[发明专利]一种设备行为风险分析方法及系统

说明书

本发明实施例提供一种设备行为风险分析方法及系统。该方法包括：获取设备行为特征，基于所述设备行为特征对设备进行标签定义，获取若干设备标签；基于所述若干设备标签构建设备画像模型，并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征；根据所述若干个数据特征构建设备风险评估模型，基于所述设备风险评估模型对所述设备行为进行评估，得到设备风险值；基于所述设备风险值获取识别所述设备的异常行为。本发明实施例通过构建设备画像模型以获得设备行为不同维度的数据特征，再通过设备风险评估模型来评估设备的风险值，进而标记出有异常行为的设备，通过标记设备的异常行为，对整个系统中人员的异常行为进行有效的补充。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种设备行为风险分析方法及系统。

背景技术

近年来，越来越多的企业和组织意识到业务操作系统、数据库等系统在日常管理和运营中发挥了重要作用。

将企业内部信息，其中包括很多机密信息的数字化、信息化、规范化的过程即为各企业或组织带来了便利，但如果以上信息保护不当，就会给这些组织和企业带来巨大的乃至无以估量的损失。而由于网络安全防护措施的架构越来越完善，很多内部信息的泄漏不再是由于防护措施的不足，而是因为内部人员由于某些原因泄漏了这些敏感信息。因此，防范内部威胁成为了近年来企业级网络安全防护的主要方向。目前的主要措施是很多安全公司根据各企业和组织的需求专门定制安全策略，并以权限的形式分派给不同的操作人员，很多敏感信息还实施职责分离等安全原则，也会审计对数据和系统的操作是否符合规定。但是作为对核心人员的监管，还没有很完美的解决方案。而现在的很多研究中对于合法权限的内部人员，对其行为的监管大部分都是基于人员账号的，通过分析某一账号的行为是否存在某些异常，而对其进行检测。

但是，很多情况下某一账号可能存在多人共用的情况，这时，对其操作的特征无法进行有效的评估，就会出现错误分析为异常行为，或者有异常行为而无法发现。

发明内容

本发明实施例提供一种设备行为风险分析方法及系统，用以解决现有技术中仅通过对账号的权限管理来实现对设备风险行为监管的缺陷。

第一方面，本发明实施例提供一种设备行为风险分析方法，包括：

获取设备行为特征，基于所述设备行为特征对设备进行标签定义，获取若干设备标签；

基于所述若干设备标签构建设备画像模型，并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征；

根据所述若干个数据特征构建设备风险评估模型，基于所述设备风险评估模型对所述设备行为进行评估，得到设备风险值；

基于所述设备风险值获取识别所述设备的异常行为。

优选地，所述获取若干设备标签，具体包括获取安全事件标签、使用人标签、业务系统标签和业务数据标签。

优选地，所述基于所述若干设备标签构建设备画像模型，并根据所述设备画像模型获取设备行为在若干维度中的若干个数据特征，具体包括：

获取所述安全事件标签，按照所述设备在预设时间段内关联的安全事件，统计与所述设备相关的每一类安全事件数量；

获取所述使用人标签，统计使用所述设备的人员分布情况；

获取所述业务系统标签，按照所述设备在所述预设时间段内访问的业务系统类型，统计所述设备发送的访问请求数量；

获取所述业务数据标签，按照所述设备在所述预设时间段内访问的若干个数据库，统计所述设备对所述若干个数据库的若干个操作记录数量。

优选地，所述统计所述设备的若干个操作记录数量，具体包括统计所述设备对所述若干个数据库的查询、新增、修改和删除的记录数量。