The invention belongs to the field of information security technology, and specifically relates to a method, system and terminal for analyzing abnormal operation behavior of a file by clustering. The method comprises the following steps: acquiring the current operation behavior data for operating a file; inputting the current operation behavior data into a clustering model for analysis, and obtaining whether the operation behavior is different. If the anomaly is abnormal, the synthetic anomaly index is calculated. The invention can monitor and judge whether the file operation behavior is abnormal or not, and has incomparable automaticity, timeliness and accuracy compared with the existing technology.
【技术实现步骤摘要】
一种通过聚类分析文件异常操作行为的方法、系统及终端
本专利技术属于信息安全
,具体涉及一种通过聚类分析文件异常操作行为的方法、系统及终端。
技术介绍
随着信息技术的发展与进步,各种资料文档通常以电子文件形式存储在各种终端或远程服务器上。对于一些敏感文件或涉密文件,为了防止没有权限的人员获取文件信息或有权限的人员进行异常操作,通常需要对文件操作行为进行监测和判断。现有技术主要利用规则或策略来判断文件操作行为是否异常,但规则与策略并不能涵盖所有异常行为,因此现有技术比较机械,且会忽略或不能及时识别出新的异常行为。
技术实现思路
针对现有技术中的缺陷,本专利技术提供了一种通过聚类分析文件异常操作行为的方法、系统及终端,能够监测和判断文件操作行为是否异常,相比于现有技术,具有不可比拟的自动性、及时性和准确性。第一方面,本专利技术提供了一种通过聚类分析文件异常操作行为的方法,包括以下步骤:获取对文件进行操作的当前操作行为数据;将当前操作行为数据输入聚类模型进行分析,得到操作行为是否异常的分析结果,若为异常则计算综合异常指数。优选地,所述将当前操作行为数据输入聚类模型进行分析,得到操作行为是否异常的分析结果,若为异常则计算综合异常指数,具体为:将当前操作行为数据输入单聚类模型,得到操作行为是否异常的分析结果,若为异常则得到单异常指数;将当前操作行为数据输入群聚类模型,得到操作行为是否异常的分析结果,若为异常则得到群异常指数;根据单异常指数和群异常指数,通过加权计算公式计算综合异常指数。优选地,所述单聚类模型的建立方法如下:收集单台终端上对文件进行操作的历史操作行为数 ...
【技术保护点】
1.一种通过聚类分析文件异常操作行为的方法,其特征在于,包括以下步骤:获取对文件进行操作的当前操作行为数据;将当前操作行为数据输入聚类模型进行分析,得到操作行为是否异常的分析结果,若为异常则计算综合异常指数。
【技术特征摘要】
1.一种通过聚类分析文件异常操作行为的方法,其特征在于,包括以下步骤:获取对文件进行操作的当前操作行为数据;将当前操作行为数据输入聚类模型进行分析,得到操作行为是否异常的分析结果,若为异常则计算综合异常指数。2.根据权利要求1所述的一种通过聚类分析文件异常操作行为的方法,其特征在于,所述将当前操作行为数据输入聚类模型进行分析,得到操作行为是否异常的分析结果,若为异常则计算综合异常指数,具体为:将当前操作行为数据输入单聚类模型,得到操作行为是否异常的分析结果,若为异常则得到单异常指数;将当前操作行为数据输入群聚类模型,得到操作行为是否异常的分析结果,若为异常则得到群异常指数;根据单异常指数和群异常指数,通过加权计算公式计算综合异常指数。3.根据权利要求2所述的一种通过聚类分析文件异常操作行为的方法,其特征在于,所述单聚类模型的建立方法如下:收集单台终端上对文件进行操作的历史操作行为数据;对历史操作行为数据进行数据标准化预处理,得到单台终端的样本数据,计算样本数据的单距离矩阵;根据单距离矩阵,利用层次聚类方法对样本数据进行聚类;得到聚类结果:每个单类的单类中心和单类半径。4.根据权利要求3所述的一种通过聚类分析文件异常操作行为的方法,其特征在于,所述群聚类模型的建立方法如下:采用皮尔逊相关系数,根据若干单台终端的若干样本数据,计算群体终端之间的群距离矩阵;根据群距离矩阵,利用层次聚类方法对若干样本数据进行聚类;得到聚类结果:每个群类的群类中心和群类半径。5.根据权利要求4所述的一种通过聚类分析文件异常操作行为的方法,其特征在于,所述将当前操作行为数据输入单聚类模型,得到操作行为是否异常的分析结果,若为异常则得到单异常指数,具体为:将当前操作行为数据输入单聚类模型,找出离当前操作行为数据最近的单类中心,并计算当前操作行为数据与单类中心的距离H1;若距离H1小于等于单类中心对应的单类半径,则判定当前的操作行为正常;若距离H1大于单类中心对应的单类半径,则判...
【专利技术属性】
技术研发人员:郭景楠,王建磊,何华荣,王志,
申请(专利权)人:深圳市联软科技股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。