CN118378286B - 一种安全保密的异常数据操作识别方法及系统 - Google Patents
一种安全保密的异常数据操作识别方法及系统 Download PDFInfo
- Publication number
- CN118378286B CN118378286B CN202410804412.4A CN202410804412A CN118378286B CN 118378286 B CN118378286 B CN 118378286B CN 202410804412 A CN202410804412 A CN 202410804412A CN 118378286 B CN118378286 B CN 118378286B
- Authority
- CN
- China
- Prior art keywords
- code
- sequence
- time
- real
- warning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 61
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000007246 mechanism Effects 0.000 claims abstract description 38
- 230000004913 activation Effects 0.000 claims description 10
- 230000003247 decreasing effect Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 description 14
- 238000007726 management method Methods 0.000 description 11
- 238000012423 maintenance Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000003213 activating effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 108091026890 Coding region Proteins 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
Landscapes
- Alarm Systems (AREA)
Abstract
本发明提供一种安全保密的异常数据操作识别方法及系统,涉及数据安全技术领域,方法的步骤包括:实时获取用户的数据操作,基于数据操作对应的操作编码构建用户的操作序列;操作序列中每增加一个操作编码,则基于操作序列中增加的操作编码选定操作编码段和单操作判定编码,并构建为操作组序列;将每个操作组序列输入到预训练的第一模型中,第一模型输出对应操作组序列的异常值,基于异常值判定是否进行实时告警;基于实时告警确定是否激活集中告警机制,若激活集中告警机制,则基于异常值修改模板图像中对应位置像素点的像素值,得到判定图像,将判定图像输入到预训练的第二模型中,基于第二模型判定是否进行集中告警。
Description
技术领域
本发明涉及数据安全技术领域,尤其涉及一种安全保密的异常数据操作识别方法及系统。
背景技术
随着社会信息化程度不断加深,互联网络、信息化设备、信息系统等在各类社会机构中得到了广泛普遍应用,对社会机构日常工作和管理带来了极大便利。然而在信息化为工作提供高速和高效信息传递便利的同时,也对社会机构涉密信息安全管理带来了极大的挑战,社会机构各类失泄密案件频发。社会机构涉密信息安全管理工作面临一系列新形势、新问题和新挑战,传统的保密管理模式和技术手段已经不能满足当前的保密任务。因此,进一步提升信息安全的战略地位,制定完善相关保密制度,建立新形势下完备可靠的信息安全防线,这一重大工程势在必行。
传统的平台部署在专用运维服务器上,用于处理维护并展示运维设备回传的动态指标数据、软件推送以及运维功能的配置。系统提供运维管理门户PC、不同地市区域运维自子平台、机构管理员个人终端管理平台等多种形式的服务窗口。向上对接上级门户,实现从上级门户到终端运维门户的访问流程;统一运维大数据分析平台建设方案向下对接集成展示运维资产设备监控、云平台告警监控和其他第三方系统等内容,并实现信息系统的统一用户管理,实现统一认证登录;平台提供资源监控管理,运维服务流程管理等功能,在一个统一界面上形成快速呈现工作内容,提高工作效率。
但是,现有技术的数据平台往往仅基于工作人员的操作,对单个的风险操作进行预警,识别精准度较差。
有鉴于此,提出本发明。
发明内容
本发明的目的在于提供一种安全保密的异常数据操作识别方法及系统,本方案基于每个操作构建一个操作组序列,通过一个操作组序列中对应的一系列操作确定是否进行实时告警,能够实时对用户进行监管,提高告警的精准度。
本发明提供了一种安全保密的异常数据操作识别方法,所述方法的步骤包括:
实时获取用户的数据操作,基于所述数据操作对应的操作编码构建用户的操作序列;
所述操作序列中每增加一个操作编码,则基于所述操作序列中增加的操作编码选定操作编码段和单操作判定编码,并构建为操作组序列;
将每个所述操作组序列输入到预训练的第一模型中,所述第一模型输出对应操作组序列的异常值,基于所述异常值判定是否进行实时告警;
基于实时告警确定是否激活集中告警机制,若激活所述集中告警机制,则基于集中告警机制的激活时间点选定时间段;
获取选定的时间段对操作序列进行截取,并确定截取的操作序列对应的异常值,基于所述异常值修改模板图像中对应位置像素点的像素值,得到判定图像,将所述判定图像输入到预训练的第二模型中,基于所述第二模型判定是否进行集中告警。
采用上述方案,由于实际的数据泄露往往难以基于单个操作进行武断的判定,单个操作往往不能直接对应数据泄露的结果,因此,在本方案的的告警判定步骤中,一方面基于每个操作构建一个操作组序列,通过一个操作组序列中对应的一系列操作确定是否进行实时告警,能够实时对用户进行监管;另一方面,若激活集中告警机制,则风险较大,需要进一步联合判定,本方案通过一段时间的操作组序列的异常值,进行联合判定,确定是否进行集中告警,保证判定精准度,准确确定异常数据操作。
在本发明的一些实施方式中,在所述操作序列中每增加一个操作编码,则基于所述操作序列中增加的操作编码选定操作编码段和单操作判定编码,并构建为操作组序列的步骤中,将所述操作编码段和单操作编码组合作为增加的操作编码对应的操作组序列。
采用上述方案,所述单操作判定编码为增加的操作编码单独对应的判定状态,而操作编码段对应与以增加的操作编码为最后一个操作的连续操作,能够基于增加的操作编码前序的多个操作确定联合判定该增加的操作编码的对应状态。
在本发明的一些实施方式中,在所述操作序列中每增加一个操作编码,则基于所述操作序列中增加的操作编码选定操作编码段和单操作判定编码,并构建为操作组序列的步骤中,从所述操作序列中选定增加的操作编码前的预设个数个连续的操作编码,作为选定的操作编码段。
在本发明的一些实施方式中,在所述操作序列中每增加一个操作编码,则基于所述操作序列中增加的操作编码选定操作编码段和单操作判定编码,并构建为操作组序列的步骤中,基于预设的可疑操作集合确定增加的操作编码对应的数据操作是否为可疑操作,若确定为可疑操作,则将对应可疑操作的操作编码作为单操作判定编码,若确定为非可疑操作,则将对应非可疑操作的操作编码作为单操作判定编码。
采用上述方案,本方案在构建操作组序列的过程中,首先基于单个操作判定是否为可疑操作,但单独的操作难以直接导向数据泄露,因此,本方案将单个操作的判定融入操作组序列中,且每个数据操作均对应一个操作组序列,能够基于单个操作前的一系列操作以及该数据操作是否为可疑操作进行联合判定。
在本发明的一些实施方式中,在基于所述异常值判定是否进行实时告警的步骤中,若所述异常值大于预设的实时告警阈值,则进行实时告警。
在本发明的一些实施方式中,在基于实时告警确定是否激活集中告警机制的步骤中,若发生实时告警,则基于实时告警发生的时间点向前选定预设时间长度,基于该时间段内实时告警的发生次数确定是否激活集中告警机制。
采用上述方案,本方案从三个维度对可能造成数据泄露的数据操作进行识别,首先对单个数据操作判定为可疑操作或非可以操作,再基于单个操作构建操作组序列,对操作组序列判定异常值,通过异常值进行实时告警,基于实时告警的频率激活集中告警机制,在第三个维度的集中告警机制中,通过一段时间的操作序列对预设置的模板图像进行渲染,对数据操作进行最终判定,判定是否出现异常数据操作,本方案不但能实现通过一系列操作实现对单个操作是否为异常数据操作的准确判定,也能基于一段时间的操作,判定一段时间是否存在有异常数据操作导致的较大可能的数据泄露。
在本发明的一些实施方式中,在若激活所述集中告警机制,则基于集中告警机制的激活时间点选定时间段的步骤中,基于所述集中告警机制的激活时间点向前选定第一时间长度,将该时间长度的时间段作为选定时间段。
在本发明的一些实施方式中,在获取选定的时间段对操作序列进行截取,并确定截取的操作序列对应的异常值,基于所述异常值修改模板图像中对应位置像素点的像素值,得到判定图像的步骤中:
基于所述模板图像中的像素点个数将选定的时间段进行划分为多个子时间段,每个像素点对应一个子时间段;
基于操作序列中每个操作编码对应数据操作的发生时间确定该操作编码对应的操作组序列,并确定对应的异常值。
在本发明的一些实施方式中,在获取选定的时间段对操作序列进行截取,并确定截取的操作序列对应的异常值,基于所述异常值修改模板图像中对应位置像素点的像素值,得到判定图像的步骤还包括,基于每个操作组序列的异常值增加或者减少对应的像素点的像素值。
采用上述方案,本方案将选定的时间段进行划分为多个子时间段,并将像素点与子时间段相对应,一方面能够更为精准的使像素点与每个操作编码相对应,另一方面,像素点对应时间区域若未出现操作,则像素点像素值不改变,能够通过不改变像素值的像素点的位置表达数据操作的频率,将数据操作的频率信息融入到判定图像中,提高最终判定的精准度。
本发明另一方面还涉及一种安全保密的异常数据操作识别系统,该系统包括计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机指令,所述处理器用于执行所述存储器中存储的计算机指令,当所述计算机指令被处理器执行时该系统实现所述方法所实现的步骤。
综上所述,本发明具有以下有益效果:
1、由于实际的数据泄露往往难以基于单个操作进行武断的判定,单个操作往往不能直接对应数据泄露的结果,因此,在本方案的的告警判定步骤中,一方面基于每个操作构建一个操作组序列,通过一个操作组序列中对应的一系列操作确定是否进行实时告警,能够实时对用户进行监管;另一方面,若激活集中告警机制,则风险较大,需要进一步联合判定,本方案通过一段时间的操作组序列的异常值,进行联合判定,确定是否进行集中告警,保证判定精准度,准确确定异常数据操作;
2、本方案在构建操作组序列的过程中,首先基于单个操作判定是否为可疑操作,但单独的操作难以直接导向数据泄露,因此,本方案将单个操作的判定融入操作组序列中,且每个数据操作均对应一个操作组序列,能够基于单个操作前的一系列操作以及该数据操作是否为可疑操作进行联合判定;
3、本方案从三个维度对可能造成数据泄露的数据操作进行识别,首先对单个数据操作判定为可疑操作或非可以操作,再基于单个操作构建操作组序列,对操作组序列判定异常值,通过异常值进行实时告警,基于实时告警的频率激活集中告警机制,在第三个维度的集中告警机制中,通过一段时间的操作序列对预设置的模板图像进行渲染,对数据操作进行最终判定,判定是否出现异常数据操作,本方案不但能实现通过一系列操作实现对单个操作是否为异常数据操作的准确判定,也能基于一段时间的操作,判定一段时间是否存在有异常数据操作导致的较大可能的数据泄露;
4、本方案将选定的时间段进行划分为多个子时间段,并将像素点与子时间段相对应,一方面能够更为精准的使像素点与每个操作编码相对应,另一方面,像素点对应时间区域若未出现操作,则像素点像素值不改变,能够通过不改变像素值的像素点的位置表达数据操作的频率,将数据操作的频率信息融入到判定图像中,提高最终判定的精准度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明安全保密的异常数据操作识别方法的一种实施方式的示意图;
图2为本发明安全保密的异常数据操作识别方法的另一种实施方式的示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
如图1所示,本发明提供了一种安全保密的异常数据操作识别方法,所述方法的步骤包括:
步骤S100,实时获取用户的数据操作,基于所述数据操作对应的操作编码构建用户的操作序列;
在本发明的一些实施方式中,用户的数据操作可以为用户对于数据库的操作,具体包括对于某个数据存储位置的增、删、改、查和导出的信息。
在具体实施过程中,数据操作对应的操作编码可以通过预设的对照表确定。
在具体实施过程中,用户的操作序列为基于用户的数据操作顺序构建的数据操作对应的操作编码所组成的序列。
步骤S200,所述操作序列中每增加一个操作编码,则基于所述操作序列中增加的操作编码选定操作编码段和单操作判定编码,并构建为操作组序列;
在本发明的一些实施方式中,操作编码段为从所述操作序列中选定增加的操作编码前的预设个数个连续的操作编码组成。
在本发明的一些实施方式中,基于预设的可疑操作集合确定增加的操作编码对应的数据操作是否为可疑操作,若确定为可疑操作,则将对应可疑操作的操作编码作为单操作判定编码,若确定为非可疑操作,则将对应非可疑操作的操作编码作为单操作判定编码。
具体的,基于用户的权限等级设置有不同的可疑操作集合,不同权限的用户权限不同,因此,对可以操作的判定标准也不同,提高判定准确性,避免误判。
步骤S300,将每个所述操作组序列输入到预训练的第一模型中,所述第一模型输出对应操作组序列的异常值,基于所述异常值判定是否进行实时告警;
在本发明的一些实施方式中,所述实时告警可以为向用户端或控制端发送告警信息的方式进行告警,具体的,在用户端或控制端的界面弹出警告窗口。
采用上述方案,判定以新增加的数据操作作为最后一个操作的一系列操作的异常度,降低误判概率。
步骤S400,基于实时告警确定是否激活集中告警机制,若激活所述集中告警机制,则基于集中告警机制的激活时间点选定时间段;
在具体实施过程中,所述集中告警机制为对于较大异常情况的进一步判定方案,基于集中告警机制的激活时间点选定时间段,对前一段时间的操作进行联合判定,判定一段时间的异常情况。
步骤S500,获取选定的时间段对操作序列进行截取,并确定截取的操作序列对应的异常值,基于所述异常值修改模板图像中对应位置像素点的像素值,得到判定图像,将所述判定图像输入到预训练的第二模型中,基于所述第二模型判定是否进行集中告警。
在具体实施过程中,所述第一模型和第二模型均为与训练的神经网络模型。
在本发明的一些实施方式中,所述模板图像中各个像素点的像素值相同,对于不同权限的用户设置有像素值不同的模板图像。
采用上述方案,由于实际的数据泄露往往难以基于单个操作进行武断的判定,单个操作往往不能直接对应数据泄露的结果,因此,在本方案的的告警判定步骤中,一方面基于每个操作构建一个操作组序列,通过一个操作组序列中对应的一系列操作确定是否进行实时告警,能够实时对用户进行监管;另一方面,若激活集中告警机制,则风险较大,需要进一步联合判定,本方案通过一段时间的操作组序列的异常值,进行联合判定,确定是否进行集中告警,保证判定精准度,准确确定异常数据操作。
在本发明的一些实施方式中,在所述操作序列中每增加一个操作编码,则基于所述操作序列中增加的操作编码选定操作编码段和单操作判定编码,并构建为操作组序列的步骤中,将所述操作编码段和单操作编码组合作为增加的操作编码对应的操作组序列。
在具体实施过程中,将所述操作编码段和单操作编码顺序进行拼接,得到增加的操作编码对应的操作组序列。
采用上述方案,所述单操作判定编码为增加的操作编码单独对应的判定状态,而操作编码段对应与以增加的操作编码为最后一个操作的连续操作,能够基于增加的操作编码前序的多个操作确定联合判定该增加的操作编码的对应状态。
在本发明的一些实施方式中,在所述操作序列中每增加一个操作编码,则基于所述操作序列中增加的操作编码选定操作编码段和单操作判定编码,并构建为操作组序列的步骤中,从所述操作序列中选定增加的操作编码前的预设个数个连续的操作编码,作为选定的操作编码段。
在具体实施过程中,若当前操作序列为dkosokcc,增加的操作编码为c,预设个数为5,则选定的操作编码段为sokcc。
采用上述方案,由于数据泄露往往是基于一系列的操作,而非单个操作,本方案在操作编码段的选定过程中,将前序的预设个数个连续的操作编码组合构建为操作编码段。
在本发明的一些实施方式中,在所述操作序列中每增加一个操作编码,则基于所述操作序列中增加的操作编码选定操作编码段和单操作判定编码,并构建为操作组序列的步骤中,基于预设的可疑操作集合确定增加的操作编码对应的数据操作是否为可疑操作,若确定为可疑操作,则将对应可疑操作的操作编码作为单操作判定编码,若确定为非可疑操作,则将对应非可疑操作的操作编码作为单操作判定编码。
在本发明的一些实施方式中,本方案中预设有可疑操作和非可疑操作的操作编码,将该操作编码作为单个操作的判定标识。
采用上述方案,本方案在构建操作组序列的过程中,首先基于单个操作判定是否为可疑操作,但单独的操作难以直接导向数据泄露,因此,本方案将单个操作的判定融入操作组序列中,且每个数据操作均对应一个操作组序列,能够基于单个操作前的一系列操作以及该数据操作是否为可疑操作进行联合判定。
在本发明的一些实施方式中,在基于所述异常值判定是否进行实时告警的步骤中,若所述异常值大于预设的实时告警阈值,则进行实时告警。
在本发明的一些实施方式中,在基于实时告警确定是否激活集中告警机制的步骤中,若发生实时告警,则基于实时告警发生的时间点向前选定预设时间长度,基于该时间段内实时告警的发生次数确定是否激活集中告警机制。
在具体实施过程中,在基于该时间段内实时告警的发生次数确定是否激活集中告警机制的步骤中,若该时间段内实时告警的发生次数大于预设的频率阈值,则激活集中告警机制。
采用上述方案,本方案从三个维度对可能造成数据泄露的数据操作进行识别,首先对单个数据操作判定为可疑操作或非可以操作,再基于单个操作构建操作组序列,对操作组序列判定异常值,通过异常值进行实时告警,基于实时告警的频率激活集中告警机制,在第三个维度的集中告警机制中,通过一段时间的操作序列对预设置的模板图像进行渲染,对数据操作进行最终判定,判定是否出现异常数据操作,本方案不但能实现通过一系列操作实现对单个操作是否为异常数据操作的准确判定,也能基于一段时间的操作,判定一段时间是否存在有异常数据操作导致的较大可能的数据泄露。
在本发明的一些实施方式中,在若激活所述集中告警机制,则基于集中告警机制的激活时间点选定时间段的步骤中,基于所述集中告警机制的激活时间点向前选定第一时间长度,将该时间长度的时间段作为选定时间段。
如图2所示,在本发明的一些实施方式中,在获取选定的时间段对操作序列进行截取,并确定截取的操作序列对应的异常值,基于所述异常值修改模板图像中对应位置像素点的像素值,得到判定图像的步骤中,
步骤S510,基于所述模板图像中的像素点个数将选定的时间段进行划分为多个子时间段,每个像素点对应一个子时间段;
步骤S520,基于操作序列中每个操作编码对应数据操作的发生时间确定该操作编码对应的操作组序列,并确定对应的异常值。
在本发明的一些实施方式中,在获取选定的时间段对操作序列进行截取,并确定截取的操作序列对应的异常值,基于所述异常值修改模板图像中对应位置像素点的像素值,得到判定图像的步骤还包括,步骤S530,基于每个操作组序列的异常值增加或者减少对应的像素点的像素值。
步骤S540,将所述判定图像输入到预训练的第二模型中,基于所述第二模型判定是否进行集中告警。
在具体实施过程中,若发生集中告警,则说明出现数据泄露的风险极高,因此,若发生集中告警,则可以采用关闭用户数据权限或者切断用户与数据库的连接的方式。
在具体实施过程中,管理端提供违规外联策略配置功能,支持配置违规外联探测地址和违规外联报警地址等违规外联策略,违规外联报警地址是违规外联监控报警端的互联网IP地址。套件客户端定期获取管理端已配置的违规外联策略信息,并进行违规外联检测,若发生外联,自动将告警信息上报报警地址对应的服务端。
采用上述方案,本方案将选定的时间段进行划分为多个子时间段,并将像素点与子时间段相对应,一方面能够更为精准的使像素点与每个操作编码相对应,另一方面,像素点对应时间区域若未出现操作,则像素点像素值不改变,能够通过不改变像素值的像素点的位置表达数据操作的频率,将数据操作的频率信息融入到判定图像中,提高最终判定的精准度。
本发明另一方面还涉及一种安全保密的异常数据操作识别系统,该系统包括计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机指令,所述处理器用于执行所述存储器中存储的计算机指令,当所述计算机指令被处理器执行时该系统实现所述方法所实现的步骤。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时以实现前述安全保密的异常数据操作识别方法。该计算机可读存储介质可以是有形存储介质,诸如随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、软盘、硬盘、可移动存储盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。
本领域普通技术人员应该可以明白,结合本文中所公开的实施方式描述的各示例性的组成部分、系统和方法,能够以硬件、软件或者二者的结合来实现。具体究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,做出各种改变、修改和添加,或者改变步骤之间的顺序。
本发明中,针对一个实施方式描述和/或例示的特征,可以在一个或更多个其它实施方式中以相同方式或以类似方式使用,和/或与其他实施方式的特征相结合或代替其他实施方式的特征。
以上所述仅为本发明的优选实施例,并不用于限制本发明,对于本领域的技术人员来说,本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种安全保密的异常数据操作识别方法,其特征在于,所述方法的步骤包括:
实时获取用户的数据操作,基于所述数据操作对应的操作编码构建用户的操作序列;
所述操作序列中每增加一个操作编码,则基于所述操作序列中增加的操作编码选定操作编码段和单操作判定编码,并构建为操作组序列;
将每个所述操作组序列输入到预训练的第一模型中,所述第一模型输出对应操作组序列的异常值,基于所述异常值判定是否进行实时告警;
基于实时告警确定是否激活集中告警机制,若激活所述集中告警机制,则基于集中告警机制的激活时间点选定时间段;
获取选定的时间段对操作序列进行截取,并确定截取的操作序列对应的异常值,基于所述异常值修改模板图像中对应位置像素点的像素值,得到判定图像,将所述判定图像输入到预训练的第二模型中,基于所述第二模型判定是否进行集中告警。
2.根据权利要求1所述的安全保密的异常数据操作识别方法,其特征在于,在所述操作序列中每增加一个操作编码,则基于所述操作序列中增加的操作编码选定操作编码段和单操作判定编码,并构建为操作组序列的步骤中,将所述操作编码段和单操作编码组合作为增加的操作编码对应的操作组序列。
3.根据权利要求2所述的安全保密的异常数据操作识别方法,其特征在于,在所述操作序列中每增加一个操作编码,则基于所述操作序列中增加的操作编码选定操作编码段和单操作判定编码,并构建为操作组序列的步骤中,从所述操作序列中选定增加的操作编码前的预设个数个连续的操作编码,作为选定的操作编码段。
4.根据权利要求2所述的安全保密的异常数据操作识别方法,其特征在于,在所述操作序列中每增加一个操作编码,则基于所述操作序列中增加的操作编码选定操作编码段和单操作判定编码,并构建为操作组序列的步骤中:
基于预设的可疑操作集合确定增加的操作编码对应的数据操作是否为可疑操作;
若确定为可疑操作,则将对应可疑操作的操作编码作为单操作判定编码;
若确定为非可疑操作,则将对应非可疑操作的操作编码作为单操作判定编码。
5.根据权利要求1所述的安全保密的异常数据操作识别方法,其特征在于,在基于所述异常值判定是否进行实时告警的步骤中,若所述异常值大于预设的实时告警阈值,则进行实时告警。
6.根据权利要求1所述的安全保密的异常数据操作识别方法,其特征在于,在基于实时告警确定是否激活集中告警机制的步骤中,若发生实时告警,则基于实时告警发生的时间点向前选定预设时间长度,基于该时间段内实时告警的发生次数确定是否激活集中告警机制。
7.根据权利要求1所述的安全保密的异常数据操作识别方法,其特征在于,在若激活所述集中告警机制,则基于集中告警机制的激活时间点选定时间段的步骤中,基于所述集中告警机制的激活时间点向前选定第一时间长度,将该时间长度的时间段作为选定时间段。
8.根据权利要求1-7任一项所述的安全保密的异常数据操作识别方法,其特征在于,在获取选定的时间段对操作序列进行截取,并确定截取的操作序列对应的异常值,基于所述异常值修改模板图像中对应位置像素点的像素值,得到判定图像的步骤中:
基于所述模板图像中的像素点个数将选定的时间段进行划分为多个子时间段,每个像素点对应一个子时间段;
基于操作序列中每个操作编码对应数据操作的发生时间确定该操作编码对应的操作组序列,并确定对应的异常值。
9.根据权利要求8所述的安全保密的异常数据操作识别方法,其特征在于,在获取选定的时间段对操作序列进行截取,并确定截取的操作序列对应的异常值,基于所述异常值修改模板图像中对应位置像素点的像素值,得到判定图像的步骤还包括,基于每个操作组序列的异常值增加或者减少对应的像素点的像素值。
10.一种安全保密的异常数据操作识别系统,其特征在于:该系统包括计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机指令,所述处理器用于执行所述存储器中存储的计算机指令,当所述计算机指令被处理器执行时该系统实现所述权利要求1-9任一项所述方法所实现的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410804412.4A CN118378286B (zh) | 2024-06-21 | 2024-06-21 | 一种安全保密的异常数据操作识别方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410804412.4A CN118378286B (zh) | 2024-06-21 | 2024-06-21 | 一种安全保密的异常数据操作识别方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN118378286A CN118378286A (zh) | 2024-07-23 |
CN118378286B true CN118378286B (zh) | 2024-08-20 |
Family
ID=91902091
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410804412.4A Active CN118378286B (zh) | 2024-06-21 | 2024-06-21 | 一种安全保密的异常数据操作识别方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN118378286B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109829315A (zh) * | 2017-11-23 | 2019-05-31 | 西门子(中国)有限公司 | 日志处理的方法、装置及计算机可读存储介质 |
CN115146726A (zh) * | 2022-06-30 | 2022-10-04 | 北京比特易湃信息技术有限公司 | 一种基于机器学习的智能运维中kpi异常预警方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115202999A (zh) * | 2022-07-18 | 2022-10-18 | 西安热工研究院有限公司 | 一种基于人员行为基线分析和告警异常行为的方法 |
CN117671548A (zh) * | 2022-08-16 | 2024-03-08 | 顺丰科技有限公司 | 异常分拣检测方法、装置、电子设备及存储介质 |
CN115733681A (zh) * | 2022-11-14 | 2023-03-03 | 贵州商学院 | 一种防止数据丢失的数据安全管理平台 |
CN115514620B (zh) * | 2022-11-15 | 2023-03-10 | 阿里云计算有限公司 | 一种异常检测的方法和云网络平台 |
CN117725904A (zh) * | 2023-12-25 | 2024-03-19 | 卡斯柯信号有限公司 | 一种面向ctc系统操作日志数据的分析方法 |
-
2024
- 2024-06-21 CN CN202410804412.4A patent/CN118378286B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109829315A (zh) * | 2017-11-23 | 2019-05-31 | 西门子(中国)有限公司 | 日志处理的方法、装置及计算机可读存储介质 |
CN115146726A (zh) * | 2022-06-30 | 2022-10-04 | 北京比特易湃信息技术有限公司 | 一种基于机器学习的智能运维中kpi异常预警方法 |
Also Published As
Publication number | Publication date |
---|---|
CN118378286A (zh) | 2024-07-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109525558B (zh) | 数据泄露检测方法、系统、装置及存储介质 | |
US10616272B2 (en) | Dynamically detecting abnormalities in otherwise legitimate emails containing uniform resource locators (URLs) | |
CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
CN109660502A (zh) | 异常行为的检测方法、装置、设备及存储介质 | |
US20140380478A1 (en) | User centric fraud detection | |
EP2892197A1 (en) | IP reputation | |
CN104620225B (zh) | 用于服务器安全验证的方法和系统 | |
US20100146638A1 (en) | Detection filter | |
JP2021039754A (ja) | 電子メール用の機械学習サイバー防御システムのエンドポイント・エージェント拡張 | |
KR20170024777A (ko) | 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법 | |
CN112163198B (zh) | 一种主机登录安全检测方法、系统、装置及存储介质 | |
EP3343421A1 (en) | System to detect machine-initiated events in time series data | |
CN113572757B (zh) | 服务器访问风险监测方法及装置 | |
CN112000719A (zh) | 数据安全态势感知系统、方法、设备及存储介质 | |
CN110716973A (zh) | 基于大数据的安全事件上报平台及方法 | |
CN112230584A (zh) | 应用于工控领域的安全监视可视化系统及安全监视方法 | |
CN115499840A (zh) | 一种移动互联网用安全评估系统及方法 | |
CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
CN114338171A (zh) | 一种黑产攻击检测方法和装置 | |
CN118378286B (zh) | 一种安全保密的异常数据操作识别方法及系统 | |
CN110493200B (zh) | 一种基于威胁地图的工控系统风险量化分析方法 | |
CN109510803A (zh) | 一种调整防火墙防护策略的方法及设备 | |
CN116861422A (zh) | Api接口的检测与防护方法、装置、设备及存储介质 | |
CN110995658A (zh) | 网关保护方法、装置、计算机设备及存储介质 | |
CN114124453B (zh) | 网络安全信息的处理方法、装置、电子设备及储存介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |