技术应用 | 员工数据安全异常行为探测模型研究

大家好，欢迎来到IT知识分享网。

文/上海银行金融科技部 彭佳 郭子瑞 王春雨 刘丽 程璐

建立有效的员工数据安全异常行为排查和内部监管机制，及时发现员工的异常行为，并采取相应有效措施，是防范潜在数据安全风险的有效手段，对提高金融机构员工使用数据的安全性而言至关重要。当前较常见的员工异常行为排查主要通过规则自动比对和人工判断来确定是否存在数据安全异常行为，但这种方法存在时效性差、效率低、主观性强等问题。

针对以上问题，基于单日行为分析和累计行为分析两个角度构建了高效的金融机构员工数据安全异常行为风险探测模型，利用历史数据分析和未来趋势预测，帮助管理人员准确评估员工及其行为对数据安全的潜在影响。单日行为分析模型捕捉短期内的行为异常；累计行为分析模型识别长期积累可能会逐渐形成的风险和不合规行为，以上两种模型均可实现事前有效预警、事中紧密监控与事后严格督查。根据异常行为分析的结果，管理人员可以及时干预和制止异常行为的发生、不断优化企业数据安全政策、流程和培训计划，提升员工数据安全意识和合规性，从而保障金融机构的稳健发展。

异常行为探测算法介绍及优缺点分析

在构建金融机构员工数据安全异常行为探测模型时选取了四种先进的异常检测算法，分别是孤立森林（Isolation Forest）、ECOD（Efficient Contextual Outlier Detection）、自编码器（Autoencoders）和局部异常因子（Local Outlier Factor）。这些无监督学习算法因其强大的适应性、处理高维数据的能力，在复杂多变的数据环境中能够准确有效地识别潜在的安全风险。此外，它们还能够快速响应并提供一定程度的可解释性，这对于理解和解释异常检测结果至关重要。

1. 孤立森林

孤立森林是一种经典、高效的无监督异常检测方法，主要用于识别数据中的异常点或离群点。其利用异常点相对于正常点更容易被分割和孤立这一特征，构建一系列的决策树，将异常检测转化为“孤立”或“分割”数据点的过程，而非传统的基于距离或密度的测量来识别异常数据点。

孤立森林算法的优势在于能够快速处理大规模数据集，尤其擅长应对高维数据，且对计算资源消耗较小，易于并行化处理。然而，该算法对数据中的噪声较为敏感，面对样本分布极度不均的情况时也需要额外调整策略。

2. ECOD

ECOD算法是一种基于经验累积分布函数（ECDF）的异常检测模型，其利用数据分布的特性，精准识别数据集中的离群点。通过对每个特征构建左尾和右尾的经验累积分布函数（ECDF），ECOD能够捕捉那些落在数据分布极端、与主体数据显著偏离的观测值。

ECOD算法的一大亮点在于其无需人工设定超参数，显著简化了应用过程。同时，ECOD易于解释，对于任何数据点，都可以查看其每个特征左尾或右尾的估计概率，进而解释每个维度如何影响总体离群值得分。但是，在高度噪声或极端偏斜的数据集上，ECOD的表现可能会受到一定影响。

3. 自编码器

自编码器是一种用于无监督学习的神经网络模型，旨在通过重构输入数据来学习数据的内在特征。其结构包括两个对称部分：编码器（Encoder）和解码器（Decoder）。编码器将输入数据映射到低维表示，解码器则尝试从低维表示重构原始输入。在异常检测任务中，自编码器以最小化重构数据与原始输入数据之间的差异为目标，将重构误差较大的点识别为异常点。

自编码器能够自动提取数据特征，适用于高维数据，对正常数据具有良好的重构能力。然而，作为一种无监督学习方法，自编码器需要大量正常数据进行训练，异常检测效果依赖于模型的训练质量。

4. 局部异常因子

局部异常因子（LOF）是一种基于密度的异常检测算法，通过比较数据点与其邻域的密度来评估其异常程度。局部密度以数据点与其k近邻距离的平均数倒数衡量，如果一个数据点的局部密度显著低于其邻近数据点的密度，则该数据点被视为异常。

LOF不需要事先知道数据的分布，可以有效地检测局部异常，在小样本数据集上也能够表现良好。但是对参数的选择较为敏感，选择不合适的邻居数量可能会导致模型性能的下降。

员工数据安全异常行为探测模型设计

金融机构员工数据安全异常行为探测模型集成了全方位、多角度、多数据源的行为分析技术，结合了单日与累计行为分析两个角度。模型涵盖了数据使用、数据传输和数据保存三个关键环节的行为风险，形成了事前预警、事中监控与事后督查的管理闭环，可以有效提高金融机构数据安全管理的整体水平。

为了更好地展示该模型的工作流程，图1呈现了从数据收集到结果响应的全过程。

图1 员工数据安全异常行为探测模型工作流程

整个模型由四个关键环节组成：数据收集、特征工程、异常行为检测及响应机制。各个环节紧密相连，共同确保整个模型体系能够高效且准确地运行。以下是每个环节的具体描述。

数据收集：通过各类日常办公、业务操作等应用或系统，收集员工在数据使用、传输和保存过程中的日常行为记录。这一步骤需要确保覆盖重要的数据交互点，包括但不限于网络活动、文件访问记录以及应用使用情况等。

特征工程：对收集的数据进行清洗，去除无效或冗余的数据、修复存在错误、不一致、不完整的数据，并进行格式化处理，形成规范的数据集。针对单日和累计两种不同的行为分析类型，分别提取特征。单日行为分析，重点关注单日员工的行为数据，时间频率通常为每小时或每分钟。此外，还可以将当天的数据与前一天或同一周内相同日期的数据进行比较，以便发现短期内的行为变化。累计行为分析，关注较长一段时间内数据的汇总，观察员工行为的长期趋势，还可以引入周期性特征来捕捉季节性或规律性的行为模式。

异常行为检测：在完成特征工程之后，针对单日和累计行为分析两个角度，选用适当的异常行为探测算法进行检测，目的是识别出员工存在的短期和长期异常行为风险。单日行为分析，专注于识别员工当天的异动，如突然增加了大量的数据下载请求或访问敏感信息的次数，捕捉即时的变化和行为细节。累计行为分析，侧重于识别那些在长期内表现出异常行为的员工，如数据访问量的非正常增长或规律性的违规行为，揭示长期的行为习惯，反映员工行为随时间的演变过程。

响应机制：当检测到异常行为风险时，会触发预警机制，预警信息将被迅速发送给安全管理人员，使得他们能够针对相关风险及时采取管理措施，预防相应的数据泄漏风险的发生。此外，这个过程还包括反馈循环，允许管理人员根据实际处理情况对响应策略进行调整。

同时，该模型也离不开持续的反馈与优化，需要基于实际响应效果来优化整个过程，特别是特征工程部分，通过引入新的有效特征来替代那些已经失效的旧特征。经过不断的迭代和学习，该模型能够提升检测环节的准确性和效率，更好地适应动态变化的安全环境。

员工数据安全异常行为探测应用实践

为了证明上文提出的金融机构员工数据安全异常行为探测模型的可行性，以及验证不同异常行为探测算法在不同场景下的表现，将采用测试数据，作为探测模型的数据输入，分析这些员工的异常行为情况，从而展示上述理论在实践中的具体应用情况。

1. 数据收集

我们系统性地梳理了数据使用、传输及保存环节中员工接触数据的各类渠道，并精选了三类关键数据作为模型分析的基础要素，以有效映射员工的日常行为。

数据使用环节，重点关注员工生产数据访问桌面的使用时长及登录时间点。鉴于多数金融机构采用网络隔离的专有桌面供特定需求员工进行数据提取、分析及可视化等操作，该桌面的使用情况与数据安全风险紧密相连。

数据传输环节，聚焦于员工在特定时间段内的邮件拦截数据。为防范邮件外泄风险，金融机构普遍实施了外发邮件拦截机制，确保邮件外发数据的安全。邮件拦截记录不仅是数据安全管理的组成部分，更是洞察员工行为模式、识别异常行为的关键数据源。

数据保存环节，选取了专有桌面敏感文件的本地存储记录。金融机构对专有桌面敏感数据的保存时长通常有明确规定，并会定期扫描超时未清理的记录。这些扫描结果不仅为数据安全隐患治理提供了有力支撑，也是分析员工数据安全异常行为的重要依据。

2. 特征工程

考虑到收集的生产数据访问桌面使用时长和邮件拦截行为记录为持续性时序数据。这类数据一方面从单日角度分析，可提取员工每一天的行为特征，例如当天短时间拦截次数等，捕捉短期内的行为异常；另一方面从累计角度分析，可提取多个时间窗口内的累计行为，例如邮件拦截总数等，识别长期累积的异常行为。而敏感文件本地存储数据为非持续性时序数据，属于一定时间跨度内的行为数据，这类数据通常仅仅与长期的行为模式相关，只将其纳入了累计行为分析中。

所以，结合单日和累计行为分析两个角度进行了数据清洗和特征提取。具体的特征选择分析指标见表1。

表1 特征选择分析

3. 异常行为检测

数据收集和特征工程完成后，针对不同类型的数据特征，从单日和累计行为分析两个角度使用适当的算法进行异常行为检测，分别识别短期和长期的异常行为风险。

单日行为分析：

生产数据访问桌面单日行为分析。员工偶发性登录生产数据访问桌面产生的误操作或恶意行为可能引发数据泄漏风险，因此本文采用四类异常检测算法对桌面使用时长进行检测，识别长期未登录却突然登录的情况。其中，孤立森林算法通过树分割的方式，能够快速标识出偶然性登录的具体日期，其检测结果最符合本文的目标。

邮件拦截单日行为分析。涉及敏感信息的员工邮件外发可能会导致数据安全风险，为此，采用四类异常检测算法对邮件拦截行为进行了异常检测，以识别潜在的恶意邮件外发行为。其中，孤立森林算法因其独特的优势而被选中，表2展示了孤立森林单日邮件拦截异常得分排名前十的结果。孤立森林算法不仅能够有效识别特殊的行为模式，而且擅长识别单个极端特征，这使得它能够高效地识别出具有极端内容特征的单封邮件（见表中红色标记行）。

表2 邮件拦截异常得分前十名结果

累计行为分析：累计行为分析以加权集成的方式综合考虑三类数据进行异常甄别。其中，对于生产数据访问桌面和邮件拦截而言，孤立森林算法通过对数据的随机分割，能够快速识别偏离正常模式的样本，与单日行为分析类似，在累计特征上也表现最出色。而对于敏感文件本地存储而言，实验数据有“敏感文件数量”和“平均文件大小”两个特征，ECOD算法在评估时充分考虑了两个特征之间的协同效应，即使单一维度不显著，ECOD也会综合考量后将其标记为异常，更符合敏感文件存储的数据特性和识别目标。ECOD识别结果如图2所示。黄色为正常样本，紫色为异常样本。其中，累计存储敏感文件数量及大小综合较高的均被识别出来。

图2 ECOD敏感文件本地存储异常样本识别

于是我方选用孤立森林与ECOD算法分别计算三类累计行为特征的异常得分，并将这些分数统一映射到0到1的标准化区间内，评分越高代表异常程度越显著。随后，依据特征的重要性，采用0.5、0.3、0.2的权重分配对这三个特征的异常得分进行加权融合，以此得出一个综合衡量个体异常行为的总分，如表3所示。

表3 前十名可疑员工异常得分

4. 响应机制

针对模型识别出的潜在风险行为，建议采取自动化与人工相结合的方式处理。具体而言，应将异常行为检测系统自动识别的预警信息迅速传达给专业的数据安全管理人员。管理人员随后可通过调查、访谈等手段，对异常人员及其行为清单进行详尽核实与排查。对于确认存在问题的个人，将进行通报批评，并督促其整改，例如核实异常登录生产数据访问桌面期间的具体操作，要求相关人员解释邮件拦截中的异常行为，以及及时删除和清理存储在专有桌面的敏感文件等。

同时，整个预警及后续处理过程需详细记录，涵盖采取的具体措施、处理结果以及相关证据材料，以确保流程的透明度和可追溯性。

此外，针对频繁发生的数据安全异常行为，建议制定并实施数据安全专项培训计划。通过培训，旨在提升员工的数据安全意识，从源头上减少数据安全风险的发生。

5. 实验结论

首先，我们深入验证了四种异常检测算法在多样场景下的效能。具体而言，针对员工生产数据访问桌面的使用时长数据及邮件拦截行为记录，发现孤立森林算法凭借其捕捉单个极端特征的优势，在单日及累计行为分析中均展现出卓越性能，有效识别出偶然的桌面访问及单封高风险邮件发送行为。而对于敏感文件存储记录，ECOD算法因其在综合考虑多个特征间协同效应方面的出色表现，在累计行为分析中独占鳌头，成功识别出存储敏感文件数量及内容均呈现异常的人员。

其次，通过对生产数据访问桌面登录、邮件拦截，以及敏感文件专有桌面存储这三类关键数据实施单日与累计行为分析，该模型成功识别了多种异常行为模式，充分验证了本文所构建的金融机构员工数据安全异常行为探测模型在不同应用场景下的可行性和高效性。依托该模型及相应的响应机制，可及时预防了因员工异常登录生产数据访问桌面、敏感邮件外泄，以及专有桌面存储敏感文件所引发的潜在数据安全风险，确保了金融机构的信息安全。

总结与展望

规范员工数据安全行为对金融机构的安全稳定运营至关重要，同时确保了员工与客户的信息安全，提升了金融服务的品质与可靠性。然而，在数据作为核心生产要素的当下，金融机构员工的数据安全异常行为持续存在，亟需构建精确高效的异常行为管理体系。

针对金融机构员工异常行为引发的数据安全风险，以及现有检测方法存在的时效性差、效率低和主观性强等问题，本文提出了一种员工异常行为探测模型。该模型从数据使用、传输、存储三个维度收集并处理与员工数据安全紧密相关的日常行为数据，通过属性分析构建员工行为画像，并从单日与累计行为两个层面设计全面的异常行为探测机制。此模型不仅能实现异常行为的事前预警、事中监控与事后督查，还显著提升了数据安全管理的效率和准确性，为金融机构的内部风险防控提供了坚实支撑。

随着人工智能的不断发展和业务环境的变化，未来的研究和应用还需在模型优化、多源数据融合、隐私保护等方面进行深入探索，进一步提升异常检测系统的性能和可靠性。具体而言，后续可通过集成学习与强化学习技术，不断提升模型的准确性和效率；整合来自不同渠道的数据资源，包括但不限于内部操作记录、外部威胁情报以及社交媒体信息，形成全方位的监控视角；在计算过程中采用隐私保护技术，探索隐私技术的可用性，可以采用差分隐私和同态加密等技术，从而更好地保护员工的个人隐私。

（此文刊发于《金融电子化》2025年4月下半月刊）