[发明专利]一种基于聚类分析的Web违规操作行为检测方法

说明书

本发明公开了一种基于聚类分析的Web违规操作行为检测方法，所述的检测方法包括：获取用户的当前操作行为数据；提取所述当前操作行为数据中的操作特征信息集，根据操作特征信息集建立操作特征向量，确定所述操作特征向量与预设特征向量的操作行为匹配度；将当前操作行为数据输入到聚类模型，得到当前操作行为是否违规的分析结果，若为违规则得到违规评价结果；根据操作行为匹配度和违规评价结果，通过加权计算公式计算综合违规指数。本发明实施例提供的检测方法能够有效解决传统技术中无法有效识别用户网络操作的异常行为，无法做到违规操作行为检测的自动性、及时性和准确性的问题。

技术领域

本发明实施例属于Web业务安全监测技术领域，尤其涉及基于聚类分析的Web违规操作行为检测方法。

背景技术

Web业务系统目前对业务数据和业务办理行为的管理机制主要是通过业务数据进行加密和帐号权限控制，来达到对业务数据的保护和业务办理行为规范的作用。

其中，业务数据加密技术主要作用在数据传输和存储两个关键节点，通过将数据经过加密钥匙及加密函数转换，变成无意义的密，而接收方则将此密文经过解密函数、解密钥匙还原成业务数据，来达到对业务数据的保护效果；

而帐号权限控制主要是依据帐号的角色、层次、规则和对象来对帐号赋予相应的业务操作权限，安全管理人员在权限管理系统上配置权限规则和策略，实现用户权限的管理，通过查看帐号的操作日志，来发现相关帐号的违规办理行为。

现有的加密技术和权限管理技术，在应用时存在如下缺陷：第一：业务数据加密技术对于合法用户非法获取业务数据无法监管；第二：利用规则或策略来判断用户网络操作行为是否异常，但规则与策略并不能涵盖所有异常行为，传统技术比较局限，且会忽略或不能及时识别出新的异常行为。

发明内容

本发明的目的在于提供一种基于聚类分析的Web违规操作行为检测方法，旨在解决传统技术中无法有效识别用户网络操作的异常行为，无法做到违规操作行为检测的自动性、及时性和准确性的问题。

本发明的目的是通过以下技术方案实现的：

一种基于聚类分析的Web违规操作行为检测方法，所述检测方法包括：

获取用户的当前操作行为数据；

提取所述当前操作行为数据中的操作特征信息集，根据操作特征信息集建立操作特征向量，确定所述操作特征向量与预设特征向量的操作行为匹配度；

将当前操作行为数据输入到聚类模型，得到当前操作行为是否违规的分析结果，若为违规则得到违规评价结果；

根据操作行为匹配度和违规评价结果，通过加权计算公式计算综合违规指数。

在本发明提供的一个优选实施方式中，在所述获取用户的当前操作行为数据的步骤之前，所述检测方法还包括：

获取当前用户在终端设备的访问请求，所述访问请求包括用户登录信息；

根据用户登录信息确定与当前用户相对应的预设用户信息；

基于所述预设用户信息确定所述当前用户的访问权限，其中，所述访问权限包括允许访问和禁止访问。

在本发明提供的一个优选实施方式中，所述根据用户登录信息确定与当前用户相对应的预设用户信息的步骤具体包括：

获取用户初次访问终端设备时注册信息，并将注册信息存储为预设用户信息，其中，所述预设用户信息包括用户ID和常用登录地址；

提取包含当前用户ID的登录信息，基于所述用户ID确定与所述登录信息对应的预设用户信息；

基于所述预设用户信息判断当前用户的登录地址是否与常用登录地址匹配，在当前用户的登录地址与常用登录地址匹配时，确定所述当前用户具有访问权限。