一种基于行为分析的金融业务逻辑漏洞告警监测方法、系统及存储介质与流程

本发明属于银行业务安全管理，具体涉及一种基于行为分析的金融业务逻辑漏洞告警监测方法、系统及存储介质。

背景技术：

1、在金融领域，当前的网络安全设备对攻击者利用通用漏洞或web类漏洞对系统及服务器进行攻击已经有较为完善的监测手段，但针对攻击者利用业务逻辑漏洞对系统业务进行攻击的行为缺乏效果较好的监测手段。当前的网络安全设备对漏洞的监测主要依赖请求数据包中的恶意攻击特征，而由于利用业务逻辑漏洞的攻击无攻击特征，所以传统的流量监测设备无法监测，另外，在金融行业应用越来越广泛的报文加密场景下，流量分析也无法生效。

技术实现思路

1、本发明旨在提供一种基于行为分析的金融业务逻辑漏洞告警监测方法、系统及存储介质，以实现对利用业务逻辑漏洞对金融业务系统进行攻击的行为进行告警监测。

2、为实现以上目的，本发明采用以下技术方案：

3、提供一种基于行为分析的金融业务逻辑漏洞告警监测方法，包括：

4、获取用户的业务日志；

5、基于用户的业务日志，对用户的历史业务行为进行建模获取用户的历史业务数据模型；

6、基于该用户的历史业务数据模型，判断该用户当日业务行为是否异常；

7、将该用户的历史业务数据模型与其他多数用户的历史业务数据模型进行比对，判断该用户的历史业务数据模型是否存在异常；

8、若该用户当日业务行为或该用户的历史业务数据模型存在异常，则进行告警处理。

9、优选的，所述对用户的历史业务行为进行建模获取用户的历史业务数据模型包括：

10、对用户的业务日志进行处理得到标准化数据，标准化数据包含以下特征值：用户名、登录时间、登录地点、登录ip、用于区分交易类型的交易接口、用于区分交易对象的操作对象、用于区分交易是否成功的交易响应值；

11、以日为单位，将用户单日的日志记录的业务行为对应的标准化数据整合成一个行为序列存入数据库，如此处理该用户全部日志记录的业务行为对应的标准化数据，获取该用户的历史业务数据模型。

12、优选的，所述判断该用户当日业务行为是否异常包括：

13、将该用户当日业务行为对应的标准化数据整合成当日业务行为序列；

14、以该用户的用户名为作为关键字，在该用户的历史业务数据模型中查询该用户之前n次的行为序列，并分别与该用户的当日业务行为序列进行比对，如果存在与所述当日业务行为序列相似的行为序列，则认为所述当日业务行为序列无异常，如果未找到与所述当日业务行为序列相似的行为序列，或历史数据不足，则认为所述当日业务行为序列存在异常。

15、优选的，所述判断该用户的历史业务数据模型是否存在异常包括：

16、采用孤立森林算法对由多个用户的历史业务数据模型组成的数据模型样本集合进行分析，将异常用户的历史业务数据模型从所有的样本中孤立出来。

17、优选的，所述进行告警处理包括：

18、对于当日业务行为或历史业务数据模型存在异常的用户，对该用户的当日业务行为或历史业务数据模型进行人工分析，确认存在异常后关联该用户相关的原始日志，对该用户相关的原始日志进行标记，以此作为对利用业务漏洞对金融系统进行攻击的告警监测条目。

19、本发明还提供一种基于行为分析的金融业务逻辑漏洞告警监测系统，包括：

20、业务日志获取模块，用于获取用户的业务日志；

21、历史业务数据模型建立模块，用于基于用户的业务日志，对用户的历史业务行为进行建模获取用户的历史业务数据模型；

22、当日业务行为异常判断模块，用于基于该用户的历史业务数据模型，判断该用户当日业务行为是否异常；

23、历史业务数据模型异常判断模块，用于将该用户的历史业务数据模型与其他多数用户的历史业务数据模型进行比对，判断该用户的历史业务数据模型是否存在异常；

24、告警处理模块，用于若该用户当日业务行为或该用户的历史业务数据模型存在异常，则进行告警处理。

25、优选的，所述历史业务数据模型建立模块包括：

26、标准化数据处理单元：用于对用户的业务日志进行处理得到标准化数据，标准化数据包含以下特征值：用户名、登录时间、登录地点、登录ip、用于区分交易类型的交易接口、用于区分交易对象的操作对象、用于区分交易是否成功的交易响应值；

27、行为序列整合存储单元，用于以日为单位，将用户单日的日志记录的业务行为对应的标准化数据整合成一个行为序列存入数据库，如此处理该用户全部日志记录的业务行为对应的标准化数据，获取该用户的历史业务数据模型。

28、优选的，所述当日业务行为异常判断模块包括：

29、当日业务行为序列建立单元，用于将该用户当日业务行为对应的标准化数据整合成当日业务行为序列；

30、当日业务行为异常判断单元，用于以该用户的用户名为作为关键字，在该用户的历史业务数据模型中查询该用户之前n次的行为序列，并分别与该用户的当日业务行为序列进行比对，如果存在与所述当日业务行为序列相似的行为序列，则认为所述当日业务行为序列无异常，如果未找到与所述当日业务行为序列相似的行为序列，或历史数据不足，则认为所述当日业务行为序列存在异常。

31、优选的，所述历史业务数据模型异常判断模块包括孤立森林判断单元，所述孤立森林判断单元用于采用孤立森林算法对由多个用户的历史业务数据模型组成的数据模型样本集合进行分析，将异常用户的历史业务数据模型从所有的样本中孤立出来；

32、所述告警处理模块包括原始日志标记单元，所述原始日志标记单元用于对于当日业务行为或历史业务数据模型存在异常的用户，对该用户的当日业务行为或历史业务数据模型进行人工分析，确认存在异常后关联该用户相关的原始日志，对该用户相关的原始日志进行标记，以此作为对利用业务漏洞对金融系统进行攻击的告警监测条目。

33、本发明还提供一种计算机可读的存储介质，所述存储介质中包括存储的程序，其中，所述程序运行时执行前面任一项中所述的方法。

34、与现有技术相比，本发明的有益效果是：该基于行为分析的金融业务逻辑漏洞告警监测方法通过获取用户的业务日志，然后基于用户的业务日志，对用户的历史业务行为进行建模获取用户的历史业务数据模型，然后基于该用户的历史业务数据模型，判断该用户当日业务行为是否异常，由于该方法使用的基础数据来源为业务日志，避免了由于报文加密导致流量监测无法实现的情况，通过规则模板提取业务交易请求特征值，并将用户当日请求特征值序列化，从而实现对用户行为而非单个请求的异常分析，通过异常分析，解决了传统安全设备或系统对攻击行为的监测依赖恶意攻击特征导致无法监测利用业务逻辑漏洞的攻击行为问题。

技术特征：

1.一种基于行为分析的金融业务逻辑漏洞告警监测方法，其特征在于，包括：

2.根据权利要求1所述的基于行为分析的金融业务逻辑漏洞告警监测方法，其特征在于，所述对用户的历史业务行为进行建模获取用户的历史业务数据模型包括：

3.根据权利要求2所述的基于行为分析的金融业务逻辑漏洞告警监测方法，其特征在于，所述判断该用户当日业务行为是否异常包括：

4.根据权利要求1所述的基于行为分析的金融业务逻辑漏洞告警监测方法，其特征在于，所述判断该用户的历史业务数据模型是否存在异常包括：

5.根据权利要求1所述的基于行为分析的金融业务逻辑漏洞告警监测方法，其特征在于，所述进行告警处理包括：

6.一种基于行为分析的金融业务逻辑漏洞告警监测系统，其特征在于，包括：

7.根据权利要求6所述的基于行为分析的金融业务逻辑漏洞告警监测系统，其特征在于，所述历史业务数据模型建立模块包括：

8.根据权利要求7所述的基于行为分析的金融业务逻辑漏洞告警监测系统，其特征在于，所述当日业务行为异常判断模块包括：

9.根据权利要求6所述的基于行为分析的金融业务逻辑漏洞告警监测系统，其特征在于：

10.一种计算机可读的存储介质，所述存储介质中包括存储的程序，其中，所述程序运行时执行所述权利要求1至5任一项中所述的方法。

技术总结
本发明属于银行业务安全管理技术领域，尤其为一种基于行为分析的金融业务逻辑漏洞告警监测方法及系统，该基于行为分析的金融业务逻辑漏洞告警监测方法通过获取用户的业务日志，然后基于用户的业务日志，对用户的历史业务行为进行建模，然后基于该用户的历史业务数据模型，判断该用户当日业务行为是否异常，由于该方法使用的基础数据来源为业务日志，避免了由于报文加密导致流量监测无法实现的情况，通过规则模板提取业务交易请求特征值，并将用户当日请求特征值序列化，从而实现对用户行为而非单个请求的异常分析，通过异常分析，解决了传统安全设备或系统对攻击行为的监测依赖恶意攻击特征导致无法监测利用业务逻辑漏洞的攻击行为问题。

技术研发人员：龙雨
受保护的技术使用者：辽宁振兴银行股份有限公司
技术研发日：
技术公布日：2024/2/1