| 发明名称 | 一种业务行为异常检测方法和系统 | ||
| 摘要 | 发明提供了一种业务行为异常检测方法,包括:根据安全审计设备当前检测点之前的历史审计记录,建立用户访问业务系统的正常行为模型;对安全审计设备的实时审计记录进行分析,与所述正常行为模型进行比较,判断用户访问业务系统的行为是否异常。本发明还提供了一种业务行为异常检测系统。本发明提出的业务行为异常检测系统及方法,能够根据安全审计设备的审计记录,检测在业务流程上并不违规、实际上仍然给业务系统带来破坏的攻击行为。 | ||
| 申请公布号 | CN101902366B | 申请公布日期 | 2014.03.12 |
| 申请号 | CN200910085032.5 | 申请日期 | 2009.05.27 |
| 申请人 | 北京启明星辰信息技术股份有限公司;北京启明星辰信息安全技术有限公司 | 发明人 | 周涛;叶润国;刘晖;姚熙 |
| 分类号 | H04L12/26(2006.01)I;H04L12/24(2006.01)I;H04L29/06(2006.01)I | 主分类号 | H04L12/26(2006.01)I |
| 代理机构 | 北京安信方达知识产权代理有限公司 11262 | 代理人 | 龙洪;霍育栋 |
| 主权项 | 一种业务行为异常检测方法,其特征在于,包括:根据安全审计设备当前检测点之前的历史审计记录,建立用户访问业务系统的正常行为模型;对安全审计设备的实时审计记录进行分析,与所述正常行为模型进行比较,判断用户访问业务系统的行为是否异常;其中,所述建立用户访问业务系统的正常行为模型的步骤,包括:设定监控对象及其相应的监控类型;设定自学习阶段的起止时间;对设定的起止时间内的历史审计记录进行自学习,根据监控对象其相应的监控类型对该监控对象的信息进行统计,从而建立正常行为模型;其中,设定监控对象时,设定需要监控的数据库表名,以及相应的操作类型和字段名;设定监控类型为取值范围和/或出现频率;对设定的起止时间内的历史审计记录进行学习时,对历史审计记录进行解析,提取数据库表名、操作类型、字段名和操作值;判断所述历史审计记录是否包含设定的监控对象,对于包含所述监控对象的所述历史审计记录,根据监控对象其相应的监控类型对该监控对象的操作值进行统计,如果该监控对象相应的监控类型为出现频率,则计算指定时间内其指定操作值的平均出现频率;如果该监控对象相应的监控类型为取值范围,计算其操作值的均值和方差。 | ||
| 地址 | 100193 北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦 | ||