[发明专利]一种异常数据访问的检测方法和装置

说明书

本说明书实施例提供一种异常数据访问的检测方法和装置，该方法包括：根据平台的数据访问行为日志中的待检测的数据访问行为数据和该待检测的数据访问行为数据对应的访问者信息，生成多个特征；使用组合模型对所述多个特征进行识别，输出风险评分，其中，所述组合模型中包括至少一个无监督分类模型和至少一个半监督分类模型；以及根据所述风险评分确定所述待检测的数据访问行为数据是否异常。

技术领域

本说明书涉及电子信息领域，尤其涉及一种异常数据访问的检测方法和装置。

背景技术

对公司各类信息系统的数据访问进行安全管控，例如实现员工的异常数据访问行为检测，可以实现敏感信息防泄漏，保障数据安全。该异常数据访问行为例如包括批量数据下载、批量文件下载、批量数据查询等等。

现有的员工异常数据访问行为的检测算法可分为两类：

1)基于规则引擎的异常检测算法：提取特征参数，判断是否超过预先设定的阈值；

2)基于有监督机器学习的算法：提取数据访问过程中的行为特征，然后利用大量的正负样本对员工行为进行训练，确定模型参数，然后基于训练好的模型判断员工行为是否属于异常。

应该注意，上面对技术背景的介绍只是为了方便对本说明书的技术方案进行清楚、完整的说明，并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本说明书的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。

发明内容

本说明书的发明人发现，上述现有的员工异常数据访问行为检测算法都存在各自的缺陷，例如：基于规则引擎的异常检测算法只能实现粗层次的行为识别，无法自适应的调整规则和风险阈值；基于有监督机器学习的算法极大的依赖训练样本中已确定的异常行为的样本量，存在冷启动的问题，此外，该方法缺乏对未知的异常行为的识别能力。其中，训练样本中已确定的异常行为通常称为黑样本。

本说明书实施例提供一种异常数据访问的检测方法及装置，使用包括至少一个无监督分类模型和至少一个半监督分类模型的组合模型对多个特征进行识别，从而检测异常的数据访问，由此，适用于多种场景下，访问者在数据访问过程中的异常行为检测，且无需大量该类异常行为的黑样本数据对模型进行训练。

为了实现上述目的，本说明书提供一种异常数据访问的检测方法，包括：

根据平台的数据访问行为日志中的待检测的数据访问行为数据和该待检测的数据访问行为数据对应的访问者信息，生成多个特征；使用组合模型对所述多个特征进行识别，输出风险评分，其中，所述组合模型中包括至少一个无监督分类模型和至少一个半监督分类模型；以及根据所述风险评分确定所述待检测的数据访问行为数据是否异常。

本说明书还提供一种异常数据访问的检测装置，包括：

第一生成单元，其根据平台的数据访问行为日志中的待检测的数据访问行为数据和该待检测的数据访问行为数据对应的访问者信息，生成多个特征；识别单元，其使用组合模型对所述多个特征进行识别，输出风险评分，其中，所述组合模型中包括至少一个无监督分类模型和至少一个半监督分类模型；以及判断单元，其根据所述风险评分确定所述待检测的数据访问行为数据是否异常。

本说明书的有益效果在于：适用于多种场景下，访问者在数据访问过程中的异常行为检测，且无需大量该类异常行为的黑样本数据对模型进行训练。

参照后文的说明和附图，详细公开了本发明的特定实施方式，指明了本发明的原理可以被采用的方式。应该理解，本发明的实施方式在范围上并不因而受到限制。在所附权利要求的精神和条款的范围内，本发明的实施方式包括许多改变、修改和等同。

针对一种实施方式描述和/或示出的特征可以以相同或类似的方式在一个或更多个其它实施方式中使用，与其它实施方式中的特征相组合，或替代其它实施方式中的特征。