基于用户行为分析的数据盗取风险评估方法和系统的制作方法
【技术领域】
[0001] 本发明涉及网络安全领域,尤其涉及一种基于用户行为分析的数据盗取风险评估 方法和系统。
【背景技术】
[0002] 随着计算机的广泛应用,网络科技的快速发展,终端安全对企业和国家信息安全 影响越发深刻,高效的利用网络工作的同时,信息的泄露和滥用风险也随之加聚。企业开始 关注于终端安全和用户行为的安全性,用户操作行为需要妥善的监控和管理。
[0003]目前针对于内网终端安全的方案主要有:一种是基于内网网站的访问权限控制; 另一种是网络的哨兵行为审计。前一种方案,针对特定用户提供相应的访问权限,但是无法 规避非安全操作隐患。后一种则使正常业务工作的流程变得繁琐。
【发明内容】
[0004] 针对现有技术中的缺陷,本发明提供一种基于网络行为的数据盗取风险评估方法 和系统,用于通过对内网终端用户的网络行为进行分析,发现存在风险操作的潜在终端,保 护数据安全,提高内部网络的安全性。
[0005] 第一方面,本发明提供一种基于用户行为分析的数据盗取风险评估方法,所述方 法包括:
[0006] 获取终端用户的操作行为对;
[0007] 根据所述操作行为对,获取所述操作行为对的操作对象名称,并根据所述操作对 象名称,获取危险操作行为对和危险操作行为对数,计算第一危险性系数;
[0008] 根据所述危险操作行为对,获取所述危险操作行为对的访问网站行为业务类型, 并根据所述访问网站行为业务类型,获取访问网站行为业务类型与注册业务类型的匹配数 和不匹配数,计算第二危险性系数;
[0009] 根据拷贝行为,获取所述拷贝行为的拷贝对象名称,并根据所述拷贝对象名称,获 取危险拷贝行为和危险拷贝文件数,计算第三危险性系数和第四危险性系数;
[0010] 根据所述第一危险性系数、第二危险性系数、第三危险性系数和第四危险性系数, 采用预设的风险评估模型计算终端危险性系数。
[0011] 优选地,所述操作行为对包括截屏行为和粘贴行为组成的行为对,或复制行为和 粘贴行为组成的行为对。
[0012] 优选地,所述获取终端用户的操作行为对之前,还包括:
[0013] 根据预设危险分类标准,通过网络爬虫获取危险资源库;
[0014] 对所述危险资源库进行分词处理,获取危险特征词,所述危险特征词构成危险特 征词库。
[0015] 优选地,所述计算第一危险性系数,包括:
[0016] 根据所述操作行为对,获取所述操作行为对中截屏行为或复制行为的操作对象名 称,并对所述操作对象名称进行分词处理,获取操作行为对特征词;
[0017] 将所述操作行为对特征词与所述危险特征词库进行比较,通过词向量空间模型 WVSM,获取危险操作行为对;
[0018] 根据所述危险操作行为对,获取危险操作行为对数;
[0019] 根据所述危险操作行为对数,计算第一危险性系数,公式如下:
[0020]
[0021] 其中,Xl为第一危险性系数,t为危险操作行为对发生的时间,Num为危险操作行 为对数,α、β为权重参数因子。
[0022] 优选地,所述计算第二危险性系数,包括:
[0023] 根据所述危险操作行为对,获取所述危险操作行为对中截屏行为或复制行为的访 问网站窗体名称,并对所述访问网站窗体名称进行分词处理,获取访问网站行为特征词;
[0024] 根据所述访问网站行为特征词,通过贝叶斯算法BAYES,获取所述访问网站行为业 务类型;
[0025] 将所述访问网站行为业务类型与注册业务类型进行比较,获取访问网站行为业务 类型与注册业务类型的匹配数和不匹配数;
[0026] 根据所述匹配数和不匹配数,计算第二危险性系数,公式如下:
[0027]
[0028] 其中,χ2为第二危险性系数,Numi为匹配数,Numj为不匹配数,i、j用来区分工作 时间和非工作时间,t为匹配参数因子,ωt为不匹配参数因子,kl、k2为缩放访问网站行 为次数参数因子。
[0029] 优选地,所述计算第三危险性系数,包括:
[0030] 获取危险操作行为对特征词库;
[0031] 根据所述拷贝行为,获取所述拷贝行为的拷贝对象名称,并对所述拷贝对象名称 进行分词处理,获取拷贝行为特征词;
[0032] 将所述拷贝行为特征词与所述危险操作行为对特征词库进行比较,通过贝叶斯算 法BAYES,获取危险拷贝行为;
[0033] 获取拷贝文件数,并根据所述危险拷贝行为,获取危险拷贝文件数;
[0034] 根据所述获取拷贝文件数和危险拷贝文件数,计算第三危险性系数,公式如下:
[0036] 其中,x3为第三危险性系数,a为权重参数因子,n 为危险拷贝文件数,NfllJ|贝 文件数,k3为缩放拷贝行为次数参数因子。
[0037] 优选地,所述获取危险操作行为对特征词库,包括:
[0038] 通过网络爬虫获取所述危险操作行为对的危险操作对象名称;
[0039] 对所述危险操作对象名称进行分词处理,获取危险操作行为对特征词,所述危险 操作行为对特征词构成危险操作行为对特征词库。
[0040] 优选地,所述计算第四危险性系数,包括:
[0041] 根据所述危险拷贝文件数,计算第四危险性系数,公式如下:
[0043] 其中,x4为第二危险性系数,Δti为一段时间中拷贝文件频度,nflle为危险拷贝文 件数。
[0044] 优选地,所述计算终端危险性系数,包括:
[0045] 根据输入变量X(xl,x2,x3,χ4)τ、权重参数W(wl,w2,w3,w4)T,计算输入变量的加 权和u,公式如下:
[0047] 根据所述输入变量的加权和u,采用预设的风险评估模型计算终端危险性系数 f(u),所述预设的风险评估模型公式如下:
[0049] 第二方面,本发明提供一种基于用户行为分析的数据盗取风险评估系统,所述系 统包括:
[0050] 采集模块,用于获取终端用户的操作行为对;
[0051] 第一计算模块,用于根据采集模块获取的操作行为对,获取所述操作行为对的操 作对象名称,并根据所述操作对象名称,获取危险操作行为对和危险操作行为对数,计算第 一危险性系数;
[0052] 第二计算模块,用于根据第一计算模块获取的危险操作行为对,获取所述危险操 作行为对的访问网站行为业务类型,并根据所述访问网站行为业务类型,获取访问网站行 为业务类型与注册业务类型的匹配数和不匹配数,计算第二危险性系数;
[0053] 第三计算模块,用于根据拷贝行为,获取所述拷贝行为的拷贝对象名称,并根据所 述拷贝对象名称,获取危险拷贝行为和危险拷贝文件数,计算第三危险性系数;
[0054] 第四计算模块,用于根据拷贝行为,获取所述拷贝行为的拷贝对象名称,并根据所 述拷贝对象名称,获取危险拷贝行为和危险拷贝文件数,计算第四危险性系数;
[0055] 终端风险评估模块,根据第一危险性系数、第二危险性系数、第三危险性系数、第 四危险性系数,采用预设的风险评估模型计算终端危险性系数。
[0056] 由上述技术方案可知,本发明提供一种基于用户行为分析的数据盗取风险评估方 法和系统,通过对内网终端用户的网络行为,如操作行为对、访问网站行为、拷贝行为进行 分析,获得危险操作行为对、访问网站行为业务类型及其与注册业务类型的匹配度、以及危 险拷贝行为,以获得终端危险性系数,依据终端危险性系数发现存在风险操作的潜在终端, 保护数据安全,提高内部网络的安全性,从而降低企业损失。
【附图说明】
[0057] 为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以 根据这些图获得其他的附图。
[0058] 图1为本发明一实施例提供的一种基于用户行为分析的数据盗取风险评估方法 的流程示意图;
[0059] 图2为本发明另一实施例提供的一种基于用户行为分析的数据盗取风险评估方 法的流程示意图;
[0060]图3为本发明一实施例提供的一种基于用户行为分析的数据盗取风险评估系统 的结构示意图;
[0061] 图4为本发明的风险评估模型参数分析示意图;
[0062] 图5为本发明的风险评估模型业务逻辑示意图。
【具体实施方式】
[0063]下面结合附图和实施例,对本发明的【具体实施方式】作进一步详细描述。以下实施 例用于说明本发明,但不用来限制本发明的范围。
[0064] 图1示出了本发明一实施例提供的一种基于用户行为分