基于用戶行為分析的數據盜取風險評估方法和系統的制作方法

基于用戶行為分析的數據盜取風險評估方法和系統的制作方法
【技術領域】
[0001] 本發明涉及網絡安全領域，尤其涉及一種基于用戶行為分析的數據盜取風險評估 方法和系統。
【背景技術】
[0002] 隨著計算機的廣泛應用，網絡科技的快速發展，終端安全對企業和國家信息安全 影響越發深刻，高效的利用網絡工作的同時，信息的泄露和濫用風險也隨之加聚。企業開始 關注于終端安全和用戶行為的安全性，用戶操作行為需要妥善的監控和管理。
[0003]目前針對于內網終端安全的方案主要有：一種是基于內網網站的訪問權限控制； 另一種是網絡的哨兵行為審計。前一種方案，針對特定用戶提供相應的訪問權限，但是無法 規避非安全操作隱患。后一種則使正常業務工作的流程變得繁瑣。

【發明內容】

[0004] 針對現有技術中的缺陷，本發明提供一種基于網絡行為的數據盜取風險評估方法 和系統，用于通過對內網終端用戶的網絡行為進行分析，發現存在風險操作的潛在終端，保 護數據安全，提高內部網絡的安全性。
[0005] 第一方面，本發明提供一種基于用戶行為分析的數據盜取風險評估方法，所述方 法包括：
[0006] 獲取終端用戶的操作行為對；
[0007] 根據所述操作行為對，獲取所述操作行為對的操作對象名稱，并根據所述操作對 象名稱，獲取危險操作行為對和危險操作行為對數，計算第一危險性系數；
[0008] 根據所述危險操作行為對，獲取所述危險操作行為對的訪問網站行為業務類型， 并根據所述訪問網站行為業務類型，獲取訪問網站行為業務類型與注冊業務類型的匹配數 和不匹配數，計算第二危險性系數；
[0009] 根據拷貝行為，獲取所述拷貝行為的拷貝對象名稱，并根據所述拷貝對象名稱，獲 取危險拷貝行為和危險拷貝文件數，計算第三危險性系數和第四危險性系數；
[0010] 根據所述第一危險性系數、第二危險性系數、第三危險性系數和第四危險性系數， 采用預設的風險評估模型計算終端危險性系數。
[0011] 優選地，所述操作行為對包括截屏行為和粘貼行為組成的行為對，或復制行為和 粘貼行為組成的行為對。
[0012] 優選地，所述獲取終端用戶的操作行為對之前，還包括：
[0013] 根據預設危險分類標準，通過網絡爬蟲獲取危險資源庫；
[0014] 對所述危險資源庫進行分詞處理，獲取危險特征詞，所述危險特征詞構成危險特 征詞庫。
[0015] 優選地，所述計算第一危險性系數，包括：
[0016] 根據所述操作行為對，獲取所述操作行為對中截屏行為或復制行為的操作對象名 稱，并對所述操作對象名稱進行分詞處理，獲取操作行為對特征詞；
[0017] 將所述操作行為對特征詞與所述危險特征詞庫進行比較，通過詞向量空間模型 WVSM，獲取危險操作行為對；
[0018] 根據所述危險操作行為對，獲取危險操作行為對數；
[0019] 根據所述危險操作行為對數，計算第一危險性系數，公式如下：
[0020]
[0021] 其中，Xl為第一危險性系數，t為危險操作行為對發生的時間，Num為危險操作行 為對數，α、β為權重參數因子。
[0022] 優選地，所述計算第二危險性系數，包括：
[0023] 根據所述危險操作行為對，獲取所述危險操作行為對中截屏行為或復制行為的訪 問網站窗體名稱，并對所述訪問網站窗體名稱進行分詞處理，獲取訪問網站行為特征詞；
[0024] 根據所述訪問網站行為特征詞，通過貝葉斯算法BAYES，獲取所述訪問網站行為業 務類型；
[0025] 將所述訪問網站行為業務類型與注冊業務類型進行比較，獲取訪問網站行為業務 類型與注冊業務類型的匹配數和不匹配數；
[0026] 根據所述匹配數和不匹配數，計算第二危險性系數，公式如下：
[0027]
[0028] 其中，χ2為第二危險性系數，Numi為匹配數，Numj為不匹配數，i、j用來區分工作 時間和非工作時間，t為匹配參數因子，ωt為不匹配參數因子，kl、k2為縮放訪問網站行 為次數參數因子。
[0029] 優選地，所述計算第三危險性系數，包括：
[0030] 獲取危險操作行為對特征詞庫；
[0031] 根據所述拷貝行為，獲取所述拷貝行為的拷貝對象名稱，并對所述拷貝對象名稱 進行分詞處理，獲取拷貝行為特征詞；
[0032] 將所述拷貝行為特征詞與所述危險操作行為對特征詞庫進行比較，通過貝葉斯算 法BAYES，獲取危險拷貝行為；
[0033] 獲取拷貝文件數，并根據所述危險拷貝行為，獲取危險拷貝文件數；
[0034] 根據所述獲取拷貝文件數和危險拷貝文件數，計算第三危險性系數，公式如下：
[0036] 其中，x3為第三危險性系數，a為權重參數因子，n 為危險拷貝文件數，NfllJ|貝 文件數，k3為縮放拷貝行為次數參數因子。
[0037] 優選地，所述獲取危險操作行為對特征詞庫，包括：
[0038] 通過網絡爬蟲獲取所述危險操作行為對的危險操作對象名稱；
[0039] 對所述危險操作對象名稱進行分詞處理，獲取危險操作行為對特征詞，所述危險 操作行為對特征詞構成危險操作行為對特征詞庫。
[0040] 優選地，所述計算第四危險性系數，包括：
[0041] 根據所述危險拷貝文件數，計算第四危險性系數，公式如下：
[0043] 其中，x4為第二危險性系數，Δti為一段時間中拷貝文件頻度，nflle為危險拷貝文 件數。
[0044] 優選地，所述計算終端危險性系數，包括：
[0045] 根據輸入變量X(xl，x2,x3,χ4)τ、權重參數W(wl，w2,w3,w4)T，計算輸入變量的加 權和u，公式如下：
[0047] 根據所述輸入變量的加權和u，采用預設的風險評估模型計算終端危險性系數 f(u)，所述預設的風險評估模型公式如下：
[0049] 第二方面，本發明提供一種基于用戶行為分析的數據盜取風險評估系統，所述系 統包括：
[0050] 采集模塊，用于獲取終端用戶的操作行為對；
[0051] 第一計算模塊，用于根據采集模塊獲取的操作行為對，獲取所述操作行為對的操 作對象名稱，并根據所述操作對象名稱，獲取危險操作行為對和危險操作行為對數，計算第 一危險性系數；
[0052] 第二計算模塊，用于根據第一計算模塊獲取的危險操作行為對，獲取所述危險操 作行為對的訪問網站行為業務類型，并根據所述訪問網站行為業務類型，獲取訪問網站行 為業務類型與注冊業務類型的匹配數和不匹配數，計算第二危險性系數；
[0053] 第三計算模塊，用于根據拷貝行為，獲取所述拷貝行為的拷貝對象名稱，并根據所 述拷貝對象名稱，獲取危險拷貝行為和危險拷貝文件數，計算第三危險性系數；
[0054] 第四計算模塊，用于根據拷貝行為，獲取所述拷貝行為的拷貝對象名稱，并根據所 述拷貝對象名稱，獲取危險拷貝行為和危險拷貝文件數，計算第四危險性系數；
[0055] 終端風險評估模塊，根據第一危險性系數、第二危險性系數、第三危險性系數、第 四危險性系數，采用預設的風險評估模型計算終端危險性系數。
[0056] 由上述技術方案可知，本發明提供一種基于用戶行為分析的數據盜取風險評估方 法和系統，通過對內網終端用戶的網絡行為，如操作行為對、訪問網站行為、拷貝行為進行 分析，獲得危險操作行為對、訪問網站行為業務類型及其與注冊業務類型的匹配度、以及危 險拷貝行為，以獲得終端危險性系數，依據終端危險性系數發現存在風險操作的潛在終端， 保護數據安全，提高內部網絡的安全性，從而降低企業損失。
【附圖說明】
[0057] 為了更清楚地說明本公開實施例或現有技術中的技術方案，下面將對實施例或現 有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本 公開的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以 根據這些圖獲得其他的附圖。
[0058] 圖1為本發明一實施例提供的一種基于用戶行為分析的數據盜取風險評估方法 的流程示意圖；
[0059] 圖2為本發明另一實施例提供的一種基于用戶行為分析的數據盜取風險評估方 法的流程示意圖；
[0060]圖3為本發明一實施例提供的一種基于用戶行為分析的數據盜取風險評估系統 的結構示意圖；
[0061] 圖4為本發明的風險評估模型參數分析示意圖；
[0062] 圖5為本發明的風險評估模型業務邏輯示意圖。
【具體實施方式】
[0063]下面結合附圖和實施例，對本發明的【具體實施方式】作進一步詳細描述。以下實施 例用于說明本發明，但不用來限制本發明的范圍。
[0064] 圖1示出了本發明一實施例提供的一種基于用戶行為分