• 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
    • / 7
    • 下载费用:30 金币  

    重庆时时彩号码生成器: 一种基于聚类分析的敏感数据异常访问检测方法.pdf

    关 键 词:
    一种 基于 聚类分析 敏感数据 异常 访问 检测 方法
      专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    摘要
    申请专利号:

    CN201610955916.1

    申请日:

    2016.10.27

    公开号:

    CN106570131A

    公开日:

    2017.04.19

    当前法律状态:

    实审

    有效性:

    审中

    法律详情: 实质审查的生效IPC(主分类):G06F 17/30申请日:20161027|||公开
    IPC分类号: G06F17/30; H04L29/06 主分类号: G06F17/30
    申请人: 北京途美科技有限公司; 中国移动通信集团广东有限公司
    发明人: 刘亮; 王雷; 陈亮
    地址: 100044 北京市西城区西直门外大街18号楼8层1单元921
    优先权:
    专利代理机构: 代理人:
    PDF完整版下载: PDF下载
    法律状态
    申请(专利)号:

    CN201610955916.1

    授权公告号:

    |||

    法律状态公告日:

    2017.06.23|||2017.04.19

    法律状态类型:

    实质审查的生效|||公开

    摘要

    本发明公开了一种基于聚类分析的敏感数据异常访问检测方法,包含以下步骤:建立基础违规场景业务规则库;建立关联关系,用聚类分析算法进行统计分析,发现偏离数据,分析数据的业务含义;分析聚类分析算法的结果,验证业务合规性,形成新的违规场景业务规则库。通过建立违规场景业务规则的方式,将关键字、统计分析进行了重组,并利用聚类分析K?means算法挖掘数据中有可能存在的违规访问,形成和完善违规业务场景规则。通过这种方式,不管敏感数据的访问方式发生任何变化,都可以通过算法新增违规场景业务规则,避免了规则更新的缓慢无法检测新的违规访问行为。

    权利要求书

    1.一种基于聚类分析的敏感数据异常访问检测方法,其特征在于,包含以下步骤:
    S01:建立基础违规场景业务规则库;
    S02:建立关联关系,用聚类分析算法进行统计分析,发现偏离数据,分析数据的业务含
    义;
    S03:分析聚类分析算法的结果,验证业务合规性,形成新的违规场景业务规则库。
    2.根据权利要求1所述的基于聚类分析的敏感数据异常访问检测方法,其特征在于,所
    述步骤S01包括:
    (1)对数据进行清洗,剔除没有意义的数据;
    (2)根据4W-1H分析法,即who、when、where、what、how,非正确的人在非正确的时间通过
    非正常的源地址采取非正确的方式访问了非正确的对象,对每个元素进行细分,通过人工
    经验的方式建立违规场景业务规则库。
    3.根据权利要求2所述的基于聚类分析的敏感数据异常访问检测方法,其特征在于,所
    述步骤(2)中对每个元素进行细分包括:将非正确的人分为:使用他人帐号、使用系统帐号、
    使用多个权限帐号;非正确的时间分为:非工单计划的工作时间;非正确的地址分为:使用
    他人地址、使用多个地址、使用明令禁止的地址;非正确的方式分为:一个工单多次使用、使
    用过期工单、数据复制到临时表;非正确的对象分为:其他帐号、其他系统的数据;how取决
    于具体业务的操作方法,其元素包括:动作和条件;动作包括:增、删、改、查;条件包括:单一
    条件、同类集合条件和条件组合。
    4.根据权利要求1所述的基于聚类分析的敏感数据异常访问检测方法,其特征在于,所
    述步骤S02中建立关联关系为:以who为关键条件,建立与who相关的二阶关联关系和三阶关
    联关系。
    5.根据权利要求1所述的基于聚类分析的敏感数据异常访问检测方法,其特征在于,所
    述步骤S03包括:
    分析单一操作是否为确定业务,如果无法确定业务,需要分析其上、下操作语句,确定
    数据代表的业务;与具体的操作人员和工单确定其操作的合规性,明确是否符合业务要求,
    如果不符合,则形成新的违规场景业务规则库。
    6.根据权利要求1-5任一项所述的基于聚类分析的敏感数据异常访问检测方法,其特
    征在于,还包括对违规场景业务规则库进行质量评估的步骤,包括对新增违规场景业务规
    则的验证,检测是否能够发现新的异常访问行为;对已有的违规场景业务规则的适用性进
    行检测,对长期未检测出来的异常访问行为的规则库,延长其检测周期;对经常检测出来的
    异常访问行为规则库进行精准性分析,缩短检测周期。
    7.根据权利要求1所述的基于聚类分析的敏感数据异常访问检测方法,其特征在于,所
    述聚类分析算法为K-means算法。

    说明书

    一种基于聚类分析的敏感数据异常访问检测方法

    技术领域

    本发明属于计算机网络中的信息监控技术领域,具体地涉及一种基于聚类分析的
    敏感数据异常访问检测方法。

    背景技术

    随着企业的信息化发展,越来越多的业务可以通过互联网办理,每个业务都产生
    了大量数据。每个数据因为业务属性的不同,使得每个数据具有不同的价值。这些高价值的
    数据面临着众多威胁,对敏感数据的异常访问检测成为一种重要技术手段。

    目前敏感数据的访问检测方法主要包括关键字分析和统计分析两种。

    关键字分析:通常是多个关键字的组合,如非工作时间批量导出操作是时间和导
    出两个关键字的判断。

    统计分析:通常是某个行为的基础统计,如某个帐号登录的IP大于3。

    目前的检测方法存在如下缺陷:1、关键字的积累需要人工的经验,数据中存在大
    量类同数据,这是业务办理过程中产生的既定数据,无法确定关键字最大的覆盖了异常行
    为,存在漏报风险;2、关键字判断条件过于宽泛,在分析过程产生了大量误报;3、统计分析
    的方法简单,只是对帐号的基础行为进行了统计,威胁价值不高。如,某账号同时通过两个
    IP登录,只能说明帐号共用的问题,并未关联分析帐号登录后的操作所带来的威胁。

    中国专利文献CN 103138986公开了一种基于可视分析的网站异常访问行为的检
    测方法,包括:(1)对网站服务器日志数据进行预处理,将访问数据和网站结构数据结合起
    来,将统计原始日志获得的节点及其子节点累加的出现与访问次数作为权值定义面积不同
    的可视化网站树图结构;(2)利用可视化方法展现经过预处理后的网站服务器日志数据的
    位置、时间、内容信息;(3)定义用户访问事件的动画方式,通过所述的三种视图以及在三个
    不同视图上采用的事件的动画方式来展示每一个访问地址在不同的时刻执行了不同的用
    户行为;(4)对访问用户进行聚类分析,在对用户访问行为重现的同时,增加对数据集进行
    聚类的功能,借助聚类结果发现其他的相似对象并进行索引,找出具有相似行为的同类用
    户;(5)对聚类的属性进行过滤和筛选,确定用来发现异常用户模式和与安全相关的行为所
    必须的用户的访问属性数据,检测聚类中的离群点,发现异常行为。该方法利用GPU 加速可
    视化处理,减轻CPU 的负担,能分析并显示网络数据,从而使用户能够发现DDoS 攻击前期
    所存在的主机扫描,端口扫描和正在进行的DDoS 攻击。但是该方法是利用已知的规则库对
    异常的访问进行识别,对规则库中不存在的异常访问无法识别,而且由于规则更新的缓慢,
    导致无法检测新的违规访问行为,存在着安全隐患。

    发明内容

    针对上述技术存在的不足,本发明旨在提供一种基于聚类分析的敏感数据异常访
    问检测方法,通过建立违规场景业务规则的方式,将关键字、统计分析进行了重组,并利用
    聚类分析K-means算法挖掘数据中有可能存在的违规访问,形成和完善违规业务场景规则。
    通过这种方式,不管敏感数据的访问方式发生任何变化,都可以通过算法新增违规场景业
    务规则,避免了规则更新的缓慢无法检测新的违规访问行为。

    为达到上述目的,本发明的技术方案是:

    一种基于聚类分析的敏感数据异常访问检测方法,其特征在于,包含以下步骤:

    S01:建立基础违规场景业务规则库;

    S02:建立关联关系,用聚类分析算法进行统计分析,发现偏离数据,分析数据的业务含
    义;

    S03:分析聚类分析算法的结果,验证业务合规性,形成新的违规场景业务规则库。

    优选的,所述步骤S01包括:

    (1)对数据进行清洗,剔除没有意义的数据;

    (2)根据4W-1H分析法,即who、when、where、what、how,非正确的人在非正确的时间通过
    非正常的源地址采取非正确的方式访问了非正确的对象,对每个元素进行细分,通过人工
    经验的方式建立违规场景业务规则库。

    优选的,所述步骤(2)中对每个元素进行细分包括:将非正确的人分为:使用他人
    帐号、使用系统帐号、使用多个权限帐号;非正确的时间分为:非工单计划的工作时间;非正
    确的地址分为:使用他人地址、使用多个地址、使用明令禁止的地址;非正确的方式分为:一
    个工单多次使用、使用过期工单、数据复制到临时表;非正确的对象分为:其他帐号、其他系
    统的数据;how取决于具体业务的操作方法,其元素包括:动作和条件;动作包括:增、删、改、
    查;条件包括:单一条件、同类集合条件和条件组合。

    优选的,所述步骤S02中建立关联关系为:以who为关键条件,建立与who相关的二
    阶关联关系和三阶关联关系。

    优选的,所述步骤S03包括:

    分析单一操作是否为确定业务,如果无法确定业务,需要分析其上、下操作语句,确定
    数据代表的业务;与具体的操作人员和工单确定其操作的合规性,明确是否符合业务要求,
    如果不符合,则形成新的违规场景业务规则库。

    优选的,还包括对违规场景业务规则库进行质量评估的步骤,包括对新增违规场
    景业务规则的验证,检测是否能够发现新的异常访问行为;对已有的违规场景业务规则的
    适用性进行检测,对长期未检测出来的异常访问行为的规则库,延长其检测周期;对经常检
    测出来的异常访问行为规则库进行精准性分析,缩短检测周期。

    优选的,所述聚类分析算法为K-means算法。

    与现有技术相比,本发明的有益效果是:

    通过建立违规场景业务规则的方式,将关键字、统计分析进行了重组,并利用聚类分析
    K-means算法挖掘数据中有可能存在的违规访问,形成和完善违规业务场景规则。通过这种
    方式,不管敏感数据的访问方式发生任何变化,都可以通过算法新增违规场景业务规则,避
    免了规则更新的缓慢无法检测新的违规访问行为。


    附图说明

    图1为本发明基于聚类分析的敏感数据异常访问检测方法的流程图。

    具体实施方式

    为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式以及
    附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明
    的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发
    明的概念。

    实施例:

    如图1所示,一种基于聚类分析的敏感数据异常访问检测方法,包含以下步骤:

    步骤一:建立基础违规场景业务规则库。具体地,包括以下两个步骤:(1)数据清洗,剔
    除没有意义的数据,如:不完整数据、错误数据、重复数据。(2)根据4W-1H分析法,通过人工
    经验的方式建立违规场景业务规则库。4W-1H分析法即who、when、where、what、how,非正确
    的人(帐号)在非正确的时间通过非正常的源地址采取非正确的方式访问了非正确的对象。
    对每个元素进行细分,如非正确的人,包括:使用他人帐号,使用系统帐号,使用多个权限帐
    号;非正确的时间,包括:非工单计划的工作时间;非正确的地址,包括:使用他人地址,使用
    多个地址,使用明令禁止的地址;非正确的方式,如:一个工单多次使用,使用过期工单,数
    据复制到临时表等;非正确的对象,如其他帐号、其他系统的数据等。how取决于具体业务的
    操作方法,其元素包括:动作和条件。动作包括:增、删、改、查;条件包括:单一条件,同类集
    合条件和条件组合。

    步骤二:建立关联关系,用K-means算法进行统计分析。具体地,包括以下两个步
    骤:(1)建立关联关系,以who为关键条件,建立与who相关的二阶关联关系和三阶关联关系,
    建立每个元素的二阶关联关系,如who和where的关系、who和what的关系,who和how的关系;
    建立每个元素的三阶关联关系,如who、when和where的关系,who、when和what的关系,who、
    where和what的关系、who、when和how的关系,who、where和how的关系。(2)用K-means算法进
    行分析,发现偏离数据,分析数据的业务含义,排除数据干扰。

    步骤三:分析K-means算法结果,验证业务合规性,形成新的违规场景业务规则库。
    具体地,主要是人工验证数据所反应业务的合规性。首先,分析单一操作是否为确定业务,
    如果无法确定业务,需要分析其上、下操作语句,确定这个数据代表了哪个业务;然后,跟具
    体的操作人员、工单一切确定其操作的合规性,明确是否符合业务要求,如果不符合,则形
    成新的违规场景业务规则库。如甲用户在三个月内就访问了一次敏感表使用了一次“改”的
    行为。人工验证这个行为的合规性,并形成违规场景业务规则:用户不得在三个月内访问同
    一张表的次数小于2,且使用“改”操作的次数小于2。

    步骤四:对违规场景业务规则库进行质量评估。包括对新增违规场景业务规则的
    验证,检测是否能够发现新的异常访问行为;对已有的违规场景业务规则的适用性进行检
    测,对长期未检测出来的异常访问行为的规则库,延长其检测周期,如从一周一检延长为一
    月一检,避免规则库的增加影响检测的实效性;对经常检测出来的异常访问行为规则库进
    行精准性分析,提高精准度,缩短检测周期,如从一周一检缩短为一天一检,提高检测的实
    效性。

    至此,敏感数据异常访问检测方法流程结束。

    应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的
    原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何
    修改、等同替换、改进等,均应包含在本发明的?;し段е?。此外,本发明所附权利要求旨
    在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修
    改例。

    关于本文
    本文标题:一种基于聚类分析的敏感数据异常访问检测方法.pdf
    链接地址://www.4mum.com.cn/p-6092741.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    [email protected] 2017-2018 www.4mum.com.cn网站版权所有
    经营许可证编号:粤ICP备17046363号-1 
     


    收起
    展开
  • 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
  • 娱乐场地玩具车 买彩票和买的网站吗 玩具公司赚钱吗 晓游棋牌游戏下载 篮球比分网即时比分直播188 一天时间里怎么用20块钱赚钱 重庆快乐10分开奖结果 腾讯分分彩各种玩法 中国足彩胜负彩怎么买 安徽时时彩结果查询 麻将来了怎么开好友房新版 澳洲幸运10计算公式 三肖中特期准黄大仙373745 海王捕鱼内购破解版 欧洲快乐赛车开奖结果 高频彩票