异常访问行为检测方法、装置、设备及可读存储介质制造方法及图纸

本申请提供了一种异常访问行为检测方法、检测装置、检测设备及计算机可读存储介质。上述检测方法包括：获取用户的、包括访问行为、访问路径和用户所在群体的访问数据；由群体中全部用户的历史访问路径确定隶属程度值；以及根据用户所在群体对应于访问路径的隶属程度值检测用户的访问行为是否异常。根据该检测方法，通过用户所在群体中全部用户基于工作业务需求而形成的历史访问路径确定该群体对不同的访问路径的隶属程度值，进而根据该隶属程度值检测用户的访问行为是否异常，可提高异常访问行为检测的效率，减少对访问行为审核的误判率，并提高异常访问行为检测判定的准确率，避免机密或敏感文件外泄。免机密或敏感文件外泄。免机密或敏感文件外泄。

【技术实现步骤摘要】
异常访问行为检测方法、装置、设备及可读存储介质


[0001]本申请涉及数据处理
，更具体地，涉及异常访问行为检测方法、异常访问行为检测装置、异常访问行为检测设备及计算机可读存储介质。

技术介绍

[0002]网络行为分析是信息安全领域的一个重要分支，然而由于目前的研究无法有效地给予明确的异常规则定义，因此在异常访问行为的发掘过程中，在检测怎样的操作行为才是异常访问时往往出现过高的误报率。进一步地，上述误报率过高检测还可能加大泄露敏感或机密文件的可能性。
[0003]常规的异常访问行为检测方法主要基于操作次数、文件类型以及文件名称关键字等与用户的个人操作行为(诸如读取、复制和删除等)相关的特征点进行用户异常访问行为的分析。然而，服务器中的目录(访问路径)与用户众多，服务器管理者难以精准且正确地设置每一个目录的使用者权限，并且由于用户的个人需求和个人行为易变，其工作业务范围模糊且难以明确定义，因而根据历史用户的一些离散特征点检测当前用户的访问行为是否属于异常行为并不准确高效。
[0004]因此，如何在提高异常访问行为检测效率的同时兼顾异常访问行为检测判定的准确率，并且避免机密或敏感文件外泄是目前亟待解决的问题。

技术实现思路

[0005]本申请提供了一种可至少部分解决相关技术中存在的上述问题的异常访问行为检测方法、异常访问行为检测装置、异常访问行为检测设备及计算机可读存储介质。
[0006]本申请一方面提供了一种异常访问行为检测方法，所述方法包括：获取用户的访问数据，所述访问数据包括访问行为、访问路径和所述用户所在群体；由所述群体中全部用户的历史访问路径确定隶属程度值；以及根据所述用户所在群体对应于所述访问路径的所述隶属程度值检测所述用户的访问行为是否异常。
[0007]在本申请一个实施方式中，由所述群体中全部用户的历史访问路径确定隶属程度值的步骤包括：根据所述群体中全部用户的所述历史访问路径构建多维化数据空间，其中任一所述历史访问路径在所述多维化数据空间中具有唯一坐标；以及确定所述多维化数据空间中任一坐标对应于所述群体的隶属程度值。
[0008]在本申请一个实施方式中，根据所述群体中全部用户的所述历史访问路径构建多维化数据空间的步骤包括：对所述群体中全部用户的所述历史访问路径进行编号，并对历史访问路径编号进行独热编码以形成访问路径独热向量；对多个所述群体进行编号，并对群体编号进行独热编码以形成群体编号独热向量；以及基于所述访问路径独热向量和所述群体编号独热向量构建所述多维化数据空间。
[0009]在本申请一个实施方式中，确定所述多维化数据空间中任一坐标对应于所述群体的隶属程度值的步骤包括：构建机器学习模型，并使用所述访问路径独热向量训练所述机
器学习模型以构建所述多维化数据空间；以及将所述访问路径独热向量和所述群体编号独热向量输入完成训练的所述机器学习模型以确定所述多维化数据空间中任一坐标对应于所述群体的所述隶属程度值。
[0010]在本申请一个实施方式中，使用所述访问路径独热向量训练所述机器学习模型的步骤包括：获取所属群体中任一用户的连续N次不同的历史访问路径，其中N为大于等于3的正整数；在所述机器学习模型的输入层输入第N
‑
1次历史访问路径对应的独热向量；在所述机器学习模型的、不同的输出层分别输入N
‑
2次历史访问路径对应的独热向量、第N次历史访问路径对应的独热向量以及所属群体的编号的独热向量；以及重复上述步骤，以通过多个所述群体中全部用户的连续N次不同的历史访问路径的独热向量和多个所述群体编号独热向量训练该机器学习模型。
[0011]在本申请一个实施方式中，所述方法还包括：由多个群体中全部用户的历史访问路径确定任一访问路径对应于所述多个群体的隶属程度值表。
[0012]在本申请一个实施方式中，由多个群体中全部用户的历史访问路径确定任一访问路径对应于所述多个群体的隶属程度值表的步骤包括：由任一群体中全部用户的所述历史访问路径确定所述任一群体相对于所述任一访问路径的所述隶属程度值；将所述多个群体的、相对于所述任一访问路径的所述隶属程度值排序；以及去除所述隶属程度值接近或等于零的群体以获得所述任一访问路径对应于所述多个群体的隶属程度值表。
[0013]本申请另一方面提供了一种异常访问行为检测装置，所述装置包括：获取模块，所述获取模块被配置为获取用户的访问数据，所述访问数据包括访问行为、访问路径和所述用户所在群体；处理模块，所述处理模块被配置为根据所述群体中全部用户的历史访问路径确定隶属程度值；以及检测模块，所述检测模块被配置为根据所述用户所在群体对应于所述访问路径的所述隶属程度值检测所述用户的访问行为是否异常。
[0014]在本申请一个实施方式中，所述装置还包括：处理模块，所述处理模块被配置为根据所述群体中全部用户的所述历史访问路径构建多维化数据空间，其中任一所述历史访问路径在所述多维化数据空间中具有唯一坐标；以及确定所述多维化数据空间中任一坐标对应于所述群体的所述隶属程度值。
[0015]在本申请一个实施方式中，所述处理模块被进一步配置为对所述群体中全部用户的所述历史访问路径进行编号，并对历史访问路径编号进行独热编码以形成访问路径独热向量；对多个所述群体进行编号，并对群体编号进行独热编码以形成群体编号独热向量；以及基于所述访问路径独热向量和所述群体编号独热向量构建所述多维化数据空间。
[0016]在本申请一个实施方式中，所述处理模块被进一步配置为通过构建机器学习模型，并使用所述访问路径独热向量训练所述机器学习模型以构建所述多维化数据空间；以及将所述访问路径独热向量和所述群体编号独热向量输入完成训练的所述机器学习模型以确定所述多维化数据空间中任一坐标对应于所述群体的隶属程度值。
[0017]在本申请一个实施方式中，所述处理模块被进一步配置为通过获取所属群体中任一用户的连续N次不同的历史访问路径，其中N为大于等于3的正整数；在所述机器学习模型的输入层输入第N
‑
1次历史访问路径对应的独热向量；在所述机器学习模型的、不同的输出层分别输入N
‑
2次历史访问路径对应的独热向量、第N次历史访问路径对应的独热向量以及所属群体的编号的独热向量；以及重复上述步骤，以通过多个所述群体中全部用户的连续N
次不同的历史访问路径的独热向量和多个所述群体编号独热向量训练该机器学习模型。
[0018]在本申请一个实施方式中，所述处理模块被进一步配置为由多个群体中全部用户的所述历史访问路径确定任一访问路径对应于所述多个群体的隶属程度值表。
[0019]在本申请一个实施方式中，所述处理模块被进一步配置为通过任一群体中全部用户的所述历史访问路径确定所述任一群体相对于所述任一访问路径的所述隶属程度值；将所述多个群体的、相对于所述任一访问路径的所述隶属程度值排序；以及去除所述隶属程度值接近或等于零的群体以获得所述任一访问路径对应于所述多个群体的隶属程度值表本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常访问行为检测方法，其特征在于，所述方法包括：获取用户的访问数据，所述访问数据包括访问行为、访问路径和所述用户所在群体；由所述群体中全部用户的历史访问路径确定隶属程度值；以及根据所述用户所在群体对应于所述访问路径的所述隶属程度值检测所述用户的访问行为是否异常。2.根据权利要求1所述的方法，其特征在于，由所述群体中全部用户的历史访问路径确定隶属程度值的步骤包括：根据所述群体中全部用户的所述历史访问路径构建多维化数据空间，其中任一所述历史访问路径在所述多维化数据空间中具有唯一坐标；以及确定所述多维化数据空间中任一坐标对应于所述群体的所述隶属程度值。3.根据权利要求2所述的方法，其特征在于，根据所述群体中全部用户的所述历史访问路径构建多维化数据空间的步骤包括：对所述群体中全部用户的所述历史访问路径进行编号，并对历史访问路径编号进行独热编码以形成访问路径独热向量；对多个所述群体进行编号，并对群体编号进行独热编码以形成群体编号独热向量；以及基于所述访问路径独热向量和所述群体编号独热向量构建所述多维化数据空间。4.根据权利要求3所述的方法，其特征在于，确定所述多维化数据空间中任一坐标对应于所述群体的所述隶属程度值的步骤包括：构建机器学习模型，并使用所述访问路径独热向量训练所述机器学习模型以构建所述多维化数据空间；以及将所述访问路径独热向量和所述群体编号独热向量输入完成训练的所述机器学习模型以确定所述多维化数据空间中任一坐标对应于所述群体的所述隶属程度值。5.根据权利要求4所述的方法，其特征在于，使用所述访问路径独热向量训练所述机器学习模型的步骤包括：获取所属群体中任一用户的连续N次不同的历史访问路径，其中N为大于等于3的正整数；在所述机器学习模型的输入层输入第N
‑
1次历史访问路径对应的独热向量；在所述机器学习模型的、不同的输出层分别输入N
‑
2次历史访问路径对应的独热向量、第N次历史访问路径对应的独热向量以及所属群体的编号的独热向量；以及重复上述步骤，以通过多个所述群体中全部用户的连续N次不同的历史访问路径的独热向量和多个所述群体编号独热向量训练该机器学习模型。6.根据权利要求1至5任一项所述的方法，其特征在于，所述方法还包括：由多个群体中全部用户的历史访问路径确定任一访问路径对应于所述多个群体的隶属程度值表。7.根据权利要求6所述的方法，其特征在于，由多个群体中全部用户的历史访问路径确定任一访问路径对应于所述多个群体的隶属程度值表的步骤包括：由任一群体中全部用户的所述历史访问路径确定所述任一群体相对于所述任一访问路径的所述隶属程度值；
将所述多个群体的、相对于所述任一访问路径的所述隶属程度值排序；以及去除所述隶属程度值接近或等于零的群体以获得所述任一访问路径对应于所述多个群体的隶属程度值表。8.一种异常访问行为检测装置，其特征在于，所述装置包括：获取模块，所述获取模块被配置为获取用户的访问数据，所述访问数据包括访问行为、访问路径和所述用户所在群...

【专利技术属性】
技术研发人员：陈予郎，
申请(专利权)人：长江存储科技有限责任公司，
类型：发明
国别省市：