本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域中，一種針對(duì)數(shù)據(jù)防泄漏系統(tǒng)的終端用戶行為實(shí)時(shí)審計(jì)與預(yù)警方法。

背景技術(shù)：

隨著信息科學(xué)與互聯(lián)網(wǎng)技術(shù)的飛躍發(fā)展，安全問題愈演愈烈，網(wǎng)絡(luò)與信息安全已獲得到前所未有的關(guān)注。其中，數(shù)據(jù)防泄漏系統(tǒng)作為數(shù)據(jù)安全的終端防護(hù)手段，適應(yīng)需求變化，逐漸向智能化、實(shí)時(shí)化方向發(fā)展。對(duì)此，北京明朝萬達(dá)科技股份有限公司提出一種針對(duì)數(shù)據(jù)防泄漏系統(tǒng)終端用戶，實(shí)時(shí)審計(jì)其操作行為，及時(shí)預(yù)警可疑用戶操作的方法。

目前，數(shù)據(jù)防泄漏系統(tǒng)構(gòu)建有傳統(tǒng)日志審計(jì)模式與功能組件。終端在用戶數(shù)據(jù)操作過程中產(chǎn)生相應(yīng)的數(shù)據(jù)管控日志，周期性上傳至系統(tǒng)服務(wù)器端進(jìn)行簡單處理與存儲(chǔ)，并在后期根據(jù)管理需要進(jìn)行日志展現(xiàn)。該方式僅能在安全事件發(fā)生后用于事后審計(jì)，系統(tǒng)無法在短時(shí)間內(nèi)發(fā)現(xiàn)終端用戶潛在的危險(xiǎn)操作，從而及時(shí)預(yù)警并避免發(fā)生數(shù)據(jù)泄漏事件。

同時(shí)，數(shù)據(jù)防泄漏系統(tǒng)依靠傳統(tǒng)用戶認(rèn)證方式(例如口令認(rèn)證、域認(rèn)證等)進(jìn)行終端用戶管理操作(例如登錄、注銷等)，一旦用戶正常登錄，考慮操作便捷性等問題，一般不會(huì)進(jìn)行二次認(rèn)證。其他用戶可能使用當(dāng)前登錄用戶進(jìn)行一些未授權(quán)操作。

最后，很多微小數(shù)據(jù)泄漏事件都是智能手機(jī)拍照功能導(dǎo)致的。盡管泄漏的數(shù)據(jù)量較小，但后果往往都很嚴(yán)重。嚴(yán)格的個(gè)人智能手機(jī)管理措施可以避免絕大部分該類事件的發(fā)生，但也對(duì)數(shù)據(jù)防泄漏系統(tǒng)終端用戶造成了較大不便，依然存在發(fā)生該類途徑導(dǎo)致數(shù)據(jù)泄漏的可能性。傳統(tǒng)的數(shù)據(jù)防泄漏終端基本無法防止該類用戶行為。

綜上所述，現(xiàn)有數(shù)據(jù)防泄漏系統(tǒng)終端在三個(gè)方面存在不足，即日志審計(jì)的延時(shí)性、用戶認(rèn)證的簡單性與用戶外部拍攝行為的不可管控性。通過建立完善的終端用戶管理制度并嚴(yán)格執(zhí)行，可大大降低上述系統(tǒng)不足(特別是后兩者)導(dǎo)致的數(shù)據(jù)泄露幾率，但也對(duì)正常的用戶操作造成嚴(yán)重干擾，影響工作效率，制約生產(chǎn)力的提高?，F(xiàn)有數(shù)據(jù)防泄漏系統(tǒng)的日志審計(jì)與用戶認(rèn)證結(jié)構(gòu)如圖1所示。

因此，迫切需要一種能實(shí)時(shí)進(jìn)行用戶行為(包括用戶識(shí)別、行為識(shí)別)審計(jì)，并在終端用戶行為出現(xiàn)異常時(shí)(例如登錄用戶變更操作主體等)及時(shí)預(yù)警的方案，在避免對(duì)操作效率造成影響的情況下，提高數(shù)據(jù)防泄漏系統(tǒng)的安全事件響應(yīng)能力。

本發(fā)明使用大規(guī)模用戶行為日志實(shí)時(shí)分析、基于深度學(xué)習(xí)的操作主體識(shí)別與主體行為識(shí)別技術(shù)，在用戶無感知的情況下對(duì)終端用戶行為進(jìn)行實(shí)時(shí)審計(jì)，識(shí)別潛在可疑用戶行為并及時(shí)預(yù)警，健全整個(gè)數(shù)據(jù)防泄漏系統(tǒng)的管控手段。

技術(shù)實(shí)現(xiàn)要素：

為解決上述技術(shù)問題，本發(fā)明提供了一種數(shù)據(jù)動(dòng)態(tài)防泄漏與預(yù)警方法，該方法包括以下步驟：

操作主體綁定，將用戶認(rèn)證信息與用戶生物特征圖像進(jìn)行綁定；

用戶行為日志分析訓(xùn)練，對(duì)用戶行為進(jìn)行日志采集，通過機(jī)器學(xué)習(xí)技術(shù)訓(xùn)練獲得該用戶的用戶行為模型，基于所述用戶行為模型分析判斷用戶行為語義，得到用戶行為識(shí)別結(jié)果；

操作主體識(shí)別，利用機(jī)器學(xué)習(xí)技術(shù)識(shí)別用戶生物特征圖像，并與終端登錄用戶綁定的用戶生物特征圖像進(jìn)行對(duì)比，識(shí)別是否為登錄用戶；

主體行為識(shí)別，利用機(jī)器學(xué)習(xí)技術(shù)識(shí)別特征圖像，并與指定的行為特征圖像進(jìn)行對(duì)比，識(shí)別操作主體是否有特定操作；

用戶行為數(shù)據(jù)整合，將用戶行為識(shí)別結(jié)果、操作主體識(shí)別結(jié)果與主體行為識(shí)別結(jié)果進(jìn)行整合，轉(zhuǎn)換為用戶行為特征數(shù)據(jù)；

用戶行為計(jì)算，使用用戶行為特征數(shù)據(jù)作為輸入，基于機(jī)器學(xué)習(xí)技術(shù)，以所述用戶行為模型為參考，計(jì)算獲得用戶行為異常指數(shù)；

用戶行為預(yù)警，將所述用戶行為異常指數(shù)與設(shè)定的預(yù)警閾值進(jìn)行比較，如果大于預(yù)警閾值，向管理員產(chǎn)生預(yù)警信息。

優(yōu)選的，所述用戶生物特征包括但不限于：人臉、虹膜。

優(yōu)選的，所述機(jī)器學(xué)習(xí)技術(shù)訓(xùn)練的數(shù)據(jù)包括：文件操作行為、網(wǎng)絡(luò)操作行為、應(yīng)用程序操作行為。

優(yōu)選的，所述主體行為識(shí)別結(jié)果包括：用戶使用手機(jī)或其他視覺采集設(shè)備拍攝終端屏幕。

優(yōu)選的，與用戶行為日志相關(guān)的數(shù)據(jù)包括：時(shí)間戳、終端信息、登錄用戶名、操作數(shù)據(jù)元信息、操作主體特征圖像、主體行為特征圖像。

為解決上述技術(shù)問題，本發(fā)明提供了一種數(shù)據(jù)動(dòng)態(tài)防泄漏及預(yù)警系統(tǒng)，該系統(tǒng)包括：

用戶行為識(shí)別模塊，基于已有的用戶行為模型分析判斷用戶行為語義，產(chǎn)生用戶行為日志特征結(jié)果；

操作主體識(shí)別模塊，使用采集的操作主體生物特征與綁定的用戶生物特征進(jìn)行比對(duì)，產(chǎn)生操作主體特征結(jié)果；

主體行為識(shí)別模塊，使用采集的主體行為生物特征與已建立的危險(xiǎn)行為特征進(jìn)行比對(duì)，產(chǎn)生主體行為特征結(jié)果；

用戶行為異常計(jì)算模塊，基于機(jī)器學(xué)習(xí)技術(shù)使用上述三個(gè)結(jié)果進(jìn)行用戶行為的異常指數(shù)計(jì)算；

用戶行為預(yù)警模塊，基于異常指數(shù)計(jì)算結(jié)果，根據(jù)預(yù)先設(shè)定的預(yù)警策略，決定是否進(jìn)行用戶行為預(yù)警。

優(yōu)選的，該系統(tǒng)還包括：

用戶行為日志采集模塊，接收終端發(fā)送的相關(guān)日志數(shù)據(jù)；

優(yōu)選的，該系統(tǒng)還包括：

用戶行為日志清洗模塊，將接收的相關(guān)日志數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗，剔除不完整或不合規(guī)的日志數(shù)據(jù)；

優(yōu)選的，該系統(tǒng)還包括：

用戶行為日志分離模塊，分離普通的日志數(shù)據(jù)、操作主體特征及主體行為特征。

為解決上述技術(shù)問題，本發(fā)明提供了一種數(shù)據(jù)防泄漏用戶行為實(shí)時(shí)審計(jì)與預(yù)警系統(tǒng)，該系統(tǒng)包括：多個(gè)用戶終端及服務(wù)器；

所述終端實(shí)現(xiàn)：日志采集、用戶生物特征圖像采集與用戶行為特征圖像采集，并將采集的數(shù)據(jù)上報(bào)給服務(wù)器；

所述服務(wù)器，執(zhí)行以下操作：

用戶行為日志分析訓(xùn)練，對(duì)用戶行為進(jìn)行日志采集，通過機(jī)器學(xué)習(xí)技術(shù)訓(xùn)練獲得該用戶的用戶行為模型，基于所述用戶行為模型分析判斷用戶行為語義，得到用戶行為識(shí)別結(jié)果；

操作主體識(shí)別，利用機(jī)器學(xué)習(xí)技術(shù)識(shí)別用戶生物特征圖像，并與終端登錄用戶綁定的用戶生物特征圖像進(jìn)行對(duì)比，識(shí)別是否為登錄用戶；

主體行為識(shí)別，利用機(jī)器學(xué)習(xí)技術(shù)識(shí)別行為特征圖像，并與指定的行為特征圖像進(jìn)行對(duì)比，識(shí)別操作主體是否有特定操作；

用戶行為數(shù)據(jù)整合，將用戶行為識(shí)別結(jié)果、操作主體識(shí)別結(jié)果與主體行為識(shí)別結(jié)果進(jìn)行整合，轉(zhuǎn)換為用戶行為特征數(shù)據(jù)；

用戶行為計(jì)算，使用用戶行為特征數(shù)據(jù)作為輸入，基于機(jī)器學(xué)習(xí)技術(shù)，以所述用戶行為模型為參考，計(jì)算獲得用戶行為異常指數(shù)；

用戶行為預(yù)警，將所述用戶行為異常指數(shù)與設(shè)定的預(yù)警閾值進(jìn)行比較，如果大于預(yù)警閾值，向管理員產(chǎn)生預(yù)警信息。

為解決上述技術(shù)問題，本發(fā)明提供了一種用于數(shù)據(jù)防泄漏用戶行為實(shí)時(shí)審計(jì)與預(yù)警系統(tǒng)的服務(wù)器，該服務(wù)器包括：處理器和計(jì)算機(jī)存儲(chǔ)介質(zhì)，該計(jì)算機(jī)存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)指令，當(dāng)該處理器執(zhí)行所述計(jì)算機(jī)指令時(shí)，實(shí)現(xiàn)以下操作：

接收數(shù)據(jù)，接收日志數(shù)據(jù)、用戶生物特征圖像與用戶行為特征圖像；

用戶行為日志分析訓(xùn)練，通過機(jī)器學(xué)習(xí)技術(shù)訓(xùn)練獲得該用戶的用戶行為模型，基于所述用戶行為模型分析判斷用戶行為語義，得到用戶行為識(shí)別結(jié)果；

操作主體識(shí)別，利用機(jī)器學(xué)習(xí)技術(shù)識(shí)別用戶生物特征圖像，并與終端登錄用戶綁定的用戶生物特征圖像進(jìn)行對(duì)比，識(shí)別是否為登錄用戶；

主體行為識(shí)別，利用機(jī)器學(xué)習(xí)技術(shù)識(shí)別行為特征圖像，并與指定的行為特征圖像進(jìn)行對(duì)比，識(shí)別操作主體是否有特定操作；

用戶行為數(shù)據(jù)整合，將用戶行為識(shí)別結(jié)果、操作主體識(shí)別結(jié)果與主體行為識(shí)別結(jié)果進(jìn)行整合，轉(zhuǎn)換為用戶行為特征數(shù)據(jù)；

用戶行為計(jì)算，使用用戶行為特征數(shù)據(jù)作為輸入，基于機(jī)器學(xué)習(xí)技術(shù)，以所述用戶行為模型為參考，計(jì)算獲得用戶行為異常指數(shù)；

用戶行為預(yù)警，將所述用戶行為異常指數(shù)與設(shè)定的預(yù)警閾值進(jìn)行比較，如果大于預(yù)警閾值，向管理員產(chǎn)生預(yù)警信息。

采用本發(fā)明的技術(shù)方案，數(shù)據(jù)防泄漏系統(tǒng)終端僅需要使用攝像頭進(jìn)行操作主體與行為的視覺采集，在終端用戶無感知的情況下，由服務(wù)器端進(jìn)行大規(guī)模用戶行為日志分析、操作主體識(shí)別與主體行為識(shí)別等操作，實(shí)現(xiàn)實(shí)時(shí)用4戶行為審計(jì)及預(yù)警。在可疑數(shù)據(jù)泄露事件發(fā)生之后極短時(shí)間內(nèi)，及時(shí)響應(yīng)并警告相關(guān)管理人員，大大降低數(shù)據(jù)泄露事件的發(fā)生幾率，有效避免由此造成的惡劣影響。同時(shí)，該方案也不會(huì)對(duì)普通的用戶行為操作造成干擾，影響正常工作，降低效率。

附圖說明

圖1為現(xiàn)有數(shù)據(jù)防泄漏系統(tǒng)的審計(jì)與認(rèn)證結(jié)構(gòu)。

圖2為本發(fā)明的終端組成結(jié)構(gòu)。

圖3為本發(fā)明的服務(wù)器端組成結(jié)構(gòu)。

圖4為本發(fā)明的日志分析流程。

圖5是本發(fā)明的操作主體識(shí)別流程。

圖6是本發(fā)明的主體行為識(shí)別流程。

圖7是本發(fā)明的異常用戶行為計(jì)算與預(yù)警流程。

圖8是應(yīng)用本發(fā)明的實(shí)施例。

具體實(shí)施方式

下面結(jié)合附圖以及具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步的說明，但本發(fā)明的保護(hù)范圍并不限于此。

<用戶行為實(shí)時(shí)審計(jì)與預(yù)警方法>

本發(fā)明提供了一種數(shù)據(jù)防泄漏系統(tǒng)終端用戶行為實(shí)時(shí)審計(jì)與預(yù)警方法，該方法包括以下步驟：

操作主體綁定，將用戶認(rèn)證信息與用戶生物特征(人臉)進(jìn)行綁定；

用戶行為日志分析訓(xùn)練，設(shè)定一段時(shí)間對(duì)用戶行為進(jìn)行日志采集，結(jié)合用戶認(rèn)證建立該用戶的行為模型；

用戶行為預(yù)警策略建立，根據(jù)具體管理制度與實(shí)際需要，建立識(shí)別到潛在危險(xiǎn)用戶行為時(shí)的預(yù)警處理策略；

加載日志分析模型、操作主體數(shù)據(jù)與行為預(yù)警策略等；

當(dāng)終端用戶進(jìn)行操作時(shí)，采集相關(guān)操作行為(包括但不限于數(shù)據(jù)管控操作，還可以包含其他操作信息)上傳至服務(wù)器端；同時(shí)，終端視覺輸入設(shè)備(攝像頭)周期性(根據(jù)需要與相應(yīng)策略可調(diào)整間隔時(shí)間)采集當(dāng)前操作主體的生物視覺特征(人臉)與生物動(dòng)作特征(例如是否正在使用手機(jī)拍照)，上傳至服務(wù)器端；

服務(wù)器端進(jìn)行三類操作，包括：日志分析，判斷該用戶行為是否存在異常；操作主體識(shí)別，判斷是否與當(dāng)前登錄用戶的生物特征匹配；主體行為識(shí)別，是否正在拍照或其他危險(xiǎn)行為。最終獲得用戶行為異常指數(shù)；

根據(jù)該異常指數(shù)，結(jié)合預(yù)警策略，決定是否進(jìn)行用戶行為預(yù)警提示。

根據(jù)本發(fā)明的方法，優(yōu)選地，所述方法需要包括終端與服務(wù)器端。

根據(jù)本發(fā)明的方法，優(yōu)選地，所述操作主體生物特征為人臉。

根據(jù)本發(fā)明的方法，優(yōu)選地，所述危險(xiǎn)主體行為包括操作人員使用手機(jī)或其他視覺采集設(shè)備拍攝屏幕。

根據(jù)本發(fā)明的方法，優(yōu)選地，用戶行為日志數(shù)據(jù)包括時(shí)間戳、終端信息(包括但不限于網(wǎng)卡mac地址、ip地址)、登錄用戶名、操作數(shù)據(jù)元信息(文件、文本、圖像等)、操作主體生物特征圖像、主體行為特征圖像。

本發(fā)明還提供了一種數(shù)據(jù)動(dòng)態(tài)防泄漏系統(tǒng)，該系統(tǒng)包括：

用戶行為日志采集模塊，接收終端發(fā)送的相關(guān)日志數(shù)據(jù)；

用戶行為日志清洗模塊，將接收的日志數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗，剔除不完整或不合規(guī)的日志數(shù)據(jù)；

用戶行為日志分離模塊，分離普通的日志數(shù)據(jù)、操作主體特征及主體行為特征；

用戶行為語義構(gòu)建模塊，組裝連續(xù)的用戶行為日志，構(gòu)建語義級(jí)的用戶行為，完成細(xì)粒度至粗粒度的數(shù)據(jù)轉(zhuǎn)化；

用戶行為識(shí)別模塊，基于已有的用戶行為模型分析判斷用戶行為語義，產(chǎn)生用戶行為日志特征結(jié)果；

操作主體識(shí)別模塊，基于深度學(xué)習(xí)，使用采集的操作主體生物特征與綁定的用戶生物特征進(jìn)行比對(duì)，產(chǎn)生操作主體特征結(jié)果；

主體行為識(shí)別模塊，基于深度學(xué)習(xí)，使用采集的主體行為生物特征與已建立的危險(xiǎn)行為特征進(jìn)行比對(duì)，產(chǎn)生主體行為特征結(jié)果；

用戶行為異常計(jì)算模塊，基于機(jī)器學(xué)習(xí)技術(shù)使用上述三個(gè)結(jié)果進(jìn)行用戶行為的異常指數(shù)計(jì)算；

用戶行為預(yù)警模塊，基于異常指數(shù)計(jì)算結(jié)果，根據(jù)預(yù)先設(shè)定的預(yù)警策略，決定是否進(jìn)行用戶行為預(yù)警。

圖2為本發(fā)明的終端組成結(jié)構(gòu)，該終端除了常見的終端基本硬件設(shè)備外，還包括視覺輸入硬件(攝像頭)，用于采集用戶生物特征圖像和用戶行為特征圖像。軟件方面除原有數(shù)據(jù)防泄漏組件外，還包括本發(fā)明要求加強(qiáng)的日志采集、日志上報(bào)、操作主體特征采集與主體行為特征采集功能。

圖3為本發(fā)明的服務(wù)器端組成結(jié)構(gòu)，除原有數(shù)據(jù)防泄漏服務(wù)器組件外，還包括本發(fā)明要求加強(qiáng)的日志接收、處理功能。此外，還包括操作主體識(shí)別、主體行為識(shí)別、用戶行為計(jì)算與用戶行為預(yù)警等功能。

圖4為本發(fā)明日志分析流程，包括以下方法步驟：

基于日志的用戶行為模型訓(xùn)練，基于日常的用戶行為，通過機(jī)器學(xué)習(xí)(主要包括深度學(xué)習(xí))技術(shù)訓(xùn)練獲得該用戶的用戶行為模型，訓(xùn)練數(shù)據(jù)包括文件操作行為、網(wǎng)絡(luò)操作行為、應(yīng)用程序操作行為等；

用戶行為日志采集，利用hook技術(shù)等實(shí)現(xiàn)對(duì)用戶操作行為的采集，采集信息與訓(xùn)練信息類型一致；

用戶行為日志上報(bào)，根據(jù)設(shè)置的周期定時(shí)將日志上傳至服務(wù)器端進(jìn)行日志審計(jì)；

用戶行為語義構(gòu)建，將采集到的用戶行為日志進(jìn)行語義級(jí)構(gòu)建，即將細(xì)粒度的操作日志組在語義層面合并為粗粒度但更貼近人類理解的用戶行為；

用戶行為識(shí)別，基于行為角度，處理語義級(jí)用戶行為，剔除無關(guān)行為數(shù)據(jù)，確保最終數(shù)據(jù)的有效性。

圖5是為本發(fā)明操作主體識(shí)別流程，包括以下方法步驟：

操作主體生物特征采集，使用終端視覺輸入設(shè)備定期采集當(dāng)前操作終端的用戶特征圖像；

操作主體特征上傳，將特征圖像進(jìn)行壓縮后上傳至服務(wù)器端；

操作主體識(shí)別，服務(wù)器端利用機(jī)器學(xué)習(xí)(包括深度學(xué)習(xí)技術(shù))識(shí)別特征圖像，并與終端登錄用戶綁定的特征圖像進(jìn)行對(duì)比，識(shí)別是否為登錄用戶。

圖6是為本發(fā)明操作主體行為識(shí)別流程，包括以下方法步驟：

主體行為特征采集，使用終端視覺輸入設(shè)備定期采集當(dāng)前操作終端的用戶行為；

主體行為特征上傳，將特征圖像進(jìn)行壓縮后上傳至服務(wù)器端；

主體行為識(shí)別，服務(wù)器端利用機(jī)器學(xué)習(xí)技術(shù)(包括深度學(xué)習(xí)技術(shù))識(shí)別特征圖像，并與指定的行為特征圖像(例如手持智能手機(jī)對(duì)準(zhǔn)終端等)進(jìn)行對(duì)比，識(shí)別操作主體是否有特定操作。

基于上述各步驟，圖7是為本發(fā)明異常用戶行為計(jì)算與預(yù)警流程，包括以下方法步驟：

用戶行為數(shù)據(jù)整合，將用戶行為識(shí)別結(jié)果、操作主體識(shí)別結(jié)果與主體行為識(shí)別結(jié)果進(jìn)行整合，轉(zhuǎn)換為用戶行為特征數(shù)據(jù)；

用戶行為計(jì)算，使用用戶行為特征作為輸入，基于機(jī)器學(xué)習(xí)技術(shù)(包括深度學(xué)習(xí)技術(shù))，以用戶行為模型為參考，最終計(jì)算獲得用戶行為的異常指數(shù)；

用戶行為預(yù)警，用戶行為異常指數(shù)與設(shè)定的預(yù)警閾值進(jìn)行比較，一旦大于預(yù)警閾值，系統(tǒng)向管理員產(chǎn)生預(yù)警信息，并提供系統(tǒng)認(rèn)為異常的用戶行為日志、操作主體圖像與主體行為圖像。

<實(shí)施例>

如圖8所示，某小型銀行客戶基于本發(fā)明方法升級(jí)了已部署運(yùn)行的數(shù)據(jù)防泄漏系統(tǒng)，構(gòu)建了用戶行為實(shí)時(shí)審計(jì)與預(yù)警機(jī)制。該機(jī)制基于數(shù)據(jù)終端，通過添加的攝像頭動(dòng)態(tài)采集操作人員的人臉圖像與操作人員的行為圖像，并將兩類圖像與操作日志周期性上傳至數(shù)據(jù)防泄漏系統(tǒng)的服務(wù)器端審計(jì)與預(yù)警模塊。該服務(wù)器端除了已部署的數(shù)據(jù)防泄漏系統(tǒng)相關(guān)服務(wù)器，還添加了如下服務(wù)器：

1臺(tái)用于終端日志收集與預(yù)處理的虛擬服務(wù)器；

1臺(tái)用于日志語義構(gòu)建與識(shí)別的虛擬服務(wù)器；

1臺(tái)用于操作主體與主體行為識(shí)別的物理服務(wù)器；

1臺(tái)用于用戶行為計(jì)算與預(yù)警的虛擬服務(wù)器。

該數(shù)據(jù)防泄漏系統(tǒng)用戶行為實(shí)時(shí)審計(jì)與預(yù)警模塊工作正常，經(jīng)過測(cè)算，在部署500臺(tái)終端的場(chǎng)景下，操作人員更換后進(jìn)行非授權(quán)操作或使用智能手機(jī)進(jìn)行拍照等行為，系統(tǒng)可在7秒內(nèi)發(fā)現(xiàn)異常并進(jìn)行預(yù)警提示，同時(shí)提供了執(zhí)行異常行為的證據(jù)。

采用本發(fā)明的技術(shù)方案，數(shù)據(jù)防泄漏系統(tǒng)終端僅需要安裝并使用攝像頭進(jìn)行操作主體與行為的視覺采集，在操作人員無感知無干擾的情況下，利用后臺(tái)服務(wù)器的計(jì)算能力，實(shí)時(shí)采集、分析、審計(jì)終端用戶行為。在可疑數(shù)據(jù)泄露事件發(fā)生之后極短時(shí)間內(nèi)，提供異常行為證據(jù)及時(shí)響應(yīng)并警告相關(guān)管理人員，將泄漏的數(shù)據(jù)及時(shí)封閉在工作場(chǎng)所中，大大降低數(shù)據(jù)泄露事件的發(fā)生幾率，有效避免由此造成的惡劣影響。同時(shí)，該方案也不會(huì)對(duì)普通的用戶行為操作造成干擾，影響正常工作，降低效率。

以上實(shí)施例僅作為本發(fā)明保護(hù)方案的示例，不對(duì)本發(fā)明的具體實(shí)施方式進(jìn)行限定。