一種檢測內(nèi)容發(fā)布系統(tǒng)操作人員行為異常的方法技術(shù)方案

本發(fā)明專利技術(shù)公開了一種檢測內(nèi)容發(fā)布系統(tǒng)操作人員行為異常的方法，包括檢測系統(tǒng)，檢測系統(tǒng)包括數(shù)據(jù)處理模塊、初創(chuàng)模塊、計算模塊、轉(zhuǎn)化模塊、調(diào)整模塊、存儲模塊、異常檢測模塊、告警模塊，數(shù)據(jù)處理模塊輸入端接收時間段內(nèi)操作人員的操作數(shù)據(jù)或操作人員的實(shí)時操作數(shù)據(jù)，數(shù)據(jù)處理模塊輸出端連接初創(chuàng)模塊和異常檢測模塊，初創(chuàng)模塊連接計算模塊，計算模塊連接轉(zhuǎn)化模塊，轉(zhuǎn)化模塊連接調(diào)整模塊，調(diào)整模塊連接計算模塊，計算模塊連接存儲模塊，存儲模塊連接異常檢測模塊，異常檢測模塊連接告警模塊。本發(fā)明專利技術(shù)解決了在攻擊者突破最外層安全防線后，內(nèi)部安全防御和檢測變得異常困難的問題。本發(fā)明專利技術(shù)可以有效分析操作人員操作順序與菜單正常點(diǎn)擊順序的相似程度，在相似度較低時可以快速準(zhǔn)確的發(fā)現(xiàn)；解決了單純利用頻率計算菜單2在菜單1后出現(xiàn)的概率以分析菜單點(diǎn)擊順序是否異常的情況下，存在的無法辨別特征相近的菜單的問題。存在的無法辨別特征相近的菜單的問題。存在的無法辨別特征相近的菜單的問題。

【技術(shù)實(shí)現(xiàn)步驟摘要】
一種檢測內(nèi)容發(fā)布系統(tǒng)操作人員行為異常的方法


[0001]本專利技術(shù)涉及信息安全
，具體為一種檢測內(nèi)容發(fā)布系統(tǒng)操作人員行為異常的方法。

技術(shù)介紹

[0002]自然語言處理(NLP，Natural Language Processing)就是開發(fā)能夠理解人類語言的應(yīng)用程序或服務(wù)。處理自然語言的關(guān)鍵是要讓計算機(jī)“理解”自然語言，所以自然語言處理又叫做自然語言理解(NLU，NaturalLanguage Understanding)，也稱為計算語言學(xué)(Computational Linguistics）。一方面它是語言信息處理的一個分支，另一方面它是人工智能(AI, Artificial Intelligence)的核心課題之一。 本專利技術(shù)中涉及自然語言處理中的skip
?
gram算法。
[0003]Word2Vec 是一個過程（技術(shù)），在這個過程中，將文本作為神經(jīng)網(wǎng)絡(luò)的訓(xùn)練數(shù)據(jù)，這個神經(jīng)網(wǎng)絡(luò)的輸出向量被稱作嵌入，這些嵌入（向量）在訓(xùn)練后會包含單詞的語義信息。這個過程做的就是從每個單詞有多個維度的空間嵌入到具有低得多維度的連續(xù)向量空間。該技術(shù)被廣泛地應(yīng)用于自然語言處理中，通過上下文來學(xué)習(xí)語義信息，skip
?
gram是它的經(jīng)典模型之一，是根據(jù)給定的中心詞預(yù)測上下文，上下文也常被稱為背景詞。
[0004]目前企業(yè)安全管理者面臨安全事件難以全面處置的問題，攻擊者利用各種手段繞過重金打造的安全防線。而在突破最外層安全防線后，內(nèi)部安全防御和檢測變得異常困難。所以目前攻防雙方的重要戰(zhàn)場是在網(wǎng)絡(luò)邊界上，邊界一旦突破，幾乎意味著防御失敗。近年來，內(nèi)網(wǎng)橫向移動檢測類產(chǎn)品越來越多，但由于成本和部署難度的問題，整體普及率不高。
[0005]在內(nèi)容發(fā)布系統(tǒng)環(huán)境中，如果邊界防線被突破，攻擊者可以通過橫向移動快速的拿到系統(tǒng)的權(quán)限。而標(biāo)準(zhǔn)網(wǎng)絡(luò)安全產(chǎn)品在橫向移動檢測方面存在部署困難、成本高昂、運(yùn)維難度大等問題。由此有必要發(fā)展一種從系統(tǒng)視角觀察業(yè)務(wù)行為的方法，利用神經(jīng)網(wǎng)絡(luò)和自然語言處理技術(shù)，通過學(xué)習(xí)日常行為順序邏輯來判斷入侵者異常行為。

技術(shù)實(shí)現(xiàn)思路

[0006]本專利技術(shù)的目的在于提供一種檢測內(nèi)容發(fā)布系統(tǒng)操作人員行為異常的方法，以解決上述
技術(shù)介紹
中提出的問題。
[0007]為實(shí)現(xiàn)上述目的，本專利技術(shù)提供如下技術(shù)方案：一種檢測內(nèi)容發(fā)布系統(tǒng)操作人員行為異常的方法，包括檢測系統(tǒng)，所述的檢測系統(tǒng)包括數(shù)據(jù)處理模塊、初創(chuàng)模塊、計算模塊、轉(zhuǎn)化模塊、調(diào)整模塊、存儲模塊、異常檢測模塊、告警模塊，其中，所述的數(shù)據(jù)處理模塊對原始業(yè)務(wù)數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗、對菜單進(jìn)行編號、遍歷數(shù)據(jù)、采取正樣本及負(fù)樣本、遍歷菜單ID等操作；所述的初創(chuàng)模塊負(fù)責(zé)初始化向量以及創(chuàng)建矩陣；所述的計算模塊計算菜單點(diǎn)積及相似度；所述的轉(zhuǎn)化模塊將相似度進(jìn)行歸一化處理；所述的調(diào)整模塊負(fù)責(zé)調(diào)整矩陣、減小誤差以及優(yōu)化模型；所述的存儲模塊記錄基準(zhǔn)表及閾值；所述的異常檢測模塊將推理數(shù)據(jù)與基準(zhǔn)表進(jìn)行比對查找；所述的告警模塊用于向用戶反饋操作行為異常；在訓(xùn)練階段，所述的數(shù)
據(jù)處理模塊與初創(chuàng)模塊連接；所述的初創(chuàng)模塊與計算模塊連接；所述的計算模塊與轉(zhuǎn)化模塊連接；所述的轉(zhuǎn)化模塊與調(diào)整模塊連接；所述的調(diào)整模塊與計算模塊連接；所述的計算模塊與存儲模塊連接；所述的存儲模塊與推理階段的異常檢測模塊連接。在推理階段，所述的數(shù)據(jù)處理模塊與異常檢測模塊連接；所述的異常檢測模塊與訓(xùn)練階段的存儲模塊連接；所述的異常檢測模塊與告警模塊連接。
[0008]優(yōu)選的，檢測方法包括以下步驟。
[0009]A、數(shù)據(jù)處理；包括對原始業(yè)務(wù)數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗、對菜單進(jìn)行編號、遍歷數(shù)據(jù)、采取正樣本及負(fù)樣本，在推理階段，從第二條數(shù)據(jù)開始遍歷菜單ID。本步驟的輸出將作為后續(xù)初始化向量與創(chuàng)建矩陣步驟、調(diào)整步驟和異常數(shù)據(jù)檢測步驟的依據(jù)。
[0010]B、初始化向量與創(chuàng)建矩陣；初始化中心菜單向量、背景菜單向量以及標(biāo)簽向量，創(chuàng)建Embedding、Context矩陣，本步驟的輸出將作為后續(xù)計算點(diǎn)積、調(diào)整步驟的依據(jù)。
[0011]C、計算點(diǎn)積；本步驟以初始化向量和創(chuàng)建矩陣步驟的輸出為依據(jù)，計算中心菜單向量與背景菜單向量的點(diǎn)積。本步驟的輸出將作為后續(xù)歸一化步驟的依據(jù)。
[0012]D、歸一化；本步驟以計算點(diǎn)積步驟的輸出為依據(jù)，利用Sigmoid激活函數(shù)對其進(jìn)行歸一化處理，放大數(shù)據(jù)之間的差距，算出每個中心菜單以及其對應(yīng)的背景菜單的對應(yīng)0、1的“概率”，因所有輸出值總和為1，所以此應(yīng)用中將該輸出值解釋為“概率”。本步驟的輸出將作為下一步驟調(diào)整的依據(jù)。
[0013]E、調(diào)整；本步驟以數(shù)據(jù)處理步驟得到的正負(fù)樣本以及歸一化步驟得到的時間段T內(nèi)所有菜單點(diǎn)擊的“概率”為依據(jù)，二者相減得到錯誤分?jǐn)?shù)即模型預(yù)測中的誤差，為調(diào)整矩陣、減小誤差以及優(yōu)化模型，需要利用梯度下降算法不斷訓(xùn)練模型。本步驟最終的輸出將作為下一步驟生成基準(zhǔn)表的依據(jù)。
[0014]F、生成基準(zhǔn)表；本步驟以調(diào)整嵌入步驟的最終輸出為依據(jù)，生成一張相似度基準(zhǔn)表，每個菜單和其他各個菜單的相似度，同時根據(jù)業(yè)務(wù)實(shí)際情況以及數(shù)據(jù)結(jié)果設(shè)定閾值。本步驟的輸出將作為后續(xù)異常數(shù)據(jù)檢測步驟的依據(jù)。
[0015]G、異常數(shù)據(jù)檢測；本步驟以推理階段的數(shù)據(jù)處理結(jié)果和訓(xùn)練階段生成基準(zhǔn)表步驟最終生成的基準(zhǔn)表以及閾值為依據(jù)，遍歷推理數(shù)據(jù)中菜單點(diǎn)擊數(shù)據(jù)，與基準(zhǔn)表進(jìn)行比對查詢，查看是否低于設(shè)定的閾值。本步驟的輸出將作為后續(xù)推送告警階段的依據(jù)。
[0016]H、推送告警；本步驟以異常數(shù)據(jù)檢測步驟的結(jié)果為依據(jù)，可以推送哪位操作人員在點(diǎn)擊什么菜單之前點(diǎn)擊了什么菜單存在異常以及閾值為多少等信息。
[0017]優(yōu)選的，所述步驟A具體步驟如下：在訓(xùn)練階段，ａ、首先設(shè)置操作人員ID和菜單ID，原始業(yè)務(wù)數(shù)據(jù)中的操作人員列均為操作人員賬號名稱、菜單均為菜單名稱，為方便在此場景中應(yīng)用更多方法，在這里設(shè)置一個大字典，操作人員ID與操作人員賬號名稱一一對應(yīng)、菜單ID與菜單名稱一一對應(yīng)；ｂ、選擇子集，選擇需要進(jìn)行分析的數(shù)據(jù)集中的數(shù)據(jù)列，在這里選擇操作人員ID、菜單ID兩列，清洗臟數(shù)據(jù)；c、遍歷菜單ID，記錄該菜單ID及下一個菜單ID生成訓(xùn)練樣本，然后對每一個菜單按照出現(xiàn)的次數(shù)進(jìn)行ID編號（例如ID1在所有菜單出現(xiàn)次數(shù)最多，那么它的編號ID為0。即0代表ID1菜單）
d、再次遍歷所有菜單，采用負(fù)采樣，按照窗口大小(此處取1)劃分正樣本與負(fù)樣本（例如遍歷到ID1這個菜單，那么中心菜單上下緊挨著出現(xiàn)的菜單均為菜單ID1的正樣本，并將標(biāo)簽設(shè)為1，否則為負(fù)樣本，標(biāo)簽設(shè)為0）。遍歷完成后，得到一個中心菜單與背景菜單以及標(biāo)簽的列表；在推理階段，ａ、首先設(shè)置操作人員ID和菜單ID，原始業(yè)務(wù)數(shù)據(jù)中的操作人員列均為操作人員賬號名稱、菜單均為菜單名稱，為方便在此場景中應(yīng)用更多方法，在這里設(shè)置一個大字典，操作人員ID與操作人員賬號名稱一一對應(yīng)、菜單ID與菜單名稱一一對應(yīng)；ｂ、選擇子集，選擇需要進(jìn)行分析的數(shù)據(jù)集中的數(shù)據(jù)列，在這里選擇操作人員ID、菜單ID兩列，清洗臟數(shù)據(jù)；ｃ、從第二條數(shù)據(jù)開始遍歷本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】

【技術(shù)特征摘要】
1.一種檢測內(nèi)容發(fā)布系統(tǒng)操作人員行為異常的方法，其特征在于：包括檢測系統(tǒng)，所述檢測系統(tǒng)包括數(shù)據(jù)處理模塊（1）、一種檢測內(nèi)容發(fā)布系統(tǒng)操作人員行為異常的方法，其特征在于：包括檢測系統(tǒng)，所述檢測系統(tǒng)包括數(shù)據(jù)處理模塊（1）、初創(chuàng)模塊（2）、計算模塊（3）、轉(zhuǎn)化模塊（4）、調(diào)整模塊（5）、存儲模塊（6）、異常檢測模塊（7）、告警模塊（8），其中，所述的數(shù)據(jù)處理模塊（1）對原始業(yè)務(wù)數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗、對菜單進(jìn)行編號、遍歷數(shù)據(jù)、采取正樣本及負(fù)樣本、遍歷菜單ID等操作；所述的初創(chuàng)模塊（2）負(fù)責(zé)初始化向量以及創(chuàng)建矩陣；所述的計算模塊（3）計算菜單點(diǎn)積及相似度；所述的轉(zhuǎn)化模塊（4）將相似度進(jìn)行歸一化處理；所述的調(diào)整模塊（5）負(fù)責(zé)調(diào)整矩陣、減小誤差以及優(yōu)化模型；所述的存儲模塊（6）記錄基準(zhǔn)表及閾值；所述的異常檢測（7）模塊將推理數(shù)據(jù)與基準(zhǔn)表進(jìn)行比對查找；所述的告警模塊（8）用于向用戶反饋操作行為異常；在訓(xùn)練階段，所述的數(shù)據(jù)處理模塊與初創(chuàng)模塊連接；所述的初創(chuàng)模塊與計算模塊連接；所述的計算模塊與轉(zhuǎn)化模塊連接；所述的轉(zhuǎn)化模塊與調(diào)整模塊連接；所述的調(diào)整模塊與計算模塊連接；所述的計算模塊與存儲模塊連接；所述的存儲模塊與推理階段的異常檢測模塊連接;在推理階段，所述的數(shù)據(jù)處理模塊與異常檢測模塊連接；所述的異常檢測模塊與訓(xùn)練階段的存儲模塊連接；所述的異常檢測模塊與告警模塊連接。2.根據(jù)權(quán)利要求1所述的一種檢測內(nèi)容發(fā)布系統(tǒng)操作人員行為異常的方法 ，其特征在于：檢測方法包括以下步驟：A、數(shù)據(jù)處理；包括對原始業(yè)務(wù)數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗、對菜單進(jìn)行編號、遍歷數(shù)據(jù)、采取正樣本及負(fù)樣本，在推理階段，從第二條數(shù)據(jù)開始遍歷菜單ID;本步驟的輸出將作為后續(xù)初始化向量與創(chuàng)建矩陣步驟、調(diào)整步驟和異常數(shù)據(jù)檢測步驟的依據(jù)；B、初始化向量與創(chuàng)建矩陣；初始化中心菜單向量、背景菜單向量以及標(biāo)簽向量，創(chuàng)建Embedding、Context矩陣，本步驟的輸出將作為后續(xù)計算點(diǎn)積、調(diào)整步驟的依據(jù)；C、計算點(diǎn)積；本步驟以初始化向量和創(chuàng)建矩陣步驟的輸出為依據(jù)，計算中心菜單向量與背景菜單向量的點(diǎn)積；本步驟的輸出將作為后續(xù)歸一化步驟的依據(jù)； D、歸一化；本步驟以計算點(diǎn)積步驟的輸出為依據(jù)，利用Sigmoid激活函數(shù)對其進(jìn)行歸一化處理，放大數(shù)據(jù)之間的差距，算出每個中心菜單以及其對應(yīng)的背景菜單的對應(yīng)0、1的“概率”，因所有輸出值總和為1，所以此應(yīng)用中將該輸出值解釋為“概率”；本步驟的輸出將作為下一步驟調(diào)整的依據(jù)；E、調(diào)整；本步驟以數(shù)據(jù)處理步驟得到的正負(fù)樣本以及歸一化步驟得到的時間段T內(nèi)所有菜單點(diǎn)擊的“概率”為依據(jù)，二者相減得到錯誤分?jǐn)?shù)即模型預(yù)測中的誤差，為調(diào)整矩陣、減小誤差以及優(yōu)化模型，需要利用梯度下降算法不斷訓(xùn)練模型；本步驟最終的輸出將作為下一步驟生成基準(zhǔn)表的依據(jù)；F、生成基準(zhǔn)表；本步驟以調(diào)整嵌入步驟的最終輸出為依據(jù)，生成一張相似度基準(zhǔn)表，每個菜單和其他各個菜單的相似度，同時根據(jù)業(yè)務(wù)實(shí)際情況以及數(shù)據(jù)結(jié)果設(shè)定閾值；本步驟的輸出將作為后續(xù)異常數(shù)據(jù)檢測步驟的依據(jù)；G、異常數(shù)據(jù)檢測；本步驟以推理階段的數(shù)據(jù)處理結(jié)果和訓(xùn)練階段生成基準(zhǔn)表步驟最終生成的基準(zhǔn)表以及閾值為依據(jù)，遍歷推理數(shù)據(jù)中菜單點(diǎn)擊數(shù)據(jù)，與基準(zhǔn)表進(jìn)行比對查詢，查看是否低于設(shè)定的閾值；本步驟的輸出將作為后續(xù)推送告警階段的依據(jù)；H、推送告警；本步驟以異常數(shù)據(jù)檢測步驟的結(jié)果為依據(jù)，可以推送哪位操作人員在點(diǎn)擊什么菜單之前點(diǎn)擊了什么菜單存在異常以及閾值為多少等信息。
3.根據(jù)權(quán)利要求2所述的一種檢測內(nèi)容發(fā)布系統(tǒng)操作人員行為異常的方法，其特征在于：所述步驟A具體步驟如下：在訓(xùn)練階段，ａ、首先設(shè)置操作人員ID和菜單ID，原始業(yè)務(wù)數(shù)據(jù)中的操作人員列均為操作人員賬號名稱、菜單均為菜單名稱，為方便在此場景中應(yīng)用更多方法，在這里設(shè)置一個大字典，操作人員ID與操作人員賬號名稱一一對應(yīng)、菜單ID與菜單名稱一一對應(yīng)；ｂ、選擇子集，選擇需要進(jìn)行分析的數(shù)據(jù)集中的數(shù)據(jù)列，在這里選擇操作人員ID、菜單ID兩列，清洗臟數(shù)據(jù)；c、遍歷菜單ID，記錄該菜單ID及下一個菜單ID生成訓(xùn)練樣本，然后對每一個菜單按照出現(xiàn)的次數(shù)進(jìn)行ID編號（例如ID1在所有菜單出現(xiàn)次數(shù)最多，那么它的編號ID為0，即0代表ID1菜單）；d、再次遍歷所有菜單，采用負(fù)采樣，按照窗口大小(此處取1)劃分正樣本與負(fù)樣本（例如遍歷到ID1這個菜單，那么中心菜單上下緊挨著出現(xiàn)的菜單均為菜單ID1的正樣本，并將標(biāo)簽設(shè)為1，否則為負(fù)樣本，標(biāo)簽設(shè)為0）；遍歷完成后，得到一個中心菜單與背景菜單以及標(biāo)簽的列表；在推理階段，ａ、首先設(shè)置操作人員ID和菜單ID，原始業(yè)務(wù)數(shù)據(jù)中的操作人員列均為操作人員賬號名稱、菜單均為菜單名稱，為方便在此場景中應(yīng)用更多方法，在這里設(shè)置一個大字典，操作人員ID與操作人員賬號名稱一一對應(yīng)、菜單ID與菜單名稱一一對應(yīng)；ｂ、選擇子集，選擇需要進(jìn)行分析的數(shù)據(jù)集中的數(shù)據(jù)列，在這里選擇操作...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：黃樂，王聚鑫，
申請(專利權(quán))人：北京掌數(shù)信息技術(shù)有限公司，
類型：發(fā)明
國別省市：