【技术实现步骤摘要】
一种基于业务操作组合发现异常操作行为的方法和装置
本专利技术涉及数据安全
,尤其涉及一种基于业务操作组合发现异常操作行为的方法和装置。
技术介绍
银行、通信运营商、电商平台等在办理各项业务的时候都有各自的流程,然而很多业务涉及企业和个人的敏感信息,例如证件信息、账单信息等,正常的流程中,敏感信息的查询、读取或导出等操作都有着一定的组合,比如开户必然会带有身份证读取的操作,如果开户的时候没有身份证读取或者开户后直接停机,那么这种操作则必然是异常操作。然而业务操作类型很多,操作流程也有可能变化,仅仅从规则上无法完全覆盖所有异常。公开号为CN105376247A的专利技术专利申请公开了一种基于频繁算法的异常流量的识别方法及装置,其通过web流量数据特征进行离散化处理,再利用关联规则获取频繁集,从而获得异常流量。公开号为CN108055281A的专利技术专利申请公开了一种账户异常检测方法、装置、服务器及存储介质,其利用关联规则挖掘已知异常账号的操作行为,从而发现异常操作的方法和装置。然而这些异常检测的方法大都针对相对简单的操作...
【技术保护点】
1.一种基于业务操作组合发现异常操作行为的方法,其特征在于:包括以下步骤:/n步骤A:提取业务操作和受理日志的历史数据;/n步骤B:对历史数据基于业务对象和操作时间间隔进行排序构建操作序列;/n步骤C:剔除操作序列中业务层面罕见的正常操作,生成操作组合;/n步骤D:针对指定业务操作类型筛选相关的操作组合;/n步骤E:利用关联规则提取操作组合中的异常项,发现异常操作行为及对应的操作人员。/n
【技术特征摘要】
1.一种基于业务操作组合发现异常操作行为的方法,其特征在于:包括以下步骤:
步骤A:提取业务操作和受理日志的历史数据;
步骤B:对历史数据基于业务对象和操作时间间隔进行排序构建操作序列;
步骤C:剔除操作序列中业务层面罕见的正常操作,生成操作组合;
步骤D:针对指定业务操作类型筛选相关的操作组合;
步骤E:利用关联规则提取操作组合中的异常项,发现异常操作行为及对应的操作人员。
2.根据权利要求1所述的一种基于业务操作组合发现异常操作行为的方法,其特征在于:步骤B中构建操作序列的方法包括以下步骤:
步骤i:以一定周期将业务操作和受理的记录按业务对象分组,按操作时间排序;
步骤ii:依次比较相邻的两条记录,如果业务对象相同且操作记录之间的时间间隔不大于阈值,则将这两条记录添加到同一个会话中,如果业务对象不同,或者操作记录之间的时间间隔大于阈值,则将两条记录添加到两个会话中;遍历所有记录,得到会话数据;
步骤iii:整理每个会话中的操作和受理记录对应的业务操作,得到每个会话对应的操作序列。
3.根据权利要求1所述的一种基于业务操作组合发现异常操作行为的方法,其特征在于:步骤E中的关联规则衡量指标包括支持度、置信度和提升度,支持度和置信度小于阈值,且提升度大于阈值的操作组合为异常项。
4.根据权利要求3所述的一种基于业务操作组合发现异常操作行为的方法,其特征在于:所述支持度Support(X,Y)表示同时包含序列X和Y的会话在总会话里出现的概率,公式为:
Support(X,Y)=P(X,Y)/P(I)=num(X∩Y)/num(I)
其中,I表示所有会话的集合,P(X,Y)表示同时包含序列X和Y的会话发生的概率,P(I)表示会话I发生的概率,数值为1;num(X∩Y)表示同时包括序列X和Y的会话的数量,num(I)表示会话总数。
5.根据权利要求4所述的一种基于业务操作组合发现异常操作行为的方法,其特征在于:所述置信度Confidence(X→Y)表示在操作行为X发生的情况下,发生操作行为Y的概率,公式为:
Confidence(X→Y)=P(Y|X)=P(X,Y)/P(X)=num(X∩Y)/num(X)
P(Y|X)表示在X发生的情况下,Y发生的概率,P(X)和num(X)分别表示会话X发生的概率和数量。
6.根据权利要求5所述的一种基于业务操作组合发现异常操作行为的方法,其特征在于:所述提升度Lift(X→Y)表示含有X的情况下,同时含有Y的概率,与Y发生的概率之比;公式为:
Lift(X→Y)=P(Y|X)/P(Y)
如果提升度大于1,则表明操作行为X与操作行为Y存在正相关性,提升度小于1,则操作行为...
【专利技术属性】
技术研发人员:余贤喆,梁淑云,刘胜,马影,陶景龙,王启凡,魏国富,徐明,殷钱安,周晓勇,
申请(专利权)人:上海观安信息技术股份有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。