1、查询敏感信息(红名单)
根据系统自定义敏感信息,根据检索条件与敏感信息匹配结果
2、单日查询总量异常
将个人前一天的查询总量与个人史均和警种史均通过join进行连接,并计算分值。其中,个人史均为30天内对应周几的均值,警种史均为30内同一系统中所有警员记录的小时均值乘24(需改进)。
3、小时内查询量异常
一次统计前30天数据,并按小时聚合
每人每系统在一天24小时中每小时所对应的个人史均及每个系统30天内的警种史均。其中,个人史均为30天内对应周几的对应小时的均值,警种史均为30内同一系统中所有警员记录的均值。
每小时将当前时间前五小时的每人每系统的查询记录与当日得到的个人均值与历史均值按小时进行连接,并计算分值。
4、查询异地数据量
数据入库时,将含有身份证,车牌等信息计算出其归属地,与警员属地对比,并记录访问异地的数量;
5、高频查询
每小时统计查询次数,按分钟统计,取出每分钟检索次数>n的数据,并计算分值
6、非常用IP登录
7、夜间查询
每天夜间时段(夜间时段自定义)的数据,超过n(自定义)条就报警
8、与工作性质无关
统计每个警种在过去30天访问各个系统的次数,与个人前一天对各系统的访问量,计算余弦相似度,并根据设置的阈值计算分值(若一天只访问一个系统,相似度为1)
9、小时流量总量异常
首先将receive_byte字段按每人每个系统每小时聚合,然后将数据按系统分组并在组内按流量字段排序,利用hive内置分位数函数得到每个系统指定分位数所对应的流量阈值
10、单次请求流量异常
将所有receive byte排序,取0.9位为基线,超出基线报警
11、在线时间异常
统计每个警员在前一天24小时中,查询时间点所在的小时的个数,暂设阈值为12个小时,超出就报警