2. 专利技术
  3. 异常访问行为分析方法、装置、计算机设备和存储介质与流程

异常访问行为分析方法、装置、计算机设备和存储介质与流程

专利2023-02-20  109


1.本发明涉及计算机信息安全技术领域,尤其涉及一种异常访问行为分析方法、装置、计算机设备和存储介质。


背景技术:

2.当前很多应用信息系统都有系统外安全审计的监管需求。系统外审计是指在应用系统之外的通过网络层、操作系统、数据库对应用系统进行行为审计。
3.网络层审计一般是通过网络设备对应用系统的网络通讯进行监听,分析网络通讯报文,记录用户访问日志。通过对访问日志的分析,可以诊断应用系统是否存在非正常的用户访问行为,比如账号在非工作时间存在大数据量下载、用户在线时长异常、用户访问过于频繁等。在识别用户行为时,需要解决的一个基本问题是如何判断用户的访问行为是否为异常行为。
4.然而,现有的访问异常行为分析方法在进行系统外日志审计时,只能通过固定的告警规则条件对用户访问应用系统的异常行为进行判断,这种方式无法有效地识别用户的异常访问行为。
5.因此,如何有效地判断用户访问异常行为是本领域亟需解决的技术问题。为此,本技术人经过有益的探索和研究,找到了解决上述问题的方法,下面将要介绍的技术方案便是在这种背景下产生的。


技术实现要素:

6.本发明所要解决的技术问题之一在于:针对现有技术的不足而提供一种能够有效地判断用户访问异常行为的异常访问行为分析方法。
7.本发明所要解决的技术问题之二在于:提供一种实现上述异常访问行为分析方法的异常访问行为分析装置。
8.本发明所要解决的技术问题之三在于:提供一种实现上述异常访问行为分析方法的计算机设备。
9.本发明所要解决的技术问题之四在于:提供一种实现上述异常访问行为分析方法的计算机可读存储介质。
10.作为本发明第一方面的一种异常访问行为分析方法,包括:
11.获取应用系统的所有用户访问历史日志;
12.对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段;
13.对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段进行标记处理;
14.将标记处理后的所有用户访问历史日志作为计算样本库;
15.获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当
前用户访问日志的当前用户信息,再根据当前用户信息从所述计算样本库内获取当前用户的所有用户访问历史日志;以及
16.根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率p,并根据风险归一化概率p判断当前用户的当前访问行为是否为异常行为。
17.在本发明的一个优选实施例中,所述关键字段包括访问时间、用户客户端ip地址、访问应用id、访问应用名称以及访问域名地址;
18.在本发明的一个优选实施例中,在对获取到的所有用户访问历史日志进行审计处理之前,还包括:
19.根据访问时间对获取到的所有用户访问历史日志进行区间化处理。
20.在本发明的一个优选实施例中,所述根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率p,包括:
21.提取新上报的用户访问日志的关键字段;
22.根据当前用户的所有用户访问历史日志计算新上报的用户访问日志在有风险时和无风险时的情况下各个关键字段出现的概率;
23.将新上报的用户访问日志有风险时的情况下各个关键字段出现的概率进行联合计算,得到联合概率p1,同时将新上报的用户访问日志无风险时的情况下各个关键字段出现的概率进行联合计算,得到联合概率p2;以及
24.根据以下公式计算新上报的用户访问日志的风险归一化概率p。
[0025][0026]
在本发明的一个优选实施例中,所述根据风险归一化概率p判断当前用户的当前访问行为是否为异常行为,包括:
[0027]
当风险归一化概率p大于设定阈值时,则表明新上报的用户访问日志为风险日志,当前访问行为属于异常行为;
[0028]
当风险归一化概率p小于或等于设定阈值时,则表明新上报的用户访问日志为无风险日志,当前访问行为不属于异常行为。
[0029]
在本发明的一个优选实施例中,还包括:
[0030]
根据判断结果对当前用户的用户访问日志进行标记处理,并将标记处理后的用户访问日志保存至所述计算样本库内。
[0031]
作为本发明第二方面的一种实现上述异常访问行为分析方法的异常访问行为分析装置,包括:
[0032]
用户访问日志获取模块,所述用户访问日志获取模块用于获取应用系统的所有用户访问历史日志;
[0033]
结构化处理模块,所述结构化处理模块用于对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段;
[0034]
审计标记处理模块,所述审计标记处理模块用于对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段进行标记处理;
[0035]
计算样本库存储模块,所述计算样本库存储模块用于将标记处理后的所有用户访问历史日志作为计算样本库;
[0036]
用户访问日志处理模块,所述用户访问日志处理模块用于获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从所述计算样本库内获取当前用户的所有用户访问历史日志;以及
[0037]
访问行为判断模块,所述访问行为判断模块用于根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率p,并根据风险归一化概率p判断当前用户的当前访问行为是否为异常行为。
[0038]
作为本发明第三方面的一种用于实现异常访问行为分析方法的计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
[0039]
获取应用系统的所有用户访问历史日志;
[0040]
对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段;
[0041]
对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段进行标记处理;
[0042]
将标记处理后的所有用户访问历史日志作为计算样本库;
[0043]
获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从所述计算样本库内获取当前用户的所有用户访问历史日志;以及
[0044]
根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率p,并根据风险归一化概率p判断当前用户的当前访问行为是否为异常行为。
[0045]
作为本发明第四方面的一种用于实现上述异常访问行为分析方法的计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
[0046]
获取应用系统的所有用户访问历史日志;
[0047]
对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段;
[0048]
对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段进行标记处理;
[0049]
将标记处理后的所有用户访问历史日志作为计算样本库;
[0050]
获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从所述计算样本库内获取当前用户的所有用户访问历史日志;以及
[0051]
根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率p,并根据风险归一化概率p判断当前用户的当前访问行为是否为异常行为。
[0052]
由于采用了如上技术方案,本发明的有益效果在于:本发明对应用系统的用户访问历史日志进行分析处理,并结合分析处理结果判断新上报的用户访问日志是否存在异常访问行为,有效地是被用户访问应用系统的异常行为,提高了应用系统的访问安全性能。
附图说明
[0053]
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0054]
图1是本发明的异常访问行为分析方法的一种实施例的应用场景图。
[0055]
图2是本发明的异常访问行为分析方法的流程图。
[0056]
图3是本发明的异常访问行为分析方法的一种实施例的结构示意图。
[0057]
图4是本发明的计算机设备的内部结构图。
具体实施方式
[0058]
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
[0059]
本发明提供的异常访问行为分析方法可以应用于如图1所示的应用场景中。其中,用户端101通过网络与服务端102进行通信。其中,用户端101可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务端102可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
[0060]
参见图2,本发明的异常访问行为分析方法,包括以下步骤:
[0061]
步骤s10,获取应用系统的所有用户访问历史日志。在步骤s10中,可通过网络设备从应用系统中记录所有的用户访问历史日志。
[0062]
步骤s20,对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段risk。在步骤s20中,关键字段包括访问时间、用户客户端ip地址、访问应用id、访问应用名称以及访问域名地址。
[0063]
步骤s30,对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段risk进行标记处理。在步骤s30中,可采用人工审核方式或者自动审核方式对所有用户访问历史日志进行审计处理。当该条用户访问历史日志存在风险时,则将其审计字段risk标记为risk=1;若该条用户访问历史日志无风险时,则将其审计字段risk标记为risk=0。
[0064]
步骤s40,将标记处理后的所有用户访问历史日志作为计算样本库。
[0065]
步骤s50,获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从计算样本库内获取当前用户的所有用户访问历史日志。
[0066]
步骤s60,根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率p,并根据风险归一化概率p判断当前用户的当前访问行为是否为异常行为。
[0067]
在步骤s30中的对获取到的所有用户访问历史日志进行审计处理之前,还包括以下步骤:
[0068]
根据访问时间对获取到的所有用户访问历史日志进行区间化处理,以降低后续计
算量。
[0069]
例如可根据需要,将用户访问日志的访问时间进行区间化处理,具体区间划分如下:
[0070][0071][0072]
在步骤s60中,根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率p,包括以下步骤:
[0073]
步骤s61,提取新上报的用户访问日志的关键字段;
[0074]
步骤s62,根据当前用户的所有用户访问历史日志计算新上报的用户访问日志在有风险时(审计字段risk=1)和无风险时(审计字段risk=0)的情况下各个关键字段出现的概率;
[0075]
步骤s63,将新上报的用户访问日志有风险时(审计字段risk=1)的情况下各个关键字段出现的概率进行联合计算,得到联合概率p1,同时将新上报的用户访问日志无风险时(审计字段risk=0)的情况下各个关键字段出现的概率进行联合计算,得到联合概率p2;
[0076]
步骤s64,根据以下公式计算新上报的用户访问日志的风险归一化概率p。
[0077][0078]
在步骤s60中,根据风险归一化概率p判断当前用户的当前访问行为是否为异常行为,包括以下两个方面:
[0079]
1.当风险归一化概率p大于设定阈值时,则表明新上报的用户访问日志为风险日志,当前访问行为属于异常行为,并将该用户访问日志的审计字段risk标记为risk=0;
[0080]
2.当风险归一化概率p小于或等于设定阈值时,则表明新上报的用户访问日志为无风险日志,当前访问行为不属于异常行为,并将该用户访问日志的审计字段risk标记为risk=1。
[0081]
以上设定阈值通常为0.5,当然也可以根据实际需要而设计。
[0082]
本发明的异常访问行为分析方法还包括以下步骤:
[0083]
步骤s70,根据判断结果对当前用户的用户访问日志进行标记处理,并将标记处理后的用户访问日志保存至计算样本库内,这样不仅能够丰富样本库,而且还能够提高判断精确度。
[0084]
为了更好地对本发明的异常访问行为分析方法进行进一步说明,以下举例说明如何对一条日志进行预测。以用户认证日志为例,一条用户认证日志的几个关键属性如下列表格所示,且这10条样本日志的风险经过标记(这个风险等级后续可以通过后续设定规则,由日志处理自动标记)
[0085][0086]
以auth=口令,src=10.2.0.12,app=应用a,dst=10.2.0.170,time=f这一条日志为例。
[0087]
1)推导过程
[0088]
有风险时的情况下各个关键字出现的概率:
[0089]
p(risk=是)=4/10=0.4;
[0090]
p(auth=口令|risk=是)=2/4=0.5;
[0091]
p(src=10.2.0.12|risk=是)=1/4=0.25;
[0092]
p(app=应用a|risk=是)=2/4=0.5;
[0093]
p(dst=10.2.0.170|risk=是)=1/4=0.25;
[0094]
p(time=f|risk=是)=2/4=0.5。
[0095]
无风险时的情况下各个关键字出现的概率:
[0096]
p(risk=否)=6/10=0.6;
[0097]
p(auth=口令|risk=否)=3/6=0.5;
[0098]
p(src=10.2.0.12|risk=否)=2/6=0.3333;
[0099]
p(app=应用a|risk=否)=2/6=0.3333;
[0100]
p(dst=10.2.0.170|risk=否)=2/6=0.3333;
[0101]
p(time=f|risk=否)=1/6=0.1667。
[0102]
有风险时的情况下各个关键字出现的概率进行联合计算,得到联合概率p1为p(risk=是)p(auth=口令|risk=是)p(src=10.2.0.12|risk=是)p(app=应用a|risk=是)p(dst=10.2.0.170|risk=是)p(time=f|risk=是)=0.4*0.5*0.25*0.5*0.25*0.5=0.003125。
[0103]
无风险时的情况下各个关键字出现的概率进行联合计算,得到联合概率p2为p(risk=否)p(auth=口令|risk=否)p(src=10.2.0.12|risk=否)p(app=应用a|risk=否)p(dst=10.2.0.170|risk=否)p(time=f|risk=否)=0.6*0.5*0.3333*0.3333*0.3333*0.1667=0.001851(约等)。
[0104]
2)判断结果
[0105]
经过归一化处理,当前日志是风险日志的概率p=p1/(p1+p2)=0.003125/(0.003125+0.001851)=0.6280,。
[0106]
由于概率p大于0.5,因此当前用户的应用访问行为属于异常行为。
[0107]
参见图3,图中给出的是本发明的异常访问行为分析装置,包括用户访问日志获取模块110、结构化处理模块120、审计标记处理模块130、计算样本库存储模块140、用户访问日志处理模块150以及访问行为判断模块160。
[0108]
用户访问日志获取模块110用于获取应用系统的所有用户访问历史日志。
[0109]
结构化处理模块120用于对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段。
[0110]
审计标记处理模块130用于对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段进行标记处理。
[0111]
计算样本库存储模块140用于将标记处理后的所有用户访问历史日志作为计算样本库。
[0112]
用户访问日志处理模块,用户访问日志处理模块用于获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从计算样本库内获取当前用户的所有用户访问历史日志。
[0113]
访问行为判断模块160用于根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率p,并根据风险归一化概率p判断当前用户的当前访问行为是否为异常行为。
[0114]
本发明的异常访问行为分析装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
[0115]
本发明还提供了一种用于实现上述异常访问行为分析方法的计算机设备,该计算机设备可以是服务器,其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储
有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储用户信息、记录信息和文件等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种上述的异常访问行为分析方法。
[0116]
本领域技术人员可以理解,图4中示出的结构,仅仅是与本技术方案相关的部分结构的框图,并不构成对本技术方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
[0117]
具体地,本发明的计算机设备包括存储器和处理器,该存储器存储有计算机程序,处理器执行计算机程序时实现以下步骤:
[0118]
步骤s10,获取应用系统的所有用户访问历史日志;
[0119]
步骤s20,对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段risk;
[0120]
步骤s30,对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段risk进行标记处理;
[0121]
步骤s40,将标记处理后的所有用户访问历史日志作为计算样本库;
[0122]
步骤s50,获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从计算样本库内获取当前用户的所有用户访问历史日志;
[0123]
步骤s60,根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率p,并根据风险归一化概率p判断当前用户的当前访问行为是否为异常行为。
[0124]
本发明还提供了一种用于实现上述异常访问行为分析方法的计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以下步骤:
[0125]
步骤s10,获取应用系统的所有用户访问历史日志;
[0126]
步骤s20,对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段risk;
[0127]
步骤s30,对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段risk进行标记处理;
[0128]
步骤s40,将标记处理后的所有用户访问历史日志作为计算样本库;
[0129]
步骤s50,获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从计算样本库内获取当前用户的所有用户访问历史日志;
[0130]
步骤s60,根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率p,并根据风险归一化概率p判断当前用户的当前访问行为是否为异常行为。
[0131]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机
可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限,ram以多种形式可得,诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
[0132]
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

技术特征:
1.一种异常访问行为分析方法,其特征在于,包括:获取应用系统的所有用户访问历史日志;对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段;对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段进行标记处理;将标记处理后的所有用户访问历史日志作为计算样本库;获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从所述计算样本库内获取当前用户的所有用户访问历史日志;以及根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率p,并根据风险归一化概率p判断当前用户的当前访问行为是否为异常行为。2.如权利要求1所述的异常访问行为分析方法,其特征在于,所述关键字段包括访问时间、用户客户端ip地址、访问应用id、访问应用名称以及访问域名地址.3.如权利要求1所述的异常访问行为分析方法,其特征在于,在对获取到的所有用户访问历史日志进行审计处理之前,还包括:根据访问时间对获取到的所有用户访问历史日志进行区间化处理。4.如权利要求1所述的异常访问行为分析方法,其特征在于,所述根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率p,包括:提取新上报的用户访问日志的关键字段;根据当前用户的所有用户访问历史日志计算新上报的用户访问日志在有风险时和无风险时的情况下各个关键字段出现的概率;将新上报的用户访问日志有风险时的情况下各个关键字段出现的概率进行联合计算,得到联合概率p1,同时将新上报的用户访问日志无风险时的情况下各个关键字段出现的概率进行联合计算,得到联合概率p2;以及根据以下公式计算新上报的用户访问日志的风险归一化概率p。5.如权利要求1所述的异常访问行为分析方法,其特征在于,所述根据风险归一化概率p判断当前用户的当前访问行为是否为异常行为,包括:当风险归一化概率p大于设定阈值时,则表明新上报的用户访问日志为风险日志,当前访问行为属于异常行为;当风险归一化概率p小于或等于设定阈值时,则表明新上报的用户访问日志为无风险日志,当前访问行为不属于异常行为。6.如权利要求1所述的异常访问行为分析方法,其特征在于,还包括:根据判断结果对当前用户的用户访问日志进行标记处理,并将标记处理后的用户访问日志保存至所述计算样本库内。7.一种异常访问行为分析装置,其特征在于,包括:用户访问日志获取模块,所述用户访问日志获取模块用于获取应用系统的所有用户访
问历史日志;结构化处理模块,所述结构化处理模块用于对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段;审计标记处理模块,所述审计标记处理模块用于对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段进行标记处理;计算样本库存储模块,所述计算样本库存储模块用于将标记处理后的所有用户访问历史日志作为计算样本库;用户访问日志处理模块,所述用户访问日志处理模块用于获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从所述计算样本库内获取当前用户的所有用户访问历史日志;以及访问行为判断模块,所述访问行为判断模块用于根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率p,并根据风险归一化概率p判断当前用户的当前访问行为是否为异常行为。8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的异常访问行为分析方法的步骤。9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的异常访问行为分析方法的步骤。

技术总结
本发明公开的一种异常访问行为分析方法,包括:获取应用系统的所有用户访问历史日志;对获取到的所有用户访问历史日志进行结构化处理;对获取到的所有用户访问历史日志进行审计处理和标记处理;将标记处理后的所有用户访问历史日志作为计算样本库;获取应用系统新上报的用户访问日志,并获取当前用户的所有用户访问历史日志;以及计算新上报的用户访问日志的风险归一化概率P,并判断当前用户的当前访问行为是否为异常行为。还公开了实现上述异常访问行为分析方法的装置、计算机设备和存储介质。本发明有效地是被用户访问应用系统的异常行为,提高了应用系统的访问安全性能。提高了应用系统的访问安全性能。提高了应用系统的访问安全性能。


技术研发人员:李珂 曾政 陈建华 卫杰
受保护的技术使用者:格尔软件股份有限公司
技术研发日:2022.07.21
技术公布日:2022/11/1
转载请注明原文地址: https://tieba.8miu.com/read-1123.html

专利

最新回复(0)