[发明专利]一种内网用户的异常外发行为检测方法及装置

说明书

本发明实施例提供了一种内网用户的异常外发行为检测方法及装置，内网用户的异常外发行为检测方法包括：获取行为审计设备上报的外发行为日志，针对内网用户，获取外发行为日志中该内网用户外发数据的外发时间之前的预设时间段内访问控制设备上报的第一访问控制日志，基于第一访问控制日志中的访问控制信息，统计内网用户的访问被控数据，在根据外发数据的数据信息和访问被控数据，确定内网用户的访问行为和外发行为偏离预设行为基线时，确定内网用户存在异常外发行为。通过本方案，可以提高检测内网用户的异常外发行为的准确性。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种内网用户的异常外发行为检测方法及装置。

背景技术

随着信息技术的高速发展，计算机和网络已成为日常办公、通讯交流和协作互动的重要工具和途径，广泛应用于企业、政府、工厂等场合，伴随而来的是日益严峻的信息安全问题。很多企业通过防火墙、入侵检测、防病毒软件等防护手段，抵御来自外部的攻击，但是，在实际应用中，内网用户泄露内部数据已然成为导致信息安全问题的重要因素。

为了避免内网用户泄露内部数据，采用DLP(Data Leakage Prevention，数据泄密防护)设备对内网用户外发邮件、外传文件等外发行为进行检测，并且基于DLP设备检测的历史数据建立历史行为基线，如果DLP设备检测到的外发行为偏离了历史行为基线，则确定该内网用户存在异常外发行为。

然而，历史行为基线的建立依赖于DLP设备检测的历史数据，如果历史时间设置的较短，历史行为基线所参考的历史数据有限，且如果历史数据中包含了泄露内部数据的行为，极有可能将泄露内部数据的异常行为识别为正常行为，导致检测结果的准确性较低。

发明内容

本发明实施例的目的在于提供一种内网用户的异常外发行为检测方法及装置，以提高检测内网用户的异常外发行为的准确性。具体技术方案如下：

第一方面，本发明实施例提供了一种内网用户的异常外发行为检测方法，所述方法包括：

获取行为审计设备上报的外发行为日志，所述外发行为日志包括内网用户外发数据的数据信息及外发时间；

针对所述内网用户，获取所述外发时间之前的预设时间段内访问控制设备上报的第一访问控制日志，所述第一访问控制日志包括所述内网用户的访问控制信息及所述内网用户访问的资源信息，所述访问控制信息包括所述内网用户访问被拒绝或者被允许的信息；

基于所述第一访问控制日志中的访问控制信息，统计所述内网用户的访问被控数据，所述访问被控数据包括以下三种数据中的至少一种：在所述预设时间段内访问被拒绝的次数占总访问次数的第一比例、在所述预设时间段内访问被拒绝的资源个数占总访问资源个数的第二比例、在所述预设时间段内访问被拒绝的资源的访问频率；

在根据所述数据信息及所述访问被控数据，确定所述内网用户的访问行为和外发行为偏离预设行为基线时，确定所述内网用户存在异常外发行为，所述预设行为基线包括以下三种基线中的至少一种：所述第一比例对应的第一比例基线、所述第二比例对应的第二比例基线、所述访问频率对应的访问频率基线。

第二方面，本发明实施例提供了一种内网用户的异常外发行为检测装置，所述装置包括：

获取模块，用于获取行为审计设备上报的外发行为日志，所述外发行为日志包括内网用户外发数据的数据信息及外发时间；针对所述内网用户，获取所述外发时间之前的预设时间段内访问控制设备上报的第一访问控制日志，所述第一访问控制日志包括所述内网用户的访问控制信息及所述内网用户访问的资源信息，所述访问控制信息包括所述内网用户访问被拒绝或者被允许的信息；