CN111859377A - 一种基于用户行为分析的事中安全审计方法 - Google Patents

一种基于用户行为分析的事中安全审计方法 Download PDF

Info

Publication number
CN111859377A
CN111859377A CN202010734309.9A CN202010734309A CN111859377A CN 111859377 A CN111859377 A CN 111859377A CN 202010734309 A CN202010734309 A CN 202010734309A CN 111859377 A CN111859377 A CN 111859377A
Authority
CN
China
Prior art keywords
risk
user
behavior
triggering
behaviors
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010734309.9A
Other languages
English (en)
Other versions
CN111859377B (zh
Inventor
唐瑶
范渊
吴永越
郑学新
刘韬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu DBAPPSecurity Co Ltd
Original Assignee
Chengdu DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu DBAPPSecurity Co Ltd filed Critical Chengdu DBAPPSecurity Co Ltd
Priority to CN202010734309.9A priority Critical patent/CN111859377B/zh
Publication of CN111859377A publication Critical patent/CN111859377A/zh
Application granted granted Critical
Publication of CN111859377B publication Critical patent/CN111859377B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于用户行为分析的事中安全审计方法,检测用户操作行为,若用户操作为高危行为,则判断用户触发高危行为的次数,若触发的次数大于等于触发阈值,则锁定用户账号并发送邮件进行告警。本发明基于用户行为分析对高危行为的用户进行及时的临时锁定,防止对系统造成进一步的损失。本发明可以有效识别用户行为,对用户行为进行分析和收集,及时锁定不良账户,避规危害系统的行为的不断发生,保护系统数据和运维系统数据的安全。

Description

一种基于用户行为分析的事中安全审计方法
技术领域
本发明属于大数据安全技术领域,具体涉及一种基于用户行为分析的事中安全审计方法。
背景技术
随着互联网企业的高速发展,企业对运维审计的需求越来越重视。当前运维审计系统对用户进行权限划分,并提供用户操作日志查看。然而权限划分力度基于模块,不够细致,导致各类管理员的权限过大;操作日志的查看过于被动,若发生不可更改的高危行为时,系统缺少对该类操作执行者的处理和告警;同时若管理员账户被窃取或密码爆破或者其他DDoS攻击等,重复执行一个操作时,缺少及时性的操作对该类危害的规避,会引起系统的崩溃。
目前,用户一些高危行为,存在以下几种风险和不足:
1.管理员权限过大误操作引起的数据丢失和系统崩溃;
2.当黑客攻击时,获取管理员权限进行高危行为引起的数据丢失和系统崩溃;
3.当运维员多次进行高危操作运维时,对运维系统可能造成的数据丢失和系统崩溃;
4.CC攻击和DDoS攻击或暴力破解密码等,连续进行一个高危行为,引起的数据丢失和系统崩溃;
5.管理员仅提供操作日志查看作为事后审计工作,缺少及时对高危操作执行者的处理与告警。
由上可知,目前运维审计系统缺少对用户行为更细粒度的限制,缺少及时、事中对有危险行为用户进行处理与告知管理员,用户行为的某些危险操作的多次发生,容易造成系统崩溃和数据丢失。
发明内容
本发明的目的在于提供一种基于用户行为分析的事中安全审计方法,旨在基于用户行为分析对高危行为的用户进行及时的临时锁定,防止对系统造成进一步的损失。
本发明主要通过以下技术方案实现:一种基于用户行为分析的事中安全审计方法,检测用户操作行为,若用户操作为高危行为,则判断用户触发高危行为的次数,若触发的次数大于等于触发阈值,则锁定用户账号并发送邮件进行告警。用户行为是否为高危行为是管理员配置的,管理员基于高危行为配置页面配置有效高危行为集合。
为了更好地实现本发明,进一步的,当用户操作行为为高危行为,则进一步的检测操作的高危行为的高危程度的安全等级配置,并检测该安全等级中该类高危程度的触发次数,若触发的次数大于等于触发锁定次数,则锁定用户并发送邮件进行告警。
为了更好地实现本发明,进一步的,根据高危程度和高危程度对高危行为的安全等级设定权重;进而评估得出各程度高危行为的触发锁定次数;主要包括以下步骤:
步骤S100:自定义配置各程度高危行为安全等级的触发权重关系,进而得出线性关系矩阵图;
步骤S200:计算各程度高危行为的最大特征向量、最大特征根和矩阵一致性指标;
步骤S100:通过最大特征向量统计各程度高危行为触发锁定次数。
为了更好地实现本发明,进一步的,主要包括以下步骤:
步骤S100:线性关系矩阵图:
Figure BDA0002604338920000021
步骤S200:所述最大特征向量、最大特征根和矩阵一致性指标的计算如下:
1)将A矩阵每一列归一化:
Figure BDA0002604338920000022
2)由A矩阵除以1)归一化的结果,得到B矩阵:
Figure BDA0002604338920000023
3)对2)中得B矩阵按行求和,得到
Figure BDA0002604338920000024
4)根据3)中得到的
Figure BDA0002604338920000025
归一化处理,得出最大特征向量w,
Figure BDA0002604338920000026
w=(w1,w2,...,wn)T
5)由最大特征向量w与A矩阵相乘,得到(Aw)矩阵,(Aw)=A*w,
6)计算最大特征根λmax:n为安全等级配置表中出现的高危程度级别个数:
Figure BDA0002604338920000027
7)根据6)计算矩阵一致性指标C.I:n为安全等级配置表中出现的高危程度级别个数:
Figure BDA0002604338920000028
为了更好地实现本发明,进一步的,当C.I值大于等于0时,则配置的高危行为安全等级行为符合逻辑,每次配置安全等级时,都会检查配置是否满足矩阵一致性指标,当不满足时,则提醒用户该配置不符合逻辑。
为了更好地实现本发明,进一步的,当确定了用户的高危行为的安全等级时,则查询高危行为关联表数据是否存在关联数据,若没有关联数据,则高危行为关联表中增加一条数据,其中count字段内对应高危程度的count值=1,uid=用户id,dangerid=高危行为安全等级表中的id,type=2;当用户再次触发同类型的高危行为时,则count字段内对应高危程度的count值加1。
为了更好地实现本发明,进一步的,当用户的操作被认定为高危行为时,则查询高危行为关联表数据是否存在关联数据,若没有关联数据,则高危行为关联表中增加一条数据,其中count=1,uid=用户id,dangerid=高危行为表中的id,type=1;当用户再次触发同类型的高危行为时,则count值加1。
在用户触发自动锁定的行为次数的触发阈值下,系统自动对执行者用户进行临时锁定,并发送告警邮件给上级管理员,通知其有账户触发了临时锁定。用户行为检查,在每一次用户行为后,记录操作日志之前,满足触发次数大于等于触发阈值时,就锁定用户。
如图6所示,本方案中配置的高危行为触发次数权重关系,为两两高危程度间对比,通过管理员对不同高危程度高危行为两两之间权重的配置,将定量分析与定性分析相结合,通过管理员的自定义衡量各类高危程度之间的相对重要程度,并合理的给出系统进行用户行为约束的高危程度之间的标准的权数,采用和积法与线性代数结合和的方法,评估出类高危程度权数的触发频率。
如图6所示,管理员可配置至多4+3+2+1项安全等级触发次数权重关系,原则包括:1.不可配置自身+自身组合,如高危等级4和高危等级4,权重为3;2.不可配置重复高危等级组合,如高危等级4和高危等级3的组合与高危等级3和高危等级4的组合;。满足以上原则,则最多有10项安全等级触发次数权重关系存在。
各类高危程度概念:1:低,2:中低,3:中,4:中高,5:高,等级越高代表越危险,高危等级和高危程度可以理解为一个概念。
现方案中高危行为权重指的是高危等级A相对高危等级B的权重,例如高危等级A为中高危行为,高危等级B为中低高危行为,权重为2,则代表A相对B权重为2,B相对A权重为1/2。
本发明的有益效果:
(1)本发明基于用户行为分析对高危行为的用户进行及时的临时锁定,防止对系统造成进一步的损失。本发明有效识别用户行为,对用户行为进行分析和收集,及时锁定不良账户,避规危害系统的行为的不断发生,保护系统数据和运维系统数据的安全。
(2)本发明是实时的,用户进行每一个操作时,对用户行为属于高危行为进行分析,达到自动锁定情况则会立即锁定用户,是一个事中风险控制方法。本发明将何为风险用户的自定义交给用户去配置,基于用户的配置前提,对实时用户行为进行风险评判,主要是提出一种高危行为配置自定义与基于用户配置行为衍生的统计规则的方法,在此方法基础上,对用户进行立即锁定。
(3)本发明基于管理员对用户行为是否为高危行为,为何高危程度高危行为自定义,系统对用户任一行为的自动锁定检测机制范围是基于管理员配置的这个高危行为集合,而不是所有用户行为,由此本方法检测范围更灵活、数据量范围更小,相比检测用户所有操作行为,检测一些无谓的操作行为,对系统本身的内耗损失达到最小。
(4)本发明除了还在锁定基础上实时邮件通知管理员,在第一时间对管理员进行告警,让管理员去处理这类高危用户,并让其及时对系统进行有效防御处理。
(5)高危行为的定义其实也是对系统其它管理员的行为规范化,事实上并不是管理员就一定可信的,而且管理员也很可能被窃取账户或者不小心执行一些错误操作,而本发明中高危行为相关配置的管理员是指超级管理员,超级管理员定义高危行为集合,触发锁定的场景等情况后,无论何种权限身份用户,除超级管理员以外,都应该受到本方法的约束,使系统在权限划分的基础上,额外无视权限对用户进行行为规范与约束,大大提高系统安全性。
附图说明
图1为高危行为检测分析的流程图;
图2为本发明的流程示意图;
图3为高危行为表的示意图;
图4为高危行为安全等级表的示意图;
图5为用户高危行为关联表的示意图;
图6为用户高危行为安全等级配置的示意图。
具体实施方式
实施例1:
一种基于用户行为分析的事中安全审计方法,如图1所示,检测用户操作行为,若用户操作为高危行为,则判断用户触发高危行为的次数,若触发的次数大于等于触发阈值,则锁定用户账号并发送邮件进行告警。
本发明是实时的,用户进行每一个操作时,若该行为在高危行为集合中,对用户行为进行分析,达到自动锁定情况则会立即锁定用户,是一个事中风险控制方法。本发明将何为风险用户的自定义交给用户去配置,基于用户的配置前提,对实时用户行为进行风险评判,主要是提出一种高危行为配置自定义与基于用户配置行为衍生的统计规则的方法,在此方法基础上,对用户进行立即锁定。
本发明基于用户行为分析对高危行为的用户进行及时的临时锁定,防止对系统造成进一步的损失。本发明有效识别用户行为,对用户行为进行分析和收集,及时锁定不良账户,避规危害系统的行为的不断发生,保护系统数据和运维系统数据的安全。
实施例2:
一种基于用户行为分析的事中安全审计方法,如图2所示,当用户操作行为为高危行为,则进一步的检测操作的高危行为的安全等级,并检测该安全等级的触发次数,若触发的次数大于等于触发锁定次数,则锁定用户并发送邮件进行告警。
各高危程度所述触发锁定次数的计算如下:
1.管理员配置高危程度安全等级触发次数权重关系;
2.得出线性关系矩阵图(无公式,只是将管理员配置权重由表格演化成矩阵A)
Figure BDA0002604338920000051
3.计算各个高危行为的最大特征向量、最大特征根和矩阵一致性指标:
1)将2中的A矩阵每一列归一化:
Figure BDA0002604338920000052
2)由A矩阵除以1)归一化的结果,得到B矩阵:
Figure BDA0002604338920000053
3)对2)中得B矩阵按行求和,得到
Figure BDA0002604338920000054
4)根据3)中得到的
Figure BDA0002604338920000055
归一化处理,得出最大特征向量w,
Figure BDA0002604338920000056
w=(w1,w2,...,wn)T
5)由最大特征向量w与A矩阵相乘,得到(Aw)矩阵,(Aw)=A*w
6)计算最大特征根λmax
Figure BDA0002604338920000061
7)计算矩阵一致性指标C.I:
Figure BDA0002604338920000062
4.由最大特征向量统计各高危行为触发锁定次数。
如图6所示,本方案中配置的高危行为触发次数权重关系,为两两高危程度高危行为间对比,通过管理员对不同高危程度高危行为两两之间权重的配置,将定量分析与定性分析相结合,通过管理员的自定义衡量各个安全等级之间的相对重要程度,并合理的给出希望系统进行用户行为约束的安全等级之间的标准的权数,采用和积法与线性代数结合和的方法,评估出各个权数的触发频率。
如图6所示,管理员可配置至多4+3+2+1项安全等级触发次数权重关系,原则包括:1.不可配置自身+自身组合,如高危等级4和高危等级4,权重为3;2.不可配置重复高危等级组合,如高危等级4和高危等级3的组合与高危等级3和高危等级4的组合。满足以上原则,则最多有10项安全等级触发次数权重关系存在。
现方案中高危行为权重指的是高危行为A相对高危行为B的权重,例如高危行为A为中高危行为,高危行为B为中低高危行为,权重为2,则代表A相对B权重为2,B相对A权重为1/2。
实施例3:
一种基于用户行为分析的事中安全审计方法,管理员配置高危行为安全等级权重关系包括:
高危行为A为中高高危行为,高危行为B为中高危行为,触发次数权重为1/2;
高危行为A为中高危行为,高危行为B为中低高危行为,权重为1/3;
高危行为A为中高高危行为,高危行为B为中低高危行为,权重为1/5;该配置触发次数总阈值为20。
如表1所示,则可以根据权重画出权重关系表:
表1
中低 中高
中低 1 3 5
1/3 1 2
中高 1/5 1/2 1
由表格可得出线性关系:
Figure BDA0002604338920000071
采用和积法计算各个高危行为的最大特征向量和最大特征根:
1)将矩阵的每一列元素按列相加后归一化处理,由此得到B矩阵:
归一化得出:
Figure BDA0002604338920000072
每一列除以归一化值得出矩阵B:
Figure BDA0002604338920000073
2)将归一化后的矩阵B按行相加,得到Wi,并计算Wi总和:
Figure BDA0002604338920000074
Figure BDA0002604338920000075
3)对向量Wi做归一化处理,得到最大特征向量W:
Figure BDA0002604338920000076
4)由W矩阵与A矩阵相乘,得到AW矩阵:
Figure BDA0002604338920000077
5)计算最大特征根λmax
Figure BDA0002604338920000078
6)矩阵一致性指标:
Figure BDA0002604338920000081
当C.I值满足大于等于0时,说明用户配置的高危行为安全等级行为符合逻辑,未出现例如高高危行为相对中高高危行为权重更高,中高高危行为相对中高危行为权重更高,高危行为相对中高行为权重更低,这种不符合逻辑的情况。每次用户配置该安全等级时,都会检查配置是否满足矩阵一致性指标,当不满足时,及时提醒用户该配置不符合逻辑,进行优化调整。
由上计算可知,如表2所示,最终得到的最大特征向量:
Figure BDA0002604338920000082
则可得出管理员配置的高危行为安全等级所占比重约为:
表2
高危行为安全等级 比重 达到次数触发锁定
中低 0.648 13
0.23 5
中高 0.122 3
本发明在使用过程中,一旦当一类高危程度的高危行为的触发次数达到触发锁定次数时,或者一旦当所有高危程度的高危行为的触发次数达到设定的触发次数总阈值20时则锁定用户并发邮件告警,本方法计算原则中小数点保留三位,则各类高危程度的权重占比小数点最多保存三位,极有可能计算各类高危程度计算触发锁定阈值时存在小数点,本方法采用向上取整来计算各类高危程度触发锁定阈值。
实施例4:
本实施例是在实施例1-3任一个的基础上进行优化,如图3-图5所示,包括三张数据表,分别为高危行为表、高危行为安全等级表、用户高危行为关联表。图5中高危行为关联表的dangerid是关联高危行为的id,即图3高危行为表中的id或者图4高危行为安全等级表中的id,由高危行为关联表中的type字段区分。
图4高危行为安全等级表中的level字段存储的是[{"levelA":高危行为类型,"weightA":权重,"levelB":高危类型,"weightB":权重},......],count字段存储:{“高危类型A”:阈值,“高危类型B”:阈值,...,"count":用户配置的总阈值}。
如图1所示,用户执行操作,触发高危行为表内记录的高危行为时,若高危行为关联表中无该关联数据,高危行为关联表中增加一条数据,其中count=1,uid=用户id,dangerid=高危行为表中的id,type=1;当用户再次触发该高危行为时,该条数据的count值加1;用户每次触发高危行为时,都去对比高危行为关联表中是否有关联的数据,若有,比对用户是否触发次数达到高危行为表中配置的阈值,若达到,则立即锁定用户并邮件告警。
或者,如图2所示,用户执行操作,该操作属于高危行为,并且该高危行为的安全等级存在安全等级配置中,存在一条有此安全等级的配置,若高危行为关联表中无关联数据,则往高危行为关联表中增加一条数据,其中count字段内对应高危程度的count值=1,uid=用户id,dangerid=高危行为安全等级表中的id,type=2;当用户再次触发同类型的高危行为时,则count字段内对应高危程度的count值加1。用户每次触发高危行为时,都去对比高危行为关联表中是否有关联的数据,若有,比对用户是否触发次数达到高危行为表中配置的相对高危程度的阈值,若达到,则立即锁定用户并邮件告警。一旦当某类高危程度的高危行为的触发次数达到触发锁定次数时,则锁定用户并发邮件告警,或者一旦当所有安全等级的高危行为的触发次数达到设定的触发次数总阈值20时,则锁定用户并发邮件告警。
本实施例的其他内容与实施例1-3任一个相同,故不再赘述。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。

Claims (7)

1.一种基于用户行为分析的事中安全审计方法,其特征在于,检测用户操作行为,若用户操作为高危行为,则判断用户触发高危行为的次数,若触发的次数大于等于触发阈值,则锁定用户账号并发送邮件进行告警。
2.根据权利要求1所述的一种基于用户行为分析的事中安全审计方法,其特征在于,当用户操作行为为高危行为,则进一步的检测操作的高危行为的安全等级,并检测该安全等级的触发次数,若触发的次数大于等于触发锁定次数,则锁定用户并发送邮件进行告警。
3.根据权利要求2所述的一种基于用户行为分析的事中安全审计方法,其特征在于,根据高危程度和高危程度对高危行为的安全等级设定权重;进而评估得出各程度高危行为的触发锁定次数;主要包括以下步骤:
步骤S100:自定义配置各程度高危行为安全等级的触发权重关系,进而得出线性关系矩阵图;
步骤S200:计算各程度高危行为的最大特征向量、最大特征根和矩阵一致性指标;
步骤S100:通过最大特征向量统计各程度高危行为触发锁定次数。
4.根据权利要求3所述的一种基于用户行为分析的事中安全审计方法,其特征在于,主要包括以下步骤:
步骤S100:线性关系矩阵图:
Figure FDA0002604338910000011
步骤S200:所述最大特征向量、最大特征根和矩阵一致性指标的计算如下:
1)将A矩阵每一列归一化:
Figure FDA0002604338910000012
2)由A矩阵除以1)归一化的结果,得到B矩阵:
Figure FDA0002604338910000013
3)对2)中得B矩阵按行求和,得到
Figure FDA0002604338910000014
Figure FDA0002604338910000015
4)根据3)中得到的
Figure FDA0002604338910000016
归一化处理,得出最大特征向量w,
Figure FDA0002604338910000017
w=(w1,w2,...,wn)T
5)由最大特征向量w与A矩阵相乘,得到(Aw)矩阵,(Aw)=A*w,
6)计算最大特征根λmax,n为安全等级配置表中出现的高危程度级别个数:
Figure FDA0002604338910000021
7)根据6)计算矩阵一致性指标C.I:
Figure FDA0002604338910000022
5.根据权利要求4所述的一种基于用户行为分析的事中安全审计方法,其特征在于,当C.I值大于等于0时,则配置的高危行为安全等级行为符合逻辑,每次配置安全等级时,都会检查配置是否满足矩阵一致性指标,当不满足时,则提醒用户该配置不符合逻辑。
6.根据权利要求2所述的一种基于用户行为分析的事中安全审计方法,其特征在于,当确定了用户的高危行为的安全等级时,则查询高危行为关联表数据是否存在关联数据,若没有关联数据,则高危行为关联表中增加一条数据,其中count字段内对应高危程度的count值=1,uid=用户id,dangerid=高危行为安全等级表中的id,type=2;当用户再次触发同类型的高危行为时,则count字段内对应高危程度的count值加1。
7.根据权利要求1所述的一种基于用户行为分析的事中安全审计方法,其特征在于,当用户的操作被认定为高危行为时,则查询高危行为关联表数据是否存在关联数据,若没有关联数据,则高危行为关联表中增加一条数据,其中count=1,uid=用户id,dangerid=高危行为表中的id,type=1;当用户再次触发同类型的高危行为时,则count值加1。
CN202010734309.9A 2020-07-27 2020-07-27 一种基于用户行为分析的事中安全审计方法 Active CN111859377B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010734309.9A CN111859377B (zh) 2020-07-27 2020-07-27 一种基于用户行为分析的事中安全审计方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010734309.9A CN111859377B (zh) 2020-07-27 2020-07-27 一种基于用户行为分析的事中安全审计方法

Publications (2)

Publication Number Publication Date
CN111859377A true CN111859377A (zh) 2020-10-30
CN111859377B CN111859377B (zh) 2022-09-02

Family

ID=72947421

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010734309.9A Active CN111859377B (zh) 2020-07-27 2020-07-27 一种基于用户行为分析的事中安全审计方法

Country Status (1)

Country Link
CN (1) CN111859377B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116418587A (zh) * 2023-04-19 2023-07-11 中国电子科技集团公司第三十研究所 一种数据跨域交换行为审计追踪方法和数据跨域交换系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105357217A (zh) * 2015-12-02 2016-02-24 北京北信源软件股份有限公司 基于用户行为分析的数据盗取风险评估方法和系统
CN106850613A (zh) * 2017-01-24 2017-06-13 中国科学院信息工程研究所 一种基于改进ahp的用户行为信任评估方法及系统
US20170213025A1 (en) * 2015-10-30 2017-07-27 General Electric Company Methods, systems, apparatus, and storage media for use in detecting anomalous behavior and/or in preventing data loss
CN107067157A (zh) * 2017-03-01 2017-08-18 北京奇艺世纪科技有限公司 业务风险评估方法、装置及风控系统
CN107231345A (zh) * 2017-05-03 2017-10-03 成都国腾实业集团有限公司 基于ahp的网络用户行为风险评估方法
CN107832621A (zh) * 2017-11-16 2018-03-23 成都艾尔普科技有限责任公司 基于ahp的行为信任证据的权重计算方法
CN108111348A (zh) * 2017-12-20 2018-06-01 杭州云屏科技有限公司 一种针对企业云应用的安全策略管理方法及系统
CN108156132A (zh) * 2017-11-20 2018-06-12 北京三快在线科技有限公司 访问行为数据处理方法、系统、设备及可读存储介质
CN109861985A (zh) * 2019-01-02 2019-06-07 平安科技(深圳)有限公司 基于风险等级划分的ip风控方法、装置、设备和存储介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170213025A1 (en) * 2015-10-30 2017-07-27 General Electric Company Methods, systems, apparatus, and storage media for use in detecting anomalous behavior and/or in preventing data loss
CN105357217A (zh) * 2015-12-02 2016-02-24 北京北信源软件股份有限公司 基于用户行为分析的数据盗取风险评估方法和系统
CN106850613A (zh) * 2017-01-24 2017-06-13 中国科学院信息工程研究所 一种基于改进ahp的用户行为信任评估方法及系统
CN107067157A (zh) * 2017-03-01 2017-08-18 北京奇艺世纪科技有限公司 业务风险评估方法、装置及风控系统
CN107231345A (zh) * 2017-05-03 2017-10-03 成都国腾实业集团有限公司 基于ahp的网络用户行为风险评估方法
CN107832621A (zh) * 2017-11-16 2018-03-23 成都艾尔普科技有限责任公司 基于ahp的行为信任证据的权重计算方法
CN108156132A (zh) * 2017-11-20 2018-06-12 北京三快在线科技有限公司 访问行为数据处理方法、系统、设备及可读存储介质
CN108111348A (zh) * 2017-12-20 2018-06-01 杭州云屏科技有限公司 一种针对企业云应用的安全策略管理方法及系统
CN109861985A (zh) * 2019-01-02 2019-06-07 平安科技(深圳)有限公司 基于风险等级划分的ip风控方法、装置、设备和存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ZONGXIAO YANG; XIAOBO YUAN; SHUFANG GUO; CHONG LI; JIA LIU; HUI: "Decision analysis systems for safety assessments", 《IEEE XPLORE》 *
黄肖滢: "云计算平台安全评估指标模型研究", 《云计算平台安全评估指标模型研究 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116418587A (zh) * 2023-04-19 2023-07-11 中国电子科技集团公司第三十研究所 一种数据跨域交换行为审计追踪方法和数据跨域交换系统
CN116418587B (zh) * 2023-04-19 2024-04-30 中国电子科技集团公司第三十研究所 一种数据跨域交换行为审计追踪方法和数据跨域交换系统

Also Published As

Publication number Publication date
CN111859377B (zh) 2022-09-02

Similar Documents

Publication Publication Date Title
US11201893B2 (en) Systems and methods for performing cybersecurity risk assessments
CN106973038B (zh) 基于遗传算法过采样支持向量机的网络入侵检测方法
US10887335B2 (en) Aggregation of risk scores across ad-hoc entity populations
US6839850B1 (en) Method and system for detecting intrusion into and misuse of a data processing system
CN105516130B (zh) 一种数据处理方法和装置
KR102464390B1 (ko) 행위 분석 기반 이상 감지 방법 및 장치
US7870598B2 (en) Policy specification framework for insider intrusions
US20240297904A1 (en) Ordering security incidents using alert diversity
CN108881283B (zh) 评估网络攻击的模型训练方法、装置及储存介质
Almansob et al. Addressing challenges for intrusion detection system using naive Bayes and PCA algorithm
CN112003846B (zh) 一种信用阈值的训练、ip地址的检测方法及相关装置
CN111859377B (zh) 一种基于用户行为分析的事中安全审计方法
CN112165470B (zh) 一种基于日志大数据分析的智能终端接入安全预警系统
CN116747528B (zh) 一种游戏后台用户监管方法及系统
CN114996746B (zh) 基于多维度信息的数据权限管理方法及系统
CN110519208A (zh) 异常检测方法、装置及计算机可读介质
CN112422513B (zh) 一种基于网络流量报文的异常检测和攻击发起者分析系统
CN109241989A (zh) 一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统
CN115021997A (zh) 一种基于机器学习的网络入侵检测系统
CN116541815B (zh) 一种计算机设备运维数据安全管理系统
CN116074127B (zh) 一种基于大数据的自适应网络安全态势评估系统
CN115632884B (zh) 基于事件分析的网络安全态势感知方法与系统
CN111709021A (zh) 一种基于海量告警的攻击事件识别方法及电子装置
Gautam et al. Anomaly detection system using entropy based technique
El Attar et al. Clustering-based anomaly detection for smartphone applications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant