CN113486366A - 一种基于聚类分析的Web违规操作行为检测方法 - Google Patents

一种基于聚类分析的Web违规操作行为检测方法 Download PDF

Info

Publication number
CN113486366A
CN113486366A CN202110639340.9A CN202110639340A CN113486366A CN 113486366 A CN113486366 A CN 113486366A CN 202110639340 A CN202110639340 A CN 202110639340A CN 113486366 A CN113486366 A CN 113486366A
Authority
CN
China
Prior art keywords
operation behavior
data
user
web
current
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110639340.9A
Other languages
English (en)
Inventor
魏力鹏
严彬元
陈卿
袁捷
吕嵘晶
王皓然
刘俊荣
陶佳冶
周泽元
班秋成
周琳妍
舒彧
冯光璐
纪元
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guizhou Power Grid Co Ltd
Original Assignee
Guizhou Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guizhou Power Grid Co Ltd filed Critical Guizhou Power Grid Co Ltd
Priority to CN202110639340.9A priority Critical patent/CN113486366A/zh
Publication of CN113486366A publication Critical patent/CN113486366A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种基于聚类分析的Web违规操作行为检测方法,所述的检测方法包括:获取用户的当前操作行为数据;提取所述当前操作行为数据中的操作特征信息集,根据操作特征信息集建立操作特征向量,确定所述操作特征向量与预设特征向量的操作行为匹配度;将当前操作行为数据输入到聚类模型,得到当前操作行为是否违规的分析结果,若为违规则得到违规评价结果;根据操作行为匹配度和违规评价结果,通过加权计算公式计算综合违规指数。本发明实施例提供的检测方法能够有效解决传统技术中无法有效识别用户网络操作的异常行为,无法做到违规操作行为检测的自动性、及时性和准确性的问题。

Description

一种基于聚类分析的Web违规操作行为检测方法
技术领域
本发明实施例属于Web业务安全监测技术领域,尤其涉及基于聚类分析的Web违规操作行为检测方法。
背景技术
Web业务系统目前对业务数据和业务办理行为的管理机制主要是通过业务数据进行加密和帐号权限控制,来达到对业务数据的保护和业务办理行为规范的作用。
其中,业务数据加密技术主要作用在数据传输和存储两个关键节点,通过将数据经过加密钥匙及加密函数转换,变成无意义的密,而接收方则将此密文经过解密函数、解密钥匙还原成业务数据,来达到对业务数据的保护效果;
而帐号权限控制主要是依据帐号的角色、层次、规则和对象来对帐号赋予相应的业务操作权限,安全管理人员在权限管理系统上配置权限规则和策略,实现用户权限的管理,通过查看帐号的操作日志,来发现相关帐号的违规办理行为。
现有的加密技术和权限管理技术,在应用时存在如下缺陷:第一:业务数据加密技术对于合法用户非法获取业务数据无法监管;第二:利用规则或策略来判断用户网络操作行为是否异常,但规则与策略并不能涵盖所有异常行为,传统技术比较局限,且会忽略或不能及时识别出新的异常行为。
发明内容
本发明的目的在于提供一种基于聚类分析的Web违规操作行为检测方法,旨在解决传统技术中无法有效识别用户网络操作的异常行为,无法做到违规操作行为检测的自动性、及时性和准确性的问题。
本发明的目的是通过以下技术方案实现的:
一种基于聚类分析的Web违规操作行为检测方法,所述检测方法包括:
获取用户的当前操作行为数据;
提取所述当前操作行为数据中的操作特征信息集,根据操作特征信息集建立操作特征向量,确定所述操作特征向量与预设特征向量的操作行为匹配度;
将当前操作行为数据输入到聚类模型,得到当前操作行为是否违规的分析结果,若为违规则得到违规评价结果;
根据操作行为匹配度和违规评价结果,通过加权计算公式计算综合违规指数。
在本发明提供的一个优选实施方式中,在所述获取用户的当前操作行为数据的步骤之前,所述检测方法还包括:
获取当前用户在终端设备的访问请求,所述访问请求包括用户登录信息;
根据用户登录信息确定与当前用户相对应的预设用户信息;
基于所述预设用户信息确定所述当前用户的访问权限,其中,所述访问权限包括允许访问和禁止访问。
在本发明提供的一个优选实施方式中,所述根据用户登录信息确定与当前用户相对应的预设用户信息的步骤具体包括:
获取用户初次访问终端设备时注册信息,并将注册信息存储为预设用户信息,其中,所述预设用户信息包括用户ID和常用登录地址;
提取包含当前用户ID的登录信息,基于所述用户ID确定与所述登录信息对应的预设用户信息;
基于所述预设用户信息判断当前用户的登录地址是否与常用登录地址匹配,在当前用户的登录地址与常用登录地址匹配时,确定所述当前用户具有访问权限。
在本发明提供的一个优选实施方式中,所述聚类模型的建立方法包括:
对所述计算样本数据进行层次聚类计算得到距离矩阵;
基于距离矩阵生成将所述多个样本数据进行聚类的聚类模型。
在本发明提供的一个优选实施方式中,所述对所述计算样本数据进行层次聚类计算得到距离矩阵的步骤包括:
将每个所述样本数据设定为一个初始类簇;
计算每两个初始类簇之间的欧式距离;
所述欧式距离形成距离矩阵。
在本发明提供的一个优选实施方式中,在所述根据操作特征信息建立操作特征向量的步骤之后,所述的检测方法还包括:
判断操作特征向量数据中的特征维度是否大于预设的维度阈值;
若所述特征项维度大于维度阈值,则对所述操作特征向量数据进行降维处理,所述降维处理为去除所述操作特征信息集中的特征项。
在本发明提供的一个优选实施方式中,所述对所述操作特征向量数据进行降维处理的步骤包括:
根据预设的分析算法对所述操作特征信息集的各个特征项进行重新评估;
根据重新评估结果将所述操作特征向量数据中重要程度低的特征项从所述操作特征信息集中去除。
在本发明提供的一个优选实施方式中,所述加权计算公式如下:
Community=a*matching_degree+(1-a)*IC_Value;
其中,a为权重系数,a的取值范围为[0,1],Community为违规指数,matching_degree为匹配度,IC_Value为评价结果。
在本发明提供的一个优选实施方式中,所述样本数据的获取方式包括:
获取目标用户在网站上的历史操作行为数据,所述操作行为数据中包括2N个历史操作行为;
从所述历史操作行为中提取至少N个有效的样本操作行为,其中,N≥2;
对样本操作行为数据进行数据标准化预处理,得到样本数据。
在本发明提供的一个优选实施方式中,所述对样本操作行为数据进行数据标准化预处理,得到样本数据的步骤包括:
删除样本操作行为数据中数据缺失个数超过预设数量的数据;
对样本操作行为数据中的异常数据进行替换;
对样本操作行为数据进行标准化处理,得到样本数据。
与现有技术相比,本发明具有以下有益效果:
在本发明的基于聚类分析的Web违规操作行为检测方法中,通过获取用户的当前操作行为数据;并提取所述当前操作行为数据中的操作特征信息集,根据操作特征信息集建立操作特征向量,确定所述操作特征向量与预设特征向量的操作行为匹配度;然后将当前操作行为数据输入到聚类模型,得到当前操作行为是否违规的分析结果,若为违规则得到违规评价结果;进而根据操作行为匹配度和违规评价结果,最终通过加权计算公式计算综合违规指数。本发明实施例提供的检测方法能够有效解决传统技术中无法有效识别用户网络操作的异常行为,无法做到违规操作行为检测的自动性、及时性和准确性的问题:
本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书和前述的权利要求书来实现和获得。
附图说明
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步的详细描述,其中:
图1为本发明实施例提供的基于聚类分析的Web违规操作行为检测方法的系统架构图;
图2为本发明实施例提供的基于聚类分析的Web违规操作行为检测方法的一个实现流程框图;
图3为本发明实施例提供的基于聚类分析的Web违规操作行为检测方法的另一个实现流程框图;
图4为本发明实施例提供的基于聚类分析的Web违规操作行为检测方法的又一个子流程图;
图5为本发明实施例提供的基于聚类分析的Web违规操作行为检测方法的又一个子流程图;
图6为本发明实施例提供的基于聚类分析的Web违规操作行为检测方法的又一个子流程图;
图7为本发明实施例提供的基于聚类分析的Web违规操作行为检测方法的又一个子流程图;
图8为本发明实施例提供的基于聚类分析的Web违规操作行为检测方法的又一个子流程图;
图9为本发明实施例提供的基于聚类分析的Web违规操作行为检测方法的再一个子流程图;
图10为本发明实施例提供的基于聚类分析的Web违规操作行为检测系统的结构框图;
图11为本发明实施例提供的一种计算机设备的结构框图。
具体实施方式
以下将参照附图,对本发明的优选实施例进行详细的描述。应当理解,优选实施例仅为了说明本发明,而不是为了限制本发明的保护范围。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非被特定定义,否则不会用理想化或过于正式的含义来解释。
目前,Web业务系统目前对业务数据和业务办理行为的管理机制主要是通过业务数据进行加密和帐号权限控制,来达到对业务数据的保护和业务办理行为规范的作用。现有的加密技术和权限管理技术,在应用时存在如下缺陷:第一:业务数据加密技术对于合法用户非法获取业务数据无法监管;第二:利用规则或策略来判断用户网络操作行为是否异常,但规则与策略并不能涵盖所有异常行为,传统技术比较局限,且会忽略或不能及时识别出新的异常行为。
为解决上述问题,在本发明实施例提供的基于聚类分析的Web违规操作行为检测方法中,通过获取用户的当前操作行为数据;并提取所述当前操作行为数据中的操作特征信息集,根据操作特征信息集建立操作特征向量,确定所述操作特征向量与预设特征向量的操作行为匹配度;然后将当前操作行为数据输入到聚类模型,得到当前操作行为是否违规的分析结果,若为违规则得到违规评价结果;进而根据操作行为匹配度和违规评价结果,最终通过加权计算公式计算综合违规指数。本发明实施例提供的检测方法能够有效解决传统技术中无法有效识别用户网络操作的异常行为,无法做到违规操作行为检测的自动性、及时性和准确性的问题。
需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
图1示出了可以应用本公开的基于聚类分析的Web违规操作行为检测方法的实施例的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101,网络102和服务器103。网络102可以是用以在终端设备101和服务器103之间提供通信链路的介质。
网络102可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
终端设备101通过网络102与服务器103交互,以实现数据的传递。终端设备101上可以安装有各种web浏览器应用。
终端设备101可以是硬件,也可以是软件。当终端设备101为硬件时,可以是具有通信功能的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器、MP4播放器、膝上型便携计算机和台式计算机等等。当终端设备101为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块,也可以实现成单个软件或软件模块。在此不做具体限定。
服务器103可以是提供各种服务的服务器,例如对终端设备101上的网页类应用支持的后台服务器。服务器103可以接收终端设备101发送的访问请求。然后,服务器103可以对访问请求数据进行处理,并生成聚类模型。
需要说明的是,本公开实施例所提供的基于聚类分析的Web违规操作行为检测方法一般由服务器103执行,相应地,基于聚类分析的Web违规操作行为检测系统一般设置于服务器103中。可选的,本公开实施例所提供的基于聚类分析的Web违规操作行为检测方法也可以由终端设备101执行。
需要说明的是,服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成多个软件或软件模块,也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图1中的终端设备101、网络102和服务器103的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备101、网络102和服务器103。
以下结合具体实施例对本发明实施例提供的基于聚类分析的Web违规操作行为检测方法的具体实现进行详细描述。
图2示出了本发明实施例提供的基于聚类分析的Web违规操作行为检测方法的实现流程图;
具体的,如图1所述,在本发明提供的一个优选实施方式中,一种基于聚类分析的Web违规操作行为检测方法,所述检测方法包括:
步骤S300:获取用户的当前操作行为数据;
具体的,如某个处于监测状态的终端设备,实时检测目标用户的操作行为,如监测到目标用户打开了一个文件,并存在进一步复制该文件内容的行为。终端设备通过监测采集到用户对文件进行操作的当前操作行为数据,并把操作行为数据通过网络102发送给服务器103,远程服务器103进而获取了目标用户的当前操作行为数据。
进一步的,在实现所述步骤S300之前,所述的检测方法还包括确认当前用户访问权限的步骤S200;具体的,如图3所示,所述确认当前用户访问权限的步骤S200包括:
步骤S201:获取当前用户在终端设备的访问请求,所述访问请求包括用户登录信息;
步骤S202:根据用户登录信息确定与当前用户相对应的预设用户信息;
步骤S203:基于所述预设用户信息确定所述当前用户的访问权限,其中,所述访问权限包括允许访问和禁止访问。
进一步,请继续参阅图2,在本发明提供的优选实施方式中,所述检测方法还包括:
步骤S400:提取所述当前操作行为数据中的操作特征信息集,根据操作特征信息集建立操作特征向量,确定所述操作特征向量与预设特征向量的操作行为匹配度;
其中,如图7所示,在本发明实施例提供的步骤S400中,在所述根据操作特征信息建立操作特征向量的步骤之后,所述的检测方法还包括:
步骤S401:判断操作特征向量数据中的特征维度是否大于预设的维度阈值;
步骤S402:若所述特征项维度大于维度阈值,则对所述操作特征向量数据进行降维处理,所述降维处理为去除所述操作特征信息集中的特征项。
具体的,图8示出了本发明实施例对所述操作特征向量数据进行降维处理的具体实现流程:
请参阅图8,在本发明提供的优选实施方式中,所述对所述操作特征向量数据进行降维处理的步骤S402包括:
步骤S4021:根据预设的分析算法对所述操作特征信息集的各个特征项进行重新评估;
步骤S4022:根据重新评估结果将所述操作特征向量数据中重要程度低的特征项从所述操作特征信息集中去除。
进一步的,请继续参阅图2,在本发明实施例提供的检测方法中,所述的检测方法还包括:
步骤S500:将当前操作行为数据输入到聚类模型,得到当前操作行为是否违规的分析结果,若为违规则得到违规评价结果;
具体的,如图5所示,在本发明提供的一个优选实施方式中,所述聚类模型的建立方法包括:
步骤S501:对所述计算样本数据进行层次聚类计算得到距离矩阵;
步骤S502:基于距离矩阵生成将所述多个样本数据进行聚类的聚类模型。
进一步的,请继续参阅图2,在本发明实施例提供的检测方法中,所述的检测方法还包括:
步骤S600:根据操作行为匹配度和违规评价结果,通过加权计算公式计算综合违规指数。
本发明实施例提供的检测方法,通过将目标用户当前的操作行为与历史操作行为数据进行比对,判断二者的匹配度;以及通过聚类模型来检测操作行为是否异常;最后采用加权算法将两者综合,进而对操作行为作出综合性的评价,综合性评价具体体现在综合违规指数的计算结果中。
本实施例提供的检测方法能够监测和判断目标用户操作行为是否异常,相比于现有技术,具有不可比拟的自动性、及时性和准确性。本实施例具有聚类的异常检测,不但能识别是否异常,还能识别出异常的程度。
进一步的,如图7所示,在本发明提供的一个优选实施方式中,所述加权计算公式如下:
Community=a*matching_degree+(1-a)*IC_Value;
上述加权计算公式中,a为权重系数,a的取值范围为[0,1],Community为违规指数,matching_degree为匹配度,IC_Value为评价结果。
图4为本发明实施例提供的基于聚类分析的Web违规操作行为检测方法的又一个子流程图。
具体的,如图4所示,在本发明提供的了另一个优选实施方式中,所述根据用户登录信息确定与当前用户相对应的预设用户信息的步骤S202具体包括:
步骤S2021:获取用户初次访问终端设备时注册信息,并将注册信息存储为预设用户信息,其中,所述预设用户信息包括用户ID和常用登录地址;
步骤S2022:提取包含当前用户ID的登录信息,基于所述用户ID确定与所述登录信息对应的预设用户信息;
步骤S2023:基于所述预设用户信息判断当前用户的登录地址是否与常用登录地址匹配,在当前用户的登录地址与常用登录地址匹配时,确定所述当前用户具有访问权限。
图6示出了本发明实施例提供的基于聚类分析的Web违规操作行为检测方法的又一个子流程图。
进一步的,如图6所示,在本发明提供的一个优选实施方式中,所述样本数据的获取方式包括:
步骤S5011:获取目标用户在网站上的历史操作行为数据,所述操作行为数据中包括2N个历史操作行为;
步骤S5012:从所述历史操作行为中提取至少N个有效的样本操作行为,其中,N≥2;
步骤S5013:对样本操作行为数据进行数据标准化预处理,得到样本数据。
其中,本实施例在获取目标用户在网站上的历史操作行为数据的时候,可以按照目标用户个体进行采集,并将采集到的数据存储于数据库中,在存储时,也应当以目标用户为单位进行存储,一个用户数据中包括该用户在当前时刻或一段时间内的所有操作行为数据,而且每个用户数据中包括至少2N个用户行为操作,其中N为大于2的自然数;这些用户行为操作可以包括:是否异地登录、登录时间、登录地点、停留时间、查询销售数据、修改密码等等。
进一步的,在本发明实施例提供的优选实施方式中,所述对所述计算样本数据进行层次聚类计算得到距离矩阵的步骤包括:
步骤S5014:将每个所述样本数据设定为一个初始类簇;
步骤S5015:计算每两个初始类簇之间的欧式距离;
步骤S5016:所述欧式距离形成距离矩阵。
图9为本发明实施例提供的基于聚类分析的Web违规操作行为检测方法的再一个子流程图;
请参阅图9,在本发明提供的一个优选实施方式中,所述对样本操作行为数据进行数据标准化预处理,得到样本数据的步骤包括:
步骤S50131:删除样本操作行为数据中数据缺失个数超过预设数量的数据;
步骤S50132:对样本操作行为数据中的异常数据进行替换;
步骤S50133:对样本操作行为数据进行标准化处理,得到样本数据。
综上所述,在本发明实施例提供的基于聚类分析的Web违规操作行为检测方法中,通过获取用户的当前操作行为数据;并提取所述当前操作行为数据中的操作特征信息集,根据操作特征信息集建立操作特征向量,确定所述操作特征向量与预设特征向量的操作行为匹配度;然后将当前操作行为数据输入到聚类模型,得到当前操作行为是否违规的分析结果,若为违规则得到违规评价结果;进而根据操作行为匹配度和违规评价结果,最终通过加权计算公式计算综合违规指数。本发明实施例提供的检测方法能够有效解决传统技术中无法有效识别用户网络操作的异常行为,无法做到违规操作行为检测的自动性、及时性和准确性的问题。
另外,图10为本发明实施例提供的基于聚类分析的Web违规操作行为检测系统的结构框图;
如图10所示,在本发明提供的优选实施例中,本发明实施例还提供了一种基于聚类分析的Web违规操作行为检测系统;
具体的,在本实施例中,所述检测系统700包括:
数据获取单元701,用于获取用户的当前操作行为数据;
匹配度单元702,用于提取所述当前操作行为数据中的操作特征信息集,根据操作特征信息集建立操作特征向量,确定所述操作特征向量与预设特征向量的操作行为匹配度;
评价单元703,用于将当前操作行为数据输入到聚类模型,得到当前操作行为是否违规的分析结果,若为违规则得到违规评价结果;
计算单元704,用于根据操作行为匹配度和违规评价结果,通过加权计算公式计算综合违规指数。
图11为本发明实施例提供的计算机设备的结构示意图。
本发明实施例提供的计算机设备800可以执行基于聚类分析的Web违规操作行为检测方法实施例提供的处理流程,如图11所示,计算机设备800包括存储器801、处理器802、计算机程序;其中,计算机程序存储在存储器801中,并被配置为由处理器802执行基于聚类分析的Web违规操作行为检测方法。
其中,在本发明提供的实施例中,并被配置为由处理器802执行的所述基于聚类分析的Web违规操作行为检测方法包括以下步骤:
步骤S300:获取用户的当前操作行为数据;
步骤S400:提取所述当前操作行为数据中的操作特征信息集,根据操作特征信息集建立操作特征向量,确定所述操作特征向量与预设特征向量的操作行为匹配度;
步骤S500:将当前操作行为数据输入到聚类模型,得到当前操作行为是否违规的分析结果,若为违规则得到违规评价结果;
步骤S600:根据操作行为匹配度和违规评价结果,通过加权计算公式计算综合违规指数。
此外,计算机设备800还可具有通讯接口803,用于接收控制指令。
图11所示实施例的计算机设备可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
另外,本实施例还提供一种计算机可读存储介质,计算机可读存储介质可以为非临时性计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行以实现基于聚类分析的Web违规操作行为检测方法。
其中,被处理器执行的所述基于聚类分析的Web违规操作行为检测方法包括:
步骤S300:获取用户的当前操作行为数据;
步骤S400:提取所述当前操作行为数据中的操作特征信息集,根据操作特征信息集建立操作特征向量,确定所述操作特征向量与预设特征向量的操作行为匹配度;
步骤S500:将当前操作行为数据输入到聚类模型,得到当前操作行为是否违规的分析结果,若为违规则得到违规评价结果;
步骤S600:根据操作行为匹配度和违规评价结果,通过加权计算公式计算综合违规指数。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
在本发明实施例的一个典型的配置中,终端、服务网络的设备和计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。
计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
本领域技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本公开的实施例旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求书指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求书来限制。

Claims (10)

1.一种基于聚类分析的Web违规操作行为检测方法,其特征在于,所述检测方法包括:
获取用户的当前操作行为数据;
提取所述当前操作行为数据中的操作特征信息集,根据操作特征信息集建立操作特征向量,确定所述操作特征向量与预设特征向量的操作行为匹配度;
将当前操作行为数据输入到聚类模型,得到当前操作行为是否违规的分析结果,若为违规则得到违规评价结果;
根据操作行为匹配度和违规评价结果,通过加权计算公式计算综合违规指数。
2.根据权利要求1所述的基于一种聚类分析的Web违规操作行为检测方法,其特征在于,在所述获取用户的当前操作行为数据的步骤之前,所述检测方法还包括:
获取当前用户在终端设备的访问请求,所述访问请求包括用户登录信息;
根据用户登录信息确定与当前用户相对应的预设用户信息;
基于所述预设用户信息确定所述当前用户的访问权限,其中,所述访问权限包括允许访问和禁止访问。
3.根据权利要求2所述的基于一种聚类分析的Web违规操作行为检测方法,其特征在于,所述根据用户登录信息确定与当前用户相对应的预设用户信息的步骤具体包括:
获取用户初次访问终端设备时注册信息,并将注册信息存储为预设用户信息,其中,所述预设用户信息包括用户ID和常用登录地址;
提取包含当前用户ID的登录信息,基于所述用户ID确定与所述登录信息对应的预设用户信息;
基于所述预设用户信息判断当前用户的登录地址是否与常用登录地址匹配,在当前用户的登录地址与常用登录地址匹配时,确定所述当前用户具有访问权限。
4.根据权利要求1所述的基于一种聚类分析的Web违规操作行为检测方法,其特征在于,所述聚类模型的建立方法包括:
对所述计算样本数据进行层次聚类计算得到距离矩阵;
基于距离矩阵生成将多个样本数据进行聚类的聚类模型。
5.根据权利要求4所述的基于一种聚类分析的Web违规操作行为检测方法,其特征在于,所述对所述计算样本数据进行层次聚类计算得到距离矩阵的步骤包括:
将每个所述样本数据设定为一个初始类簇;
计算每两个初始类簇之间的欧式距离;
所述欧式距离形成距离矩阵。
6.根据权利要求5所述的基于一种聚类分析的Web违规操作行为检测方法,其特征在于,在所述根据操作特征信息建立操作特征向量的步骤之后,所述的检测方法还包括:
判断操作特征向量数据中的特征维度是否大于预设的维度阈值;
若所述特征项维度大于维度阈值,则对所述操作特征向量数据进行降维处理,所述降维处理为去除所述操作特征信息集中的特征项。
7.根据权利要求6所述的基于一种聚类分析的Web违规操作行为检测方法,其特征在于,所述对所述操作特征向量数据进行降维处理的步骤包括:
根据预设的分析算法对所述操作特征信息集的各个特征项进行重新评估;
根据重新评估结果将所述操作特征向量数据中重要程度低的特征项从所述操作特征信息集中去除。
8.根据权利要求4-7任一所述的基于一种聚类分析的Web违规操作行为检测方法,其特征在于,所述加权计算公式如下:
Community=a*matching_degree+(1-a)*IC_Value;
其中,a为权重系数,a的取值范围为[0,1],Community为违规指数,matching_degree为匹配度,IC_Value为评价结果。
9.根据权利要求5-7任一所述的基于一种聚类分析的Web违规操作行为检测方法,其特征在于,所述样本数据的获取方式包括:
获取目标用户在网站上的历史操作行为数据,所述操作行为数据中包括2N个历史操作行为;
从所述历史操作行为中提取至少N个有效的样本操作行为,其中,N≥2;
对样本操作行为数据进行数据标准化预处理,得到样本数据。
10.根据权利要求9所述的基于一种聚类分析的Web违规操作行为检测方法,其特征在于,所述对样本操作行为数据进行数据标准化预处理,得到样本数据的步骤包括:
删除样本操作行为数据中数据缺失个数超过预设数量的数据;
对样本操作行为数据中的异常数据进行替换;
对样本操作行为数据进行标准化处理,得到样本数据。
CN202110639340.9A 2021-06-08 2021-06-08 一种基于聚类分析的Web违规操作行为检测方法 Pending CN113486366A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110639340.9A CN113486366A (zh) 2021-06-08 2021-06-08 一种基于聚类分析的Web违规操作行为检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110639340.9A CN113486366A (zh) 2021-06-08 2021-06-08 一种基于聚类分析的Web违规操作行为检测方法

Publications (1)

Publication Number Publication Date
CN113486366A true CN113486366A (zh) 2021-10-08

Family

ID=77934496

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110639340.9A Pending CN113486366A (zh) 2021-06-08 2021-06-08 一种基于聚类分析的Web违规操作行为检测方法

Country Status (1)

Country Link
CN (1) CN113486366A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115967542A (zh) * 2022-11-29 2023-04-14 腾讯科技(深圳)有限公司 基于人因的入侵检测方法、装置、设备及介质
CN117294529A (zh) * 2023-11-24 2023-12-26 成都安美勤信息技术股份有限公司 一种智慧医疗平台异常登录检测方法及系统

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106682079A (zh) * 2016-11-21 2017-05-17 云南电网有限责任公司电力科学研究院 一种基于聚类分析的用户用电行为检测方法
CN107426177A (zh) * 2017-06-13 2017-12-01 努比亚技术有限公司 一种用户行为聚类分析方法及终端、计算机可读存储介质
CN108717510A (zh) * 2018-05-11 2018-10-30 深圳市联软科技股份有限公司 一种通过聚类分析文件异常操作行为的方法、系统及终端
US20180359268A1 (en) * 2016-02-24 2018-12-13 Ping An Technology (Shenzhen) Co., Ltd. Method and Device of Identifying Network Access Behavior, Server and Storage Medium
CN109302419A (zh) * 2018-11-21 2019-02-01 贵州电网有限责任公司 一种基于行为分析的网络应用流异常检测方法
CN110188517A (zh) * 2018-12-14 2019-08-30 浙江宇视科技有限公司 一种基于角色模式的用户帐号登录方法及装置
CN110659466A (zh) * 2019-09-26 2020-01-07 支付宝(杭州)信息技术有限公司 改密行为的处理方法及装置
CN111552933A (zh) * 2020-03-30 2020-08-18 西安交大捷普网络科技有限公司 一种账号异常登录的识别方法与装置
CN111782908A (zh) * 2020-07-20 2020-10-16 云南电网有限责任公司昆明供电局 一种基于数据挖掘聚类分析的web违规操作行为检测方法
CN112364154A (zh) * 2020-11-10 2021-02-12 北京乐学帮网络技术有限公司 一种评论内容显示方法及装置
CN112801529A (zh) * 2021-02-05 2021-05-14 北京同邦卓益科技有限公司 财务数据分析方法及装置、电子设备及介质

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180359268A1 (en) * 2016-02-24 2018-12-13 Ping An Technology (Shenzhen) Co., Ltd. Method and Device of Identifying Network Access Behavior, Server and Storage Medium
CN106682079A (zh) * 2016-11-21 2017-05-17 云南电网有限责任公司电力科学研究院 一种基于聚类分析的用户用电行为检测方法
CN107426177A (zh) * 2017-06-13 2017-12-01 努比亚技术有限公司 一种用户行为聚类分析方法及终端、计算机可读存储介质
CN108717510A (zh) * 2018-05-11 2018-10-30 深圳市联软科技股份有限公司 一种通过聚类分析文件异常操作行为的方法、系统及终端
CN109302419A (zh) * 2018-11-21 2019-02-01 贵州电网有限责任公司 一种基于行为分析的网络应用流异常检测方法
CN110188517A (zh) * 2018-12-14 2019-08-30 浙江宇视科技有限公司 一种基于角色模式的用户帐号登录方法及装置
CN110659466A (zh) * 2019-09-26 2020-01-07 支付宝(杭州)信息技术有限公司 改密行为的处理方法及装置
CN111552933A (zh) * 2020-03-30 2020-08-18 西安交大捷普网络科技有限公司 一种账号异常登录的识别方法与装置
CN111782908A (zh) * 2020-07-20 2020-10-16 云南电网有限责任公司昆明供电局 一种基于数据挖掘聚类分析的web违规操作行为检测方法
CN112364154A (zh) * 2020-11-10 2021-02-12 北京乐学帮网络技术有限公司 一种评论内容显示方法及装置
CN112801529A (zh) * 2021-02-05 2021-05-14 北京同邦卓益科技有限公司 财务数据分析方法及装置、电子设备及介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115967542A (zh) * 2022-11-29 2023-04-14 腾讯科技(深圳)有限公司 基于人因的入侵检测方法、装置、设备及介质
CN117294529A (zh) * 2023-11-24 2023-12-26 成都安美勤信息技术股份有限公司 一种智慧医疗平台异常登录检测方法及系统
CN117294529B (zh) * 2023-11-24 2024-01-30 成都安美勤信息技术股份有限公司 一种智慧医疗平台异常登录检测方法及系统

Similar Documents

Publication Publication Date Title
Bertino et al. Data transparency with blockchain and AI ethics
CN113486366A (zh) 一种基于聚类分析的Web违规操作行为检测方法
CN113626865A (zh) 一种防止泄露敏感信息的数据共享开放方法及系统
US20220083692A1 (en) Methods and systems for managing third-party data risk
CN115758435A (zh) 公司营销数据对外共享安全处理方法及相关设备
Accorsi Automated privacy audits to complement the notion of control for identity management
Chang et al. A framework for estimating privacy risk scores of mobile apps
Wang et al. EtherFuzz: mutation fuzzing smart contracts for TOD vulnerability detection
CN112702410B (zh) 一种基于区块链网络的评估系统、方法及相关设备
Cha et al. A blockchain-enabled IoT auditing management system complying with ISO/IEC 15408-2
Wang et al. Application research of file fingerprint identification detection based on a network security protection system
CN116662987A (zh) 业务系统监控方法、装置、计算机设备及存储介质
CN116192512A (zh) 数据传输方法、装置、计算机设备和存储介质
Melshiyan et al. Information Security Audit Using Open Source Intelligence Methods
Zheng et al. On-chain and off-chain blockchain data collection
CN114237517A (zh) 一种文件分散存储方法及装置
Rajadorai et al. Data Protection and Data Privacy Act for BIG DATA Governance
Polikarpova et al. Development information system of cryptographic protection for enterprise local network
Balachandar et al. Intelligent Broker Design for IoT Using a Multi-Cloud Environment
Dong et al. A Privacy-Preserving Electricity Theft Detection (PETD) Scheme for Smart Grid
CN117195297B (zh) 基于erp的数据安全与隐私保护系统及方法
Jain et al. Detection of SQLite Database Vulnerabilities in Android Apps
Chiu et al. Using an Efficient Detection Method to Prevent Personal Data Leakage for Web‐Based Smart City Platforms
Wang et al. FDataCollector: A Blockchain Based Friendly Web Data Collection System
Jiang et al. Research on privacy protection of power users based on big data desensitization technology

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20211008

RJ01 Rejection of invention patent application after publication