本申请提供一种用户行为审计方法、装置、电子设备及存储介质。该方法包括:获取第一用户在第一预设时间段内的第一访问行为;利用行为转移矩阵对所述第一访问行为进行分析,获得行为指标;其中,所述行为转移矩阵为对多个第二用户在历史时间段内的第二访问行为进行统计获得;根据所述行为指标判断所述用户的第一访问行为是否异常。本申请实施例通过利用行为转移矩阵分析用户的第一访问行为,获得行为指标,并根据行为指标判断用户的第一访问行为是否异常。由于行为转移矩阵是对多个第二用户在历史时间段内的第二访问行为进行统计获得,因此能够准确地判断出第一用户的第一访问行为是否异常。
A user behavior audit method, device, electronic equipment and storage medium
【技术实现步骤摘要】
一种用户行为审计方法、装置、电子设备及存储介质
本申请涉及网络安全
,具体而言,涉及一种用户行为审计方法、装置、电子设备及存储介质。
技术介绍
数据安全越来越受到重视,而在业务系统中存在大量和业务相关的生产数据,从业务系统进行数据窃取成为一种方式,如何确保在不影响业务系统使用的情况下,通过审计分析用户行为,发现潜在的异常数据访问,及时的追踪,起到震慑和溯源的效果,成为一种数据安全需求。现有技术中通常采用访问权限控制技术,识别和确认访问系统的用户、决定该用户可以对某一系统资源进行何种类型的访问,以及如何访问系统资源。但是这种方法无法发现合法用户的非法访问,从而导致对用户行为审计不准确的问题。
技术实现思路
本申请实施例的目的在于提供一种用户行为审计方法、装置、电子设备及存储介质,用以解决现有技术中对用户行为审计不准确的问题。第一方面,本申请实施例提供一种用户行为审计方法,包括:获取第一用户在第一预设时间段内的第一访问行为;利用行为转移矩阵对所述第一访问行为进行分析,获得行为指标;其中,所述行为转移矩阵为对多个第二用户在历史时间段内的第二访问行为进行统计获得;根据所述行为指标判断所述用户的第一访问行为是否异常。本申请实施例通过利用行为转移矩阵分析用户的第一访问行为,获得行为指标,并根据行为指标判断用户的第一访问行为是否异常。由于行为转移矩阵是对多个第二用户在历史时间段内的第二访问行为进行统计获得,因此能够准确地判断出第一用户的第一访问行为是否异常。进一步地,在获取用户在第一预设时间段内的第一访问行为之前,所述方法还包括:获取多个第二用户在历史时间段内的第二访问行为,其中,每一第二用户对应的第二访问行为包括多个被操作的功能标识,以及每个功能标识对应的操作时间;计算多个第二用户的第二访问行为中任意一个功能标识到另一个功能标识的似然概率;根据所述似然概率获得所述行为转移矩阵。本申请实施例通过计算任意一个功能标识到另一个功能标识的似然概率,从而构成行为转移矩阵,该行为转移矩阵能够准确的对第一用户的行为进行审计。进一步地,所述计算多个第二用户的第二访问行为中任意一个功能标识到另一个功能标识的似然概率,包括:根据如下公式计算任意一个功能标识到另一个功能标识的似然概率:其中,Pij为第i个功能标识到第j个功能标识的似然概率,Tij为在历史时间段内,第i个功能标识转移到第j个功能标识的次数,为在历史时间段内,第i个功能标识转移到其他各个功能标识的总次数。本申请实施例通过统计历史时间段内第二用户的第二访问行为,并利用上述公式计算从一个功能标识转移到另一个功能标识的似然概率,进而获得能够准确审计用户行为的行为转移矩阵。进一步地,所述行为转移矩阵为:其中:n为功能标识的总个数,Pij为从功能标识i转移到功能标识j的似然概率;i和j均为多个功能标识中的一个。进一步地,所述第一访问行为包括多个功能标识以及所述功能标识对应的操作时间;所述利用行为转移矩阵对所述第一访问行为进行分析,获得行为指标,包括:根据各功能标识对应的操作时间对所述功能标识进行排序,获得操作序列;从所述行为转移矩阵中获取所述操作序列中的相邻两个功能标识中,前一个功能标识到后一个功能标识的似然概率;根据相邻两个功能标识对应的似然概率计算所述行为指标。本申请实施例通过根据各功能标识对应的操作时间对功能标识进行排序,可以便于后续计算该用户的第一访问行为对应的行为指标,进而提高对第一访问行为进行审计的准确性。进一步地,所述根据相邻两个功能标识对应的似然概率计算所述行为指标,包括:根据如下公式计算获得所述行为指标:Score=abs(log(P1*P2*...*Pm));其中,Score为所述行为指标;Pi为第i个功能标识转移到第i+1个功能标识的似然概率,i=1,2,...,m-1,m为第一访问行为中包括的功能标识的个数。本申请实施例通过利用上述公式计算第一用户的行为指标,从而可以对第一用户的行为进行定量分析,提高了对行为审计的客观准确性。进一步地,所述根据所述行为指标判断所述用户的第一访问行为是否异常,包括:若所述行为指标对应的值小于预设值,则所述第一访问行为异常。第二方面,本申请实施例提供一种用户行为审计装置,包括:信息获取模块,用于获取第一用户在第一预设时间段内的第一访问行为;分析模块,用于利用行为转移矩阵对所述第一访问行为进行分析,获得行为指标;其中,所述行为转移矩阵为对多个第二用户在历史时间段内的第二访问行为进行统计获得;审计模块,用于根据所述行为指标判断所述用户的第一访问行为是否异常。第三方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线,其中,所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面的方法。第四方面,本申请实施例提供一种非暂态计算机可读存储介质,包括:所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面的方法。本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。图1为本申请实施例提供的一种行为转移矩阵构建流程示意图;图2为本申请实施例提供的一种用户行为审计方法流程示意图;图3为本申请实施例提供的装置结构示意图;图4为本申请实施例提供的电子设备实体结构示意图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。图1为本申请实施例提供的一种行为转移矩阵构建流程示意图,如图1所示,该方法包括:步骤101:获取多个第二用户在历史时间段内的第二访问行为,其中,每一第二用户对应的第二访问行为包括多个被操作的功能标识,以及每个功能标识对应的操作时间;步骤102:计算多个第二用户的第二访问行为中任意一个功能标识到另一个功能标识的似然概率;步骤103:根据所述似然概率获得所述行为转移矩阵。在步骤101中,用户使用业务系统通常是为了实现某个任务或完成某项工作,具有一定的访问流程和步骤。本申请实施例将访问流程中的每个动作称为一次操作,被操作的对象称为功能标识。例如:用户点击“开始”,那么功能标识为“开始”。对于一项需要将存储在E盘根目录下的某个文件进行删除的操作来说,其访问流程为:打开“我的电脑”-打开E盘-选择该文件-删除-确认删除。本文档来自技高网...
【技术保护点】
1.一种用户行为审计方法,其特征在于,包括:/n获取第一用户在第一预设时间段内的第一访问行为;/n利用行为转移矩阵对所述第一访问行为进行分析,获得行为指标;其中,所述行为转移矩阵为对多个第二用户在历史时间段内的第二访问行为进行统计获得;/n根据所述行为指标判断所述用户的第一访问行为是否异常。/n
【技术特征摘要】
1.一种用户行为审计方法,其特征在于,包括:
获取第一用户在第一预设时间段内的第一访问行为;
利用行为转移矩阵对所述第一访问行为进行分析,获得行为指标;其中,所述行为转移矩阵为对多个第二用户在历史时间段内的第二访问行为进行统计获得;
根据所述行为指标判断所述用户的第一访问行为是否异常。
2.根据权利要求1所述的方法,其特征在于,在获取用户在第一预设时间段内的第一访问行为之前,所述方法还包括:
获取多个第二用户在历史时间段内的第二访问行为,其中,每一第二用户对应的第二访问行为包括多个被操作的功能标识,以及每个功能标识对应的操作时间;
计算多个第二用户的第二访问行为中任意一个功能标识到另一个功能标识的似然概率;
根据所述似然概率获得所述行为转移矩阵。
3.根据权利要求2所述的方法,其特征在于,所述计算多个第二用户的第二访问行为中任意一个功能标识到另一个功能标识的似然概率,包括:
根据如下公式计算任意一个功能标识到另一个功能标识的似然概率:
其中,Pij为第i个功能标识到第j个功能标识的似然概率,Tij为在历史时间段内,第i个功能标识转移到第j个功能标识的次数,为在历史时间段内,第i个功能标识转移到其他各个功能标识的总次数。
4.根据权利要求2所述的方法,其特征在于,所述行为转移矩阵为:其中:n为功能标识的总个数,Pij为从功能标识i转移到功能标识j的似然概率;i和j均为多个功能标识中的一个。
5.根据权利要求1所述的方法,其特征在于,所述第一访问行为包括多个功能标识以及所述功能标识对应的操作时间;所述利用行为转移矩阵对所述第一访问行为进行分析,获得行为指标,包括:
根据各功能标识对应的操作时间对所述功能标识进行排序,获得操作...
【专利技术属性】
技术研发人员:宋鹏举,张倩瑜,
申请(专利权)人:北京天融信网络安全技术有限公司,北京天融信科技有限公司,北京天融信软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。