[发明专利]一种违规告警方法及装置

说明书

本发明公开了一种违规告警方法及装置，所述方法包括：针对每个用户的第一操作记录，获取该用户第一操作记录的操作特征；根据该用户第一操作记录的操作特征及针对该用户预先训练完成的用户操作模型，判断该用户的第一操作记录是否异常；如果该用户的第一操作记录异常，获取该用户第一操作记录之后设定时间长度内的每个第二操作记录；针对所述每个第二操作记录，获取该第二操作记录的操作特征与该用户的第一操作记录的操作特征进行匹配，确定匹配成功的次数；如果匹配成功的次数小于设定的次数阈值，将该用户的第一操作记录确定为违规并告警。用以解决现有技术中，违规告警过程中需要的人力投入大，违规告警结果的准确性不高的问题。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种违规告警方法及装置。

背景技术

随着互联网、云计算、物联网等新技术的广泛应用，将企业带入了信息化办公时代，在为企业带来巨大便利的同时，如何规范用户的操作，保证企业的信息安全也成为一个不可忽视的问题。企业通过对用户的操作记录的进行监测，获取用户的操作记录的操作特征，并根据用户的操作记录的操作特征与企业针对操作特征预先制定的操作规范，来判断用户的操作是否违规，并针对用户违规的操作记录产生告警，保证企业信息的安全。例如：用户的操作记录中记录的操作特征为：操作人员为普通员工、操作地址为非企业内网，企业操作规范中规定普通员工只能使用企业内网进行操作，则认为该操作记录违规，产生告警。

然而，现有的违规告警方法，多是采用黑名单的方式进行违规告警检测，即获取用户操作记录的操作特征与黑名单中保存的已知违规的操作记录的操作特征进行匹配，如果匹配成功，则说明该用户的该操作记录存在违规产生告警，然而这种方式只能检测出已经出现过的违规操作记录，对未出现过的违规操作记录则不能检测，违规告警的准确性不高，并且由于新的违规操作记录不断出现，需要投入极大的人力，不断的对黑名单进行更新，造成人力的浪费，给企业带来了负担。

发明内容

本发明提供一种违规告警方法及装置，用以解决现有技术中违规告警过程中无法对未出现过的违规操作记录进行检测，违规告警检测的准确性不高，并且需要人力投入大，给企业造成负担的问题。

本发明公开了一种违规告警方法，所述方法包括：

针对每个用户的第一操作记录，获取该用户第一操作记录的操作特征；

根据该用户第一操作记录的操作特征及针对该用户预先训练完成的用户操作模型，判断该用户的第一操作记录是否异常；

如果该用户的第一操作记录异常，获取该用户第一操作记录之后设定时间长度内的每个第二操作记录；

针对所述每个第二操作记录，获取该第二操作记录的操作特征与该用户的第一操作记录的操作特征进行匹配，确定匹配成功的次数；

如果匹配成功的次数小于设定的次数阈值，将该用户的第一操作记录确定为违规并告警。

进一步地，预先训练所述用户操作模型的过程包括：

针对每个用户训练集中的每个第三操作记录，提取该第三操作记录的操作特征；

将该第三操作记录的操作特征输入到该用户的用户操作模型中，对该用户的用户操作模型进行训练。

进一步地，所述操作特征包括以下至少一种：

用户权限、操作设备的标识信息、操作时间、操作对象、操作内容、操作原因。

进一步地，所述方法还包括：

如果匹配成功的次数大于设定的次数阈值，将该用户的第一操作记录确定为未违规。

进一步地，所述将该用户的第一操作记录确定为未违规之后，所述方法还包括：