一种异常外发行为检测方法及装置与流程
本公开涉及网络安全技术领域,特别是涉及一种异常外发行为检测方法及装置。
背景技术:
随着网络技术的快速发展与大量应用,网络安全威胁也在不断增加。网络安全威胁分为外部网络安全威胁和内部网络安全威胁。对于外部网络安全威胁,可以通过防火墙、入侵检测、防病毒软件等安全产品来抵御。但对于内部网络安全威胁,即内部的数据泄露,异常外发行为,可以采用dlp(dataleakageprevention,数据泄密防护)、上网行为审计产品、主机终端外发审计等技术来解决该问题。
技术实现要素:
本公开实施例的目的在于提供一种异常外发行为检测方法及装置,以提高异常外发行为检测的准确度和精度。具体技术方案如下:
第一方面,本公开实施例提供了一种异常外发行为检测方法,所述方法包括:
获取用户在预设时间段的审计日志;
确定所述审计日志在访问行为维度下行为特征的第一综合评分值;
若所述第一综合评分值高于所述第一评分阈值,则确定所述审计日志在数据外发行为维度下行为特征的第二综合评分值,所述第一评分阈值用于确定所述用户在所述访问行为维度下是否存在异常;
若所述第二综合评分值高于所述第二评分阈值,则确定所述用户存在异常外发行为,所述第二评分阈值用于确定所述用户在所述数据外发行为维度下是否存在异常。
第二方面,本公开实施例提供了一种异常外发行为检测装置,所述装置包括:
获取单元,用于获取用户在预设时间段的审计日志;
第一确定单元,用于确定所述审计日志在访问行为维度下行为特征的第一综合评分值;
第二确定单元,用于若所述第一综合评分值高于第一评分阈值,则确定所述审计日志在数据外发行为维度下行为特征的第二综合评分值,所述第一评分阈值用于确定所述用户在所述访问行为维度下是否存在异常;
第三确定单元,用于若所述第二综合评分值高于第二评分阈值,则确定所述用户存在异常外发行为,所述第二评分阈值用于确定所述用户在所述数据外发行为维度下是否存在异常。
第三方面,本公开实施例提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述异常外发行为检测方法任一步骤。
第四方面,本公开实施例提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现上述异常外发行为检测方法任一步骤。
本公开实施例提供的异常外发行为检测方法及装置中,若访问行为维度下行为特征的第一综合评分值高于第一评分阈值,则确定用户在访问行为维度下存在异常。若数据外发行为维度下行为特征的第二综合评分值高于第二评分阈值,则确定用户在数据外发行为维度下存在异常。若用户在访问行为维度下和数据外发行为维度下均存在异常,则可确定用户存在异常外发行为。本公开实施例中,将访问行为维度以及数据外发行为维度进行了关联,对用户整体的行为进行分析,避免了形成信息孤岛的问题,提高了异常外发行为检测的准确度和精度。当然,实施本公开的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的异常外发行为检测方法的一种流程示意图;
图2为本公开实施例提供的异常外发行为检测装置的一种结构示意图;
图3为本公开实施例提供的电子设备的一种结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
目前,对于内部网络安全威胁,即内部的数据泄露,异常外发行为,可以采用dlp、上网行为审计产品、主机终端外发审计等技术来解决该问题。
以dlp技术为例。采用dlp技术来进行异常外发行为检测时,设置包括外发文件次数阈值、和/或外发文件大小阈值等审计规则。dlp设备获取针对一用户的日志,从日志中提取用户外发文件次数,以及用户外发文件大小。若提取到的外发文件次数超过外发文件次数阈值,或提取到的外发文件大小超过外发文件大小阈值,则确定用户违反审计规则,该用户存在异常外发行为。
上述检测异常外发行为的方式,利用单一数据外发的行为维度进行检测,很容易形成信息孤岛,检测的准确度和精度较低。
为提高异常外发行为检测的准确度和精度,本公开实施例提供了一种异常外发行为检测方法。该方法可以应用于dlp设备、上网行为审计设备和主机终端外发审计设备等。dlp设备为进行dlp的电子设备,上网行为审计设备为进行上网行为审计的设备,主机终端外发审计设备为主机终端外发审计的设备。该方法中,获取用户在预设时间段的审计日志;确定审计日志在访问行为维度下行为特征的第一综合评分值;判断第一综合评分值是否高于第一评分阈值;若第一综合评分值高于第一评分阈值,则确定审计日志在数据外发行为维度下行为特征的第二综合评分值;判断第二综合评分值是否高于第二评分阈值;若第二综合评分值高于第二评分阈值,则确定用户存在异常外发行为。其中,第一评分阈值用于确定用户在访问行为维度下是否存在异常,第二评分阈值用于确定用户在数据外发行为维度下是否存在异常。
本公开实施例提供的异常外发行为检测方法中,若访问行为维度下行为特征的第一综合评分值高于第一评分阈值,则确定用户在访问行为维度下存在异常。若数据外发行为维度下行为特征的第二综合评分值高于第二评分阈值,则确定用户在数据外发行为维度下存在异常。若用户在访问行为维度下和数据外发行为维度下均存在异常,则可确定用户存在异常外发行为。本公开实施例中,将访问行为维度以及数据外发行为维度进行了关联,对用户整体的行为进行分析,避免了形成信息孤岛的问题,提高了异常外发行为检测的准确度和精度。
下面通过具体实施例,对本公开实施例提供的异常外发行为检测方法进行说明。
参考图1,图1为本公开实施例提供的异常外发行为检测方法的一种流程示意图。为便于描述,下面以dlp设备为执行主体进行说明。
步骤101,获取用户在预设时间段的审计日志。
本公开实施例中,用户在访问应用系统时,应用系统上可以生成且保存访问日志。例如,公司内部会部署安全等级高于预设等级的应用系统(以下简称“密级应用系统”),密级应用系统中存储着大量的公司敏感信息。用户访问密级应用系统时,密级应用系统上生成且保存该用户的访问日志。访问日志可以用于记录用户访问应用的行为轨迹。访问日志中可以包括:应用系统,用户名,ip(internetprotocol,网络协议)地址,mac(mediaaccesscontrol,媒体访问控制)地址,操作,文件,以及发生时间等。如表1所示。
表1
表1中,应用系统:为用户访问的应用系统。如表1中pms(powerproductionmanagementsystem,工程生产管理系统)为用户访问的应用系统。
用户名:为用户访问应用系统所使用的名称。如表1中z18342为用户名,即为用户访问pms所使用的名称。
ip地址:为用户访问应用系统时所使用的用户设备的ip地址。如表1中10.10.10.2为用户访问pms时所使用的用户设备的ip地址。
mac地址:为用户访问应用系统时所使用的用户设备的mac地址。如表1中xxxxxxxx为用户访问pms时所使用的用户设备的mac地址。
操作:为用户对应用系统所执行的访问操作。如表1中下载操作,为用户对pms所执行的访问操作。
文件:为用户操作的文件。如表1中销售报表.xlsx为用户从pms所下载的文件。
发生时间:为用户对应用系统执行访问操作的时间。如表1中2018-10-1210:30:21为发生时间,即为用户对pms执行下载操作的时间。
另外,本公开实施例中,企业为了防止重要敏感数据丢弃,可以部署数据外发行为审计的产品,对外发数据行为进行记录,生成数据外发日志。数据外发日志可以包括:外发方式、文件、文件大小、用户名、ip地址、mac地址、上报时间、上报设备。如表2所示。
表2
表2中,外发方式:为用户向外发送的文件的方式。如表2中,usb拷贝为用户向外发送的文件的方式。本公开实施例中,用户向外发送的文件的方式还可以为邮件外发、文件外传等。
文件:为用户外发的文件。如表2中设计文档.doc为用户外发的文件。
文件大小:为用户外发文件的大小。如表2中5m外发的设计文档.doc的大小。
用户名:为用户外发文件时所使用的名称。如表2中z18342为用户名,即为用户外发设计文档.doc时所使用的名称。
ip地址:为用户外发文件时所使用的用户设备的ip地址。如表2中10.10.10.2为用户外发设计文档.doc时所使用的用户设备的ip地址。
mac地址:为用户外发文件时所使用的用户设备的mac地址。如表2中xxxxxxxx为用户外发设计文档.doc时所使用的用户设备的mac地址。
上报时间:为上报该数据外发日志的时间,也可以理解为生成该数据外发日志的时间。如表2中2018-10-1210:30:21为生成该数据外发日志的时间。
上报设备:为上报该数据外发日志的设备,也可以理解为生成该数据外发日志的设备。如表2中dlp设备生成该数据外发日志的设备。
上述访问日志和数据外发日志可以统称为审计日志。
在进行异常外发行为检测时,dlp设备获取用户在预设时间段的审计日志。预设时间可以根据实际需求进行设备。例如,预设时间为0.5小时。当前时间为10:00,则在进行异常外发行为检测时,dlp设备获取9:30-10:00这0.5小时之间的审计日志。
一个实施例中,为提高异常外发行为检测效率,可以预设需要检测的应用系统,即预设应用系统。在进行异常外发行为检测时,dlp设备获取用户在预设时间段针对预设应用系统的审计日志。预设应用系统可以为一个或多个。
步骤102,确定审计日志在访问行为维度下行为特征的第一综合评分值。
本公开实施例中,dlp设备在获取到审计日志后,对审计日志进行分析,确定在各访问行为维度下的行为特征,计算这些行为特征的综合评分值,作为第一综合评分值。
一个可选的实施例中,上述访问行为维度可以包括:用户访问密级应用系统的次数,用户访问密级应用系统的频率,用户下载文件的数量,用户下载文件的总数据量,以及用户下载预设类型文件的数量中的一种或多种。一个示例中,预设类型文件可以为标题中预设敏感字的文件,也可以为预设后缀名的文件等。
一个可选的实施例中,dlp设备确定第一综合评分值的流程如下。dlp设备从审计日志中提取多个访问行为维度中各访问行为维度下的特征值。针对每一访问行为维度下的特征值,dlp设备判断该访问行为维度下的特征值是否高于该访问行为维度下的特征阈值。若该访问行为维度下的特征值高于该访问行为维度下的特征阈值,则dlp设备可确定该访问行为维度为目标访问行为维度。dlp设备根据预先存储的访问行为维度与评分值的对应关系,确定各目标访问行为维度的评分值的和值,作为第一综合评分值。
例如,访问行为维度可以包括:用户访问密级应用系统的次数,用户访问密级应用系统的频率,用户下载文件的数量,用户下载文件的总数据量,以及用户下载预设类型文件的数量。用户访问密级应用系统的次数阈值为s1,用户访问密级应用系统的频率阈值为s2,用户下载文件的数量阈值为s3,用户下载文件的总数据量阈值为s4,以及用户下载预设类型文件的数量阈值为s5。
预先存储的用户访问密级应用系统的次数对应的评分值为10。
预先存储的用户访问密级应用系统的频率对应的评分值为11。
预先存储的用户下载文件的数量对应的评分值为12。
预先存储的用户下载文件的总数据量对应的评分值为13。
预先存储的用户下载预设类型文件的数量对应的评分值为14。
dlp设备对预设时间段的审计日志进行分析,确定在预设时间段内,用户访问密级应用系统的次数为p1,用户访问密级应用系统的频率为p2,用户下载文件的数量为p3,用户下载文件的总数据量为p4,以及用户下载预设类型文件的数量为p5。
若p1>s1,p2<s2,p3>s3,p4<s4,p5>s5,则dlp设备可确定第一综合评分值为10+12+14=36。
上述各个访问行为维度的特征阈值可以根据实际需要进行设定。
步骤103,判断第一综合评分值是否高于第一评分阈值。若是,则执行步骤104。
本公开实施例中,第一评分阈值用于确定用户在所述访问行为维度下是否存在异常。第一评分阈值的大小可以根据实际需求进行设定。dlp设备若确定第一综合评分值高于第一评分阈值,则可确定用户在访问行为维度下存在异常行为,该用户为需要重点关注的用户,继续执行步骤104。dlp设备若确定第一综合评分值不高于第一评分阈值,则可确定用户在访问行为维度下不存在异常行为,进而确定用户不存在异常外发行为,返回执行步骤101,继续下一次的异常外发行为检测。
仍以步骤102中的例子进行说明。dlp设备确定第一综合评分值为36。若确定第一评分阈值为30,36>30,则继续执行步骤104。若确定第一评分阈值为40,36<40,则返回执行步骤101。
步骤104,确定审计日志在数据外发行为维度下行为特征的第二综合评分值。
本公开实施例中,dlp设备在确定第一综合评分值高于第一评分阈值的情况下,对审计日志进行分析,确定在各数据外发行为维度下的行为特征,计算这些行为特征的综合评分值,作为第二综合评分值。
一个可选的实施例中,上述数据外发行为维度可以包括:用户外发文件的数量,用户外发文件的频率,用户外发文件的总数据量,用户外发预设类型文件的总数据量,以及用户外发下载的文件的数量中的一种或多种。一个示例中,预设类型文件可以为标题中预设敏感字的文件,也可以为预设后缀名的文件等。对于用户外发下载的文件的数量,若用户下载了文件a、b、c、d和e的5个文件,若向外发送了a、b、c、f和g这5个文件,则上述用户外发下载的文件的数量为3个。
一个可选的实施例中,dlp设备确定第二综合评分值的流程如下。dlp设备从审计日志中提取多个数据外发行为维度中各数据外发行为维度下的特征值。针对每一数据外发行为维度下的特征值,dlp设备判断该数据外发行为维度下的特征值是否高于该数据外发行为维度下的特征阈值。若该数据外发行为维度下的特征值高于该数据外发行为维度下的特征阈值,则dlp设备可以确定该数据外发行为维度为目标数据外发行为维度。dlp设备根据预先存储的数据外发行为维度与评分值的对应关系,确定各目标数据外发行为维度的评分值的和值,作为第二综合评分值。
例如,数据外发行为维度可以包括:用户外发文件的数量,用户外发文件的频率,用户外发文件的总数据量,用户外发预设类型文件的总数据量,以及用户外发下载的文件的数量。用户外发文件的数量阈值为y1,用户外发文件的频率阈值为y2,用户外发文件的总数据量阈值为y3,用户外发预设类型文件的总数据量阈值为y4,以及用户外发下载的文件的数量阈值为y5。
预先存储的用户外发文件的数量对应的评分值为10。
预先存储的用户外发文件的频率对应的评分值为11。
预先存储的用户外发文件的总数据量对应的评分值为12。
预先存储的用户外发预设类型文件的总数据量对应的评分值为13。
预先存储的用户外发下载的文件的数量对应的评分值为14。
dlp设备对预设时间段的审计日志进行分析,确定在预设时间段内,用户外发文件的数量为x1,用户外发文件的频率为x2,用户外发文件的总数据量为x3,用户外发预设类型文件的总数据量为x4,以及用户外发下载的文件的数量为x5。
若x1>y1,x2<y2,x3>y3,x4>y4,x5>y5,则dlp设备可确定第一综合评分值为10+12+13+14=49。
上述各个数据外发行为维度的特征阈值可以根据实际需要进行设定。
步骤105,判断第二综合评分值是否高于第二评分阈值。若是,则执行步骤106。
本公开实施例中,第二评分阈值用于确定用户在数据外发行为维度下是否存在异常。第二评分阈值的大小可以根据实际需求进行设定。dlp设备若确定第二综合评分值高于第二评分阈值,则可确定用户在数据外发行为维度下存在异常行为,继续执行步骤106,进而确定用户存在异常外发行为。dlp设备若确定第二综合评分值不高于第二评分阈值,则可确定用户在数据外发行为维度下不存在异常行为,进而确定用户不存在异常外发行为,返回执行步骤101,继续下一次的异常外发行为检测。
仍以步骤104中的例子进行说明。dlp设备确定第二综合评分值为49。若确定第二评分阈值为30,49>30,则继续执行步骤106。若确定第二评分阈值为50,49<50,则返回执行步骤101。
本公开实施例中并不限定步骤103和步骤105的执行顺序。只需要确定第一综合评分值高于第一评分阈值,且确定第二综合评分值高于第二评分阈值,则执行步骤106。
步骤106,确定用户存在异常外发行为。
本公开实施例提供的异常外发行为检测方法中,若访问行为维度下行为特征的第一综合评分值高于第一评分阈值,则确定用户在访问行为维度下存在异常。若数据外发行为维度下行为特征的第二综合评分值高于第二评分阈值,则确定用户在数据外发行为维度下存在异常。若用户在访问行为维度下和数据外发行为维度下均存在异常,则可确定用户存在异常外发行为。本公开实施例中,将访问行为维度以及数据外发行为维度进行了关联,对用户整体的行为进行分析,避免了形成信息孤岛的问题,提高了异常外发行为检测的准确度和精度。
与上述异常外发行为检测方法实施例对应,本公开实施例还提供了一种异常外发行为检测装置。参考图2,图2为本公开实施例提供的异常外发行为检测装置的一种结构示意图。该装置包括:获取单元201、第一确定单元202、第二确定单元203、第三确定单元204。
获取单元201,用于获取用户在预设时间段的审计日志;
第一确定单元202,用于确定审计日志在访问行为维度下行为特征的第一综合评分值;
第二确定单元203,用于若第一综合评分值高于第一评分阈值,则确定审计日志在数据外发行为维度下行为特征的第二综合评分值,第一评分阈值用于确定用户在访问行为维度下是否存在异常;
第三确定单元204,用于若第二综合评分值高于第二评分阈值,则确定用户存在异常外发行为,第二评分阈值用于确定用户在数据外发行为维度下是否存在异常。
一个可选的实施例中,第一确定单元202,具体可以用于:
从审计日志中提取多个访问行为维度中各访问行为维度下的特征值;
针对每一访问行为维度下的特征值,判断该访问行为维度下的特征值是否高于该访问行为维度下的特征阈值;若是,则确定该访问行为维度为目标访问行为维度;
根据预先存储的访问行为维度与评分值的对应关系,确定各目标访问行为维度的评分值的和值,作为第一综合评分值。
一个可选的实施例中,上述访问行为维度可以包括:用户访问安全等级高于预先等级的应用系统的次数,用户访问安全等级高于预先等级的应用系统的频率,用户下载文件的数量,用户下载文件的总数据量,以及用户下载预设类型文件的数量中的一种或多种。
一个可选的实施例中,第二确定单元203,具体可以用于:
从审计日志中提取多个数据外发行为维度中各数据外发行为维度下的特征值;
针对每一数据外发行为维度下的特征值,判断该数据外发行为维度下的特征值是否高于该数据外发行为维度下的特征阈值;若是,则确定该数据外发行为维度为目标数据外发行为维度;
根据预先存储的数据外发行为维度与评分值的对应关系,确定各目标数据外发行为维度的评分值的和值,作为第二综合评分值。
一个可选的实施例中,上述数据外发行为维度可以包括:用户外发文件的数量,用户外发文件的频率,用户外发文件的总数据量,用户外发预设类型文件的总数据量,以及用户外发下载的文件的数量中的一种或多种。
本公开实施例提供的技术方案中,将访问行为维度以及数据外发行为维度进行了关联,对用户整体的行为进行分析,避免了形成信息孤岛的问题,提高了异常外发行为检测的准确度和精度。
与上述异常外发行为检测方法实施例对应,本公开实施例还提供了一种电子设备,如图3所示,包括处理器301和机器可读存储介质302,机器可读存储介质302存储有能够被处理器301执行的机器可执行指令。处理器301被机器可执行指令促使实现上述图1所示的异常外发行为检测方法的任一步骤。该异常外发行为检测方法包括:
获取用户在预设时间段的审计日志;
确定审计日志在访问行为维度下行为特征的第一综合评分值;
若第一综合评分值高于第一评分阈值,则确定审计日志在数据外发行为维度下行为特征的第二综合评分值,第一评分阈值用于确定用户在访问行为维度下是否存在异常;
若第二综合评分值高于第二评分阈值,则确定用户存在异常外发行为,所述第二评分阈值用于确定用户在数据外发行为维度下是否存在异常。
本公开实施例提供的技术方案中,将访问行为维度以及数据外发行为维度进行了关联,对用户整体的行为进行分析,避免了形成信息孤岛的问题,提高了异常外发行为检测的准确度和精度。
一个可选的实施例中,如图3所示,电子设备还可以包括:通信接口303和通信总线304;其中,处理器301、机器可读存储介质302、通信接口303通过通信总线304完成相互间的通信,通信接口303用于上述电子设备与其他设备之间的通信。
上述通信总线304可以是pci(peripheralcomponentinterconnect,外设部件互连标准)总线或eisa(extendedindustrystandardarchitecture,扩展工业标准结构)总线等。该通信总线304可以分为地址总线、数据总线、控制总线等。为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
上述机器可读存储介质302可以包括ram(randomaccessmemory,随机存取存储器),也可以包括nvm(non-volatilememory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质302还可以是至少一个位于远离前述处理器的存储装置。
上述处理器301可以是通用处理器,包括cpu(centralprocessingunit,中央处理器)、np(networkprocessor,网络处理器)等;还可以是dsp(digitalsignalprocessing,数字信号处理器)、asic(applicationspecificintegratedcircuit,专用集成电路)、fpga(field-programmablegatearray,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
与上述异常外发行为检测方法实施例对应,本公开实施例还提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现上述图1所示的异常外发行为检测方法的任一步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于异常外发行为检测装置、电子设备、机器可读存储介质实施例而言,由于其基本相似于异常外发行为方法实施例,所以描述的比较简单,相关之处参见异常外发行为方法实施例的部分说明即可。
以上所述仅为本公开的较佳实施例而已,并非用于限定本公开的保护范围。凡在本公开的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本公开的保护范围内。
- 还没有人留言评论。精彩留言会获得点赞!