的监管大部分都是基于人员账号的,通过分析某一账号的行为是否存在某些异常,而对其进行检测。
但是,很多情况下某一账号可能存在多人共用的情况,这时,对其操作的特征无法进行有效的评估,就会出现错误分析为异常行为,或者有异常行为而无法发现。
发明内容
本发明实施例提供一种设备行为风险分析方法及系统,用以解决现有技术中仅通过对账号的权限管理来实现对设备风险行为监管的缺陷。
第一方面,本发明实施例提供一种设备行为风险分析方法,包括:
获取设备行为特征,基于所述设备行为特征对设备进行标签定义,获取若干设备标签;
基于所述若干设备标签构建设备画像模型,并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征;
根据所述若干个数据特征构建设备风险评估模型,基于所述设备风险评估模型对所述设备行为进行评估,得到设备风险值;
基于所述设备风险值获取识别所述设备的异常行为。
优选地,所述获取若干设备标签,具体包括获取安全事件标签、使用人标签、业务系统标签和业务数据标签。
优选地,所述基于所述若干设备标签构建设备画像模型,并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征,具体包括:
获取所述安全事件标签,按照所述设备在预设时间段内关联的安全事件,统计与所述设备相关的每一类安全事件数量;
获取所述使用人标签,统计使用所述设备的人员分布情况;
获取所述业务系统标签,按照所述设备在所述预设时间段内访问的业务系统类型,统计所述设备发送的访问请求数量;
获取所述业务数据标签,按照所述设备在所述预设时间段内访问的若干个数据库,统计所述设备对所述若干个数据库的若干个操作记录数量。
优选地,所述统计所述设备的若干个操作记录数量,具体包括统计所述设备对所述若干个数据库的查询、新增、修改和删除的记录数量。
优选地,所述根据所述数据特征构建设备风险评估模型,基于所述设备风险评估模型对所述设备行为进行评估,得到设备风险值,具体包括:
对所述设备的业务数据异常访问行为进行检测和计算,得到业务数据访问风险值;
对所述设备的业务系统异常访问行为进行检测和计算,得到业务系统访问风险值。
优选地,所述业务数据异常访问行为包括数据访问量、数据访问量增速和所述设备与所述设备访问数据的业务相关性;
所述业务系统异常访问行为包括系统访问量、系统访问量增速和所述设备与所述设备访问系统的业务相关性。
优选地,所述对所述设备的业务数据异常访问行为进行检测和计算,以及所述对所述设备的业务系统异常访问行为进行检测和计算,具体包括:
采用离群点检测,得到若干个偏离程度;
采用离群点增速检测,得到若干个偏离增速程度;
采用计算相关性系数,得到若干个相关性指标。
第二方面,本发明实施例提供一种设备行为风险分析系统,包括:
获取模块,用于获取设备行为特征,基于所述设备行为特征对设备进行标签定义,获取若干设备标签;
构建画像模块,用于基于所述若干设备标签构建设备画像模型,并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征;
风险评估模块,用于根据所述若干个数据特征构建设备风险评估模型,基于所述设备风险评估模型对所述设备行为进行评估,得到设备风险值;
识别模块,用于基于所述设备风险值识别所述设备的异常行为。
第三方面,本发明实施例提供一种电子设备,包括:
存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现任一项所述一种设备行为风险分析方法的步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现任一项所述一种设备行为风险分析方法的步骤。
本发明实施例提供的设备行为风险分析方法及系统,通过构建设备画像模型以获得设备行为不同维度的数据特征,再通过设备风险评估模型来评估设备的风险值,进而标记出有异常行为的设备,通过标记设备的异常行为,实现对整个系统中人员的异常行为进行有效的补充。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种设备行为风险分析方法流程图;
图2为本发明实施例提供的一种设备行为风险分析系统结构图;
图3为本发明实施例提供的电子设备的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对现有技术中很多企业设备无法满足一人一号的情况,仅通过对账号的权限进行监测,无法准确识别设备的风险,本发明实施例提出的设备行为风险分析方法,可以通过分析该设备的日常操作及其业务相关性来分析该设备是否有异常行为,进而对其进行检测。
图1为本发明实施例提供的一种设备行为风险分析方法流程图,如图1所示,包括:
S1,获取设备行为特征,基于所述设备行为特征对设备进行标签定义,获取若干设备标签;
S2,基于所述若干设备标签构建设备画像模型,并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征;
S3,根据所述若干个数据特征构建设备风险评估模型,基于所述设备风险评估模型对所述设备行为进行评估,得到设备风险值;
S4,基于所述设备风险值获取识别所述设备的异常行为。
具体地,步骤S1中,首先获取设备的一系列行为特征,根据这些行为特征对设备进行标签定义,从而获得多个对应的设备标签。
步骤S2中,在获得的多个设备标签基础上,构建设备画像模型,使得对所有设备能进行快速、直观的了解,进一步在量化的设备画像模型基础上,获取在多个不同维度中设备行为对应的多个数据特征的描述。
步骤S3中,进一步地,根据多个数据特征值构建设备风险评估模型,能对设备行为进行具体的评估,从而输出设备风险值。
步骤S4中,有了具体的设备风险值,就能很方便直观地识别出设备的异常行为。
本发明实施例通过构建设备画像模型以获得设备行为不同维度的数据特征,再通过设备风险评估模型来评估设备的风险值,进而标记出有异常行为的设备,通过标记设备的异常行为,实现对整个系统中人员的异常行为进行有效的补充。
基于上述实施例,所述获取若干设备标签,具体包括获取安全事件标签、使用人标签、业务系统标签和业务数据标签。
具体地,对若干设备标签进行具体地定义,可归纳总结如表1所示:
Figure BDA0002256201890000051
本发明实施例通过对设备进行标签定义,细化了标签类型,方便用户对所有设备进行快速、直观的了解,并使系统可以对人员进行更为精准细致地监控。
基于上述任一实施例,所述基于所述若干设备标签构建设备画像模型,并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征,具体包括:
获取所述安全事件标签,按照所述设备在预设时间段内关联的安全事件,统计与所述设备相关的每一类安全事件数量;
获取所述使用人标签,统计使用所述设备的人员分布情况;
获取所述业务系统标签,按照所述设备在所述预设时间段内访问的业务系统类型,统计所述设备发送的访问请求数量;
获取所述业务数据标签,按照所述设备在所述预设时间段内访问的若干个数据库,统计所述设备对所述若干个数据库的若干个操作记录数量。
具体地,获取安全事件标签,对每个业务设备,按照该设备在预设时间段内,如连续五个工作日关联的安全事件,分别统计与之相关的每一类安全事件数量,首先是统计安全事件的分布情况:
假设与某个设备相关的安全事件的数量为k,每类安全事件在其中的占比分别为pi(i=1,…,k),则有
Figure BDA0002256201890000061
进一步地
Figure BDA0002256201890000062
表示与该设备相关的安全事件的分布情况;
当与该设备相关的安全事件的种类越多,每类安全事件的数量越平均时,则上述E值就越大;反之,则E值越小。
然后计算每类安全事件的数量走势及相关性,对每个统计期内的每类安全事件的数量,按照其时间顺序排列,以此序列来展现与每个业务设备相关的安全事件活动的趋势。
设安全事件X的数量序列为(x1,x2,…,xn),安全事件Y的数量序列为(y1,y2,…,yn),则X与Y的相关系数为
Cov(X,Y)=E[(X-μx)(Y-μy)]。
对于使用人标签,假设某台终端设备有k个业务人员登录过,每个业务人员在该终端上的登录次数在所有登录过该终端的业务人员的登录总次数中的占比分别为pi(i=1,…,k),则有
Figure BDA0002256201890000071
进一步地
Figure BDA0002256201890000072
表示该终端上的业务人员分布情况;
当在该终端上登录过的业务人员越多、各业务人员在该终端上的登录次数越平均时,则上述E值就越大;反之,则E值越小。
对于业务系统标签,同样按照设备在该设备在预设时间段内,如连续五个工作日内访问过的业务系统类型,分别统计其发送的访问请求的数量,首先是统计业务系统访问分布的情况:
假设某个设备访问过k个业务系统,该设备向每个业务系统发送的访问请求次数在其发出的全部请求次数中的占比分别为pi(i=1,…,k),则有
Figure BDA0002256201890000073
进一步地
Figure BDA0002256201890000074
表示该设备访问业务系统的分布情况;
当该设备访问的业务系统越多、在各业务系统上的访问请求次数越平均时,则上述E值就越大;反之,则E值越小。
然后计算每类业务系统访问量的走势及相关性,对每个统计期内的每类业务系统的访问量,按照其时间顺序排列,以此序列来展现每个业务设备相关的业务活动的趋势。
假设业务系统X的访问量序列为(x1,x2,…,xn),业务系统Y的访问量序列为(y1,y2,…,yn),则X与Y的相关系数为
Cov(X,Y)=E[(X-μx)(Y-μy)]。
对于业务数据标签,同样也是按照设备在预设时间段内,如连续五个工作日访问过的数据库,分别统计设备对访问过的数据库的一系列操作的记录数量,首先也是统计业务数据访问的分布情况:
假设某个设备访问过k个数据库,该设备向每个数据库查询获取的数据量在其查询获取的数据量中的占比分别为pi(i=1,…,k),则有
Figure BDA0002256201890000081
进一步地
Figure BDA0002256201890000082
表示该设备的数据库查询内容的分布情况;
当该设备访问的数据库越多、在各数据库上获取的数据数量分布越平均时,则上述E值就越大;反之,则E值越小。
然后计算业务数据访问走势及相关性,对每个统计期内的每类业务数据的访问量,按照其时间顺序排列,以此序列来展现每个业务设备对业务数据访问的趋势。
假设业务数据X的访问量序列为(x1,x2,…,xn),业务数据Y的访问量序列为(y1,y2,…,yn),则X与Y的相关系数为
Cov(X,Y)=E[(X-μx)(Y-μy)]。
此处,对于每个业务设备,依据《网络流量还原审计日志采集规范》中的数据库协议审计日志,生成以下统计数据:
(1)对设备名相同、数据库名相同的日志记录,统计其操作影响行数的总数;
(2)对设备名相同、数据库名相同的日志记录,统计其操作失败的次数;
(3)对每个设备统计其数据库操作失败的次数;
(4)对每个数据库统计其操作失败的次数。
另外,对于每个业务设备,依据《数据库审计日志采集规范》,生成以下统计数据:
(1)对设备名相同、数据库名相同、操作对象相同、操作类型相同的日志记录,统计其对应的影响行数;
(2)对源地址相同、数据库名相同、操作对象相同、操作类型相同的日志记录,统计其对应的影响行数;
(3)对设备名相同、源地址相同的日志记录,统计日志记录数量;
(4)对设备名相同、数据库名相同、操作对象相同的日志记录,统计其操作失败的日志记录数量。
本发明实施例通过获取四类设备标签,进一步将设备行为从多个维度进行量化和数据表达,便于后续风险识别中快速识别和判断。
基于上述任一实施例,所述统计所述设备的若干个操作记录数量,具体包括统计所述设备对所述若干个数据库的查询、新增、修改和删除的记录数量。
具体地,根据设备对数据库大概率的操作统计,具体的操作可分为统计设备对数据库查询、新增、修改和删除的记录数量。
基于上述任一实施例,所述根据所述数据特征构建设备风险评估模型,基于所述设备风险评估模型对所述设备行为进行评估,得到设备风险值,具体包括:
对所述设备的业务数据异常访问行为进行检测和计算,得到业务数据访问风险值;
对所述设备的业务系统异常访问行为进行检测和计算,得到业务系统访问风险值。
具体地,在构建了设备画像模型之后,获取设备行为在多维度的数据特征后,进一步构建设备风险评估模型,该模型是通过对设备行为大数据进行分析,根据行为的异常性,对其安全威胁进行评估。
对设备的风险评估分为两个部分,评估业务数据异常访问行为和评估业务系统异常访问行为。进一步地,分别对设备的业务数据异常访问行为进行检测和计算,得到业务数据访问风险值;对设备的业务系统异常访问行为进行检测和计算,得到业务系统访问风险值。
本发明实施例通过分析业务数据和业务系统两方面的风险,与设备画像模型中的业务数据标签和业务系统标签建立了数据映射关系,验证了设备画像模型在对设备行为的量化上的有效性和便捷性。
基于上述任一实施例,所述业务数据异常访问行为包括数据访问量、数据访问量增速和所述设备与所述设备访问数据的业务相关性;
所述业务系统异常访问行为包括系统访问量、系统访问量增速和所述设备与所述设备访问系统的业务相关性。
具体地,对每个业务设备,本发明实施例都采用“数据访问量、数据访问量增速和设备与设备访问数据的业务相关性”构成的三元组描述其数据访问行为,然后以这三个维度的线性组合来计算数据访问的风险值,这三个维度在线性组合中的权重值一般由熵权法来计算确定。
同理,采用“系统访问量、系统访问量增速和设备与设备访问系统的业务相关性”构成的三元组描述其系统访问行为,其三个维度在线性组合中的权重值也是由熵权法来计算确定。
本发明实施例对于业务数据异常访问行为和业务系统异常访问行为作了进一步地定义和分解,并计算三个维度的权重,对于识别风险程度具有更明确和清晰的判断依据。
基于上述任一实施例,所述对所述设备的业务数据异常访问行为进行检测和计算,以及所述对所述设备的业务系统异常访问行为进行检测和计算,具体包括:
采用离群点检测,得到若干个偏离程度;
采用离群点增速检测,得到若干个偏离增速程度;
采用计算相关性系数,得到若干个相关性指标。
具体地,对于业务数据异常访问行为从数据访问量离群点、数据访问量增速离群点和访问设备与被其访问数据的业务相关性三个方面进行检测和计算,具体过程如下:
1)离群点检测
此处提到的离群点检测有其特殊性。首先,业务数据访问量的数据分布是未知的,因此无法使用概率密度模型来检测离群点。其次,待检测的数据规模庞大,而KNN等聚类方法的计算量是是输入数据量的平方量级,因此也无法使用聚类方法来检测离群点。
本发明实施例采用以下公式来计算某位人员的数据访问量相对于其他人员的数据访问量的偏离程度:
Figure BDA0002256201890000111
其中,x为该设备的数据访问量,k为权重,k的取值依赖于业务设备的数据访问量的分布情况,因此k值可以说是这个数据集合的一个重要特征。这里期望的是在实际环境中,不论业务设备的数据访问量服从哪种概率分布,k值都是不敏感的。
2)业务设备与被其访问的数据的业务相关性
假设有一个业务设备A访问了某业务数据库D。我们分以下几种情况分别讨论业务设备A与数据库D的相关性。
I、数据库D是业务设备A最经常访问的数据库之一
由设备画像可知,业务设备A对数据库D的访问量有一个对应的占比值P,即业务设备A对数据库D的访问量占业务设备A全部数据访问量的比重。我们将此P值作为该设备与数据库D的相关性指标。
II、数据库D不是业务设备A最经常访问的数据库
计算该数据库D与业务设备A最经常访问的数据库之间的相关系数:
Cov(A,D)=Max(Px×E[(X-μx)(D-μD)])
其中μD为业务设备A对数据库D的访问量的均值,μx为业务设备A对经常访问的数据库X的访问量的均值,Px为业务设备A对数据库X的访问量占业务员A全部数据访问量的比重。取其中的最大值作为业务设备A与数据库D的相关性指标。
对于业务系统异常访问行为从系统访问量离群点、系统访问量增速离群点和访问设备与被其访问系统的业务相关性三个方面进行检测和计算,其计算过程和业务数据异常访问行为类似,此处不再赘述。
本发明实施例通过对设备风险模型的两个大的维度进行检测计算,并对每个大维度从三个变量进行多维度比较,从而得出较为准确和客观的风险评估值,实现了对整个系统中的异常行为检测进行了有效补充。
图2为本发明实施例提供的一种设备行为风险分析系统结构图,如图2所示,包括:获取模块21、构建画像模块22、风险评估模块23和识别模块24;其中:
获取模块21用于获取设备行为特征,基于所述设备行为特征对设备进行标签定义,获取若干设备标签;构建画像模块22用于基于所述若干设备标签构建设备画像模型,并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征;风险评估模块23用于根据所述若干个数据特征构建设备风险评估模型,基于所述设备风险评估模型对所述设备行为进行评估,得到设备风险值;识别模块24用于基于所述设备风险值识别所述设备的异常行为。
本发明实施例提供的系统用于执行上述对应的方法,其具体的实施方式与方法的实施方式一致,涉及的算法流程与对应的方法算法流程相同,此处不再赘述。
本发明实施例通过构建设备画像模型以获得设备行为不同维度的数据特征,再通过设备风险评估模型来评估设备的风险值,进而标记出有异常行为的设备,通过标记设备的异常行为,实现对整个系统中人员的异常行为进行有效的补充。
基于上述任一实施例,所述获取模块21中的所述获取若干设备标签,具体包括获取安全事件标签、使用人标签、业务系统标签和业务数据标签。
本发明实施例通过对设备进行标签定义,细化了标签类型,方便用户对所有设备进行快速、直观的了解,并使系统可以对人员进行更为精准细致地监控。
基于上述任一实施例,所述获取模块21包括:第一获取子模块211、第二获取子模块212、第三获取子模块213和第四获取子模块214;其中:
第一获取子模块211用于获取所述安全事件标签,按照所述设备在预设时间段内关联的安全事件,统计与所述设备相关的每一类安全事件数量;第二获取子模块212用于获取所述使用人标签,统计使用所述设备的人员分布情况;第三获取子模块213用于获取所述业务系统标签,按照所述设备在所述预设时间段内访问的业务系统类型,统计所述设备发送的访问请求数量;第四获取子模块214用于获取所述业务数据标签,按照所述设备在所述预设时间段内访问的若干个数据库,统计所述设备对所述若干个数据库的若干个操作记录数量。
本发明实施例通过获取四类设备标签,进一步将设备行为从多个维度进行量化和数据表达,便于后续风险识别中快速识别和判断。
基于上述任一实施例,所述第四获取子模块214中的所述统计所述设备的若干个操作记录数量,具体包括统计所述设备对所述若干个数据库的查询、新增、修改和删除的记录数量。
基于上述任一实施例,所述风险评估模块23包括:第一评估子模块231和第二评估子模块232;其中:
第一评估子模块231用于对所述设备的业务数据异常访问行为进行检测和计算,得到业务数据访问风险值;第二评估子模块232用于对所述设备的业务系统异常访问行为进行检测和计算,得到业务系统访问风险值。
本发明实施例通过分析业务数据和业务系统两方面的风险,与设备画像模型中的业务数据标签和业务系统标签建立了数据映射关系,验证了设备画像模型在对设备行为的量化上的有效性和便捷性。
基于上述任一实施例,所述第一评估子模块231中的所述业务数据异常访问行为包括数据访问量、数据访问量增速和所述设备与所述设备访问数据的业务相关性;所述第二评估子模块232中的所述业务系统异常访问行为包括系统访问量、系统访问量增速和所述设备与所述设备访问系统的业务相关性。
本发明实施例对于业务数据异常访问行为和业务系统异常访问行为作了进一步地定义和分解,并计算三个维度的权重,对于识别风险程度具有更明确和清晰的判断依据。
基于上述任一实施例,所述风险评估模块23中的所述对所述设备的业务数据异常访问行为进行检测和计算,以及所述对所述设备的业务系统异常访问行为进行检测和计算,具体包括:
采用离群点检测,得到若干个偏离程度;
采用离群点增速检测,得到若干个偏离增速程度;
采用计算相关性系数,得到若干个相关性指标。
本发明实施例通过对设备风险模型的两个大的维度进行检测计算,并对每个大维度从三个变量进行多维度比较,从而得出较为准确和客观的风险评估值,实现了对整个系统中的异常行为检测进行了有效补充。
图3示例了一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括:处理器(processor)310、通信接口(Communications Interface)320、存储器(memory)330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令,以执行如下方法:获取设备行为特征,基于所述设备行为特征对设备进行标签定义,获取若干设备标签;基于所述若干设备标签构建设备画像模型,并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征;根据所述若干个数据特征构建设备风险评估模型,基于所述设备风险评估模型对所述设备行为进行评估,得到设备风险值;基于所述设备风险值获取识别所述设备的异常行为。
此外,上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法,例如包括:获取设备行为特征,基于所述设备行为特征对设备进行标签定义,获取若干设备标签;基于所述若干设备标签构建设备画像模型,并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征;根据所述若干个数据特征构建设备风险评估模型,基于所述设备风险评估模型对所述设备行为进行评估,得到设备风险值;基于所述设备风险值获取识别所述设备的异常行为。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (8)

1.一种设备行为风险分析方法,其特征在于,包括:
获取设备行为特征,基于所述设备行为特征对设备进行标签定义,获取若干设备标签;
基于所述若干设备标签构建设备画像模型,并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征;
根据所述若干个数据特征构建设备风险评估模型,基于所述设备风险评估模型对所述设备行为进行评估,得到设备风险值;
基于所述设备风险值获取识别所述设备的异常行为;
所述获取若干设备标签,具体包括获取安全事件标签、使用人标签、业务系统标签和业务数据标签;
所述基于所述若干设备标签构建设备画像模型,并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征,具体包括:
获取所述安全事件标签,按照所述设备在预设时间段内关联的安全事件,统计与所述设备相关的每一类安全事件数量;
获取所述使用人标签,统计使用所述设备的人员分布情况;
获取所述业务系统标签,按照所述设备在所述预设时间段内访问的业务系统类型,统计所述设备发送的访问请求数量;
获取所述业务数据标签,按照所述设备在所述预设时间段内访问的若干个数据库,统计所述设备对所述若干个数据库的若干个操作记录数量。
2.根据权利要求1所述的一种设备行为风险分析方法,其特征在于,所述统计所述设备的若干个操作记录数量,具体包括统计所述设备对所述若干个数据库的查询、新增、修改和删除的记录数量。
3.根据权利要求1所述的一种设备行为风险分析方法,其特征在于,所述根据所述数据特征构建设备风险评估模型,基于所述设备风险评估模型对所述设备行为进行评估,得到设备风险值,具体包括:
对所述设备的业务数据异常访问行为进行检测和计算,得到业务数据访问风险值;
对所述设备的业务系统异常访问行为进行检测和计算,得到业务系统访问风险值。
4.根据权利要求3所述的一种设备行为风险分析方法,其特征在于,所述业务数据异常访问行为包括数据访问量、数据访问量增速和所述设备与所述设备访问数据的业务相关性;
所述业务系统异常访问行为包括系统访问量、系统访问量增速和所述设备与所述设备访问系统的业务相关性。
5.根据权利要求3或4所述的一种设备行为风险分析方法,其特征在于,所述对所述设备的业务数据异常访问行为进行检测和计算,以及所述对所述设备的业务系统异常访问行为进行检测和计算,具体包括:
采用离群点检测,得到若干个偏离程度;
采用离群点增速检测,得到若干个偏离增速程度;
采用计算相关性系数,得到若干个相关性指标。
6.一种设备行为风险分析系统,其特征在于,包括:
获取模块,用于获取设备行为特征,基于所述设备行为特征对设备进行标签定义,获取若干设备标签;
构建画像模块,用于基于所述若干设备标签构建设备画像模型,并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征;
风险评估模块,用于根据所述若干个数据特征构建设备风险评估模型,基于所述设备风险评估模型对所述设备行为进行评估,得到设备风险值;
识别模块,用于基于所述设备风险值识别所述设备的异常行为;
所述获取模块中的所述获取若干设备标签,具体包括获取安全事件标签、使用人标签、业务系统标签和业务数据标签;
所述获取模块包括:第一获取子模块、第二获取子模块、第三获取子模块和第四获取子模块;其中:
所述第一获取子模块用于获取所述安全事件标签,按照所述设备在预设时间段内关联的安全事件,统计与所述设备相关的每一类安全事件数量;
所述第二获取子模块用于获取所述使用人标签,统计使用所述设备的人员分布情况;
所述第三获取子模块用于获取所述业务系统标签,按照所述设备在所述预设时间段内访问的业务系统类型,统计所述设备发送的访问请求数量;
所述第四获取子模块用于获取所述业务数据标签,按照所述设备在所述预设时间段内访问的若干个数据库,统计所述设备对所述若干个数据库的若干个操作记录数量。
7.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述一种设备行为风险分析方法的步骤。
8.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至5任一项所述一种设备行为风险分析方法的步骤。
CN201911054529.0A 2019-10-31 2019-10-31 一种设备行为风险分析方法及系统 Active CN110825757B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911054529.0A CN110825757B (zh) 2019-10-31 2019-10-31 一种设备行为风险分析方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911054529.0A CN110825757B (zh) 2019-10-31 2019-10-31 一种设备行为风险分析方法及系统

Publications (2)

Publication Number Publication Date
CN110825757A CN110825757A (zh) 2020-02-21
CN110825757B true CN110825757B (zh) 2022-07-26

Family

ID=69552109

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911054529.0A Active CN110825757B (zh) 2019-10-31 2019-10-31 一种设备行为风险分析方法及系统

Country Status (1)

Country Link
CN (1) CN110825757B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111624907A (zh) * 2020-05-14 2020-09-04 洛阳师范学院 一种文化遗产保护与测评方法
CN111723367B (zh) * 2020-06-12 2023-06-23 国家电网有限公司 一种电力监控系统业务场景处置风险评价方法及系统
CN111565390B (zh) * 2020-07-16 2020-12-15 深圳市云盾科技有限公司 一种基于设备画像的物联网设备风险控制方法及系统
CN115460622A (zh) * 2021-05-19 2022-12-09 中兴通讯股份有限公司 建模方法、网元数据处理方法和装置、电子设备、介质
CN114816964B (zh) * 2022-06-29 2022-09-20 深圳竹云科技股份有限公司 风险模型构建方法、风险检测方法、装置、计算机设备
CN115146174B (zh) * 2022-07-26 2023-06-09 北京永信至诚科技股份有限公司 基于多维权重模型的重点线索推荐方法及系统
CN115801330A (zh) * 2022-10-26 2023-03-14 国网天津市电力公司 一种电力物联网终端的安全属性画像构建方法
CN116756736B (zh) * 2023-08-24 2024-03-22 深圳红途科技有限公司 用户异常行为分析方法、装置、计算机设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108427669A (zh) * 2018-02-27 2018-08-21 华青融天(北京)技术股份有限公司 异常行为监控方法和系统
CN109471846A (zh) * 2018-11-02 2019-03-15 中国电子科技网络信息安全有限公司 一种基于云日志分析的云上用户行为审计系统及方法
CN109688166A (zh) * 2019-02-28 2019-04-26 新华三信息安全技术有限公司 一种异常外发行为检测方法及装置
CN109818942A (zh) * 2019-01-07 2019-05-28 微梦创科网络科技(中国)有限公司 一种基于时序特征的用户帐号异常检测方法及装置
CN110222525A (zh) * 2019-05-14 2019-09-10 新华三大数据技术有限公司 数据库操作审计方法、装置、电子设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160180022A1 (en) * 2014-12-18 2016-06-23 Fortinet, Inc. Abnormal behaviour and fraud detection based on electronic medical records

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108427669A (zh) * 2018-02-27 2018-08-21 华青融天(北京)技术股份有限公司 异常行为监控方法和系统
CN109471846A (zh) * 2018-11-02 2019-03-15 中国电子科技网络信息安全有限公司 一种基于云日志分析的云上用户行为审计系统及方法
CN109818942A (zh) * 2019-01-07 2019-05-28 微梦创科网络科技(中国)有限公司 一种基于时序特征的用户帐号异常检测方法及装置
CN109688166A (zh) * 2019-02-28 2019-04-26 新华三信息安全技术有限公司 一种异常外发行为检测方法及装置
CN110222525A (zh) * 2019-05-14 2019-09-10 新华三大数据技术有限公司 数据库操作审计方法、装置、电子设备及存储介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"融媒体"应急广播发布系统建设探讨;龚志帅;《广播电视信息》;20191015(第10期);49-53 *
uderstanding user behavior through log data and analysis;Susan Dumais等;《ways of knowing in HCI》;20140320;349-372 *
基于网络日志的高校用户行为分析;万俨慧等;《网络空间安全》;20191025;第10卷(第10期);23-25 *

Also Published As

Publication number Publication date
CN110825757A (zh) 2020-02-21

Similar Documents

Publication Publication Date Title
CN110825757B (zh) 一种设备行为风险分析方法及系统
CN108427669B (zh) 异常行为监控方法和系统
CN108933785B (zh) 网络风险监控方法、装置、计算机设备及存储介质
CN107579956B (zh) 一种用户行为的检测方法和装置
CN109977689A (zh) 一种数据库安全审计方法、装置及电子设备
CN109543891B (zh) 容量预测模型的建立方法、设备及计算机可读存储介质
US20200151351A1 (en) Verification of Privacy in a Shared Resource Environment
CN112003846B (zh) 一种信用阈值的训练、ip地址的检测方法及相关装置
CN109446768B (zh) 应用访问行为异常检测方法及系统
CN112839014A (zh) 建立识别异常访问者模型的方法、系统、设备及介质
CN110471912B (zh) 一种员工属性信息校验方法、装置及终端设备
CN114996746A (zh) 基于多维度信息的数据权限管理方法及系统
CN110598959A (zh) 一种资产风险评估方法、装置、电子设备及存储介质
Afshar et al. Incorporating behavior in attribute based access control model using machine learning
CN116610821B (zh) 一种基于知识图谱的企业风险分析方法、系统和存储介质
CN112349431A (zh) 药物警戒体系健康指数生成方法、系统和计算机可读介质
US20230396640A1 (en) Security event management system and associated method
CN111563111A (zh) 告警方法、装置、电子设备及存储介质
CN116633666A (zh) 网络异常行为检测方法、装置、电子设备及存储介质
CN110782163A (zh) 企业数据处理方法和装置
CN111078783A (zh) 一种基于监管保护的数据治理可视化方法
KR20220116410A (ko) 보안 규제 준수 자동화 장치
CN112651433B (zh) 一种特权账号异常行为分析方法
CN112861142A (zh) 数据库的风险等级确定方法和装置、存储介质及电子装置
CN110704454A (zh) 报表数据采集系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant