模块32获取的危险操作行为对,获取所述危 险操作行为对的访问网站行为业务类型,并根据所述访问网站行为业务类型,获取访问网 站行为业务类型与注册业务类型的匹配数和不匹配数,计算第二危险性系数;
[0170] 第三计算模块34,用于根据拷贝行为,获取所述拷贝行为的拷贝对象名称,并根据 所述拷贝对象名称,获取危险拷贝行为和危险拷贝文件数,计算第三危险性系数;
[0171] 第四计算模块35,用于根据拷贝行为,获取所述拷贝行为的拷贝对象名称,并根据 所述拷贝对象名称,获取危险拷贝行为和危险拷贝文件数,计算第四危险性系数;
[0172] 终端风险评估模块36,根据第一危险性系数、第二危险性系数、第三危险性系数、 第四危险性系数,采用预设的风险评估模型计算终端危险性系数。
[0173] 本实施例通过对内网终端用户的网络行为,如操作行为对、访问网站行为、拷贝行 为进行分析,获得危险操作行为对、访问网站行为业务类型及其与注册业务类型的匹配度、 以及危险拷贝行为,以获得终端危险性系数,依据终端危险性系数发现存在风险操作的潜 在终端,保护数据安全,提高内部网络的安全性,从而降低企业损失。
[0174] 综上所述,本发明提供一种基于用户行为分析的数据盗取风险评估方法和系统, 所述方法步骤如下:获取终端用户的操作行为对;根据所述操作行为对,获取危险操作行 为对和危险操作行为对数,计算第一危险性系数;根据所述危险操作行为对,获取访问网站 行为业务类型与注册业务类型的匹配数和不匹配数,计算第二危险性系数;根据拷贝行为, 获取危险拷贝行为和危险拷贝文件数,计算第三危险性系数和第四危险性系数;根据所述 第一危险性系数、第二危险性系数、第三危险性系数和第四危险性系数,采用预设的风险评 估模型计算终端危险性系数。本发明通过对内网终端用户的网络行为,如操作行为对、访问 网站行为、拷贝行为进行分析,发现存在风险操作的潜在终端,保护数据安全,提高内部网 络的安全性,从而降低企业损失。
[0175] 本领域普通技术人员可以理解:以上各实施例仅用以说明本发明的技术方案,而 非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员 应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者 全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发 明权利要求所限定的范围。
【主权项】
1. 一种基于用户行为分析的数据盗取风险评估方法,其特征在于,所述方法包括: 获取终端用户的操作行为对; 根据所述操作行为对,获取所述操作行为对的操作对象名称,并根据所述操作对象名 称,获取危险操作行为对和危险操作行为对数,计算第一危险性系数; 根据所述危险操作行为对,获取所述危险操作行为对的访问网站行为业务类型,并根 据所述访问网站行为业务类型,获取访问网站行为业务类型与注册业务类型的匹配数和不 匹配数,计算第二危险性系数; 根据拷贝行为,获取所述拷贝行为的拷贝对象名称,并根据所述拷贝对象名称,获取危 险拷贝行为和危险拷贝文件数,计算第三危险性系数和第四危险性系数; 根据所述第一危险性系数、第二危险性系数、第三危险性系数和第四危险性系数,采用 预设的风险评估模型计算终端危险性系数。2. 根据权利要求1所述的方法,其特征在于,所述操作行为对包括截屏行为和粘贴行 为组成的行为对,或复制行为和粘贴行为组成的行为对。3. 根据权利要求2所述的方法,其特征在于,所述获取终端用户的操作行为对之前,还 包括: 根据预设危险分类标准,通过网络爬虫获取危险资源库; 对所述危险资源库进行分词处理,获取危险特征词,所述危险特征词构成危险特征词 库。4. 根据权利要求3所述的方法,其特征在于,所述计算第一危险性系数,包括: 根据所述操作行为对,获取所述操作行为对中截屏行为或复制行为的操作对象名称, 并对所述操作对象名称进行分词处理,获取操作行为对特征词; 将所述操作行为对特征词与所述危险特征词库进行比较,通过词向量空间模型WVSM, 获取危险操作行为对; 根据所述危险操作行为对,获取危险操作行为对数; 根据所述危险操作行为对数,计算第一危险性系数,公式如下:其中,X1为第一危险性系数,t为危险操作行为对发生的时间,Num为危险操作行为对 数,α、β为权重参数因子。5. 根据权利要求4所述的方法,其特征在于,所述计算第二危险性系数,包括: 根据所述危险操作行为对,获取所述危险操作行为对中截屏行为或复制行为的访问网 站窗体名称,并对所述访问网站窗体名称进行分词处理,获取访问网站行为特征词; 根据所述访问网站行为特征词,通过贝叶斯算法BAYES,获取所述访问网站行为业务类 型; 将所述访问网站行为业务类型与注册业务类型进行比较,获取访问网站行为业务类型 与注册业务类型的匹配数和不匹配数; 根据所述匹配数和不匹配数,计算第二危险性系数,公式如下:其中,X2为第二危险性系数,Num1为匹配数,Num ,为不匹配数,i、j用来区分工作时间 和非工作时间,^为匹配参数因子,ω t为不匹配参数因子,kl、k2为缩放访问网站行为次 数参数因子。6. 根据权利要求5所述的方法,其特征在于,所述计算第三危险性系数,包括: 获取危险操作行为对特征词库; 根据所述拷贝行为,获取所述拷贝行为的拷贝对象名称,并对所述拷贝对象名称进行 分词处理,获取拷贝行为特征词; 将所述拷贝行为特征词与所述危险操作行为对特征词库进行比较,通过贝叶斯算法 BAYES,获取危险拷贝行为; 获取拷贝文件数,并根据所述危险拷贝行为,获取危险拷贝文件数; 根据所述获取拷贝文件数和危险拷贝文件数,计算第三危险性系数,公式如下:其中,X3为第三危险性系数,a为权重参数因子,n 为危险拷贝文件数,NfllJI贝文件 数,k3为缩放拷贝行为次数参数因子。7. 根据权利要求6所述的方法,其特征在于,所述获取危险操作行为对特征词库,包 括: 通过网络爬虫获取所述危险操作行为对的危险操作对象名称; 对所述危险操作对象名称进行分词处理,获取危险操作行为对特征词,所述危险操作 行为对特征词构成危险操作行为对特征词库。8. 根据权利要求6所述的方法,其特征在于,所述计算第四危险性系数,包括: 根据所述危险拷贝文件数,计算第四危险性系数,公式如下:其中,X4为第二危险性系数,At1S-段时间中拷贝文件频度,nf&为危险拷贝文件数。9. 根据权利要求8所述的方法,其特征在于,所述计算终端危险性系数,包括: 根据输入变量X (xl,x2, x3, x4)τ、权重参数W (wl,w2, w3, w4)τ,计算输入变量的加权和 u,公式如下:根据所述输入变量的加权和u,采用预设的风险评估模型计算终端危险性系数f (U), 所述预设的风险评估模型公式如下:其中,b为偏置项。10. -种基于用户行为分析的数据盗取风险评估系统,其特征在于,所述系统包括: 采集模块,用于获取终端用户的操作行为对; 第一计算模块,用于根据采集模块获取的操作行为对,获取所述操作行为对的操作对 象名称,并根据所述操作对象名称,获取危险操作行为对和危险操作行为对数,计算第一危 险性系数; 第二计算模块,用于根据第一计算模块获取的危险操作行为对,获取所述危险操作行 为对的访问网站行为业务类型,并根据所述访问网站行为业务类型,获取访问网站行为业 务类型与注册业务类型的匹配数和不匹配数,计算第二危险性系数; 第三计算模块,用于根据拷贝行为,获取所述拷贝行为的拷贝对象名称,并根据所述拷 贝对象名称,获取危险拷贝行为和危险拷贝文件数,计算第三危险性系数; 第四计算模块,用于根据拷贝行为,获取所述拷贝行为的拷贝对象名称,并根据所述拷 贝对象名称,获取危险拷贝行为和危险拷贝文件数,计算第四危险性系数; 终端风险评估模块,根据第一危险性系数、第二危险性系数、第三危险性系数、第四危 险性系数,采用预设的风险评估模型计算终端危险性系数。
【专利摘要】本发明提供一种基于用户行为分析的数据盗取风险评估方法和系统,所述方法步骤如下:获取终端用户的操作行为对;根据所述操作行为对,获取危险操作行为对和危险操作行为对数,计算第一危险性系数;根据所述危险操作行为对,获取访问网站行为业务类型与注册业务类型的匹配数和不匹配数,计算第二危险性系数;根据拷贝行为,获取危险拷贝行为和危险拷贝文件数,计算第三危险性系数和第四危险性系数;根据所述第一危险性系数、第二危险性系数、第三危险性系数和第四危险性系数,采用预设的风险评估模型计算终端危险性系数。本发明通过对内网终端用户的网络行为进行分析,发现存在风险操作的潜在终端,保护数据安全,提高内部网络的安全性,从而降低企业损失。
【IPC分类】G06F21/62, H04L12/24, H04L29/06
【公开号】CN105357217
【申请号】CN201510880582
【发明人】龚建新, 赵德滨, 姚飞, 李宏恩
【申请人】北京北信源软件股份有限公司
【公开日】2016年2月24日
【申请日】2015年12月2日