一种组织内部网络风险评估方法及系统的制作方法

专利名称：一种组织内部网络风险评估方法及系统的制作方法
技术领域：
本发明涉及网络风险评估，尤其涉及一种组织内部网络风险评估方法及系统。
技术背景
现今社会，网络已广泛应用于企业等组织的日常事务中。网络的广泛应用，加速了企业等组织的业务向互联网的转变，促进了信息的交流，这对组织的发展起到了积极的作用。然而，事物往往都具有两面性，网络的应用在促进组织发展的同时，也产生了一些负面的影响，组织内部的人员往往会利用网络做一些与组织业务无关的事情，如聊天、视频、上网、炒股甚至是网络游戏，这一方面会降低人员的工作效率，另一方面也会占用组织带宽， 严重的时候会影响关键业务甚至导致其中断。
另外，国家对于网络也有管理的要求，如果组织内部人员在网络上发表了不适当的言论，对于组织也会造成一些负面的影响。一些知识密集型的组织的人员通过网络泄露机密文件的事件也是屡有发生。
面对这样的问题，组织的管理者必需要清楚其人员的上网行为，防患于未然。但是现有技术中还无系统的解决方案，用于根据人员的上网行为评价组织内部人员的网络风险。发明内容
本发明要解决的技术问题在于针对现有技术中无法通过上网行为很好地评估组织内部人员网络风险的缺陷，提供一种可科学评估组织内部人员上网行为风险的组织内部网络风险评估方法及系统。
本发明解决其技术问题所采用的技术方案是
提供一种组织内部网络风险评估方法，其特征在于，包括以下步骤
Si、将组织内部人员的上网行为记录到数据库中；
S2、根据数据库中的记录对每个人员的上网行为进行特征分类统计，并根据统计结果计算人员的上网特征风险值和不同类型风险的风险指数；
S3、根据统计结果和计算结果生成内部人员的不同类型风险的风险报表；
S4、将同一类型风险下不同人员的风险指数进行排名，并从数据库中提取高风险人员的原始上网记录。
本发明所述的组织内部网络风险评估方法中，步骤Sl具体包括
S11、获取组织内部人员的上网链接，所述上网链接与人员的ID进行认证绑定；
S12、根据所述上网链接对人员上网的具体应用和URL进行识别；
S13、根据识别的结果统计时长、关键字、流量和人员的ID信息，并记录到数据库中。
本发明所述的组织内部网络风险评估方法中，步骤S2具体包括
S21、根据数据库中的记录对每个人员的上网行为进行特征分类统计，分类特征包括上网行为类型、上网搜索的关键字、上网的时间长度和上网的流量大小，其中每个上网分类特征至少包括一个应用；
S22、计算上网特征分类下每个应用的逆向特征频率^,,/I ，.，其中 N为所有人员的总数，AppUser为此应用涉及的人数；
S23、根据预先设定的每个应用的风险阈值计算上网分类特征下每个应用的风险系数.F= =‘ ’其中Napp为各个人员的该应用出现的次数；
S24、根据应用的逆向特征频率和相应的风险系数计算该应用的风险值Rapp = IFF *AR ·X1 1 app 1 llvapp ‘
S25、根据预先设置的各个分类特征下的每个应用的权重weightapp计算该特征的风险值+-c,。,… ，η为自然数；
S26、根据预先设置的各个分类特征设置权重Weightfeatee计算人员的风险指数
本发明所述的组织内部网络风险评估方法中，所述不同类型风险包括法律风险、 离职风险、安全风险和工作效率风险，对应的所述风险报表包括法律风险报表、离职风险报表、安全风险报表、工作效率风险报表和泄密风险报表，各个不同报表中的分类特征权重和各个应用权重可根据需要进行设定。
本发明所述的组织内部网络风险评估方法中，还包括步骤根据人员的风险指数排名，将高风险人员的风险报表和原始上网记录以邮件的方式发送到预先设置的邮箱中。
本发明解决其技术问题所采用的另一技术方案是
本发明还提供了一种组织内部网络风险评估系统，该系统还包括
日志记录装置，用于记录组织内部人员的上网行为；
统计和计算装置，用于根据所述日志记录装置中的记录对每个人员的上网行为进行特征分类统计，并根据统计结果计算人员的上网特征风险值和不同类型风险的风险指数；
报表生成装置，用于根据所述统计和计算装置的统计结果和计算结果生成人员的不同类型风险的风险报表；
原始记录提取装置，用于将所述统计和计算装置计算的不同人员同一类型风险的风险指数进行排名，并从所述日志记录装置中提取高风险人员的原始上网记录。
本发明所述的组织内部网络风险评估系统中，所述日志记录装置具体包括
获取链接模块，用于获取组织内部人员的上网链接，所述上网链接与人员的ID进行认证绑定；
识别模块，用于根据所述上网链接对人员上网的具体应用和URL进行识别；
数据库模块，用于根据识别的结果统计时长、关键字、流量和人员的ID信息，并记录到数据库中。
本发明所述的组织内部网络风险评估系统中，所述统计和计算装置具体包括
特征分类统计模块，用于根据数据库中的记录对每个人员的上网行为进行特征分类统计，分类特征包括上网行为类型、上网搜索的关键字、上网的时间长度和上网的流量大小，其中每个上网分类特征至少包括一个应用；
逆向特征频率计算模块，用于计算上网特征分类下每个应用的逆向特征频率 厂,-，其中N为所有人员的总数，AppUser为此应用涉及的人数；
应用风险系数计算模块，用于根据预先设定的每个应用的风险阈值计算上网分类特征下每个应用的风险系数设.“=‘..、 ’其中Napp为各个人员的该应用出现的次数；
应用风险值计算模块，用于根据应用的逆向特征频率和相应的风险系数计算该应用的风险值 Rapp = IFFapp*ARapp ；
特征风险值计算模块，用于根据预先设置的各个分类特征下的每个应用的权重 weight,计算该特征的风险值i.c:. Yj^…巧；
风险指数计算模块，用于根据预先设置的各个分类特征设置权重weightfMturd+
本发明所述的组织内部网络风险评估系统中，所述不同类型风险包括法律风险、 离职风险、安全风险和工作效率风险，对应的所述风险报表包括法律风险报表、离职风险报表、安全风险报表、工作效率风险报表和泄密风险报表，各个不同报表中的分类特征权重和各个应用权重可根据需要进行设定。
本发明所述的组织内部网络风险评估系统中，该系统还包括
邮件发送装置，用于根据所述原始记录提取装置中得到的人员的风险指数排名， 将高风险人员的风险报表和原始上网记录以邮件的方式发送到预先设置的邮箱中。
本发明产生的有益效果是本发明通过对数据库中每个人员的上网行为进行特征分类统计，并根据统计结果计算人员的上网特征风险值和风险指数，生成人员的风险报表； 根据人员的风险指数进行排名，并从数据库中提取高风险人员的原始上网记录，实现了从杂乱的数据中提取出潜在的风险，帮助了组织管理者及时方便地了解组织组织内部的风险动向，防止了网络的滥用。


下面将结合附图及实施例对本发明作进一步说明，附图中
图1是本发明实施例的组织内部网络连接的工作场景结构示意图2是本发明实施例组织内部网络风险评估方法的流程图3是本发明实施例组织内部网络风险评估系统的结构示意图4是本发明实施例工作效率风险报表示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
图1主要为组织内部网络连接的工作场景图，本发明实施例组织内部网络风险评估方法就建立在该工作场景中，如图2所示，组织内部网络风险评估方法主要包括以下步骤
Si、通过组织内部的日志记录装置将组织内部人员的上网行为记录到数据库中。 日志记录装置可以是一种独立的网关装置，也可以是网关装置的一个功能模块，其可以根据不同的策略，来监视组织内部人员的上网行为并记录。
S2、根据数据库中的记录对每个人员的上网行为进行特征分类统计，并根据统计结果计算人员的上网特征风险值和不同类型风险的风险指数；在本发明的实施例中不同类型风险包括法律风险、离职风险、安全风险和工作效率风险。
S3、根据统计结果和计算结果生成人员的风险报表；本发明实施例中与不同类型风险对应的风险报表包括法律风险报表、离职风险报表、安全风险报表、工作效率风险报表和泄密风险报表，各个不同报表中的分类特征权重和各个应用权重可根据需要进行设定。
S4、将同一类型风险下不同人员的风险指数进行排名，并从数据库中提取高风险人员的原始上网记录。
进一步地，步骤Sl具体包括
S11、通过组织内部的日志记录装置获取组织内部人员的上网链接，上网链接与人员的ID进行认证绑定；
S12、根据上网链接对人员上网的具体应用和URL进行识别；
S13、根据识别的结果统计时长、关键字、流量和人员的ID信息，并记录到数据库中。
通过以上三步，就可以将各个人员的上网时长、关键字、流量等统计到数据库，甚至上网搜索的内容、BBS论坛发帖的内容，都可以记录到数据库中。
以上数据库记录的数据是评估组织内部人员网络风险的数据来源。但是，所记录的数据是杂乱的，并且每个人员都会或多或少的产生一些风险，故无法获知谁的风险最大。 为了统计出人员风险排名，步骤S2具体包括
S21、根据数据库中的记录对每个人员的上网行为进行特征分类统计，分类特征包括上网行为类型、上网搜索的关键字、上网的时间长度和上网的流量大小，其中每个上网分类特征至少包括一个应用；如上网的行为类型(action)的应用包括访问网站、ftp下载、 p2p下载、在线视频等；上网搜索的关键字(keyword)的应用包括在baidu、google等搜索引擎上搜索的关键字；上网的时间长度的应用包括在线视频的时间(time)等；上网的流量大小(flux)的应用包括p2p等下载的流量大小。
通过这四种分类特征，可以定义不同类型风险的风险模板(包括法律风险模板、 离职风险模板、安全风险模板、工作效率风险模板和泄密风险模板，不同类型的风险模板对应可生成相应的风险报表)。假如某个人员的某种分类特征超过了一定的阈值就表明此人存在一定的特征风险，超过阈值越多则风险越大。
然后，通过模板的匹配，来计算每个人员的风险值(如我们定义一种名为“工作效率风险”的模板action特征，访问网站超过了 1000次、在线视频超过了 10次就有风险； keyword特征不定义；time特征，在线视频超过了 2小时认为是有风险；flux特征，在线视频超过了 100MB则认为是有风险)。
S22、计算上网特征分类下每个应用的逆向特征频率 -ο ^JT-T7T ，其中N为所有人员的总数，AppUser为此应用涉及的人数；在区分人员的风险时，如果遇到大部分人都涉及到的应用，则其作为区分风险的意义就不大。相反，如果一项应用很少出现， 并且只有很少人涉及到，那么，它作为区分风险的意义就会比较明显。通过逆向特征频率 IFF (inverse feature frequency)的计算可以基于不同应用很好地区分人员的风险。
S23、根据预先设定的每个应用的风险阈值计算上网分类特征下每个应用的风险系数A^ = 一^-’其中Naro为各个人员的该应用出现的次数；将应用的风险系数进行了归一化的处理后，可防止其偏向于某种经常出现的应用。各个不同应用的阈值设置对计算应用的风险系数起着重要的作用，若不同的应用设置一样的阈值，如某个人员访问网站的次数较多，ftp下载较少，则对于访问网站来说，超过阈值后计算出的风险值将偏大，而 ftp下载偏小。因此，要针对分类特征的不同应用，设置适当的阈值。
S24、根据应用的逆向特征频率和相应的风险系数计算该应用的风险值Rapp = IFFapp^ARapp ；通过该公式的归一化计算，既可以实现阈值超限程度与风险大小成正比的效果，又可以避免风险趋向于经常出现的应用上(Napp >阈值后才会计算其风险)。这种计算方法，可称其为AR-IFF理论。在给定的数据模型中，较高的AR(applicati0n risk)和较低的出现频率，就会产生较高的AR-IFF值。
S25、根据预先设置的各个分类特征下的每个应用的权重weight_计算该特征的风险值—，η为自然数；通过该公式的计算可以考虑到不同的风险模板可能关注的特征的权重不一样，比如，法律风险可能更关注关键字特征，如发表一些不合适的言论的关键字或经常搜索一些非法的内容，那么，可以加大关键字特征的权重； 同样的，工作效率风险则可能更多关注行为特征，如使用在线视频的次数较多，则可以加大时间和流量特征的权重。
S26、根据预先设置的各个分类特征设置权重Weightfeatee计算人员的风险指数 ;、，—..:.=y- %—。由此可以计算出一个人员在某个风险模板中的风险指数，待所有人员的风险指数都计算出来后，进行风险指数排名，就可以找出该类型风险的尚风险者。
进一步地，根据人员的风险指数排名，将高风险人员的风险报表和原始上网记录以邮件的方式发送到预先设置的邮箱中。
风险报表是根据风险模板生成的，风险模板分为四个特征，对应上网行为的四种分类特征，包括行为特征、时间特征、流量特征和关键字特征，每种特征可以定义不同的风险应用；
日志记录装置的控制台提供界面给用户选择具体的风险应用、自定义阀值等；根据模板的类型，每种特征可以定义不同的权重(如法律风险报表可能更关注关键字特征， 那就可以将关键字特征的权重设置稍大一些)。
一个报表模板示如图4所示，图4为工作效率风险报表，其中行为特征的权重为 50，即上文所说的分类特征权重Weightfeature，该分类特征下的应用包括p2p行为、在线视频和游戏等。
根据不同类型风险下人员的风险指数排名，可从日志记录装置中提取前几名人员的原始记录(每个人员对应一个excel文件，里边记录着详细的上网行为)，将这些原始记录文件压缩成一个数据包，存储到数据库中。
通过日志记录装置的界面查询，可将生成的风险报表展示给管理者。如果定义了邮件告警则发送详细的风险报表信息和数据库中的原始记录压缩数据包到管理者的邮箱中，这样，管理者就可以看到本组织内谁的风险最大，并可以看到这些人员的详细上网记录，而不用到日志记录装置中去查询。
如图3所示，本发明实施例组织内部网络风险评估系统包括日志记录装置10、统计和计算装置20、报表生成装置30和原始记录提取装置40。其中，
日志记录装置10，用于记录组织内部人员的上网行为；日志记录装置10可以是一种独立的网关装置，也可以是网关装置的一个功能模块，其可以根据不同的策略，来监视组织内部人员的上网行为并记录。
统计和计算装置20，用于根据日志记录装置10中的记录对每个人员的上网行为进行特征分类统计，并根据统计结果计算人员的上网特征风险值和不同类型风险的风险指数；在本发明的实施例中不同类型风险包括法律风险、离职风险、安全风险和工作效率风险。
报表生成装置30，用于根据统计和计算装置20的统计结果和计算结果生成人员的不同类型风险的风险报表；本发明实施例中与不同类型风险对应的风险报表包括法律风险报表、离职风险报表、安全风险报表、工作效率风险报表和泄密风险报表，各个不同报表中的分类特征权重和各个应用权重可根据需要进行设定。
原始记录提取装置40，用于将统计和计算装置20计算的不同人员同一类型风险的风险指数进行排名，并从日志记录装置10中提取高风险人员的原始上网记录。
上述各个装置，可以是独立的网关装置，也可以是由统一集中于某网关装置的功能模块。
进一步地，本发明实施例组织内部网络风险评估系统的日志记录装置具体10包括
获取链接模块，用于获取组织内部人员的上网链接，上网链接与人员的ID进行认证绑定；
识别模块，用于根据上网链接对人员上网的具体应用和URL进行识别；
数据库模块，用于根据识别的结果统计时长、关键字、流量和人员的ID信息，并记录到数据库中。
进一步地，本发明实施例组织内部网络风险评估系统的统计和计算装置20具体包括
特征分类统计模块，用于根据数据库中的记录对每个人员的上网行为进行特征分类统计，分类特征包括上网行为类型、上网搜索的关键字、上网的时间长度和上网的流量大小，其中每个上网分类特征至少包括一个应用；
逆向特征频率计算模块，用于计算上网特征分类下每个应用的逆向特征频率 厂,-，其中N为所有人员的总数，AppUser为此应用涉及的人数；
应用风险系数计算模块，用于根据预先设定的每个应用的风险阈值计算上网分类特征下每个应用的风险系数= 1^T^ ’其中Napp为各个人员的该应用出现的次数；
应用风险值计算模块，用于根据应用的逆向特征频率和相应的风险系数计算该应用的风险值 Rapp = IFFapp*ARapp ；
特征风险值计算模块，用于根据预先设置的各个分类特征下的每个应用的权重 weight,计算该特征的风险值Ac:.…巧；
风险指数计算模块，用于根据预先设置的各个分类特征设置权重Weightfeature计算人员的风险指数... = ￡ I,二— -。
进一步地，本发明实施例组织内部网络风险评估系统还包括邮件发送装置50，用于根据原始记录提取装置40中得到的人员的风险指数排名，将高风险人员的风险报表和原始上网记录以邮件的方式发送到预先设置的邮箱中。管理者通过邮件就可以看到本组织内谁的风险最大，并可以看到这些人员的详细上网记I而不用到日志记录装置中去查询。
应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换， 而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
权利要求
1.一种组织内部网络风险评估方法，其特征在于，包括以下步骤51、将组织内部人员的上网行为记录到数据库中；52、根据数据库中的记录对每个人员的上网行为进行特征分类统计，并根据统计结果计算人员的上网特征风险值和不同类型风险的风险指数；53、根据统计结果和计算结果生成人员的不同类型风险的风险报表；54、将同一类型风险下不同人员的风险指数进行排名，并从数据库中提取高风险人员的原始上网记录。
2.根据权利要求1所述的组织内部网络风险评估方法，其特征在于，步骤Sl具体包括511、获取组织内部人员的上网链接，所述上网链接与人员的ID进行认证绑定；512、根据所述上网链接对人员上网的具体应用和URL进行识别；513、根据识别的结果统计时长、关键字、流量和人员的ID信息，并记录到数据库中。
3.根据权利要求2所述的组织内部网络风险评估方法，其特征在于，步骤S2具体包括521、根据数据库中的记录对每个人员的上网行为进行特征分类统计，分类特征包括 上网行为类型、上网搜索的关键字、上网的时间长度和上网的流量大小，其中每个上网分类特征至少包括一个应用；522、计算上网特征分类下每个应用的逆向特征频率，其中N为所有人员的总数，AppUser为此应用涉及的人数；523、根据预先设定的每个应用的风险阈值计算上网分类特征下每个应用的风险系数TSJ —錢谊^ = ——’其中Napp为各个人员的该应用出现的次数；524、根据应用的逆向特征频率和相应的风险系数计算该应用的风险值Rapp= IFF *AR ·X1 1 app 1 llvapp ‘525、根据预先设置的各个分类特征下的每个应用的权重Weightapp计算该特征的风险η值究/ss^rff —，η 为自然数；526、根据预先设置的各个分类特征设置权重Weightfeatee计算人员的风险指数
4.根据权利要求3所述的组织内部网络风险评估方法，其特征在于，所述不同类型风险包括法律风险、离职风险、安全风险和工作效率风险，对应的所述风险报表包括法律风险报表、离职风险报表、安全风险报表、工作效率风险报表和泄密风险报表，各个不同报表中的分类特征权重和各个应用权重可根据需要进行设定。
5.根据权利要求4所述的组织内部网络风险评估方法，其特征在于，还包括步骤根据人员的风险指数排名，将高风险人员的风险报表和原始上网记录以邮件的方式发送到预先设置的邮箱中。
6.一种组织内部网络风险评估系统，其特征在于，该系统还包括日志记录装置，用于记录组织内部人员的上网行为；统计和计算装置，用于根据所述日志记录装置中的记录对每个人员的上网行为进行特征分类统计，并根据统计结果计算人员的上网特征风险值和不同类型风险的风险指数；报表生成装置，用于根据所述统计和计算装置的统计结果和计算结果生成人员的不同类型风险的风险报表；原始记录提取装置，用于将所述统计和计算装置计算的不同人员同一类型风险的风险指数进行排名，并从所述日志记录装置中提取高风险人员的原始上网记录。
7.根据权利要求6所述的组织内部网络风险评估系统，其特征在于，所述日志记录装置具体包括获取链接模块，用于获取组织内部人员的上网链接，所述上网链接与人员的ID进行认证绑定；识别模块，用于根据所述上网链接对人员上网的具体应用和URL进行识别； 数据库模块，用于根据识别的结果统计时长、关键字、流量和人员的ID信息，并记录到数据库中。
8.根据权利要求7所述的组织内部网络风险评估系统，其特征在于，所述统计和计算装置具体包括特征分类统计模块，用于根据数据库中的记录对每个人员的上网行为进行特征分类统计，分类特征包括上网行为类型、上网搜索的关键字、上网的时间长度和上网的流量大小， 其中每个上网分类特征至少包括一个应用；逆向特征频率计算模块，用于计算上网特征分类下每个应用的逆向特征频率VIFFnpp = tog，其中N为所有人员的总数，AppUser为此应用涉及的人数；应用风险系数计算模块，用于根据预先设定的每个应用的风险阈值计算上网分类特征V -細下每个应用的风险系数Aliiw = ^rr-~ ’其中Napp为各个人员的该应用出现的次数；应用风险值计算模块，用于根据应用的逆向特征频率和相应的风险系数计算该应用的风险值 Rapp = IFFapp^ARapp ；特征风险值计算模块，用于根据预先设置的各个分类特征下的每个应用的权重Weightapp 计算该特征的风险值％eaftire = J ^3 ^veij ；风险指数计算模块，用于根据预先设置的各个分类特征设置权重Weightfrature计算人贝白勺风险 旨数fipsrsen = ^^ Ι-^/ πγ^Γ 一’ '“51S /Savurei)。ε*Γο
9.根据权利要求8所述的组织内部网络风险评估系统，其特征在于，所述不同类型风险包括法律风险、离职风险、安全风险和工作效率风险，对应的所述风险报表包括法律风险报表、离职风险报表、安全风险报表、工作效率风险报表和泄密风险报表，各个不同报表中的分类特征权重和各个应用权重可根据需要进行设定。
10.根据权利要求9所述的组织内部网络风险评估系统，其特征在于，该系统还包括 邮件发送装置，用于根据所述原始记录提取装置中得到的人员的风险指数排名，将高风险人员的风险报表和原始上网记录以邮件的方式发送到预先设置的邮箱中。
全文摘要
本发明公开了一种组织内部网络风险评估方法及系统，其中方法包括步骤将组织内部人员的上网行为记录到数据库中；根据数据库中的记录对每个内部人员的上网行为进行特征分类统计，并根据统计结果计算内部人员的上网特征风险值和不同类型风险的风险指数；根据统计结果和计算结果生成内部人员的不同类型风险的风险报表；将同一类型风险的风险指数进行排名，并从数据库中提取高风险人员的原始上网记录。本发明实现了从杂乱的数据中提取出潜在的风险，帮助了组织管理者及时方便地了解组织内部的风险动向，防止了网络的滥用。
文档编号G06F17/30GK102495942SQ201110329758
公开日2012年6月13日 申请日期2011年10月26日 优先权日2011年10月26日
发明者刘玉训, 张斌 申请人:深信服网络科技(深圳)有限公司