本发明专利技术提供一种异常操作行为检测方法、装置、电子设备及存储介质,所述方法包括:提取待检测操作行为对应的操作数据的特征信息;基于所述特征信息生成当前行为模式;比较所述当前行为模式和历史行为模式,并根据比较结果确定待检测操作行为是否出现异常。本发明专利技术提供的异常操作行为检测方法、装置、电子设备及存储介质,通过分析原始操作记录,建立不同的历史行为模式,通过将当前行为模式与已确定的各种历史行为模式进行比对,识别出异常操作行为,提高了异常操作行为检测的可靠性。高了异常操作行为检测的可靠性。高了异常操作行为检测的可靠性。
【技术实现步骤摘要】
异常操作行为检测方法、装置、电子设备及存储介质
[0001]本专利技术涉及数据安全
,尤其涉及一种异常操作行为检测方法、装置、电子设备及存储介质。
技术介绍
[0002]针对数据库操作行为进行分析认定,建立异常行为预判管控机制可以有效降低数据泄露、数据篡改等安全风险。
[0003]现有的整体技术实现过程具体如下:
[0004]1、建立操作行为敏感策略库,由管理员配置如下信息:敏感表、敏感操作类型。
[0005]a)敏感操作类型包括Select、Delete、Update、Insert等。
[0006]b)敏感表一般包括了个人信息、个人账单、个人通信记录等。
[0007]2、建立数据库访问代理机制,所有针对数据库资源的访问行为均强制通过代理。
[0008]3、代理侧完成动作拦截、语句解析、策略匹配、异常判断、放行阻断整个管理流程。
[0009]其中,关键步骤为解析操作源发起操作时向服务端提交的操作结构化查询语言(Structured Query Language,SQL)语句,提取当前操作语句中的操作动作以及操作对象,用以与预先设置的操作内容黑白名单策略进行匹配,定义当前操作是否敏感。
[0010]但是,现有技术的方案中所有的判断依据均为人工预置策略,识别敏感操作的完整性依赖于策略对于敏感对象覆盖的全面性,由于客户侧业务不断扩展,接入数据无论是种类还是规模都在不断增加,同时数据加工、数据共享场景层出不穷,部分场景下产生的临时产生或者新增的敏感对象还不能及时被发现,这就导致敏感对象在被纳入管理范围之前暴露在管理范围之外,无法识别,导致数据库异常行为检测的可靠性较低。
技术实现思路
[0011]本专利技术提供一种异常操作行为检测方法、装置、电子设备及存储介质,用以解决现有技术中数据库异常行为检测的可靠性较低的缺陷,提高了数据库异常行为检测的可靠性。
[0012]本专利技术提供一种异常操作行为检测方法,包括:
[0013]提取待检测操作行为对应的操作数据的特征信息;
[0014]基于所述特征信息生成当前行为模式;
[0015]比较所述当前行为模式和历史行为模式,并根据比较结果确定待检测操作行为是否出现异常。
[0016]根据本专利技术提供的一种异常操作行为检测方法,所述特征信息包括:操作人、操作源IP地址、操作目标IP地址、操作时间和对象操作。
[0017]根据本专利技术提供的一种异常操作行为检测方法,所述比较所述当前行为模式和历史行为模式之前,还包括:
[0018]获取原始操作记录数据;
[0019]基于所述原始操作记录数据确定关联规则和序列模式;
[0020]根据所述关联规则和序列模式确定历史行为模式。
[0021]根据本专利技术提供的一种异常操作行为检测方法,所述比较所述当前行为模式和历史行为模式,并根据比较结果确定待检测操作行为是否出现异常,包括:
[0022]采用递归式相关函数法确定所述当前行为模式和历史行为模式的相似度;
[0023]若相似度大于等于预设阈值,则确定所述待检测操作行为正常,否则,确定所述待检测操作行为异常。
[0024]根据本专利技术提供的一种异常操作行为检测方法,所述基于所述原始操作记录数据确定关联规则和序列模式,包括:
[0025]采用Apriori算法从所述原始操作记录数据中挖掘出所述关联规则;
[0026]采用滑动窗口分割算法从所述原始操作记录数据中挖掘出所述序列模式。
[0027]根据本专利技术提供的一种异常操作行为检测方法,所述原始操作记录数据包括:操作人、操作时间、操作源IP地址、操作目标IP地址、操作动作、操作对象和操作结果。
[0028]根据本专利技术提供的一种异常操作行为检测方法,所述操作时间包括:上线日、出账日、平常日、非工作时间段和工作时间段。
[0029]本专利技术还提供一种异常操作行为检测装置,包括:
[0030]提取模块,用于提取待检测操作行为对应的操作数据的特征信息;
[0031]生成模块,用于基于所述特征信息生成当前行为模式;
[0032]确定模块,用于比较所述当前行为模式和历史行为模式,并根据比较结果确定待检测操作行为是否出现异常。
[0033]本专利技术还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述异常操作行为检测方法的步骤。
[0034]本专利技术还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述异常操作行为检测方法的步骤。
[0035]本专利技术提供的异常操作行为检测方法、装置、电子设备及存储介质,通过分析原始操作记录,建立不同的历史行为模式,通过将当前行为模式与已确定的各种历史行为模式进行比对,识别出异常操作行为,提高了异常操作行为检测的可靠性。
附图说明
[0036]为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0037]图1是本专利技术提供的异常操作行为检测方法的流程示意图;
[0038]图2是本专利技术提供的异常操作行为检测原理示意图;
[0039]图3是本专利技术提供的异常操作行为检测装置的结构示意图;
[0040]图4是本专利技术提供的电子设备的结构示意图。
具体实施方式
[0041]针对数据库操作行为进行分析认定,建立异常行为预判管控机制可以有效降低数据泄露、数据篡改等安全风险。
[0042]现有的整体技术实现过程具体如下:
[0043]1、建立操作行为敏感策略库,由管理员配置如下信息:敏感表、敏感操作类型。
[0044]a)敏感操作类型包括Select、Delete、Update、Insert等。
[0045]b)敏感表一般包括了个人信息、个人账单、个人通信记录等。
[0046]2、建立数据库访问代理机制,所有针对数据库资源的访问行为均强制通过代理。
[0047]3、代理侧完成动作拦截、语句解析、策略匹配、异常判断、放行阻断整个管理流程。
[0048]其中,关键步骤为解析操作源发起操作时向服务端提交的操作结构化查询语言(Structured Query Language,SQL)语句,提取当前操作语句中的操作动作以及操作对象,用以与预先设置的操作内容黑白名单策略进行匹配,定义当前操作是否敏感。
[0049]例如,一条在某运营商客户关系管理系统(Customer Relationship Management,CRM)后台数据库中查询客户订购关系的SQL语句如下:
[0050]select c.s本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种异常操作行为检测方法,其特征在于,包括:提取待检测操作行为对应的操作数据的特征信息;基于所述特征信息生成当前行为模式;比较所述当前行为模式和历史行为模式,并根据比较结果确定待检测操作行为是否出现异常。2.根据权利要求1所述的异常操作行为检测方法,其特征在于,所述特征信息包括:操作人、操作源IP地址、操作目标IP地址、操作时间和对象操作。3.根据权利要求1所述的异常操作行为检测方法,其特征在于,所述比较所述当前行为模式和历史行为模式之前,还包括:获取原始操作记录数据;基于所述原始操作记录数据确定关联规则和序列模式;根据所述关联规则和序列模式确定历史行为模式。4.根据权利要求1所述的异常操作行为检测方法,其特征在于,所述比较所述当前行为模式和历史行为模式,并根据比较结果确定待检测操作行为是否出现异常,包括:采用递归式相关函数法确定所述当前行为模式和历史行为模式的相似度;若相似度大于等于预设阈值,则确定所述待检测操作行为正常,否则,确定所述待检测操作行为异常。5.根据权利要求3所述的异常操作行为检测方法,其特征在于,所述基于所述原始操作记录数据确定关联规则和序列模式,包括:采用Apriori...
【专利技术属性】
技术研发人员:马一骏,张岩,饶品波,徐朋朋,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。