ES2801273T3 - Método y aparato para reconocer el comportamiento de riesgo - Google Patents

Método y aparato para reconocer el comportamiento de riesgo Download PDF

Info

Publication number
ES2801273T3
ES2801273T3 ES16758446T ES16758446T ES2801273T3 ES 2801273 T3 ES2801273 T3 ES 2801273T3 ES 16758446 T ES16758446 T ES 16758446T ES 16758446 T ES16758446 T ES 16758446T ES 2801273 T3 ES2801273 T3 ES 2801273T3
Authority
ES
Spain
Prior art keywords
link
behavior
specific
risk
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES16758446T
Other languages
English (en)
Inventor
Renxin Mao
Chao Sun
Xinkai Li
Dijun He
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Application granted granted Critical
Publication of ES2801273T3 publication Critical patent/ES2801273T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Un método para identificar comportamientos de riesgo dentro de una red informática, el método que comprende: adquirir datos de comportamiento del usuario, los datos de comportamiento del usuario que comprenden un registro de actividades de red realizadas por el usuario en una red en un período de tiempo (S11); seleccionar un enlace de comportamiento específico de los datos de comportamiento organizando secuencialmente las actividades de la red dentro de la red informática de acuerdo con los tiempos de ocurrencia (S12); determinar un coeficiente de riesgo del enlace de comportamiento específico en los datos de comportamiento, el coeficiente de riesgo comprende un valor numérico para expresar un grado de rareza del enlace de comportamiento específico (S13), que comprende determinar un coeficiente de riesgo histórico mediante: la adquisición de una duración de tiempo total para el usuario desde un tiempo de registro hasta un tiempo actual; la adquisición de una duración de tiempo real para que el usuario opere el enlace de comportamiento específico; y el suavizado de la duración del tiempo total y la duración del tiempo real utilizando el procesamiento logarítmico para obtener una duración del tiempo total suavizado y una duración del tiempo real suavizado, en donde la duración del tiempo total suavizado comprende un logaritmo de la duración del tiempo total y la duración del tiempo real suavizado comprende un logaritmo de la duración del tiempo real; y el cálculo del coeficiente de riesgo histórico dividiendo i) la duración del tiempo real suavizado más uno, por ii) la duración del tiempo total suavizado más uno; y la determinación, de acuerdo con el coeficiente de riesgo, si el enlace de comportamiento específico es riesgoso (S14).

Description

DESCRIPCIÓN
Método y aparato para reconocer el comportamiento de riesgo
Campo técnico
La presente solicitud se refiere al campo de las tecnologías informáticas y, en particular, a un método y un aparato para identificar un comportamiento de riesgo de la red.
Técnica relacionada
Con el desarrollo de Internet, los comportamientos de las personas en la red se entrelazan con mayor frecuencia. Conceptualmente, un comportamiento de la red se refiere a un proceso de adquisición, envío o transmisión de datos de red por cada individuo de red en la red, que generalmente incluye: consulta de información, descarga de archivos, envío de correo y similares. Además de los comportamientos normales de la red, los comportamientos anormales de la red realizados por individuos en la red de manera intencional o no, tal como la información de navegación irrelevante para el trabajo de un empleado de la empresa durante el trabajo o la consulta ilegal de un historial de gastos por parte del personal de servicio al cliente de la red, pueden causar pérdidas. Para tratar el problema anterior, surge un sistema de monitoreo de riesgos para monitorear un comportamiento de riesgo de la red.
En la actualidad, un sistema convencional de monitoreo de riesgos, mediante la construcción de un motor de reglas, extrae y analiza las características de los comportamientos de la red que se ajustan a las definiciones de las reglas, identificando así los riesgos de los comportamientos de la red. Sin embargo, las reglas empleadas por el motor de reglas generalmente tienen vulnerabilidades, y es necesario agregar reglas continuamente para remediar las vulnerabilidades de las reglas. Esto definitivamente puede aumentar la carga de trabajo de los desarrolladores, y la eficiencia es baja. Además, el propio motor de reglas necesita consumir recursos informáticos adicionales, lo que causa por lo tanto una carga para un sistema informático.
El documento US 2014/359777 A1 divulga un servidor de administración de dispositivos móviles y un método para determinar el riesgo de seguridad para los dispositivos móviles implementados. El servidor de administración de dispositivos móviles recibe mediciones de riesgo de dispositivos móviles que se utilizan para calcular un puntaje de riesgo basado en las reglas. El puntaje de riesgo también se puede ajustar correlacionando las mediciones de riesgo recibidas con violaciones anteriores de seguridad o medidas de uso típicas. El puntaje de riesgo calculado se compara con uno o más umbrales para determinar si se debe tomar una acción de protección que se asocie con que se excede un umbral.
El documento US 7574382 B1 divulga un motor de detección de anomalías que monitorea el tráfico de la red para detectar pedidos realizados por los usuarios desde un catálogo electrónico de artículos, agrega datos sobre los pedidos detectados por período de tiempo y analiza los datos agregados para detectar anomalías en niveles de actividad asociados con artículos específicos en el catálogo. Para detectar si existe una anomalía en los datos de actividad asociados con un elemento determinado, se utiliza un algoritmo de pronóstico, tal como un algoritmo de suavizado exponencial, para generar un volumen de pedido esperado para un período de tiempo actual, y el volumen de pedido esperado se compara con un volumen de pedido real.
Resumen de la invención
La presente invención está definida por las reivindicaciones. Las modalidades de la presente solicitud proporcionan un método y un aparato para identificar un comportamiento de riesgo para resolver el problema de baja eficiencia en la técnica anterior causado al remediar una vulnerabilidad de la regla durante la identificación de un riesgo de comportamiento de la red, y el problema que un motor de regla consume más recursos informáticos.
El método para identificar un comportamiento de riesgo proporcionado en las modalidades de la presente solicitud incluye:
adquirir datos de comportamiento de un usuario;
determinar un coeficiente de riesgo de un enlace de comportamiento específico en los datos de comportamiento; y
evaluar, de acuerdo con el coeficiente de riesgo, si el enlace de comportamiento específico es riesgoso.
El aparato para identificar un comportamiento de riesgo proporcionado en las modalidades de la presente solicitud incluye:
un módulo de adquisición configurado para adquirir datos de comportamiento de un usuario;
un módulo de determinación configurado para determinar un coeficiente de riesgo de un enlace de comportamiento específico en los datos de comportamiento; y
un módulo de evaluación configurado para evaluar, de acuerdo con el coeficiente de riesgo, si el enlace de comportamiento específico es riesgoso.
La al menos una solución técnica empleada en las modalidades de la presente solicitud puede lograr los siguientes efectos beneficiosos:
En las modalidades de la presente solicitud, se adquieren datos de comportamiento de un usuario, y se selecciona un enlace de comportamiento específico de los datos de comportamiento; el coeficiente de riesgo del enlace de comportamiento específico en los datos de comportamiento se determina mediante cálculos y, finalmente, se determina, de acuerdo con el coeficiente de riesgo, si el enlace de comportamiento específico es riesgoso. En comparación con la manera del motor de reglas, en el proceso anterior, no es necesario remediar una vulnerabilidad de la regla manualmente, mejorando así la eficiencia de la identificación del riesgo de comportamiento. Además, el proceso anterior evita la desventaja de que el motor de reglas consuma recursos informáticos adicionales, aliviando así la carga de un sistema informático.
Breve descripción de los dibujos acompañantes
Los dibujos adjuntos descritos aquí se utilizan para proporcionar una mejor comprensión de la presente solicitud y constituyen una parte de la presente solicitud. Las modalidades esquemáticas de la presente solicitud y la descripción de la misma se usan para ilustrar la presente solicitud, pero no constituyen limitaciones inadecuadas para la presente solicitud. En los dibujos:
La Figura 1 muestra un proceso de un método para identificar un comportamiento de riesgo de acuerdo con una modalidad de la presente solicitud;
La Figura 2 muestra un proceso de selección de un enlace de comportamiento específico a partir de datos de comportamiento en un método para identificar un comportamiento riesgoso de acuerdo con una modalidad de la presente solicitud;
La Figura 3 muestra un proceso para determinar un coeficiente de riesgo a corto plazo en un método para identificar un comportamiento de riesgo de acuerdo con una modalidad de la presente solicitud;
La Figura 4 muestra un proceso para determinar un coeficiente de riesgo histórico en un método para identificar un comportamiento de riesgo de acuerdo con una modalidad de la presente solicitud;
La Figura 5 muestra un proceso para determinar un coeficiente de riesgo del equipo en un método para identificar un comportamiento de riesgo de acuerdo con una modalidad de la presente solicitud;
La Figura 6 muestra un proceso de evaluar si un enlace de comportamiento específico es riesgoso en un método para identificar un comportamiento de riesgo de acuerdo con una modalidad de la presente solicitud; y
La Figura 7 es un diagrama estructural esquemático de un aparato para identificar un comportamiento de riesgo de acuerdo con una modalidad de la presente solicitud.
Descripción detallada
Para aclarar los objetivos, las soluciones técnicas y las ventajas de la presente solicitud, las soluciones técnicas de la presente solicitud se describen clara y completamente a continuación con referencia a las modalidades específicas de la presente solicitud y los dibujos correspondientes. Aparentemente, las modalidades divulgadas son simplemente algunas de las modalidades de la presente solicitud, en lugar de todas las modalidades. En base a las modalidades de la presente solicitud, todas las demás modalidades obtenidas por los expertos en la técnica sin pagar esfuerzos creativos pertenecen al alcance de protección de la presente solicitud.
La Figura 1 muestra un proceso de un método para identificar un comportamiento de riesgo de acuerdo con una modalidad de la presente solicitud, que incluye las siguientes etapas: S11: Se adquieren los datos de comportamiento de un usuario.
En la modalidad de la presente solicitud, los datos de comportamiento se obtienen a través de un sistema de monitoreo de red. El sistema de monitoreo de red monitorea y controla los ordenadores en una red para registrar las actividades de Internet (comportamiento de la red) realizadas por los usuarios en la red en una dimensión de tiempo. El sistema de monitoreo de red incluye hardware de monitoreo o software de monitoreo, y la red incluye una red de área local, una red de área metropolitana o una red de área amplia. Los datos de comportamiento anteriores se almacenan en un medio de almacenamiento particular, y de acuerdo con un requisito de análisis real, los datos de comportamiento correspondientes se extraen del medio de almacenamiento para su análisis.
En esta descripción, se toma como ejemplo un sitio web de comercio electrónico para presentar las soluciones técnicas de la presente solicitud. Por lo tanto, el método para identificar un comportamiento de riesgo se utiliza para controlar si un comportamiento de la red del personal de servicio al cliente de un sitio web de comercio electrónico es riesgoso.
S12: Se selecciona un enlace de comportamiento específico de los datos de comportamiento. Un enlace de comportamiento se refiere a una combinación obtenida al ordenar secuencialmente múltiples comportamientos de acuerdo con los tiempos de ocurrencia. Como un enlace de comportamiento está más cerca de una intención de comportamiento real del usuario, se mejora la credibilidad de la identificación del riesgo de comportamiento de la red.
La Figura 2 muestra un proceso de selección de un enlace de comportamiento específico a partir de datos de comportamiento en un método para identificar un comportamiento de riesgo de acuerdo con una modalidad de la presente solicitud. En la modalidad de la presente solicitud, la etapa S12 incluye específicamente las siguientes etapas:
S121: Los datos de fragmentos en un período de tiempo específico se seleccionan a partir de los datos de comportamiento.
Todavía tomando el ejemplo en esta descripción, se supone que un individuo de la red que necesita un análisis de riesgo de comportamiento es un usuario M. En este caso, los datos fragmentados del usuario M en un período de tiempo específico en un día particular D se extraen del medio de almacenamiento. Si el período de tiempo específico es de 15 minutos, por ejemplo, desde las 13:10 a las 13:25, los datos del fragmento se refieren a datos sobre comportamientos realizados por el usuario M en el período de 13:10 a 13:25 en ese día.
S122: Se adquieren los comportamientos incluidos en los datos del fragmento.
En el ejemplo anterior, se supone que en el período de 13:10 a 13:25 de ese día, los comportamientos realizados por el usuario M incluyen un comportamiento X, un comportamiento Y y un comportamiento Z.
S123: Los comportamientos se ordenan en orden cronológico de acuerdo con los tiempos de ocurrencia para obtener un enlace de comportamiento.
En el ejemplo anterior, la clasificación se lleva a cabo en orden cronológico de acuerdo con los tiempos de ocurrencia del comportamiento X, el comportamiento Y y el comportamiento Z, y un enlace de comportamiento específico obtenido G es: comportamiento X ^ comportamiento y ^ comportamiento Z.
S13: Se determina un coeficiente de riesgo del enlace de comportamiento específico en los datos de comportamiento.
En la modalidad de la presente solicitud, el coeficiente de riesgo es un valor numérico para expresar el grado de rareza de un enlace de comportamiento específico G. Generalmente, si el comportamiento de la red tiene una probabilidad relativamente alta de ocurrencia, es decir, el comportamiento de la red es relativamente común, indica que el comportamiento de la red es un comportamiento normal, por ejemplo, un comportamiento de visualización de información de la tienda por parte del personal de servicio al cliente. Si un comportamiento de la red tiene una probabilidad relativamente baja de ocurrencia, es decir, el comportamiento de la red solo ocurre en condiciones extremadamente raras, indica que el comportamiento de la red es un comportamiento de riesgo, por ejemplo, un comportamiento de consulta a los historiales de gastos de familiares y amigos por parte del personal de servicio al cliente. La presente solicitud evalúa, de acuerdo con el coeficiente de riesgo, si un comportamiento de la red es riesgoso.
En la modalidad de la presente solicitud, el coeficiente de riesgo anterior incluye uno o más de un coeficiente de riesgo a corto plazo a, un coeficiente de riesgo histórico b, y un coeficiente de riesgo del equipo c. Ciertamente, en otras modalidades de la presente solicitud, el coeficiente de riesgo analizado puede no estar limitado a los tres tipos anteriores. El coeficiente de riesgo a corto plazo a se refiere al grado de rareza al operar el enlace de comportamiento específico G por el usuario M en un primer período de tiempo t 1 (como por ejemplo un día). El coeficiente de riesgo histórico b se refiere a un grado de rareza al operar el enlace de comportamiento específico G por el usuario M en un período de tiempo total t2 de registro del usuario (un intervalo desde un tiempo de registro hasta un tiempo actual). Si se define que una población de usuarios a la que pertenece el usuario M es un grupo de usuarios y el grupo de usuarios incluye múltiples usuarios, el coeficiente de riesgo del equipo c se refiere a un grado de rareza al operar el enlace de comportamiento específico G por el grupo de usuarios al que el usuario M pertenece.
Los procesos para determinar los coeficientes de riesgo anteriores se describirán en detalle a continuación: La Figura 3 muestra un proceso para determinar un coeficiente de riesgo a corto plazo en un método para identificar un comportamiento de riesgo de acuerdo con una modalidad de la presente solicitud, que incluye específicamente las siguientes etapas:
S131: Se adquiere un número total de operaciones s1 en las que el usuario M opera todos los enlaces de comportamiento en un primer período de tiempo ti.
Todavía tomando el ejemplo en esta descripción, suponiendo que el primer período de tiempo ti es un día, el número de todos los enlaces de comportamiento (es decir, el número total de operaciones si) realizadas por el usuario M en ese día puede contarse en función de datos de comportamiento del usuario M en ese día. En la modalidad de la presente solicitud, el número total de operaciones si del usuario M en ese día se cuenta usando un intervalo de tiempo para que un único enlace de comportamiento específico G dure como referencia. Específicamente, si tG es de l5 minutos, el número total de operaciones si = 24 * 60/15 = 96.
S132: Se adquiere el número de operaciones s2 en el que el usuario M opera el enlace de comportamiento específico G en el primer período de tiempo ti.
En el ejemplo anterior, el primer período de tiempo establecido ti es un día y, por lo tanto, se cuenta el número de veces (es decir, el número de operaciones s2) que el usuario M opera el enlace de comportamiento específico G en ese día. Específicamente, si tG es de i5 minutos, el día se divide en varios segmentos de tiempo de i5 minutos, y se evalúa secuencialmente si el enlace de comportamiento específico G ocurre en cada segmento de tiempo de i5 minutos; en caso afirmativo, el número de operaciones s2 se incrementa en i, y si no, el número de operaciones s2 se incrementa en 0, hasta que se obtenga el número de operaciones s2 en ese día.
Si33: Se determina una relación entre el número total de operaciones si y el número de operaciones s2 para obtener el coeficiente de riesgo a corto plazo a.
En la modalidad de la presente solicitud, una fórmula para calcular el coeficiente de riesgo a corto plazo a es la siguiente:
a = si/s2.
La Figura 4 muestra un proceso para determinar un coeficiente de riesgo histórico en un método para identificar un comportamiento de riesgo de acuerdo con una modalidad de la presente solicitud, que incluye específicamente las siguientes etapas:
Si34: Se adquiere una duración de tiempo total t2 del usuario M desde un tiempo de registro hasta un tiempo actual ta.
Todavía tomando el ejemplo en esta descripción, se supone que el tiempo de registro to del usuario M en un sistema de servicio al cliente de un sitio web de comercio electrónico es iro de enero del 20i4, y un tiempo actual ta es iro de enero del 20i5; en este caso, la duración total del tiempo t2 es de 365 días.
Si35: Se adquiere una duración de tiempo real t3 en la que el usuario M opera el enlace de comportamiento específico G.
En la modalidad de la presente solicitud, en la etapa de adquirir una longitud de tiempo real t3 en la que el usuario M opera el enlace de comportamiento específico G, el cálculo se lleva a cabo diariamente. En este caso, los datos de comportamiento del usuario M en los 365 días se dividen en 365 fragmentos de datos a diario, y se evalúa secuencialmente si el enlace de comportamiento específico G ocurre en los datos de fragmentos de cada día; en caso afirmativo, la duración de tiempo real t3 se incrementa en i; y si no, la duración de tiempo real t3 se incrementa en 0, hasta que se obtiene el número real de días (es decir, la duración de tiempo real t3) en que el usuario M opera el enlace de comportamiento específico G.
Si36: El coeficiente de riesgo histórico b se determina de acuerdo con el tiempo total t2 y el tiempo real t3.
En la modalidad de la presente solicitud, para un usuario antiguo, como el usuario se registra en un momento anterior, el tiempo total de duración t2 es relativamente largo (tal como 3 años). Suponiendo que la duración de tiempo real t3 en el que el usuario antiguo opera el enlace de comportamiento específico G es de 2 días, finalmente se concluye que la probabilidad de operar el enlace de comportamiento específico G por el usuario antiguo en el período de tiempo total t2 es relativamente baja. Sin embargo, para un nuevo usuario, como el usuario se registró recientemente, el tiempo total t2 es relativamente corto (como 5 días). Suponiendo que la duración de tiempo real t3 en el que el nuevo usuario opera el enlace de comportamiento específico G es de 2 días, finalmente se concluye que la probabilidad de que el nuevo usuario opere el enlace de comportamiento específico G en el período de tiempo total t2 es relativamente alta. Como puede verse, la diferencia entre usuarios nuevos y antiguos puede afectar la credibilidad del coeficiente de riesgo histórico b, y para suavizar la diferencia entre usuarios nuevos y antiguos, la etapa S136 incluye específicamente:
En primer lugar, la duración de tiempo total t2 y la duración de tiempo real t3 se suavizan para obtener una duración de tiempo total suavizado t2 k y una duración de tiempo real suavizado t3k. En la modalidad de la presente solicitud, el suavizado puede ser por procesamiento logarítmico, por procesamiento de módulo, por procesamiento de extracción de raíz o similares. Tomando la forma de procesamiento logarítmico como ejemplo, t2k = lg Í2i y t3k = lg t3. Ciertamente, la base del procesamiento logarítmico no está limitada.
Luego, los cálculos se llevan a cabo en la longitud de tiempo total de suavizado t2k y la longitud de tiempo total de suavizado t3k para obtener el coeficiente de riesgo histórico b. En la modalidad de la presente solicitud, una fórmula para calcular el coeficiente de riesgo histórico b es la siguiente:
b=(1+ t3k)/(1+t2k)=(1+lgt3)/(1+lgt2).
La Figura 5 muestra un proceso para determinar un coeficiente de riesgo del equipo en un método para identificar un comportamiento de riesgo de acuerdo con una modalidad de la presente solicitud, que incluye específicamente las siguientes etapas:
S137: Se determina un número total de usuarios n incluidos en un grupo de usuarios al que pertenece el usuario M. Todavía tomando el ejemplo en esta descripción, se supone que el usuario M es personal de servicio al cliente de un sitio web de comercio electrónico. En este caso, un departamento al que pertenece el usuario M es el grupo de usuarios. Se supone que el número total de usuarios n incluidos en este departamento es 20.
S138: Un número real de usuarios m que han operado el enlace de comportamiento específico G en un segundo período de tiempo t4 se adquiere en el grupo de usuarios.
En el ejemplo anterior, si el segundo período de tiempo t4 es un día, la etapa S138 se utiliza para contar el número de personas que han operado el enlace de comportamiento específico G (es decir, el número real de usuarios m) en un día particular entre Las 20 personas del departamento al que pertenece el usuario M. Específicamente, los datos de comportamiento de las 20 personas en el departamento en ese día se obtienen por separado por adelantado, y luego se ve secuencialmente si los 20 usuarios han operado el enlace de comportamiento específico G ese día; en caso afirmativo, el número real de usuarios m se incrementa en 1; y si no, el número real de usuarios m se incrementa en 0, hasta que se obtenga el número real de usuarios m que han operado el enlace de comportamiento específico G ese día.
S139: El coeficiente de riesgo del equipo c se determina de acuerdo con el número total de usuarios n y el número real de usuarios m.
En la modalidad de la presente solicitud, si el grupo de usuarios que necesita ser analizado incluye un gran número de usuarios (por ejemplo, n = 1000), y si se obtiene el número real de usuarios m que han operado el comportamiento específico el enlace G en un día en particular es igual a 5, en este punto, indica que la probabilidad de que el enlace de comportamiento específico G haya sido operado en el grupo de usuarios es relativamente baja. Sin embargo, si el grupo de usuarios que necesita ser analizado incluye un pequeño número de usuarios (por ejemplo, n = 10), y si se obtiene que el número real de usuarios m que han operado el comportamiento específico vinculan a G en un día en particular es igual a 5, en este punto, indica que la probabilidad de que el enlace de comportamiento específico G haya sido operado en el grupo de usuarios es relativamente alta. Como puede verse, diferentes números de usuarios en diferentes grupos de usuarios pueden afectar la credibilidad del coeficiente de riesgo del equipo c, y para suavizar los diferentes números de usuarios en diferentes grupos de usuarios, la etapa S139 incluye específicamente:
En primer lugar, el número total de usuarios n y el número real de usuarios m se suavizan para obtener un número total suavizado de usuarios p y un número real suavizado de usuarios q. En la modalidad de la presente solicitud, el suavizado puede ser por procesamiento logarítmico, por procesamiento de módulo, por procesamiento de extracción de raíz o similares. Tomando la forma de procesamiento logarítmico como ejemplo, p = lg n; y q = lg m. Ciertamente, la base del procesamiento logarítmico no está limitada.
Luego, los cálculos se llevan a cabo sobre el número total suavizado de usuarios p y el número real suavizado de usuarios q para obtener el coeficiente de riesgo del equipo c. En la modalidad de la presente solicitud, una fórmula para calcular el coeficiente de riesgo del equipo c es la siguiente:
c=(1+p)/(1+q)=(1+lgn)/(1+lgm).
S14: Se evalúa, de acuerdo con el coeficiente de riesgo r, si el enlace de comportamiento específico G es riesgoso.
En la modalidad de la presente solicitud, una fórmula para calcular el coeficiente de riesgo r es la siguiente:
r= a x b x c.
Ciertamente, en otras modalidades de la presente solicitud, el coeficiente de riesgo r= a b c.
La Figura 6 muestra un proceso para evaluar si un enlace de comportamiento específico es riesgoso en un método para identificar un comportamiento de riesgo de acuerdo con una modalidad de la presente solicitud. En la modalidad de la presente solicitud, la etapa S14 incluye específicamente:
S141: Los coeficientes de riesgo r de los enlaces de comportamiento se ordenan en orden descendente.
Todavía tomando el ejemplo en esta descripción, se supone que los datos de comportamiento extraídos son todos los enlaces de comportamiento del usuario M en un día particular D. En los datos de comportamiento, hay 100 piezas de enlaces de comportamiento monitoreados; en este caso, los coeficientes de riesgo de n a P100 de los 100 enlaces de comportamiento se determinan por separado de acuerdo con el método anterior, y luego los coeficientes de riesgo de n a P100 se ordenan en orden descendente.
S142: Se evalúa si el coeficiente de riesgo rG correspondiente al enlace de comportamiento específico G está en los rangos de riesgo.
En la modalidad de la presente solicitud, un rango más alto de un coeficiente de riesgo indica un mayor grado de rareza del enlace de comportamiento y un coeficiente de riesgo más alto del mismo. Suponiendo que un rango de riesgo preestablecido es el 3ro más alto, se evalúa si el coeficiente de riesgo rG correspondiente al enlace de comportamiento específico G se clasifica en el 3ro más alto.
S143: En caso afirmativo, se determina que el enlace de comportamiento específico G es riesgoso.
Si el coeficiente de riesgo rG correspondiente al enlace de comportamiento específico G se clasifica en el 3ro más alto, indica que el enlace de comportamiento específico G es riesgoso y, posteriormente, el enlace de comportamiento específico G puede publicarse como un comportamiento de riesgo para informar al personal de servicio al cliente de un sitio web de comercio electrónico que no opere el enlace de comportamiento.
S144: Si no, se considera que el enlace de comportamiento específico G no es riesgoso.
Si el coeficiente de riesgo rG correspondiente al enlace de comportamiento específico G no se clasifica en el 3ro más alto, indica que el enlace de comportamiento específico G no es riesgoso.
La Figura 7 es un diagrama estructural esquemático de un aparato para identificar un comportamiento de riesgo de acuerdo con una modalidad de la presente solicitud. Basado en la misma idea, el aparato incluye:
un módulo de adquisición 10 configurado para adquirir datos de comportamiento de un usuario;
un módulo de selección 20 configurado para seleccionar un enlace de comportamiento específico de los datos de comportamiento;
un módulo de determinación 30 configurado para determinar un coeficiente de riesgo del enlace de comportamiento específico en los datos de comportamiento; y
un módulo de evaluación 40 configurado para evaluar, de acuerdo con el coeficiente de riesgo, si el enlace de comportamiento específico es riesgoso.
En la modalidad de la presente solicitud, el módulo de selección 20 está configurado específicamente para: seleccionar, a partir de los datos de comportamiento, datos del fragmento en un período de tiempo específico; adquirir comportamientos incluidos en los datos del fragmento; y
ordenar los comportamientos en orden cronológico de acuerdo con los tiempos de ocurrencia para obtener el enlace de comportamiento específico.
En la modalidad de la presente solicitud, el coeficiente de riesgo incluye uno o más de un coeficiente de riesgo a corto plazo, un coeficiente de riesgo histórico y un coeficiente de riesgo del equipo.
En la modalidad de la presente solicitud, el módulo de determinación 30 incluye un módulo de determinación de riesgo a corto plazo 31 configurado para:
adquirir un número total de operaciones en las que el usuario opera todos los enlaces de comportamiento en un primer período de tiempo;
adquirir el número de operaciones que el usuario opera el enlace de comportamiento específico en el primer período de tiempo; y
determinar una relación entre el número total de operaciones y el número de operaciones para obtener el coeficiente de riesgo a corto plazo.
En la modalidad de la presente solicitud, el módulo de determinación 30 incluye un módulo de determinación de riesgo histórico 32 configurado para:
adquirir una duración de tiempo total para el usuario desde un tiempo de registro hasta un tiempo actual; adquirir una duración de tiempo real para que el usuario opere el enlace de comportamiento específico; y determinar el coeficiente de riesgo histórico de acuerdo con el tiempo total y el tiempo real.
En la modalidad de la presente solicitud, el módulo de determinación 30 incluye un módulo de determinación de riesgo de equipo 33 configurado para:
determinar un número total de usuarios incluidos en un grupo de usuarios al que pertenece el usuario; adquirir, en el grupo de usuarios, un número real de usuarios que han operado el enlace de comportamiento específico en un segundo período de tiempo; y
determinar el coeficiente de riesgo del equipo de acuerdo con el número total de usuarios y el número real de usuarios.
En la modalidad de la presente solicitud, el módulo de determinación de riesgo histórico 32 incluye una primera unidad de suavizado configurada para:
suavizar el tiempo total y el tiempo real para obtener un tiempo total suavizado y un tiempo real suavizado; y realizar cálculos sobre la duración del tiempo real suavizado y la duración del tiempo total suavizado para obtener el coeficiente de riesgo histórico.
En la modalidad de la presente solicitud, el módulo de determinación de riesgo de equipo 33 incluye una segunda unidad de suavizado configurada para:
suavizar el número total de usuarios y el número real de usuarios para obtener un número total suavizado de usuarios y un número real suavizado de usuarios; y
realizar cálculos sobre el número total suavizado de usuarios y el número real suavizado de usuarios para obtener el coeficiente de riesgo del equipo.
En la modalidad de la presente solicitud, el módulo de determinación 30 está configurado específicamente para: multiplicar o sumar el coeficiente de riesgo a corto plazo, el coeficiente de riesgo histórico y el coeficiente de riesgo del equipo para obtener el coeficiente de riesgo.
En la modalidad de la presente solicitud, el módulo de evaluación 40 está configurado específicamente para: ordenar los coeficientes de riesgo de los enlaces de comportamiento en orden descendente;
evaluar si el coeficiente de riesgo correspondiente al enlace de comportamiento específico está en las filas de riesgo; y
en caso afirmativo, evaluar que el enlace de comportamiento específico es riesgoso; y si no, evaluar que el enlace de comportamiento específico no es riesgoso.
El método y el aparato proporcionados en las modalidades de la presente solicitud adquieren datos de comportamiento de un usuario, seleccionan un enlace de comportamiento específico a partir de los datos de comportamiento, determinan un coeficiente de riesgo del enlace de comportamiento específico en los datos de comportamiento mediante cálculos, y finalmente, determina, de acuerdo con el coeficiente de riesgo, si el enlace de comportamiento específico es riesgoso. En comparación con la manera del motor de reglas, en el proceso anterior, no es necesario remediar una vulnerabilidad de la regla manualmente, mejorando así la eficiencia de la identificación del riesgo de comportamiento. Además, el proceso anterior evita la desventaja de que el motor de reglas consuma recursos informáticos adicionales, aliviando así la carga de un sistema informático.
En la modalidad de la presente solicitud, tres factores: a corto plazo (tal como un día en particular), historial (desde una hora de registro hasta la hora actual) y equipo (un grupo de usuarios al que pertenece el usuario), se consideran de manera integral para analizar si el comportamiento de un usuario es riesgoso, lo que reduce el impacto de algunas transiciones repentinas de factores (tal como el ajuste de la orientación del servicio del equipo o la transferencia de trabajo del usuario) en el enlace de comportamiento del usuario, mejorando así la precisión y la credibilidad de identificación de conductas de riesgo.
Vale la pena mencionar que, el aparato para identificar un comportamiento de riesgo descrito en esta descripción se genera de acuerdo con la misma idea basada en el método para identificar un comportamiento de riesgo. Por lo tanto, el método para identificar un comportamiento de riesgo puede continuar utilizando todas las características técnicas del aparato anterior para identificar un comportamiento de riesgo. Los detalles no se describen aquí nuevamente.
Debe observarse adicionalmente que, las fórmulas para calcular los coeficientes de riesgo en la presente solicitud no se limitan a las modalidades divulgadas. Por ejemplo, en otras modalidades, el coeficiente de riesgo a corto plazo a = s2/s1; el coeficiente de riesgo histórico b=(1 lgt2 )/(1 + lgt3); y el coeficiente de riesgo del equipo c=(1 lgm)/(1 lgn). En consecuencia, durante la evaluación posterior de si el enlace de comportamiento es riesgoso, los coeficientes de riesgo de los enlaces de comportamiento se ordenan en orden ascendente para evaluar si el coeficiente de riesgo correspondiente al enlace de comportamiento específico está en los rangos de riesgo.
Los expertos en la técnica deben comprender que las modalidades de la presente invención pueden proporcionarse como un método, un sistema o un producto de programa informático. Por lo tanto, la presente invención puede implementarse en forma de una modalidad de hardware completa, una modalidad de software completa o una modalidad que combina software y hardware. Además, la presente invención puede emplear la forma de un producto de programa informático implementado en uno o más medios de almacenamiento utilizables por ordenador (que incluyen, pero no se limitan a, una memoria de disco magnético, un CD-ROM, una memoria óptica y similares) que incluyen código de programa utilizable por ordenador.
La presente invención se describe con referencia a diagramas de flujo y/o diagramas de bloques del método, dispositivo (sistema) y producto de programa informático de acuerdo con las modalidades de la presente invención. Debe entenderse que las instrucciones del programa informático pueden usarse para implementar cada proceso y/o bloque en los diagramas de flujo y/o diagramas de bloque y una combinación de un proceso y/o un bloque en los diagramas de flujo y/o los diagramas de bloque. Estas instrucciones de programa informático pueden proporcionarse para un ordenador de propósito general, un ordenador de propósito especial, un procesador incorporado o un procesador de otro dispositivo de procesamiento de datos programable para generar una máquina, de modo que las instrucciones ejecutadas por un ordenador o un procesador de otro dispositivo de procesamiento de datos programable genera un aparato para implementar una función específica en uno o más procesos en los diagramas de flujo y/o en uno o más bloques en los diagramas de bloques.
Estas instrucciones del programa informático también pueden almacenarse en una memoria legible por ordenador que puede indicarle al ordenador u otro dispositivo de procesamiento de datos programable que trabaje de una manera particular, de modo que las instrucciones almacenadas en la memoria legible por ordenador generen un artículo de fabricación que incluya un aparato de instrucción. El aparato de instrucción implementa una función especificada en uno o más procesos en los diagramas de flujo y/o en uno o más bloques en los diagramas de bloques.
Estas instrucciones del programa informático también pueden cargarse en un ordenador u otro dispositivo de procesamiento de datos programable, de modo que se realicen una serie de etapas operativas en el ordenador u otro dispositivo programable, generando así el procesamiento implementado por ordenador. Por lo tanto, las instrucciones ejecutadas en el ordenador u otro dispositivo programable proporcionan etapas para implementar una función específica en uno o más procesos en los diagramas de flujo y/o en uno o más bloques en los diagramas de bloques.
En una configuración típica, el dispositivo informático incluye uno o más procesadores (CPU), una interfaz de entrada/salida, una interfaz de red y una memoria.
La memoria puede incluir una memoria volátil, una memoria de acceso aleatorio (RAM) y/o una memoria no volátil o similar en un medio legible por ordenador, por ejemplo, una memoria de solo lectura (ROM) o una RAM flash. La memoria es un ejemplo del medio legible por ordenador.
El medio legible por ordenador incluye medios no volátiles o volátiles, y medios móviles o no móviles, y puede implementar el almacenamiento de información mediante cualquier método o tecnología. La información puede ser una instrucción legible por ordenador, una estructura de datos y un módulo de un programa u otros datos. Un medio de almacenamiento de un ordenador incluye, por ejemplo, pero no se limita a, una memoria de cambio de fase (PRAM), una memoria estática de acceso aleatorio (SRAM), una memoria dinámica de acceso aleatorio (DRAM), otros tipos de memorias de acceso aleatorio (RAM), una memoria de solo lectura (ROM), una memoria de solo lectura programable y borrable eléctricamente (EEPROM), una memoria flash u otras tecnologías de memoria, una memoria de solo lectura de disco compacto (CD-ROM), un disco versátil digital (DVD) u otros almacenamientos ópticos, una cinta de casete, una cinta magnética/almacenamiento en disco magnético u otros dispositivos de almacenamiento magnético, o cualquier otro medio sin transmisión, y pueden usarse para almacenar información accesible al dispositivo informático. Según la definición en este texto, el medio legible por ordenador no incluye medios transitorios, como una señal de datos modulada y una portadora.
Debe observarse además que, los términos "incluir", "comprender" o cualquier variante de los mismos están destinados a cubrir una inclusión no exclusiva, de modo que un proceso, un método, un producto o un dispositivo que incluya una serie de elementos no solo incluye dichos elementos, sino que también incluye otros elementos no especificados expresamente, o puede incluir elementos inherentes del proceso, método, producto o dispositivo. Sin más restricciones, un elemento limitado por la frase "incluir un/unos..." no excluye otros mismos elementos existentes en el proceso, método, producto o dispositivo que incluye el elemento.
Los expertos en la técnica deben comprender que las modalidades de la presente solicitud pueden proporcionarse como un método, un sistema o un producto de programa informático. Por lo tanto, la presente solicitud puede implementarse en forma de una modalidad de hardware completa, una modalidad de software completa o una modalidad que combina software y hardware. Además, la presente solicitud puede emplear la forma de un producto de programa informático implementado en uno o más medios de almacenamiento utilizables por ordenador (que incluyen, pero no se limitan a, una memoria de disco magnético, un CD-ROM, una memoria óptica y similares) que incluyen código de programa utilizable por ordenador.
Lo anterior son meramente las modalidades de la presente solicitud, que no se usan para limitar la presente solicitud. Para los expertos en la técnica, la presente solicitud puede tener varios cambios y alteraciones. Las modificaciones, reemplazos equivalentes y mejoras realizadas a la presente solicitud deben incluirse en el alcance de las reivindicaciones de la presente solicitud.

Claims (11)

  1. REIVINDICACIONES
    i. Un método para identificar comportamientos de riesgo dentro de una red informática, el método que comprende:
    adquirir datos de comportamiento del usuario, los datos de comportamiento del usuario que comprenden un registro de actividades de red realizadas por el usuario en una red en un período de tiempo (S11); seleccionar un enlace de comportamiento específico de los datos de comportamiento organizando secuencialmente las actividades de la red dentro de la red informática de acuerdo con los tiempos de ocurrencia (S12);
    determinar un coeficiente de riesgo del enlace de comportamiento específico en los datos de comportamiento, el coeficiente de riesgo comprende un valor numérico para expresar un grado de rareza del enlace de comportamiento específico (S13), que comprende determinar un coeficiente de riesgo histórico mediante:
    la adquisición de una duración de tiempo total para el usuario desde un tiempo de registro hasta un tiempo actual;
    la adquisición de una duración de tiempo real para que el usuario opere el enlace de comportamiento específico; y
    el suavizado de la duración del tiempo total y la duración del tiempo real utilizando el procesamiento logarítmico para obtener una duración del tiempo total suavizado y una duración del tiempo real suavizado, en donde la duración del tiempo total suavizado comprende un logaritmo de la duración del tiempo total y la duración del tiempo real suavizado comprende un logaritmo de la duración del tiempo real; y
    el cálculo del coeficiente de riesgo histórico dividiendo i) la duración del tiempo real suavizado más uno, por ii) la duración del tiempo total suavizado más uno; y
    la determinación, de acuerdo con el coeficiente de riesgo, si el enlace de comportamiento específico es riesgoso (S14).
  2. 2. El método de acuerdo con la reivindicación 1, en donde la selección del enlace de comportamiento específico de los datos de comportamiento comprende específicamente:
    seleccionar, a partir de los datos de comportamiento, datos del fragmento en un período de tiempo específico (S121);
    adquirir comportamientos comprendidos en los datos del fragmento (S122); y
    ordenar los comportamientos en orden cronológico de acuerdo con los tiempos de ocurrencia para obtener el enlace de comportamiento específico (S123).
  3. 3. El método de acuerdo con la reivindicación 1, en donde el coeficiente de riesgo comprende uno o más de un coeficiente de riesgo a corto plazo, un coeficiente de riesgo histórico, y un coeficiente de riesgo del equipo.
  4. 4. El método de acuerdo con la reivindicación 3, en donde la determinación del coeficiente de riesgo del enlace de comportamiento específico en los datos de comportamiento comprende específicamente determinar un coeficiente de riesgo a corto plazo mediante:
    la adquisición de un número total de operaciones en las que el usuario opera todos los enlaces de comportamiento en un primer período de tiempo (S131);
    la adquisición del número de operaciones en las que el usuario opera el enlace de comportamiento específico en el primer período de tiempo (S132); y
    la determinación de una relación entre el número total de operaciones y el número de operaciones para obtener el coeficiente de riesgo a corto plazo (S133).
  5. 5. El método de acuerdo con la reivindicación 3, en donde la determinación de un coeficiente de riesgo del enlace de comportamiento específico en los datos de comportamiento comprende específicamente la determinación de un coeficiente de riesgo del equipo mediante:
    la determinación de un número total de usuarios comprendidos en un grupo de usuarios al que pertenece el usuario (S137);
    la adquisición, en el grupo de usuarios, de un número real de usuarios que han operado el enlace de comportamiento específico en un segundo período de tiempo (S138); y
    la determinación del coeficiente de riesgo del equipo de acuerdo con el número total de usuarios y el número real de usuarios (S139).
  6. 6. El método de acuerdo con la reivindicación 5, en donde la determinación del coeficiente de riesgo del equipo de acuerdo con el número total de usuarios y el número real de usuarios comprende específicamente: suavizar el número total de usuarios y el número real de usuarios para obtener un número total suavizado de usuarios y un número real suavizado de usuarios; y
    realizar cálculos sobre el número total suavizado de usuarios y el número real suavizado de usuarios para obtener el coeficiente de riesgo del equipo.
  7. 7. El método de acuerdo con la reivindicación 6, en donde el suavizado comprende procesamiento logarítmico, procesamiento de módulo o procesamiento de extracción de raíz.
  8. 8. El método de acuerdo con la reivindicación 3, en donde la determinación del coeficiente de riesgo del enlace de comportamiento específico en los datos de comportamiento comprende específicamente: multiplicar o sumar el coeficiente de riesgo a corto plazo, el coeficiente de riesgo histórico y el coeficiente de riesgo del equipo para obtener el coeficiente de riesgo.
  9. 9. El método de acuerdo con la reivindicación 1, en donde la determinación, de acuerdo con el coeficiente de riesgo, de si el comportamiento objetivo es riesgoso comprende específicamente:
    ordenar los coeficientes de riesgo de los enlaces de comportamiento en orden descendente (S141); determinar si el coeficiente de riesgo correspondiente al enlace de comportamiento específico está en los rangos de riesgo (S142); y
    en caso afirmativo, determinar que el enlace de comportamiento específico es riesgoso; y
    en caso negativo, determinar que el enlace de comportamiento específico no es riesgoso (S143).
  10. 10. El método de acuerdo con la reivindicación 1, en donde el logaritmo de la duración del tiempo total y el logaritmo de la duración del tiempo real comprenden logaritmos de base arbitraria.
  11. 11. Un aparato para identificar un comportamiento de riesgo, el aparato que comprende una pluralidad de módulos configurados para llevar a cabo el método de una cualquiera de las reivindicaciones de la 1 a la 10.
ES16758446T 2015-03-02 2016-02-24 Método y aparato para reconocer el comportamiento de riesgo Active ES2801273T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201510093725.4A CN105989155B (zh) 2015-03-02 2015-03-02 识别风险行为的方法及装置
PCT/CN2016/074424 WO2016138830A1 (zh) 2015-03-02 2016-02-24 识别风险行为的方法及装置

Publications (1)

Publication Number Publication Date
ES2801273T3 true ES2801273T3 (es) 2021-01-08

Family

ID=56848744

Family Applications (1)

Application Number Title Priority Date Filing Date
ES16758446T Active ES2801273T3 (es) 2015-03-02 2016-02-24 Método y aparato para reconocer el comportamiento de riesgo

Country Status (9)

Country Link
US (1) US10601850B2 (es)
EP (1) EP3267348B1 (es)
JP (1) JP6734293B2 (es)
KR (1) KR102125116B1 (es)
CN (1) CN105989155B (es)
ES (1) ES2801273T3 (es)
PL (1) PL3267348T3 (es)
SG (1) SG11201707032UA (es)
WO (1) WO2016138830A1 (es)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106529288A (zh) * 2016-11-16 2017-03-22 智者四海(北京)技术有限公司 一种帐号风险识别方法及装置
CN108229963B (zh) * 2016-12-12 2021-07-30 创新先进技术有限公司 用户操作行为的风险识别方法及装置
CN108427624B (zh) * 2017-02-13 2021-03-02 创新先进技术有限公司 一种***稳定性风险的识别方法以及设备
CN108449307B (zh) * 2017-02-16 2020-12-29 上海行邑信息科技有限公司 一种用于识别风险设备的方法
US9882918B1 (en) 2017-05-15 2018-01-30 Forcepoint, LLC User behavior profile in a blockchain
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US10129269B1 (en) 2017-05-15 2018-11-13 Forcepoint, LLC Managing blockchain access to user profile information
US10862927B2 (en) * 2017-05-15 2020-12-08 Forcepoint, LLC Dividing events into sessions during adaptive trust profile operations
US10915643B2 (en) 2017-05-15 2021-02-09 Forcepoint, LLC Adaptive trust profile endpoint architecture
US10917423B2 (en) 2017-05-15 2021-02-09 Forcepoint, LLC Intelligently differentiating between different types of states and attributes when using an adaptive trust profile
US10447718B2 (en) 2017-05-15 2019-10-15 Forcepoint Llc User profile definition and management
US10999297B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Using expected behavior of an entity when prepopulating an adaptive trust profile
US10623431B2 (en) * 2017-05-15 2020-04-14 Forcepoint Llc Discerning psychological state from correlated user behavior and contextual information
CN107517203B (zh) * 2017-08-08 2020-07-14 奇安信科技集团股份有限公司 一种用户行为基线建立方法及装置
CN107566163B (zh) * 2017-08-10 2020-11-06 奇安信科技集团股份有限公司 一种用户行为分析关联的告警方法及装置
CN108304308A (zh) * 2018-02-07 2018-07-20 平安普惠企业管理有限公司 用户行为监控方法、装置、计算机设备和存储介质
US10997295B2 (en) 2019-04-26 2021-05-04 Forcepoint, LLC Adaptive trust profile reference architecture
US11621974B2 (en) * 2019-05-14 2023-04-04 Tenable, Inc. Managing supersedence of solutions for security issues among assets of an enterprise network
CN110457896A (zh) * 2019-07-02 2019-11-15 北京人人云图信息技术有限公司 在线访问的检测方法及检测装置
CN111582722B (zh) * 2020-05-09 2022-06-07 拉扎斯网络科技(上海)有限公司 风险识别方法、装置、电子设备及可读存储介质
CN112866230B (zh) * 2021-01-13 2023-05-16 深信服科技股份有限公司 一种风险检测方法、装置及存储介质
CN112927068A (zh) * 2021-03-30 2021-06-08 善诊(上海)信息技术有限公司 业务数据风险分类门限确定方法、装置、设备及存储介质
CN113051560B (zh) * 2021-04-13 2024-05-24 北京安天网络安全技术有限公司 终端行为的安全识别方法和装置

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7953814B1 (en) 2005-02-28 2011-05-31 Mcafee, Inc. Stopping and remediating outbound messaging abuse
US7574382B1 (en) * 2004-08-03 2009-08-11 Amazon Technologies, Inc. Automated detection of anomalous user activity associated with specific items in an electronic catalog
CA2531410A1 (en) * 2005-12-23 2007-06-23 Snipe Network Security Corporation Behavioural-based network anomaly detection based on user and group profiling
US7574832B1 (en) 2007-01-24 2009-08-18 Lieberman Phillip L Portable telescoping tower assembly
JP2010108469A (ja) 2008-10-01 2010-05-13 Sky Co Ltd 操作監視システム及び操作監視プログラム
US8356001B2 (en) 2009-05-19 2013-01-15 Xybersecure, Inc. Systems and methods for application-level security
US8566956B2 (en) 2010-06-23 2013-10-22 Salesforce.Com, Inc. Monitoring and reporting of data access behavior of authorized database users
US8881289B2 (en) 2011-10-18 2014-11-04 Mcafee, Inc. User behavioral risk assessment
WO2014088559A1 (en) * 2012-12-04 2014-06-12 Hewlett-Packard Development Company, L.P. Determining suspected root causes of anomalous network behavior
US8850517B2 (en) 2013-01-15 2014-09-30 Taasera, Inc. Runtime risk detection based on user, application, and system action sequence correlation
CN103297267B (zh) * 2013-05-10 2016-05-11 中华通信***有限责任公司河北分公司 一种网络行为的风险评估方法和***
US20140359777A1 (en) * 2013-05-31 2014-12-04 Fixmo, Inc. Context-aware risk measurement mobile device management system
US20150039513A1 (en) * 2014-02-14 2015-02-05 Brighterion, Inc. User device profiling in transaction authentications
CN104376266B (zh) * 2014-11-21 2017-09-15 工业和信息化部电信研究院 应用软件安全级别的确定方法及装置
US10075474B2 (en) * 2015-02-06 2018-09-11 Honeywell International Inc. Notification subsystem for generating consolidated, filtered, and relevant security risk-based notifications

Also Published As

Publication number Publication date
KR20170125864A (ko) 2017-11-15
KR102125116B1 (ko) 2020-06-22
US20180013780A1 (en) 2018-01-11
JP2018510422A (ja) 2018-04-12
EP3267348A4 (en) 2018-10-31
US10601850B2 (en) 2020-03-24
JP6734293B2 (ja) 2020-08-05
PL3267348T3 (pl) 2020-11-16
WO2016138830A1 (zh) 2016-09-09
EP3267348A1 (en) 2018-01-10
EP3267348B1 (en) 2020-04-08
CN105989155B (zh) 2019-10-25
SG11201707032UA (en) 2017-09-28
CN105989155A (zh) 2016-10-05

Similar Documents

Publication Publication Date Title
ES2801273T3 (es) Método y aparato para reconocer el comportamiento de riesgo
Zafar et al. The value of the CIO in the top management team on performance in the case of information security breaches
Bifet et al. Efficient online evaluation of big data stream classifiers
Geer et al. Information security: Why the future belongs to the quants
US10491697B2 (en) System and method for bot detection
CN108829715B (zh) 用于检测异常数据的方法、设备和计算机可读存储介质
US20170161503A1 (en) Determining a risk indicator based on classifying documents using a classifier
US11457024B2 (en) Systems and methods for monitoring security of an organization based on a normalized risk score
WO2013164821A2 (en) Malicious threat detection, malicious threat prevention, and a learning systems and methods for malicious threat detection and prevention
TWI710922B (zh) 行為標記模型訓練系統及方法
Hall et al. Can we calculate drought risk… and do we need to?
CN109450956A (zh) 网络安全性评估方法、***、介质和计算设备
CN107920062A (zh) 一种业务逻辑攻击检测模型的构建方法和计算设备
Sharma et al. Malware capability assessment using fuzzy logic
CN105825130B (zh) 一种信息安全预警方法及装置
CN116521511A (zh) 风险代码事前检测方法、装置、设备及存储介质
Sarabi et al. Prioritizing Security Spending: A Quantitative Analysis of Risk Distributions for Different Business Profiles.
CN106790211B (zh) 一种预测恶意软件感染的统计预测***和方法
Breier et al. On selecting critical security controls
KR102578289B1 (ko) 보안 규제 준수 자동화 장치
US11232202B2 (en) System and method for identifying activity in a computer system
US20240031378A1 (en) Anomaly detection using embedding space representation of system states
Dhakar et al. A new model for intrusion detection based on reduced error pruning technique
CN117972686B (zh) 一种数据治理方法以及相关装置
Keaton et al. Using earned value data to detect potential problems in acquisition contracts