本发明专利技术涉及一种基于可信计算的异常检测优化装置、方法及系统。所述异常检测优化系统至少包括:数据采集模块被配置为能够获取用户的关联于待应对风险场景的数据信息;异常检测模块被配置为能够将获取用户的关联于待应对风险场景的数据信息输入到异常侦测模型群组中,并由所述异常侦测模型群组中的异常侦测模型根据所述异常侦测判断策略对获取用户的关联于待应对风险场景的数据信息进行异常侦测判断并输出侦测结果。判断并输出侦测结果。判断并输出侦测结果。
【技术实现步骤摘要】
一种基于可信计算的异常检测优化装置、方法及系统
[0001]本专利技术涉及网络安全
,尤其涉及一种基于可信计算的异常检测优化装置、方法及系统。
技术介绍
[0002]21世纪是数据信息大发展的时代,移动互联、社交网络、电子商务等极大拓展了互联网的边界和应用范围,各种数据正在迅速膨胀并变大。互联网(社交、搜索、电商)、移动互联网(微博)、物联网(传感器,智慧地球)、车联网、GPS、医学影像、安全监控、金融(银行、股市、保险)、电信(通话、短信)都在疯狂产生着数据,海量的数据隐含着巨大的信息。数据是信息的载体,一旦遭遇数据灾难,可能给用户造成不可估量的损失。因此,亟待提供一种进行异常侦测的方法,从而对用户的行为建立有效的监控。
[0003]例如,公开号为CN112364286A的中国专利文献公开了一种基于UEBA进行异常侦测的方法、装置及相关产品。基于UEBA进行异常侦测的方法包括:实时抓取关联于用户实体行为的系统操作日志源数据;将实时抓取的系统操作日志源数据输入到异常侦测模型群组中,所述异常侦测模型群组包括多个异常侦测模型;由所述异常侦测模型群组中的异常侦测模型根据所述异常侦测判断策略对实时抓取的系统操作日志源数据进行异常侦测判断并输出侦测结果。该申请实施例可进行异常侦测,从而对用户的行为建立有效的监控。但是,该专利技术仍存在以下技术不足:1)由于异常检测优化所使用的用户实体行为分析技术的定位和特长是解决某个非常特定风险场景的手段,因而它不能解决一个太过广泛的问题,比如分析三万个用户的行为习惯。在准备实施用户实体行为分析技术前,首先应该考虑好到底来解决什么特定风险场景,比如是解决电子银行撞库风险检测、还是解决利用合法账户盗取保单信息,而定义特定风险场景是实施用户实体行为分析技术的前提,也只有将解决的风险场景定义清楚了,才能有针对性的开展后续的各项分析工作,而现有用户实体行为分析技术中缺乏定义应用场景的技术方案;2)广泛的数据采集是用户实体行为分析应用落地的基础。如果输入的数据量比较少或者数据质量不高,用户实体行为分析最终分析出来的结果肯定是价值不高的,就算系统平台、模型算法再好。用户实体行为分析所需的数据也并不是越多越好。这是因为如果和需要要分析的风险场景无关,数据再多也只能是一种负担。所以数据采集的前提,就是要和需要分析的特定场景相匹配,也就是说想要分析这个特定场景就采集与特定场景所需的数据。而现有技术中也没有对用于用户实体行为分析技术的源数据进行针对特定风险场景的分类措施。因此,针对现有技术的不足有必要进行改进。
[0004]此外,一方面由于对本领域技术人员的理解存在差异;另一方面由于专利技术人做出本专利技术时研究了大量文献和专利,但篇幅所限并未详细罗列所有的细节与内容,然而这绝非本专利技术不具备这些现有技术的特征,相反本专利技术已经具备现有技术的所有特征,而且申请人保留在
技术介绍
中增加相关现有技术之权利。
技术实现思路
[0005]针对现有技术之不足,本专利技术提供一种基于可信计算的异常检测优化方法,至少包括:通过数据采集模块获取用户的关联于待应对风险场景的数据信息;通过异常检测模块将获取用户的关联于待应对风险场景的数据信息输入到异常侦测模型群组中,所述异常侦测模型群组包括多个异常侦测模型;由所述异常侦测模型群组中的异常侦测模型根据所述异常侦测判断策略对获取用户的关联于待应对风险场景的数据信息进行异常侦测判断并输出侦测结果。
[0006]根据一个优选实施方式,所述数据采集模块获取用户的关联于待应对风险场景的数据信息的方法为:通过输入模块输入待应对风险场景以作为所述异常检测模块待应对的风险场景,并通过所述数据采集模块仅获取用户的与所述待应对风险场景相关的数据信息。
[0007]输入模块用于用户输入所需应对的风险场景,从而实现为后续的用户实体行为分析定义清晰的待解决风险场景,以明确本用户实体行为分析系统所需应对的是哪一类特定风险。例如,风险场景包括但不限于:内部人员窃取敏感数据、账号失陷、失陷主机、数据泄露、金融反欺诈、绕过控制行为、电子银行撞库风险、利用合法账户盗取保单信息等。
[0008]由于用户实体行为分析技术的定位和特长,是解决某个非常特定风险场景的手段。它不能解决一个太过广泛的问题,比如分析一下三万个用户的行为习惯,这个需求就太宽泛而没有形成特定的待应对风险场景,进而不适合用用户实体行为分析技术来解决。因而在准备实施用户实体行为分析技术前,首先应该考虑好到底来解决什么特定风险场景,比如是解决电子银行撞库风险检测、还是解决利用合法账户盗取保单信息。定义特定风险场景是实施用户实体行为分析技术的前提,也只有将解决的待应对风险场景定义清楚了,才能有针对性的开展后续的各项分析工作。因此,本用户实体行为分析系统通过设置输入模块,以清晰地定义本用户实体行为分析系统所需应对与分析的风险场景。
[0009]其次,广泛的数据采集就是用户实体行为分析应用落地的基础。如果输入的数据量比较少或者数据质量不高,用户实体行为分析最终分析出来的结果肯定是价值不高的,就算系统平台、模型算法再好。如果输入的是一堆垃圾数据,最终得出来的肯定还是一堆价值不高的分析结果。但是,用户实体行为分析所需的数据也并不是越多越好。这是因为如果和需要要分析的风险场景无关,数据再多也只能是一种负担。所以数据采集的前提,就是要和需要分析的特定场景相匹配,也就是说想要分析这个特定场景需要什么数据,而不是有一堆数据看看能分析出什么结果。在这个前提下,数据采集的要点是高质量和多种类。因此,本用户实体行为分析系统通过设置数据采集模块仅仅采集用户的与输入模块所定义的风险场景相关的数据信息,以向后续的分析过程提供高质量、多种类的分析数据源。
[0010]数据采集模块能够获取所述输入模块所输入的风险场景,并根据所述风险场景采集用户相对应的数据信息。优选地,输入模块能够将用户通过输入模块输入的风险场景发送至数据采集模块。优选地,风险场景可以由用户自行定义。例如,用户可以通过输入模块输入内部人员窃取敏感数据、失陷账号、失陷主机、数据泄露、风险定级排序、业务API安全、远程办公安全等。与输入模块数据连接的数据采集模块获取用户通过输入模块输入的所需应对的风险场景。例如,当用户通过输入模块输入的内容为内部人员窃取敏感数据时,输入模块将该风险场景定义为第一风险场景。在响应于输入模块所输入的第一风险场景的情况
下,与输入模块数据连接的数据采集模块获取第一风险场景,并仅采集用户的与第一风险场景相关的数据信息,比如用户的数据库日志、回话日志、用户访问日志以及访问全流量、人员的作息时间、工作地点、行为特性(如操作频度及工作热区时间段)、个人特征(年龄及所属机构)等数据信息。以此类推。通过该配置方式,数据采集模块可以仅采集与所需应对的风险场景相关的数据信息,并将所得到的相关数据信息发送至异常检测模块,即向后续的异常检测模块提供高质量、多种类的分析数据源,从而地提高异常检测模块后续进行分析的准确性。
[0011]根据一个优选实施方式,所述异常检测模块包括白名单生成单元本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于可信计算的异常检测优化方法,其特征在于,至少包括:通过数据采集模块(1)获取用户的关联于待应对风险场景的数据信息;通过异常检测模块(2)将获取用户的关联于待应对风险场景的数据信息输入到异常侦测模型群组中,所述异常侦测模型群组包括多个异常侦测模型,并由所述异常侦测模型群组中的异常侦测模型根据所述异常侦测判断策略对获取用户的关联于待应对风险场景的数据信息进行异常侦测判断并输出侦测结果。2.根据权利要求1所述的异常检测优化方法,其特征在于,所述数据采集模块(1)获取用户的关联于待应对风险场景的数据信息的方法为:通过输入模块(3)输入待应对风险场景以作为所述异常检测模块(2)待应对的风险场景,并通过所述数据采集模块(1)仅获取用户的与所述待应对风险场景相关的数据信息。3.根据权利要求2所述的异常检测优化方法,其特征在于,所述数据采集模块(1)能够获取所述输入模块(3)所输入的风险场景,所述输入模块(3)能够将所述风险场景发送至所述数据采集模块(1),其中,所述风险场景能够由用户自行定义。4.根据权利要求3所述的异常检测优化方法,其特征在于,所述由所述异常侦测模型群组中的异常侦测模型根据所述异常侦测判断策略对获取用户的关联于待应对风险场景的数据信息进行异常侦测判断并输出侦测结果,包括:若所述侦测结果表明所述关联于待应对风险场景的数据信息异常,则生成报警事件。5.根据权利要求4所述的异常检测优化方法,其特征在于,多个所述异常侦测模型具有级联的逻辑处理关系;所述异常侦测判断策略根据所述级联的逻辑处理关系确定;所述由所述异常侦测模型群组中的异常侦测模型根据所述异常侦测判断策略对获取用户的关联于待应对风险场景的数据信息进行异常侦测判断并输出侦测结果,包括:若上一个异常侦测模型输出表明获取用户的关联于待应对风险场景的数据信息正常,则由所述上一个异常侦测模型将获取用户的关联于待应对风险场景的数据信息转发给下一个异常侦测模型对获取用户的关联于待应对风险场景的数据信息进行异常侦测判断并输出侦测结果。6.根据权利要求5所述的异常检测...
【专利技术属性】
技术研发人员:李飞,阮安邦,魏明,陈旭明,翟东雪,
申请(专利权)人:北京八分量信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。