[发明专利]文件下载行为异常检测方法、装置、电子设备及存储介质

说明书

本申请实施例公开了一种文件下载行为异常检测方法、装置、电子设备及存储介质，该方法包括：获取用户当前待下载文件的数据量和当日文件下载量；根据用户在历史时间内的单次文件下载数据量的中位数、最大值和最小值，对当前待下载文件的数据量进行行为偏离度量量化，得到数据量度量值；根据用户在历史时间内的单日文件下载量的中位数、最大值和最小值，对当日文件下载量进行行为偏离度量量化，得到当日文件下载量度量值；根据数据量度量值与数据量度量基线的大小关系以及当日文件下载量度量值与单日文件下载量度量基线的大小关系，确定用户的当前文件下载行为是否异常。本申请实施例可以提高检测的准确度。

技术领域

本申请实施例涉及互联网技术领域，特别是涉及一种文件下载行为异常检测方法、装置、电子设备及存储介质。

背景技术

互联网的快速发展，为企业管理和用户办公方式带来了根本性的变革。然而，这些变革的背后，也隐藏着巨大的网络安全风险，如用户在某时间从企业机密数据库下载大量文件数据到本地，大量机密数据从内部数据库到外部数据库，脱离了防火墙的保护，这无疑增加了企业机密数据泄露的风险。

现有技术中，在对网络安全进行防护时主要是通过制定相应的规则，如限制单日文件下载量大小、单个下载文件大小，实现对文件下载行为是否异常的监测。这种针对文件下载行为安全防护往往针对全量用户，此外，传统的文件下载行为安全防护的精准度严重依赖静态规则库制定的合理性，导致异常检测的准确度较低。

发明内容

本申请实施例提供一种文件下载行为异常检测方法、装置、电子设备及存储介质，有助于提高检测的准确度。

为了解决上述问题，第一方面，本申请实施例提供了一种文件下载行为异常检测方法，包括：

获取用户当前待下载文件的数据量和当日文件下载量；

根据所述用户在历史时间内的单次文件下载数据量的中位数、最大值和最小值，对所述当前待下载文件的数据量进行行为偏离度量量化，得到数据量度量值；

根据所述用户在历史时间内的单日文件下载量的中位数、最大值和最小值，对所述当日文件下载量进行行为偏离度量量化，得到当日文件下载量度量值；

根据所述数据量度量值与数据量度量基线的大小关系以及所述当日文件下载量度量值与单日文件下载量度量基线的大小关系，确定所述用户的当前文件下载行为是否异常，其中，所述数据量度量基线是基于所述用户在历史时间内的单次文件下载数据量确定的，所述单日文件下载量度量基线是基于所述用户在历史时间内的单日文件下载量确定的。

第二方面，本申请实施例提供了一种文件下载行为异常检测装置，包括：

数据获取模块，用于获取用户当前待下载文件的数据量和当日文件下载量；

数据量度量模块，用于根据所述用户在历史时间内的单次文件下载数据量的中位数、最大值和最小值，对所述当前待下载文件的数据量进行行为偏离度量量化，得到数据量度量值；

下载量度量模块，用于根据所述用户在历史时间内的单日文件下载量的中位数、最大值和最小值，对所述当日文件下载量进行行为偏离度量量化，得到当日文件下载量度量值；

下载行为检测模块，用于根据所述数据量度量值与数据量度量基线的大小关系以及所述当日文件下载量度量值与单日文件下载量度量基线的大小关系，确定所述用户的当前文件下载行为是否异常，其中，所述数据量度量基线是基于所述用户在历史时间内的单次文件下载数据量确定的，所述单日文件下载量度量基线是基于所述用户在历史时间内的单日文件下载量确定的。

第三方面，本申请实施例还提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现本申请实施例所述的文件下载行为异常检测方法。