CN112287390B - 基线的自适应调整方法及装置 - Google Patents
基线的自适应调整方法及装置 Download PDFInfo
- Publication number
- CN112287390B CN112287390B CN202011149415.7A CN202011149415A CN112287390B CN 112287390 B CN112287390 B CN 112287390B CN 202011149415 A CN202011149415 A CN 202011149415A CN 112287390 B CN112287390 B CN 112287390B
- Authority
- CN
- China
- Prior art keywords
- baseline
- model
- data
- value
- behavior data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000002159 abnormal effect Effects 0.000 claims abstract description 33
- 230000005856 abnormality Effects 0.000 claims abstract description 13
- 238000012937 correction Methods 0.000 claims abstract description 9
- 230000008030 elimination Effects 0.000 claims abstract description 8
- 238000003379 elimination reaction Methods 0.000 claims abstract description 8
- 230000006399 behavior Effects 0.000 claims description 148
- 238000012986 modification Methods 0.000 claims description 7
- 230000004048 modification Effects 0.000 claims description 7
- 230000003044 adaptive effect Effects 0.000 claims description 3
- 206010000117 Abnormal behaviour Diseases 0.000 abstract description 3
- 230000006978 adaptation Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种基线的自适应调整方法及装置。所述方法包括:根据包含模型参数的基线模型确定用于评估敏感信息的访问行为数据是否存在异常的第一基线值;若待检测用户在目标时段内的访问行为数据大于所述第一基线值,且接收到对所述待检测用户在目标时段内的异常访问行为的消除指令,则将所述待检测用户在目标时段内的访问行为数据作为修正基线值;根据所述修正基线值反向修改所述基线模型中的模型参数,以根据经过模型参数修改的基线模型确定用于评估敏感信息的访问行为数据是否存在异常的第一基线值。从而,能够对基线模型的模型参数进行自适应调整,基于该自适应调整的基线对访问异常行为进行准确监测,可以减少误报漏报的情况发生。
Description
技术领域
本发明涉及网络技术领域,具体涉及一种基线的自适应调整方法及装置。
背景技术
大数据时代,大量敏感数据在各种业务活动中产生,其价值越来越凸显,在商业策略、社会治理和国家战略制定过程中,敏感数据都起到了重要的决策支撑作用。但价值的背后同样潜藏着巨大的风险,敏感数据泄露、滥用等问题会危害个人隐私、企业发展。所以高效地构建敏感数据的正常访问基线、并准确地识别出异常访问行为,对敏感数据保护具有重要意义。
发明内容
有鉴于此,本发明提供一种基线的自适应调整方法及装置,以至少解决相关技术中的技术问题。
为实现上述目的,本发明提供技术方案如下:
根据本发明的第一方面,提出了一种基线的自适应调整方法,包括:
根据包含模型参数的基线模型确定用于评估敏感信息的访问行为数据是否存在异常的第一基线值;
若待检测用户在目标时段内的访问行为数据大于所述第一基线值,且接收到对所述待检测用户在目标时段内的异常访问行为的消除指令,则将所述待检测用户在目标时段内的访问行为数据作为修正基线值;
根据所述修正基线值反向修改所述基线模型中的模型参数,以根据经过模型参数修改的基线模型确定用于评估敏感信息的访问行为数据是否存在异常的第一基线值。
可选地,所述根据包含模型参数的基线模型确定用于评估对敏感信息的访问行为数据是否存在异常的第一基线值,包括:
根据多个历史目标时段内对敏感信息的访问行为数据确定第一行为数据序列;
根据所述基线模型确定对应于所述第一行为数据序列的第二基线值;
将所述第二基线值确定为用于评估对敏感信息的访问行为是否存在异常的第一基线值。
可选地,所述方法还包括:
根据多个历史目标时段内对敏感信息的访问行为数据确定第一行为数据序列,以及根据多个近期全时段内对敏感信息的访问行为数据确定第二行为数据序列;
分别根据所述基线模型确定对应于所述第一行为数据序列的第二基线值,以及对应于所述第二行为数据序列的第三基线值;
将所述第二基线值和所述第三基线值中的最大值确定为所述第一基线值。
可选地,所述根据包含模型参数的基线模型确定用于评估对敏感信息的访问行为数据是否存在异常的第一基线值,包括:
获取由对敏感信息的访问行为数据而确定的数据期望值和数据标准差;
将所述数据期望值和数据标准差输入所述基线模型,以使所述基线模型将在所述数据期望值的基础上增加所述模型参数与所述数据标准差的乘积后的值确定为所述第一基线值。
可选地,所述根据所述修正基线值反向修改所述基线模型中的模型参数,包括:
确定所述修正基线值与所述数据期望值的差值;
将所述差值与所述数据标准差的商替换所述基线模型中的模型参数。
可选地,所述对敏感信息的访问行为数据包括以下参数中的至少一种:
对单一应用或者全部应用中的敏感信息的访问次数;
对单一应用或者全部应用中的敏感信息的访问频率;
对单一应用或者全部应用中的敏感信息的下载次数;
对单一应用或者全部应用中的敏感信息的下载频率;
对单一应用或者全部应用中的敏感信息的每次访问时长。
根据本发明的第二方面,提出了一种基线的自适应调整装置,包括:
基线确定模块,用于根据包含模型参数的基线模型确定用于评估敏感信息的访问行为数据是否存在异常的第一基线值;
修正模块,用于若待检测用户在目标时段内的访问行为数据大于所述第一基线值,且接收到对所述待检测用户在目标时段内的异常访问行为的消除指令,则将所述待检测用户在目标时段内的访问行为数据作为修正基线值;
修改模块,根据所述修正基线值反向修改所述基线模型中的模型参数,以根据经过模型参数修改的基线模型确定用于评估敏感信息的访问行为数据是否存在异常的第一基线值。
可选地,所述基线确定模块具体用于:
根据多个历史目标时段内对敏感信息的访问行为数据确定第一行为数据序列;
根据所述基线模型确定对应于所述第一行为数据序列的第二基线值;
将所述第二基线值确定为用于评估对敏感信息的访问行为是否存在异常的第一基线值。
可选地,所述基线确定模块具体用于:
根据多个历史目标时段内对敏感信息的访问行为数据确定第一行为数据序列,以及根据多个近期全时段内对敏感信息的访问行为数据确定第二行为数据序列;
分别根据所述基线模型确定对应于所述第一行为数据序列的第二基线值,以及对应于所述第二行为数据序列的第三基线值;
将所述第二基线值和所述第三基线值中的最大值确定为所述第一基线值。
可选地,所述确定模块具体用于:
获取由对敏感信息的访问行为数据而确定的数据期望值和数据标准差;
将所述数据期望值和数据标准差输入所述基线模型,以使所述基线模型将在所述数据期望值的基础上增加所述模型参数与所述数据标准差的乘积后的值确定为所述第一基线值。
可选地,所述修改模块具有用于:
确定所述修正基线值与所述数据期望值的差值;
将所述差值与所述数据标准差的商替换所述基线模型中的模型参数。
根据本发明的第三方面,提出了一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为可执行指令以实现如上述第一方面中任一项所述的方法。
根据本发明的第四方面,提供一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如上述第一方面中任一所述方法的步骤。
由以上技术方案可见,方法能够对基线模型的模型参数进行自适应调整,以确定用于评估敏感信息的访问行为数据是否存在异常的动态基线,该动态基线能够始终反映用户的访问习惯,对访问异常行为进行准确监测,减少误报漏报的情况发生。且本发明实施例的基线的自适应调整方法,充分融合了用户访问敏感信息的时空特性,准确率高、高效并且具有普适性。
附图说明
图1a是根据本发明一示例性实施例示出的一种基线的自适应调整方法的流程图;
图1b是图1a中步骤101的方法实现流程图;
图2是根据本发明一示例性实施例示出的另一种基线的自适应调整方法的流程图;
图3是根据本发明一示例性实施例示出的另一种基线的自适应调整方法的流程图;
图4是根据本发明一示例性实施例示出的一种基线的自适应调整装置的模块示意图;
图5是本发明一示例实施例示出的一种电子设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1a是根据本发明一示例性实施例示出的一种基线的自适应调整方法的流程图,该方法可以包括以下步骤:
步骤101、根据包含模型参数的基线模型确定用于评估敏感信息的访问行为数据是否存在异常的第一基线值。
其中,敏感信息的访问行为数据可以但不限于包括以下参数中的至少一种:对单一应用或者全部应用中的敏感信息的访问次数、对单一应用或者全部应用中的敏感信息的访问频率、对单一应用或者全部应用中的敏感信息的下载次数、对单一应用或者全部应用中的敏感信息的下载频率、对单一应用或者全部应用中的敏感信息的每次访问时长。
运维人员可以根据实际需求,从上述参数中选择一个或者多个维度的参数对用户的访问行为进行评估。可以理解的,各个参数维度不同,数值范围不同,对于不同维度的参数的评估标准也不同,也即第一基线值不同。若访问行为数据包含多个参数,则需要分别确定对应于各个参数的第一基线值。
确定上述参数时,可以采集用户访问敏感信息的网络流量或操作日志,该网络流量或操作日志包含源IP、用户账号、应用、敏感信息类型、访问内容、下载内容等字段信息,并基于统计分析法对网络流量或操作日志进行统计分析,以确定对应于用户的访问行为数据。其中,可以但不限于使用源IP、用户账号表征各个用户。
在一个实施例中,参见图1b,步骤101具体包括:
步骤101-1、根据多个历史目标时段内对敏感信息的访问行为数据确定第一行为数据序列。
其中,第一行为数据序列用于确定第一基线值,而第一基线值用于评估相较于用户的历史访问行为,当前用户的访问行为是否存在异常,因此需要根据用户的历史访问行为数据确定可以表征用户访问特性的第一行为数据序列。
历史目标时段可以根据应用的敏感信息被访问的时间确定,例如某个应用的敏感信息一般在8:00~18:00这个时段被访问,则历史目标时段例如可以为每天的8:00~18:00。
历史目标时段也可以根据用户的历史访问时间确定,例如,某个用户经常在周六10:00~14:00和周日10:00~14:00、16:00~24:00访问应用的敏感信息,则多个历史目标时段例如可以为3个月内每周六10:00~14:00、每周日10:00~14:00、每周日16:00~24:00;某个用户经常在晚上18:00~22:00访问应用的敏感信息,则多个历史目标时段例如可以为5天内每天18:00~22:00。
以多个历史目标时段为10月1日~10月5日这5天内每天18:00~22:00,访问行为数据为对一个应用的敏感信息的访问次数为例,构建的第一行为数据序列可以表示为[10月1日18:00~22:00的访问次数、10月2日18:00~22:00的访问次数、10月3日18:00~22:00的访问次数、10月4日18:00~22:00的访问次数、10月5日18:00~22:00的访问次数]。
步骤101-2、根据包含模型参数的基线模型确定对应于第一行为数据序列的第二基线值。
其中,基线模型可以但不限于为序列均值模型、概率基线模型、基于神经网络训练得到的模型、基于3σ原则构建的基线模型等。
以序列均值模型为例,确定第二基线值时,将第一行为数据序列输入基线模型,基线模型计算第一行为数据序列中元素的均值,基线模型输出的均值即为第二基线值。
步骤101-3、将第二基线值确定为用于评估对敏感信息的访问行为是否存在异常的第一基线值。
在另一个实施例中,可以基于对应于两个时间维度的2组访问行为数据确定第一基线值。第一组访问行为数据为多个历史目标时段内对敏感信息的访问行为数据,第二组访问行为数据为近期全时段内对敏感信息的访问行为数据。分别基于两组访问行为数据确定对应的第一行为数据序列和第二行为数据序列,分别将第一行为数据序列和第二行为数据序列输入基线模型以确定对应于第一行为数据序列的第二基线值以及对应于第二行为数据序列的第三基线值,并将第二基线值和第三基线值中的最大值确定为第一基线值。
采用历史目标时段与近期全时段两个时间维度混合确定第一基线值,相较基于单一时段确定基线,能够更全面、精准地反映用户访问敏感信息的时间特性。
其中,近期全时段也即距离当前时刻往前的一时间段,例如可以是距离当前时刻往前推的5天内。举例来说,以当前时刻为10月5日10:00为例,近期全时段可以是10月1日10:00~10月5日10:00的时间段。
步骤102、若待检测用户在目标时段内的访问行为数据大于第一基线值,且接收到对待检测用户在目标时段内的异常访问行为的消除指令,则将待检测用户在目标时段内的访问行为数据作为修正基线值。
其中,目标时段与历史目标时段相对应。若第一基线值是对应于历史目标时段为18:00~22:00,访问行为数据为对一个应用的敏感信息的访问次数的基线值,相对应的,则对待检测用户的访问行为进行检测时,可以获取该待检测用户近期在时段为18:00~22:00的访问次数(访问行为数据),并判断该访问次数是否大于第一基线值。
若待检测用户在目标时段内的访问行为数据大于第一基线值,但未接收到对待检测用户在目标时段内的异常访问行为的消除指令,则可确定待检测用户的访问行为为异常访问。
若待检测用户在目标时段内的访问行为数据大于第一基线值,且接收到对待检测用户在目标时段内的异常访问行为的消除指令,说明被判定为异常访问事件的访问行为事实上是误报,很可能当前的基线模型已经不能准确反映用户的访问特性了,需要对其进行调整。
需要说明的是,基线调整的周期可以自行设置,例如可以是每天进行基线调整,则每天获取待检测用户在目标时段内的访问行为数据,确定修正基线值,以进行基线调整。
步骤103、根据修正基线值反向修改基线模型中的模型参数。
对基线模型中的模型参数进行修改之后,则根据经过模型参数修改的基线模型确定基线值,并对用户的访问行为数据进行评估。
本发明实施例,能够对基线模型的模型参数进行自适应调整,以确定用于评估敏感信息的访问行为数据是否存在异常的动态基线,该动态基线能够始终反映用户的访问习惯,对访问异常行为进行准确监测,减少误报漏报的情况发生。且本发明实施例的基线的自适应调整方法,充分融合了用户访问敏感信息的时空特性,并且具有普适性。
图2是根据本发明一示例性实施例示出的另一种基线的自适应调整方法的流程图,本实施例中,以基于3σ原则构建基线模型为例,对基线的自适应调整的具体实现过程进行说明。参见图2,方法可以包括以下步骤:
步骤201、获取由对敏感信息的访问行为数据而确定的数据期望值和数据标准差。
基于3σ原则构建基线模型可以但不限于表示如下:
L=μX+Kx*σX;
其中,L表示输入参数X的第一基线值;μX表示X的数据期望值;σX表示X的数据标准差;Kx表示基线模型的模型参数。
基于上述基线模型确定第一基线值,需要获取由对敏感信息的访问行为数据而确定的数据期望值和数据标准差。
步骤202、将数据期望值和数据标准差输入基线模型,以使基线模型将在数据期望值的基础上增加模型参数与数据标准差的乘积后的值确定为第一基线值。
其中,根据经验,基线模型的初始模型参数可以设置为3,确定第一基线值也即将基于访问行为数据确定的数据期望值和数据标准差代入公式L=μX+3*σX,以得到第一基线值。
步骤203、若待检测用户在目标时段内的访问行为数据大于第一基线值,且接收到对待检测用户在目标时段内的异常访问行为的消除指令,则将待检测用户在目标时段内的访问行为数据作为修正基线值。
若待检测用户在目标时段内的访问行为数据大于第一基线值,但未接收到对待检测用户在目标时段内的异常访问行为的消除指令,则可确定待检测用户的访问行为为异常访问。
若待检测用户在目标时段内的访问行为数据大于第一基线值,且接收到对待检测用户在目标时段内的异常访问行为的消除指令,说明被判定为异常访问事件的访问行为事实上是误报,很可能当前的基线模型已经不能准确反映用户的访问特性了,需要对模型参数进行调节,则执行步骤204。
步骤204、根据修正基线值反向确定基线模型中的模型参数,并使用所确定的模型参数替换原来的模型参数。
步骤204也即将待检测用户在目标时段内的访问行为数据作为修正基线值,并带入到基线模型中,以反向求解得到新的模型参数,并将新的模型参数替换原来的模型参数,以根据经过模型参数修改的基线模型确定用于评估敏感信息的访问行为数据是否存在异常的基线值。
还是以基线模型为L=μX+Kx*σX为例,模型参数可以表示为:
若待检测用户在目标时段内的访问次数(访问行为数据)为a(修正基线值),对应的数据期望值为μA和数据标准差为σA,将a、μA和σA代入上述公式,可得:
从而,获取由对敏感信息的访问行为数据而确定的数据期望值和数据标准差,即可确定修正基线值与数据期望值的差值,将差值与数据标准差的商值作为反向调整后的基线模型中的模型参数,将该新的模型参数替换原来的模型参数,并使用经过模型参数替换后的基线模型判断用户的访问行为是否异常。
本发明实施例中,结合3σ原则构建基线模型,通过误差反馈动态修正基线模型的模型参数,相较于固定模型参数的基线模型,能够更准确、自适应地构建用户访问敏感信息的基线,对用户的异常访问行为进行准确监测。
图3是根据本发明一示例性实施例示出的另一种基线的自适应调整方法的流程图,该方法可以包括以下步骤:
步骤301、根据多个历史目标时段内对敏感信息的访问行为数据确定第一行为数据序列,并确定对应于第一行为数据序列的数据期望值和数据标准差。
基于3σ原则构建基线模型可以但不限于表示如下:
L=μX+Kx*σX;
其中,L表示输入参数X的第一基线值;μX表示X的数据期望值;σX表示X的数据标准差;Kx表示基线模型的模型参数。
基于上述基线模型确定第二基线值,需要确定第一行为数据序列A的数据期望值μA和数据标准差σA。
步骤302、将对应于第一行为数据序列的数据期望值和数据标准差输入基线模型,以确定对应于第一行为数据序列的第二基线值。
其中,根据经验,基线模型的初始模型参数可以设置为3,确定第一基线值也即将基于访问行为数据确定的数据期望值μA和数据标准差σA代入公式L=μX+3*σX,可得:
第二基线值L2=μA+3*σA。
步骤301’、根据多个近期全时段内对敏感信息的访问行为数据确定第二行为数据序列,并确定对应于第二行为数据序列的数据期望值和数据标准差。
与确定第二基线值类似的,确定第三基线值,需要确定第二行为数据序列B的数据期望值μB和数据标准差σB。
步骤302’、将对应于第二行为数据序列的数据期望值和数据标准差输入基线模型,以确定对应于第二行为数据序列的第二基线值。
确定第二基线值也即将基于访问行为数据确定的数据期望值μB和数据标准差σB代入公式L=μX+3*σX,可得:
第三基线值L3=μB+3*σB。
需要说明的是,步骤301、步骤302与步骤301’、步骤302’可以如图中示出的同步执行;也可以先执行步骤301、步骤302,再执行步骤301’、步骤302’;或者先执行步骤301’、步骤302’,在执行步骤301、步骤302。
步骤303、将第二基线值和第三基线值中的最大值确定为第一基线值。
若L2>L3,则第一基线值为L2;若L2<L3,则第一基线值为L3。
步骤304、若待检测用户在目标时段内的访问行为数据大于第一基线值,且接收到对待检测用户在目标时段内的异常访问行为的消除指令,则将待检测用户在目标时段内的访问行为数据作为修正基线值。
步骤305、根据修正基线值反向确定基线模型中的模型参数,并使用所确定的模型参数替换模型参数。
其中,步骤304和步骤305具体实现方式与步骤203和步骤204类似,步骤304和步骤305的具体实现过程参见步骤203和步骤204,此处不再赘诉。
本发明实施例,抽取历史目标时段与近期全时段的特征数据构造第一行为数据序列A和第一行为数据序列B,结合数据分布的3σ原则构建基数模型,并通过误差反馈动态修正模型参数,基于基线模型确定对应于第一行为数据序列A的基线值和对应于第二行为数据序列B的基线值,选择二者中的最大值作为模型最终基线结果,评估用户对评估敏感信息的访问行为数据是否存在异常。
与前述基线的自适应调整方法实施例相对应,本发明还提供了基线的自适应调整装置的实施例。
图4是根据本发明一示例性实施例示出的一种基线的自适应调整装置的模块示意图,装置包括:
基线确定模块41,用于根据包含模型参数的基线模型确定用于评估敏感信息的访问行为数据是否存在异常的第一基线值;
修正模块42,用于若待检测用户在目标时段内的访问行为数据大于所述第一基线值,且接收到对所述待检测用户在目标时段内的异常访问行为的消除指令,则将所述待检测用户在目标时段内的访问行为数据作为修正基线值;
修改模块43,根据所述修正基线值反向修改所述基线模型中的模型参数,以根据经过模型参数修改的基线模型确定用于评估敏感信息的访问行为数据是否存在异常的第一基线值。
可选地,所述基线确定模块具体用于:
根据多个历史目标时段内对敏感信息的访问行为数据确定第一行为数据序列;
根据所述基线模型确定对应于所述第一行为数据序列的第二基线值;
将所述第二基线值确定为用于评估对敏感信息的访问行为是否存在异常的第一基线值。
可选地,所述基线确定模块具体用于:
根据多个历史目标时段内对敏感信息的访问行为数据确定第一行为数据序列,以及根据多个近期全时段内对敏感信息的访问行为数据确定第二行为数据序列;
分别根据所述基线模型确定对应于所述第一行为数据序列的第二基线值,以及对应于所述第二行为数据序列的第三基线值;
将所述第二基线值和所述第三基线值中的最大值确定为所述第一基线值。
可选地,所述确定模块具体用于:
获取由对敏感信息的访问行为数据而确定的数据期望值和数据标准差;
将所述数据期望值和数据标准差输入所述基线模型,以使所述基线模型将在所述数据期望值的基础上增加所述模型参数与所述数据标准差的乘积后的值确定为所述第一基线值。
可选地,所述修改模块具有用于:
确定所述修正基线值与所述数据期望值的差值;
将所述差值与所述数据标准差的商替换所述基线模型中的模型参数。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
图5是本发明一示例实施例示出的一种电子设备的结构示意图,示出了适于用来实现本发明实施方式的示例性电子设备50的框图。图5显示的电子设备50仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,电子设备50可以以通用计算设备的形式表现,例如其可以为服务器设备。电子设备50的组件可以包括但不限于:上述至少一个处理器51、上述至少一个存储器52、连接不同系统组件(包括存储器52和处理器51)的总线53。
总线53包括数据总线、地址总线和控制总线。
存储器52可以包括易失性存储器,例如随机存取存储器(RAM)521和/或高速缓存存储器522,还可以进一步包括只读存储器(ROM)523。
存储器52还可以包括具有一组(至少一个)程序模块524的程序工具525(或实用工具),这样的程序模块524包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
处理器51通过运行存储在存储器52中的计算机程序,从而执行各种功能应用以及数据处理,例如上述任一实施例所提供的方法。
电子设备50也可以与一个或多个外部设备54(例如键盘、指向设备等)通信。这种通信可以通过输入/输出(I/O)接口55进行。并且,模型生成的电子设备50还可以通过网络适配器56与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器56通过总线53与模型生成的电子设备50的其它模块通信。应当明白,尽管图中未示出,可以结合模型生成的电子设备50使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID(磁盘阵列)系统、磁带驱动器以及数据备份存储系统等。
应当注意,尽管在上文详细描述中提及了电子设备的若干单元/模块或子单元/模块,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多单元/模块的特征和功能可以在一个单元/模块中具体化。反之,上文描述的一个单元/模块的特征和功能可以进一步划分为由多个单元/模块来具体化。
本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述任一实施例所提供的方法的步骤。
其中,可读存储介质可以采用的更具体可以包括但不限于:便携式盘、硬盘、随机存取存储器、只读存储器、可擦拭可编程只读存储器、光存储器件、磁存储器件或上述的任意合适的组合。
虽然本说明书包含许多具体实施细节,但是这些不应被解释为限制任何发明的范围或所要求保护的范围,而是主要用于描述特定发明的具体实施例的特征。本说明书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面,在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外,虽然特征可以如上所述在某些组合中起作用并且甚至最初如此要求保护,但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除,并且所要求保护的组合可以指向子组合或子组合的变型。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (11)
1.一种基线的自适应调整方法,其特征在于,包括:
根据包含模型参数的基线模型确定用于评估敏感信息的访问行为数据是否存在异常的第一基线值;
若待检测用户在目标时段内的访问行为数据大于所述第一基线值,且接收到对所述待检测用户在目标时段内的异常访问行为的消除指令,则将所述待检测用户在目标时段内的访问行为数据作为修正基线值;
根据所述修正基线值反向修改所述基线模型中的模型参数,以根据经过模型参数修改的基线模型确定用于评估敏感信息的访问行为数据是否存在异常的第一基线值;
其中,所述根据包含模型参数的基线模型确定用于评估敏感信息的访问行为数据是否存在异常的第一基线值,包括:
获取由敏感信息的访问行为数据而确定的数据期望值和数据标准差;
将所述数据期望值和数据标准差输入所述基线模型,以使所述基线模型将在所述数据期望值的基础上增加所述模型参数与所述数据标准差的乘积后的值确定为所述第一基线值。
2.根据权利要求1所述的方法,其特征在于,所述根据包含模型参数的基线模型确定用于评估敏感信息的访问行为数据是否存在异常的第一基线值,包括:
根据多个历史目标时段内敏感信息的访问行为数据确定第一行为数据序列;
根据所述基线模型确定对应于所述第一行为数据序列的第二基线值;
将所述第二基线值确定为用于评估敏感信息的访问行为是否存在异常的第一基线值。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据多个历史目标时段内敏感信息的访问行为数据确定第一行为数据序列,以及根据多个近期全时段内敏感信息的访问行为数据确定第二行为数据序列;
分别根据所述基线模型确定对应于所述第一行为数据序列的第二基线值,以及对应于所述第二行为数据序列的第三基线值;
将所述第二基线值和所述第三基线值中的最大值确定为所述第一基线值。
4.根据权利要求1所述的方法,其特征在于,所述根据所述修正基线值反向修改所述基线模型中的模型参数,包括:
确定所述修正基线值与所述数据期望值的差值;
将所述差值与所述数据标准差的商替换所述基线模型中的模型参数。
5.根据权利要求1所述的方法,其特征在于,所述敏感信息的访问行为数据包括以下参数中的至少一种:
对单一应用或者全部应用中的敏感信息的访问次数;
对单一应用或者全部应用中的敏感信息的访问频率;
对单一应用或者全部应用中的敏感信息的下载次数;
对单一应用或者全部应用中的敏感信息的下载频率;
对单一应用或者全部应用中的敏感信息的每次访问时长。
6.一种基线的自适应调整装置,其特征在于,包括:
基线确定模块,用于根据包含模型参数的基线模型确定用于评估敏感信息的访问行为数据是否存在异常的第一基线值;
修正模块,用于若待检测用户在目标时段内的访问行为数据大于所述第一基线值,且接收到对所述待检测用户在目标时段内的异常访问行为的消除指令,则将所述待检测用户在目标时段内的访问行为数据作为修正基线值;
修改模块,根据所述修正基线值反向修改所述基线模型中的模型参数,以根据经过模型参数修改的基线模型确定用于评估敏感信息的访问行为数据是否存在异常的第一基线值;
其中,所述根据包含模型参数的基线模型确定用于评估敏感信息的访问行为数据是否存在异常的第一基线值,包括:
获取由敏感信息的访问行为数据而确定的数据期望值和数据标准差;
将所述数据期望值和数据标准差输入所述基线模型,以使所述基线模型将在所述数据期望值的基础上增加所述模型参数与所述数据标准差的乘积后的值确定为所述第一基线值。
7.根据权利要求6所述的装置,其特征在于,所述基线确定模块具体用于:
根据多个历史目标时段内敏感信息的访问行为数据确定第一行为数据序列;
根据所述基线模型确定对应于所述第一行为数据序列的第二基线值;
将所述第二基线值确定为用于评估敏感信息的访问行为是否存在异常的第一基线值。
8.根据权利要求6所述的装置,其特征在于,所述基线确定模块具体用于:
根据多个历史目标时段内对敏感信息的访问行为数据确定第一行为数据序列,以及根据多个近期全时段内对敏感信息的访问行为数据确定第二行为数据序列;
分别根据所述基线模型确定对应于所述第一行为数据序列的第二基线值,以及对应于所述第二行为数据序列的第三基线值;
将所述第二基线值和所述第三基线值中的最大值确定为所述第一基线值。
9.根据权利要求6所述的装置,其特征在于,所述修改模块具体用于:
确定所述修正基线值与所述数据期望值的差值;
将所述差值与所述数据标准差的商替换所述基线模型中的模型参数。
10.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为可执行指令以实现如权利要求1-5中任一项所述的方法。
11.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-5中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011149415.7A CN112287390B (zh) | 2020-10-23 | 2020-10-23 | 基线的自适应调整方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011149415.7A CN112287390B (zh) | 2020-10-23 | 2020-10-23 | 基线的自适应调整方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112287390A CN112287390A (zh) | 2021-01-29 |
| CN112287390B true CN112287390B (zh) | 2024-05-10 |
Family
ID=74425047
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011149415.7A Active CN112287390B (zh) | 2020-10-23 | 2020-10-23 | 基线的自适应调整方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112287390B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114444608B (zh) * | 2022-02-08 | 2024-03-29 | 中国电信股份有限公司 | 数据集质量评估方法及装置、电子设备及存储介质 |
| CN114615021A (zh) * | 2022-02-16 | 2022-06-10 | 奇安信科技集团股份有限公司 | 用于安全分析的实时行为安全基线自动计算方法及装置 |
| CN117221008B (zh) * | 2023-11-07 | 2024-02-23 | 中孚信息股份有限公司 | 基于反馈机制的多行为基线修正方法、系统、装置及介质 |
| CN117454410B (zh) * | 2023-12-25 | 2024-03-12 | 北京中微盛鼎科技有限公司 | 基于隐私计算的企业知识大脑数据存储方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106998334A (zh) * | 2017-05-25 | 2017-08-01 | 北京计算机技术及应用研究所 | 一种计算机用户行为异常检测方法 |
| CN108111463A (zh) * | 2016-11-24 | 2018-06-01 | 蓝盾信息安全技术有限公司 | 基于平均值和标准差的多维度基线自学习和异常行为分析 |
| CN108718303A (zh) * | 2018-05-09 | 2018-10-30 | 北京仁和诚信科技有限公司 | 安全运维管理方法及系统 |
| CN108965347A (zh) * | 2018-10-10 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 一种分布式拒绝服务攻击检测方法、装置及服务器 |
| CN109164786A (zh) * | 2018-08-24 | 2019-01-08 | 杭州安恒信息技术股份有限公司 | 一种基于时间相关基线的异常行为检测方法、装置及设备 |
| CN111131290A (zh) * | 2019-12-30 | 2020-05-08 | 山石网科通信技术股份有限公司 | 流量数据处理方法和装置 |
| CN111159706A (zh) * | 2019-12-26 | 2020-05-15 | 深信服科技股份有限公司 | 数据库安全检测方法、装置、设备及存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110161048A1 (en) * | 2009-12-31 | 2011-06-30 | Bmc Software, Inc. | Method to Optimize Prediction of Threshold Violations Using Baselines |
| US8457928B2 (en) * | 2010-03-26 | 2013-06-04 | Bmc Software, Inc. | Automatic determination of dynamic threshold for accurate detection of abnormalities |
-
2020
- 2020-10-23 CN CN202011149415.7A patent/CN112287390B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108111463A (zh) * | 2016-11-24 | 2018-06-01 | 蓝盾信息安全技术有限公司 | 基于平均值和标准差的多维度基线自学习和异常行为分析 |
| CN106998334A (zh) * | 2017-05-25 | 2017-08-01 | 北京计算机技术及应用研究所 | 一种计算机用户行为异常检测方法 |
| CN108718303A (zh) * | 2018-05-09 | 2018-10-30 | 北京仁和诚信科技有限公司 | 安全运维管理方法及系统 |
| CN109164786A (zh) * | 2018-08-24 | 2019-01-08 | 杭州安恒信息技术股份有限公司 | 一种基于时间相关基线的异常行为检测方法、装置及设备 |
| CN108965347A (zh) * | 2018-10-10 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 一种分布式拒绝服务攻击检测方法、装置及服务器 |
| CN111159706A (zh) * | 2019-12-26 | 2020-05-15 | 深信服科技股份有限公司 | 数据库安全检测方法、装置、设备及存储介质 |
| CN111131290A (zh) * | 2019-12-30 | 2020-05-08 | 山石网科通信技术股份有限公司 | 流量数据处理方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112287390A (zh) | 2021-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112287390B (zh) | 基线的自适应调整方法及装置 | |
| US20230351456A1 (en) | System and methods for vulnerability assessment and provisioning of related services and products for efficient risk suppression | |
| US11947434B2 (en) | System under test analysis method to detect deficiencies and/or auto-corrections | |
| EP1058886B1 (en) | System and method for optimizing performance monitoring of complex information technology systems | |
| US7747494B1 (en) | Non-determinative risk simulation | |
| US7979520B2 (en) | Prescriptive architecture recommendations | |
| US10686825B2 (en) | Multiple presentation fidelity-level based quantitative cyber risk decision support system | |
| CN113545026A (zh) | 用于漏洞评估和补救措施识别的系统和方法 | |
| AU2019253894B1 (en) | Automated identification of device status and resulting dynamic modification of device operations | |
| CN108021673A (zh) | 一种用户兴趣模型生成方法、职位推荐方法及计算设备 | |
| CN110679114B (zh) | 一种估计数据对象可删除性的方法 | |
| US20080065574A1 (en) | Adaptive database management and monitoring | |
| US20200310889A1 (en) | Cloud security using security alert feedback | |
| WO2001079994A2 (en) | System and method for dynamically managing electronic business process | |
| US20190332591A1 (en) | Hive table scanning method, device, computer apparatus and storage medium | |
| US20230244687A1 (en) | Optimization of Virtual Warehouse Computing Resource Allocation | |
| US20090094174A1 (en) | Method, system and program product for on demand data mining server with dynamic mining models | |
| Desmet et al. | Safety stock optimisation in two-echelon assembly systems: normal approximation models | |
| CN112685157B (zh) | 任务处理方法、装置、计算机设备及存储介质 | |
| US20210183529A1 (en) | Method and system for managing operation associated with an object on iot enabled devices | |
| US11195113B2 (en) | Event prediction system and method | |
| US10616073B1 (en) | Graph-based service failure analysis | |
| US20230297684A1 (en) | Generation of desired data for evaluation of at least a portion of a system | |
| CN111104569A (zh) | 数据库表的区域切分方法、装置及存储介质 | |
| US20230098555A1 (en) | Ensuring data completeness using context aware machine learning models |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |