本发明专利技术公开了一种基于数据挖掘聚类分析的WEB违规操作行为检测方法,包括以下步骤:S1,通过对业务系统操作过程产生的网络流量的的逆向解析,还原出一个一个的HTTP请求,通过聚类分析,将相关请求序列归为一个业务模块;S2,确定用业务系统相关业务数据所在相关业务的使用情况;S3,确定不同业务的权重值;S4,检测WEB用户违规行为。本发明专利技术通过自动梳理业务系统业务模块,识别用户和用户行为,建立业务模型和业务办理逻辑,实现了对业务数据在业务系统分布的精确定位,自动识别高频、批量、绕行等不符合业务访问操作访问行为,可轻松实现WEB业务数据和业务访问操作行为的安全管理,提升WEB业务系统的安全性。提升WEB业务系统的安全性。提升WEB业务系统的安全性。
【技术实现步骤摘要】
一种基于数据挖掘聚类分析的WEB违规操作行为检测方法
[0001]本专利技术涉及web业务安全监测分析
,尤其涉及一种基于数据挖掘聚类分析的WEB违规操作行为检测方法。
技术介绍
[0002]Web业务系统目前对业务数据和业务办理行为的管理机制主要是通过业务数据进行加密和帐号权限控制,来达到对业务数据的保护和业务办理行为规范的作用。
[0003]业务数据加密技术主要作用在数据传输和存储两个关键节点,通过将数据(或称明文,plain text)经过加密钥匙(Encryption key)及加密函数转换,变成无意义的密文(cipher text),而接收方则将此密文经过解密函数、解密钥匙(Decryption key)还原成业务数据,来达到对业务数据的保护效果。
[0004]帐号权限控制主要是依据帐号的角色、层次、规则和对象来对帐号赋予相应的业务操作权限。安全管理人员在权限管理系统上配置权限规则和策略,实现用户权限的管理。通查看帐号的操作日志,来发现相关帐号的违规办理行为。
[0005]但现有的加密技术和权限管理技术,在应用时存在如下缺陷:
[0006]1.业务数据的加密和解密过程存在耗时、影响业务办理效率的问题。
[0007]2.业务数据加密技术对于合法用户非法获取业务数据无法监管。
[0008]3.帐号权限控制技术偏重单一请求检查,难以发现违反业务规范的多请求越权行为。目前大量的权限管理,多针对单一的HTTP请求进行检查,对请求协议、是否包含违规关键字或正则表达式进行检查、告警,对于同业务逻辑相关的关联操作权限,是否存在违规则无法进行检查。而大量的外挂访问、脚本操作,则往往利用工具模拟合法访问,很难精确识别出是否具有正常访问权限。
[0009]4.人工设置业务规则,业务复杂的系统难以适用:目前少量的权限管理工具,能够支持设置业务逻辑、业务权限设置规则,但这需要使用人员具备较强的先验知识,才能进行正确设置,同时,需要耗费大量人力检验其精确性。然而,对于复杂的WEB业务系统,流程复杂,数量巨大,很难靠人工进行设置。因此,目前此类系统应用范围多限于简单的WEB业务系统。
技术实现思路
[0010]本专利技术提供了一种基于数据挖掘聚类分析的WEB违规操作行为检测方法,通过同步采集业务系统办理网络流量,分析用户同WEB业务系统的交互行为数据,利用业务仿制和聚类分析技术,智能梳理业务系统重要业务数据在业务系统中的分布情况,将业务系统进行业务类型细腻度分类、关联,建立相应的监测模型,自动监测发现合规帐号通过高频、批量、脚本外挂等手段来非法获取业务数据和绕行办理业务的行为,从而解决上述
技术介绍
中提出的问题。
[0011]为了实现上述目的,本专利技术采用了如下技术方案:
[0012]一种基于数据挖掘聚类分析的WEB违规操作行为检测方法,包括以下步骤:
[0013]S1,通过对业务系统操作过程产生的网络流量的的逆向解析,还原出一个一个的HTTP请求,通过聚类分析,将相关请求序列归为一个业务模块;
[0014]S2,确定用业务系统相关业务数据所在相关业务的使用情况;
[0015]S3,确定不同业务的权重值;
[0016]S4,检测WEB用户违规行为。
[0017]作为本技术方案的进一步改进方案:S1,通过对业务系统操作过程产生的网络流量的的逆向解析,还原出一个一个的HTTP请求,通过聚类分析,将相关请求序列归为一个业务模块,具体的:利用旁路分光或交换机镜像,对不同用户访问WEB业务系统的流量进行抓取、还原,提取WEB业务系统交互的HTTP请求序列,通过对业务系统操作过程产生的网络流量的逆向解析,还原出一个一个的HTTP请求,统计各请求内容,通过业务URL特征聚类分析,利用数据挖掘算法归并相关请求,并将相关请求序列归为一个业务模块,确定不同业务模块的不同请求。
[0018]作为本技术方案的进一步改进方案:通过业务URL特征聚类分析,具体为:利用Canopy算法,实现聚类,在对其进行聚类后,每一类由若干URL集合构成聚类结果,由于用户访问WEB业务系统时,可能交织有其他无关URL,这部分URL可能会对后续监测时产生干扰效果,通过过滤方法从聚类结果中过滤掉这部分URL,最后形成该业务模块的URL集合。
[0019]作为本技术方案的进一步改进方案:过滤方法如下:
[0020]步骤1:统计某个URL在该类别中所有特征向量中出现的频率;
[0021]步骤2:当该频率小于某个阀值时,过滤掉该URL;
[0022]步骤3:重复步骤1、2对该类别中所有URL,最后得到该类别的真实URL集合。
[0023]作为本技术方案的进一步改进方案:S2,确定用业务系统相关业务数据所在相关业务的使用情况,具体为:
[0024]根据同一业务在不同办理人员的办理过程中出现并使用到的业务数据进行数据挖掘分析,对同一个业务模块的的HTTP请求序列进行聚类分析、统计,通过正表达式、关键字等匹配数据流中出现过的业务数据类型,数量,从而确定业务数据的使用情况,最后计算出业务数据和业务模块的映射关系,得到业务员数据在业务模块中的分布图。
[0025]作为本技术方案的进一步改进方案:所述S3,确定不同业务的权重值,具体为:
[0026]根据业务系统类型、办理业务特点,将不同的业务模块根据功能的重要程度,使用业务权重算法,将涉及审批、金额、客户资料、业务流程的业务模块识别分类,最后计算出各个业务模块的权重值,为监测策略提供不同权重的监测对象。
[0027]作为本技术方案的进一步改进方案:所述S4,检测WEB用户违规行为,具体为:
[0028]根据用户使用业务数据的频率、数量、时间,操作业务模块的重要程度,结合用户操作行为监测走势,用采集到的业务系统办理数据作为输入,判断用户行为,根据业务特点和业务数据访问特点,判断其数据访问或业务办理行为是否异常。
[0029]作为本技术方案的进一步改进方案:判断其数据访问或业务办理行为是否异常时,若是,则进行告警提示。
[0030]与现有技术相比,本专利技术的有益效果是:
[0031]本专利技术弥补了现有通过加密业务数据和控制帐号权限来对业务数据进行保护和
业务办理行为进行规范,无法有效检查发现合法用户利用业务自身逻辑漏洞获取业务数据和进行违规操作的不足。通过自动梳理业务系统业务模块,识别用户和用户行为,建立业务模型和业务办理逻辑,实现了对业务数据在业务系统分布的精确定位,自动识别高频、批量、绕行等不符合业务访问操作访问行为,增加对内部人员的业务数据和业务办理的安全监测,使得安全管理员能够无需具备专业知识、无需设定、维护检测权限管理规则、无需对业务熟悉,即可轻松实现WEB业务数据和业务访问操作行为的安全管理,提升WEB业务系统的安全性。
[0032]上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,并可依照说明书的内容予以实施,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于数据挖掘聚类分析的WEB违规操作行为检测方法,其特征在于,包括以下步骤:S1,通过对业务系统操作过程产生的网络流量的的逆向解析,还原出一个一个的HTTP请求,通过聚类分析,将相关请求序列归为一个业务模块;S2,确定用业务系统相关业务数据所在相关业务的使用情况;S3,确定不同业务的权重值;S4,检测WEB用户违规行为。2.根据权利要求1所述的一种基于数据挖掘聚类分析的WEB违规操作行为检测方法,其特征在于,S1,通过对业务系统操作过程产生的网络流量的的逆向解析,还原出一个一个的HTTP请求,通过聚类分析,将相关请求序列归为一个业务模块,具体的:利用旁路分光或交换机镜像,对不同用户访问WEB业务系统的流量进行抓取、还原,提取WEB业务系统交互的HTTP请求序列,通过对业务系统操作过程产生的网络流量的逆向解析,还原出一个一个的HTTP请求,统计各请求内容,通过业务URL特征聚类分析,利用数据挖掘算法归并相关请求,并将相关请求序列归为一个业务模块,确定不同业务模块的不同请求。3.根据权利要求2所述的一种基于数据挖掘聚类分析的WEB违规操作行为检测方法,其特征在于,通过业务URL特征聚类分析,具体为:利用Canopy算法,实现聚类,在对其进行聚类后,每一类由若干URL集合构成聚类结果,由于用户访问WEB业务系统时,可能交织有其他无关URL,这部分URL可能会对后续监测时产生干扰效果,通过过滤方法从聚类结果中过滤掉这部分URL,最后形成该业务模块的URL集合。4.根据权利要求3所述的一种基于数据挖掘聚类分析的WEB违规操作行为检测方法,其特征在于,过滤方法如下:步骤1:统计某个URL在该类别中所有特征向量中出现的频率...
【专利技术属性】
技术研发人员:杨继飞,陈海文,周子龙,
申请(专利权)人:武汉四海图宇科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。