一种异常行为主动检测方法、设备及存储介质与流程

本发明涉及信息系统应用数据安全防护领域，尤其涉及一种异常行为主动检测方法、设备及存储介质。

背景技术：

随着信息化向大整合、高共享、深度应用大步迈进，信息资源的种类和数量迅速增加，信息集中度和敏感度明显提高，信息应用和共享方式日趋复杂，信息安全工作面临极大挑战；近年来，公民个人信息泄露屡禁不止，时有曝光，已经成为媒体关注的热点问题，引发各类炒作，造成不良社会影响，严重影响政府机关形象，损害政府信息化发展成果；虽然各级政府机关也开展了持续不断地打击整治，并采取了一些技术措施，但政府机关内部人员泄露公民个人信息问题仍然呈现出高发态势，内部信息泄露已成为当前网络信息安全的一个重点工作。

为加强信息系统应用安全审计工作基础，防止内部敏感信息泄漏，避免出现“跟踪不下去、查不到源头、取不到证据”的情况，各级政府机关已经陆续开展基于应用日志的安全审计工作，但现有的应用日志审计仍主要采用统计方法，偏重“事后倒查”，无法有效的解决对用户异常应用使用行为的早期预警和实时监测。

技术实现要素：

本发明提供一种异常行为主动检测方法、设备及存储介质，用以解决现有技术无法对用户异常行为进行早期预警和实时监测的问题。

依据本发明的一个方面，提供一种异常行为主动检测方法，包括：

获取行为样本数据；

确定待检测的异常行为；

根据所述异常行为将已查获的与所述异常行为对应的数据作为初始样本中心点数据；

对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集；

根据所述不同类别的行为样本数据集获取异常行为数据。

可选的，根据所述不同类别的行为样本数据集获取异常行为数据包括：

根据所述不同类别的行为样本数据集，获取含有所述初始样本中心点数据的子类行为样本数据集；

根据所述子类行为样本数据集获取所述异常行为数据。

可选的，所述根据所述子类行为样本数据集获取所述异常行为数据包括：

根据所述子类行为样本数据集，获取与所述初始样本中心点的距离不超过K的所述行为样本数据，得到所述异常行为数据，所述K＞0。

可选的，所述对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集之前，包括：

对所述行为样本数据和所述初始样本中心点数据进行归一化处理。

可选的，所述行为样本数据的类型包括：正常行为数据和所述异常行为数据。

依据本发明的第二个方面，提供一种异常行为主动检测设备，所述设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现如下步骤：

获取行为样本数据；

确定待检测的异常行为；

根据所述异常行为将已查获的与所述异常行为对应的数据作为初始样本中心点数据；

对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集；

根据所述不同类别的行为样本数据集获取异常行为数据。

可选的，所述根据所述不同类别的行为样本数据集获取异常行为数据，所述处理器执行所述程序时实现如下步骤：

根据所述不同类别的行为样本数据集，获取含有所述初始样本中心点数据的子类行为样本数据集；

根据所述子类行为样本数据集获取所述异常行为数据。

可选的，所述根据所述子类行为样本数据集获取所述异常行为数据，所述处理器执行所述程序时实现如下步骤：

根据所述子类行为样本数据集，获取与所述初始样本中心点的距离不超过K的所述行为样本数据，得到所述异常行为数据，所述K＞0。

可选的，所述对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集之前，所述处理器执行所述程序时实现如下步骤：

对所述行为样本数据和所述初始样本中心点数据进行归一化处理。

依据本发明的第三个方面，提供一种计算机可读存储介质，所述存储介质上存储有计算机程序，所述程序被处理器执行时实现所述异常行为主动检测方法的如下步骤：

获取行为样本数据；

确定待检测的异常行为；

根据所述异常行为将已查获的与所述异常行为对应的数据作为初始样本中心点数据；

对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集；

根据所述不同类别的行为样本数据集获取异常行为数据。

本发明的有益效果为：

通过提取的已查获的与异常行为对应的数据作为初始样本中心点数据，进而基于初始样本中心点数据对行为样本数据进行分类训练后，得到靠近初始样本中心点数据的异常行为数据，从而实现了主动对用户异常行为的提前预警和实时监测。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1为本发明第一、第三、第四实施例中异常行为主动检测方法流程图；

图2为本发明第二实施例中异常行为主动检测方法流程图；

图3为本发明第二实施例中聚类计算后获取的含有初始样本中心点的一个子类；

图4为第二实施例中2016年下半年和2017年上半年行为样本数据提取结果的交集。

图5为本发明第三实施例中异常行为主动检测设备的结构示意图。

图中：1-存储器，2-处理器。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

请参见图1，在本发明的第一实施例中，提供了一种异常行为主动检测方法，包括以下步骤：

S101：获取行为样本数据；所述行为样本数据的类型包括：正常行为数据和所述异常行为数据。

S102：确定待检测的异常行为；

S103：根据所述异常行为将已查获的与所述异常行为对应的数据作为初始样本中心点数据；

S104：对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集(即行为样本数据集为相同类别的行为样本数据组成的集合)；

S105：根据所述不同类别的行为样本数据集获取异常行为数据。

本发明可选实施例中，步骤S105：根据所述不同类别的行为样本数据集获取异常行为数据包括：

根据所述不同类别的行为样本数据集，获取含有所述初始样本中心点数据的子类行为样本数据集；

根据所述子类行为样本数据集获取所述异常行为数据。

所述根据所述子类行为样本数据集获取所述异常行为数据包括：

根据所述子类行为样本数据集，获取与所述初始样本中心点的距离不超过K的所述行为样本数据，得到所述异常行为数据，所述K＞0。也就是说，与所述初始样本中心点的距离不超过K的所述行为样本数据即为异常行为数据，异常行为数据对应的用户为存在异常行为的用户。

可选的，所述对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集之前，包括：

对所述行为样本数据和所述初始样本中心点数据进行归一化处理。

在本发明的第二实施例中，请参见图2，提供了一种异常行为主动检测方法，包括以下步骤：

S200：提取用户行为特征属性，在此，从海量的应用审计日志中，基于已经查获的用户异常操作行为，利用人工手段，提取N种用户行为特征属性，这里N取自然数，在此N取28，即提取28种用户行为特征属性，如用户总访问量、用户类型、用户性别、用户年龄段等，通过后续机器自学习结果输出的不断验证和样本数据的持续完善，用户行为特征属性可持续丰富和完善。

S201：获取行为样本数据；本发明可选实施例中，所述行为样本数据的类型包括在一时间段内(比如2016年下半年和2017年上半年)提取的正常行为数据和异常行为数据。

S202：确定待检测的异常行为，如检测有数据盗取行为的用户或是大量查询青年女性行为的用户，并根据数据盗取行为这一异常行为确定需要使用的用户行为特征属性。

S203：根据所述异常行为将已查获的与所述异常行为对应的数据作为初始样本中心点数据；若为检测有数据盗取行为的用户，则在此基础上，将已查获的进行过数据盗取行为的用户的数据作为初始样本中心点数据，初始样本中心点数据可以根据需求选取多个，本实施例选取8个初始样本中心点数据。

S204：对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集(即行为样本数据集为相同类别的行为样本数据组成的集合)。本实施例采用MADlib-Kmeans聚类算法对2016年下半年和2017年上半年的行为样本数据集和步骤S203所确定的8个初始样本中心点数据进行训练，聚类计算采用距离函数为“欧氏距离平方”，执行的最大迭代次数设定为50次；经过训练，行为样本数据在38次时收敛。

本发明可选实施例中，进行步骤S204所述对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集之前，对所述行为样本数据和所述初始样本中心点数据进行归一化处理。首先，将占比类的行为样本数据和所述初始样本中心点数据进行整数化，如查询数据盗取行为的行为样本数量占比值为0.62，对其进行整数化之后转换为62，然后，利用0均值标准化化方法对行为样本数据和初始样本中心点数据进行归一化预处理，即将行为样本数据和初始样本中心点数据归一化为均值为0、标准差为1的数据集，归一化公式如下：

z＝(x-μ)/σ

其中，x为原始值，μ为平均值，σ为标准差，z为归一后的值；当原始值低于平均值时，z则为负数，反之为正数。

S205：根据所述不同类别的行为样本数据集获取异常行为数据。包括：

根据所述不同类别的行为样本数据集，获取含有所述初始样本中心点数据的子类行为样本数据集，参见图3，图3中user_name为赵*的为初始样本中心点数据。根据所述子类行为样本数据集获取所述异常行为数据，包括：

根据所述子类行为样本数据集，进行机器自学习，获取与所述初始样本中心点的距离不超过K的所述行为样本数据，得到所述异常行为数据，所述K＞0。也就是说，与所述初始样本中心点的距离不超过K的所述行为样本数据即为异常行为数据，异常行为数据对应的用户为存在异常行为的用户。步骤S104对行为样本数据聚类计算后，步骤S203所确定的8个初始样本中心点数据分布在5个子类中(第1类1个、第2类2个、第3类1个、第4类3个、第5类1个)，提取离初始样本中心点数据距离最近且不超过0.5的样本数据(即K不大于0.5)：

(1)2016下半年样本提取出来151个；

(2)2017上半年样本提取出来147个；

(3)计算2016年下半年和2017年上半年样本提取结果的交集，得出有2交集行为样本数据，如图4所示；

S206：输出检测结果，重点关注、分析、核实2个交集样本和8个初始样本中心点数据附近的行为样本数据，通过验证发现初始样本中心点数据附近的行为样本数据90％以上存在明显的异常行为，输出检测结果并进行预警。通过将验证结果进行迭代和分析，可不断提升该方法的准确度，从而有效解决基于应用日志审计的用户异常行为早期预警和实时监测问题。

在本发明的第三实施例中，提供了一种异常行为主动检测设备，参见图5，所述设备包括存储器1、处理器2及存储在所述存储器1上并可在所述处理器2上运行的计算机程序，所述处理器2执行所述程序时实现如下步骤：

S101：获取行为样本数据；

S102：确定待检测的异常行为；

S103：根据所述异常行为将已查获的与所述异常行为对应的数据作为初始样本中心点数据；

S104：对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集；

S105：根据所述不同类别的行为样本数据集获取异常行为数据。

执行步骤S101前，所述处理器2执行所述程序时还实现如下步骤：

提取用户行为特征属性，从海量的应用审计日志中，基于已经查获的用户异常操作行为，提取N种用户行为特征属性，这里N取自然数，在此N取28，即提取28种用户行为特征属性，如用户总访问量、用户类型、用户性别、用户年龄段等，通过后续机器自学习结果输出的不断验证和样本数据的持续完善，用户行为特征属性可持续丰富和完善。

可选的，所述根据所述不同类别的行为样本数据集获取异常行为数据，所述处理器2执行所述程序时实现如下步骤：

根据所述不同类别的行为样本数据集，获取含有所述初始样本中心点数据的子类行为样本数据集；

根据所述子类行为样本数据集获取所述异常行为数据。

可选的，所述根据所述子类行为样本数据集获取所述异常行为数据，所述处理器2执行所述程序时实现如下步骤：

根据所述子类行为样本数据集，获取与所述初始样本中心点的距离不超过K的所述行为样本数据，得到所述异常行为数据，所述K＞0。

可选的，所述对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集之前，所述处理器2执行所述程序时实现如下步骤：

对所述行为样本数据和所述初始样本中心点数据进行归一化处理。

可选的，得到所述异常行为数据后，所述处理器2执行所述程序时实现步骤：

输出检测结果，输出初始样本中心点数据附近存在明显的异常行为的行为样本数据，输出检测结果并进行预警。有效解决了用户异常行为早期预警和实时监测问题。

在本发明的第四实施例中，提供一种计算机可读存储介质，所述存储介质上存储有计算机程序，所述程序被处理器2执行时实现所述异常行为主动检测方法的如下步骤：

S101：获取行为样本数据；

S102：确定待检测的异常行为；

S103：根据所述异常行为将已查获的与所述异常行为对应的数据作为初始样本中心点数据；

S104：对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集；

S105：根据所述不同类别的行为样本数据集获取异常行为数据。

执行步骤S101前，所述程序被处理器2执行时还实现如下步骤：

提取用户行为特征属性，从海量的应用审计日志中，基于已经查获的用户异常操作行为，提取N种用户行为特征属性，这里N取自然数，在此N取28，即提取28种用户行为特征属性，如用户总访问量、用户类型、用户性别、用户年龄段等，通过后续机器自学习结果输出的不断验证和样本数据的持续完善，用户行为特征属性可持续丰富和完善。

在可选实施例中，所述根据所述不同类别的行为样本数据集获取异常行为数据，所述程序被处理器2执行时实现如下步骤：

根据所述不同类别的行为样本数据集，获取含有所述初始样本中心点数据的子类行为样本数据集；

根据所述子类行为样本数据集获取所述异常行为数据。

可选的，所述根据所述子类行为样本数据集获取所述异常行为数据，所述程序被处理器2执行时实现如下步骤：

根据所述子类行为样本数据集，获取与所述初始样本中心点的距离不超过K的所述行为样本数据，得到所述异常行为数据，所述K＞0，也就是说，与所述初始样本中心点的距离不超过K的所述行为样本数据即为异常行为数据，异常行为数据对应的用户为存在异常行为的用户。

可选的，所述对所述行为样本数据和所述初始样本中心点数据进行分类训练获取不同类别的行为样本数据集之前，所述程序被处理器2执行时实现如下步骤：

对所述行为样本数据和所述初始样本中心点数据进行归一化处理。

可选的，得到所述异常行为数据后，所述程序被处理器2执行时实现如下步骤：

输出检测结果，输出初始样本中心点数据附近存在明显的异常行为的行为样本数据，输出检测结果并进行预警。有效解决了用户异常行为早期预警和实时监测问题。

显然，本发明通过提取的已查获的与异常行为对应的数据作为初始样本中心点数据，进而基于初始样本中心点数据对行为样本数据进行分类训练后，得到靠近初始样本中心点数据的异常行为数据，从而实现了主动对用户异常行为的提前预警和实时监测。

本发明中的存储介质可以包括：ROM、RAM、磁盘或光盘等。

总之，以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。