本发明专利技术公开一种预警方法,包括:采集用户所在客户端产生的操作流量数据,操作流量数据由客户端在通过浏览器访问应用系统的过程中产生;对操作流量数据进行分析,确定客户端产生的操作;确定客户端在第一时间段产生的操作量;将客户端在第一时间段产生的操作量与相应的操作量模型进行比对,操作量模型是利用客户端在第一时间段之前的一段时间内产生的操作量构建的;在客户端在第一时间段产生的操作量超出操作量模型的操作量区间时,发出操作量异常预警。本发明专利技术公开的预警方法灵活性较好,同时也能够降低误报率。本发明专利技术还公开了一种预警系统。
【技术实现步骤摘要】
本专利技术属于通信
,尤其设及预警方法及预警系统。
技术介绍
现在有上网需求的用户越来越多,为了维护网络安全,企业的网络维护部口或者 政府负责管理网络安全的部n,需要对用户的上网行为进行控制。 目前的处理方式是;为用户统一设置操作量上限值,当某一用户在一段时间(如 一天)内的操作量超过该上限值,就发出预警,提示用户存在操作异常。 但是,上述处理方式采用的是一刀切的方式,灵活性较低、误报率较高,会给用户 造成不便。例如:用户A和用户B的工作性质不同,用户A的上网需求较低,而用户B需要 频繁使用网络,由于为两个用户设置的操作量上限值是相同的,因此会因为用户B正常的 网络访问而发出针对用户B的预警,给用户B带来不便。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种预警方法及预警系统,用于解决现有的预 警方式灵活性低、误报率高的问题。 为实现上述目的,本专利技术提供如下技术方案: 本专利技术公开一种预警方法,包括:[000引采集用户所在客户端产生的操作流量数据,所述操作流量数据由所述客户端在通 过浏览器访问应用系统的过程中产生; 对所述操作流量数据进行分析,确定所述客户端产生的操作; 确定所述客户端在第一时间段产生的操作量; 将所述客户端在第一时间段产生的操作量与相应的操作量模型进行比对,所述操 作量模型是利用所述客户端在所述第一时间段之前的一段时间内产生的操作量构建的; 在所述客户端在第一时间段产生的操作量超出所述操作量模型的操作量区间时, 发出操作量异常预警。 优选的,上述预警方法中,构建操作量模型的过程,包括:确定所述客户端在第二 时间段内产生的操作量,所述第二时间段位于所述第一时间段之前,所述第二时间段的时 长为m个单位时间,1个单位时间的时长与所述第一时间段的时长相同,其中m为大于1的 整数;确定所述第二时间段的一个单位时间内产生的操作量的平均值y和标准差0 ;分别 计算操作量上限值和操作量下限值W构成操作量模型的操作量区间,形成操作量模型,其 中,所述操作量上限值为y+N*〇,所述操作量下限值为y-N*〇,N为1、2或3。 优选的,上述预警方法中,在确定所述客户端产生的操作之后,还包括:确定所述 客户端产生的操作的类型;确定所述客户端在第=时间段内产生的操作的类型分布比率; 计算所述客户端在第=时间段内产生的操作的类型分布比率与相应的操作内容模型的相 似度,所述操作内容模型是利用所述客户端在所述第=时间段之前的一段时间内产生的操 作的类型构建的;在获得的相似度低于相似度阔值时,发出操作内容异常预警。 优选的,上述预警方法中,构建操作内容模型的过程,包括;确定所述客户端在第 四时间段内产生的操作的类型分布比率,将所述客户端在第四时间段内产生的操作的类型 分布比率作为操作内容模型;其中,所述第四时间段位于所述第=时间段之前,并且第四时 间段的时长为所述第S时间段的时长的n倍,其中n为大于1的整数。 优选的,上述预警方法中,所述计算所述客户端在第=时间段内产生的操作的类 型分布比率与预存的操作内容模型的相似度,包括:利用余弦定理算法计算所述客户端在 第=时间段内产生的操作的类型分布比率与预存的操作内容模型的相似度。 优选的,上述预警方法中,在确定所述客户端产生的操作之后,还包括:当同一用 户在预设时间内使用多个客户端的情况下,确定所述多个客户端所处的地理位置,如果任 意两个客户端所在地理位置之间的距离超出距离阔值,则发出操作异常预警。 本专利技术还公开一种预警系统,包括: 数据采集单元,用于采集用户所在客户端产生的操作流量数据,所述操作流量数 据由所述客户端在通过浏览器访问应用系统的过程中产生; 分析单元,用于对所述操作流量数据进行分析,确定所述客户端产生的操作; 操作量确定单元,用于确定所述客户端在第一时间段产生的操作量; 比对单元,用于将所述客户端在第一时间段产生的操作量与相应的操作量模型进 行比对,所述操作量模型是利用所述客户端在所述第一时间段之前的一段时间内产生的操 作量构建的; 第一处理单元,用于在所述客户端在第一时间段产生的操作量超出所述操作量模 型的操作量区间时,发出操作量异常预警。 优选的,上述预警系统还包括操作量模型构建单元;所述操作量模型构建单元确 定所述客户端在第二时间段内产生的操作量,之后确定所述第二时间段的一个单位时间内 产生的操作量的平均值y和标准差0,之后分别计算操作量上限值和操作量下限值W构 成操作量模型的操作量区间,形成操作量模型,所述操作量上限值为y+N*〇,所述操作量 下限值为y-N* 0,N为1、2或3 ;其中,所述第二时间段位于所述第一时间段之前,所述第 二时间段的时长为m个单位时间,1个单位时间的时长与所述第一时间段的时长相同,其中 m为大于1的整数。 优选的,上述预警系统还包括;类型确定单元,用于确定所述客户端产生的操作的 类型;类型分布比率确定单元,用于确定所述客户端在第=时间段内产生的操作的类型分 布比率;相似度确定单元,用于计算所述客户端在第=时间段内产生的操作的类型分布比 率与相应的操作内容模型的相似度,所述操作内容模型是利用所述客户端在所述第=时间 段之前的一段时间内产生的操作的类型构建的;第二处理单元,用于在获得的相似度低于 相似度阔值时,发出操作内容异常预警。 优选的,上述预警系统还包括操作内容模型构建单元;所述操作内容模型构建单 元确定所述客户端在第四时间段内产生的操作的类型分布比率,将所述客户端在第四时间 段内产生的操作的类型分布比率作为操作内容模型,其中,所述第四时间段位于所述第= 时间段之前,并且第四时间段的时长为所述第S时间段的时长的n倍,其中n为大于1的整 数。 优选的,上述预警系统还包括第S处理单元;当同一用户在预设时间内使用多个 客户端的情况下,所述第=处理单元确定所述多个客户端所处的地理位置,如果任意两个 客户端所在地理位置之间的距离超出距离阔值,则发出操作异常预警。[002引由此可见,本专利技术的有益效果为:本专利技术公开的预警方法,采集用户所在客户端产 生的操作流量数据,之后对该操作流量数据进行分析W确定客户端产生的操作,将客户端 在第一时间段产生的操作量与相应的操作量模型进行比对,该操作量模型是利用客户端在 第一时间段之前的一段时间内产生的操作量构建的,当客户端在第一时间段产生的操作量 超出操作量模型的操作量区间时,发出操作量异常预警。本专利技术公开的预警方法中,将用户 所在客户端在第一时间段产生的操作量与利用该客户端在过去一端时间内产生的操作量 构建的操作量模型进行比对,W确定该用户的网络访问量是否正常,由于操作量模型是利 用用户在一段时间内的操作量确定的,并且针对不同用户使用的是各用户相应的操作量模 型,因此,本专利技术公开的预警方法灵活性较好,同时也能够降低误报率。【附图说明】 为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可W根据 提供的附图获得其他的附图。 图1为本专利技术公开的一种预警方法的流程图; 图2为本专利技术公开的一种构建操作量本文档来自技高网...
【技术保护点】
一种预警方法,其特征在于,包括:采集用户所在客户端产生的操作流量数据,所述操作流量数据由所述客户端在通过浏览器访问应用系统的过程中产生;对所述操作流量数据进行分析,确定所述客户端产生的操作;确定所述客户端在第一时间段产生的操作量;将所述客户端在第一时间段产生的操作量与相应的操作量模型进行比对,所述操作量模型是利用所述客户端在所述第一时间段之前的一段时间内产生的操作量构建的;在所述客户端在第一时间段产生的操作量超出所述操作量模型的操作量区间时,发出操作量异常预警。
【技术特征摘要】
【专利技术属性】
技术研发人员:黄正,康缪建,
申请(专利权)人:亚信科技南京有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。