【技术实现步骤摘要】
本申请涉及信息安全,具体涉及一种用户行为的检测方法、系统、介质及设备。
技术介绍
1、随着互联网、云计算和大数据技术的快速发展,组织和企业内部数据的安全问题日益严峻。政府部门、企事业单位等存有大量重要数据,这些数据如果泄露会造成巨大损失。内部员工由于工作原因,通常可以接触到公司核心商业机密、客户信息、财务数据等敏感内容。如何防止内部人员利用职务便利窃取公司关键信息是当前需要解决的问题。
2、目前,企业和政府部门普遍采用终端审计系统来监控员工的操作行为,以发现信息外泄的风险。这类审计系统可以记录员工的文件访问、网络行为、聊天记录等大量日志数据。但由于日志数据非常庞大,传统的终端审计系统通常是采用简单的规则来检测员工是否存在窃密行为,而对于被策反的潜在内部员工采用合法的手段进行窃密时,传统的终端审计系统通常检测不出来,从而导致对窃密行为的检测不准确。
技术实现思路
1、本申请提供了一种用户行为的检测方法、系统、介质及设备,可以提高对窃密行为检测的准确性。
2、第一方面,本申请提供了一种用户行为的检测方法,采用如下技术方案:
3、获取终端审计系统在预设时间段内的历史审计日志数据,所述历史审计日志数据包括多个历史登录用户的多维度行为数据;
4、对各所述多维度行为数据与各所述历史登录用户进行标注,得到各所述历史登录用户对应的标注行为数据;
5、基于各所述标注行为数据生成各所述历史登录用户对应的非线性行为函数;
6、获取当
7、计算所述当前行为数据对应的多维度向量,基于所述目标非线性行为函数以及所述多维度向量,对所述目标用户的行为进行检测,得到检测结果。
8、通过采用上述技术方案,通过获取终端审计系统在预设时间内的包含多个历史登录用户的多维行为数据的历史审计日志,针对每个历史登录用户的标注后的标注行为数据,训练出能够分别拟合各历史登录用户行为习惯的非线性函数,当需要检测目标用户的行为时,将其当前行为数据转换成多维度向量并输入到该目标用户对应的目标非线性函数中进行计算,从而判断出该目标用户的行为是否为窃密行为,可以提高对窃密行为的识别精度,特别是对一些使用合法手段进行窃密的隐蔽风险,具有较强的检测和识别能力,从而有效解决当前终端审计系统难以准确发现内部人员存的窃密行为的问题,提高了对窃密行为检测的准确性。
9、可选的,所述对各所述多维度行为数据与对应的历史登录用户进行标注,得到各所述历史登录用户对应的标注行为数据,包括:获取所述历史审计日志数据中的各登录时刻;依次遍历各所述登录时刻,将当前遍历到的目标登录时刻到下一个登录时刻之间的时间作为目标时间段;获取目标登录时刻对应的目标历史登录用户,并将所述目标时间段内的所有多维度行为数据作为所述目标历史登录用户的标注行为数据;遍历下一个登录时刻,将所述下一个登录时刻作为所述目标登录时刻,执行所述将当前遍历到的目标登录时刻到下一个登录时刻之间的时间作为目标时间段的步骤,得到各所述历史登录用户对应的标注行为数据。
10、通过采用上述技术方案,提取历史审计日志数据中的各登录时刻,并依次遍历各登录时刻,将当前遍历到的目标登录时刻与其后一次登录时刻之间的时间段确定为目标历史登录用户的一个目标时间段,然后将该目标时间段内的所有多维行为数据标注为属于该目标历史登录用户的行为,这种标注方式可以完成对所有历史登录用户与对应的行为数据的关联,为后续针对每个历史登录用户的行为数据构建非线性行为函数奠定基础。
11、可选的,所述基于各所述标注行为数据生成各所述历史登录用户对应的非线性行为函数,包括:对各所述标注行为数据进行数据预处理,得到各所述历史登录用户对应的标准行为数据;将所述标准行为数据作为对应历史登录用户的训练样本,并依次将各所述训练样本输入至初始的非线性行为函数中进行训练,得到各所述历史登录用户对应的非线性行为函数。
12、通过采用上述技术方案,将预处理后的标准行为数据作为对应历史登录用户的训练样本,分别输入到一个初始的非线性函数中进行训练,通过训练的迭代过程,非线性函数可以学习到对应历史登录用户行为数据样本中的复杂模式,使其能够充分拟合对应的历史登录用户的历史行为规律,最终每个历史登录用户都对应训练生成一个特定的非线性函数,该函数中的非线性关系描述了该历史登录用户对应的行为习惯,通过准确建立各历史登录用户的非线性行为函数,可以增强对个体行为微小异常的敏感性,从而提高对潜在窃密行为的识别能力。
13、可选的,所述基于所述目标非线性行为函数以及所述多维度向量,对所述目标用户的行为进行检测,得到检测结果,包括:获取所述目标用户对应的目标阈值范围;获取目标非线性行为函数中所述目标用户对应的标准多维度向量,计算所述标准多维度向量与所述多维度向量之间的向量差;判断所述向量差是否超过所述目标阈值范围;若所述向量差超过所述目标阈值范围,则确定所述目标用户的行为是窃密嫌疑行为;若所述向量差没有超过所述目标阈值范围,则确定所述目标用户的行为不是窃密嫌疑行为。
14、通过采用上述技术方案,当目标用户的多维度向量和目标非线性行为函数中的标准多维度向量之间的向量差超出阈值范围时,可以确定该目标用户高概率存在窃密行为,提高了对潜在窃密行为检测的准确性。
15、可选的,当前行为数据还包括辅助数据,所述对所述目标用户的行为进行检测,得到检测结果之后,还包括:若所述检测结果为所述目标用户的行为是窃密嫌疑行为,则基于所述辅助数据对所述目标用户的行为进行辅助检测,得到辅助检测结果;若所述辅助检测结果为所述目标用户的行为是窃密行为,则确定所述目标用户存在窃密嫌疑,并发送预警短信至保密人员管理端。
16、通过采用上述技术方案,在利用非线性函数和向量差异初步判断目标用户行为数据存在窃密风险时,还通过综合分析辅助数据来进行二次辅助验证检测,只有当辅助检测也支持目标用户行为数据存在窃密时,才会向保密人员管理端发出预警,可以避免仅依据非线性函数分析做出的误报,引入辅助数据进行多方面验证,可以大幅提高窃密行为检测的准确性,降低误报率。
17、可选的,所述发送预警短信至保密人员管理端后,还包括:所述保密人员管理端获取所述目标用户的当前行为数据,并对所述当前行为数据进行审核;获取所述保密人员管理端对所述当前行为数据的审核结果;若所述审核结果为所述目标用户的行为是窃密行为,则确定所述目标用户为窃密者;若所述审核结果为所述目标用户的行为不是窃密行为,则确定所述目标用户不为窃密者。
18、通过采用上述技术方案,在系统判定目标用户存在窃密嫌疑并发出预警后,还会将目标用户的具体行为数据发送给保密人员管理端进行审核,接收保密人员管理端发送的审核结果,如果审核结果判定目标用本文档来自技高网...
【技术保护点】
1.一种用户行为的检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的用户行为的检测方法,其特征在于,所述对各所述多维度行为数据与对应的历史登录用户进行标注,得到各所述历史登录用户对应的标注行为数据,包括:
3.根据权利要求1所述的用户行为的检测方法,其特征在于,所述基于各所述标注行为数据生成各所述历史登录用户对应的非线性行为函数,包括:
4.根据权利要求1所述的用户行为的检测方法,其特征在于,所述基于所述目标非线性行为函数以及所述多维度向量,对所述目标用户的行为进行检测,得到检测结果,包括:
5.根据权利要求4所述的用户行为的检测方法,其特征在于,所述当前行为数据还包括辅助数据,所述对所述目标用户的行为进行检测,得到检测结果之后,还包括:
6.根据权利要求5所述的用户行为的检测方法,其特征在于,所述发送预警短信至保密人员管理端后,还包括:
7.根据权利要求1所述的用户行为的检测方法,其特征在于,所述方法还包括:
8.一种用户行为的检测系统,其特征在于,所述系统包括:
9.一
10.一种电子设备,其特征在于,包括处理器、存储器、用户接口及网络接口,所述存储器用于存储指令,所述用户接口和所述网络接口用于给其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使所述电子设备执行如权利要求1-7任意一项所述的方法。
...【技术特征摘要】
1.一种用户行为的检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的用户行为的检测方法,其特征在于,所述对各所述多维度行为数据与对应的历史登录用户进行标注,得到各所述历史登录用户对应的标注行为数据,包括:
3.根据权利要求1所述的用户行为的检测方法,其特征在于,所述基于各所述标注行为数据生成各所述历史登录用户对应的非线性行为函数,包括:
4.根据权利要求1所述的用户行为的检测方法,其特征在于,所述基于所述目标非线性行为函数以及所述多维度向量,对所述目标用户的行为进行检测,得到检测结果,包括:
5.根据权利要求4所述的用户行为的检测方法,其特征在于,所述当前行为数据还包括辅助数据,所述对所述目标用户的行为进行检测,得到检测结果之...
【专利技术属性】
技术研发人员:张洪千,杨远明,张小亮,
申请(专利权)人:北京万里红科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。