一种通过聚类分析文件异常操作行为的方法、系统及终端技术方案

本发明专利技术属于信息安全技术领域，具体涉及一种通过聚类分析文件异常操作行为的方法、系统及终端，包括以下步骤：获取对文件进行操作的当前操作行为数据；将当前操作行为数据输入聚类模型进行分析，得到操作行为是否异常的分析结果，若为异常则计算综合异常指数。本发明专利技术能够监测和判断文件操作行为是否异常，相比于现有技术，具有不可比拟的自动性、及时性和准确性。

Method, system and terminal for analyzing abnormal operation behavior of files through clustering analysis

The invention belongs to the field of information security technology, and specifically relates to a method, system and terminal for analyzing abnormal operation behavior of a file by clustering. The method comprises the following steps: acquiring the current operation behavior data for operating a file; inputting the current operation behavior data into a clustering model for analysis, and obtaining whether the operation behavior is different. If the anomaly is abnormal, the synthetic anomaly index is calculated. The invention can monitor and judge whether the file operation behavior is abnormal or not, and has incomparable automaticity, timeliness and accuracy compared with the existing technology.

【技术实现步骤摘要】
一种通过聚类分析文件异常操作行为的方法、系统及终端
本专利技术属于信息安全
，具体涉及一种通过聚类分析文件异常操作行为的方法、系统及终端。
技术介绍
随着信息技术的发展与进步，各种资料文档通常以电子文件形式存储在各种终端或远程服务器上。对于一些敏感文件或涉密文件，为了防止没有权限的人员获取文件信息或有权限的人员进行异常操作，通常需要对文件操作行为进行监测和判断。现有技术主要利用规则或策略来判断文件操作行为是否异常，但规则与策略并不能涵盖所有异常行为，因此现有技术比较机械，且会忽略或不能及时识别出新的异常行为。
技术实现思路
针对现有技术中的缺陷，本专利技术提供了一种通过聚类分析文件异常操作行为的方法、系统及终端，能够监测和判断文件操作行为是否异常，相比于现有技术，具有不可比拟的自动性、及时性和准确性。第一方面，本专利技术提供了一种通过聚类分析文件异常操作行为的方法，包括以下步骤：获取对文件进行操作的当前操作行为数据；将当前操作行为数据输入聚类模型进行分析，得到操作行为是否异常的分析结果，若为异常则计算综合异常指数。优选地，所述将当前操作行为数据输入聚类模型进行分析，得到操作行为是否异常的分析结果，若为异常则计算综合异常指数，具体为：将当前操作行为数据输入单聚类模型，得到操作行为是否异常的分析结果，若为异常则得到单异常指数；将当前操作行为数据输入群聚类模型，得到操作行为是否异常的分析结果，若为异常则得到群异常指数；根据单异常指数和群异常指数，通过加权计算公式计算综合异常指数。优选地，所述单聚类模型的建立方法如下：收集单台终端上对文件进行操作的历史操作行为数据；对历史操作行为数据进行数据标准化预处理，得到单台终端的样本数据，计算样本数据的单距离矩阵；根据单距离矩阵，利用层次聚类方法对样本数据进行聚类；得到聚类结果：每个单类的单类中心和单类半径。优选地，所述群聚类模型的建立方法如下：采用皮尔逊相关系数，根据若干单台终端的若干样本数据，计算群体终端之间的群距离矩阵；根据群距离矩阵，利用层次聚类方法对若干样本数据进行聚类；得到聚类结果：每个群类的群类中心和群类半径。优选地，所述将当前操作行为数据输入单聚类模型，得到操作行为是否异常的分析结果，若为异常则得到单异常指数，具体为：将当前操作行为数据输入单聚类模型，找出离当前操作行为数据最近的单类中心，并计算当前操作行为数据与单类中心的距离H1；若距离H1小于等于单类中心对应的单类半径，则判定当前的操作行为正常；若距离H1大于单类中心对应的单类半径，则判定当前的操作行为异常，并根据距离H1和单类半径计算超出的单异常指数。优选地，所述将当前操作行为数据输入群聚类模型，得到操作行为是否异常的分析结果，若为异常则得到群异常指数，具体为：将当前操作行为数据输入群聚类模型，找出离当前操作行为数据最近的群类中心，并计算当前操作行为数据与群类中心的距离H2；若距离H2小于等于群类中心对应的群类半径，则判定当前的操作行为正常；若距离H2大于群类中心对应的群类半径，则判定当前的操作行为异常，并根据距离H2和群类半径计算超出的群异常指数。优选地，所述加权计算公式如下：result＝a*score_single+(1-a)*score_community；其中，a为指数系数，score_single为单异常指数，score_community为群异常指数。优选地，所述单聚类模型和群聚类模型的建立方法均包括模型修正的步骤，所述模型修正的步骤具体为：将做了标记的修正样本数据输入模型，若模型识别的结果与标记不同，将相应更新距修正样本数据最近的类中心和类半径。第二方面，本专利技术提供了一种通过聚类分析文件异常操作行为的系统，适用于第一方面所述的通过聚类分析文件异常操作行为的方法，包括：数据获取单元，用于获取对文件进行操作的当前操作行为数据；异常分析单元，用于将当前操作行为数据输入聚类模型进行分析，得到操作行为是否异常的分析结果，若为异常则计算综合异常指数。第三方面，本专利技术提供了一种通过聚类分析文件异常操作行为的终端，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行第一方面所述的方法。本专利技术的有益效果为：本专利技术能够监测和判断文件操作行为是否异常，相比于现有技术，具有不可比拟的自动性、及时性和准确性。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。图1为本实施例中通过聚类分析文件异常操作行为的方法流程图；图2为本实施例中通过聚类分析文件异常操作行为的系统结构框图；图3为本实施例中通过聚类分析文件异常操作行为的终端模块框图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。还应当理解，在此本专利技术说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本专利技术。如在本专利技术说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。具体实现中，本专利技术实施例中描述的终端包括但不限于诸如具有触摸敏感表面(例如，触摸屏显示器和/或触摸板)的移动电话、膝上型计算机或平板计算机之类的其它便携式设备。还应当理解的是，在某些实施例中，所述设备并非便携式通信设备，而是具有触摸敏感表面(例如，触摸屏显示器和/或触摸板)的台式计算机。实施例一：本实施例提供了一种通过聚类分析文件异常操作行为的方法，所述方法需应用单聚类模型和群聚类模型。其中，所述单聚类模型的建立方法如下：收集单台终端上对文件进行操作的历史操作行为数据；对历史操作行为数据进行数据标准化预处理，得到单台终端的样本数据，计算样本数据的单距离矩阵；根据单距离矩阵，利用层次聚类方法对样本数据进行聚类；得到聚类结果：每个单类的单类中心和单类半径。本实施例中，所述操作行为包括但不限于文件的创建、发送、复制、删除等等。所述操作行为数据，如：操作者身份、操作时间、进程名、文件名、文件类型、文件所在磁盘、文件大小、读写数据大小、操作次数、每次持续时间等等。所述数据标准化预处理，如数据清理、数据集成、数据变换、数据归约等等，数据预处理后得到更高质量的样本数据。计算样本数据的单距离矩阵，本实施例的单距离矩阵即为一个包含两两样本数据之间距离的矩阵(即二维数组)，再根据单距离矩阵，利用层次聚类方法对样本数据进行聚类，并得到若干个单类、每个单类的单类中心和相对应的单类半径。其本文档来自技高网...

【技术保护点】
1.一种通过聚类分析文件异常操作行为的方法，其特征在于，包括以下步骤：获取对文件进行操作的当前操作行为数据；将当前操作行为数据输入聚类模型进行分析，得到操作行为是否异常的分析结果，若为异常则计算综合异常指数。

【技术特征摘要】
1.一种通过聚类分析文件异常操作行为的方法，其特征在于，包括以下步骤：获取对文件进行操作的当前操作行为数据；将当前操作行为数据输入聚类模型进行分析，得到操作行为是否异常的分析结果，若为异常则计算综合异常指数。2.根据权利要求1所述的一种通过聚类分析文件异常操作行为的方法，其特征在于，所述将当前操作行为数据输入聚类模型进行分析，得到操作行为是否异常的分析结果，若为异常则计算综合异常指数，具体为：将当前操作行为数据输入单聚类模型，得到操作行为是否异常的分析结果，若为异常则得到单异常指数；将当前操作行为数据输入群聚类模型，得到操作行为是否异常的分析结果，若为异常则得到群异常指数；根据单异常指数和群异常指数，通过加权计算公式计算综合异常指数。3.根据权利要求2所述的一种通过聚类分析文件异常操作行为的方法，其特征在于，所述单聚类模型的建立方法如下：收集单台终端上对文件进行操作的历史操作行为数据；对历史操作行为数据进行数据标准化预处理，得到单台终端的样本数据，计算样本数据的单距离矩阵；根据单距离矩阵，利用层次聚类方法对样本数据进行聚类；得到聚类结果：每个单类的单类中心和单类半径。4.根据权利要求3所述的一种通过聚类分析文件异常操作行为的方法，其特征在于，所述群聚类模型的建立方法如下：采用皮尔逊相关系数，根据若干单台终端的若干样本数据，计算群体终端之间的群距离矩阵；根据群距离矩阵，利用层次聚类方法对若干样本数据进行聚类；得到聚类结果：每个群类的群类中心和群类半径。5.根据权利要求4所述的一种通过聚类分析文件异常操作行为的方法，其特征在于，所述将当前操作行为数据输入单聚类模型，得到操作行为是否异常的分析结果，若为异常则得到单异常指数，具体为：将当前操作行为数据输入单聚类模型，找出离当前操作行为数据最近的单类中心，并计算当前操作行为数据与单类中心的距离H1；若距离H1小于等于单类中心对应的单类半径，则判定当前的操作行为正常；若距离H1大于单类中心对应的单类半径，则判...

【专利技术属性】
技术研发人员：郭景楠，王建磊，何华荣，王志，
申请(专利权)人：深圳市联软科技股份有限公司，
类型：发明
国别省市：广东,44