一種計算機用戶行為異常檢測方法與流程
2023-05-30 13:57:31
本發明屬於網絡安全技術領域,特別是一種計算機用戶行為異常檢測方法。
背景技術:
數據竊取的一種重要手段為內部人員洩密或通過控制內部資產來竊取情報,這是一種隱藏於「正常行為」下的惡意行為,傳統安全防護檢測手段很難發現。
計算機用戶行為異常檢測技術基於各類用戶日誌提取用戶行為模型,進而對網絡中用戶行為的進行綜合分析,確定用戶行為是否具有惡意性,最終形成用戶異常行為告警,並對惡意行為進行技術阻斷。
目前計算機用戶行為異常檢測主要採用基於規則匹配的方法。但從應用的角度看,目前的研究還存在以下不足:
規則定義難度大:需要用戶具備非常豐富的規則配置經驗,並且需要深度結合用戶應用實際,可操作性差;
誤報、虛報多:規則需要及時更新,否則無法適應最新的用戶行為形勢,導致誤報、虛報增多,管理員難以處理。
技術實現要素:
本發明的目的在於提供一種用戶行為異常檢測方法,用於解決上述現有技術的問題。
本發明一種用戶行為異常檢測方法,其中,包括:步驟1:對原始數據進行預處理,消除重複信息和錯誤信息,生成格式化的用戶身份信息、對象信息、時間信息以及行為信息;步驟2:基於用戶身份信息、對象信息、時間信息、行為信息,進行用戶正常行為建模,建立用戶行為基線;步驟3:依據用戶行為基線,對實時產生的用戶行為進行匹配,檢測用戶行為異常;步驟4:對於實時產生的正常用戶行為,進一步進行用戶行為基線調整。
根據本發明的計算機用戶行為異常檢測方法的一實施例,其中,用於計算機用戶行為異常檢測的原始數據來源包括身份認證網關、應用系統以及主機監控系統,經過去冗餘、消除錯誤信息,再進行格式化,形成用戶身份信息、對象信息、時間信息以及行為信息。
根據本發明的計算機用戶行為異常檢測方法的一實施例,其中,其中,用戶身份信息包括身份認證信息、ip地址信息、mac地址信息以及角色信息;對象信息包括ip地址信息、對象類型信息以及埠信息;時間信息包括發起訪問時間、持續時間以及終止訪問時間;行為信息包括訪問協議、訪問埠以及操作方式。
根據本發明的計算機用戶行為異常檢測方法的一實施例,其中,步驟2具體包括:
周期t內,在每天的第k個小時內,用戶user通過m種方式訪問了n個對象,訪問行為包括opt1,opt2,…,optm,對象包括obj1,obj2,…,objn,時間信息中k-1≤start<k;
得出訪問模式矩陣如下:
其中,nummn表示用戶通過optm這種方式訪問對象objn的次數;
針對周期t,進行用戶正常行為建模,建立訪問模式矩陣,如下:
其中,nummn表示用戶通過optm這種方式訪問對象objn的次數,表示周期t內用戶通過optn這種方式訪問對象objm的平均次數。
根據本發明的計算機用戶行為異常檢測方法的一實施例,其中,步驟3進一步包括:依據用戶行為基線,對實時產生的用戶行為進行匹配,檢測用戶行為異常;設定用戶行為異常閾值為w,0<w≤100%;在某天的第k個小時內,用戶通過optq這種方式訪問對象objpr次;其中,p、q均為不同訪問對應的數值,當0m時,表示這種訪問方式不屬於步驟2中m種訪問方式;當0n時,表示這個訪問對象不屬於步驟2中n個訪問對象;若p>n,0<q≤m,則用戶以前從未以optq這種方式訪問過對象objp,因此判定為異常行為,觸發用戶行為異常告警;若0m,則用戶以前以optq這種方式從未訪問過對象objp,因此判定為異常行為,觸發用戶行為異常告警;若0<p≤n,且0<q≤m,但則用戶以optq這種訪問方式訪問對象objp的頻次超過了正常範圍,觸發用戶行為異常告警;其中,表示周期t內用戶通過optq這種方式訪問對象objp的平均次數;其他情況為正常訪問,不觸發用戶行為異常告警。
根據本發明的計算機用戶行為異常檢測方法的一實施例,其中,步驟4進一步包括:
調整用戶行為基線,如下:
根據本發明的計算機用戶行為異常檢測方法的一實施例,其中,t至少為3個月。
本發明的計算機用戶行為異常檢測方法,基於計算機用戶行為具有一定的規律性的原理,通過對計算機用戶的行為進行長周期挖掘、學習、建模,形成計算機用戶正常行為模式(即用戶行為基線),最終實現對計算機用戶行為的異常檢測。
附圖說明
圖1所示為本發明一種計算機用戶行為異常檢測方法的流程圖。
具體實施方式
為使本發明的目的、內容、和優點更加清楚,下面結合附圖和實施例,對本發明的具體實施方式作進一步詳細描述。
圖1所示為本發明一種計算機用戶行為異常檢測方法的流程圖,如圖1所示,本發明結合計算機用戶行為的特點,把用於計算機用戶行為異常檢測的要素分為4種:用戶身份信息、對象信息、時間信息、行為信息。用戶身份信息主要包括身份認證信息、ip地址信息、mac地址信息、角色信息等。對象信息主要包括ip地址信息、對象類型信息、埠信息等。時間信息主要包括發起訪問時間、持續時間、終止訪問時間。行為信息主要包括訪問協議、訪問埠、操作方式等。
如圖1所示,本發明一種計算機用戶行為異常檢測方法的流程包括:
步驟1:對原始數據進行預處理,消除重複信息和錯誤信息,生成格式化的用戶身份信息、對象信息、時間信息、行為信息;
步驟2:基於用戶身份信息、對象信息、時間信息、行為信息,進行用戶正常行為建模,建立用戶行為基線;
步驟3:依據用戶行為基線,對實時產生的用戶行為進行匹配,檢測用戶行為異常;
步驟4:對於實時產生的正常用戶行為,進一步進行用戶行為基線調整。
本發明基於計算機用戶行為具有規律性的原理,通過對長周期用戶行為進行建模,挖掘形成用戶行為基線,刻畫用戶正常行為模式,從而支撐計算機用戶行為異常檢測。本方法無需先驗知識規則,能夠大大減少誤報、虛報,具備較高的實施性。
如圖1所示,本發明一種計算機用戶行為異常檢測方法進一步包括:
步驟1:對原始數據進行預處理,消除重複信息和錯誤信息,生成格式化的用戶身份信息、對象信息、時間信息、行為信息。
具體來說,用於計算機用戶行為異常檢測的數據來源包括身份認證網關、應用系統、主機監控系統等。經過去冗餘、消除錯誤信息,再進行格式化,形成用戶身份信息、對象信息、時間信息、行為信息。
用戶身份信息主要包括身份認證信息、ip地址信息、mac地址信息、角色信息等。對象信息主要包括ip地址信息、對象類型信息、埠信息等。時間信息主要包括發起訪問時間、持續時間、終止訪問時間。行為信息主要包括訪問協議、訪問埠、操作方式等。
步驟2:基於用戶身份信息、對象信息、時間信息、行為信息,進行用戶正常行為建模,建立用戶行為基線。
設定周期t內(包含t天),t至少為3個月,周期越長,建立的基線越準確。
周期t內,在每天的第k個小時內(1≤k≤24),用戶user通過m種方式訪問了n個對象,訪問行為包括opt1,opt2,…,optm,對象包括obj1,obj2,…,objn,時間信息中k-1≤start<k。
根據以上信息,可得出訪問模式矩陣如下:
其中,nummn表示用戶通過optm這種方式訪問對象objn的次數。
針對周期t,進行用戶正常行為建模,建立用戶行為基線(即訪問模式矩陣),如下:
其中,nummn表示用戶通過optm這種方式訪問對象objn的次數,表示周期t內用戶通過optn這種方式訪問對象objm的平均次數。
步驟3:依據用戶行為基線,對實時產生的用戶行為進行匹配,檢測用戶行為異常。
設定用戶行為異常閾值為w,0<w≤100%。
在某天的第k個小時內,用戶通過optq這種方式訪問對象objpr次。
其中,p、q均為不同訪問對應的數值。當0m時,表示這種訪問方式不屬於步驟2中m種訪問方式。當0n時,表示這個訪問對象不屬於步驟2中n個訪問對象。
若p>n,0<q≤m,則用戶以前從未以optq這種方式訪問過對象objp,因此判定為異常行為,觸發用戶行為異常告警。
若0m,則用戶以前以optq這種方式從未訪問過對象objp,因此判定為異常行為,觸發用戶行為異常告警。
若0<p≤n,且0<q≤m,但則用戶以optq這種訪問方式訪問對象objp的頻次超過了正常範圍,觸發用戶行為異常告警;其中,表示周期t內用戶通過optq這種方式訪問對象objp的平均次數。
其他情況為正常訪問,不觸發用戶行為異常告警。
步驟4:對於實時產生的正常用戶行為,進一步進行用戶行為基線調整。
對於用戶通過optp這種方式訪問對象objqr次的正常行為,調整用戶行為基線,如下:
其中,表示周期t內用戶通過optp這種方式訪問對象objq的平均次數,表示周期t內用戶通過optn這種方式訪問對象objm的平均次數。
以上所述僅是本發明的優選實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本發明技術原理的前提下,還可以做出若干改進和變形,這些改進和變形也應視為本發明的保護範圍。