[发明专利]基于用户行为和文档内容的数据防泄漏分析方法及系统

权利要求书

1.基于用户行为和文档内容的数据防泄漏分析方法，其特征在于，该方法包括以下步骤：

1)分别获取用户预定长时间段和预定短时间段的外发邮件行为相关数据，经过数据平均、归一化处理，分别得到该用户的长期行为数据向量和短期行为数据向量；

2)计算所述用户长期行为数据向量和短期行为数据向量间的向量间距离，根据计算得到的该向量间距离与预定向量距离阈值的比较结果，确定用户外发邮件行为是否存在异常，如果存在异常，跳转到步骤3)，否则跳转到步骤5；

3)对于存在异常行为的用户外发邮件，提取邮件内容文档，并判定文档的主题类别；

4)根据文档主题类别选定与该类别关联的文本精确匹配策略规则，并采用该匹配策略规则确定文档中是否存在敏感数据；

5)结束。

2.根据权利要求1所述的方法，所述步骤1)中的外发邮件行为相关数据包括：邮件发送时间、邮件发件人地址、邮件发件人域、邮件收件人地址、邮件收件人域、邮件收件人顶级域名、邮件主题类型、发送的邮件数量、收到的邮件数量、邮件的大小、邮件客户端IP地址、邮件服务器IP地址。

3.根据权利要求1所述的方法，所述步骤2)中所述用户长期行为数据向量和短期行为数据向量间的向量间距离为马氏距离(Mahalanobis Distance)，而向量距离阈值由卡方校验方法确定，如果所述向量间距离大于所述向量距离阈值，则判定用户外发邮件行为存在异常。

4.根据权利要求1所述的方法，所述步骤3)中，对提取的邮件文档内容进行分词，然后使用线性判别式分析LDA(Linear Discriminant Analysis)方法，根据文档包含的字词内容，判定文档的主题类别。

5.根据权利要求1所述的方法，所述步骤4)中的精确匹配策略规则包括正则表达式匹配策略规则和关键词匹配策略规则。

6.基于用户行为和文档内容的数据防泄漏分析系统，其特征在于，该系统包括：

数据向量建立模块，分别获取用户预定长时间段和预定短时间段的外发邮件行为相关数据，经过数据平均、归一化处理，分别得到该用户的长期行为数据向量和短期行为数据向量；

异常确定模块，计算所述用户长期行为数据向量和短期行为数据向量间的向量间距离，根据计算得到的该向量间距离与预定向量距离阈值的比较结果，确定用户外发邮件行为是否存在异常；

文档主题类别判定模块，对于存在异常行为的用户外发邮件，提取邮件内容文档，并判定文档的主题类别；

精确分析模块，根据文档主题类别选定与该类别关联的文本精确匹配策略规则，并采用该匹配策略规则确定文档中是否存在敏感数据。

7.根据权利要求6所述的系统，所述外发邮件行为相关数据包括：邮件发送时间、邮件发件人地址、邮件发件人域、邮件收件人地址、邮件收件人域、邮件收件人顶级域名、邮件主题类型、发送的邮件数量、收到的邮件数量、邮件的大小、邮件客户端IP地址、邮件服务器IP地址。

8.根据权利要求6所述的系统，所述用户长期行为数据向量和短期行为数据向量间的向量间距离为马氏距离(Mahalanobis Distance)，而向量距离阈值由卡方校验方法确定；

如果异常确定模块确定所述向量间距离大于所述向量距离阈值，则判定用户外发邮件行为存在异常。

9.根据权利要求6所述的系统，文档主题类别判定模块先将待检测的邮件文档统一转换为txt文本文档格式，对提取的邮件文档内容进行分词，然后使用线性判别式分析LDA(Linear Discriminant Analysis)方法，根据文档包含的字词内容，判定文档的主题类别。

10.一种计算机可读存储介质，其特征在于，该介质包括计算机程序指令，通过执行所述计算机程序执行实现权利要求1-5之一所述的方法。