[发明专利]一种对等体组识别方法及装置

说明书

本发明实施例公开了一种对等体组识别方法，所述方法包括：根据各用户在第一预设时间内的业务访问日志，将访问同一业务系统中同一项目资源的用户划分为一组，获得若干初始分组；分析所述若干初始分组之间的相似性，将相似性满足第一预设条件的初始分组合并到一个组中，获得若干初始对等分组；根据各用户在第二预设时间内的通讯日志，将通讯次数超过第一预设阈值的一组用户划分为一频繁项集，获得若干频繁项集；根据所述频繁项集对所述若干初始对等分组进行调整，确定最终对等分组。本发明实施例还公开了一种对等体组识别装置。

技术领域

本发明涉及内部威胁检测(Insider Threat Detection)领域，尤其涉及一种对等体组识别方法及装置。

背景技术

在内部威胁检测领域，对等体组(Peer Group)是指一组用户(可以是公司员工)，其相互之间有着很强的相似性和关联性；例如，一个业务部门或一个研发项目组都可以称之为一个对等体组。对等体组中的用户，行为具有相似性，很可能会操作相同的业务系统，接触同样的信息资源和在近似的时间进行加班。对等体组为用户异常行为分析提供了极具价值的参考信息；常用的用户异常行为分析(User Behavior Analytics)方法为：识别出一个对等体组，分析该对等体组内用户的行为基线，检测对等体组内某个用户的行为是否偏离该行为基线，若偏离则认为该用户行为异常。

由上所述可知，进行用户异常行为分析的关键前提是对等体组识别的合理性；同属于一个对等体组中的用户在逻辑上越具有内在关联性和相似性，据此对等体组进行的用户异常行为分析的准确性就会越高。

现有技术中，识别出一个对等体组的可行方法可以是按照业务部门来识别对等体组；示例地，在商业组织中，一般按照业务类型对用户划分业务部门，如在科技公司中可能将用户划分为软件开发部门，硬件开发部门，质量测试部门，销售部门等等，可以将每个业务部门内的用户静态地识别为一个对等体组。

项目组是公司交付研发成果，完成销售活动的重要组织形式；商业间谍活动的目标通常是公司的核心项目，而对公司威胁最大的泄密也通常与公司的核心项目相关，而核心项目组的成员是这些威胁最有可能的潜在发起者；故，识别公司的项目组，并据此形成对等体组，对内部威胁检测和用户异常分析非常重要。但是，由于项目组与公司的业务部门并不一定有一一对应关系；一个业务部门可能同时开展多个项目，一个项目牵涉到的业务部门也可以有多个。例如，软件公司的一个产品开发项目可能牵涉到产品规划部门，测试部门，研发部门和销售部门；同时，与业务部门不同的是，项目组的生命周期是动态的，会随着立项而组建，也会随着结项而解散。故，现有的这种按照业务部门进行静态识别的方法无法用于识别项目组对应的对等体组。同时，由于项目组跨越部门的组织形式和动态的生命周期，通过人工配置去形成对等体组会引入非常大的管理成本。

发明内容

有鉴于此，本发明实施例期望提供一种对等体组识别方法及装置，可以自动准确识别出项目组对应的对等体组。

为达到上述目的，本发明的技术方案是这样实现的：

一种对等体组识别方法，所述方法包括：

根据各用户在第一预设时间内的业务访问日志，将访问同一业务系统中同一项目资源的用户划分为一组，获得若干初始分组；

分析所述若干初始分组之间的相似性，将相似性满足第一预设条件的初始分组合并到一个组中，获得若干初始对等分组；

根据各用户在第二预设时间内的通讯日志，将通讯次数超过第一预设阈值的一组用户划分为一频繁项集，获得若干频繁项集；

根据所述频繁项集对所述若干初始对等分组进行调整，确定最终对等分组。

上述方案中，所述根据各用户在第一预设时间内的业务访问日志，将访问同一业务系统中同一项目资源的用户划分为一组，获得若干初始分组，包括：