[发明专利]一种检测文件泄露行为的方法以及装置

权利要求书

1.一种检测文件泄露行为的方法，其特征在于，所述方法包括：

实时检测日志数据，确认在第一时刻存在目标对象对目标文件的输出操作，其中，所述输出操作包括：上传、刻录或者拷贝；

确认在所述第一时刻之前的预设时段内，存在所述目标对象对所述目标文件的重命名操作；

在根据集合相似度算法确认所述重命名操作属于高危操作时，则根据所述目标对象的历史操作习惯确认所述输出操作是否存在泄漏所述目标文件的行为。

2.如权利要求1所述的方法，其特征在于，所述根据集合相似度算法确认所述重命名操作属于高危操作，包括：

获取所述重命名操作对应的重命名前后的文件名称的相似度值；

当所述相似度值大于相似度阈值时，则确认所述重命名操作属于所述高危操作。

3.如权利要求2所述的方法，其特征在于，通过雅卡尔算法获取所述相似度值。

4.如权利要求2所述的方法，其特征在于，所述根据所述目标对象的历史操作习惯确认所述输出操作是否存在泄漏所述目标文件的行为，包括：

在统计时间段内，获取所述目标对象对所述目标文件执行的组合操作的操作频次，其中，组合操作包括依次执行的重命名操作和输出操作，所述统计时间段是根据预设时间窗口和所述第一时刻确定的；

根据历史日志数据获取所述组合操作的操作频次阈值；

根据所述组合操作的操作频次和所述操作频次阈值确认所述输出操作是否存在泄漏所述目标文件的行为。

5.如权利要求4所述的方法，其特征在于，所述根据历史日志数据获取所述组合操作的操作频次阈值，包括：根据统计学异常检测算法和所述历史日志数据得到所述操作频次阈值。

6.如权利要求5所述的方法，其特征在于，所述统计学异常检测算法包括箱型图算法，其中，

所述根据统计学异常检测算法和所述历史日志数据得到所述操作频次阈值，包括：

根据所述预设时间窗口、窗口移动距离和采样次数对所述历史日志数据进行多次采样，得到历史组合操作次数序列，其中，所述历史组合操作次数序列包括的元素数与所述采样次数相同；

根据所述历史组合操作次数序列和所述箱型图算法得到所述操作频次阈值。

7.如权利要求6所述的方法，其特征在于，所述根据所述预设时间窗口、窗口移动距离和采样次数对所述历史日志数据进行多次采样，得到历史组合操作次数序列，包括：

根据所述窗口移动距离多次移动所述预设时间窗口，并在每次移动得到的时间段内获得所述组合操作的次数，得到所述历史组合操作次数序列中各元素值，其中，所述多次移动的次数等于所述采样次数；

根据所述各元素值和四份位数的位置得到所述操作频次阈值。

8.如权利要求6所述的方法，其特征在于，所述相似度阈值、所述预设时间窗口、所述窗口移动距离和所述采样次数中的至少一个为可配置参数。

9.如权利要求1所述的方法，其特征在于，所述实时检测日志数据，确认在第一时刻存在目标对象对目标文件的输出操作，包括：实时检测缓存的文件操作日志队列，并根据关注条件筛选得到所述目标对象在所述第一时刻对所述目标文件执行输出操作，其中，所述关注条件包括文件名、文件格式和文件路径中的至少一个。

10.如权利要求9所述的方法，其特征在于，所述文件名、文件格式或文件路径为可配置参数。