CN109344042A - 异常操作行为的识别方法、装置、设备及介质 - Google Patents
异常操作行为的识别方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN109344042A CN109344042A CN201810961289.1A CN201810961289A CN109344042A CN 109344042 A CN109344042 A CN 109344042A CN 201810961289 A CN201810961289 A CN 201810961289A CN 109344042 A CN109344042 A CN 109344042A
- Authority
- CN
- China
- Prior art keywords
- operation behavior
- preference
- cloud
- predicted
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了异常操作行为的识别方法、装置、设备及介质。该方法包括:根据多个云操作员的行为日志,获得历史操作行为集合;依据第一云操作员的行为日志,获得偏好操作行为集合;计算历史操作行为集合中的每种操作行为与偏好操作行为集合中的每种操作行为的相似度;根据相似度生成预测操作行为集合;依据预测操作行为集合,识别第一云操作员在第二预设周期的每个预设时间段内的实际操作行为是否为异常操作行为。通过本发明的技术方案,能够及时识别出云操作员的异常行为,从而可以全面保障用户权益。
Description
技术领域
本发明涉及云计算安全领域,尤其涉及一种异常操作行为的识别方法、装置、设备及计算机可读介质。
背景技术
云计算是指通过虚拟化技术统一管理和调度计算、存储、网络、软件等资源,采用互联网模式将基础资源、平台能力、软件应用等服务提供给用户。简而言之,云计算就是用户将数据和业务迁移到云平台上,借助云计算平台实现对数据的管理。
显然,云计算模式的本质特征是数据所有权和管理权分离。因此,云计算模式下用户对于自己在云上的数据和业务***失去了直接的控制权,而云管理员客观上却具备了偷窥、窃取用户数据和计算资源的能力。
对于云管理员的恶意行为,传统的安全策略难以防范,无法确定当前的云操作员是否是合法的云操作员,因此无法全面保障用户权益。
发明内容
本发明实施例提供了一种异常操作行为的识别方法、装置、设备及计算机可读介质,能够及时识别出云操作员的异常行为,从而可以全面保障用户权益。
根据本发明实施例的一方面,提供一种异常操作行为的识别方法,该方法包括:
根据多个云操作员的行为日志,获得历史操作行为集合,所述历史操作行为集合由所述多个云操作员在第一预设周期的各种操作行为构成;
依据第一云操作员的行为日志,获得偏好操作行为集合,所述偏好操作行为集合由所述第一云操作员在所述第一预设周期的预设时间段内偏好的各种操作行为构成;
计算所述历史操作行为集合中的每种操作行为与所述偏好操作行为集合中的每种操作行为的相似度;
根据所述相似度生成预测操作行为集合,所述预测操作行为集合由预测的所述第一云操作员在第二预设周期的所述预设时间段内的各种操作行为构成;
依据所述预测操作行为集合,识别所述第一云操作员在所述第二预设周期的每个所述预设时间段内的实际操作行为是否为异常操作行为。
根据本发明实施例的另一方面,提供一种异常操作行为的识别装置,包括:
第一获取模块,用于根据多个云操作员的行为日志,获得历史操作行为集合,所述历史操作行为集合由所述多个云操作员在第一预设周期的各种操作行为构成;
第二获取模块,用于依据第一云操作员的行为日志,获得偏好操作行为集合,所述偏好操作行为集合由所述第一云操作员在所述第一预设周期的预设时间段内偏好的各种操作行为构成;
计算模块,用于计算所述历史操作行为集合中的每种操作行为与所述偏好操作行为集合中的每种操作行为的相似度;
生成模块,用于根据所述相似度生成预测操作行为集合;其中,所述预测操作行为集合由预测的所述第一云操作员在第二预设周期的所述预设时间段内的各种操作行为构成;
识别模块,用于依据所述预测操作行为集合,识别所述第一云操作员在所述第二预设周期的每个所述预设时间段内的实际操作行为是否为异常操作行为。
根据本发明实施例的再一方面,提供一种异常操作行为的识别设备,所述设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如第一方面所述的异常操作行为的识别方法。
根据本发明实施例的再一方面,提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现第一方面所述的异常操作行为的识别方法
根据本发明实施例中的异常操作行为的识别方法、装置、设备和介质,通过当前云操作员的操作行为与历史记录的操作行为进行对比,可以判断当前云操作员的操作行为是否正常。这样能够及时识别出云操作员的异常行为,从而可以全面保障用户权益。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明实施例中异常操作行为的识别方法的流程示意图;
图2示出了一些示例性实施例的异常操作行为的识别方法的详细流程图;
图3示出了本发明实施例的识别实际操作行为是否为异常操作行为的示意图。
图4示出了本发明实施例中异常操作行为的识别装置的结构示意图。
图5示出了本发明实施例中异常操作行为的识别设备的硬件结构示意图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
在本发明实施例中云平台的恶意操作员或者入侵攻击者都有可能会对用户的隐私造成威胁。为了避免出现危险,现有云平台中大都设有云平台可信评测体系,现有的云平台可信评测体系包括有可信第三方(TTP)服务网关。该TTP服务网关通过逻辑串联、物理并联的方式部署在被测云平台的前端,用户和云操作员的特权操作需通过TTP服务网关接入云平台。TTP服务网关按照功能划分为“云平台特权行为分析与审计”部分以及“数据流可视化、监控与脱敏”部分。
“云平台特权行为分析与审计”用于持续、实时地采集云操作员对云平台的管理操作记录,并基于云操作员操作的分级机制对危险操作和越权操作进行预警。
该“云平台特权行为分析与审计”包括:分析模块和审计模块,这两个模块主要是针对两类数据进行评测,一类是采集到的当前云操作员的行为数据,另一类是云平台已经存储有的历史操作行为数据。
本发明实施例的识别方法主要是应用于“云平台特权行为分析与审计”。
为了更好的理解本发明,下面将结合附图,详细描述根据本发明实施例的异常操作行为的识别方法,应注意,这些实施例并不是用来限制本发明公开的范围。
图1是示出根据本发明实施例的异常操作行为的识别方法的流程图。如图1所示,本发明实施例中的方法100包括以下步骤:
步骤S110,根据多个云操作员的行为日志,获得历史操作行为集合,该历史操作行为集合由多个云操作员在第一预设周期的各种操作行为构成。
在该步骤中,操作行为可以包括:操作功能、操作对应的时间段、操作类型和操作频率等等。根据多个云操作员的行为日志,获得历史操作行为集合。具体例如:获取A、B和C三个云操作员的在某一固定时间段内的行为日志,将这三个云操作员的行为日志进行分析处理,将处理后的行为日志作为历史操作行为集合。
在一实施例中,例如:云操作员A的操作行为【开始,打开云服务器】;云操作员B的操作行为【删除,删除内容M,B区】;云操作员C的操作行为【复制,复制内容N,B区】等。
另外,每个云操作员在一个月的行为日志可能有多种操作行为。具体例如:云操作员A在8:00-9:00(时间段)有三种操作行为:
操作行为1【开始,打开云服务器】;操作行为2【删除,删除内容M,B区、C区】;操作行为3【复制,复制内容N,B区、C区】。
最后,将A、B和C三个云操作员的操作行为构成历史操作行为集合。
步骤S120,依据第一云操作员的行为日志,获得偏好操作行为集合,偏好操作行为集合由第一云操作员在第一预设周期的预设时间段内偏好的各种操作行为构成。
在该步骤中,将第一云操作员在第一预设周期的预设时间段内偏好的各种操作行为构成偏好操作行为集合。具体的,在一实施例中例如:云操作员A在一个月内的行为日志。而在该一个月的行为日志包括有:云操作员A在8:00-9:00时间段偏好(即频率较高)多种操作行为。例如:第一种操作行为【开始,10次】;第二种操作行为【复制,8次】。
步骤S130,计算历史操作行为集合中的每种操作行为与偏好操作行为集合中的每种操作行为的相似度。
步骤S140,根据相似度生成预测操作行为集合,预测操作行为集合由预测的第一云操作员在第二预设周期的预设时间段内的各种操作行为构成。
在该步骤中,例如:云操作员A在一个月内每天在8:00-9:00这个时间段内的操作行为:操作行为【开始,打开云服务器,A区、B区,10次】或者操作行为【复制,复制内容N,B区、C区,8次】。
步骤S150,依据预测操作行为集合,识别第一云操作员在第二预设周期的每个预设时间段内的实际操作行为是否为异常操作行为。
在该步骤中,例如:云操作员A一个月内每天在8:00-9:00这个时间段内执行的操作行为是预测操作行为是【复制,复制内容N,B区、C区,8次】,而云操作员A实际的操作行为是A区执行20次复制操作,则认为云操作员A在8:00-9:00这个时间段内为异常操作。
通过本发明实施例的异常操作行为的识别方法,将云操作员的偏好操作行为与历史操作行为集合进行相似度计算,根据相似度的排序结果,预测出云操作员在第二预设周期的预设时间段内的各种操作行为,然后根据预测操作行为集合,确定在第二预设周期的预设时间段内的实际操作行为是否为正常操作行为,这样能够及时识别出云操作员的异常行为,从而可以全面保障用户权益。
图2是示出了一些示例性实施例的异常操作行为的识别方法的详细流程图,图2与图1相同或等同的步骤使用相同的标号。
如图2所示,在一个实施例中,步骤S120具体可以包括:
S121,依据第一云操作员的行为日志,统计第一云操作员在第一预设周期的预设时间段内的每种操作行为的执行频率。
在该步骤中,例如:统计云操作员A在一个月内每天8:00-9:00时间段偏好(即频率较高)两种操作行为:第一种操作行为【删除,20次】;第二种操作行为【复制,10次】。
S122,将执行频率大于第一预设值的操作行为,作为第一云操作员在第一预设周期的预设时间段内偏好的操作行为,获得偏好操作行为集合。
在该步骤中,例如:将云操作员A在在一个月内每天8:00-9:00时间段偏好的第一种操作行为【删除,20次】。
由于20次大于第一预设值的操作行为15次,所以将【删除】作为云操作员A在第一预设周期的预设时间段内偏好的操作行为。如此类推获得偏好操作行为集合。
通过获取云操作员在第一预设周期的预设时间段内偏好的操作行为,可以提高识别异常操作行为的概率,提高识别的准确度。
在一个实施例中,步骤S130为了计算历史操作行为集合中的每种操作行为与偏好操作行为集合中的每种操作行为的相似度,通过对特征项的相似度加权求和,计算历史操作行为集合中的每种操作行为与偏好操作行为集合中的每种操作行为的相似度。
具体地,相似度计算公式为:
Sim(ci,xi)=∑KλkSim(cik,xjk) (1)
公式(1)中,ci表示云操作员,xj表示操作行为,cik表示云操作员在第k个方面的特征,xjk表示操作行为在第k个方面的特征,Sim(ci,xi)表示操作行为ci和xj在第k个特征方面的相似度,λk表示权重。
通过上述公式(1)计算历史操作行为集合中的每种操作行为与偏好操作行为集合中的每种操作行为的相似度,这样可以提高后续识别异常操作行为的准确度。
在另一实施例中,步骤S140根据相似度生成预测操作行为集合,主要是通过以下步骤:
步骤S141,筛选历史操作行为集合中每种操作行为与偏好操作行为集合中每种操作行为的相似度大于第二预设值的操作行为。
在该步骤中,筛选出上述公式(1)中Sim(ci,xi)的值大于第二预设值的操作行为,这样可以大大精简了后续处理,同时也提高了后续识别异常操作行为的准确度。
步骤S142,将筛选出的操作行为,作为第一云操作员在第二预设周期的预设时间段内的预测操作行为。
在该步骤中,例如:筛选出的操作行为是云操作员A在一个月内每天8:00-9:00时间段偏好的操作行为是【删除】,那么预测云操作员A在未来一个月内每天8:00-9:00时间段的操作行为是【删除】。
步骤S143,基于预测操作行为,生成预测操作行为集合。
在本发明实施例中,计算出历史操作行为集合中每种操作行为与偏好操作行为集合中每种操作行为的相似度,通过根据计算得到的相似度对操作行为进行排序,得到预测操作行为集合,再依据预测操作行为集合可以精确地判断出云操作员未来一段时间内的操作行为是否是异常操作行为,这样能够及时识别出云操作员的异常行为,从而可以全面保障用户权益。
图3示出了本发明实施例的识别实际操作行为是否为异常操作行为的示意图,图3与图1相同或等同的步骤使用相同的标号。
如图3所示,在一个实施例中,步骤S150依据预测操作行为集合,识别第一云操作员在第二预设周期的每个预设时间段内的实际操作行为是否为异常操作行为。在本发明实施例中是通过两种情况进行说明。
第一种301,当第一云操作员在第二预设周期的某个预设时间段内的实际操作行为不是预测操作行为集合中的操作行为时,则将实际操作行为识别为异常操作行为。
第二种302,当第一云操作员在第二预设周期的某个预设时间段内的实际操作行为是预测操作行为集合中的操作行为时,则将实际操作行为识别为正常操作行为。
在本发明实施例中通过判断实际操作行为是否是预测操作行为集合中的操作行为,这样能够及时识别出云操作员的异常行为,从而可以全面保障用户权益。
在一个实施例中,上述提及到的历史操作行为集合、偏好操作行为集合和预测操作行为集合中的每种操作行为均由至少一个特征项表征。
在该实施例中,需要明白的是,每个操作行为都是使用特征向量表示,每个特征向量包括有多个特征项。另外,在该实施例中特征项主要是操作类型、操作功能和操作的执行位置。例如:打开、复制、删除、A区等等。
下面结合图4详细介绍本发明实施例的异常操作行为的识别装置。图4示出了根据本发明另一实施例提供的异常操作行为的识别装置的结构示意图。如图4所示,异常操作行为的识别装置400包括:
第一获取模块410,用于根据多个云操作员的行为日志,获得历史操作行为集合,历史操作行为集合由多个云操作员在第一预设周期的各种操作行为构成。
第二获取模块420,用于依据第一云操作员的行为日志,获得偏好操作行为集合,偏好操作行为集合由第一云操作员在第一预设周期的预设时间段内偏好的各种操作行为构成。
计算模块430,用于计算历史操作行为集合中的每种操作行为与偏好操作行为集合中的每种操作行为的相似度。
生成模块440,用于根据相似度生成预测操作行为集合;其中,预测操作行为集合由预测的第一云操作员在第二预设周期的预设时间段内的各种操作行为构成。
识别模块450,用于依据所述预测操作行为集合,识别所述第一云操作员在所述第二预设周期的每个所述预设时间段内的实际操作行为是否为异常操作行为。
在一个实施例中,第二获取模块420,具体可以包括:
统计单元421,用于依据第一云操作员的行为日志,统计第一云操作员在第一预设周期的预设时间段内的每种操作行为的执行频率。
获取偏好单元422,用于将执行频率大于第一预设值的操作行为,作为第一云操作员在第一预设周期的预设时间段内偏好的操作行为,获得偏好操作行为集合。
在一个实施例中,计算模块430,具体用于通过对特征项的相似度加权求和,计算历史操作行为集合中的每种操作行为与偏好操作行为集合中的每种操作行为的相似度。
在一个实施例中,生成模块440,具体可以包括:
筛选单元441,用于筛选历史操作行为集合中每种操作行为与偏好操作行为集合中每种操作行为的相似度大于第二预设值的操作行为。
预测单元442,用于将筛选出的操作行为,作为第一云操作员在第二预设周期的预设时间段内的预测操作行为。
生成单元443,用于基于预测操作行为,生成预测操作行为集合。
在一个实施例中,识别模块450,具体可以用于当第一云操作员在第二预设周期的某个预设时间段内的实际操作行为不是预测操作行为集合中的操作行为时,则将实际操作行为识别为所述异常操作行为;
或者,
用于当第一云操作员在第二预设周期的某个预设时间段内的实际操作行为是预测操作行为集合中的操作行为时,则将实际操作行为识别为正常操作行为。
在一个实施例中,历史操作行为集合、偏好操作行为集合和预测操作行为集合中的每种操作行为均由至少一个特征项表征。
在一个实施例中,特征项包括以下至少一种:操作类型、操作功能和操作的执行位置。
根据本发明实施例的异常操作行为的识别装置的其他细节与以上结合图1描述的根据本发明实施例的异常操作行为的识别方法类似,在此不再赘述。
通过本发明实施例提供的异常操作行为的识别装置,能够及时识别出云云操作员的异常行为,从而可以全面保障用户权益。
结合图1至图4描述的根据本发明实施例的异常操作行为的识别方法和装置可以由异常操作行为的识别设备来实现。图5是示出根据发明实施例的异常操作行为的识别设备的硬件结构500示意图。
如图5所示,本实施例中的异常操作行为的识别设备500包括输入设备501、输入接口502、中央处理器503、存储器504、输出接口505、以及输出设备506。其中,输入接口502、中央处理器503、存储器504、以及输出接口505通过总线510相互连接,输入设备501和输出设备506分别通过输入接口502和输出接口505与总线510连接,进而与异常操作行为的识别设备500的其他组件连接。
具体地,输入设备501接收来自外部的输入信息,并通过输入接口502将输入信息传送到中央处理器503;中央处理器503基于存储器504中存储的计算机可执行指令对输入信息进行处理以生成输出信息,将输出信息临时或者永久地存储在存储器504中,然后通过输出接口505将输出信息传送到输出设备506;输出设备506将输出信息输出到异常操作行为的识别设备500的外部供用户使用。
也就是说,图5所示的异常操作行为的识别设备也可以被实现为包括:存储有计算机可执行指令的存储器;以及处理器,该处理器在执行计算机可执行指令时可以实现结合图1至图4描述的异常操作行为的识别方法和装置。
在一个实施例中,图5所示的异常操作行为的识别设备500包括:存储器504,用于存储程序;处理器503,用于运行存储器中存储的程序,以执行本发明实施例异常操作行为的识别方法。
本发明实施例提供的异常操作行为的识别设备,能够及时识别出云操作员的异常行为,从而可以全面保障用户权益。
本发明实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现本发明实施例提供的异常操作行为的识别方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或***。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上所述,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的***、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种异常操作行为的识别方法,其特征在于,包括:
根据多个云操作员的行为日志,获得历史操作行为集合,所述历史操作行为集合由所述多个云操作员在第一预设周期的各种操作行为构成;
依据第一云操作员的行为日志,获得偏好操作行为集合,所述偏好操作行为集合由所述第一云操作员在所述第一预设周期的预设时间段内偏好的各种操作行为构成;
计算所述历史操作行为集合中的每种操作行为与所述偏好操作行为集合中的每种操作行为的相似度;
根据所述相似度生成预测操作行为集合,所述预测操作行为集合由预测的所述第一云操作员在第二预设周期的所述预设时间段内的各种操作行为构成;
依据所述预测操作行为集合,识别所述第一云操作员在所述第二预设周期的每个所述预设时间段内的实际操作行为是否为异常操作行为。
2.根据权利要求1所述异常操作行为的识别方法,其特征在于,所述依据第一云操作员的行为日志,获得偏好操作行为集合,包括:
依据所述第一云操作员的行为日志,统计所述第一云操作员在所述第一预设周期的所述预设时间段内的每种操作行为的执行频率;
将所述执行频率大于第一预设值的操作行为,作为所述第一云操作员在所述第一预设周期的所述预设时间段内偏好的操作行为,获得偏好操作行为集合。
3.根据权利要求2所述异常操作行为的识别方法,其特征在于,所述计算所述历史操作行为集合中的每种操作行为与所述偏好操作行为集合中的每种操作行为的相似度,包括:
通过对所述特征项的相似度加权求和,计算所述历史操作行为集合中的每种操作行为与所述偏好操作行为集合中的每种操作行为的相似度。
4.根据权利要求1-3任一所述异常操作行为的识别方法,其特征在于,所述根据所述相似度生成预测操作行为集合,包括:
筛选所述历史操作行为集合中每种操作行为与所述偏好操作行为集合中每种操作行为的相似度大于第二预设值的操作行为;
将筛选出的操作行为,作为所述第一云操作员在所述第二预设周期的所述预设时间段内的预测操作行为;
基于所述预测操作行为,生成所述预测操作行为集合。
5.根据权利要求1-3任一所述异常操作行为的识别方法,其特征在于,所述依据所述预测操作行为集合,识别所述第一云操作员在所述第二预设周期的每个所述预设时间段内的实际操作行为是否为异常操作行为,包括:
当所述第一云操作员在所述第二预设周期的某个所述预设时间段内的实际操作行为不是所述预测操作行为集合中的操作行为时,则将所述实际操作行为识别为所述异常操作行为;
或者,
当所述第一云操作员在所述第二预设周期的某个所述预设时间段内的实际操作行为是所述预测操作行为集合中的操作行为时,则将所述实际操作行为识别为正常操作行为。
6.根据权利要求1-3任一所述异常操作行为的识别方法,其特征在于,所述历史操作行为集合、所述偏好操作行为集合和所述预测操作行为集合中的每种操作行为均由至少一个特征项表征。
7.根据权利要求6所述异常操作行为的识别方法,其特征在于,所述特征项包括以下至少一种:操作类型、操作功能和操作的执行位置。
8.一种异常操作行为的识别装置,其特征在于,所述装置包括:
第一获取模块,用于根据多个云操作员的行为日志,获得历史操作行为集合,所述历史操作行为集合由所述多个云操作员在第一预设周期的各种操作行为构成;
第二获取模块,用于依据第一云操作员的行为日志,获得偏好操作行为集合,所述偏好操作行为集合由所述第一云操作员在所述第一预设周期的预设时间段内偏好的各种操作行为构成;
计算模块,用于计算所述历史操作行为集合中的每种操作行为与所述偏好操作行为集合中的每种操作行为的相似度;
生成模块,用于根据所述相似度生成预测操作行为集合;其中,所述预测操作行为集合由预测的所述第一云操作员在第二预设周期的所述预设时间段内的各种操作行为构成;
识别模块,用于依据所述预测操作行为集合,识别所述第一云操作员在所述第二预设周期的每个所述预设时间段内的实际操作行为是否为异常操作行为。
9.一种异常操作行为的识别设备,其特征在于,所述设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如权利要求1-7任意一项所述的异常操作行为的识别方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-7任意一项所述的异常操作行为的识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810961289.1A CN109344042B (zh) | 2018-08-22 | 2018-08-22 | 异常操作行为的识别方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810961289.1A CN109344042B (zh) | 2018-08-22 | 2018-08-22 | 异常操作行为的识别方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109344042A true CN109344042A (zh) | 2019-02-15 |
| CN109344042B CN109344042B (zh) | 2022-02-18 |
Family
ID=65291633
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810961289.1A Active CN109344042B (zh) | 2018-08-22 | 2018-08-22 | 异常操作行为的识别方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109344042B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111342994A (zh) * | 2020-02-03 | 2020-06-26 | 杭州迪普科技股份有限公司 | 网络管理***和方法 |
| CN112286775A (zh) * | 2020-10-30 | 2021-01-29 | 深圳前海微众银行股份有限公司 | 一种疲劳状态检测的方法、设备及存储介质 |
| WO2021098327A1 (zh) * | 2019-11-22 | 2021-05-27 | 支付宝(杭州)信息技术有限公司 | 基于隐私数据保护的异常采集行为识别方法和装置 |
| CN113449558A (zh) * | 2020-03-26 | 2021-09-28 | 上海依图网络科技有限公司 | 一种人员异常行为监测方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102963298A (zh) * | 2012-09-29 | 2013-03-13 | 重庆长安汽车股份有限公司 | 基于视线检测的异常行为监控方法 |
| CN104616092A (zh) * | 2014-12-16 | 2015-05-13 | 国家电网公司 | 一种基于分布式日志分析的行为模式处理方法 |
| US20150205692A1 (en) * | 2014-01-23 | 2015-07-23 | Concurix Corporation | Behavior clustering analysis and alerting system for computer applications |
| CN106199421A (zh) * | 2016-06-27 | 2016-12-07 | 北京协同创新研究院 | 一种基于工业大数据的预警方法和*** |
| CN107330128A (zh) * | 2017-07-24 | 2017-11-07 | 上海众人网络安全技术有限公司 | 认证异常判断方法及装置 |
-
2018
- 2018-08-22 CN CN201810961289.1A patent/CN109344042B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102963298A (zh) * | 2012-09-29 | 2013-03-13 | 重庆长安汽车股份有限公司 | 基于视线检测的异常行为监控方法 |
| US20150205692A1 (en) * | 2014-01-23 | 2015-07-23 | Concurix Corporation | Behavior clustering analysis and alerting system for computer applications |
| CN104616092A (zh) * | 2014-12-16 | 2015-05-13 | 国家电网公司 | 一种基于分布式日志分析的行为模式处理方法 |
| CN106199421A (zh) * | 2016-06-27 | 2016-12-07 | 北京协同创新研究院 | 一种基于工业大数据的预警方法和*** |
| CN107330128A (zh) * | 2017-07-24 | 2017-11-07 | 上海众人网络安全技术有限公司 | 认证异常判断方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021098327A1 (zh) * | 2019-11-22 | 2021-05-27 | 支付宝(杭州)信息技术有限公司 | 基于隐私数据保护的异常采集行为识别方法和装置 |
| CN111342994A (zh) * | 2020-02-03 | 2020-06-26 | 杭州迪普科技股份有限公司 | 网络管理***和方法 |
| CN113449558A (zh) * | 2020-03-26 | 2021-09-28 | 上海依图网络科技有限公司 | 一种人员异常行为监测方法及装置 |
| CN112286775A (zh) * | 2020-10-30 | 2021-01-29 | 深圳前海微众银行股份有限公司 | 一种疲劳状态检测的方法、设备及存储介质 |
| CN112286775B (zh) * | 2020-10-30 | 2023-01-24 | 深圳前海微众银行股份有限公司 | 一种疲劳状态检测的方法、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109344042B (zh) | 2022-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3528463B1 (en) | An artificial intelligence cyber security analyst | |
| US11012472B2 (en) | Security rule generation based on cognitive and industry analysis | |
| Deshpande et al. | HIDS: A host based intrusion detection system for cloud computing environment | |
| EP3292471B1 (en) | Method and device for managing security in a computer network | |
| US9998484B1 (en) | Classifying potentially malicious and benign software modules through similarity analysis | |
| US11347867B2 (en) | Methods and apparatuses to evaluate cyber security risk by establishing a probability of a cyber-attack being successful | |
| Noor et al. | A machine learning framework for investigating data breaches based on semantic analysis of adversary’s attack patterns in threat intelligence repositories | |
| EP2610776B1 (en) | Automated behavioural and static analysis using an instrumented sandbox and machine learning classification for mobile security | |
| Kumar et al. | A robust intelligent zero-day cyber-attack detection technique | |
| US20230336581A1 (en) | Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes | |
| CN109344042A (zh) | 异常操作行为的识别方法、装置、设备及介质 | |
| WO2023283357A1 (en) | Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes | |
| Khosravi et al. | Alerts correlation and causal analysis for APT based cyber attack detection | |
| RU2610395C1 (ru) | Способ расследования распределенных событий компьютерной безопасности | |
| CN113225331A (zh) | 基于图神经网络的主机入侵安全检测方法、***及装置 | |
| Fedorchenko et al. | Correlation of security events based on the analysis of structures of event types | |
| Amin et al. | Classification of cyber attacks based on rough set theory | |
| Kannan et al. | A novel cloud intrusion detection system using feature selection and classification | |
| Mukherjee et al. | Evading {Provenance-Based}{ML} detectors with adversarial system actions | |
| Safarzadeh et al. | A novel and comprehensive evaluation methodology for SIEM | |
| Machado et al. | A hybrid artificial immune and mobile agent intrusion detection based model for computer network operations | |
| Kassem | Intelligent system using machine learning techniques for security assessment and cyber intrusion detection | |
| CN115632884A (zh) | 基于事件分析的网络安全态势感知方法与*** | |
| Wagner et al. | Quantitative analysis of the mission impact for host-level cyber defensive mitigations. | |
| Ogundokun et al. | Cyber intrusion detection system based on machine learning classification approaches |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |