CN112491779B - 一种异常行为检测方法及装置、电子设备 - Google Patents
一种异常行为检测方法及装置、电子设备 Download PDFInfo
- Publication number
- CN112491779B CN112491779B CN201910866597.0A CN201910866597A CN112491779B CN 112491779 B CN112491779 B CN 112491779B CN 201910866597 A CN201910866597 A CN 201910866597A CN 112491779 B CN112491779 B CN 112491779B
- Authority
- CN
- China
- Prior art keywords
- target
- audit
- operator
- abnormal
- log data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请提供了一种异常行为检测方法及装置、电子设备,所述方法包括:获取目标操作人员的日志数据;基于所述目标操作人员的日志数据,生成所述目标操作人员的特征信息;将所述目标操作人员的特征信息输入审计模型,通过所述审计模型检测所述目标操作人员的操作行为是否属于异常操作行为。
Description
技术领域
本申请涉及异常行为检测技术,尤其涉及一种异常行为检测方法及装置、电子设备。
背景技术
随着互联网应用的普及和人们对互联网的依赖,互联网的安全问题也日益凸显。近年来,企业不断出现重要数据被窃取,个人信息泄露事件频发。黑客攻击、病毒感染、网站漏洞是常见原因,但据调查,信息安全的现实威胁主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。组织内部、内部员工或者提供第三方IT支撑的人员等,利用职务之便,处理客户业务时违规操作,导致客户信息泄露的安全事件日益增多。
发明内容
为解决上述技术问题,本申请实施例提供了一种异常行为检测方法及装置、电子设备、计算机可读存储介质。
本申请实施例提供的异常行为检测方法,所述方法包括:获取目标操作人员的日志数据;基于所述目标操作人员的日志数据,生成所述目标操作人员的特征信息;将所述目标操作人员的特征信息输入审计模型,通过所述审计模型检测所述目标操作人员的操作行为是否属于异常操作行为。
在本申请一可选实施方式中,所述目标操作人员的日志数据为指定时间范围内的日志数据;所述基于所述目标操作人员的日志数据,生成所述目标操作人员的特征信息,包括:
确定所述目标操作人员的指定时间范围内的日志数据是否属于涉敏日志数据;
所述目标操作人员的指定时间范围内的日志数据属于涉敏日志数据的情况下,基于所述目标操作人员的指定时间范围内的日志数据,生成所述目标操作人员的特征信息。
在本申请一可选实施方式中,所述审计模型为针对目标审计点的审计模型;所述方法还包括:
确定所述目标审计点是否具有用户相似性;
所述目标审计点不具有用户相似性的情况下,为所述目标审计点建立第一类审计模型,所述第一类审计模型为基于预设规则的审计模型;
所述目标审计点具有用户相似性的情况下,为所述目标审计点建立第二类审计模型,所述第二类审计模型为基于异常检测算法的审计模型。
在本申请一可选实施方式中,所述确定所述目标审计点是否具有用户相似性,包括:
基于至少一个操作人员的日志数据,生成所述至少一个操作人员的特征信息,其中,所述至少一个操作人员的特征信息形成特征库;
基于所述至少一个操作人员的特征信息,生成所述至少一个操作人员的标签信息,其中,所述至少一个操作人员的标签信息形成标签库;
基于所述特征库和/或所述标签库,将所述至少一个操作人员进行分组,并确定各组操作人员对应的特征向量;
基于所述各组操作人员对应的特征向量,计算余弦相似度;
所述余弦相似度大于或等于目标阈值的情况下,所述目标审计点具有用户相似性;所述余弦相似度小于目标阈值的情况下,所述目标审计点不具有用户相似性。
在本申请一可选实施方式中,所述第一类审计模型包括至少一个异常规则;
所述通过所述审计模型检测所述目标操作人员的操作行为是否属于异常操作行为,包括:
确定所述目标操作人员的日志数据是否命中所述至少一个异常规则;
所述目标操作人员的日志数据命中所述至少一个异常规则中的部分异常规则或全部异常规则的情况下,所述目标操作人员的操作行为属于异常操作行为;
所述目标操作人员的日志数据均未命中所述至少一个异常规则的情况下,所述目标操作人员的操作行为不属于异常操作行为。
在本申请一可选实施方式中,所述第二类审计模型包括至少一个异常检测算法;
所述通过所述审计模型检测所述目标操作人员的操作行为是否属于异常操作行为,包括:
针对所述至少一个异常检测算法中的每个异常检测算法,将所述目标操作人员的日志数据输入所述异常检测算法,通过所述异常检测算法计算所述目标操作人员的异常特征;基于所述目标操作人员的异常特征,确定所述目标操作人员的操作行为是否属于异常行为;
通过所述至少一个异常检测算法中的每个异常检测算法都确定所述目标操作人员的操作行为属于异常行为的情况下,则所述目标操作人员的操作行为属于异常行为。
本申请实施例提供的异常行为检测装置,所述装置包括:
获取单元,用于获取目标操作人员的日志数据;
生成单元,用于基于所述目标操作人员的日志数据,生成所述目标操作人员的特征信息;
输入单元,用于将所述目标操作人员的特征信息输入审计模型;
检测单元,用于通过所述审计模型检测所述目标操作人员的操作行为是否属于异常操作行为。
在本申请一可选实施方式中,所述审计模型为针对目标审计点的审计模型;所述装置还包括:
确定单元,用于确定所述目标审计点是否具有用户相似性;
建立单元,用于在所述目标审计点不具有用户相似性的情况下,为所述目标审计点建立第一类审计模型,所述第一类审计模型为基于预设规则的审计模型;所述目标审计点具有用户相似性的情况下,为所述目标审计点建立第二类审计模型,所述第二类审计模型为基于异常检测算法的审计模型。
本申请实施例提供的电子设备,所述电子设备包括:处理器和存储器,该存储器用于存储计算机程序,所述处理器用于调用并运行所述存储器中存储的计算机程序,执行以上所述的异常行为方法。
本申请实施例提供了一种计算机存储介质,所述计算机存储介质用于存储计算机程序,所述计算机程序使得计算机执行以上所述的异常行为检测方法。
本申请实施例的技术方案中,获取目标操作人员的日志数据;基于所述目标操作人员的日志数据,生成所述目标操作人员的特征信息;将所述目标操作人员的特征信息输入审计模型,通过所述审计模型检测所述目标操作人员的操作行为是否属于异常操作行为。如此,可以有针对性的通过日志数据检测出操作人员的异常行为,实现涉及客户敏感信息的操作人员的精细化经营和精准化管控,而且通过本方案建立的审计模型更易发现稀有的异常数据,使得模型的误判率更低。另外,本方案在大数据运行环境和普通运行环境中均可适用。
附图说明
图1为本申请实施例提供的异常行为检测系统的整体架构图;
图2为本申请实施例的用户画像模块的构成示意图;
图3为本申请实施例提供的异常行为检测方法的流程示意图一;
图4为本申请实施例提供的异常行为检测方法的流程示意图二;
图5为本申请实施例的确定审计点相似性的流程示意图;
图6为本申请实施例提供的异常行为检测方法的流程示意图三;
图7为本申请实施例提供的异常行为检测装置的结构组成示意图;
图8为本申请实施例提供的一种电子设备结构组成示意图;
具体实施方式
为便于理解本申请实施例的技术方案,以下对本申请实施例的相关技术进行说明。
在业务系统中,对于接触客户信息的内部人员,必须加强其操作行为的监测,及时发现违法违规行为(以下简称为异常操作行为)。在业务系统运行过程中,操作行为通常会产生大量的日志数据,通过日志数据去了解操作行为是重要手段之一。操作人员在处理业务过程中会访问到客户信息,客户信息内容不同,涉及隐私的等级不同,如身份标识信息、网络身份鉴权信息等属于涉及个人隐私的敏感信息,如客户业务订购关系等属于低敏感信息,如地区客户消费总额等属于非敏感信息;操作人员的角色不同,访问客户信息的权限不同;操作人员的个人习惯不同,访问客户信息的行为不同。因此,可根据操作人员的日志数据充分的挖掘操作人员的行为特征,全方位的进行日志审计,更精准的发现异常操作行为,辅助管理人员做好涉敏操作人员的分类分级安全管控,防止客户信息内部泄露。
一些日志审计方案有如下几种:
方案一:获取各系统登录操作的原始日志;对其进行内容分析,接续出源地址、设备IP地址和操作命名;并据此定位操作人员、设备和操作重要级别;建立以操作人员机器对应的操作设备、操作内容及重要级别为内容的审计视图;监控是否满足报警条件,若满足则发起报警,并将该满足报警条件的操作人员及所对应的操作设备、操作内容及重要级别计入审计敏感信息中,以便审计查阅分析。该发明通过对日志数据分析处理,建立以操作人员为视角的操作审计视图,实现了自动化审计。
方案二:审计平台从云端的各类平台分布采集相应的系统日志,并将获得的系统日志缓存至分布式异步队列中,以及确定满足预计的触发条件时,从该分布式异步队列中读取符合上述触发条件的系统日志,并给予规则模型对获得的系统日志进行审计,系统日志基于规则模型输出的概率与门限值进行比较,当概率低于门限值时,确定该系统日志为异常日志。其中,规则模型是基于历史审计数据进行机器学习训练后生成的。
方案三:用户根据各自的社交标签被分为不同的组,他们的行为模式应该与群体的行为模式相似。然后整合个体和群体的行为模式来计算新行为的异常程度。该方案通过社交标识来建立群体行为模式,用于计算异常行为系数;建立一定的时间段内自我更新机制,用户更新收集到的动态权重;该方案中所有行为都会被检测和分析。
方案四:根据统计周期内用户的日志记录,用户异常检测系统利用机器学习通过离线方式对用户访问行为进行异常分析,来建立用户行为模型,基于当前实时用户操作行为,用户异常行为检测系统在线比较实时行为和历史行为的差异;若上述二者差异较大,则判断该行为为不合规的行为。
方案五:将日志分为结构化分布和非结构化部分,分别确定结构化部分和非结构化部分的向量,利用向量运用层级聚类的方法进行日志审计,发掘出人们日志中的异常日志信息。
上述方案存在的问题主要有以下几个方面:
1.基于预设的审计规则和分析策略对日志数据进行异常行为分析的方案,难以建立完备的好的规则集,需要具有一些决策过程中显式的先验知识或者从机器学习算法中提炼规则,且一般从算法中提炼规则可解释性差,若使用单一的算法容易造成误判。同时,对不同的操作人员运用同样的规则模型,不具备针对性。
2.基于整合个体和群体的行为模式来计算新行为的异常程度的方案,虽然是利用了用户的社交标签,但标签主要用于确定用户所属组别,计算个体的新行为和个体群体行为模式的异常行为系数。这样,个体行为很容易受到群体行为的影响,要确保个体行为异常检测的准确性群体行为的判定准确性是前提,而且融合个体行为异常系数和其所属群主的行为异常系数的权重难以确定。
3.基于异常行为检测系统在线比较实时行为和历史行为差异的方案,必须依赖于大数据环境,如hdfs、storm的支撑,用户异常检测系统利用机器学习通过离线方式对用户历史访问行为进行异常分析,严格来说只是利用核密度估计和特征值分解法建立了用户访问行为模型而非真正意义上的用户画像。
4.基于层次聚类对日志数据进行异常行为分析的方案,具有聚类方法本身的局限性,如可解释性差、难以评估效果等;同时,层次聚类算法的时间复杂度大,需要预先指定合并或分解的终止条件,合并或分裂后不可逆,即不能重新合并或分裂来优化聚类的性能。
5.基于关联规则对日志数据进行异常行为分析的方案,虽然可以发掘出日志中的关联规则,但当日志多样化问题复杂化后,计算量增长太快;同时,该方案容易忽略稀有的数据,而异常数据是跟样本大多数数据不一样且在整体样本中占比很小的数据,通常都是稀有的。
6.基于日志数据构建用户画像的方案,虽然能够进行全面、准确的通过日志分析从而确定用户的多维度属性标签,但并没有明确如何应用用户画像的输出,而且很少有将用户画像应用安全管控方面的情况。
为此,提出了本申请实施例的以下技术方案,为了能够更加详尽地了解本申请实施例的特点与技术内容,下面结合附图对本申请实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本申请实施例。
图1为本申请实施例提供的异常行为检测系统的整体架构图,如图1所示,该架构包括:日志采集模块、日志审计模块、视图展示模块;以下对各个模型进行描述。
对于不具有用户相似性的审计点,根据用户画像的特征库和标签库,构建个性化的基于规则的审计模型(以下实施例称为第一类审计模型);对于具有用户相似性的审计点,基于异常检测算法构建审计模型(以下实施例称为第二类审计模型)。之后,对目标操作人员的当期日志数据(指定的审计期间,需要对应到指定时间范围的日志数据),根据审计点的类别和用户标签体系,分别运用不同的审计模型进行审计。
上述系统架构中,整体流程的核心为日志审计模块,包括用户画像子模块和审计模型子模块。
·用户画像子模块,该模块的目标是根据操作日志抽象出一个操作人员的信息全貌(即用户图像),如图2所示,用户画像子模块具有如下功能:
1)特征计算及特征库维护:根据历史涉敏日志数据进行特征计算,进而生成特征信息,如:操作次数、在线时长、在线天数、客户端IP数、服务端IP数、不同操作类型操作占比、不同涉敏等级操作占比等。其中,基于操作人员的特征信息可生成与操作人员对应的特征库。而且,为了保证特征信息的时效性,需要进行特征库维护,比如按周期(月)更新特征库。
2)标签库生成及维护:基于操作人员的特征信息,生成操作人员的标签信息,其中,所述操作人员的标签信息可形成标签库。具体的,基于特征库,从基础信息、人员分类、行为属性、个人偏好四个维度抽象出操作人员的信息,形成标签库。基础信息包括账号、自然人、组织路径、所属系统等标签;人员分类包括活跃等级、是否历史违规用户、是否历史异常用户等标签;行为属性包括操作次数区间、操作时长区间、操作IP数区间、无凭证操作次数区间等标签;个人偏好包括操作倾向、涉敏倾向(涉敏倾向,如倾向极敏感、敏感、低敏感,敏感等级的定义会根据涉敏内容统一制定标准,如涉及用户实体身份、密码的操作为极敏感级,涉及用户网络身份、联系人信息的操作为敏感级,涉及用户订购业务的操作为低敏感;用户的角色不同可能涉敏倾向不同,如超级管理员权限较高,可能经常会操作客户的高敏感信息)、时间倾向等标签。为了确保标签体系的时效性,需要根据特征库的更新来维护标签库。
3)标签应用:根据用户画像的标签体系,可以个性化的运用审计模型。在人工审计时,也可根据用户画像的输出重点审计高危人员、涉敏人员、活跃人员等标签的操作人员。
·审计模型子模块,该模块的目标是通过审计模型,根据目标操作人员的当期日志数据判断该目标操作人员是否有异常操作行为。以下结合图3和图4对审计模型子模块所实现的功能进行详细描述。
图3为本申请实施例提供的异常行为检测方法的流程示意图一,本实施例中的异常行为检测方法应用于电子设备中,该电子设备可以是任意一种具有计算处理能力的设备,如服务器,如图3所示,所述异常行为检测方法包括以下步骤:
步骤301:获取目标操作人员的日志数据。
在本申请一可选实施方式中,目标操作人员是指待审计的操作人员,其中,操作人员是指业务系统中涉及客户信息操作的员工或者提供第三方IT支撑的人员。
在本申请一可选实施方式中,日志数据的内容可包括:操作ID、操作人员的账号、操作人员的组织路径、操作系统、IP、操作时间、操作类型、操作内容、操作时长、涉敏等级、操作凭证等。
在本申请一可选实施方式中,可以通过以下方式来获取目标操作人员的日志数据:从业务系统中采集目标操作人员的日志数据。
步骤302:基于所述目标操作人员的日志数据,生成所述目标操作人员的特征信息。
本申请实施例中,根据目标操作人员的日志数据进行特征计算,进而生成所述目标操作人员的特征信息,其中,特征信息的内容可包括:操作次数、在线时长、在线天数、客户端IP数、服务端IP数、不同操作类型操作占比、不同涉敏等级操作占比等。
在本申请一可选实施方式中,目标操作人员的日志数据为指定时间范围内的日志数据,即当期日志数据。确定所述目标操作人员的指定时间范围内的日志数据是否属于涉敏日志数据;所述目标操作人员的指定时间范围内的日志数据属于涉敏日志数据的情况下,基于所述目标操作人员的指定时间范围内的日志数据,生成所述目标操作人员的特征信息。进一步,可选地,可以先通过事前稽核和事后稽核对所述目标操作人员的日志数据进行标准化,然后,根据标准化后的日志数据,生成所述目标操作人员的特征信息。
步骤303:将所述目标操作人员的特征信息输入审计模型,通过所述审计模型检测所述目标操作人员的操作行为是否属于异常操作行为。
这里,所述审计模型为针对目标审计点的审计模型。本申请实施例通过以下方式构建审计模型:
I)确定所述目标审计点是否具有用户相似性;
具体地,1)基于至少一个操作人员的日志数据,生成所述至少一个操作人员的特征信息,其中,所述至少一个操作人员的特征信息形成特征库;2)基于所述至少一个操作人员的特征信息,生成所述至少一个操作人员的标签信息,其中,所述至少一个操作人员的标签信息形成标签库;3)基于所述特征库和/或所述标签库,将所述至少一个操作人员进行分组,并确定各组操作人员对应的特征向量;4)基于所述各组操作人员对应的特征向量,计算余弦相似度;5)所述余弦相似度大于或等于目标阈值的情况下,所述目标审计点具有用户相似性;所述余弦相似度小于目标阈值的情况下,所述目标审计点不具有用户相似性。
II)所述目标审计点不具有用户相似性的情况下,为所述目标审计点建立第一类审计模型,所述第一类审计模型为基于预设规则的审计模型;
具体地,所述第一类审计模型包括至少一个异常规则。
III)所述目标审计点具有用户相似性的情况下,为所述目标审计点建立第二类审计模型,所述第二类审计模型为基于异常检测算法的审计模型。
具体地,所述第二类审计模型包括至少一个异常检测算法。
本申请实施例中,将所述目标操作人员的特征信息输入第一类审计模型的情况下,可以通过以下方式检测所述目标操作人员的操作行为是否属于异常操作行为:1)确定所述目标操作人员的日志数据是否命中所述至少一个异常规则;2)所述目标操作人员的日志数据命中所述至少一个异常规则中的部分异常规则或全部异常规则的情况下,所述目标操作人员的操作行为属于异常操作行为;所述目标操作人员的日志数据均未命中所述至少一个异常规则的情况下,所述目标操作人员的操作行为不属于异常操作行为。
本申请实施例中,将所述目标操作人员的特征信息输入第二类审计模型的情况下,可以通过以下方式检测所述目标操作人员的操作行为是否属于异常操作行为:1)针对所述至少一个异常检测算法中的每个异常检测算法,将所述目标操作人员的日志数据输入所述异常检测算法,通过所述异常检测算法计算所述目标操作人员的异常特征;基于所述目标操作人员的异常特征,确定所述目标操作人员的操作行为是否属于异常行为;2)通过所述至少一个异常检测算法均确定所述目标操作人员的操作行为属于异常行为的情况下,则所述目标操作人员的操作行为属于异常行为。
本申请实施例的技术方案,1.可将用户画像(即用户的标签体系)从精准营销场景运用于信息安全领域,管理人员可根据用户画像充分了解操作人员的信息,实现精准化的人员运营及安全管控;2.管理人员可根据异常行为检测流程,及时发现操作人员存在的可疑行为,防止客户敏感信息泄露;操作人员可根据异常行为检测流程,监控自己的账号是否有异常,防止盗号情况发生。3.可个性化的运用审计模型,更有针对性的通过日志数据发现操作人员的异常操作行为。
图4为本申请实施例提供的检测异常行为方法的流程示意图二,本实施例中的异常行为检测方法应用于电子设备中,该电子设备可以是任意一种具有计算处理能力的设备,如服务器,如图4所示,所述异常行为检测方法包括以下步骤:
步骤401:获取目标操作人员的当期日志数据。
步骤402:确定当期日志数据是否属于涉敏日志数据,是时,执行步骤403。
步骤403:基于当期日志数据进行特征计算,得到目标操作人员的特征信息,将目标操作人员的特征信息输入审计模型。
步骤404:根据审计模型检测所述目标操作人员的操作行为是否属于异常操作行为,是时,执行步骤405,否时,执行步骤406。
步骤405:确定目标操作人员的行为为异常行为,即操作人员为异常操作人员。
步骤406:确定目标操作人员的行为为正常行为,即操作人员为正常操作人员。
在本申请一可选实施方式中,将所述目标操作人员的特征信息输入审计模型之前,需要建立审计模型,所述审计模型为针对目标审计点的审计模型。
如图4所示,通以下流程建立审计模型:
步骤41:确定目标审计点。
步骤42:确定所述目标审计点是否具有用户相似性,否时,执行步骤43,是时,执行步骤44。
在本申请一可选实施方式中,可根据余弦相似度判断目标审计点对于不同角色、不同个人行为偏好的操作人员是否表现明显的区别,即是否具有用户相似性。一般地,普通人员在工作时间在线时间长、操作次数多;运维人员在非工作时间在线时间长、操作次数多。但无论普通人员或运维人员,其操作IP都是相对固定的。因此,如非工作时间高频操作异常、在线时长异常等与时间相关的审计点,与用户的岗位角色、工作行为偏好有关,呈现出明显的用户相异性;如系统权限管控违规、IP地址切换频繁等审计点,呈现出明显的用户相似性。
步骤43:目标审计点不具有用户相似性的情况下,为所述目标审计点建立第一类审计模型,所述第一类审计模型为基于预设规则的审计模型。
步骤44:目标审计点具有用户相似性的情况下,为所述目标审计点建立第二类审计模型,所述第二类审计模型为基于异常检测算法的审计模型。
对于上述方案中的步骤42,以审计点为非工作时间高频操作异常为例,以下结合图5对如何确定所述目标审计点是否具有用户相似性进行描述。
步骤501:确定非工作时间高频操作异常的审计点。
一般的,普通人员在工作时间在线时间长、操作次数多;运维人员在非工作时间在线时间长、操作次数多。但无论普通人员或运维人员,其操作IP都是相对固定的。
步骤502:对操作人员进行分组。
在本申请一可选实施方法中,对操作人员进行分组可通过以下方式实现:基于用户画像的标签体系中的时间倾向对操作人员进行分组。
步骤503:计算工作时间或非工作时间各组的各操作类型及各涉敏等级所对应的操作频次。
在本申请一可选实施方式中,可根据用户画像的特征库计算的各时段操作频次,进行工作时间、非工作时间各组各操作类型各涉敏等级频次计算。
步骤504:计算组间余弦相似度。
在本申请一可选实施方式中,可根据工作时间、非工作时间各组各操作类型各涉敏等级频次构成的特征向量,进行组间余弦相似度计算。
步骤505:确定所述相似度是否超过阈值,是时,执行步骤506,否时,执行步骤507。
在本申请一可选实施方式中,将所述相似度值即余弦值与1进行比较,余弦值越接近1就表示越相似。
步骤506:审计点具有相似性。
步骤507:审计点具有相异性。
上述技术方案中,当目标审计点不具有相似性时,可通过以下方式为所述目标审计点建立第一类审计模型,所述第一类审计模型为基于预设规则的审计模型。
具体地,根据历史涉敏操作日志数据构建的用户画像模型的特征库和标签库,进一步构建基于预设规则的审计模型。如非工作时间高频操作异常审计点,白班偏好操作人员和夜班偏好操作人员的行为属性相异性很大,需根据不同标签操作人员特征的数据分布构建不同规则,如白班偏好用户非工作时间高危涉敏操作>1次为异常;夜班偏好用户非工作时间高危涉敏操作>50次为异常。模型随着历史涉敏操作日志数据的更新而更新,模型中阈值参数可根据数据分布动态调整,模型输出的多条规则可形成规则库。即,所述第一类审计模型包括至少一个异常规则。
在本申请一可选实施方式中,所述通过第一审计模型检测所述目标操作人员的操作行为是否属于异常操作行为可通过以下方式实现:
确定所述目标操作人员的日志数据是否命中所述至少一个异常规则;
所述目标操作人员的日志数据命中所述至少一个异常规则中的部分异常规则或全部异常规则的情况下,所述目标操作人员的操作行为属于异常操作行为;
所述目标操作人员的日志数据均未命中所述至少一个异常规则的情况下,所述目标操作人员的操作行为不属于异常操作行为。
具体地,(1)根据历史涉敏操作日志数据构建的用户画像模型的特征库和标签库,进一步构建基于预设规则的审计模型。如非工作时间高频操作异常审计点,白班偏好操作人员和夜班偏好操作人员的行为属性相异性很大,需根据不同标签操作人员特征的数据分布构建不同规则,如白班偏好用户非工作时间高危涉敏操作>1次为异常;夜班偏好用户非工作时间高危涉敏操作>50次为异常。模型随着历史涉敏操作日志数据的更新而更新,模型中阈值参数可根据数据分布动态调整,模型输出的多条规则可形成规则库。
(2)基于当期涉敏操作日志数据,进行特征计算,如操作次数、在线时长、客户端IP数、服务端IP数、操作类别汇总、涉敏等级汇总。
(3)对特征计算后的指标运用第一类审计模型。由于审计点有用户相异性,根据用户画像的标签库,投放个性化预设规则审计模型,如非工作时间高频操作异常审计点,白班偏好、夜班偏好操作人员分别投放白班偏好、夜班偏好操作人员的非工作时间高频操作异常审计模型;
(4)根据第一类审计模型,判断是否被异常规则命中,命中为异常操作人员,否则为正常操作人员。当存在多条异常规则时,命中一条则判定为异常。
(5)判定的异常操作人员,将进行后续处理,可通过邮件输出或者视图展示给管理人员进行告警提醒。
上述技术方案中,当目标审计点具有相似性时,可通过以下方式为所述目标审计点建立第二类审计模型,并根据第二类审计模型检测出异常行为。其中,所述第二类审计模型为基于异常检测算法的审计模型。
所述通过所述审计模型检测所述目标操作人员的操作行为是否属于异常操作行为,包括:
针对所述至少一个异常检测算法中的每个异常检测算法,将所述目标操作人员的日志数据输入所述异常检测算法,通过所述异常检测算法计算所述目标操作人员的异常特征;基于所述目标操作人员的异常特征,确定所述目标操作人员的操作行为是否属于异常行为;
通过所述至少一个异常检测算法中的每个异常检测算法都确定所述目标操作人员的操作行为属于异常行为的情况下,则所述目标操作人员的操作行为属于异常行为。
具体地,以下结合图6对如何根据第二类审计模型检测异常行为进行描述。
步骤601:基于当期涉敏日志数据进行特征计算。
在本申请一可选实施方式中,具体地,基于当期涉敏操作日志数据,进行特征计算,如操作次数、在线时长、客户端IP数、服务端IP数、操作类别汇总、涉敏等级汇总。
步骤602:将特征值输入由局部异常因子(LOF,Local Outlier Factor)算法、孤立森林(iForest,Isolation Forest)算法等多种异常检测算法构建成的审计模型。
在本申请一可选实施方式中,具体地,根据审计点的审计目标,将特征计算后的特征值作为输入,通过异常检测算法自动学习异常特征,同时融合LOF算法、iForest算法等多种异常检测算法构建成审计模型。由于审计点具有用户相似性,即使对于不同标签的操作人员,均统一通过基于异常检测算法的审计模型进行审计。具体而言:
根据特征计算输入的特征值,首先引入LOF算法和iForest算法来学习异常特征,分别检测异常。
LOF算法:该算法根据局部可达密度的定义,如果一个数据点跟其他点比较疏远的话,那么显然它的局部可达密度就小。LOF算法衡量一个数据点的异常程度,通过看它跟周围邻近的数据点的相对密度。这样即使数据分布不均匀、密度不同的情况也可以检测异常。数据点p的局部相对密度(局部异常因子)为点p的邻居们的平均局部可达密度跟数据点p的局部可达密度的比值,即:
根据局部异常因子的定义,如果数据点p的LOF得分在1附近,表明数据点p的局部密度跟它的邻居们差不多;如果数据点p的LOF得分小于1,表明数据点p处在一个相对密集的区域,不像是一个异常点;如果数据点p的LOF得分远大于1,表明数据点p跟其他点比较疏远,很有可能是一个异常点。
iForest算法:该算法采用二叉树去对数据进行切分,直观上,异常数据由于跟其他数据点较为疏离,可能需要较少几次切分就可以将它们单独划分出来,而正常数据恰恰相反。数据点在二叉树中所处的深度反应了该条数据的“疏离”程度。整个算法大致可以分为两步:a)训练:抽取多个样本,构建多棵二叉树(Isolation Tree,iTree);b)预测:综合多棵二叉树的结果,计算每个数据点的异常分值。数据x最终的异常分值Score(x)综合了多棵iTree的结果:
公式(2)中,E(h(x))表示数据x在多棵iTree的路径长度的均值,φ表示单棵iTree的训练样本的样本数,C(φ)表示φ条数据构建的二叉树的平均路径长度。
根据iForest的定义,数据x在多棵iTree中的平均路径长度越短,得分越接近1,表明数据x越异常;如果数据x在多棵iTree中的平均路径长度越长,得分越接近0,表示数据x正常;如果数据x在多棵iTree中的平均路径长度接近整体均值,则打分会在0.5附近。
步骤603:确定异常比或异常得分阈值。
在本申请一实施方式中,具体地,LOF算法和iForest算法可以通过两种方式得到异常用户:
预设异常比例,如1%的异常用户,直接通过算法的类别标记输出异常用户;
预设异常得分阈值,通过算法输出异常得分,将异常得分与阈值比较,超过阈值则判定为异常用户。
步骤604:确定是否超过阈值,是时,执行步骤605。
步骤605:确定LOF判定的异常和iForest判定的异常。
具体地,将两种方式下均检测为异常的操作人员初步判定为异常,得到LOF算法判定的异常和iForest算法判定的异常。预设异常比例可以弥补初期无法合理预设异常得分阈值的问题;预设异常得分阈值可以弥补预设异常比例在实际所有操作人员行为都正常时仍会判定异常的缺陷。
取LOF算法判定的异常和iForest算法判定的异常的交集作为最终的异常操作人员输出。
步骤606:确定出异常操作行为,即操作人员为异常操作人员。
在本申请一实施方式中,本申请实施例的技术方案还包括如下步骤:
确定出异常操作行为后,对确定出的异常操作行为进行处理。具体地,可通过邮件输出或视图展示给管理人员进行告警提醒。未判定为异常的操作人员视为正常操作人员。
本申请实施例的技术方案,以操作人员为视角,根据日志数据来了解操作人员的操作行为。通过采集业务系统中的日志数据,将日志数据进行敏感等级分类,并将日志数据进行标准化,作为审计模型的输入。根据历史日志数据,对操作人员进行用户画像,从基本属性、人员分类、行为属性、个人偏好维度抽象出一个操作人员的信息全貌(即用户画像)。之后,根据审计点是否具有用户相似性,构建个性化的审计模型,运用个性化的审计模型,有针对性的通过日志数据挖掘操作人员的异常操作行为,实现涉及客户敏感信息的操作人员的精细化运营及精准化管控。
本申请实施例的技术方案至少具有如下优点:1.在业务发生时根据操作行为的日志数据,预标记操作人员相关操作的涉敏等级,回填到日志数据中,这样日志采集时能确定日志数据的敏感等级分类。2.以操作人员为视角,根据历史日志数据,对操作人员进行用户画像,将用户画像引入到信息安全领域,能够更全方位的了解操作人员的特征,做好人员精细化运营和分类分级管控。3.对审计点进行分类,区分具有用户相异性的审计点(即不具有用户相似性的审计点)和具有用户相似性的审计点,使审计过程更有针对性。4.对具有用户相异性的审计点,根据特征库和标签库,构建了个性化预设规则的审计模型,有更好的适用性。对当期日志数据,针对性的投放个性化预设规则的审计模型,差异化日志审计,能更精准的挖掘操作人员异常行为。对具有用户相似性的审计点,采用基于异常检测算法的审计模型,弥补了基于规则的审计模型强依赖于先验知识的缺陷,同时引入异常检测算法比其他算法更容易发现稀有的异常数据,多种算法融合构建模型使得模型的误判率更低。此外,多种模型组合确保整体方案可以分类并行审计、可扩展性强、计算效率高。5.本申请实施例的技术方案在大数据运行环境和普通运行环境中均可适用。
图7为本申请实施例异常行为检测装置的结构组成示意图,如图7所示,所示异常行为检测装置70包括:
获取单元71,用于获取目标操作人员的操作日志数据;
生成单元72,用于基于所述目标操作人员的日志数据,生成所述目标操作人员的特征信息;
输入单元73,用于将所述目标操作人员的特征信息输入审计模型;
检测单元74,用于通过所述审计模型检测所述目标操作人员的操作行为是否属于异常操作行为。
在本申请一实施方式中,所述目标操作人员的日志数据为指定时间范围内的日志数据;
所述生成单元72,用于所述目标操作人员的指定时间范围内的日志数据属于涉敏日志数据的情况下,基于所述目标操作人员的指定时间范围内的日志数据,生成所述目标操作人员的特征信息。
在本申请一实施方式中,所述审计模型为针对目标审计点的审计模型;所述异常行为检测装置还包括:
确定单元(图中未示出),用于确定所述目标审计点是否具有用户相似性;
建立单元75,用于在所述目标审计点不具有用户相似性的情况下,为所述目标审计点建立第一类审计模型,所述第一类审计模型为基于预设规则的审计模型;所述目标审计点具有用户相似性的情况下,为所述目标审计点建立第二类审计模型,所述第二类审计模型为基于异常检测算法的审计模型。
在本申请一实施方式中,所述确定单元,用于基于至少一个操作人员的日志数据,生成所述至少一个操作人员的特征信息,其中,所述至少一个操作人员的特征信息形成特征库;基于所述至少一个操作人员的特征信息,生成所述至少一个操作人员的标签信息,其中,所述至少一个操作人员的标签信息形成标签库;基于所述特征库和/或所述标签库,将所述至少一个操作人员进行分组,并确定各组操作人员对应的特征向量;基于所述各组操作人员对应的特征向量,计算余弦相似度;所述余弦相似度大于或等于目标阈值的情况下,所述目标审计点具有用户相似性;所述余弦相似度小于目标阈值的情况下,所述目标审计点不具有用户相似性。
在本申请一实施方式中,所述第一类审计模型包括至少一个异常规则;所述检测单元74,用于确定所述目标操作人员的日志数据是否命中所述至少一个异常规则;所述目标操作人员的日志数据命中所述至少一个异常规则中的部分异常规则或全部异常规则的情况下,所述目标操作人员的操作行为属于异常操作行为;所述目标操作人员的日志数据均未命中所述至少一个异常规则的情况下,所述目标操作人员的操作行为不属于异常操作行为。
在本申请一实施方式中,所述第二类审计模型包括至少一个异常检测算法;所述检测单元74,用于针对所述至少一个异常检测算法中的每个异常检测算法,将所述目标操作人员的日志数据输入所述异常检测算法,通过所述异常检测算法计算所述目标操作人员的异常特征;基于所述目标操作人员的异常特征,确定所述目标操作人员的操作行为是否属于异常行为;通过所述至少一个异常检测算法中的每个异常检测算法都确定所述目标操作人员的操作行为属于异常行为的情况下,则所述目标操作人员的操作行为属于异常行为。
图8为本申请实施例的电子设备的结构组成示意图一,如图8所示,所述电子设备包括:处理器810,处理器810可以从存储器中调用并运行计算机程序,以实现本申请实施例中的方法。
可选地,如图8所示,电子设备800还可以包括存储器820。其中,处理器810可以从存储器820中调用并运行计算机程序,以实现本申请实施例中的方法。
其中,存储器820可以是独立于处理器810的一个单独的器件,也可以集成在处理器810中。
可选地,如图8所示,电子设备800还可以包括收发器830,处理器810可以控制该收发器830与其他设备进行通信,具体地,可以向其他设备发送信息或数据,或接收其他设备发送的信息或数据。
其中,收发器830可以包括发射机和接收机。收发器830还可以进一步包括天线,天线的数量可以为一个或多个。
可选地,该电子设备800可以实现本申请实施例的各个方法中的相应流程,为了简洁,在此不再赘述。
本申请实施例还提供了一种计算机存储介质,用于存储计算机程序。
可选的,该计算机存储介质可应用于本申请实施例中的电子设备,并且该计算机程序使得计算机执行本申请实施例的各个方法中由电子设备实现的相应流程,为了简洁,在此不再赘述。
可选地,该计算机存储介质可应用于本申请实施例中的电子设备,并且该计算机程序使得计算机执行本申请实施例的各个方法中由电子设备实现的相应流程,为了简洁,在此不再赘述。
本申请实施例还提供了一种计算机程序产品,包括计算机程序指令。
可选的,该计算机程序产品可应用于本申请实施例中的电子设备,并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由电子设备实现的相应流程,为了简洁,在此不再赘述。
可选地,该计算机程序产品可应用于本申请实施例中的电子设备,并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由电子设备实现的相应流程,为了简洁,在此不再赘述。
本申请实施例还提供了一种计算机程序。
可选的,该计算机程序可应用于本申请实施例中的电子设备,当该计算机程序在计算机上运行时,使得计算机执行本申请实施例的各个方法中由电子设备实现的相应流程,为了简洁,在此不再赘述。
可选地,该计算机程序可应用于本申请实施例中的电子设备,当该计算机程序在计算机上运行时,使得计算机执行本申请实施例的各个方法中由电子设备实现的相应流程,为了简洁,在此不再赘述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者电子设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,)ROM、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (8)
1.一种异常行为检测方法,其特征在于,所述方法包括:
获取目标操作人员的日志数据;
基于所述目标操作人员的日志数据,生成所述目标操作人员的特征信息;
确定目标审计点,以及所述目标审计点是否具有用户相似性;
在所述目标审计点不具有用户相似性的情况下,为所述目标审计点建立第一类审计模型,所述第一类审计模型为基于预设规则的审计模型;
在所述目标审计点具有用户相似性的情况下,为所述目标审计点建立第二类审计模型,所述第二类审计模型为基于异常检测算法的审计模型;
将所述目标操作人员的特征信息输入所述第一类审计模型或所述第二类审计模型,通过所述第一类审计模型或所述第二类审计模型检测所述目标操作人员的操作行为是否属于异常操作行为。
2.根据权利要求1所述的方法,其特征在于,所述目标操作人员的日志数据为指定时间范围内的日志数据;
所述基于所述目标操作人员的日志数据,生成所述目标操作人员的特征信息,包括:
确定所述目标操作人员的指定时间范围内的日志数据是否属于涉敏日志数据;
所述目标操作人员的指定时间范围内的日志数据属于涉敏日志数据的情况下,基于所述目标操作人员的指定时间范围内的日志数据,生成所述目标操作人员的特征信息。
3.根据权利要求1所述的方法,其特征在于,所述确定所述目标审计点是否具有用户相似性,包括:
基于至少一个操作人员的日志数据,生成所述至少一个操作人员的特征信息,其中,所述至少一个操作人员的特征信息形成特征库;
基于所述至少一个操作人员的特征信息,生成所述至少一个操作人员的标签信息,其中,所述至少一个操作人员的标签信息形成标签库;
基于所述特征库和/或所述标签库,将所述至少一个操作人员进行分组,并确定各组操作人员对应的特征向量;
基于所述各组操作人员对应的特征向量,计算余弦相似度;
所述余弦相似度大于或等于目标阈值的情况下,所述目标审计点具有用户相似性;所述余弦相似度小于目标阈值的情况下,所述目标审计点不具有用户相似性。
4.根据权利要求1所述的方法,其特征在于,所述第一类审计模型包括至少一个异常规则;
所述通过所述审计模型检测所述目标操作人员的操作行为是否属于异常操作行为,包括:
确定所述目标操作人员的日志数据是否命中所述至少一个异常规则;
所述目标操作人员的日志数据命中所述至少一个异常规则中的部分异常规则或全部异常规则的情况下,所述目标操作人员的操作行为属于异常操作行为;
所述目标操作人员的日志数据均未命中所述至少一个异常规则的情况下,所述目标操作人员的操作行为不属于异常操作行为。
5.根据权利要求1所述的方法,其特征在于,所述第二类审计模型包括至少一个异常检测算法;
所述通过所述审计模型检测所述目标操作人员的操作行为是否属于异常操作行为,包括:
针对所述至少一个异常检测算法中的每个异常检测算法,将所述目标操作人员的日志数据输入所述异常检测算法,通过所述异常检测算法计算所述目标操作人员的异常特征;基于所述目标操作人员的异常特征,确定所述目标操作人员的操作行为是否属于异常行为;
通过所述至少一个异常检测算法中的每个异常检测算法都确定所述目标操作人员的操作行为属于异常行为的情况下,则所述目标操作人员的操作行为属于异常行为。
6.一种异常行为检测装置,其特征在于,所述装置包括:
获取单元,用于获取目标操作人员的日志数据;
生成单元,用于基于所述目标操作人员的日志数据,生成所述目标操作人员的特征信息;
确定单元,用于确定目标审计点,以及所述目标审计点是否具有用户相似性;
建立单元,用于在所述目标审计点不具有用户相似性的情况下,为所述目标审计点建立第一类审计模型,所述第一类审计模型为基于预设规则的审计模型;在所述目标审计点具有用户相似性的情况下,为所述目标审计点建立第二类审计模型,所述第二类审计模型为基于异常检测算法的审计模型;
输入单元,用于将所述目标操作人员的特征信息输入所述第一类审计模型或所述第二类审计模型;
检测单元,用于通过所述第一类审计模型或所述第二类审计模型检测所述目标操作人员的操作行为是否属于异常操作行为。
7.一种电子设备,其特征在于,包括:处理器和存储器,该存储器用于存储计算机程序,所述处理器用于调用并运行所述存储器中存储的计算机程序,执行如权利要求1至5中任一项所述的方法。
8.一种计算机可读存储介质,其特征在于,用于存储计算机程序,所述计算机程序使得计算机执行如权利要求1至5中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910866597.0A CN112491779B (zh) | 2019-09-12 | 2019-09-12 | 一种异常行为检测方法及装置、电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910866597.0A CN112491779B (zh) | 2019-09-12 | 2019-09-12 | 一种异常行为检测方法及装置、电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112491779A CN112491779A (zh) | 2021-03-12 |
| CN112491779B true CN112491779B (zh) | 2022-06-10 |
Family
ID=74920931
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910866597.0A Active CN112491779B (zh) | 2019-09-12 | 2019-09-12 | 一种异常行为检测方法及装置、电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112491779B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113157652A (zh) * | 2021-05-12 | 2021-07-23 | 中电福富信息科技有限公司 | 一种基于用户操作审计的用户行画像和异常行为检测方法 |
| CN113377718A (zh) * | 2021-05-24 | 2021-09-10 | 石化盈科信息技术有限责任公司 | 日志信息处理方法、装置、计算机设备及存储介质 |
| CN113360354A (zh) * | 2021-05-27 | 2021-09-07 | 广州品粤信息科技有限公司 | 用户操作行为监控方法、装置、设备及可读存储介质 |
| CN113313087B (zh) * | 2021-07-28 | 2021-11-02 | 江西科技学院 | 无人驾驶汽车的乘客行为监督方法与装置 |
| CN113556254B (zh) * | 2021-08-02 | 2023-03-24 | 北京天融信网络安全技术有限公司 | 一种异常告警的方法、装置、电子设备及可读存储介质 |
| CN115766282B (zh) * | 2022-12-12 | 2024-05-24 | 张家港金典软件有限公司 | 一种用于企业信息安全监督的数据处理方法及系统 |
| CN118677937A (zh) * | 2024-08-21 | 2024-09-20 | 四川中电启明星信息技术有限公司 | 一种用于企业内外网即时通讯的系统及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107291911A (zh) * | 2017-06-26 | 2017-10-24 | 北京奇艺世纪科技有限公司 | 一种异常检测方法和装置 |
| CN109842628A (zh) * | 2018-12-13 | 2019-06-04 | 成都亚信网络安全产业技术研究院有限公司 | 一种异常行为检测方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10147049B2 (en) * | 2015-08-31 | 2018-12-04 | International Business Machines Corporation | Automatic generation of training data for anomaly detection using other user's data samples |
-
2019
- 2019-09-12 CN CN201910866597.0A patent/CN112491779B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107291911A (zh) * | 2017-06-26 | 2017-10-24 | 北京奇艺世纪科技有限公司 | 一种异常检测方法和装置 |
| CN109842628A (zh) * | 2018-12-13 | 2019-06-04 | 成都亚信网络安全产业技术研究院有限公司 | 一种异常行为检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112491779A (zh) | 2021-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112491779B (zh) | 一种异常行为检测方法及装置、电子设备 | |
| CN107528832B (zh) | 一种面向系统日志的基线构建与未知异常行为检测方法 | |
| CN107749859B (zh) | 一种面向网络加密流量的恶意移动应用检测方法 | |
| CN101751535B (zh) | 通过应用程序数据访问分类进行的数据损失保护 | |
| US11516240B2 (en) | Detection of anomalies associated with fraudulent access to a service platform | |
| CN110572413A (zh) | 一种基于Elman神经网络的低速率拒绝服务攻击检测方法 | |
| CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| CN105681298A (zh) | 公共信息平台中的数据安全异常监测方法及系统 | |
| CN110020687B (zh) | 基于操作人员态势感知画像的异常行为分析方法及装置 | |
| CN111782484B (zh) | 一种异常检测方法及装置 | |
| CN111343173A (zh) | 数据访问的异常监测方法及装置 | |
| CN111915468B (zh) | 网络反诈骗主动巡检与预警系统 | |
| CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
| CN106951776A (zh) | 一种主机异常检测方法和系统 | |
| CN113704772B (zh) | 基于用户行为大数据挖掘的安全防护处理方法及系统 | |
| CN117544420B (zh) | 一种基于数据分析的融合系统安全管理方法及系统 | |
| CN110830467A (zh) | 基于模糊预测的网络可疑资产识别方法 | |
| CN113157652A (zh) | 一种基于用户操作审计的用户行画像和异常行为检测方法 | |
| Veena et al. | C SVM classification and KNN techniques for cyber crime detection | |
| CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
| Datta et al. | Real-time threat detection in ueba using unsupervised learning algorithms | |
| CN117992953A (zh) | 基于操作行为跟踪的异常用户行为识别方法 | |
| CN115174205A (zh) | 一种网络空间安全实时监测方法、系统及计算机存储介质 | |
| CN118138361A (zh) | 一种基于可自主进化智能体的安全策略制定方法和系统 | |
| CN110225009A (zh) | 一种基于通信行为画像的代理使用者检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |