一种用户行为审计方法、装置、电子设备及存储介质与流程
本申请涉及网络安全技术领域,具体而言,涉及一种用户行为审计方法、装置、电子设备及存储介质。
背景技术:
数据安全越来越受到重视,而在业务系统中存在大量和业务相关的生产数据,从业务系统进行数据窃取成为一种方式,如何确保在不影响业务系统使用的情况下,通过审计分析用户行为,发现潜在的异常数据访问,及时的追踪,起到震慑和溯源的效果,成为一种数据安全需求。
现有技术中通常采用访问权限控制技术,识别和确认访问系统的用户、决定该用户可以对某一系统资源进行何种类型的访问,以及如何访问系统资源。但是这种方法无法发现合法用户的非法访问,从而导致对用户行为审计不准确的问题。
技术实现要素:
本申请实施例的目的在于提供一种用户行为审计方法、装置、电子设备及存储介质,用以解决现有技术中对用户行为审计不准确的问题。
第一方面,本申请实施例提供一种用户行为审计方法,包括:获取第一用户在第一预设时间段内的第一访问行为;利用行为转移矩阵对所述第一访问行为进行分析,获得行为指标;其中,所述行为转移矩阵为对多个第二用户在历史时间段内的第二访问行为进行统计获得;根据所述行为指标判断所述用户的第一访问行为是否异常。
本申请实施例通过利用行为转移矩阵分析用户的第一访问行为,获得行为指标,并根据行为指标判断用户的第一访问行为是否异常。由于行为转移矩阵是对多个第二用户在历史时间段内的第二访问行为进行统计获得,因此能够准确地判断出第一用户的第一访问行为是否异常。
进一步地,在获取用户在第一预设时间段内的第一访问行为之前,所述方法还包括:获取多个第二用户在历史时间段内的第二访问行为,其中,每一第二用户对应的第二访问行为包括多个被操作的功能标识,以及每个功能标识对应的操作时间;计算多个第二用户的第二访问行为中任意一个功能标识到另一个功能标识的似然概率;根据所述似然概率获得所述行为转移矩阵。
本申请实施例通过计算任意一个功能标识到另一个功能标识的似然概率,从而构成行为转移矩阵,该行为转移矩阵能够准确的对第一用户的行为进行审计。
进一步地,所述计算多个第二用户的第二访问行为中任意一个功能标识到另一个功能标识的似然概率,包括:根据如下公式计算任意一个功能标识到另一个功能标识的似然概率:
本申请实施例通过统计历史时间段内第二用户的第二访问行为,并利用上述公式计算从一个功能标识转移到另一个功能标识的似然概率,进而获得能够准确审计用户行为的行为转移矩阵。
进一步地,所述行为转移矩阵为:
进一步地,所述第一访问行为包括多个功能标识以及所述功能标识对应的操作时间;所述利用行为转移矩阵对所述第一访问行为进行分析,获得行为指标,包括:根据各功能标识对应的操作时间对所述功能标识进行排序,获得操作序列;从所述行为转移矩阵中获取所述操作序列中的相邻两个功能标识中,前一个功能标识到后一个功能标识的似然概率;根据相邻两个功能标识对应的似然概率计算所述行为指标。
本申请实施例通过根据各功能标识对应的操作时间对功能标识进行排序,可以便于后续计算该用户的第一访问行为对应的行为指标,进而提高对第一访问行为进行审计的准确性。
进一步地,所述根据相邻两个功能标识对应的似然概率计算所述行为指标,包括:根据如下公式计算获得所述行为指标:score=abs(log(p1*p2*...*pm));其中,score为所述行为指标;pi为第i个功能标识转移到第i+1个功能标识的似然概率,i=1,2,...,m-1,m为第一访问行为中包括的功能标识的个数。
本申请实施例通过利用上述公式计算第一用户的行为指标,从而可以对第一用户的行为进行定量分析,提高了对行为审计的客观准确性。
进一步地,所述根据所述行为指标判断所述用户的第一访问行为是否异常,包括:若所述行为指标对应的值小于预设值,则所述第一访问行为异常。
第二方面,本申请实施例提供一种用户行为审计装置,包括:信息获取模块,用于获取第一用户在第一预设时间段内的第一访问行为;分析模块,用于利用行为转移矩阵对所述第一访问行为进行分析,获得行为指标;其中,所述行为转移矩阵为对多个第二用户在历史时间段内的第二访问行为进行统计获得;审计模块,用于根据所述行为指标判断所述用户的第一访问行为是否异常。
第三方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面的方法。
第四方面,本申请实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面的方法。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种行为转移矩阵构建流程示意图;
图2为本申请实施例提供的一种用户行为审计方法流程示意图;
图3为本申请实施例提供的装置结构示意图;
图4为本申请实施例提供的电子设备实体结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
图1为本申请实施例提供的一种行为转移矩阵构建流程示意图,如图1所示,该方法包括:
步骤101:获取多个第二用户在历史时间段内的第二访问行为,其中,每一第二用户对应的第二访问行为包括多个被操作的功能标识,以及每个功能标识对应的操作时间;
步骤102:计算多个第二用户的第二访问行为中任意一个功能标识到另一个功能标识的似然概率;
步骤103:根据所述似然概率获得所述行为转移矩阵。
在步骤101中,用户使用业务系统通常是为了实现某个任务或完成某项工作,具有一定的访问流程和步骤。本申请实施例将访问流程中的每个动作称为一次操作,被操作的对象称为功能标识。例如:用户点击“开始”,那么功能标识为“开始”。对于一项需要将存储在e盘根目录下的某个文件进行删除的操作来说,其访问流程为:打开“我的电脑”-打开e盘-选择该文件-删除-确认删除。其中,“我的电脑”、“e盘”、“选择文件”等都是功能标识。本申请实施例中的第二用户可以都是合法用户,历史时间段可以是距离当前时刻之前的一个月、两个月或者更久,具体时长可以根据实际情况进行设定。第二访问行为也可以都是合法的访问行为,并且,在获取到历史时间段内所有的第二用户的访问行为后,可以人工预先对访问行为进行标注,提取合法的访问行为作为第二访问行为。可以理解的是,本申请实施例中可以通过监控软件来获得第二用户的第二访问行为,还可以通过钩子函数等进行监控,本申请实施例不对第二访问行为的获得方式进行限定,只要能够获得第二访问行为即可。另外,为了能够获得更加准确的行为转移矩阵,可以尽可能的获取到所有的任务所对应的访问流程。
在步骤102中,根据所有的第二访问行为可以统计获得一共有多少种功能标识,然后根据多个第二访问行为对应的功能标识的操作时间确定功能标识被操作的顺序。根据功能标识被操作的顺序来计算每个功能标识到另一个功能标识的似然概率。应当说明的是,此处所说的功能标识到另一个功能标识的似然概率是指相邻两个功能标识。
其中,一个功能标识到另一个功能标识的似然概率可以通过以下公式进行计算:
其中,pij为第i个功能标识到第j个功能标识的似然概率,tij为在历史时间段内,第i个功能标识转移到第j个功能标识的次数,
例如:一共有三个功能标识,功能标识a、功能标识b和功能标识c。第二访问行为有10条,包括:第一条:功能标识a-功能标识b;第二条:功能标识c-功能标识a;第三条:功能标识a-功能标识b-功能标识c;第四条:功能标识c-功能标识b;第五条:功能标识a-功能标识b;第六条:功能标识a-功能标识c-功能标识b;第七条:功能标识c-功能标识b;第八条:功能标识b-功能标识a;第九条:功能标识a-功能标识b-功能标识c;第十条:功能标识b-功能标识c-功能标识a。
基于上述十条第二访问行为,需要计算获得功能标识a到功能标识b的似然概率pab;功能标识a到功能标识c的似然概率pac;功能标识b到功能标识a的似然概率pba;功能标识b到功能标识c的似然概率pbc;功能标识c到功能标识a的似然概率pca;功能标识c到功能标识b的似然概率pcb。对于pab和pac来说,功能标识a到功能标识b共4次,功能标识a到功能标识c共1次,所以,pab=4/5,pac=1/5;对于pba和pbc来说,功能标识b到功能标识a共1次,功能标识b到功能标识c共3次,所以,pba=1/4,pbc=3/4;对于pca和pcb来说,功能标识c到功能标识a共2次,功能标识c到功能标识b共3次,所以,pca=2/5,pcb=3/5。
可以理解的是,本申请实施例中为了简便,只列举出10条第二访问行为,为了能够获得更加准确的行为转移矩阵中各个元素的似然概率,需要获得更多的第二访问行为,同样的,第二访问行为越多,计算时长也就越长,因此,还需要在计算时长与准确度上做权衡。
在计算完成每个功能标识到另一个功能标识的似然概率后,可以获得行为转移矩阵,该行为转移矩阵可以表示为:
另外,为了更加直观,本申请实施例提供了下表来表示:
其中,表中的每个元素表示从一个功能标识到另一个功能标识的似然概率。以第一行第二列中的0.1为例:是指从标识a以10%的似然概率转移到标识b。
本申请实施例通过计算任意一个功能标识到另一个功能标识的似然概率,从而构成行为转移矩阵,该行为转移矩阵能够准确的对第一用户的行为进行审计。
图2为本申请实施例提供的一种用户行为审计方法流程示意图,如图2所示,执行该方法的主体为审计装置,该审计装置可以是台式电脑、平板电脑、笔记本电脑、智能手机或智能穿戴设备等。该方法包括:
步骤201:获取第一用户在第一预设时间段内的第一访问行为;
步骤202:利用行为转移矩阵对所述第一访问行为进行分析,获得行为指标;其中,所述行为转移矩阵为对多个第二用户在历史时间段内的第二访问行为进行统计获得;
步骤203:根据所述行为指标判断所述用户的第一访问行为是否异常。
在步骤201中,第一预设时间段可以是以天为单位,即第一用户在一天内的第一访问行为。第一访问行为参见上述实施例中对第二访问行为的解释。且第一访问行为中包括一系列对功能标识的操作,以及对每个功能标识操作的时间。
在步骤202中,在获得第一访问行为后,从第一访问行为中获得各个功能标识的转移情况,然后再利用行为转移矩阵获得第一访问行为中的相邻两个功能标识中,由前一个功能标识到下一个功能标识的似然概率。其中,可以根据功能标识被操作的时间来确定第一访问行为中功能标识被操作的顺序,获得操作序列,通过操作序列可以获得相邻的功能标识的转移情况。例如,第一访问行为中共包括10个功能标识,那么一共可以获得9个似然概率。然后利用各个相邻的功能标识的似然概率计算获得行为指标。
在步骤203中,行为指标的大小可以反映该用户的第一访问行为是否异常。例如:根据经验可以设定一个预设值,如果行为指标低于预设值,那么则说明该第一用户的第一访问行为异常。当然,不同的行为指标计算公式对应不同的判断标准,也可能是行为指标高于预设值,则说明该第一用户的第一访问行为异常。具体情况需要根据行为指标的具体获得方式来确定。
本申请实施例通过利用行为转移矩阵分析用户的第一访问行为,获得行为指标,并根据行为指标判断用户的第一访问行为是否异常。由于行为转移矩阵是对多个第二用户在历史时间段内的第二访问行为进行统计获得,因此能够准确地判断出第一用户的第一访问行为是否异常。
在上述实施例的基础上,所述根据相邻两个功能标识对应的似然概率计算所述行为指标,包括:
根据如下公式计算获得所述行为指标:
score=abs(log(p1*p2*...*pm));
其中,score为所述行为指标;pi为第i个功能标识转移到第i+1个功能标识的似然概率,i=1,2,...,m-1,m为第一访问行为中包括的功能标识的个数。
在具体的实施过程中,由于第一用户在一天内并不是只执行一个任务,而是可能执行多个任务,如果将前一个任务的最后一个操作与后一个任务的第一个操作连起来,那么会引入错误的似然概率,因此,为了能够更加准确的评估第一用户的行为,可以预先对获得到的第一访问行为进行划分,划分为一个个任务对应的访问行为。然后分别计算每个任务的访问行为对应的行为指标,从而不但可以获知该用户是否存在异常的访问行为,还可以获知异常的访问行为发生的时间等信息。
如果是一个任务对应的访问行为,那么上述公式中的pi为一个任务中第i个功能标识转移到第i+1个功能标识的似然概率。
以第一用户的第一访问行为是:标识b-标识e-标识d-标识h-标识a-标识c,则根据上述公式以及上述表格可以计算获得:score=abs(log(0.1*0.2*0.08*0.23*0.1))。其中,第一个数值0.1是指标识b到标识e的似然概率;第二个数值0.2表示指标e到指标d的似然概率;第三个数值0.08表示指标d到指标h的似然概率;第四个数值0.23表示指标h到指标a的似然概率;第五个数值0.1表示标识a到标识c的似然概率。
可以理解的是,该计算公式从两个方面考虑:第一、固定时间内(默认以天为单位),访问的功能标识越多则该用户的行为越有可能存在异常;第二、功能标识之间转移似然概率越低,则用户的行为越可疑。
因此,在获得第一用户的行为指标之后,如果行为指标小于预设值,则说明第一访问行为异常。
本申请实施例通过利用上述公式计算第一用户的行为指标,从而可以对第一用户的行为进行定量分析,提高了对行为审计的客观准确性。
图3为本申请实施例提供的装置结构示意图,该装置可以是电子设备上的模块、程序段或代码。应理解,该装置与上述图2方法实施例对应,能够执行图2方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置包括:信息获取模块301、分析模块302和审计模块303,其中:
信息获取模块301用于获取第一用户在第一预设时间段内的第一访问行为;分析模块302用于利用行为转移矩阵对所述第一访问行为进行分析,获得行为指标;其中,所述行为转移矩阵为对多个第二用户在历史时间段内的第二访问行为进行统计获得;审计模块303用于根据所述行为指标判断所述用户的第一访问行为是否异常。
在上述实施例的基础上,该装置还包括行为转移矩阵构建模块,用于:
获取多个第二用户在历史时间段内的第二访问行为,其中,每一第二用户对应的第二访问行为包括多个被操作的功能标识,以及每个功能标识对应的操作时间;
计算多个第二用户的第二访问行为中任意一个功能标识到另一个功能标识的似然概率;
根据所述似然概率获得所述行为转移矩阵。
在上述实施例的基础上,行为转移矩阵构建模块,具体用于:
根据如下公式计算任意一个功能标识到另一个功能标识的似然概率:
其中,pij为第i个功能标识到第j个功能标识的似然概率,tij为在历史时间段内,第i个功能标识转移到第j个功能标识的次数,
在上述实施例的基础上,所述行为转移矩阵为:
在上述实施例的基础上,所述第一访问行为包括多个功能标识以及所述功能标识对应的操作时间;分析模块302具体用于:
根据各功能标识对应的操作时间对所述功能标识进行排序,获得操作序列;
从所述行为转移矩阵中获取所述操作序列中的相邻两个功能标识中,前一个功能标识到后一个功能标识的似然概率;
根据相邻两个功能标识对应的似然概率计算所述行为指标。
在上述实施例的基础上,分析模块302具体用于:
根据如下公式计算获得所述行为指标:
score=abs(log(p1*p2*...*pm));
其中,score为所述行为指标;pi为第i个功能标识转移到第i+1个功能标识的似然概率,i=1,2,...,m-1,m为第一访问行为中包括的功能标识的个数。
在上述实施例的基础上,审计模块303具体用于:
若所述行为指标对应的值小于预设值,则所述第一访问行为异常。
综上所述,本申请实施例通过利用行为转移矩阵分析用户的第一访问行为,获得行为指标,并根据行为指标判断用户的第一访问行为是否异常。由于行为转移矩阵是对多个第二用户在历史时间段内的第二访问行为进行统计获得,因此能够准确地判断出第一用户的第一访问行为是否异常。
图4为本申请实施例提供的电子设备实体结构示意图,如图4所示,所述电子设备,包括:处理器(processor)401、存储器(memory)402和总线403;其中,
所述处理器401和存储器402通过所述总线403完成相互间的通信;
所述处理器401用于调用所述存储器402中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:获取第一用户在第一预设时间段内的第一访问行为;利用行为转移矩阵对所述第一访问行为进行分析,获得行为指标;其中,所述行为转移矩阵为对多个第二用户在历史时间段内的第二访问行为进行统计获得;根据所述行为指标判断所述用户的第一访问行为是否异常。
处理器401可以是一种集成电路芯片,具有信号处理能力。上述处理器401可以是通用处理器,包括中央处理器(centralprocessingunit,cpu)、网络处理器(networkprocessor,np)等;还可以是数字信号处理器(dsp)、专用集成电路(asic)、现成可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器402可以包括但不限于随机存取存储器(randomaccessmemory,ram),只读存储器(readonlymemory,rom),可编程只读存储器(programmableread-onlymemory,prom),可擦除只读存储器(erasableprogrammableread-onlymemory,eprom),电可擦除只读存储器(electricerasableprogrammableread-onlymemory,eeprom)等。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取第一用户在第一预设时间段内的第一访问行为;利用行为转移矩阵对所述第一访问行为进行分析,获得行为指标;其中,所述行为转移矩阵为对多个第二用户在历史时间段内的第二访问行为进行统计获得;根据所述行为指标判断所述用户的第一访问行为是否异常。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取第一用户在第一预设时间段内的第一访问行为;利用行为转移矩阵对所述第一访问行为进行分析,获得行为指标;其中,所述行为转移矩阵为对多个第二用户在历史时间段内的第二访问行为进行统计获得;根据所述行为指标判断所述用户的第一访问行为是否异常。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!