CN106156628B - 一种用户行为分析方法及装置 - Google Patents
一种用户行为分析方法及装置 Download PDFInfo
- Publication number
- CN106156628B CN106156628B CN201510181533.9A CN201510181533A CN106156628B CN 106156628 B CN106156628 B CN 106156628B CN 201510181533 A CN201510181533 A CN 201510181533A CN 106156628 B CN106156628 B CN 106156628B
- Authority
- CN
- China
- Prior art keywords
- user behavior
- behavior
- white list
- recorded
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本申请公开了一种用户行为分析方法及装置,以解决现有Linux用户态注入无法实现进程白名单,且针对用户行为分析效率低下的问题,该方法为,当系统启动一进程时,判定该进程未记录在所述白名单数据中时,将指定的第一共享库文件加载到该进程对应的进程空间,根据第一共享库文件,抓取运行该进程涉及的用户行为数据;基于获得的用户行为数据,对用户行为进行相应分析。这样既实现了对用户进程注入的白名单,而且引入了用户行为特征向量,实现了对用户行为的量化计算,针对用户行为的分析高效准确。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种用户行为分析方法及装置。
背景技术
Linux平台常规的用户态挂钩(user mode hook)方案是首先在系统配置文件/etc/ld.so.preload中指定共享库文件(shared object,so)路径,操作系统启动进程时会根据该配置文件中的设置,加载指定so文件,从而达对进程注入的目的。
这个机制本身存在一个明显的缺陷。/etc/ld.so.preload中的配置项是对整个系统生效的,所有进程启动都会加载其中指定的shared object文件,因此无法做到仅仅挂钩(hook)某些特定的进程,亦即无法实现进程白名单。由于user mode hook对于系统性能、安全性、稳定性和兼容性等方面都有可能产生负面影响,因此,白名单机制就显得既重要而且必要。
用户行为是一个抽象的概念。例如,一个黑客入侵一台主机的整个过程可以称之为一种用户行为,而一个管理员登录一台主机做日常的管理维护工作也可称之为一种用户行为。如何识别这些用户行为并加以区分,对于主机安全具有非凡的意义。
另外,当前系统内可能并发的运行着大量的命令,对于高性能服务器尤其如此。由此引发出一个问题,即hook模块可能捕获到大量的用户操作事件。但受到网络带宽的限制,同时也为了避免对系统资源的过度使用而影响其他业务的正常运行,hook模块通常无法满负荷运转,因此也无法及时高效的将消息流发送给大数据处理模块。另外,系统中可能存在一些循环执行的命令,这些命令常常完全相同,或者非常的近似。这些信息如果全部被传递给数据分析模块,反而会拖累整个分析过程的速度。因此,在hook模块中尽可能的过滤重复或相似的命令就愈发重要,这就要求hook模块具备识别相似的命令的能力,并能够针对用户的行为进行进一步的分析。
申请内容
本申请的目的是提供一种用户行为分析方法及装置,以解决现有Linux用户态注入无法实现进程白名单,且针对用户行为分析效率低下的问题。
本申请的目的是通过以下技术方案实现的:
一种用户行为分析方法,包括:
当系统启动一进程时,基于预设的白名单数据,判定所述一进程未记录在所述白名单数据中时,将指定的第一共享库文件加载到所述进程对应的进程空间,所述第一共享库文件用于描述一系列监控操作;
根据所述第一共享库文件中记录的监控操作信息,抓取运行所述一进程涉及的用户行为数据;
基于获得的用户行为数据,针对用户行为进行相应分析。
这样既实现了对用户进程注入的白名单,能够提供一种更安全、可靠、稳定、灵活的共享库注入方案,而且用户行为特征向量的引入,是对用户行为建模的基础,为识别和区分黑客和合法系统用户的行为创造了条件,实现了对用户行为的量化计算,进而为智能分析用户行为提供了可能。
可选的,当系统启动一进程时,基于预设的白名单数据,判定所述一进程是否记录在所述白名单数据中,具体包括:
当系统启动一进程时,从数据库中获取所述一进程的路径信息,基于据库中记录的白名单数据,判断所述路径信息是否记录在所述白名单数据中,若是,则判定所述一进程记录在所述白名单数据中;否则,判定所述一进程未记录在所述白名单数据中。
可选的,进一步包括:
判定所述一进程记录在所述白名单数据中时,将系统中的源共享库文件加载到所述进程对应的进程空间,所述源共享库文件中记录有各种功能函数和对外接口信息。
可选的,在抓取到运行所述一进程涉及的用户行为数据后,在针对所述用户行为数据提取关键行为特征之前,进一步包括:
基于抓取到的用户行为数据,利用数据库的白名单数据确定所述用户行为数据未记录在所述白名单中,确定允许执行后续提取操作。
可选的,基于获得的用户行为数据,针对用户行为进行相应分析,具体包括:
基于获得的用户行为数据,提取关键行为特征,形成行为特征向量;
按照预设的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,并对所述事件流进行相应分析。
可选的,按照预设的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,并对所述事件流进行相应分析,具体包括:
按照数据库中记录的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,不同的行为特征规则对应不同的事件流;
针对每一个事件流中行为特征向量分别与对应的行为规则向量计算相似度,确定相似度大于设定的阈值时,将所述事件流发送至指定平台进行进一步分析。
一种用户行为分析装置,包括:
加载单元,用于当系统启动一进程时,基于预设的白名单数据,判定所述一进程未记录在所述白名单数据中时,将指定的第一共享库文件加载到所述进程对应的进程空间,所述第一共享库文件用于描述一系列监控操作;
抓取单元,用于根据所述第一共享库文件中记录的监控操作信息,抓取运行所述一进程涉及的用户行为数据;
分析单元,用于基于获得的用户行为数据,针对用户行为进行相应分析。
这样既实现了对用户进程注入的白名单,能够提供一种更安全、可靠、稳定、灵活的共享库注入方案,而且用户行为特征向量的引入,是对用户行为建模的基础,为识别和区分黑客和合法系统用户的行为创造了条件,实现了对用户行为的量化计算,进而为智能分析用户行为提供了可能。
可选的,当系统启动一进程时,基于预设的白名单数据,判定所述一进程是否记录在所述白名单数据中时,所述加载单元具体用于:
当系统启动一进程时,从数据库中获取所述一进程的路径信息,基于据库中记录的白名单数据,判断所述路径信息是否记录在所述白名单数据中,若是,则判定所述一进程记录在所述白名单数据中;否则,判定所述一进程未记录在所述白名单数据中。
可选的,所述加载单元进一步用于:
判定所述一进程记录在所述白名单数据中时,将系统中的源共享库文件加载到所述进程对应的进程空间,所述源共享库文件中记录有各种功能函数和对外接口信息。
可选的,在抓取到运行所述一进程涉及的用户行为数据后,在针对所述用户行为数据提取关键行为特征之前,所述抓取单元进一步用于:
基于抓取到的用户行为数据,利用数据库的白名单数据确定所述用户行为数据未记录在所述白名单中,确定允许执行后续提取操作。
可选的,基于获得的用户行为数据,针对用户行为进行相应分析时,所述分析单元具体用于:
基于获得的用户行为数据,提取关键行为特征,形成行为特征向量;
按照预设的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,并对所述事件流进行相应分析。
可选的,按照预设的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,并对所述事件流进行相应分析时,所述分析单元具体用于:
按照数据库中记录的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,不同的行为特征规则对应不同的事件流;
针对每一个事件流中行为特征向量分别与对应的行为规则向量计算相似度,确定相似度大于设定的阈值时,将所述事件流发送至指定平台进行进一步分析。
附图说明
图1为本申请实施例用户行为分析系统架构图;
图2为本申请实施例中用户行为分析方法流程示意图;
图3为本申请实施例中Linux系统的进程启动流程图;
图4为本申请实施例中用户行为分析装置结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,并不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
现有的Linux平台用户态注入so技术无法做到进程粒度的白名单。本申请实施例中基于Linux virtual file system和用户态(User mode)挂钩(hook)技术相结合的so注入方法,可以实现对特定进程的注入,从而将hook模块对系统其他应用的影响降到最低,此外针对用户行为分析时,引入了用户行为特征向量,这是引入数学方法分析用户行为的基础,为用户行为的智能分析提供了可能性。
结合这种hook机制的特点,本申请通过引入文件系统过滤驱动,在进程启动之初,读取/etc/ld.so.preload文件时,过滤掉无需注入的进程,从而实现了user mode hook的白名单功能,而且本申请使用特征向量来描述用户的行为。特征向量中包含用户行为的关键特征点,这为用户行为的识别,相似度计算,智能分析提供了可能。
本申请实施例方法中涉及的用户行为分析系统架构可参阅图1所示,系统主要包含以下部分:
1)文件系统重定向驱动(File system redirect driver)模块,Linux的虚拟文件系统(virtual file system,VFS)提供了一系列回调接口,用以扩展文件系统本身的功能,通过这套接口可以很容易的实现文件重定向。用户的行为通常体现为一系列进程的行为。Linux系统上,任意进程启动都会访问/etc/ld.so.preload文件,以确定是否存在需要预加载的共享库文件(shared object,so),而通过文件系统过滤驱动可以捕获这一下行为并加以利用。例如,当某一进程未命中白名单时,驱动程序通过将读取/etc/ld.so.preload文件的操作重定向到其他文件(即/etc/ld.so.preload.fake)来实现对特定进程注入so。
2)用户态挂钩模块,用户态Hook模块的实现功能和路径通过上述的sharedobject的形式注入特定进程,进而感知被注入进程的行为,用于捕获当前系统所有用户执行命令的事件,如修改系统配置、访问敏感数据、发起网络连接等。
3)用户行为特征向量提取器(UBF vector extractor),根据用户态Hook模块中捕获的原始事件,提取出关键行为特征点,组装成统一格式的数据包,形成行为特征向量。
例如,某个用户尝试访问一个敏感文件,用户行为特征向量提取器根据宽松用户行为特征库来提取用户的关键行为特征点,其中,宽松用户行为特征库中规定了提取用户关键行为特征的规则,即提取哪些信息作为用户的关键行为特征,此时,用户行为特征向量提取器根据宽松用户行为特征库获取需要提取的关键行为特征,将用户ID,用户名,用户分组,敏感文件名,访问时间,命令参数等信息作为该用户此次行为的关键行为特征点,并组装成统一格式的数据包,形成行为特征向量。
4)事件收集器(Event collector),用于收集特征向量提取器采集到的数据包,并依据用户行为特征规则库将数据包组装成事件流,并将其传递给事件流预处理器。
5)事件流预处理器(Event stream pre-processor),用于初步处理来自事件收集器的消息流,如消息去重、相似度计算、使用用户行为特征规则做事件过滤等,未被过滤掉的事件将传递给网络接口模块,被过滤掉的事件将被丢弃。
6)网络接口模块(Network interface),用于将经过预处理的事件发送到云计算平台,作进一步的分析。
7)白名单(White list)数据库,定义白名单命令、用户、文件、IP地址等规则,供文件系统重定向驱动模块、用户态hook模块、事件收集器使用。
8)宽松用户行为特征(Ease user behavior feature)库,定义了用户行为特征规则,用户行为特征向量规则,宽松的匹配规则,相似度阈值等。
以上简述了本申请实施例中的系统架构,以及定义了模块的功能。以下将根据本系统中的客观信息和数据,如何进行用户行为分析及行为判定做出详细说明。
参阅图2所示,本申请实施中提供一种用户行为分析方法,可用于Linux或Unix系统中,具体流程如下:
步骤200:当系统启动一进程时,基于预设的白名单数据,判定该进程未记录在白名单数据中时,将指定的第一共享库文件加载到该进程对应的进程空间,第一共享库文件用于描述一系列监控操作。
具体的,当系统启动一进程时,基于预设的白名单数据,判定该该进程是否记录在白名单数据中,具体过程为:当系统启动一进程时,从数据库中获取该进程的路径信息,基于据库中记录的白名单数据,判断该路径信息是否记录在白名单数据中,若是,则判定该进程记录在白名单数据中;否则,判定该进程未记录在白名单数据中。
进一步的,判定一进程记录在白名单数据中时,将系统中的源共享库文件加载到该进程对应的进程空间,源共享库文件中记录有各种功能函数和对外接口信息。
例如,图3是Linux系统中进程启动初期的流程图,Linux启动进程时首先会检查/etc/ld.so.preload文件是否存在,如果存在,则根据文件中指定的路径加载相应的sharedobject到进程空间。这里通过VFS提供的回调接口加入了文件读取的过滤逻辑。当系统尝试访问/etc/ld.so.preload文件时,驱动程序将根据白名单数据检查该进程是否需要注入shared object,如果白名单没有命中则将对/etc/ld.so.preload的访问重定向到/etc/ld.so.preload.fake,前者不包含需要注入的shared object路径,后者则包含前者的内容和User mode hook模块(即shared object文件)的路径信息。由于/etc/ld.so.preload.fake中包含hook模块的路径,当进程启动时,该模块即被加载到进程空间实现对进程的监控。因此,通过文件重定向的手段,即可实现仅对特定进程注入的目的。由于第一共享库预加载(preload)的so中定义了与被hook的系统调用接口完全一致的函数,系统在装载第一共享库文件时,就会用这个函数取代原始的系统调用,从而达到在既有程序中动态注入代码的目的。通过这段代码,可以实现一些安全相关的操作,例如获取运行当前命令的用户身份、命令执行的具体参数等信息。
由于Linux系统的用户态shared object注入方式是全局生效的,即所有进程启动都要加载这个shared object,这将对系统性能、稳定性带来巨大的挑战,这里通过文件系统重定向驱动模块实现了进程的白名单,提升了系统性能。
步骤201:根据第一共享库文件中记录的监控操作信息,抓取运行上述进程涉及的用户行为数据。
进一步的,在抓取到运行一进程涉及的用户行为数据后,基于抓取到的用户行为数据,利用数据库的白名单数据确定该用户行为数据未记录在白名单中时,确定允许执行后续提取操作,即针对获取到的用户行为数据进行关键行为特征提取。
步骤202:基于获得的用户行为数据,针对用户行为进行相应分析。
具体的,基于获得的用户行为数据,针对用户行为进行相应分析,具体过程为:基于获得的用户行为数据,提取关键行为特征,形成行为特征向量;按照预设的行为特征规则,对该行为特征向量进行分类和排序处理,组装成事件流,并对该事件流进行相应分析。
例如,用户登录系统以后,通常会执行一系列指令以完成某种特定的任务。通过捕获这些指令及其相关的信息可以推断出该用户的行为是否带有恶意。用户执行的指令序列通常具有高度相关性。例如相邻的两个命令通常具有相同的当前工作目录、用户身份标识号(IDentity的缩写,ID),用户组ID,终端等。除此之外,相邻的指令通常还具有逻辑上的因果关联,如用户A需要先执行添加账户B的命令,然后才能以新添加的用户B的身份执行其他命令。
将用户执行命令时的用户ID(user id)、组ID(group id)、当前工作目录(currentworking directory)、命令(command)、参数(parameters)等信息捕获即可还原出该用户的意图。而这些信息即可作为该用户行为的特征,用于描述和标识该用户的行为。进一步的,将这些信息按照特定的顺序组合起来,即可成为一个具有特殊含义的向量。例如,一次黑客入侵过程中,访问了特定文件,这一行为可以通过如下的特征向量来描述:{登录用户id,用户名,命令路径,命令参数,环境变量,当前工作目录,终端名称,访问文件路径}。
若使用符号
表示用户行为特征向量,x1,x2,...xn表示上述的用户行为特征点,即向量
在各个维度上的分量,则用户行为特征可用向量表示为如下形式:
例如,将用户的行为通过特征向量描述以后,进而可以在此n维空间上定义向量的数学运算。因此,向量
的模为:
向量的点积计算公式为:
进而,若向量
与
的夹角记为θ则有:
因此,通过计算两个用户行为特征向量的夹角来量化两个特征的相似程度,这使得比较两个行为特征有了数学依据。
具体的,按照预设的行为特征规则,对上述行为特征向量进行分类和排序处理,组装成事件流,并对该事件流进行相应分析,具体过程为:按照数据库中记录的行为特征规则,对该行为特征向量进行分类和排序处理,组装成事件流,不同的行为特征规则对应不同的事件流;针对每一个事件流中行为特征向量分别与对应的行为规则向量计算相似度,确定相似度大于设定的阈值时,将该事件流发送至指定平台进行进一步分析。
例如,将事件流抽象为一系列同类的按时间排序的行为向量,通过比较同一类事件流中各先后向量之间的相似度或夹角,能够得知用户操作行为的相似性,假设一段时间内用户A执行打开文件并关闭文件这一操作共操作了50次,通过相似度计算,能够进行消息的去重,并对无效的信息进行过滤。
又例如,通过计算各类事件流与其自身对应的规则向量之间的相似度,当相似度达到预设条件时,确定与对应的规则匹配成功时,判定用户的行为属性,得到判定结果。假设,设定某些权限用户的规则向量为不允许执行的操作,通过采集某一段时间内的用户行为向量并与规则向量计算相似度,大于设定值时,判定该用户执行了违法操作,这时,将该用户的行为进行上报处理,以进行进一步分析。
基于上述技术方案,参阅图4所示,本申请实施例中提供一种用户行为分析装置,包括:加载单元40,抓取单元41和分析单元42,其中:
加载单元40,用于当系统启动一进程时,基于预设的白名单数据,判定所述一进程未记录在所述白名单数据中时,将指定的第一共享库文件加载到所述进程对应的进程空间,所述第一共享库文件用于描述一系列监控操作;
抓取单元41,用于根据所述第一共享库文件中记录的监控操作信息,抓取运行所述一进程涉及的用户行为数据;
分析单元42,用于基于获得的用户行为数据,针对用户行为进行相应分析。
这样既实现了对用户进程注入的白名单,能够提供一种更安全、可靠、稳定、灵活的共享库注入方案,而且用户行为特征向量的引入,是对用户行为建模的基础,为识别和区分黑客和合法系统用户的行为创造了条件,实现了对用户行为的量化计算,进而为智能分析用户行为提供了可能。
可选的,当系统启动一进程时,基于预设的白名单数据,判定所述一进程是否记录在所述白名单数据中时,所述加载单元40具体用于:
当系统启动一进程时,从数据库中获取所述一进程的路径信息,基于据库中记录的白名单数据,判断所述路径信息是否记录在所述白名单数据中,若是,则判定所述一进程记录在所述白名单数据中;否则,判定所述一进程未记录在所述白名单数据中。
可选的,所述加载单元40进一步用于:
判定所述一进程记录在所述白名单数据中时,将系统中的源共享库文件加载到所述进程对应的进程空间,所述源共享库文件中记录有各种功能函数和对外接口信息。
可选的,在抓取到运行所述一进程涉及的用户行为数据后,在针对所述用户行为数据提取关键行为特征之前,所述抓取单元41进一步用于:
基于抓取到的用户行为数据,利用数据库的白名单数据确定所述用户行为数据未记录在所述白名单中,确定允许执行后续提取操作。
可选的,基于获得的用户行为数据,针对用户行为进行相应分析时,所述分析单元42具体用于:
基于获得的用户行为数据,提取关键行为特征,形成行为特征向量;
按照预设的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,并对所述事件流进行相应分析。
可选的,按照预设的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,并对所述事件流进行相应分析时,所述分析单元42具体用于:
按照数据库中记录的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,不同的行为特征规则对应不同的事件流;
针对每一个事件流中行为特征向量分别与对应的行为规则向量计算相似度,确定相似度大于设定的阈值时,将所述事件流发送至指定平台进行进一步分析。
综上所述,本申请实施例中,当系统启动一进程时,基于预设白名单数据,判定该进程未记录在所述白名单数据中时,将指定的第一共享库文件加载到该进程对应的进程空间,根据第一共享库文件中记录的监控操作信息,抓取运行该进程涉及的用户行为数据;基于获得的用户行为数据,对用户的行为进行相应分析。这样既实现了对用户进程注入的白名单,能够提供一种更安全、可靠、稳定、灵活的共享库注入方案,而且用户行为特征向量的引入,是对用户行为建模的基础,为识别和区分黑客和合法系统用户的行为创造了条件,实现了对用户行为的量化计算,进而为智能分析用户行为提供了可能。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (12)
1.一种用户行为分析方法,其特征在于,包括:
当系统启动一进程时,基于预设的白名单数据,判定所述进程未记录在所述白名单数据中时,将指定的第一共享库文件加载到所述进程对应的进程空间,所述第一共享库文件用于描述一系列监控操作;所述第一共享库文件是驱动程序通过读取系统配置文件的操作重定向到的;
根据所述第一共享库文件中记录的监控操作信息,抓取运行所述进程涉及的用户行为数据;
基于获得的用户行为数据,针对用户行为进行相应分析。
2.如权利要求1所述的方法,其特征在于,当系统启动一进程时,基于预设的白名单数据,判定所述进程是否记录在所述白名单数据中,具体包括:
当系统启动一进程时,从数据库中获取所述进程的路径信息,基于数据库中记录的白名单数据,判断所述路径信息是否记录在所述白名单数据中,若是,则判定所述进程记录在所述白名单数据中;否则,判定所述进程未记录在所述白名单数据中。
3.如权利要求2所述的方法,其特征在于,进一步包括:
判定所述进程记录在所述白名单数据中时,将系统中的源共享库文件加载到所述进程对应的进程空间,所述源共享库文件中记录有各种功能函数和对外接口信息。
4.如权利要求1所述的方法,其特征在于,在抓取到运行所述进程涉及的用户行为数据后,在基于获得的用户行为数据,针对用户行为进行相应分析之前,进一步包括:
基于抓取到的用户行为数据,利用数据库的白名单数据确定所述用户行为数据未记录在所述白名单中,确定允许执行针对用户行为数据进行相应分析,所述分析包括基于用户行为提取关键行为特征。
5.如权利要求1所述的方法,其特征在于,基于获得的用户行为数据,针对用户行为进行相应分析,具体包括:
基于获得的用户行为数据,提取关键行为特征,形成行为特征向量;
按照预设的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,并对所述事件流进行相应分析。
6.如权利要求5所述的方法,其特征在于,按照预设的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,并对所述事件流进行相应分析,具体包括:
按照数据库中记录的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,不同的行为特征规则对应不同的事件流;
针对每一个事件流中行为特征向量分别与对应的行为规则向量计算相似度,确定相似度大于设定的阈值时,将所述事件流发送至指定平台进行进一步分析。
7.一种用户行为分析装置,其特征在于,包括:
加载单元,用于当系统启动一进程时,基于预设的白名单数据,判定所述进程未记录在所述白名单数据中时,将指定的第一共享库文件加载到所述进程对应的进程空间,所述第一共享库文件用于描述一系列监控操作;所述第一共享库文件是驱动程序通过读取系统配置文件的操作重定向到的;
抓取单元,用于根据所述第一共享库文件中记录的监控操作信息,抓取运行所述进程涉及的用户行为数据;
分析单元,用于基于获得的用户行为数据,针对用户行为进行相应分析。
8.如权利要求7所述的装置,其特征在于,当系统启动一进程时,基于预设的白名单数据,判定所述进程是否记录在所述白名单数据中时,所述加载单元具体用于:
当系统启动一进程时,从数据库中获取所述进程的路径信息,基于数据库中记录的白名单数据,判断所述路径信息是否记录在所述白名单数据中,若是,则判定所述进程记录在所述白名单数据中;否则,判定所述进程未记录在所述白名单数据中。
9.如权利要求8所述的装置,其特征在于,所述加载单元进一步用于:
判定所述进程记录在所述白名单数据中时,将系统中的源共享库文件加载到所述进程对应的进程空间,所述源共享库文件中记录有各种功能函数和对外接口信息。
10.如权利要求7所述的装置,其特征在于,在抓取到运行所述进程涉及的用户行为数据后,在基于获得的用户行为数据,针对用户行为进行相应分析之前,所述抓取单元进一步用于:
基于抓取到的用户行为数据,利用数据库的白名单数据确定所述用户行为数据未记录在所述白名单中,确定允许执行针对用户行为数据进行相应分析,所述分析包括基于用户行为提取关键行为特征。
11.如权利要求7所述的装置,其特征在于,基于获得的用户行为数据,针对用户行为进行相应分析时,所述分析单元具体用于:
基于获得的用户行为数据,提取关键行为特征,形成行为特征向量;
按照预设的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,并对所述事件流进行相应分析。
12.如权利要求11所述的装置,其特征在于,按照预设的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,并对所述事件流进行相应分析时,所述分析单元具体用于:
按照数据库中记录的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,不同的行为特征规则对应不同的事件流;
针对每一个事件流中行为特征向量分别与对应的行为规则向量计算相似度,确定相似度大于设定的阈值时,将所述事件流发送至指定平台进行进一步分析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510181533.9A CN106156628B (zh) | 2015-04-16 | 2015-04-16 | 一种用户行为分析方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510181533.9A CN106156628B (zh) | 2015-04-16 | 2015-04-16 | 一种用户行为分析方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106156628A CN106156628A (zh) | 2016-11-23 |
| CN106156628B true CN106156628B (zh) | 2021-07-09 |
Family
ID=58058586
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510181533.9A Active CN106156628B (zh) | 2015-04-16 | 2015-04-16 | 一种用户行为分析方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106156628B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105956474B (zh) * | 2016-05-17 | 2018-12-25 | 武汉虹旭信息技术有限责任公司 | Android平台软件异常行为检测系统 |
| CN108804207A (zh) * | 2017-04-28 | 2018-11-13 | 珠海全志科技股份有限公司 | 一种基于Android系统的进程管控方法 |
| CN107451269A (zh) * | 2017-07-28 | 2017-12-08 | 佛山市南方数据科学研究院 | 一种基于大数据的用户行为分析方法 |
| CN107679072B (zh) * | 2017-08-24 | 2020-08-28 | 平安普惠企业管理有限公司 | 用户行为信息采集方法、终端及存储介质 |
| CN107871079A (zh) * | 2017-11-29 | 2018-04-03 | 深信服科技股份有限公司 | 一种可疑进程检测方法、装置、设备及存储介质 |
| CN108011809A (zh) * | 2017-12-04 | 2018-05-08 | 北京明朝万达科技股份有限公司 | 基于用户行为和文档内容的数据防泄漏分析方法及系统 |
| CN108023779A (zh) * | 2017-12-20 | 2018-05-11 | 杭州云屏科技有限公司 | 一种基于网络流量分析用户行为的方法及系统 |
| CN108737387A (zh) * | 2018-04-25 | 2018-11-02 | 咪咕文化科技有限公司 | 网络请求的记录方法、服务器及计算机可读存储介质 |
| CN110909380B (zh) * | 2019-11-11 | 2021-10-19 | 西安交通大学 | 一种异常文件访问行为监控方法和装置 |
| CN112182579A (zh) * | 2020-08-28 | 2021-01-05 | 杭州数梦工场科技有限公司 | 进程名单生成方法及装置、异常进程检测方法及装置 |
| CN114218034B (zh) * | 2021-11-03 | 2023-05-26 | 乾成理想(深圳)信息技术有限公司 | 在大数据场景下的在线办公安防处理方法及大数据服务器 |
| CN113810431A (zh) * | 2021-11-19 | 2021-12-17 | 北京云星宇交通科技股份有限公司 | 一种基于Hook的交通物联网终端安全检测方法和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101246536A (zh) * | 2008-03-06 | 2008-08-20 | 北京鼎信高科信息技术有限公司 | 基于进程监控对计算机文件进行加解密的方法 |
| CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
| CN103927485A (zh) * | 2014-04-24 | 2014-07-16 | 东南大学 | 基于动态监控的Android应用程序风险评估方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090002140A (ko) * | 2007-06-19 | 2009-01-09 | 한국전자통신연구원 | 행위분석에 의한 정보흐름 파악 및 정보유출 탐지 방법 |
| CN103065092B (zh) * | 2012-12-24 | 2016-04-27 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
-
2015
- 2015-04-16 CN CN201510181533.9A patent/CN106156628B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101246536A (zh) * | 2008-03-06 | 2008-08-20 | 北京鼎信高科信息技术有限公司 | 基于进程监控对计算机文件进行加解密的方法 |
| CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
| CN103927485A (zh) * | 2014-04-24 | 2014-07-16 | 东南大学 | 基于动态监控的Android应用程序风险评估方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106156628A (zh) | 2016-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106156628B (zh) | 一种用户行为分析方法及装置 | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| Bayer et al. | Scalable, behavior-based malware clustering. | |
| CN104598824B (zh) | 一种恶意程序检测方法及其装置 | |
| CN101923617B (zh) | 一种基于云的样本数据库动态维护方法 | |
| EP2975873A1 (en) | A computer implemented method for classifying mobile applications and computer programs thereof | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN111831275B (zh) | 一种编排微场景剧本的方法、服务器、介质及计算机设备 | |
| CN111049786A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN110071924B (zh) | 基于终端的大数据分析方法及系统 | |
| Du et al. | Methodology for the automated metadata-based classification of incriminating digital forensic artefacts | |
| CN111049783A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
| RU2587429C2 (ru) | Система и способ оценки надежности правила категоризации | |
| CN114090406A (zh) | 电力物联网设备行为安全检测方法、系统、设备及存储介质 | |
| CN111049828B (zh) | 网络攻击检测及响应方法及系统 | |
| CN103488947A (zh) | 即时通信客户端盗号木马程序的识别方法及装置 | |
| CN104252594A (zh) | 病毒检测方法和装置 | |
| CN113468524B (zh) | 基于rasp的机器学习模型安全检测方法 | |
| CN110442582B (zh) | 场景检测方法、装置、设备和介质 | |
| CN115086081B (zh) | 一种蜜罐防逃逸方法及系统 | |
| CN115314268B (zh) | 基于流量指纹和行为的恶意加密流量检测方法和系统 | |
| US20190156024A1 (en) | Method and apparatus for automatically classifying malignant code on basis of malignant behavior information | |
| CN112688947B (zh) | 基于互联网的网络通信信息智能监测方法及系统 | |
| CN114416464A (zh) | 一种可信进程的监管方法及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211109 Address after: Room 554, floor 5, building 3, No. 969, Wenyi West Road, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province Patentee after: TAOBAO (CHINA) SOFTWARE CO.,LTD. Address before: Cayman Islands Grand Cayman capital building, a four storey No. 847 mailbox Patentee before: ALIBABA GROUP HOLDING Ltd. |