CN112765598A - 识别异常操作指令的方法、装置及设备 - Google Patents

识别异常操作指令的方法、装置及设备 Download PDF

Info

Publication number
CN112765598A
CN112765598A CN201911002591.5A CN201911002591A CN112765598A CN 112765598 A CN112765598 A CN 112765598A CN 201911002591 A CN201911002591 A CN 201911002591A CN 112765598 A CN112765598 A CN 112765598A
Authority
CN
China
Prior art keywords
data
operation instruction
preset threshold
characteristic value
calculating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911002591.5A
Other languages
English (en)
Inventor
孙铖然
李志君
钟全龙
赵奇勇
林星锦
杨冰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Chongqing Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Chongqing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Chongqing Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201911002591.5A priority Critical patent/CN112765598A/zh
Publication of CN112765598A publication Critical patent/CN112765598A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Abstract

本发明实施例涉及互联网技术领域,公开了一种识别异常操作指令方法、装置、设备及计算机可读存储介质,其中方法包括:获取用户的数据操作指令;从预设数据库内获取所述数据操作指令对应的数据的数据属性;计算各所述数据属性对应的特征值;计算所述特征值的加权平均值;根据所述加权平均值,确定所述数据操作指令是否异常。通过上述方式,本发明实施例可以阻止异常删除操作指令,达到事前预防的效果而非在数据删除后进行补救。

Description

识别异常操作指令的方法、装置及设备
技术领域
本发明实施例涉及互联网技术领域,具体涉及一种识别异常操作指令的方法、装置、设备及计算机可读存储介质。
背景技术
随着互联网和通信技术的发展,不同的组织机构内部拥有的数据越来越多,这些海量的数据已经渐渐成为组织机构中最重要的资产之一,确保这些数据的安全性的意义不言而喻,人为误操作,或是有意操作导致的数据丢失,一直是数据安全方面面临的一个重要问题。
在实现本发明实施例的过程中,发明人发现:目前最主要的应对数据异常删除方案为备份数据,如果在数据丢失的情况下,可以用备份的数据在生产环境进行数据恢复。而另一个广泛使用的技术则是基于其所使用的数据库在权限限制方面提供的能力,对不同的用户进行权限控制,减小数据被非正常删除的风险。但前者仅为异常删除后的补救措施,无法起到提前预防的作用。而后者对于拥有权限的用户并未限制,其仍有可能误删数据。
发明内容
鉴于上述问题,本发明实施例提供了一种识别异常操作指令的方法、装置、设备及计算机可读存储介质,克服了上述问题。
根据本发明实施例的一个方面,提供了一种识别异常操作指令的方法,所述方法包括:获取用户的数据操作指令;从预设数据库内获取所述数据操作指令对应的数据的数据属性;计算各所述数据属性对应的特征值;计算所述特征值的加权平均值;根据所述加权平均值,确定所述数据操作指令是否异常。
在一种可选的方式中,所述计算各所述数据属性对应的特征值,具体为:从各所述数据属性中选取数据创建人;根据所述数据操作指令,确定所述数据操作指令的执行人;当所述数据创建人和所述执行人相同时,将第一预设阈值确定为所述数据创建人对应的特征值;当所述数据创建人和所述执行人相异时,将第二预设阈值确定为所述数据创建人对应的特征值,其中,所述第二预设阈值小于所述第一预设阈值。
在一种可选的方式中,所述计算各所述数据属性对应的特征值,还包括:从各所述数据属性中选取数据拥有人;所述数据拥有人和所述执行人相同时,将第三预设阈值确定为所述数据拥有人对应的特征值;当所述数据拥有人和所述执行人相异时,将第四预设阈值确定为所述数据拥有人对应的特征值,其中,所述第四预设阈值小于所述第三预设阈值;和/或,从各所述数据属性中选取数据拥有人所在组;根据所述数据操作指令的执行人,从预设资源库获取所述数据操作指令的执行人所在组;当所述数据拥有人所在组和所述执行人所在组相同时,将第五预设阈值确定为所述数据拥有人所在组对应的特征值;当所述数据拥有人所在组和所述执行人所在组相异时,将第六预设阈值确定为所述数据拥有人所在组对应的特征值,其中所述第六预设阈值小于所述第五预设阈值。
在一种可选的方式中,所述计算各所述数据属性对应的特征值,具体为:从各所述数据属性中选取数据创建时间和从预设数据库内获取数据所在域的创建时间;根据所述数据操作指令,确定所述数据操作指令的发生时间;将所述发生时间减去所述数据创建时间,得到数据创建时长;将所述发生时间减去所述所在域的创建时间,得到所在域创建时长;根据所述数据创建时长和所述所在域创建时长,计算数据创建时间对应的特征值。
在一种可选的方式中,所述计算各所述数据属性对应的特征值,还包括:从各所述数据属性中选取数据被不同人员的访问次数;根据所述被不同人员的访问的次数和所述数据操作指令的执行人,确定数据总访问次数和执行人数据访问次数;将所述执行人数据访问次数除以所述数据总访问次数,得到所述访问次数对应的特征值。
在一种可选的方式中,所述计算各所述数据属性对应的特征值,具体为:从各所述数据属性中选取数据每次的访问时间a6;根据所述数据每次的访问时间a6,确定数据连续两次访问中的最大间隔时间Tmax(a6)、数据连续两次访问中的最小间隔时间Tmin(a6)和数据此次访问与上一次被访问的间隔时间T(a6);将Tmax(a6)和Tmin(a6)求和并除以二,得到间隔均值;根据所述间隔均值和T(a6),计算所述访问时间a6对应的特征值。
在一种可选的方式中,所述计算各所述数据属性对应的特征值,具体为:从各所述数据属性中选取数据的数据量和从预设数据库内获取数据所在域的总数据量;将所述数据的数据量除以所述数据所在域的总数据量,得到所述数据的数据量对应的特征值;和/或,从各所述数据属性中选取数据的存储量和从预设数据库内获取数据所在域的总存储量;将所述数据的存储量除以所述数据所在域的总存储量,得到所述数据的存储量对应的特征值。
在一种可选的方式中,所述根据所述加权平均值,确定所述数据操作指令是否异常,具体为:根据所述加权平均值,得到风险值;根据所述数据操作指令中的操作类型,确定风险值系数;将所述风险值系数乘以所述风险值得到所述风险分数;当所述风险分数大于第七预设阈值时,阻止所述数据操作指令的执行。
根据本发明实施例的另一方面,提供了一种识别异常操作指令的装置,包括:交互模块,用于获取用户的数据操作指令;数据源代理人模块,用于建立预设数据库;风险控制模块,用于从预设数据库内获取所述数据操作指令对应的数据的数据属性;计算各所述数据属性对应的特征值;计算所述特征值的加权平均值;根据所述加权平均值,确定所述数据操作指令是否异常。
根据本发明实施例的另一方面,提供了一种识别异常操作指令的设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述一种识别异常操作指令的方法对应的操作。
根据本发明实施例的又一方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使所述处理器执行上述一种识别异常操作指令的方法对应的操作。
本发明实施例在用户对弈数据执行操作时,会获取该用户的数据操作指令,并从预设数据库内该指令对应的数据的数据属性,其中,数据操作指令可以是删除、读取或存储数据等操作;数据属性为表示该数据的使用热度、占用大小、修改时间和变更用户等信息的参数。之后根据这些数据属性以及用户的数据操作指令,可以分别计算出这些数据属性对应的特征值,特征值可以表示用户这一操作的对应一种数据属性的安全或风险程度。最后,通过计算各特征值的加权平均值,可以综合评估用户这一操作的整体的安全或风险程度,由此可以根据加权平均值的大小来判断用户这一操作是否异常,是否需要直接拦截或给工作人员进一步确认。和现有技术相比,本发明实施例可以在删除操作执行成功前对这一操作是否存在风险进行评估,从而可以阻止异常删除操作指令,达到事前预防的效果而非在数据删除后进行补救。
上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种识别异常操作指令的方法的流程图;
图2示出了本发明实施例提供的第一种计算特征值的子步骤流程图;
图3示出了本发明实施例提供的第二种计算特征值的子步骤流程图;
图4示出了本发明实施例提供的第三种计算特征值的子步骤流程图;
图5示出了本发明实施例提供的第四种计算特征值的子步骤流程图;
图6示出了本发明实施例提供的第五种计算特征值的子步骤流程图;
图7示出了本发明实施例提供的第六种计算特征值的子步骤流程图;
图8示出了本发明实施例提供的第七种计算特征值的子步骤流程图;
图9示出了本发明实施例提供的第八种计算特征值的子步骤流程图;
图10示出了本发明实施例提供的计算加权平均数的子步骤流程图;
图11示出了本发明实施例提供的计确定数据操作指令是否异常的子步骤流程图;
图12示出了本发明实施例提供的一种识别异常操作指令的装置的结构示意图;
图13示出了本发明实施例提供的一种识别异常操作指令的装置中数据源代理人模块的示意图;
图14示出了本发明实施例提供的识别异常操作指令的设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
随着互联网的快速发展,不同的组织机构内部拥有的数据越来越多,这些海量的数据已经渐渐成为组织机构中最重要的资产之一,确保这些数据的安全性的意义不言而喻,人为误操作,或是有意操作导致的数据丢失,一直是数据安全方面面临的一个重要问题。但目前在阻止非正常删除数据方面缺乏统一,标准的技术方案。由于数据资产所在环境的复杂性,比如存储的介质各不相同,可接触数据的人员差异很大等,各个组织机构使用的方法也因不同组织机构而异。目前最主要的方案为备份数据,如果在数据丢失的情况下,可以用备份的数据在生产环境进行数据恢复,另一个广泛使用的技术则是基于其所使用的数据库在权限限制方面提供的能力,对不同的用户进行权限控制,减小数据被非正常删除的风险。然而,数据备份并没用从本质上对阻止数据的非正常删除起到作用,只是起到了灾难发生后能够进行事后弥补的作用,这种事后弥补的操作虽然能够恢复数据到之前的状态,但是需要时间,通常伴随着生产系统的瘫痪,同时这种方法没有做到降低生产系统上的数据被非正常删除的风险。此外,最小权限下放通过限制用户的权限起到减少非正常删除数据的风险,但是对于拥有足够权限的用户,并无法阻止该用户由于异常情况删除重要的数据。因此,本发明实施例还提供了一种识别异常操作指令的方法,其可以在删除数据的指令执行前判断该指令是否异常,从而可以阻止异常删除操作指令,达到事前预防的效果而非在数据删除后进行补救。
请参阅图1,图1示出了本发明实施例提供的一种识别异常操作指令的方法的流程图,该方法包括以下步骤:
步骤S110:获取用户的数据操作指令。
在本步骤中,所述数据操作指令可以是数据删除指令或读取数据指令等,在进行这些指令的操作时,用户会先选定具体需要执行操作的数据,之后再选取要对这一文本执行的操作命令本发明实施例会在会在用户输入数据操作指令时,实时获取该指令,该指令会包括用户信息、数据信息和操作类型。所述用户信息是指输入该指令的用户的信息,所述数据信息可以根据用户选定的数据确定,而操作类型则是根据用户选定的操作命令确定。此外,在获取了用户的数据操作指令后不会立即执行该指令,而是在后续步骤判断该指令是否异常,再确定是否执行该指令。
步骤S120:从预设数据库内获取所述数据操作指令对应的数据的数据属性。
在获取了用户的数据操作指令后,即可根据指令包含的数据信息来确定该指令对应的数据,从而可以根据该数据信息在预设数据库调用该数据的数据属性。
其中,所述预设数据库包含用户所在组织或机构所拥有的所有数据的信息,这些信息包括数据的数据属性以及数据的其它特征参数。所述数据属性可以是表示该数据的使用热度、占用大小、修改时间和变更用户等信息的参数,而其它特征参数可以是数据所在域的信息以及该数据包含的数据对象的标识信息等。所述数据所在域是指数据所在的类别,这些相同类型的数据会组合在一起形成一个数据域。数据域的划分可以依据数据的存储类型或对应的业务类型。
可以理解的是:对于不同的组织或机构,其拥有的数据的类型会有所区别,相应地,这些组织或机构的预设数据库包含的数据属性的种类也会不同。
步骤S130:计算各所述数据属性对应的特征值。
步骤S140:计算所述特征值的加权平均值。
步骤S150:根据所述加权平均值,确定所述数据操作指令是否异常。
由于数据属性是反映数据的使用热度、占用大小、访问次数和变更用户等信息的参数,所以部分数据属性可以反映该数据的重要程度,例如表示使用热度和占用大小数据属性的值越大时,说明该参数越重要,对该数据操作的风险也会越大。而另外部分数据属性结合数据操作指令包含的用户信息,可以判断用户与该数据的关联程度,而用户与该数据的关联程度越高,对该数据操作的风险则会越低。因此,每一数据属性都会对应一风险程度,该风险程度通过量化后即可得到所述特征值。之后通过计算这些特征值的加权平均值,即可得到一个反映数据操作指令整体风险情况是数值。最后通过该数据的大小,则可以判断用户的数据操作指令是否存在风险,即是否异常。当一用户的数据操作指令异常时,则可以拦截该指令,阻止该指令的执行,到达事前预防的效果。
本发明实施例在用户对弈数据执行操作时,会获取该用户的数据操作指令,并从预设数据库内该指令对应的数据的数据属性,其中,数据操作指令可以是删除、读取或存储数据等操作;数据属性为表示该数据的使用热度、占用大小、修改时间和变更用户等信息的参数。之后根据这些数据属性以及用户的数据操作指令,可以分别计算出这些数据属性对应的特征值,特征值可以表示用户这一操作的对应一种数据属性的安全或风险程度。最后,通过计算各特征值的加权平均值,可以综合评估用户这一操作的整体的安全或风险程度,由此可以根据加权平均值的大小来判断用户这一操作是否异常,是否需要直接拦截或给工作人员进一步确认。和现有技术相比,本发明实施例可以在删除操作执行成功前对这一操作是否存在风险进行评估,从而可以阻止异常删除操作指令,达到事前预防的效果而非在数据删除后进行补救。
对于上述步骤S130,步骤中的数据属性包括数据创建人a1、数据拥有人a2、数据拥有人所在组a3、数据创建时间a4、数据被不同人员的访问次数a5、数据每次的访问时间a6、数据的数据量a7和数据的存储量a8,这些数据属性对应的特征值的计算方式皆不相同。
对于数据创建人a1,请参阅图2,其示出了本发明实施例提供的第一种计算特征值的子步骤流程图,a1对应的特征值的计算方式为:
步骤S210:从各所述数据属性中选取数据创建人。
步骤S220:根据所述数据操作指令,确定所述数据操作指令的执行人。
步骤S230:当所述数据创建人和所述执行人相同时,将第一预设阈值确定为所述数据创建人对应的特征值。
步骤S240:当所述数据创建人和所述执行人相异时,将第二预设阈值确定为所述数据创建人对应的特征值,其中,所述第二预设阈值小于所述第一预设阈值。
根据上述步骤可以得到a1对应的特征值的计算公式为:
Figure BDA0002241789710000081
其中,f1(a1)为a1对应的特征值,U为数据操作指令的执行人,C1为实施例中第一预设阈值,C2为所述第二预设阈值。具体地,C1可以是0,C2可以是1。在本实施例中,若a1和U相同,则说明用户与该数据的关联程度较高,即用户的数据操作指令的风险程度较低;相反,若a1和U不同则用户的数据操作指令的风险程度较高。由此,本发明实施例可以通过分别在a1和U相同和不同时选取数据大小不同的C1和C2来对用户的数据操作指令的风险程度进行量化,得到a1对应的特征值f1(a1)。
对于数据拥有人a2,请参阅图3,其示出了本发明实施例提供的第二种计算特征值的子步骤流程图,a2对应的特征值的计算方式为:
步骤S310:从各所述数据属性中选取数据拥有人。
步骤S320:当所述数据拥有人和所述执行人相同时,将第三预设阈值确定为所述数据拥有人对应的特征值。
步骤S330:当所述数据拥有人和所述执行人相异时,将第四预设阈值确定为所述数据拥有人对应的特征值,其中,所述第四预设阈值小于所述第三预设阈值。
根据上述步骤可以得到a2对应的特征值的计算公式为:
Figure BDA0002241789710000091
其中,f2(a2)为a1对应的特征值,C3为实施例中第三预设阈值,C4为所述第四预设阈值。具体地,C3可以是0,C4可以是1。和上述实施例相同,本实施例中的f2(a2)也是反映的是用户与数据的关联程度。
对于数据拥有人所在组a3,请参阅图4,其示出了本发明实施例提供的第三种计算特征值的子步骤流程图,a3对应的特征值的计算方式为:
步骤S410:从各所述数据属性中选取数据拥有人所在组。
步骤S420:根据所述数据操作指令的执行人,从预设资源库获取所述数据操作指令的执行人所在组。
步骤S430:当所述数据拥有人所在组和所述执行人所在组相同时,将第五预设阈值确定为所述数据拥有人所在组对应的特征值。
步骤S440:当所述数据拥有人所在组和所述执行人所在组相异时,将第六预设阈值确定为所述数据拥有人所在组对应的特征值,其中所述第六预设阈值小于所述第五预设阈值。
根据上述步骤可以得到a3对应的特征值的计算公式为:
Figure BDA0002241789710000092
其中,f3(a3)为a3对应的特征值,G为所述执行人所在组,C5为第五预设阈值,C6为第六预设阈值。所述所在组是指根据用户的职位或部门等信息将用户划分为不同分组。若指令的执行人的所在组和数据拥有人所在组相同,则可以说明执行人和该数据的关联性较强。例如用户A和B都位于表示财务部门的所在组内,用户A是一组财务数据的拥有人,用户B现在要执行和该财务数据相关的操作指令,则用户B执行该指令的风险较低,因为用户B可能是由于自身工作原因需要处理该财务数据。但若用户B位于表示客服部门的所在组内,则用户B和该财务数据的关联性较低,用户B执行该指令会存在风险。因此,本发明实施例在a3与G相同和不同时,分别对f3(a3)进行大小不同的赋值,使f3(a3)能够反映这两种情况下不同的风险程度或安全程度。
对于数据拥有人所在组a4,请参阅图5,其示出了本发明实施例提供的第四种计算特征值的子步骤流程图,a4对应的特征值的计算方式为:
步骤S510:从各所述数据属性中选取数据创建时间和从预设数据库内获取数据所在域的创建时间;
步骤S520:根据所述数据操作指令,确定所述数据操作指令的发生时间。
步骤S530:将所述发生时间减去所述数据创建时间,得到数据创建时长。
步骤S540:将所述发生时间减去所述所在域的创建时间,得到所在域创建时长。
步骤S550:根据所述数据创建时长和所述所在域创建时长,计算数据创建时间对应的特征值。
根据上述步骤可以得到a4对应的特征值的计算公式可以是:
Figure BDA0002241789710000101
其中,f4(a4)为a4对应的特征值,Tc为所述发生时间,Tmin为数据所在域的创建时间,其为步骤S120所述的其它特征参数,Tc-a4为所述数据创建时长,Tc-Tmin为所在域创建时长。若数据创建时长和所在域创建时长越接近,则说明该数据在其所在域内的时间较长,则说明该数据长期未进行修改或者删除,若此时进行删除或修改的指令,风险会较大。而若数据创建时长和所在域创建时长相差较远,则说明该数据才修改或在所在域内创建,则再次对其进行修改的风险会较小。因此,本发明实施例可以通过数据创建时长与所在域创建时长的比值来判断用户的操作指令是否存在风险。
可以理解的是:f5(a5)的计算公式也不仅限于上面的描述,也可以是其它公式,例如,数据创建时长与所在域创建时长的差值与一些常数的组合。
对于数据被不同人员的访问次数a5,请参阅图6,其示出了本发明实施例提供的第五种计算特征值的子步骤流程图,a5对应的特征值的计算方式为:
步骤S610:从各所述数据属性中选取数据被不同人员的访问次数。
步骤S620:根据所述被不同人员的访问的次数和所述数据操作指令的执行人,确定数据总访问次数和执行人数据访问次数。
步骤S630:将所述执行人数据访问次数除以所述数据总访问次数,得到所述访问次数对应的特征值。
根据上述步骤可以得到a5对应的特征值的计算公式可以是:
Figure BDA0002241789710000111
其中,f5(a5)为a5对应的特征值,CNTc(a5)为所述执行人数据访问次数,CNTt(a5)为所述数据总访问次数。a5是指预设数据库内会存储所有访问某一数据的用户的访问次数,例如,预设数据库存储了数据a的数据属性,访问数据a的用户有A和B,其访问a的次数分为为4次和6次,若用户B当前发出操作数据a的指令,则CNTc(a5)为6,CNTt(a5)为10,f5(a5)为0.6。f5(a5)越高说明执行人访问该数据越频繁,所以执行人再次操作该数据的危险程度也会越低,所以其可以量化所述数据操作指令的安全程度。
对于数据被不同人员的访问次数a6,请参阅图7,其示出了本发明实施例提供的第六种计算特征值的子步骤流程图,a6对应的特征值的计算方式为:
步骤S710:从各所述数据属性中选取数据每次的访问时间a6
步骤S720:根据所述数据每次的访问时间a6,确定数据连续两次访问中的最大间隔时间Tmax(a6)、数据连续两次访问中的最小间隔时间Tmin(a6)和数据此次访问与上一次被访问的间隔时间T(a6)。
步骤S730:将Tmax(a6)和Tmin(a6)求和并除以二,得到间隔均值。
步骤S740:根据所述间隔均值和T(a6),计算所述访问时间a6对应的特征值。
根据上述步骤可以得到a6对应的特征值的计算公式可以是:
Figure BDA0002241789710000112
其中,f6(a6)为a6对应的特征值,
Figure BDA0002241789710000113
为所述间隔均值。从上述公式可知,当T(a6)与间隔均值越接近,f6(a6)越大,说明所述数据操作指令越安全。因为,在组织或机构的一些工作人员可能会某些数据有些周期性或规律性日常操作,T(a6)与间隔均值越接近,说明所述数据操作指令是日常操作的可能性很大,所以风险会较大。反之,则说明对该数据的操作并非日常操作,风险性较大。
对于数据的数据量a7,请参阅图8,其示出了本发明实施例提供的第七种计算特征值的子步骤流程图,a7对应的特征值的计算方式为:
步骤S810:从各所述数据属性中选取数据的数据量和从预设数据库内获取数据所在域的总数据量。
步骤S820:将所述数据的数据量除以所述数据所在域的总数据量,得到所述数据的数据量对应的特征值。
其中,所述数据的数据量a7是指该数据包含的数据对象的数目,每一数据对象都有用于区分其它数据对象的区分标识,根据该区分标识可以计算出数据的数据量。所述所在域的总数据量是指该数据位于的所在域内所有的数据的数据对象的数目,其也是步骤S120所述的其它特征参数。通过a7与所述所在域的总数据量的比值可以评判该数据在所在域内的重要程度,其重要程度越高,操作该数据的风险越大。
对于数据的存储量a8,请参阅图9,其示出了本发明实施例提供的第八种计算特征值的子步骤流程图,a8对应的特征值的计算方式为:
步骤S910:从各所述数据属性中选取数据的存储量和从预设数据库内获取数据所在域的总存储量。
步骤S920:将所述数据的存储量除以所述数据所在域的总存储量,得到所述数据的存储量对应的特征值。
其中,数据的存储量a8是指该数据占用的内存大小,而所述数据所在域的总存储量是指该数据位于的所在域内所有数据的内存大小之和,其也是步骤S120所述的其它特征参数。通过a8与所述数据所在域的总存储量的比值也可以评判该数据在所在域内的重要程度,其重要程度越高,操作该数据的风险越大。
可以理解的是:计算上述各数据属性对应的特征值的计算不仅限于上面描述的方式,也可以为其它方式,此处不再赘述。此外,对于不同的场景也可以增加或删除某些数据属性,例如,对于某些政府机构,不同职位级别的用户的数据处理的权限相差较大,因此可以增加数据拥有者所属职位级别来对数据操作指令的风险进行评判。
对于上述步骤S140,其也可以有多种实现方式,请参阅图10,其示出了本发明实施例提供的计算加权平均数的子步骤流程图;所述步骤S140具体为:
步骤S141:将各所述特征值乘以其对应的权重值,得到加权特征值;
步骤S142:将所述加权特征值求和并除以各所述权重值之和,得到所述加权平均值。
根据上述步骤可以确定加权平均值ap的计算公式可以是:
Figure BDA0002241789710000131
其中,N表示数据属性的总数目,wi表示各特征值对应的权重值,fi(Cai)表示各数据属性对应的特征值,wifi(Cai)表示所述加权特征值。
可以理解的是:不同组织机构对不同数据属性的重要程度的评判标准不一,所以各权重值需要根据各场景或组织机构的要求自行选择。此外,ap的计算方式不仅限于上面描述的方式,也可以为其它方式,例如,将所述加权特征值求和并除以数据属性的总数目N,其也可以反映所述数据操作指令的整体安全或风险情况。
对于上述步骤S150,其也可以有多种实现方式,请参阅图11,其示出了本发明实施例提供的计确定数据操作指令是否异常的子步骤流程图;所述步骤S150具体为:
步骤S151:根据所述加权平均值,得到风险值。
步骤S152:根据所述数据操作指令中的操作类型,确定风险值系数。
步骤S153:将所述风险值系数乘以所述风险值得到所述风险分数。
步骤S154:当所述风险分数大于第七预设阈值时,阻止所述数据操作指令的执行。
根据上述步骤可以确定风险分数SDd的计算公式可以是:
SDd=β(100-ap)
其中,β为所述风险值系数,其可以根据数据操作指令中的操作类型来确定,例如,删除指令的风险较大,所以其风险值系数可以是1,而数据的读取指令不可能存在风险,所以其风险值系数可以是0。该公式可以将一用户的数据操作指令的风险程度进行量化。通过将量化的风险程度与用户所在组织或机构根据经验设置的第七预设阈值来比较,即可确定是将该指令放行还是阻止该指令;而风险分数SDd的计算公式中的100也可以替换为其它常数。
可以理解的是:据所述加权平均值,确定所述数据操作指令是否异常的方式以及风险分数的计算公式不仅限于上面的描述,也可以为其它方式和公式,例如,可以根据加权平均值计算一个安全分数,其越高,所述数据操作指令的风险越低,最后在安全分数低于某一程度时,阻止所述数据操作指令的执行。
本发明实施例在用户对弈数据执行操作时,会获取该用户的数据操作指令,并从预设数据库内该指令对应的数据的数据属性,其中,数据操作指令可以是删除、读取或存储数据等操作;数据属性为表示该数据的使用热度、占用大小、修改时间和变更用户等信息的参数。之后根据这些数据属性以及用户的数据操作指令,可以分别计算出这些数据属性对应的特征值,特征值可以表示用户这一操作的对应一种数据属性的安全或风险程度。最后,通过计算各特征值的加权平均值,可以综合评估用户这一操作的整体的安全或风险程度,由此可以根据加权平均值的大小来判断用户这一操作是否异常,是否需要直接拦截或给工作人员进一步确认。和现有技术相比,本发明实施例可以在删除操作执行成功前对这一操作是否存在风险进行评估,从而可以阻止异常删除操作指令,达到事前预防的效果而非在数据删除后进行补救。
本发明实施例还提供了一种识别异常操作指令的装置100,请参阅图12,其示出了本发明实施例提供的一种识别异常操作指令的装置的结构示意图,所述装置100包括交互模块10、命令中继模块20、数据源代理人模块30和风险控制模块40。该识别异常操作指令的装置100可以存储某一组织机构或公司单位等所拥有的所有数据,这些数据存储于各个数据源内。所述交互模块10用于与用户进行交互,即接收用户的数据操作指令以及返回用户数据操作指令的结果。所述命令中继模块20用于从交换模块接收用户的数据操作指令并将其转发给据源代理人模块和风险控制模块。所述数据源代理人模块30可以作为数据探针,不断地从数据源收集数据的使用热度、占用大小,修改时间和变更用户等信息,之后数据源代理人模块30会根据这些信息建立预设数据库,该预设数据库可以存储于云服务器上。此外,数据源代理人模块可以周期性地对预设数据库进行更新,即按固定周期从数据源收集数据的信息,以此更新预设数据库。同时,数据源代理人模块30还可以根据用户的数据操作指令的执行结果来更新预设数据库。例如,若用户的操作指令为访问某一数据,该操作执行后,数据源代理人模块30会在预设数据库内更新该数据的访问次数。所述风险控制模块40用于从命令中继模块获取用户的数据操作指令,并根据该指令从预设数据库内获取该指令对应的数据的数据属性,之后计算这些数据属性对应的特征值。所述特征值可以表示用户这一操作的对应一种数据属性的安全或风险程度。此外,风险控制模块40会计算这些特征值的加权平均值,并根据该加权平均值,判断用户的数据操作指令是否异常。当该指令异常时,其会将异常结果返回给命令中继模块20,命令中继模块20会将用户的操作指令拦截并发送至核查人员进行人工核查。而当该操作正常时,风险控制模块40会将操作正常的结果返回给命令中继模块20,命令中继模块20会将用户的操作指令放行,并发送给数据源代理人模块30,由数据源代理人模块30执行该指令,即对数据源内的数据进行读取或删除等操作。
对于上述数据源代理人模块30,请参数图13,其示出了本发明实施例提供的一种识别异常操作指令的装置中数据源代理人模块的示意图,由于不同具体的数据源的数据访问,操作方式和接口大多不一样,所以数据源代理人模块30可以根据数据源类型进行划分,具体地,数据源代理人模块30可以分为:文件系统代理人31、关系DB代理人32、NoSOL代理人33、API代理人34和其它数据源代理人35。之后,这些代理人会将各自从数据源获取到的数据信息整理成统一格式,并组合形成预设数据库。
可以理解的是:本发明实施例中的命令中继模块20也可以省略,交互模块10也可以直接将用户的数据操作指令发送给风险控制模块40,风险控制模40块在判断其是否异常后再决定将其发送至人工核查或发送给数据源代理人模块30执行该数据操作指令。
在一种可选的方式中,所述风险控制模块40还用于:从各所述数据属性中选取数据创建人;根据所述数据操作指令,确定所述数据操作指令的执行人;当所述数据创建人和所述执行人相同时,将第一预设阈值确定为所述数据创建人对应的特征值;当所述数据创建人和所述执行人相异时,将第二预设阈值确定为所述数据创建人对应的特征值,其中,所述第二预设阈值小于所述第一预设阈值。。
在一种可选的方式中,所述风险控制模块40还用于:从各所述数据属性中选取数据拥有人;当所述数据拥有人和所述执行人相同时,将第三预设阈值确定为所述数据拥有人对应的特征值;当所述数据拥有人和所述执行人相异时,将第四预设阈值确定为所述数据拥有人对应的特征值,其中,所述第四预设阈值小于所述第三预设阈值。
在一种可选的方式中,所述风险控制模块40还用于:从各所述数据属性中选取数据拥有人所在组;
根据所述数据操作指令的执行人,从预设资源库获取所述数据操作指令的执行人所在组;当所述数据拥有人所在组和所述执行人所在组相同时,将第五预设阈值确定为所述数据拥有人所在组对应的特征值;当所述数据拥有人所在组和所述执行人所在组相异时,将第六预设阈值确定为所述数据拥有人所在组对应的特征值,其中所述第六预设阈值小于所述第五预设阈值。
在一种可选的方式中,所述风险控制模块40还用于:从各所述数据属性中选取数据创建时间和从预设数据库内获取数据所在域的创建时间;根据所述数据操作指令,确定所述数据操作指令的发生时间;将所述发生时间减去所述数据创建时间,得到数据创建时长;将所述发生时间减去所述所在域的创建时间,得到所在域创建时长;根据所述数据创建时长和所述所在域创建时长,计算数据创建时间对应的特征值。
在一种可选的方式中,所述风险控制模块40还用于:从各所述数据属性中选取数据被不同人员的访问次数;根据所述被不同人员的访问的次数和所述数据操作指令的执行人,确定数据总访问次数和执行人数据访问次数;将所述执行人数据访问次数除以所述数据总访问次数,得到所述访问次数对应的特征值。
在一种可选的方式中,所述风险控制模块40还用于:从各所述数据属性中选取数据每次的访问时间a6
根据所述数据每次的访问时间a6,确定数据连续两次访问中的最大间隔时间Tmax(a6)、数据连续两次访问中的最小间隔时间Tmin(a6)和数据此次访问与上一次被访问的间隔时间T(a6);将Tmax(a6)和Tmin(a6)求和并除以二,得到间隔均值;根据所述间隔均值和T(a6),计算所述访问时间a6对应的特征值。
在一种可选的方式中,所述风险控制模块40还用于:从各所述数据属性中选取数据的数据量和从预设数据库内获取数据所在域的总数据量;将所述数据的数据量除以所述数据所在域的总数据量,得到所述数据的数据量对应的特征值。
在一种可选的方式中,所述风险控制模块40还用于:从各所述数据属性中选取数据的存储量和从预设数据库内获取数据所在域的总存储量;将所述数据的存储量除以所述数据所在域的总存储量,得到所述数据的存储量对应的特征值。
在一种可选的方式中,所述风险控制模块40还用于:将各所述特征值乘以其对应的权重值,得到加权特征值;将所述加权特征值求和并除以各所述权重值之和,得到所述加权平均值。
在一种可选的方式中,所述风险控制模块40还用于:根据所述加权平均值,得到风险值;根据所述数据操作指令中的操作类型,确定风险值系数;将所述风险值系数乘以所述风险值得到所述风险分数;当所述风险分数大于第七预设阈值时,阻止所述数据操作指令的执行。
本发明实施例在用户对弈数据执行操作时,会通过交互模块10获取该用户的数据操作指令,并从通过风险控制模块40预设数据库内该指令对应的数据的数据属性,其中,数据操作指令可以是删除、读取或存储数据等操作;数据属性为表示该数据的使用热度、占用大小、修改时间和变更用户等信息的参数。之后根据这些数据属性以及用户的数据操作指令,可以分别计算出这些数据属性对应的特征值,特征值可以表示用户这一操作的对应一种数据属性的安全或风险程度。最后,通过计算各特征值的加权平均值,可以综合评估用户这一操作的整体的安全或风险程度,由此可以根据加权平均值的大小来判断用户这一操作是否异常,是否需要直接拦截或给工作人员进一步确认。和现有技术相比,本发明实施例可以在删除操作执行成功前对这一操作是否存在风险进行评估,从而可以阻止异常删除操作指令,达到事前预防的效果而非在数据删除后进行补救。
本发明实施例提供了一种非易失性计算机可读存储介质,所述计算机可读存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的识别异常操作指令的。
图14示出了本发明实施例提供的识别异常操作指令的设备的结构示意图,本发明具体实施例并不对识别异常操作指令的设备的具体实现做限定。
如图14所示,该识别异常操作指令的设备可以包括:处理器(processor)202、通信接口(Communications Interface)204、存储器(memory)206、以及通信总线208。
其中:处理器202、通信接口204、以及存储器206通过通信总线208完成相互间的通信。通信接口204,用于与其它设备比如客户端或其它服务器等的网元通信。处理器202,用于执行程序210,具体可以执行上述识别异常操作指令的方法实施例中的相关步骤。
具体地,程序210可以包括程序代码,该程序代码包括计算机操作指令。
处理器202可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。识别异常操作指令的设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器206,用于存放程序210。存储器206可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序210具体可以用于使得处理器202执行以下操作:
获取用户的数据操作指令;
从预设数据库内获取所述数据操作指令对应的数据的数据属性;
计算各所述数据属性对应的特征值;
计算所述特征值的加权平均值;
根据所述加权平均值,确定所述数据操作指令是否异常。
在一种可选的方式中,程序210具体可以进一步用于使得处理器202执行以下操作:
从各所述数据属性中选取数据创建人;
根据所述数据操作指令,确定所述数据操作指令的执行人;
当所述数据创建人和所述执行人相同时,将第一预设阈值确定为所述数据创建人对应的特征值;
当所述数据创建人和所述执行人相异时,将第二预设阈值确定为所述数据创建人对应的特征值,其中,所述第二预设阈值小于所述第一预设阈值。
在一种可选的方式中,程序210具体可以进一步用于使得处理器202执行以下操作:
从各所述数据属性中选取数据创建人;
根据所述数据操作指令,确定所述数据操作指令的执行人;
当所述数据创建人和所述执行人相同时,将第一预设阈值确定为所述数据创建人对应的特征值;
当所述数据创建人和所述执行人相异时,将第二预设阈值确定为所述数据创建人对应的特征值,其中,所述第二预设阈值小于所述第一预设阈值。
在一种可选的方式中,程序210具体可以进一步用于使得处理器202执行以下操作:
从各所述数据属性中选取数据拥有人所在组;
根据所述数据操作指令的执行人,从预设资源库获取所述数据操作指令的执行人所在组;
当所述数据拥有人所在组和所述执行人所在组相同时,将第五预设阈值确定为所述数据拥有人所在组对应的特征值;
当所述数据拥有人所在组和所述执行人所在组相异时,将第六预设阈值确定为所述数据拥有人所在组对应的特征值,其中所述第六预设阈值小于所述第五预设阈值。
在一种可选的方式中,程序210具体可以进一步用于使得处理器202执行以下操作:
从各所述数据属性中选取数据创建时间和从预设数据库内获取数据所在域的创建时间;
根据所述数据操作指令,确定所述数据操作指令的发生时间;
将所述发生时间减去所述数据创建时间,得到数据创建时长;
将所述发生时间减去所述所在域的创建时间,得到所在域创建时长;
根据所述数据创建时长和所述所在域创建时长,计算数据创建时间对应的特征值。
在一种可选的方式中,程序210具体可以进一步用于使得处理器202执行以下操作:
从各所述数据属性中选取数据被不同人员的访问次数;
根据所述被不同人员的访问的次数和所述数据操作指令的执行人,确定数据总访问次数和执行人数据访问次数;
将所述执行人数据访问次数除以所述数据总访问次数,得到所述访问次数对应的特征值。
在一种可选的方式中,程序210具体可以进一步用于使得处理器202执行以下操作:
从各所述数据属性中选取数据每次的访问时间a6
根据所述数据每次的访问时间a6,确定数据连续两次访问中的最大间隔时间Tmax(a6)、数据连续两次访问中的最小间隔时间Tmin(a6)和数据此次访问与上一次被访问的间隔时间T(a6);
将Tmax(a6)和Tmin(a6)求和并除以二,得到间隔均值;
根据所述间隔均值和T(a6),计算所述访问时间a6对应的特征值。
在一种可选的方式中,程序210具体可以进一步用于使得处理器202执行以下操作:
从各所述数据属性中选取数据的数据量和从预设数据库内获取数据所在域的总数据量;
将所述数据的数据量除以所述数据所在域的总数据量,得到所述数据的数据量对应的特征值。
在一种可选的方式中,程序210具体可以进一步用于使得处理器202执行以下操作:
从各所述数据属性中选取数据的存储量和从预设数据库内获取数据所在域的总存储量;
将所述数据的存储量除以所述数据所在域的总存储量,得到所述数据的存储量对应的特征值。
在一种可选的方式中,程序210具体可以进一步用于使得处理器202执行以下操作:
将各所述特征值乘以其对应的权重值,得到加权特征值;
将所述加权特征值求和并除以各所述权重值之和,得到所述加权平均值。
在一种可选的方式中,程序210具体可以进一步用于使得处理器202执行以下操作:
根据所述加权平均值,得到风险值;
根据所述数据操作指令中的操作类型,确定风险值系数;
将所述风险值系数乘以所述风险值得到所述风险分数;
当所述风险分数大于第七预设阈值时,阻止所述数据操作指令的执行。
本发明实施例在用户对弈数据执行操作时,会获取该用户的数据操作指令,并从预设数据库内该指令对应的数据的数据属性,其中,数据操作指令可以是删除、读取或存储数据等操作;数据属性为表示该数据的使用热度、占用大小、修改时间和变更用户等信息的参数。之后根据这些数据属性以及用户的数据操作指令,可以分别计算出这些数据属性对应的特征值,特征值可以表示用户这一操作的对应一种数据属性的安全或风险程度。最后,通过计算各特征值的加权平均值,可以综合评估用户这一操作的整体的安全或风险程度,由此可以根据加权平均值的大小来判断用户这一操作是否异常,是否需要直接拦截或给工作人员进一步确认。和现有技术相比,本发明实施例可以在删除操作执行成功前对这一操作是否存在风险进行评估,从而可以阻止异常删除操作指令,达到事前预防的效果而非在数据删除后进行补救。
本发明实施例提供了一种可执行程序,所述可执行程序可执行上述任意方法实施例中的识别异常操作指令的方法。
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。

Claims (10)

1.一种识别异常操作指令的方法,其特征在于,包括:
获取用户的数据操作指令;
从预设数据库内获取所述数据操作指令对应的数据的数据属性;
计算各所述数据属性对应的特征值;
计算所述特征值的加权平均值;
根据所述加权平均值,确定所述数据操作指令是否异常。
2.如权利要求1所述的方法,其特征在于,所述计算各所述数据属性对应的特征值,具体为:
从各所述数据属性中选取数据创建人;
根据所述数据操作指令,确定所述数据操作指令的执行人;
当所述数据创建人和所述执行人相同时,将第一预设阈值确定为所述数据创建人对应的特征值;
当所述数据创建人和所述执行人相异时,将第二预设阈值确定为所述数据创建人对应的特征值,其中,所述第二预设阈值小于所述第一预设阈值。
3.如权利要求2所述的方法,其特征在于,所述计算各所述数据属性对应的特征值,还包括:
从各所述数据属性中选取数据拥有人;
当所述数据拥有人和所述执行人相同时,将第三预设阈值确定为所述数据拥有人对应的特征值;
当所述数据拥有人和所述执行人相异时,将第四预设阈值确定为所述数据拥有人对应的特征值,其中,所述第四预设阈值小于所述第三预设阈值;
和/或,
从各所述数据属性中选取数据拥有人所在组;
根据所述数据操作指令的执行人,从预设资源库获取所述数据操作指令的执行人所在组;
当所述数据拥有人所在组和所述执行人所在组相同时,将第五预设阈值确定为所述数据拥有人所在组对应的特征值;
当所述数据拥有人所在组和所述执行人所在组相异时,将第六预设阈值确定为所述数据拥有人所在组对应的特征值,其中所述第六预设阈值小于所述第五预设阈值。
4.如权利要求1所述的方法,其特征在于,所述计算各所述数据属性对应的特征值,具体为:
从各所述数据属性中选取数据创建时间和从预设数据库内获取数据所在域的创建时间;
根据所述数据操作指令,确定所述数据操作指令的发生时间;
将所述发生时间减去所述数据创建时间,得到数据创建时长;
将所述发生时间减去所述所在域的创建时间,得到所在域创建时长;
根据所述数据创建时长和所述所在域创建时长,计算数据创建时间对应的特征值。
5.如权利要求2所述的方法,其特征在于,所述计算各所述数据属性对应的特征值,还包括:
从各所述数据属性中选取数据被不同人员的访问次数;
根据所述被不同人员的访问的次数和所述数据操作指令的执行人,确定数据总访问次数和执行人数据访问次数;
将所述执行人数据访问次数除以所述数据总访问次数,得到所述访问次数对应的特征值。
6.如权利要求1所述的方法,其特征在于,所述计算各所述数据属性对应的特征值,具体为:
从各所述数据属性中选取数据每次的访问时间a6
根据所述数据每次的访问时间a6,确定数据连续两次访问中的最大间隔时间Tmax(a6)、数据连续两次访问中的最小间隔时间Tmin(a6)和数据此次访问与上一次被访问的间隔时间T(a6);
将Tmax(a6)和Tmin(a6)求和并除以二,得到间隔均值;
根据所述间隔均值和T(a6),计算所述访问时间a6对应的特征值。
7.如权利要求1所述的方法,其特征在于,所述计算各所述数据属性对应的特征值,具体为:
从各所述数据属性中选取数据的数据量和从预设数据库内获取数据所在域的总数据量;
将所述数据的数据量除以所述数据所在域的总数据量,得到所述数据的数据量对应的特征值;
和/或,
从各所述数据属性中选取数据的存储量和从预设数据库内获取数据所在域的总存储量;
将所述数据的存储量除以所述数据所在域的总存储量,得到所述数据的存储量对应的特征值。
8.如权利要求1所述的方法,其特征在于,所述根据所述加权平均值,确定所述数据操作指令是否异常,具体为:
根据所述加权平均值,得到风险值;
根据所述数据操作指令中的操作类型,确定风险值系数;
将所述风险值系数乘以所述风险值得到所述风险分数;
当所述风险分数大于第七预设阈值时,阻止所述数据操作指令的执行。
9.一种识别异常操作指令的设备,其特征在于,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-8任意一项所述的识别异常操作指令的方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求1-8任意一项所述的识别异常操作指令的方法。
CN201911002591.5A 2019-10-21 2019-10-21 识别异常操作指令的方法、装置及设备 Pending CN112765598A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911002591.5A CN112765598A (zh) 2019-10-21 2019-10-21 识别异常操作指令的方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911002591.5A CN112765598A (zh) 2019-10-21 2019-10-21 识别异常操作指令的方法、装置及设备

Publications (1)

Publication Number Publication Date
CN112765598A true CN112765598A (zh) 2021-05-07

Family

ID=75691945

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911002591.5A Pending CN112765598A (zh) 2019-10-21 2019-10-21 识别异常操作指令的方法、装置及设备

Country Status (1)

Country Link
CN (1) CN112765598A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116578460A (zh) * 2023-06-30 2023-08-11 中科乐约健康科技(深圳)有限公司 一种医疗机构前置数据安全监控方法、系统及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1950778A (zh) * 2004-03-09 2007-04-18 Ip锁有限公司 数据库用户行为监控系统及方法
US20140379673A1 (en) * 2005-12-29 2014-12-25 Nextlabs, Inc. Techniques and System to Monitor and Log Access of Information Based on System and User Context Using Policies
US20160012235A1 (en) * 2014-02-10 2016-01-14 Vivo Security Inc. Analysis and display of cybersecurity risks for enterprise data
CN107563194A (zh) * 2017-09-04 2018-01-09 杭州安恒信息技术有限公司 潜伏性盗取用户数据行为检测方法及装置
US20180293377A1 (en) * 2015-10-13 2018-10-11 Nec Corporation Suspicious behavior detection system, information-processing device, method, and program

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1950778A (zh) * 2004-03-09 2007-04-18 Ip锁有限公司 数据库用户行为监控系统及方法
US20140379673A1 (en) * 2005-12-29 2014-12-25 Nextlabs, Inc. Techniques and System to Monitor and Log Access of Information Based on System and User Context Using Policies
US20160012235A1 (en) * 2014-02-10 2016-01-14 Vivo Security Inc. Analysis and display of cybersecurity risks for enterprise data
US20180293377A1 (en) * 2015-10-13 2018-10-11 Nec Corporation Suspicious behavior detection system, information-processing device, method, and program
CN107563194A (zh) * 2017-09-04 2018-01-09 杭州安恒信息技术有限公司 潜伏性盗取用户数据行为检测方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116578460A (zh) * 2023-06-30 2023-08-11 中科乐约健康科技(深圳)有限公司 一种医疗机构前置数据安全监控方法、系统及装置
CN116578460B (zh) * 2023-06-30 2024-03-15 中科乐约健康科技(深圳)有限公司 一种医疗机构前置数据安全监控方法、系统及装置

Similar Documents

Publication Publication Date Title
CN103403674B (zh) 执行基于策略的改变过程
US8516499B2 (en) Assistance in performing action responsive to detected event
US20160306967A1 (en) Method to Detect Malicious Behavior by Computing the Likelihood of Data Accesses
JP4910804B2 (ja) 業務プロセス推定プログラム、業務プロセス推定方法および業務プロセス推定装置
CN110148053B (zh) 用户信贷额度评估方法、装置、电子设备和可读介质
US20140278723A1 (en) Methods and systems for predicting workflow preferences
CN114117032A (zh) 一种基于实时应急数据生成预案的方法及装置、电子设备
WO2019169763A1 (zh) 电子装置、业务系统风险控制方法及存储介质
US20150261647A1 (en) Information system construction assistance device, information system construction assistance method, and recording medium
CN116418653A (zh) 基于多指标根因定位算法的故障定位方法及装置
CN112765598A (zh) 识别异常操作指令的方法、装置及设备
US20190007282A1 (en) Quality assessment and decision recommendation for continous deployment of cloud infrastructure components
CN108446270B (zh) 电子装置、系统敏感内容的预警方法及存储介质
WO2019095569A1 (zh) 基于微博财经事件的金融分析方法、应用服务器及计算机可读存储介质
CN111491300A (zh) 风险检测方法、装置、设备及存储介质
US20200118016A1 (en) Data attribution using frequent pattern analysis
JP6142878B2 (ja) 情報システムの性能評価装置、方法およびプログラム
US20180081970A1 (en) Data retrieval system and data retrieval method
WO2021174881A1 (zh) 多维度信息的组合预测方法、装置、计算机设备及介质
KR102137109B1 (ko) 로그 메시지의 패턴을 분류하는 방법 및 장치
KR101790761B1 (ko) 사용자 행위에 기반한 프로세스 평가 방법
CN115187252A (zh) 网络交易系统中欺诈行为的识别方法、服务器及存储介质
KR101766847B1 (ko) 사용자 행위에 기반한 프로세스 평가 방법
KR20210069215A (ko) 빅데이터 분석을 최적화하는 사용자 인터페이스 방법
CN111815442B (zh) 一种链接预测的方法、装置和电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210507

RJ01 Rejection of invention patent application after publication