CN111343173A - 数据访问的异常监测方法及装置 - Google Patents
数据访问的异常监测方法及装置 Download PDFInfo
- Publication number
- CN111343173A CN111343173A CN202010106498.5A CN202010106498A CN111343173A CN 111343173 A CN111343173 A CN 111343173A CN 202010106498 A CN202010106498 A CN 202010106498A CN 111343173 A CN111343173 A CN 111343173A
- Authority
- CN
- China
- Prior art keywords
- role
- access
- target
- data
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种数据访问的异常监测方法、装置及存储介质;方法包括:接收到针对目标员工的数据访问请求,数据访问请求用于请求访问企业管理系统中目标业务对应的目标资源数据;基于数据访问请求,确定包括访问权限位的访问信息,访问权限位用于标识目标资源数据所对应的访问权限;基于访问信息,通过角色分类模型预测目标员工的职务角色;获取目标员工在企业管理系统中的职务角色;将预测得到的职务角色与目标员工在企业管理系统中的职务角色进行匹配,得到匹配结果;当匹配结果表征预测得到的职务角色与目标员工在企业管理系统中的职务角色不同时,返回拒绝数据访问请求的提示信息。通过本发明,能够提高数据访问的异常监测的准确度。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种数据访问的异常监测方法及装置。
背景技术
随着互联网技术的高速发展,企业管理系统等网络应用,在工作中发挥着越来越重要的作用,由于网络应用服务涉及企业的核心数据,其安全稳定的运行十分重要;与此同时,针对网络应用的攻击不断涌现,如黑客入侵、病毒木马等,为了保护企业的核心数据和财产安全,异常监测成为了网络安全领域的一个重要而又迫切的问题。
相关技术中,基于企业日常通用的操作日志分析,对员工的日常行为进行模型训练,然而采用此类方法训练得到的模型往往对于扁平化的员工管理上效果较好;而对于职级多、权限范围划分细致的企业,模型效果和通用型较差,导致异常监测的准确度有待进一步提高。
发明内容
本发明实施例提供一种数据访问的异常监测方法、装置、电子设备及存储介质,能够提高数据访问的异常监测的准确度。
本发明实施例提供一种数据访问的异常监测方法,包括:
接收到针对目标员工的数据访问请求,所述数据访问请求用于请求访问企业管理系统中目标业务对应的目标资源数据;
基于所述数据访问请求,确定包括访问权限位的访问信息,所述访问权限位用于标识所述目标资源数据所对应的访问权限;
基于所述访问信息,通过角色分类模型预测所述目标员工的职务角色;
获取所述目标员工在所述企业管理系统中的职务角色;
将预测得到的所述职务角色与所述目标员工在所述企业管理系统中的职务角色进行匹配,得到匹配结果;
当所述匹配结果表征预测得到的所述职务角色与所述目标员工在所述企业管理系统中的职务角色不同时,返回拒绝所述数据访问请求的提示信息。
上述方案中,所述基于所述访问信息,通过角色分类模型预测所述目标员工的职务角色,包括:
获取所述访问信息对应的编码向量;
将所述编码向量输入至所述角色分类模型,基于所述编码向量进行职务角色预测,得到对应所述目标员工的职务角色。
上述方案中,所述获取所述访问信息对应的编码向量,包括:
对所述访问信息进行分词处理,得到对应的多个词语;
分别对各所述词语进行向量编码,得到对应的词编码向量;
对各所述词编码向量进行拼接,得到所述访问信息对应的编码向量。
上述方案中,所述返回拒绝所述数据访问请求的提示信息之前,所述方法还包括:
发送用于对所述目标员工进行身份验证的身份验证页面所对应的页面数据;
接收到所述目标员工基于所述身份验证页面输入的验证信息;
基于所述验证信息,对所述目标员工进行身份校验,得到校验结果;
当所述校验结果表征对所述目标员工的身份校验未通过时,返回所述提示信息。
上述方案中,所述验证信息为验证码,所述接收到所述目标员工基于所述身份验证页面输入的验证信息之前,所述方法还包括:
接收到所述目标员工基于所述身份验证页面发送的验证码获取请求;
返回生成的对应所述目标员工的验证码。
本发明实施例提供一种数据访问的异常监测装置,包括:
接收模块,用于接收到针对目标员工的数据访问请求,所述数据访问请求用于请求访问企业管理系统中目标业务对应的目标资源数据;
确定模块,用于基于所述数据访问请求,确定包括访问权限位的访问信息,所述访问权限位用于标识所述目标资源数据所对应的访问权限;
预测模块,用于基于所述访问信息,通过角色分类模型预测所述目标员工的职务角色;
获取模块,用于获取所述目标员工在所述企业管理系统中的职务角色;
匹配模块,用于将预测得到的所述职务角色与所述目标员工在所述企业管理系统中的职务角色进行匹配,得到匹配结果;
返回模块,用于当所述匹配结果表征预测得到的所述职务角色与所述目标员工在所述企业管理系统中的职务角色不同时,返回拒绝所述数据访问请求的提示信息。
上述方案中,所述预测模块,还用于获取所述访问信息对应的编码向量;
将所述编码向量输入至所述角色分类模型,基于所述编码向量进行职务角色预测,得到对应所述目标员工的职务角色。
上述方案中,所述预测模块,还用于对所述访问信息进行分词处理,得到对应的多个词语;
分别对各所述词语进行向量编码,得到对应的词编码向量;
对各所述词编码向量进行拼接,得到所述访问信息对应的编码向量。
上述方案中,所述角色分类模型包括特征提取层及角色分类层;
所述预测模块,还用于通过所述特征提取层,对所述访问信息对应的编码向量进行特征提取,得到对应的特征向量;
通过所述角色分类层,对所述特征向量进行职务角色分类,得到对应所述目标员工的职务角色。
上述方案中,所述角色分类模型包括特征提取层及角色分类层,所述装置还包括训练模块,所述训练模块,用于通过所述特征提取层,对访问信息样本进行特征提取,得到所述访问信息样本对应的特征向量,所述访问信息样本标注有对应所述目标员工的目标职务角色;
通过所述角色分类层,对所述访问信息样本的特征向量进行职务角色分类,得到对应所述访问信息样本的职务角色;
获取所述目标职务角色与分类得到的所述职务角色的差异,并基于所述差异更新所述角色分类模型的模型参数。
上述方案中,所述装置还包括构建模块,所述构建模块,用于获取所述目标员工的历史访问日志数据,所述历史访问日志数据包括所述目标员工历史访问的至少两种资源数据所对应的访问信息;
对所述历史访问日志数据进行数据提取,得到包括所述至少两种资源数据对应的访问权限位的历史访问信息;
对所述历史访问信息进行数据清洗,得到清洗后的历史访问信息;
基于所述清洗后的历史访问信息,构建访问信息样本。
上述方案中,所述装置还包括映射模块,所述映射模块,用于获取所述至少两种资源数据中每种资源数据对应的资源标识;
分别对每种资源数据对应的资源标识进行权限位映射,得到每种资源数据对应的访问权限位。
上述方案中,所述获取模块,还用于获取所述目标员工登录所述企业管理系统所对应的登录信息;
基于登录信息与员工职务角色的映射关系,确定对应所述登录信息的职务角色。
上述方案中,所述返回拒绝所述数据访问请求的提示信息之前,所述装置还包括第一发送模块,所述第一发送模块,用于发送用于对所述目标员工进行身份验证的身份验证页面所对应的页面数据;
接收到所述目标员工基于所述身份验证页面输入的验证信息;
基于所述验证信息,对所述目标员工进行身份校验,得到校验结果;
当所述校验结果表征对所述目标员工的身份校验未通过时,返回所述提示信息。
上述方案中,所述验证信息为验证码,所述接收到所述目标员工基于所述身份验证页面输入的验证信息之前,所述返回模块,还用于接收到所述目标员工基于所述身份验证页面发送的验证码获取请求;
返回生成的对应所述目标员工的验证码。
上述方案中,所述装置还包括第二发送模块,所述第二发送模块,用于发送告警提示信息至管理员工所对应的终端,所述告警提示信息,用于提示所述目标员工所对应的终端存在数据访问异常。
本发明实施例提供一种数据访问的异常监测设备,包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现本发明实施例提供的方法。
本发明实施例提供一种计算机可读存储介质,存储有可执行指令,用于引起处理器执行时,实现本发明实施例提供的方法。
本发明实施例具有以下有益效果:
通过提供一种基于企业员工的职位角色和日常操作记录对企业员工的数据访问请求的进行异常监控方法,对企业员工的访问信息通过角色分类模型进行实时分类预测,对于不符合当前职位角色的访问请求返回拒绝访问的异常提示信息,由于考虑了企业员工在企业中职务角色的差异性,对于职级多、权限范围划分细则的企业,能够提高数据访问的异常监测的准确度,以保护企业的核心数据和财产安全。
附图说明
图1为相关技术提供的基于统计规律的异常监测方法的流程示意图;
图2为相关技术提供的基于聚类算法的异常监测方法的流程示意图;
图3为相关技术提供的聚类模型的训练方法示意图;
图4为本发明实施例提供的数据访问的异常监测系统的一个可选的架构示意图;
图5为本发明实施例提供的电子设备的一个可选的结构示意图;
图6为本发明实施例提供的数据访问的异常监测方法的一个可选的流程示意图;
图7为本发明实施例提供的职务角色的预测方法流程图;
图8为本发明实施例提供的验证界面示意图;
图9为本发明实施例提供的数据访问的异常监测方法的一个可选的流程示意图;
图10为本发明实施例提供的角色分类模型的训练示意图;
图11为本发明实施例提供的数据访问的异常监测方法的一个可选的流程示意图;
图12为本发明实施例提供的数据访问的异常监测装置的一个可选的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,所描述的实施例不应视为对本发明的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
在以下的描述中,所涉及的术语“第一\第二”仅仅是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本发明实施例能够以除了在这里图示或描述的以外的顺序实施。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本发明实施例的目的,不是旨在限制本发明。
相关技术中,对于企业员工的数据访问的异常监测方法主要是基于员工的日常操作行为数据,采取基于统计规律或聚类算法等无监督的机器学习方法进行模型训练。
参见图1,图1为相关技术提供的基于统计规律的异常监测方法的流程示意图,如图1所示,基于统计规律的异常监测方法包括:
步骤101:获取企业员工网络行为信息;
步骤102:对企业员工网络行为信息进行汇总、分析,得到企业员工网络行为规律;
步骤103:将预设时间内的企业员工网络行为信息和企业员工网络行为规律进行比较,当预设时间内的企业员工网络行为信息与企业员工网络行为规律有差异,则上报企业员工网络行为异常的提示信息;
步骤104:对一些IP地址设置特殊标志,若企业员工网络行为信息中的网络访问的目的IP地址包含设置了特殊标志的IP地址时,上报企业员工网络行为异常的提示信息。
通过上述方式,基于员工的日常行为统计总结规律,制定判断规则,对于一段时间内不符合企业员工网络行为规律的操作行为进行异常判定。
参见图2,图2为相关技术提供的基于聚类算法的异常监测方法的流程示意图,如图2所示,基于聚类算法的异常监测方法包括:
步骤201:对企业员工的原始数据进行分词处理,得到用户行为特征矩阵;
步骤202:对用户行为特征矩阵进行聚类学习,得到聚类结果标签;
步骤203:对聚类结果标签进行评价,得到最初评价结果;
步骤204:当最初评价结果未达到预设值时,利用CART分类树对用户行为特征矩阵进行多次筛选,得到有效用户行为特征矩阵;
步骤205:将有效用户行为特征矩阵进行聚类学习,得到聚类模型;
步骤206:根据聚类模型对用户行为进行异常监控。
图3为相关技术提供的聚类模型的训练方法示意图,如图3所示,首先从各员工的日志操作数据中进行特征提取,得到对应的特征向量,为员工的行为进行聚类和标签分组,当检测到员工的操作行为特征与所在分组离群值大于制定的阈值时,则进行异常判定。
通过上述方式,基于企业日常通用的操作日志分析,对员工的日常行为进行模型训练,这种模型往往对于扁平化的员工管理上效果较好。
而在实际企业管理系统的应用中,员工的日常操作行为不仅和员工的个人习惯相关,还与员工在企业中担任的职务角色息息相关,不同的职位角色在企业管理系统中,能够操作的权限范围也不一样,比如,越核心的职位角色可以处理越敏感的操作,而且不同职位角色的员工日常操作的行为模式也不一样,在职位角色的维度上表现出较强的群体相关性;而相关技术中的上述方法并没有考虑企业员工在企业中职务角色的差异性,因此对于职级多、权限范围划分细致的企业,模型效果和通用型较差,导致异常监测的准确度有待进一步提高。
基于此,本发明实施例提供一种数据访问的异常监测方法,基于企业员工的职位角色和日常操作记录对企业员工的数据访问请求的进行异常监控,对企业员工的访问信息通过角色分类模型进行实时分类预测,对于不符合当前职位角色的访问请求返回拒绝访问的异常提示信息,由于考虑了企业员工在企业中职务角色的差异性,对于职级多、权限范围划分细则的企业,能够提高数据访问的异常监测的准确度,以保护企业的核心数据和财产安全。
参见图4,图4为本发明实施例提供的数据访问的异常监测系统100的一个可选的架构示意图,为实现支撑一个示例性应用,用户终端400(示例性示出了终端400-1、终端400-2)设置有企业管理系统,通过网络300企业管理系统的后台服务器200,网络300可以是广域网或者局域网,又或者是二者的组合,使用无线链路实现数据传输。
终端400,用于当目标员工登录终端400上的企业管理系统进行数据访问时,发送对应的数据访问请求至后台服务器200;
后台服务器200,用于接收到针对目标员工的数据访问请求;基于数据访问请求,确定包括访问权限位的访问信息;基于访问信息,通过角色分类模型预测目标员工的职务角色;获取目标员工在企业管理系统中的职务角色;将预测得到的职务角色与目标员工在企业管理系统中的职务角色进行匹配,得到匹配结果;当匹配结果表征预测得到的职务角色与所述目标员工在所述企业管理系统中的职务角色不同时,返回拒绝数据访问请求的提示信息。
参见图5,图5为本发明实施例提供的数据访问的异常监测设备500的一个可选的结构示意图,以数据访问的异常监测设备实施为企业管理系统的后台服务器为例,图5所示的电子设备500包括:至少一个处理器510、存储器550、至少一个网络接口520和用户接口530。电子设备500中的各个组件通过总线系统540耦合在一起。可理解,总线系统540用于实现这些组件之间的连接通信。总线系统540除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图5中将各种总线都标为总线系统540。
处理器510可以是一种集成电路芯片,具有信号的处理能力,例如通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其中,通用处理器可以是微处理器或者任何常规的处理器等。
用户接口530包括使得能够呈现媒体内容的一个或多个输出装置531,包括一个或多个扬声器和/或一个或多个视觉显示屏。用户接口530还包括一个或多个输入装置532,包括有助于用户输入的用户接口部件,比如键盘、鼠标、麦克风、触屏显示屏、摄像头、其他输入按钮和控件。
存储器550可以是可移除的,不可移除的或其组合。示例性的硬件设备包括固态存储器,硬盘驱动器,光盘驱动器等。存储器550可选地包括在物理位置上远离处理器510的一个或多个存储设备。
存储器550包括易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。非易失性存储器可以是只读存储器(ROM,Read Only Memory),易失性存储器可以是随机存取存储器(RAM,Random Access Memory)。本发明实施例描述的存储器550旨在包括任意适合类型的存储器。
在一些实施例中,存储器550能够存储数据以支持各种操作,这些数据的示例包括程序、模块和数据结构或者其子集或超集,下面示例性说明。
操作系统551,包括用于处理各种基本系统服务和执行硬件相关任务的系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务;
网络通信模块552,用于经由一个或多个(有线或无线)网络接口520到达其他计算设备,示例性的网络接口520包括:蓝牙、无线相容性认证(WiFi)、和通用串行总线(USB,Universal Serial Bus)等;
呈现模块553,用于经由一个或多个与用户接口530相关联的输出装置531(例如,显示屏、扬声器等)使得能够呈现信息(例如,用于操作外围设备和显示内容和信息的用户接口);
输入处理模块554,用于对一个或多个来自一个或多个输入装置532之一的一个或多个用户输入或互动进行检测以及翻译所检测的输入或互动。
在一些实施例中,本发明实施例提供的数据访问的异常监测装置可以采用软件方式实现,图5示出了存储在存储器550中的数据访问的异常监测装置555,其可以是程序和插件等形式的软件,包括以下软件模块:接收模块5551、确定模块5552、预测模块5553、获取模块5554、匹配模块5555和返回模块5556,这些模块是逻辑上的,因此根据所实现的功能可以进行任意的组合或进一步拆分。将在下文中说明各个模块的功能。
在另一些实施例中,本发明实施例提供的数据访问的异常监测装置可以采用硬件方式实现,作为示例,本发明实施例提供的数据访问的异常监测装置可以是采用硬件译码处理器形式的处理器,其被编程以执行本发明实施例提供的数据访问的异常监测方法,例如,硬件译码处理器形式的处理器可以采用一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)或其他电子元件。
下面将结合本发明实施例提供的数据访问的异常监测方法实施为企业管理系统的后台服务器时的示例性应用,说明本发明实施例提供的数据访问的异常监测方法。
参见图6,图6为本发明实施例提供的数据访问的异常监测方法的一个可选的流程示意图,将结合图6示出的步骤进行说明。
步骤301:后台服务器接收到针对目标员工的数据访问请求。
其中,数据访问请求用于请求访问企业管理系统中目标业务对应的目标资源数据。
企业管理系统,是指能够体现企业管理的大部分职能,包括决策、计划、组织、领导、监控、分析等,能够提供实时、相关、准确、完整的数据,为管理者提供决策依据的一种工具。以模块划分,企业管理软件可分为企业文档管理、财务管理、车间管理、进销存管理、资产管理、成本管理、设备管理、质量管理、分销资源计划管理、人力资源管理、供应链管理、客户关系管理等品种。
在实际应用中,目标员工登录终端上的企业管理系统进行数据访问时,企业管理系统生成相应的数据访问请求,并将生成的数据访问请求发送给后台服务器以请求后台服务器返回对应的目标资源数据。
步骤302:基于数据访问请求,确定包括访问权限位的访问信息。
其中,访问权限位用于标识目标资源数据所对应的访问权限。
在实际应用中,企业内不同部门不同岗位的使用人员可分别设定不同的访问权限,比如普通业务员只能看到自己的客户资料、合同订单、应收款、费用等数据,而销售部门主管或办事处主任、分公司经理可以看到其所属团队成员的相关数据,老板和销售总监则可以看到所有的数据,业务员人员不能看到及使用与采购有关的功能及数据等,也即职位角色与相应的角色行为模式相对应。
当目标员工请求访问企业管理系统中目标业务对应的目标资源数据时,后台服务器基于数据访问请求,确定对应的访问信息,其中,访问信息包括访问权限位,即将该请求访问的目标资源数据映射到具体的权限位,确定具备访问该目标资源数据的访问人员。除此之外,访问信息还可包括:域名、访问时间、互联网协议标识、设备标识、用户标识。
步骤303:基于访问信息,通过角色分类模型预测目标员工的职务角色。
在实际应用中,员工的操作行为不仅和员工的个人习惯相关,还与员工在企业中担任的职务角色息息相关,不同的职务角色在企业管理系统中能够访问的权限范围不一样,每个职位角色都有相应的角色行为模式,将确定目标员工的访问信息输入至角色分类模型中,可预测目标员工的职务角色。
在一些实施例中,后台服务器可通过如下方式基于访问信息,通过角色分类模型预测目标员工的职务角色:
获取访问信息对应的编码向量;将编码向量输入至角色分类模型,基于编码向量进行职务角色预测,得到对应目标员工的职务角色。
在一些实施例中,后台服务器可通过如下方式获取访问信息对应的编码向量:
对访问信息进行分词处理,得到对应的多个词语;分别对各词语进行向量编码,得到对应的词编码向量;对各词编码向量进行拼接,得到访问信息对应的编码向量。
在一些实施例中,角色分类模型包括特征提取层及角色分类层,后台服务器可通过如下方式将编码向量输入至角色分类模型,基于编码向量进行职务角色预测,得到对应目标员工的职务角色:
通过特征提取层,对访问信息对应的编码向量进行特征提取,得到对应的特征向量;通过角色分类层,对特征向量进行职务角色分类,得到对应目标员工的职务角色。
在实际实施时,首先对访问信息进行分词处理,得到对应的多个词语,分别对得到的各个词语通过词向量模型进行向量编码,得到对应各个词语的词编码向量,对得到的各词编码向量进行拼接,得到访问信息对应的包括多维的编码向量;然后将得到的编码向量输入角色分类模型进行职务角色预测,得到对应目标员工的职务角色。
需要说明的是,词向量模型可采用word2vec、glove等算法自行训练,也可采用公开的模型比如ailab开源的800万词向量模型,本发明对此并不做具体限定。
参见图7,图7为本发明实施例提供的职务角色的预测方法流程图,如图7所示,角色分类模型包括特征提取层、角色分类层,在实际实施时,将访问信息对应的编码向量输入至角色分类模型中,通过特征提取层,得到对应访问信息的特征向量,通过角色分类层,得到对应目标员工的职务角色。
在一些实施例中,角色分类模型包括特征提取层及角色分类层,后台服务器可通过如下方式训练得到角色分类模型:
通过特征提取层,对访问信息样本进行特征提取,得到访问信息样本对应的特征向量,其中,访问信息样本标注有对应目标员工的目标职务角色;通过角色分类层,对访问信息样本的特征向量进行职务角色分类,得到对应访问信息样本的职务角色;获取目标职务角色与分类得到的职务角色的差异,并基于获取的差异更新角色分类模型的模型参数。
在一些实施例中,后台服务器可通过如下方式基于获取的差异,更新角色分类模型的模型参数:
当差异超过差异阈值时,基于差异确定相应的误差信号;将确定的误差信号在角色分类模型中反向传播,并在传播的过程中更新各个层的模型参数。
这里,在对角色分类模型训练之前,需要构建训练的访问信息样本,在一些实施例中,后台服务器可通过如下方式构建访问信息样本:
获取目标员工的历史访问日志数据,其中,历史访问日志数据包括目标员工历史访问的至少两种资源数据所对应的访问信息;对历史访问日志数据进行数据提取,得到包括至少两种资源数据对应的访问权限位的历史访问信息;对历史访问信息进行数据清洗,得到清洗后的历史访问信息;基于清洗后的历史访问信息,构建访问信息样本。
这里,后台服务器采集各员工的操作日志数据,主要是抓取各员工访问企业管理系统的后台服务器访问日志,如nginx的access_log。在实际应用中,由于采集得到的日志数据可能无效,因此需对采集得到的操作日志数据进行数据提取和数据清洗等预处理;其中,数据提取是根据访问日志格式,提取每一次访问的域名、统一资源定位符(url,uniformresource location)、时间戳、互联网协议标(IP,Internet Protocol)、用户标识和设备信息等;数据清洗是指清洗提取后无效的数据,如用户标识缺失及提取到的信息字段不合法的数据。
在一些实施例中,后台服务器还获取至少两种资源数据中每种资源数据对应的资源标识;分别对每种资源数据对应的资源标识进行权限位映射,得到每种资源数据对应的访问权限位。
这里,基于至少两种资源数据中每种资源数据的url,通过正则匹配等方法提取对应的统一资源标志符(uri,uniform resource identifier)(即资源标识),对每种资源数据对应的uri进行权限位映射,得到每种资源数据对应的访问权限位。
接下来以每次记录的访问信息构建多维度特征向量空间,包括访问权限位、时间、IP、设备标识、频次等多维度信息数值化结果;以目标访问对应的用户标识所对应的职位角色作为标签;基于上述多维度特征和标签构建训练的访问信息样本。
基于上述构建得到的访问信息训练样本,后台服务器可选用如贝叶斯、临近算法(KNN,K-Nearest Neighbor)、支持向量机(SVM,Support Vector Machine)等有监督的分类算法对上述角色分类模型进行训练。
步骤304:获取目标员工在企业管理系统中的职务角色。
在实际应用中,为了判定通过角色分类模型预测得到的目标员工的职位角色与目标员工在企业管理系统中登记的职务角色是否一致或是否离群值过大,需要获取目标员工在企业管理系统中登记的职务角色。
在一些实施例中,后台服务器可通过如下方式获取目标员工在企业管理系统中的职务角色:
获取目标员工登录企业管理系统所对应的登录信息;基于登录信息与员工职务角色的映射关系,确定对应登录信息的职务角色。
这里,在实际应用中,企业员工需提供登录信息,如员工的用户名、员工号、邮箱和密码等个人信息,才能登录企业管理系统。后台服务器中存储有登录信息与员工职位角色的映射关系,基于该映射关系,确定企业员工的职务角色。
例如,登录信息为“张三”的员工,后台服务器存储的对应的员工职位角色为“销售部门主管”,则“张三”与“销售部门主管”存在映射关系,基于该映射关系,当登录信息为“张三”的员工登录企业管理系统时,可确定该员工的职务角色为“销售部门主管”。
步骤305:将预测得到的职务角色与目标员工在企业管理系统中的职务角色进行匹配,得到匹配结果。
在实际实施时,可将预测得到的职务角色与目标员工在企业管理系统中的职务角色进行相似度匹配,得到对应的相似度值,将得到的相似度值作为匹配结果;相似度值越大,表征预测得到的职务角色与目标员工在企业管理系统中的职务角色的相关性就越大。在实际应用中,可根据需要设置相似度阈值,当相似度值超过相似度阈值时,确定预测得到的职务角色与目标员工在企业管理系统中的职务角色相同;否则,认为预测得到的职务角色与目标员工在企业管理系统中的职务角色不同。
例如,假设基于员工“张三”的访问信息,通过角色分类模型预测得到的该员工的职务角色为“销售部门部长”,而该员工在企业管理系统中的职务角色为“销售部门主管”,将“销售部门部长”与“销售部门主管”进行相似度匹配,得到相似度值为98%,根据需要设置相似度阈值为90%,那么“销售部门部长”与“销售部门主管”间的相似度值超过了设置的相似度阈值,则确定预测得到的职务角色与该员工在企业管理系统中的职务角色相同。
步骤306:当匹配结果表征预测得到的职务角色与目标员工在企业管理系统中的职务角色不同时,返回拒绝数据访问请求的提示信息。
例如,假设基于员工“张三”的访问信息,通过角色分类模型预测得到的该员工的职务角色为“销售部门部长”,而该员工在企业管理系统中的职务角色为“销售业务员”,将“销售部门部长”与“销售业务员”进行相似度匹配,得到相似度值为20%,由于相似度阈值为90%,那么“销售部门部长”与“销售业务员”间的相似度值低于设置的相似度阈值,则确定预测得到的职务角色与该员工在企业管理系统中的职务角色不同,即员工“张三”没有权限看到及使用其请求访问的资源数据,此时,后台服务器返回拒绝“张三”的数据访问请求的提示信息。
在一些实施例中,在返回拒绝数据访问请求的提示信息之前,后台服务器还可发送用于对目标员工进行身份验证的身份验证页面所对应的页面数据;接收到目标员工基于所述身份验证页面输入的验证信息;基于验证信息,对目标员工进行身份校验,得到校验结果;当校验结果表征对目标员工的身份校验未通过时,返回提示信息。
这里,后台服务器发送用于对目标员工进行身份验证的身份验证页面所对应的页面数据至目标员工所对应的终端,终端上呈现身份验证页面,当目标员工通过身份验证页面输入验证信息时,终端发送该验证信息至后台服务器,后台服务器接收到验证信息,对目标员工进行身份验证,当对目标员工的身份校验未通过时,返回提示信息。
在一些实施例中,所述验证信息为验证码,在接收到目标员工基于身份验证页面输入的验证信息之前,后台服务器还接收到目标员工基于身份验证页面发送的验证码获取请求;返回生成的对应目标员工的验证码。
在实际应用中,目标员工在对应的终端呈现的身份验证页面上,参见图8,图8为本发明实施例提供的验证界面示意图,如图8所示,目标员工点击获取验证码的按键,终端响应于针对按键的点击操作,生成并发送对应的验证码获取请求至后台服务器,后台服务器基于接收到的验证码获取请求,生成并返回对应的验证码至目标员工对应的终端。这里,生成的验证码可以是随机的,也可以是基于该员工的个人信息生成的,如基于员工的用户名、员工号、手机号等。
需要说明的是,验证码包括:短信验证码、语音验证码、图文验证码、标数字验证码,除了如图8所示的手机验证码之外,还可通过电子邮件验证等方式来实施,凡是能够实现身份校验的均属本发明所要保护的范畴,本发明并不具体限定。
在一些实施例中,后台服务器还发送告警提示信息至管理员工所对应的终端,其中,告警提示信息,用于提示目标员工所对应的终端存在数据访问异常。
这里,后台服务器发送告警提示信息至企业的管理员工,如管理员或运营人员,提示管理员工该目标员工的访问行为存在异常,以对该目标员工的访问行为进行控制,避免企业核心数据泄露,保证企业数据和财产安全。
通过上述方式,接收到针对目标员工的数据访问请求,基于数据访问请求,确定包括访问权限位的访问信息,基于访问信息,通过角色分类模型预测目标员工的职务角色,将预测得到的职务角色与目标员工在企业管理系统中的职务角色进行匹配,当预测得到的职务角色与目标员工在企业管理系统中的职务角色不同时,返回拒绝数据访问请求的提示信息;如此,基于企业员工的职位角色和日常操作记录对企业员工的数据访问请求进行异常监控,对企业员工的访问信息通过角色分类模型进行实时分类预测,对于不符合当前职位角色的访问请求返回拒绝访问的异常提示信息,由于考虑了企业员工在企业中职务角色的差异性,对于职级多、权限范围划分细则的企业,能够提高数据访问的异常监测的准确度,以保护企业的核心数据和财产安全。
接下来继续对本发明实施例提供的数据访问的异常监测方法进行说明。参见图9,图9为本发明实施例提供的数据访问的异常监测方法的一个可选的流程示意图,其中,第一终端为目标员工所对应的终端,第二终端为企业的管理员工对应的终端,第一终端和第二终端上均设置有企业管理系统,后台服务器为企业管理系统对于的后台,将结合图9示出的步骤进行说明。
步骤601:第一终端响应于目标员工的点击操作,生成相应的数据访问请求。
在实际应用中,目标员工通过第一终端登录企业管理系统,点击企业管理系统上的目标业务时,生成对应的用于请求访问该目标业务对应的目标资源数据的数据访问请求。
步骤602:第一终端发送数据访问请求至后台服务器。
步骤603:后台服务器基于数据访问请求,确定包括访问权限位的访问信息。
其中,访问权限位用于标识目标资源数据所对应的访问权限。在实际实施时,后台服务器将数据访问请求所请求访问的目标资源数据映射到具体的权限位,确定具备访问该目标资源数据的访问人员。
步骤604:后台服务器通过角色分类模型的特征提取层,对访问信息对应的编码向量进行特征提取,得到对应的特征向量。
这里,角色分类模型包括特征提取层及角色分类层,后台服务器获取访问信息对应的编码向量;将编码向量输入至角色分类模型,基于编码向量进行职务角色预测,得到对应目标员工的职务角色。
具体地,对访问信息进行分词处理,得到对应的多个词语;分别对各词语进行向量编码,得到对应的词编码向量;对各词编码向量进行拼接,得到访问信息对应的编码向量。通过特征提取层,对访问信息对应的编码向量进行特征提取,得到对应的特征向量。
步骤605:后台服务器通过角色分类模型的角色分类层,对特征向量进行职务角色分类,得到对应目标员工的职务角色。
步骤606:后台服务器获取目标员工在企业管理系统中的职务角色。
这里,企业员工需提供登录信息,如员工的用户名、员工号、邮箱和密码等个人信息,才能登录企业管理系统。后台服务器中存储有登录信息与员工职位角色的映射关系,基于该映射关系,确定企业员工的职务角色。
步骤607:后台服务器将预测得到的职务角色与目标员工在企业管理系统中的职务角色进行匹配,得到匹配结果。
步骤608:当匹配结果表征预测得到的职务角色与目标员工在企业管理系统中的职务角色不同时,后台服务器发送用于对目标员工进行身份验证的身份验证页面所对应的页面数据至第一终端。
步骤609:第一终端基于页面数据呈现身份验证页面。
步骤610:当目标员工通过身份验证页面输入验证码时,第一终端发送验证码至后台服务器。
这里,当目标员工通过身份验证页面输入验证码之前,第一终端发送验证码获取请求至后台服务器,后台服务器基于验证码获取请求,生成对应目标员工的验证码,并将该验证码返回给第一终端供目标员工使用。
步骤611:后台服务器基于验证码,对目标员工进行身份校验,得到校验结果。
步骤612:当校验结果表征对目标员工的身份校验未通过时,后台服务器发送提示信息至第一终端以拒绝该数据访问请求。
步骤613:后台服务器发送告警提示信息至第二终端,以提示管理员工第一终端存在数据访问异常。
下面,将说明本发明实施例在一个实际的应用场景中的示例性应用。
如图1所示的相关技术提供的基于统计规律的异常监测方法,及图2所示的相关技术提供的聚类模型的训练方法,均基于企业日常通用的操作日志分析,对员工的日常行为进行模型训练,这种模型往往对于扁平化的员工管理上效果较好。
而在实际企业管理系统的应用中,员工的日常操作行为不仅和员工的个人习惯相关,还与员工在企业中担任的职务角色息息相关,不同的职位角色在企业管理系统中,能够操作的权限范围也不一样,比如,越核心的职位角色可以处理越敏感的操作,而且不同职位角色的员工日常操作的行为模式也不一样,在职位角色的维度上表现出较强的群体相关性;而相关技术中的上述方法并没有考虑企业员工在企业中职务角色的差异性,因此对于职级多、权限范围划分细致的企业,模型效果和通用型较差,导致异常监测的准确度有待进一步提高。
基于此,本发明实施例提供一种数据访问的异常监测方法,企业管理系统的后台服务器接收到针对目标员工的数据访问请求,基于数据访问请求,确定包括访问权限位的访问信息,基于访问信息,通过角色分类模型预测目标员工的职务角色,将预测得到的职务角色与目标员工在企业管理系统中的职务角色进行匹配,当预测得到的职务角色与目标员工在企业管理系统中的职务角色不同时,返回拒绝数据访问请求的提示信息;
如此,基于企业员工的职位角色和日常操作记录对企业员工的数据访问请求的进行异常监控,对企业员工的访问信息通过角色分类模型进行实时分类预测,对于不符合当前职位角色的访问请求返回拒绝访问的异常提示信息,由于考虑了企业员工在企业中职务角色的差异性,对于职级多、权限范围划分细则的企业,可以更准确地、通用地支持职级和权限范围划分复杂的企业的员工异常行为检测,并且能够适应企业地组织架构及员工权限范围变化带来的数据变化,为一般的SaaS系统提供通用的企业客户员工行为异常检测服务。
本发明实施例提供的数据访问的异常监测方法应用于对企业员工登录企业管理系统进行访问操作时的安全检测,员工的操作行为和登录信息作为输入,检测模型进行异常判定,对于存在安全隐患的操作弹出手机验证提示,进行身份验证,并向企业管理员发出告警。
在实际实施时,本发明实施例提供的数据访问的异常监测方法涉及角色分类模型的训练及异常操作实时监控,接下来逐一进行说明。
1、角色分类模型的训练
参见图10,图10为本发明实施例提供的角色分类模型的训练示意图,如图10所示,本发明实施例提供的角色分类模型的训练方法包括:
1)数据的预处理
在实际实施时,在进行角色分类模型训练之前,需要先构建训练样本,后台服务器可通过如下方式构建访问信息样本:
后台服务器采集各员工的操作日志数据,主要是抓取各员工访问企业管理系统的后台服务器访问日志,如nginx的access_log。在实际应用中,由于采集得到的日志数据可能无效,因此需对采集得到的操作日志数据进行数据提取和数据清洗等预处理;
其中,数据提取是根据访问日志格式,提取每一次访问的域名、url、时间戳、IP、用户标识和设备信息等;数据清洗是指清洗提取后无效的数据,如用户标识缺失及提取到的信息字段不合法的数据。
2)操作映射权限位
在实际应用中,不同的操作对应不同的系统访问路径,即不同的uri,在实际实施时,后台服务器基于至少两种资源数据中每种资源数据的url,通过正则匹配等方法提取对应uri,对每种资源数据对应的uri进行权限位映射,得到每种资源数据对应的访问权限位,记为pid,url与pid的映射关系如表1所示。
| url | pid |
| /ea/semTrack/analyse | 35 |
| /ea/semTrack/index | 34 |
| /ea/qrcode/track | 29 |
| /ea/qrcode/list | 28 |
| /ea/mtafor/clientAnalysis | 31 |
| /ea/mtafor/originAnalysis | 30 |
| … | … |
表1
3)特征提取与样本构造
以每次记录的访问信息构建多维度特征向量空间,包括访问权限位、时间、IP、设备标识、频次等多维度信息数值化结果;以目标访问对应的用户标识所对应的职位角色作为标签;基于上述多维度特征和标签构建训练的访问信息样本。
4)角色分类模型训练
基于上述构建得到的访问信息训练样本,后台服务器可选用如贝叶斯、KNN、SVM等有监督的分类算法对上述角色分类模型进行训练。
2、异常操作实时监控
参见图11,图11为本发明实施例提供的数据访问的异常监测方法的一个可选的流程示意图,如图11所示,本发明实施例提供的数据访问的异常监测方法,包括:
步骤701:企业管理系统发送数据访问请求至后台服务器。
这里,在实际应用中,目标员工通过终端登录企业管理系统,点击企业管理系统上的目标业务时,生成对应的用于请求访问该目标业务对应的目标资源数据的数据访问请求。
步骤702:后台服务器基于数据访问请求,确定包括访问权限位的访问信息。
其中,访问权限位用于标识目标资源数据所对应的访问权限。
步骤703:后台服务器获取访问信息对应的编码向量。
步骤704:后台服务器将编码向量输入至角色分类模型,基于编码向量进行职务角色预测,得到对应目标员工的职务角色。
步骤705:后台服务器获取目标员工在企业管理系统中的职务角色。
步骤706:将预测得到的职务角色与目标员工在企业管理系统中的职务角色进行匹配,得到匹配结果。
步骤707:判断是否匹配。
这里,当匹配结果表征预测得到的职务角色与目标员工在企业管理系统中的职务角色相同时,执行步骤710;当匹配结果表征预测得到的职务角色与目标员工在企业管理系统中的职务角色不同时,执行步骤708。
步骤708:后台服务器发送用于对目标员工进行身份验证的身份验证页面所对应的页面数据至目标员工对应的终端。
步骤709:目标员工基于终端呈现的身份验证页面输入验证码,对目标员工进行身份校验,得到校验结果。
这里,终端接收到后台服务器返回的页面数据,呈现如图8所示的身份验证页面,目标员工点击获取验证码的按键,终端响应于针对按键的点击操作,生成并发送对应的验证码获取请求至后台服务器,后台服务器基于接收到的验证码获取请求,生成并返回对应的验证码至目标员工对应的终端。当目标员工通过身份验证页面输入验证码时,终端发送该验证码息至后台服务器,后台服务器接收到验证信息,对目标员工进行身份验证。
步骤710:判断校验是否通过。
这里,当校验结果表征对目标员工的身份校验通过时,执行步骤711,当校验结果表征对目标员工的身份校验未通过时,执行步骤712。
步骤711:后台服务器允许数据访问请求。
步骤712:后台服务器拒绝数据访问请求。
通过上述方式,本发明实施例提供的异常操作实时检测系统基于训练好的角色分类模型,从目标员工的每次登录请求中快速提取本次操作的访问信息中编码向量,经过实时角色分类模型对目标员工进行身份预测。当确定预测得到的职务角色与目标员工在企业管理系统中的职务角色不一致或离群差值过大时,强制身份验证页面,通过手机验证码进行身份校验,如果对目标员工的身份校验通过时,则放行允许目标员工进行数据访问,同时并将本次访问信息回传角色分类模型中进行训练,更新角色分类模型。
基于本发明实施例提供的数据访问的异常监测方法,可以准确、通用地支持职级和权限范围划分复杂的企业的员工异常行为检测,并能够适应企业地组织架构及员工权限范围变化带来的数据变化,为一般的SaaS系统提供通用的企业客户员工行为异常检测服务,能够提高数据访问的异常监测的准确度,保护企业的核心数据和财产安全。
下面继续说明本发明实施例提供的数据访问的异常监测装置555实施为软件模块的示例性结构,在一些实施例中,如图5和图12所示,图12为本发明实施例提供的数据访问的异常监测装置的一个可选的结构示意图,存储在存储器550中的数据访问的异常监测装置555,其可以是程序和插件等形式的软件,包括以下软件模块:接收模块5551、确定模块5552、预测模块5553、获取模块5554、匹配模块5555和返回模块5556。
接收模块5551,用于接收到针对目标员工的数据访问请求,所述数据访问请求用于请求访问企业管理系统中目标业务对应的目标资源数据;
确定模块5552,用于基于所述数据访问请求,确定包括访问权限位的访问信息,所述访问权限位用于标识所述目标资源数据所对应的访问权限;
预测模块5553,用于基于所述访问信息,通过角色分类模型预测所述目标员工的职务角色;
获取模块5554,用于获取所述目标员工在所述企业管理系统中的职务角色;
匹配模块5555,用于将预测得到的所述职务角色与所述目标员工在所述企业管理系统中的职务角色进行匹配,得到匹配结果;
返回模块5556,用于当所述匹配结果表征预测得到的所述职务角色与所述目标员工在所述企业管理系统中的职务角色不同时,返回拒绝所述数据访问请求的提示信息。
在一些实施例中,所述预测模块,还用于获取所述访问信息对应的编码向量;
将所述编码向量输入至所述角色分类模型,基于所述编码向量进行职务角色预测,得到对应所述目标员工的职务角色。
在一些实施例中,所述预测模块,还用于对所述访问信息进行分词处理,得到对应的多个词语;
分别对各所述词语进行向量编码,得到对应的词编码向量;
对各所述词编码向量进行拼接,得到所述访问信息对应的编码向量。
在一些实施例中,所述角色分类模型包括特征提取层及角色分类层;
所述预测模块,还用于通过所述特征提取层,对所述访问信息对应的编码向量进行特征提取,得到对应的特征向量;
通过所述角色分类层,对所述特征向量进行职务角色分类,得到对应所述目标员工的职务角色。
在一些实施例中,所述角色分类模型包括特征提取层及角色分类层,所述装置还包括训练模块,所述训练模块,用于通过所述特征提取层,对访问信息样本进行特征提取,得到所述访问信息样本对应的特征向量,所述访问信息样本标注有对应所述目标员工的目标职务角色;
通过所述角色分类层,对所述访问信息样本的特征向量进行职务角色分类,得到对应所述访问信息样本的职务角色;
获取所述目标职务角色与分类得到的所述职务角色的差异,并基于所述差异更新所述角色分类模型的模型参数。
在一些实施例中,所述装置还包括构建模块,所述构建模块,用于获取所述目标员工的历史访问日志数据,所述历史访问日志数据包括所述目标员工历史访问的至少两种资源数据所对应的访问信息;
对所述历史访问日志数据进行数据提取,得到包括所述至少两种资源数据对应的访问权限位的历史访问信息;
对所述历史访问信息进行数据清洗,得到清洗后的历史访问信息;
基于所述清洗后的历史访问信息,构建访问信息样本。
在一些实施例中,所述装置还包括映射模块,所述映射模块,用于获取所述至少两种资源数据中每种资源数据对应的资源标识;
分别对每种资源数据对应的资源标识进行权限位映射,得到每种资源数据对应的访问权限位。
在一些实施例中,所述获取模块,还用于获取所述目标员工登录所述企业管理系统所对应的登录信息;
基于登录信息与员工职务角色的映射关系,确定对应所述登录信息的职务角色。
在一些实施例中,所述返回拒绝所述数据访问请求的提示信息之前,所述装置还包括第一发送模块,所述第一发送模块,用于发送用于对所述目标员工进行身份验证的身份验证页面所对应的页面数据;
接收到所述目标员工基于所述身份验证页面输入的验证信息;
基于所述验证信息,对所述目标员工进行身份校验,得到校验结果;
当所述校验结果表征对所述目标员工的身份校验未通过时,返回所述提示信息。
在一些实施例中,所述验证信息为验证码,所述接收到所述目标员工基于所述身份验证页面输入的验证信息之前,所述返回模块,还用于接收到所述目标员工基于所述身份验证页面发送的验证码获取请求;
返回生成的对应所述目标员工的验证码。
在一些实施例中,所述装置还包括第二发送模块,所述第二发送模块,用于发送告警提示信息至管理员工所对应的终端,所述告警提示信息,用于提示所述目标员工所对应的终端存在数据访问异常。
本发明实施例提供一种数据访问的异常监测设备,包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现本发明实施例提供的方法。
本发明实施例提供一种存储介质,存储有可执行指令,用于引起处理器执行时,实现本发明实施例提供的方法。
在一些实施例中,存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、闪存、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
在一些实施例中,可执行指令可以采用程序、软件、软件模块、脚本或代码的形式,按任意形式的编程语言(包括编译或解释语言,或者声明性或过程性语言)来编写,并且其可按任意形式部署,包括被部署为独立的程序或者被部署为模块、组件、子例程或者适合在计算环境中使用的其它单元。
作为示例,可执行指令可以但不一定对应于文件系统中的文件,可以可被存储在保存其它程序或数据的文件的一部分,例如,存储在超文本标记语言(HTML,Hyper TextMarkup Language)文档中的一个或多个脚本中,存储在专用于所讨论的程序的单个文件中,或者,存储在多个协同文件(例如,存储一个或多个模块、子程序或代码部分的文件)中。
作为示例,可执行指令可被部署为在一个计算设备上执行,或者在位于一个地点的多个计算设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算设备上执行。
以上所述,仅为本发明的实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和范围之内所作的任何修改、等同替换和改进等,均包含在本发明的保护范围之内。
Claims (10)
1.一种数据访问的异常监测方法,其特征在于,所述方法包括:
接收到针对目标员工的数据访问请求,所述数据访问请求用于请求访问企业管理系统中目标业务对应的目标资源数据;
基于所述数据访问请求,确定包括访问权限位的访问信息,所述访问权限位用于标识所述目标资源数据所对应的访问权限;
基于所述访问信息,通过角色分类模型预测所述目标员工的职务角色;
获取所述目标员工在所述企业管理系统中的职务角色;
将预测得到的所述职务角色与所述目标员工在所述企业管理系统中的职务角色进行匹配,得到匹配结果;
当所述匹配结果表征预测得到的所述职务角色与所述目标员工在所述企业管理系统中的职务角色不同时,返回拒绝所述数据访问请求的提示信息。
2.如权利要求1所述的方法,其特征在于,所述基于所述访问信息,通过角色分类模型预测所述目标员工的职务角色,包括:
获取所述访问信息对应的编码向量;
将所述编码向量输入至所述角色分类模型,基于所述编码向量进行职务角色预测,得到对应所述目标员工的职务角色。
3.如权利要求2所述的方法,其特征在于,所述角色分类模型包括特征提取层及角色分类层;
所述将所述编码向量输入至所述角色分类模型,基于所述编码向量进行职务角色预测,得到对应所述目标员工的职务角色,包括:
通过所述特征提取层,对所述访问信息对应的编码向量进行特征提取,得到对应的特征向量;
通过所述角色分类层,对所述特征向量进行职务角色分类,得到对应所述目标员工的职务角色。
4.如权利要求1所述的方法,其特征在于,所述角色分类模型包括特征提取层及角色分类层,所述方法还包括:
通过所述特征提取层,对访问信息样本进行特征提取,得到所述访问信息样本对应的特征向量,所述访问信息样本标注有对应所述目标员工的目标职务角色;
通过所述角色分类层,对所述访问信息样本的特征向量进行职务角色分类,得到对应所述访问信息样本的职务角色;
获取所述目标职务角色与分类得到的所述职务角色的差异,并基于所述差异更新所述角色分类模型的模型参数。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
获取所述目标员工的历史访问日志数据,所述历史访问日志数据包括所述目标员工历史访问的至少两种资源数据所对应的访问信息;
对所述历史访问日志数据进行数据提取,得到包括所述至少两种资源数据对应的访问权限位的历史访问信息;
对所述历史访问信息进行数据清洗,得到清洗后的历史访问信息;
基于所述清洗后的历史访问信息,构建访问信息样本。
6.如权利要求5所述的方法,其特征在于,所述方法还包括:
获取所述至少两种资源数据中每种资源数据对应的资源标识;
分别对每种资源数据对应的资源标识进行权限位映射,得到每种资源数据对应的访问权限位。
7.如权利要求1所述的方法,其特征在于,所述获取所述目标员工在所述企业管理系统中的职务角色,包括:
获取所述目标员工登录所述企业管理系统所对应的登录信息;
基于登录信息与员工职务角色的映射关系,确定对应所述登录信息的职务角色。
8.如权利要求1所述的方法,其特征在于,所述返回拒绝所述数据访问请求的提示信息之前,所述方法还包括:
发送用于对所述目标员工进行身份验证的身份验证页面所对应的页面数据;
接收到所述目标员工基于所述身份验证页面输入的验证信息;
基于所述验证信息,对所述目标员工进行身份校验,得到校验结果;
当所述校验结果表征对所述目标员工的身份校验未通过时,返回所述提示信息。
9.如权利要求1所述的方法,其特征在于,所述方法还包括:
发送告警提示信息至管理员工所对应的终端,所述告警提示信息,用于提示所述目标员工所对应的终端存在数据访问异常。
10.一种数据访问的异常监测装置,其特征在于,所述装置包括:
接收模块,用于接收到针对目标员工的数据访问请求,所述数据访问请求用于请求访问企业管理系统中目标业务对应的目标资源数据;
确定模块,用于基于所述数据访问请求,确定包括访问权限位的访问信息,所述访问权限位用于标识所述目标资源数据所对应的访问权限;
预测模块,用于基于所述访问信息,通过角色分类模型预测所述目标员工的职务角色;
获取模块,用于获取所述目标员工在所述企业管理系统中的职务角色;
匹配模块,用于将预测得到的所述职务角色与所述目标员工在所述企业管理系统中的职务角色进行匹配,得到匹配结果;
返回模块,用于当所述匹配结果表征预测得到的所述职务角色与所述目标员工在所述企业管理系统中的职务角色不同时,返回拒绝所述数据访问请求的提示信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010106498.5A CN111343173B (zh) | 2020-02-21 | 2020-02-21 | 数据访问的异常监测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010106498.5A CN111343173B (zh) | 2020-02-21 | 2020-02-21 | 数据访问的异常监测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111343173A true CN111343173A (zh) | 2020-06-26 |
| CN111343173B CN111343173B (zh) | 2022-08-26 |
Family
ID=71185579
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010106498.5A Active CN111343173B (zh) | 2020-02-21 | 2020-02-21 | 数据访问的异常监测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111343173B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112231653A (zh) * | 2020-10-15 | 2021-01-15 | 北京明略昭辉科技有限公司 | 一种权限的确定方法、装置、存储介质和电子装置 |
| CN112306982A (zh) * | 2020-11-16 | 2021-02-02 | 杭州海康威视数字技术股份有限公司 | 异常用户检测方法、装置、计算设备及存储介质 |
| CN112487477A (zh) * | 2020-11-30 | 2021-03-12 | 深圳市移卡科技有限公司 | 显示内容的权限设置方法、系统及存储介质 |
| CN112529505A (zh) * | 2020-12-21 | 2021-03-19 | 北京顺达同行科技有限公司 | 违规刷单检测方法、装置及可读存储介质 |
| CN112650659A (zh) * | 2020-12-22 | 2021-04-13 | 平安普惠企业管理有限公司 | 埋点设置方法、装置、计算机设备和存储介质 |
| CN112671738A (zh) * | 2020-12-16 | 2021-04-16 | 平安普惠企业管理有限公司 | 一种企业内部系统的登录方法、装置、终端及存储介质 |
| CN114021040A (zh) * | 2021-11-15 | 2022-02-08 | 北京华清信安科技有限公司 | 基于业务访问的恶意事件的告警及防护方法和系统 |
| CN114915453A (zh) * | 2022-04-14 | 2022-08-16 | 浙江网商银行股份有限公司 | 访问响应方法以及装置 |
| CN114996746A (zh) * | 2022-08-01 | 2022-09-02 | 太极计算机股份有限公司 | 基于多维度信息的数据权限管理方法及系统 |
| CN117113199A (zh) * | 2023-10-23 | 2023-11-24 | 浙江星汉信息技术股份有限公司 | 一种基于人工智能的档案安全管理系统及方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101888341A (zh) * | 2010-07-20 | 2010-11-17 | 上海交通大学 | 在分布式多信任域环境下基于可计算信誉度的访问控制方法 |
| CN103929482A (zh) * | 2014-04-15 | 2014-07-16 | 浙江宇视科技有限公司 | 一种安全地访问监控前端设备的方法和装置 |
| CN104811442A (zh) * | 2015-03-30 | 2015-07-29 | 中国科学院信息工程研究所 | 一种基于反馈评价机制的访问控制方法 |
| CN105590055A (zh) * | 2014-10-23 | 2016-05-18 | 阿里巴巴集团控股有限公司 | 用于在网络交互系统中识别用户可信行为的方法及装置 |
| WO2016192495A1 (zh) * | 2015-05-29 | 2016-12-08 | 阿里巴巴集团控股有限公司 | 账号被盗的风险识别方法、识别装置及防控系统 |
| CN107220557A (zh) * | 2017-05-02 | 2017-09-29 | 广东电网有限责任公司信息中心 | 一种用户越权访问敏感数据行为的检测方法及系统 |
| CN109389361A (zh) * | 2018-08-28 | 2019-02-26 | 东软集团股份有限公司 | 信息资源共享方法、装置、可读存储介质和电子设备 |
| CN109495474A (zh) * | 2018-11-19 | 2019-03-19 | 南京航空航天大学 | 面向内部攻击的动态访问控制框架 |
| CN109598117A (zh) * | 2018-10-24 | 2019-04-09 | 平安科技(深圳)有限公司 | 权限管理方法、装置、电子设备及存储介质 |
-
2020
- 2020-02-21 CN CN202010106498.5A patent/CN111343173B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101888341A (zh) * | 2010-07-20 | 2010-11-17 | 上海交通大学 | 在分布式多信任域环境下基于可计算信誉度的访问控制方法 |
| CN103929482A (zh) * | 2014-04-15 | 2014-07-16 | 浙江宇视科技有限公司 | 一种安全地访问监控前端设备的方法和装置 |
| CN105590055A (zh) * | 2014-10-23 | 2016-05-18 | 阿里巴巴集团控股有限公司 | 用于在网络交互系统中识别用户可信行为的方法及装置 |
| CN104811442A (zh) * | 2015-03-30 | 2015-07-29 | 中国科学院信息工程研究所 | 一种基于反馈评价机制的访问控制方法 |
| WO2016192495A1 (zh) * | 2015-05-29 | 2016-12-08 | 阿里巴巴集团控股有限公司 | 账号被盗的风险识别方法、识别装置及防控系统 |
| CN107220557A (zh) * | 2017-05-02 | 2017-09-29 | 广东电网有限责任公司信息中心 | 一种用户越权访问敏感数据行为的检测方法及系统 |
| CN109389361A (zh) * | 2018-08-28 | 2019-02-26 | 东软集团股份有限公司 | 信息资源共享方法、装置、可读存储介质和电子设备 |
| CN109598117A (zh) * | 2018-10-24 | 2019-04-09 | 平安科技(深圳)有限公司 | 权限管理方法、装置、电子设备及存储介质 |
| CN109495474A (zh) * | 2018-11-19 | 2019-03-19 | 南京航空航天大学 | 面向内部攻击的动态访问控制框架 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112231653A (zh) * | 2020-10-15 | 2021-01-15 | 北京明略昭辉科技有限公司 | 一种权限的确定方法、装置、存储介质和电子装置 |
| CN112306982A (zh) * | 2020-11-16 | 2021-02-02 | 杭州海康威视数字技术股份有限公司 | 异常用户检测方法、装置、计算设备及存储介质 |
| CN112487477A (zh) * | 2020-11-30 | 2021-03-12 | 深圳市移卡科技有限公司 | 显示内容的权限设置方法、系统及存储介质 |
| CN112671738A (zh) * | 2020-12-16 | 2021-04-16 | 平安普惠企业管理有限公司 | 一种企业内部系统的登录方法、装置、终端及存储介质 |
| CN112529505A (zh) * | 2020-12-21 | 2021-03-19 | 北京顺达同行科技有限公司 | 违规刷单检测方法、装置及可读存储介质 |
| CN112529505B (zh) * | 2020-12-21 | 2024-02-27 | 北京顺达同行科技有限公司 | 违规刷单检测方法、装置及可读存储介质 |
| CN112650659A (zh) * | 2020-12-22 | 2021-04-13 | 平安普惠企业管理有限公司 | 埋点设置方法、装置、计算机设备和存储介质 |
| CN114021040A (zh) * | 2021-11-15 | 2022-02-08 | 北京华清信安科技有限公司 | 基于业务访问的恶意事件的告警及防护方法和系统 |
| CN114915453A (zh) * | 2022-04-14 | 2022-08-16 | 浙江网商银行股份有限公司 | 访问响应方法以及装置 |
| CN114996746A (zh) * | 2022-08-01 | 2022-09-02 | 太极计算机股份有限公司 | 基于多维度信息的数据权限管理方法及系统 |
| CN117113199A (zh) * | 2023-10-23 | 2023-11-24 | 浙江星汉信息技术股份有限公司 | 一种基于人工智能的档案安全管理系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111343173B (zh) | 2022-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111343173B (zh) | 数据访问的异常监测方法及装置 | |
| CN110399925B (zh) | 账号的风险识别方法、装置及存储介质 | |
| CN107888574B (zh) | 检测数据库风险的方法、服务器及存储介质 | |
| CN111552933A (zh) | 一种账号异常登录的识别方法与装置 | |
| US20170251007A1 (en) | Automated computer behavioral analysis system and methods | |
| CN111881452B (zh) | 一种面向工控设备的安全测试系统及其工作方法 | |
| US20140208429A1 (en) | Method for Evaluating System Risk | |
| US10257228B2 (en) | System and method for real time detection and prevention of segregation of duties violations in business-critical applications | |
| CN110020687B (zh) | 基于操作人员态势感知画像的异常行为分析方法及装置 | |
| CN113392426A (zh) | 用于增强工业系统或电功率系统的数据隐私的方法及系统 | |
| CN107302586A (zh) | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 | |
| JP2016192185A (ja) | なりすまし検出システムおよびなりすまし検出方法 | |
| CN116112194A (zh) | 用户行为分析方法、装置、电子设备及计算机存储介质 | |
| CN115204733A (zh) | 数据审计方法、装置、电子设备及存储介质 | |
| CN110598397A (zh) | 一种基于深度学习的Unix系统用户恶意操作检测方法 | |
| CN114398465A (zh) | 互联网服务平台的异常处理方法、装置和计算机设备 | |
| CN115730320A (zh) | 一种安全级别确定方法、装置、设备及存储介质 | |
| CN112347457A (zh) | 异常账户检测方法、装置、计算机设备和存储介质 | |
| KR101278971B1 (ko) | 내부정보 부정 사용 차단 시스템 및 방법 | |
| KR101942576B1 (ko) | 개인 정보 보호 제품 통합 분석 감사 시스템 | |
| US11436322B2 (en) | Vehicle unauthorized access countermeasure taking apparatus and vehicle unauthorized access countermeasure taking method | |
| US11429714B2 (en) | Centralized privacy management system for automatic monitoring and handling of personal data across data system platforms | |
| CN111970272A (zh) | 一种apt攻击操作识别方法 | |
| CN110866700A (zh) | 确定企业员工信息泄露源的方法及装置 | |
| CN114266065A (zh) | 基于标签数据的访问权限控制方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40023741 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |