[发明专利]一种设备行为风险分析方法及系统

权利要求书

1.一种设备行为风险分析方法，其特征在于，包括：

获取设备行为特征，基于所述设备行为特征对设备进行标签定义，获取若干设备标签；

基于所述若干设备标签构建设备画像模型，并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征；

根据所述若干个数据特征构建设备风险评估模型，基于所述设备风险评估模型对所述设备行为进行评估，得到设备风险值；

基于所述设备风险值获取识别所述设备的异常行为；

所述获取若干设备标签，具体包括获取安全事件标签、使用人标签、业务系统标签和业务数据标签；

所述基于所述若干设备标签构建设备画像模型，并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征，具体包括：

获取所述安全事件标签，按照所述设备在预设时间段内关联的安全事件，统计与所述设备相关的每一类安全事件数量；

获取所述使用人标签，统计使用所述设备的人员分布情况；

获取所述业务系统标签，按照所述设备在所述预设时间段内访问的业务系统类型，统计所述设备发送的访问请求数量；

获取所述业务数据标签，按照所述设备在所述预设时间段内访问的若干个数据库，统计所述设备对所述若干个数据库的若干个操作记录数量。

2.根据权利要求1所述的一种设备行为风险分析方法，其特征在于，所述统计所述设备的若干个操作记录数量，具体包括统计所述设备对所述若干个数据库的查询、新增、修改和删除的记录数量。

3.根据权利要求1所述的一种设备行为风险分析方法，其特征在于，所述根据所述数据特征构建设备风险评估模型，基于所述设备风险评估模型对所述设备行为进行评估，得到设备风险值，具体包括：

对所述设备的业务数据异常访问行为进行检测和计算，得到业务数据访问风险值；

对所述设备的业务系统异常访问行为进行检测和计算，得到业务系统访问风险值。

4.根据权利要求3所述的一种设备行为风险分析方法，其特征在于，所述业务数据异常访问行为包括数据访问量、数据访问量增速和所述设备与所述设备访问数据的业务相关性；

所述业务系统异常访问行为包括系统访问量、系统访问量增速和所述设备与所述设备访问系统的业务相关性。

5.根据权利要求3或4所述的一种设备行为风险分析方法，其特征在于，所述对所述设备的业务数据异常访问行为进行检测和计算，以及所述对所述设备的业务系统异常访问行为进行检测和计算，具体包括：

采用离群点检测，得到若干个偏离程度；

采用离群点增速检测，得到若干个偏离增速程度；

采用计算相关性系数，得到若干个相关性指标。

6.一种设备行为风险分析系统，其特征在于，包括：

获取模块，用于获取设备行为特征，基于所述设备行为特征对设备进行标签定义，获取若干设备标签；

构建画像模块，用于基于所述若干设备标签构建设备画像模型，并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征；

风险评估模块，用于根据所述若干个数据特征构建设备风险评估模型，基于所述设备风险评估模型对所述设备行为进行评估，得到设备风险值；

识别模块，用于基于所述设备风险值识别所述设备的异常行为；

所述获取模块中的所述获取若干设备标签，具体包括获取安全事件标签、使用人标签、业务系统标签和业务数据标签；

所述获取模块包括：第一获取子模块、第二获取子模块、第三获取子模块和第四获取子模块；其中：

所述第一获取子模块用于获取所述安全事件标签，按照所述设备在预设时间段内关联的安全事件，统计与所述设备相关的每一类安全事件数量；

所述第二获取子模块用于获取所述使用人标签，统计使用所述设备的人员分布情况；

所述第三获取子模块用于获取所述业务系统标签，按照所述设备在所述预设时间段内访问的业务系统类型，统计所述设备发送的访问请求数量；

所述第四获取子模块用于获取所述业务数据标签，按照所述设备在所述预设时间段内访问的若干个数据库，统计所述设备对所述若干个数据库的若干个操作记录数量。