一种操作异常的分析方法及装置,用以对操作行为进行分析,及时发现操作异常并告警。该方法包括:针对用户操作过程中的每个行为,根据所述用户当前状态下的当前行为预测所述用户下一步可能发生的多个预测行为,以及每个预测行为的第一风险值;若所述用户下一步的实际行为匹配到其中一个预测行为,且所述预测行为的第一风险值大于第一风险阈值,则将所述实际行为标记为可疑行为;当所述用户操作过程中出现多次可疑行为,则确定所述用户的操作异常。则确定所述用户的操作异常。则确定所述用户的操作异常。
【技术实现步骤摘要】
一种操作异常的分析方法及装置
[0001]本申请涉及网络安全
,尤其涉及一种操作异常的分析方法及装置。
技术介绍
[0002]随着互联网的快速发展,各类网络攻击层出不穷,社工攻击是攻击者常用且有效的攻击手段。攻击者在获取了用户的个人终端权限后,会立刻查找与翻阅其中的有用信息,以便进行后续的扩展与渗透攻击。尤其对于邮箱系统,是信息泄露的重灾区。攻击者通过系统接口漏洞,可以登录任意邮箱并翻查敏感信息,例如,通过翻阅邮件内容,获取账户名及密码等重要内容。此外,攻击者还可以仿造邮箱的历史邮件内容,向其他人员发送仿真的钓鱼邮件。
[0003]因此,目前亟需一种方案,用以对操作行为进行分析,及时发现操作异常并告警。
技术实现思路
[0004]本申请提供一种操作异常的分析方法及装置,用以对操作行为进行分析,及时发现操作异常并告警。
[0005]第一方面,本申请提供一种操作异常的分析方法,该方法包括:针对用户操作过程中的每个行为,根据所述用户当前状态下的当前行为预测所述用户下一步可能发生的多个预测行为,以及每个预测行为的第一风险值;若所述用户下一步的实际行为匹配到其中一个预测行为,且所述预测行为的第一风险值大于第一风险阈值,则将所述实际行为标记为可疑行为;当所述用户操作过程中出现多次可疑行为,则确定所述用户的操作异常。
[0006]上述技术方案中,对用户操作过程中的每个行为进行模拟推演,以提前对用户下一步可能发生的预测行为,以及每个预测行为的第一风险值进行预测,以便在用户下一步的实际行为发生后,马上匹配到该实际行为的风险值,并根据第一风险阈值确定该实际行为是否为可疑行为。当用户操作过程中多次出现可疑行为,则确定用户的操作异常,发出告警信息,进而可以在更多的隐私信息被攻击者翻阅到之前,或在没有做出文件流的传输操作前,及时发现并拦截。
[0007]在一种可能的设计中,所述根据所述用户当前状态下的当前行为预测所述用户下一步可能发生的多个预测行为,以及每个预测行为的第一风险值,包括:对所述用户当前状态下的当前行为进行推理,得到下一步可能发生的多个预测行为;在任一遍历过程中,从所述多个预测行为中选定此次遍历的预测行为,根据此次遍历的预测行为的模拟行为链,对所述预测行为的风险值进行更新;所述模拟行为链是对此次遍历的预测行为的后续行为进行多次拓展得到的;在多个预测行为的模拟行为链满足遍历要求后,得到每个预测行为的第一风险值。
[0008]在一种可能的设计中,通过如下方式得到所述模拟行为链:以所述当前状态下的当前行为作为根节点;在每次拓展时,从所述根节点开始选择风险值最大的第一行为子节点,判断所述第一行为子节点是否被完全拓展;所述风险值通过第一参数值和第二参数值
确定;所述第二参数值与行为子节点的风险概率正相关,与所述行为子节点被访问的次数负相关;所述风险概率通过策略神经网络得到;第一行为子节点为多个预测行为中的任一个;若所述第一行为子节点未被完全拓展,则通过所述策略神经网络对所述第一行为子节点的后续多个第二行为子节点进行模拟,得到所述预测行为的模拟行为链。
[0009]在一种可能的设计中,所述对所述预测行为的风险值进行更新,包括:针对所述预测行为的模拟行为链中的每个第二行为子节点,通过快速策略神经网络得到所述第二行为子节点的模拟结果,并通过价值神经网络得到所述第二行为子节点的第三参数值;所述模拟结果表示所述第二行为子节点是否操作异常;根据每个第二行为子节点的模拟结果和每个第二行为子节点的第三参数值,更新所述模拟行为链的第一行为子节点的第一参数值;根据所述模拟行为链的第一参数值更新所述预测行为的风险值。
[0010]上述技术方案中,最终得到的预测行为的风险值不仅和当前的行为有关,还与操作过程中的前后行为有关,进而可以使预测结果更准确。
[0011]在一种可能的设计中,所述方法还包括:通过如下方法训练所述价值神经网络:对于每一条训练数据中的状态和行为,通过所述策略神经网络执行所述状态和行为之后的L步行为;所述L步行为中的每一步选择风险概率最大的行为执行;第L+1步随机执行一个行为;通过增强策略神经网络执行L+1步之后的M步行为,得到模拟结果;所述M步行为中的每一步选择风险概率最大的行为执行;将所述模拟结果作为所述训练数据的标签训练所述价值神经网络。
[0012]在一种可能的设计中,所述用户当前状态包括所述用户停留的当前页面、所述当前页面的内容;所述通过风险预测模型对所述用户当前状态下的当前行为进行推理,得到下一步可能发生的多个预测行为之前,还包括:将所述用户当前状态下的当前行为转换为特征向量;其中,所述当前页面的内容通过词嵌入转换为特征向量。
[0013]上述技术方案中,用户当前状态包括用户停留的当前页面以及当前页面的内容,当前页面的内容属于非结构化数据,空间维度较大,因此采用词嵌入将页面的内容转换为特征向量,既可以缩小内容的空间维度,又考虑了内容上下文之间的联系。
[0014]在一种可能的设计中,所述当所述用户操作过程中出现多次可疑行为,则确定所述用户的操作异常,包括:将所述用户操作过程中每个可疑行为的第一风险值累加,得到第二风险值;所述可疑行为的第一风险值为对应的预测行为的第一风险值;若所述第二风险值大于第二风险阈值,则确定所述用户的操作异常。
[0015]第二方面,本申请实施例提供一种操作异常的分析装置,包括:
[0016]预测模块,用于针对用户操作过程中的每个行为,根据所述用户当前状态下的当前行为预测所述用户下一步可能发生的多个预测行为,以及每个预测行为的第一风险值;
[0017]处理模块,用于若所述用户下一步的实际行为匹配到其中一个预测行为,且所述预测行为的第一风险值大于第一风险阈值,则将所述实际行为标记为可疑行为;
[0018]确定模块,用于当所述用户操作过程中出现多次可疑行为,则确定所述用户的操作异常。
[0019]在一种可能的设计中,所述预测模块,还用于对所述用户当前状态下的当前行为进行推理,得到下一步可能发生的多个预测行为;在任一遍历过程中,从所述多个预测行为中选定此次遍历的预测行为,根据此次遍历的预测行为的模拟行为链,对所述预测行为的
风险值进行更新;所述模拟行为链是对此次遍历的预测行为的后续行为进行多次拓展得到的;在多个预测行为的模拟行为链满足遍历要求后,得到每个预测行为的第一风险值。
[0020]在一种可能的设计中,所述预测模块,还用于通过如下方式得到所述模拟行为链:以所述当前状态下的当前行为作为根节点;在每次拓展时,从所述根节点开始选择风险值最大的第一行为子节点,判断所述第一行为子节点是否被完全拓展;所述风险值通过第一参数值和第二参数值确定;所述第二参数值与行为子节点的风险概率正相关,与所述行为子节点被访问的次数负相关;所述风险概率通过策略神经网络得到;第一行为子节点为多个预测行为中的任一个;若所述第一行为子节点未被完全拓展,则通过所述策略神经网络对所述第一行为子节点的后续多个第二行为本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种操作异常的分析方法,其特征在于,所述方法包括:针对用户操作过程中的每个行为,根据所述用户当前状态下的当前行为预测所述用户下一步可能发生的多个预测行为,以及每个预测行为的第一风险值;若所述用户下一步的实际行为匹配到其中一个预测行为,且所述预测行为的第一风险值大于第一风险阈值,则将所述实际行为标记为可疑行为;当所述用户操作过程中出现多次可疑行为,则确定所述用户的操作异常。2.根据权利要求1所述的方法,其特征在于,所述根据所述用户当前状态下的当前行为预测所述用户下一步可能发生的多个预测行为,以及每个预测行为的第一风险值,包括:对所述用户当前状态下的当前行为进行推理,得到下一步可能发生的多个预测行为;在任一遍历过程中,从所述多个预测行为中选定此次遍历的预测行为,根据此次遍历的预测行为的模拟行为链,对所述预测行为的风险值进行更新;所述模拟行为链是对此次遍历的预测行为的后续行为进行多次拓展得到的;在多个预测行为的模拟行为链满足遍历要求后,得到每个预测行为的第一风险值。3.根据权利要求2所述的方法,其特征在于,通过如下方式得到所述模拟行为链:以所述当前状态下的当前行为作为根节点;在每次拓展时,从所述根节点开始选择风险值最大的第一行为子节点,判断所述第一行为子节点是否被完全拓展;所述风险值通过第一参数值和第二参数值确定;所述第二参数值与行为子节点的风险概率正相关,与所述行为子节点被访问的次数负相关;所述风险概率通过策略神经网络得到;第一行为子节点为多个预测行为中的任一个;若所述第一行为子节点未被完全拓展,则通过所述策略神经网络对所述第一行为子节点的后续多个第二行为子节点进行模拟,得到所述预测行为的模拟行为链。4.根据权利要求2所述的方法,其特征在于,所述对所述预测行为的风险值进行更新,包括:针对所述预测行为的模拟行为链中的每个第二行为子节点,通过快速策略神经网络得到所述第二行为子节点的模拟结果,并通过价值神经网络得到所述第二行为子节点的第三参数值;所述模拟结果表示所述第二行为子节点是否操作异常;根据每个第二行为子节点的模拟结果和每个第二行为子节点的第三参数值,更新所述模拟行为链的第一行为子节点的第一参数...
【专利技术属性】
技术研发人员:黄自力,杨阳,张叶,熊璐,邱震尧,
申请(专利权)人:中国银联股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。