[发明专利]基于深度学习的终端数据囤积检测方法及系统

说明书

本发明提供的基于深度学习的终端数据囤积检测方法及系统，方法包括：采集每个检测对象的数据囤积数据；根据数据囤积数据刻画每个检测对象的基线模型；当检测对象当前的数据囤积数据不满足其基线模型时，定义检测对象数据囤积异常。该方法能够利用深度学习方法自动学习检测对象的基线模型，并根据基线模型对检测对象是否数据囤积异常进行检测，减轻了管理员的工作量，提高了基线定义的精准度。

技术领域

本发明属于网络安全技术领域，具体涉及基于深度学习的终端数据囤积检测方法及系统。

背景技术

数据囤积检测的目的是分析文件类型在终端设备上的分布状态，当在一个时间段或者一个周期内，终端设备当前与之前的文件存储分布有较大差异，或者使用该终端设备的员工与所在部门的其他员工的文件存储分布有较大的差异，则认为数据囤积异常。例如图1为某检测对象在一定时间段内针对某文件的数据囤积情况，该文件在时间段8-11内突然增加，存在数据囤积异常。

数据囤积异常的潜在威胁包括：a)员工电脑突然增加了部分特殊类型的文件；b)大量公司财务重要报表突然出现在销售员工的电脑终端上；c)研发源代码突然出现在行政部门员工的电脑上；d)数据囤积异常检测，还可以为敏感数据外的异常提供参考指标，以及威胁告警的指标。

目前的终端数据囤积检测方法存在以下问题：

1、管理员为每个员工定义基线时，工作量太大。由于每个人岗位不同，职责不同，同一部门里，不同岗位专业人员的个人基线也是不同的，比如部门经理可能存储一些人事档案类的文档，而本部门的其他员工不允许存储此类文档；再比如在金融系统开发中，前端开发人员不允许存储过多C++后台业务逻辑代码等。

2、在系统初始化阶段，人工定义基线不准确。终端设备数据检测最难的是如何分别为各个部门定义专门的数据基线，比如研发部门终端电脑上不允许存储销售合同；销售部门终端电脑上不允许存储产品源代码；财务部门终端电脑上不允许存储人事档案。所以通过人工定义这些数据基线是比较困难的，如何为客户智能定义可靠的数据囤积基线，是系统初始化阶段用户体验好坏的关键。例如图2包括了多个部门的基线，不同部门的基线不同。

3、部门内对特殊岗位的检测，误报率比较高。比如开发财务系统的开发人员需要存储一些财务报表，这是他工作需求的来源；如果设置这类特殊开发人员的文档囤积基线与普通程序员一样，就会产生大量误报。有些小型软件开发公司的开发人员本身也从事售前工作，因此他可能混合使用多个部门的文档，因此简单按照常规基线排查，也会产生大量误报。例如图3为某特殊岗位在一定时间段内针对某文件的数据囤积情况，假设该部门因为特殊需求，需要在时间3、时间6、时间12囤积该文件，而针对上述情况，现有的数据囤积检测方法会出现了3处用户数据囤积异常的误报。

4、在训练模型时，定义标签数据量太大。为了获得识别精度比较高的检测模型，常规的方法是给足充分的训练标签数据(正负样本)，即需要收集每个人及其部门在每一时刻的数据，然后再标记出哪些是异常数据、哪些是正常数据，这是一项繁重而枯燥的工作。

5、数据囤积量往往随时间的变化而变化，固定的规则无法解决系统使用便利性。员工随着入职时间的推进，工作内容的深入，数据的囤积量也在不断发生变化。而基于规则的基线定义很难满足员工随时间变化动态调整基线标准的要求，给系统使用带来了不便性。

发明内容

针对现有技术中的缺陷，本发明提供一种基于深度学习的终端数据囤积检测方法及系统，减轻了管理员的工作量，提高了基线定义的精准度。

第一方面，一种基于深度学习的终端数据囤积检测方法，包括：

采集每个检测对象的数据囤积数据；

根据数据囤积数据刻画每个检测对象的基线模型；

当检测对象当前的数据囤积数据不满足其基线模型时，定义检测对象数据囤积异常。