CN112579407A - 风险用户检测方法、装置、电子设备和计算机可读介质 - Google Patents
风险用户检测方法、装置、电子设备和计算机可读介质 Download PDFInfo
- Publication number
- CN112579407A CN112579407A CN201910936990.2A CN201910936990A CN112579407A CN 112579407 A CN112579407 A CN 112579407A CN 201910936990 A CN201910936990 A CN 201910936990A CN 112579407 A CN112579407 A CN 112579407A
- Authority
- CN
- China
- Prior art keywords
- risk
- data
- target user
- behavior data
- detection result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 115
- 238000000034 method Methods 0.000 claims abstract description 68
- 230000006399 behavior Effects 0.000 claims description 116
- 230000008569 process Effects 0.000 claims description 28
- 230000005540 biological transmission Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 8
- 238000007639 printing Methods 0.000 claims description 7
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 10
- 239000013598 vector Substances 0.000 description 8
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000009434 installation Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000013527 convolutional neural network Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000013145 classification model Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
- 230000004884 risky behavior Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请实施例公开了风险用户检测方法、装置、电子设备和计算机可读介质。该方法的实施例包括:获取目标用户的线上行为数据、线下行为数据和本地设备数据;分别从该线上行为数据、该线下行为数据和该本地设备数据中提取特征信息;根据所提取的特征信息,生成该目标用户的风险系数;基于该风险系数,确定该目标用户是否为风险用户。该实施方式提高了风险用户检测的准确性。
Description
技术领域
本申请实施例涉及计算机技术领域,具体涉及风险用户检测方法、装置、电子设备和计算机可读介质。
背景技术
在如今的信息时代,数据泄密会对企业造成很大损失,因而,企业越来越重视数据的保密性,希望能够自动识别出具有数据泄密等风险的风险用户,从而维护企业的稳定。
现有的方式,通常是通过对用户线上行为数据进行分析,进而将具有风险行为的用户确定为风险用户。然而,由于现实环境中存在多种复杂因素,且存在多种泄密渠道,仅通过对用户线上行为数据进行分析,通常无法准确地检测出风险用户。
发明内容
本申请实施例提出了风险用户检测方法、装置、电子设备和计算机可读介质,以提高对风险用户的检测的准确性。
第一方面,本申请实施例提供了一种风险用户检测方法,该方法包括:获取目标用户的线上行为数据、线下行为数据和本地设备数据;分别从线上行为数据、线下行为数据和本地设备数据中提取特征信息;根据所提取的特征信息,生成目标用户的风险系数;基于风险系数,确定目标用户是否为风险用户
第二方面,本申请实施例提供了一种风险用户检测装置,该装置包括:获取单元,被配置成获取目标用户的线上行为数据、线下行为数据和本地设备数据;提取单元,被配置成分别从线上行为数据、线下行为数据和本地设备数据中提取特征信息;生成单元,被配置成根据所提取的特征信息,生成目标用户的风险系数;确定单元,被配置成基于风险系数,确定目标用户是否为风险用户。
第三方面,本申请实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面中所描述的方法。
第四方面,本申请实施例提供了一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面中所描述的方法。
本申请实施例提供的风险用户检测方法、装置、电子设备和计算机可读介质,通过获取目标用户的线上行为数据、线下行为数据和本地设备数据;而后分别从线上行为数据、线下行为数据和本地设备数据中提取特征信息;之后根据所提取的特征信息,生成目标用户的风险系数;最后基于风险系数,确定目标用户是否为风险用户。由此,可以结合线上行为数据、线下行为数据和本地设备数据的多维度信息,检测用户是否为风险用户,由于使用更全面的数据进行风险用户检测,因而,可提高检测结果的准确性。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是根据本申请的风险用户检测方法的一个实施例的流程图;
图2是根据本申请的风险用户检测方法的又一个实施例的流程图;
图3是根据本申请的风险用户检测装置的一个实施例的结构示意图;
图4是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
请参考图1,其示出了根据本申请的风险用户检测方法的一个实施例的流程100。该风险用户检测方法,包括以下步骤:
步骤101,获取目标用户的线上行为数据、线下行为数据和本地设备数据。
在本实施例中,风险用户检测方法的执行主体(如服务器等设备)可以获取目标用户的线上行为数据、线下行为数据和本地设备数据。其中,目标用户可以是待检测其是否为风险用户的任一用户,例如,可以是具有风险用户检测需求的某企业的员工。
此处,线上行为数据可以是通过互联网执行操作时所产生的数据。例如,可以包括但不限于线上文件发送记录、网页访问记录、下载记录等。实践中,可以通过线上行为
此处,线下行为数据可以是不依赖于互联网执行操作时所产生的数据。例如,可以包括但不限于刻录操作记录、打印操作记录、局域网传输操作记录、拷贝操作记录等。
此处,本地设备数据可以是与目标用户使用的本地设备相关的数据。例如,可以包括但不限于本地设备中所存储的文件、所安装的补丁、运行的进程、所安装的软件等。
步骤102,分别从线上行为数据、线下行为数据和本地设备数据中提取特征信息。
在本实施例中,上述执行主体可以分别从线上行为数据、线下行为数据和本地设备数据中提取特征信息。其中,上述特征信息可以是用于表示线上行为、线下行为、本地设备数据的特征的信息。上述特征信息可以视为用户画像,通过对用户画像的分析,即可确定用户的风险。
此处,可以通过对线上行为数据、线下行为数据和本地设备数据进行统计的方式,提取特征信息。也可以通过对线上行为数据、线下行为数据和本地设备数据进行检测后,从检测结果中提取特征信息。
实践中,上述执行主体可以分别从线上行为数据、线下行为数据和本地设备数据中提取特征信息,并以向量的形式对从各项数据中提取的特征信息进行表示,从而得到多个特征向量。此外,上述执行主体还可以将各向量进行拼接,从而将所提取的特征信息表示为一个特征向量。需要说明的是,特征信息的表示方法,在本申请实施例中不作限定。
在本实施例的一些可选的实现方式中,上述线上行为数据可以包括线上文件发送操作的接收对象信息。其中,上述接收对象信息可以包括接收对象的IP(InternetProtocol,互联网协议)地址和接收对象所属地域(如国家、城市等)中的至少一种。此时,上述执行主体可以基于上述接收对象信息,检测各次线上文件发送操作是否为风险操作,并生成第一检测结果;进而,从上述第一检测结果中提取第一特征信息。实践中,上述第一检测结果可以包括线上文件发送操作为风险操作的次数、比例等信息,还可以包括风险操作的执行时间等信息,此处不作限定。第一特征信息可以是上述第一检测结果中的一项或多项信息。
作为示例,企业可以预先设定某些具有风险的一个或多个IP地址。若目标用户向具有风险的IP地址发送了文件,则可以认为此次线上文件发送操作为风险操作。在对线上行为数据中的各次线上文件发送操作的接收对象信息进行检测后,即可得到第一检测结果。其中,第一检测结果包括目标对象执行风险操作的次数和频率等信息。此时,可以将第一检测结果中的次数和/或频率作为第一特征信息。
在本实施例的一些可选的实现方式中,上述线下行为数据可以包括线下文件操作记录。其中,线下文件操作包括以下至少一项:刻录操作、打印操作、局域网传输操作、拷贝操作。此时,上述执行主体可以对上述线下文件操作记录进行检测,确定各次线下文件操作是否为风险操作,并生成第二检测结果;从上述第二检测结果中提取第二特征信息。实践中,上述第二检测结果可以包括线下文件操作为风险操作的次数、比例等信息,还可以包括风险操作的执行时间等信息,此处不作限定。第二特征信息可以是上述第二检测结果中的一项或多项信息。
在该实现方式中,可选的,可以基于线下文件操作的时间,确定线下文件操作是否为风险操作。例如,若线下文件操作时间为凌晨,这可以将该线下文件操作视为风险操作。
在该实现方式中,可选的,还可以基于线下文件操作的类型,确定线下文件操作是否为风险操作。例如,若线下操作的类型为刻录操作或拷贝操作,则可以将该线下文件操作视为风险操作;若线下操作的类型为打印操作、局域网传输操作,则可以将该线下文件操作视为非风险操作。
在本实施例的一些可选的实现方式中,上述本地设备数据可以包括本地设备中所存储的文件、所安装的补丁和运行的进程。此时,上述执行主体可以执行如下步骤:
第一步,基于上述目标用户所属企业自定义的敏感文件集,检测本地设备中所存储的文件是否为敏感文件,并生成第三检测结果。
实践中,上述敏感文件集可以包括敏感文件的名称、类型等信息。对于本地设备中所存储的每一文件,上述执行主体可以将该文件的名称、类型与敏感文件集中的信息进行匹配。若匹配到,则可以认为该文件为敏感文件。此处,第三检测结果可以包括但不限于:本地设备中所存储的敏感文件的数量、比例、类型等。
第二步,对上述本地设备所安装的补丁进行检测,生成第四检测结果。
实践中,本地设备的补丁在一定程度上也会造成泄密等事件。因而,可以预先设定风险补丁、各补丁的风险等级等信息,以便于对本地设备所安装的补丁进行检测。此处,第四检测结果可以包括但不限于风险补丁的安装数量、风险补丁类型、各等级风险补丁的安装数量等。
第三步,对上述本地设备所运行的进程进行检测,生成第五检测结果。
实践中,恶意进程不仅会影响用户的工作,也可能会造成泄密等事件。因而,可以通过对本地设备所运行的进程的检测,及时发现恶意进程。此处,第五检测结果可以包括但不限于各类别进程的数量、恶意进程的数量、各风险等级的进程的数量等。
需要说明的是,上述第一步、第二步、第三步还可按照其他次序执行,此处不作限定。例如,可以同时执行。
第四步,从上述第三检测结果、上述第四检测结果和上述第五检测结果中提取第三特征信息。
此处,第三特征信息可以包括第三检测结果中的一项或多项、第四检测结果中的一项或多项以及第五检测结果中的一项或多项。
步骤103,根据所提取的特征信息,生成目标用户的风险系数。
在本实施例中,上述执行主体可以根据步骤102所分别提取的特征信息,生成目标用户的风险系数。
在本实施例的一些可选的实现方式中,上述执行主体中可以预先存储有预先训练的风险系数检测模型。上述执行主体可以将上述特征信息输入至预先训练的风险系数检测模型,得到上述目标用户的风险系数。
其中,上述风险系数检测模型可以用于表征特征信息与风险系数的对应关系。作为示例,该风险系数检测模型可以是基于大量数据统计和试验而预先设定的对应关系表。作为又一示例,该风险系数检测模型可以是基于样本集,利用机器学习方法(例如有监督学习方法)预先训练得到的模型。实践中,该风险系数检测模型可以使用各种现有的分类模型来训练,如CNN(Convolutional Neural Networks,卷积神经网络)、SVM(Support VectorMachine,支持向量机)等。
在本实施例的一些可选的实现方式中,上述执行主体可以通过如下步骤生成上述目标用户的风险系数:
第一步,基于从上述线上行为数据中提取的特征信息,确定第一风险分数。此处,可以通过预先训练的打分模型、预设的公式来确定第一风险分数,也可以通过查询预设的对应关系表,来确定第一风险分数。
作为示例,从上述线上行为数据中提取的特征信息可以是风险操作次数。上述执行主体中可以存储有预设的对应关系表。该对应关系表中可以记录不同风险操作次数对应的第一风险分数。如风险操作次数为0时,对应第一风险分数为0;风险操作次数为位于数值区间[1,5]时,对应第一风险分数为0.5;风险操作次数为位于数值区间[6,+∞]时,对应第一风险分数为1。通过查询该表,则可以确定出特征信息对应的第一风险分数。
作为又一示例,从上述线上行为数据中提取的特征信息可以包含多项信息,该特征信息可以以向量的形式表示。上述执行主体中可以存储有预先训练的打分模型。上述执行主体可以将该向量输入至该打分模型,得到该模型输出的分数,并将该分数作为第一风险分数。其中,上述打分模型可以是基于样本集,利用机器学习方法(例如有监督学习方法)预先训练得到的。
第二步,基于从上述线下行为数据中提取的特征信息,确定第二风险分数。实践中,可以采用与第一步类似的方式确定第二风险分数,此处不再赘述。
第三步,基于从上述本地设备数据中提取特征信息,确定第三风险分数。实践中,可以采用与第一步类似的方式确定第三风险分数,此处不再赘述。
需要说明的是,此处的第一步、第二步、第三步还可按照其他次序执行,此处不作限定。例如,可以同时执行。
第四步,分别对上述第一风险分数、上述第二风险分数和上述第三风险分数进行加权,生成上述目标用户的风险系数。此处,各项风险分数的权重可以根据需要预先设定,本申请实施例对权重的具体取值不作限定。
步骤104,基于风险系数,确定目标用户是否为风险用户。
在本实施例中,上述执行主体可以基于风险系数,确定目标用户是否为风险用户。例如,可以根据预先设定的风险系数阈值,来判定目标用户是否为风险用户。若目标用户的风险系数大于或等于该风险系数阈值,则可以确定目标用户为风险用户;反之,则可以确定该目标用户非风险用户。
在本实施例的一些可选的实现方式中,上述执行主体还可以执行如下步骤:
首先,对上述线上行为数据和上述线下行为数据进行统计,生成上述用户的行为习惯信息。其中,行为习惯信息可以包括但不限于活跃时段、工作时段活动频次、经常访问的目标IP、经常使用的协议类型、经常使用的发件人账号、经常联系的收件人账号、常见的文件类型等。
而后,实时监控上述目标用户的线上行为数据和线下行为数据,当监控到上述目标用户的行为偏离上述行为习惯信息所指示的行为习惯时,生成用于指示上述目标用户行为异常的提醒信息。
实践中,当满足以下条件的一项或多项时,可认为目标用户的行为偏离上述行为习惯信息所指示的行为习惯:行为处在非活跃时段、超出非工作时段活动频次、发送文件的目标IP非经常访问的目标IP、使用的协议非经常使用的协议类型、发件人账号非经常使用的发件人账号、收件人账号非经常联系的收件人账号、操作的文件的文件类型非常见的文件类型。
由此,可以对用户的异常行为进行实时监控和判断,便于企业或有关部门快速采取补救措施,提高了风险用户检测的即时性。
本申请的上述实施例提供的方法,通过获取目标用户的线上行为数据、线下行为数据和本地设备数据;而后分别从上述线上行为数据、上述线下行为数据和上述本地设备数据中提取特征信息;之后根据所提取的特征信息,生成上述目标用户的风险系数;最后基于上述风险系数,确定上述目标用户是否为风险用户。由此,可以结合线上行为数据、线下行为数据和本地设备数据的多维度信息,检测用户是否为风险用户。由于使用更全面的数据进行风险用户检测,因而,可提高检测结果的准确性。
进一步参考图2,其示出了风险用户检测方法的又一个实施例的流程200。该风险用户检测方法的流程200,包括以下步骤:
步骤201,获取目标用户的线上行为数据、线下行为数据和本地设备数据。
本实施例中的步骤201可参见图1所示实施例的步骤101,此处不再赘述。
步骤202,分别从线上行为数据、线下行为数据和本地设备数据中提取特征信息。
在本实施例中,上述线上行为数据可以包括线上文件发送操作的接收对象信息。其中,上述接收对象信息包括接收对象的IP地址和接收对象所属地域中的至少一种。此时,上述执行主体可以基于上述接收对象信息,检测各次线上文件发送操作是否为风险操作,并生成第一检测结果;进而,从上述第一检测结果中提取第一特征信息。实践中,上述第一检测结果可以包括线上文件发送操作为风险操作的次数、比例等信息,还可以包括风险操作的执行时间等信息,此处不作限定。第一特征信息可以是上述第一检测结果中的一项或多项信息。
作为示例,企业可以预先设定某些具有风险的一个或多个IP地址。若目标用户向具有风险的IP地址发送了文件,则可以认为此次线上文件发送操作为风险操作。在对线上行为数据中的各次线上文件发送操作的接收对象信息进行检测后,即可得到第一检测结果。其中,第一检测结果包括目标对象执行风险操作的次数和频率等信息。此时,可以将第一检测结果中的次数和/或频率作为第一特征信息。
在本实施例中,上述线下行为数据可以包括线下文件操作记录。其中,线下文件操作包括以下至少一项:刻录操作、打印操作、局域网传输操作、拷贝操作。此时,上述执行主体可以对上述线下文件操作记录进行检测,确定各次线下文件操作是否为风险操作,并生成第二检测结果;从上述第二检测结果中提取第二特征信息。实践中,上述第二检测结果可以包括线下文件操作为风险操作的次数、比例等信息,还可以包括风险操作的执行时间等信息,此处不作限定。第二特征信息可以是上述第二检测结果中的一项或多项信息。
在本实施例中,上述本地设备数据可以包括本地设备中所存储的文件、所安装的补丁和运行的进程。此时,上述执行主体可以执行如下步骤:
第一步,基于上述目标用户所属企业自定义的敏感文件集,检测本地设备中所存储的文件是否为敏感文件,并生成第三检测结果。
实践中,上述敏感文件集可以包括敏感文件的名称、类型等信息。对于本地设备中所存储的每一文件,上述执行主体可以将该文件的名称、类型与敏感文件集中的信息进行匹配。若匹配到,则可以认为该文件为敏感文件。此处,第三检测结果可以包括但不限于:本地设备中所存储的敏感文件的数量、比例、类型等。
第二步,对上述本地设备所安装的补丁进行检测,生成第四检测结果。
实践中,本地设备的补丁在一定程度上也会造成泄密等事件。因而,可以预先设定风险补丁、各补丁的风险等级等信息,以便于对本地设备所安装的补丁进行检测。此处,第四检测结果可以包括但不限于风险补丁的安装数量、风险补丁类型、各等级风险补丁的安装数量等。
第三步,对上述本地设备所运行的进程进行检测,生成第五检测结果。
实践中,恶意进程不仅会影响用户的工作,也可能会造成泄密等事件。因而,可以通过对本地设备所运行的进程的检测,及时发现恶意进程。此处,第五检测结果可以包括但不限于各类别进程的数量、恶意进程的数量、各风险等级的进程的数量等。
需要说明的是,上述第一步、第二步、第三步还可按照其他次序执行,此处不作限定。例如,可以同时执行。
第四步,从上述第三检测结果、上述第四检测结果和上述第五检测结果中提取第三特征信息。
此处,第三特征信息可以包括第三检测结果中的一项或多项、第四检测结果中的一项或多项以及第五检测结果中的一项或多项。
步骤203,基于从线上行为数据中提取的特征信息,确定第一风险分数。
在本实施例中,上述执行主体可以基于线上行为数据中提取的特征信息(即上述第一特征信息),确定第一风险分数。此处,可以通过预先训练的打分模型、预设的公式来确定第一风险分数,也可以通过查询预设的对应关系表,来确定第一风险分数。
作为示例,第一特征信息可以是风险操作次数。上述执行主体中可以存储有预设的对应关系表。该对应关系表中可以记录不同风险操作次数对应的第一风险分数。如风险操作次数为0时,对应第一风险分数为0;风险操作次数为位于数值区间[1,5]时,对应第一风险分数为0.5;风险操作次数为位于数值区间[6,+∞]时,对应第一风险分数为1。通过查询该表,则可以确定出特征信息对应的第一风险分数。
作为又一示例,第一特征信息可以包含多项信息,该特征信息可以以向量的形式表示。上述执行主体中可以存储有预先训练的打分模型。上述执行主体可以将该向量输入至该打分模型,得到该模型输出的分数,并将该分数作为第一风险分数。其中,上述打分模型可以是基于样本集,利用机器学习方法(例如有监督学习方法)预先训练得到的。
步骤204,基于从线下行为数据中提取的特征信息,确定第二风险分数。
在本实施例中,上述执行主体可以基于从上述线下行为数据中提取的特征信息(即第二特征信息),确定第二风险分数。实践中,可以采用与第一步类似的方式确定第二风险分数,此处不再赘述。
步骤205,基于从本地设备数据中提取特征信息,确定第三风险分数。
在本实施例中,上述执行主体可以基于从本地设备数据中提取特征信息(即第三特征信息),确定第三风险分数。实践中,可以采用与第一步类似的方式确定第二风险分数,此处不再赘述。
步骤206,分别对第一风险分数、第二风险分数和第三风险分数进行加权,生成目标用户的风险系数。
在本实施例中,上述执行主体可以分别对上述第一风险分数、上述第二风险分数和上述第三风险分数进行加权,生成上述目标用户的风险系数。此处,各项风险分数的权重可以根据需要预先设定,本申请实施例对权重的具体取值不作限定。
步骤207,基于风险系数,确定目标用户是否为风险用户。
本实施例中的步骤207可参见图1所示实施例的步骤104,此处不再赘述。
从图2中可以看出,与图1对应的实施例相比,本实施例中的风险用户检测方法的流程200涉及了对分别提取第一特征信息、第二特征信息、第三特征信息,并通过加权方式生成目标用户的风险系数的步骤。由此,本实施例描述的方案可以结合线上行为数据、线下行为数据和本地设备数据的多维度信息,检测用户是否为风险用户,由于使用更全面的数据进行风险用户检测,因而,可提高检测结果的准确性。
进一步参考图3,作为对上述各图所示方法的实现,本申请提供了一种风险用户检测装置的一个实施例,该装置实施例与图1所示的方法实施例相对应,该装置具体可以应用于各种设备中。
如图3所示,本实施例所述的风险用户检测装置300包括:获取单元301,被配置成获取目标用户的线上行为数据、线下行为数据和本地设备数据;提取单元302,被配置成分别从上述线上行为数据、上述线下行为数据和上述本地设备数据中提取特征信息;生成单元303,被配置成根据所提取的特征信息,生成上述目标用户的风险系数;确定单元304,被配置成基于上述风险系数,确定上述目标用户是否为风险用户。
在本实施例的一些可选的实现方式中,上述线上行为数据包括线上文件发送操作的接收对象信息,上述接收对象信息包括:接收对象的IP地址和接收对象所属地域中的至少一种;以及上述提取单元302进一步被配置成:基于上述接收对象信息,检测各次线上文件发送操作是否为风险操作,并生成第一检测结果;从上述第一检测结果中提取第一特征信息。
在本实施例的一些可选的实现方式中,上述线下行为数据包括线下文件操作记录,其中,线下文件操作包括以下至少一项:刻录操作、打印操作、局域网传输操作、拷贝操作;上述提取单元302进一步被配置成:对上述线下文件操作记录进行检测,确定各次线下文件操作是否为风险操作,并生成第二检测结果;从上述第二检测结果中提取第二特征信息。
在本实施例的一些可选的实现方式中,上述本地设备数据包括本地设备中所存储的文件、所安装的补丁和运行的进程;以及上述提取单元302进一步被配置成:基于上述目标用户所属企业自定义的敏感文件集,检测本地设备中所存储的文件是否为敏感文件,并生成第三检测结果;对上述本地设备所安装的补丁进行检测,生成第四检测结果;对上述本地设备所运行的进程进行检测,生成第五检测结果;从上述第三检测结果、上述第四检测结果和上述第五检测结果中提取第三特征信息。
在本实施例的一些可选的实现方式中,上述生成单元303,进一步被配置成:将上述特征信息输入至预先训练的风险系数检测模型,得到上述目标用户的风险系数,其中,上述风险系数检测模型用于表征特征信息与风险系数的对应关系。
在本实施例的一些可选的实现方式中,上述生成单元303,进一步被配置成:基于从上述线上行为数据中提取的特征信息,确定第一风险分数;基于从上述线下行为数据中提取的特征信息,确定第二风险分数;基于从上述本地设备数据中提取特征信息,确定第三风险分数;分别对上述第一风险分数、上述第二风险分数和上述第三风险分数进行加权,生成上述目标用户的风险系数。
在本实施例的一些可选的实现方式中,上述装置还包括:统计单元,被配置成对上述线上行为数据和上述线下行为数据进行统计,生成上述用户的行为习惯信息;监控单元,被配置成实时监控上述目标用户的线上行为数据和线下行为数据,当监控到上述目标用户的行为偏离上述行为习惯信息所指示的行为习惯时,生成用于指示上述目标用户行为异常的提醒信息。
本申请实施例提供的风险用户检测装置,通过获取目标用户的线上行为数据、线下行为数据和本地设备数据;而后分别从上述线上行为数据、上述线下行为数据和上述本地设备数据中提取特征信息;之后根据所提取的特征信息,生成上述目标用户的风险系数;最后基于上述风险系数,确定上述目标用户是否为风险用户。由此,可以结合线上行为数据、线下行为数据和本地设备数据的多维度信息,检测用户是否为风险用户,由于使用更全面的数据进行风险用户检测,因而,可提高检测结果的准确性。
此外,所述风险用户检测装置包括处理器和存储器(如图4所示),上述获取单元、提取单元、生成单元和确定单元等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来提高检测结果的准确性。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述风险用户检测方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述风险用户检测方法。
本发明实施例提供了一种电子设备,包括至少一个处理器、以及与处理器连接的至少一个存储器、总线;其中,处理器、存储器通过总线完成相互间的通信;处理器用于调用存储器中的程序指令,以执行上述的风险用户检测方法。本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:获取目标用户的线上行为数据、线下行为数据和本地设备数据;分别从所述线上行为数据、所述线下行为数据和所述本地设备数据中提取特征信息;根据所提取的特征信息,生成所述目标用户的风险系数;基于所述风险系数,确定所述目标用户是否为风险用户。
可选的,所述线上行为数据包括线上文件发送操作的接收对象信息,所述接收对象信息包括:接收对象的IP地址和接收对象所属地域中的至少一种;以及从所述线上行为数据中提取特征信息,包括:基于所述接收对象信息,检测各次线上文件发送操作是否为风险操作,并生成第一检测结果;从所述第一检测结果中提取第一特征信息。
可选的,所述线下行为数据包括线下文件操作记录,其中,线下文件操作包括以下至少一项:刻录操作、打印操作、局域网传输操作、拷贝操作;以及从所述线下行为数据中提取特征信息,包括:对所述线下文件操作记录进行检测,确定各次线下文件操作是否为风险操作,并生成第二检测结果;从所述第二检测结果中提取第二特征信息。
可选的,所述本地设备数据包括本地设备中所存储的文件、所安装的补丁和运行的进程;以及从所述本地设备数据中提取特征信息,包括:基于所述目标用户所属企业自定义的敏感文件集,检测本地设备中所存储的文件是否为敏感文件,并生成第三检测结果;对所述本地设备所安装的补丁进行检测,生成第四检测结果;对所述本地设备所运行的进程进行检测,生成第五检测结果;从所述第三检测结果、所述第四检测结果和所述第五检测结果中提取第三特征信息。
可选的,所述根据所提取的特征信息,生成所述目标用户的风险系数,包括:将所述特征信息输入至预先训练的风险系数检测模型,得到所述目标用户的风险系数,其中,所述风险系数检测模型用于表征特征信息与风险系数的对应关系。
可选的,所述根据所提取的特征信息,生成所述目标用户的风险系数,包括:基于从所述线上行为数据中提取的特征信息,确定第一风险分数;基于从所述线下行为数据中提取的特征信息,确定第二风险分数;基于从所述本地设备数据中提取特征信息,确定第三风险分数;分别对所述第一风险分数、所述第二风险分数和所述第三风险分数进行加权,生成所述目标用户的风险系数。
可选的,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:对所述线上行为数据和所述线下行为数据进行统计,生成所述用户的行为习惯信息;实时监控所述目标用户的线上行为数据和线下行为数据,当监控到所述目标用户的行为偏离所述行为习惯信息所指示的行为习惯时,生成用于指示所述目标用户行为异常的提醒信息。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
在一个典型的配置中,设备包括一个或多个处理器(CPU)、存储器和总线。设备还可以包括输入/输出接口、网络接口等。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flashRAM),存储器包括至少一个存储芯片。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种风险用户检测方法,其特征在于,所述方法包括:
获取目标用户的线上行为数据、线下行为数据和本地设备数据;
分别从所述线上行为数据、所述线下行为数据和所述本地设备数据中提取特征信息;
根据所提取的特征信息,生成所述目标用户的风险系数;
基于所述风险系数,确定所述目标用户是否为风险用户。
2.根据权利要求1所述的方法,其特征在于,所述线上行为数据包括线上文件发送操作的接收对象信息,所述接收对象信息包括:接收对象的IP地址和接收对象所属地域中的至少一种;以及
从所述线上行为数据中提取特征信息,包括:
基于所述接收对象信息,检测各次线上文件发送操作是否为风险操作,并生成第一检测结果;
从所述第一检测结果中提取第一特征信息。
3.根据权利要求1所述的方法,其特征在于,所述线下行为数据包括线下文件操作记录,其中,线下文件操作包括以下至少一项:刻录操作、打印操作、局域网传输操作、拷贝操作;以及
从所述线下行为数据据中提取特征信息,包括:
对所述线下文件操作记录进行检测,确定各次线下文件操作是否为风险操作,并生成第二检测结果;
从所述第二检测结果中提取第二特征信息。
4.根据权利要求1所述的方法,其特征在于,所述本地设备数据包括本地设备中所存储的文件、所安装的补丁和运行的进程;以及
从所述本地设备数据中提取特征信息,包括:
基于所述目标用户所属企业自定义的敏感文件集,检测本地设备中所存储的文件是否为敏感文件,并生成第三检测结果;
对所述本地设备所安装的补丁进行检测,生成第四检测结果;
对所述本地设备所运行的进程进行检测,生成第五检测结果;
从所述第三检测结果、所述第四检测结果和所述第五检测结果中提取第三特征信息。
5.根据权利要求1所述的方法,其特征在于,所述根据所提取的特征信息,生成所述目标用户的风险系数,包括:
将所述特征信息输入至预先训练的风险系数检测模型,得到所述目标用户的风险系数,其中,所述风险系数检测模型用于表征特征信息与风险系数的对应关系。
6.根据权利要求1所述的方法,其特征在于,所述根据所提取的特征信息,生成所述目标用户的风险系数,包括:
基于从所述线上行为数据中提取的特征信息,确定第一风险分数;
基于从所述线下行为数据中提取的特征信息,确定第二风险分数;
基于从所述本地设备数据中提取特征信息,确定第三风险分数;
分别对所述第一风险分数、所述第二风险分数和所述第三风险分数进行加权,生成所述目标用户的风险系数。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对所述线上行为数据和所述线下行为数据进行统计,生成所述用户的行为习惯信息;
实时监控所述目标用户的线上行为数据和线下行为数据,当监控到所述目标用户的行为偏离所述行为习惯信息所指示的行为习惯时,生成用于指示所述目标用户行为异常的提醒信息。
8.一种风险用户检测装置,其特征在于,所述装置包括:
获取单元,被配置成获取目标用户的线上行为数据、线下行为数据和本地设备数据;
提取单元,被配置成分别从所述线上行为数据、所述线下行为数据和所述本地设备数据中提取特征信息;
生成单元,被配置成根据所提取的特征信息,生成所述目标用户的风险系数;
确定单元,被配置成基于所述风险系数,确定所述目标用户是否为风险用户。
9.一种电子设备,其特征在于,包括至少一个处理器、以及与处理器连接的至少一个存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行如权利要求1-7中任一项所述的风险用户检测方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910936990.2A CN112579407A (zh) | 2019-09-29 | 2019-09-29 | 风险用户检测方法、装置、电子设备和计算机可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910936990.2A CN112579407A (zh) | 2019-09-29 | 2019-09-29 | 风险用户检测方法、装置、电子设备和计算机可读介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112579407A true CN112579407A (zh) | 2021-03-30 |
Family
ID=75110877
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910936990.2A Pending CN112579407A (zh) | 2019-09-29 | 2019-09-29 | 风险用户检测方法、装置、电子设备和计算机可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112579407A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113919669A (zh) * | 2021-09-26 | 2022-01-11 | 德联易控科技(北京)有限公司 | 一种确定风险控制对象的风险信息的方法和装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160182556A1 (en) * | 2014-12-23 | 2016-06-23 | Igor Tatourian | Security risk score determination for fraud detection and reputation improvement |
| CN106291029A (zh) * | 2016-08-18 | 2017-01-04 | 卢志旭 | 一种基于用户用电习惯的防盗电系统 |
| CN108460681A (zh) * | 2017-02-20 | 2018-08-28 | 阿里巴巴集团控股有限公司 | 一种风险管控方法及装置 |
| CN109285075A (zh) * | 2017-07-19 | 2019-01-29 | 腾讯科技(深圳)有限公司 | 一种理赔风险评估方法、装置及服务器 |
| CN109345374A (zh) * | 2018-09-17 | 2019-02-15 | 平安科技(深圳)有限公司 | 风险控制方法、装置、计算机设备和存储介质 |
| CN109559221A (zh) * | 2018-11-20 | 2019-04-02 | 中国银行股份有限公司 | 基于用户数据的催收方法、装置和存储介质 |
-
2019
- 2019-09-29 CN CN201910936990.2A patent/CN112579407A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160182556A1 (en) * | 2014-12-23 | 2016-06-23 | Igor Tatourian | Security risk score determination for fraud detection and reputation improvement |
| CN106291029A (zh) * | 2016-08-18 | 2017-01-04 | 卢志旭 | 一种基于用户用电习惯的防盗电系统 |
| CN108460681A (zh) * | 2017-02-20 | 2018-08-28 | 阿里巴巴集团控股有限公司 | 一种风险管控方法及装置 |
| CN109285075A (zh) * | 2017-07-19 | 2019-01-29 | 腾讯科技(深圳)有限公司 | 一种理赔风险评估方法、装置及服务器 |
| CN109345374A (zh) * | 2018-09-17 | 2019-02-15 | 平安科技(深圳)有限公司 | 风险控制方法、装置、计算机设备和存储介质 |
| CN109559221A (zh) * | 2018-11-20 | 2019-04-02 | 中国银行股份有限公司 | 基于用户数据的催收方法、装置和存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113919669A (zh) * | 2021-09-26 | 2022-01-11 | 德联易控科技(北京)有限公司 | 一种确定风险控制对象的风险信息的方法和装置 |
| CN113919669B (zh) * | 2021-09-26 | 2022-10-11 | 德联易控科技(北京)有限公司 | 一种确定风险控制对象的风险信息的方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110399925B (zh) | 账号的风险识别方法、装置及存储介质 | |
| Avdiienko et al. | Mining apps for abnormal usage of sensitive data | |
| CN109063966B (zh) | 风险账户的识别方法和装置 | |
| US10884891B2 (en) | Interactive detection of system anomalies | |
| US9679131B2 (en) | Method and apparatus for computer intrusion detection | |
| US9462009B1 (en) | Detecting risky domains | |
| US20210240822A1 (en) | Abnormal User Identification | |
| CN107122669B (zh) | 一种评估数据泄露风险的方法和装置 | |
| US20130042306A1 (en) | Determining machine behavior | |
| Rashidi et al. | Android malicious application detection using support vector machine and active learning | |
| da Costa et al. | Detecting mobile botnets through machine learning and system calls analysis | |
| CN113132297A (zh) | 数据泄露的检测方法及装置 | |
| US10372702B2 (en) | Methods and apparatus for detecting anomalies in electronic data | |
| CN117670264A (zh) | 一种会计数据自动流程化处理系统及方法 | |
| CN112579407A (zh) | 风险用户检测方法、装置、电子设备和计算机可读介质 | |
| US10817601B2 (en) | Hypervisor enforcement of cryptographic policy | |
| US10503575B2 (en) | Computer systems monitoring using beat frequency analysis | |
| US11263104B2 (en) | Mapping between raw anomaly scores and transformed anomaly scores | |
| CN111988327A (zh) | 威胁行为检测和模型建立方法、装置、电子设备及存储介质 | |
| CN111241547B (zh) | 一种越权漏洞的检测方法、装置及系统 | |
| CN110955842A (zh) | 一种异常访问行为识别方法及装置 | |
| CN111309706A (zh) | 模型训练方法、装置、可读存储介质及电子设备 | |
| CN107622443B (zh) | 数据处理方法、数据处理装置及计算机可读存储介质 | |
| CN113691552A (zh) | 威胁情报有效性评估方法、装置、系统及计算机存储介质 | |
| CN112346938B (zh) | 操作审计方法、装置及服务器和计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |