[发明专利]一种业务行为异常检测方法和系统

权利要求书

1.一种业务行为异常检测方法，其特征在于，包括：

根据安全审计设备当前检测点之前的历史审计记录，建立用户访问业务系统的正常行为模型；

对安全审计设备的实时审计记录进行分析，与所述正常行为模型进行比较，判断用户访问业务系统的行为是否异常。

2.如权利要求1所述的方法，其特征在于，所述建立用户访问业务系统的正常行为模型的步骤，包括：

设定监控对象及其相应的监控类型；

设定自学习阶段的起止时间；

对设定的起止时间内的历史审计记录进行自学习，根据监控对象其相应的监控类型对该监控对象的信息进行统计，从而建立正常行为模型。

3.如权利要求2所述的方法，其特征在于，

设定监控对象时，设定需要监控的数据库表名，以及相应的操作类型和字段名；设定监控类型为取值范围和/或出现频率；

对设定的起止时间内的历史审计记录进行学习时，对历史审计记录进行解析，提取数据库表名、操作类型、字段名和操作值；

判断所述历史审计记录是否包含设定的监控对象，对于包含所述监控对象的所述历史审计记录，根据监控对象其相应的监控类型对该监控对象的操作值进行统计，如果该监控对象相应的监控类型为出现频率，则计算指定时间内其指定操作值的平均出现频率；如果该监控对象相应的监控类型为取值范围，计算其操作值的均值和方差。

4.如权利要求3所述的方法，其特征在于，如果监控对象的字段名为字符型，只允许设定监控类型为出现频率；如果监控对象的字段名为数值型，则设定监控类型为取值范围和/或出现频率。

5.如权利要求3或4所述的方法，其特征在于，所述对安全审计设备获取的当前审计记录进行分析，与所述正常行为模型进行比较，判断用户访问业务系统的行为是否异常具体包括：

对实时审计记录进行解析，提取数据库表名、操作类型、字段名和操作值，判断所述实时审计记录是否包含设定的监控对象；

对于包含所述监控对象的所述实时审计记录，根据监控对象相应的监控类型对监控对象的操作值进行处理，判断是否偏离了正常行为模型，如果偏离，则用户访问业务系统的行为异常；

其中，所述判断是否偏离了正常行为模型是指，当所述监控对象相应的监控类型为出现频率时，则统计所述监控对象在指定时间的出现频率，比较监控对象其指定操作值的出现频率与正常行为模型的偏离程度是否超过了设定阈值；当所述监控对象的监控类型为取值范围时，则比较所述监控对象的操作值，与正常行为模型的偏离程度是否超过了设定阈值。

6.一种业务行为异常检测系统，其特征在于，包括：

存储模块，用于存储所述安全审计设备的审计记录，包括当前观测点的实时审计记录，以及所述当前检测点之前的历史审计记录；

模型建立模块，与所述存储模块和评估模块相连，根据所述历史审计记录，建立用户访问业务系统的正常行为模型；

评估模块，与所述存储模块和模型建立模块相连，用于对所述安全审计设备的实时审计记录进行分析，与所述正常行为模型进行比较，判断用户访问业务系统的行为是否异常。

7.如权利要求6所述的系统，其特征在于，所述系统还包括：

设置模块，与所述模型建立模块及评估模块相连，用于设定监控对象和监控类型；还用于设定自学习阶段的起止时间；

所述模型建立模块，用于根据设置模块设定的起止时间内的历史审计记录进行自学习，根据监控对象其相应的监控类型对该监控对象的信息进行统计，从而建立正常行为模型。

8.如权利要求7所述的系统，其特征在于，

所述设置模块，设定监控对象时，设定需要监控的数据库表名，以及相应的操作类型和字段名，还设定监控类型为取值范围和/或出现频率；

所述模型建立模块包括解析单元和统计单元：

解析单元，对设定的起止时间内的历史审计记录进行学习时，对历史审计记录进行解析，提取数据库表名、操作类型、字段名和操作值，判断所述历史审计记录是否包含设定的监控对象；

统计单元，用于对包含所述监控对象的所述历史审计记录，根据监控对象其相应的监控类型对该监控对象的信息进行统计时，如果该监控对象相应的监控类型为出现频率，则计算指定时间内其指定操作值的平均出现频率；如果该监控对象相应的监控类型为取值范围，计算其操作值的均值和方差。