CN106998334B - 一种计算机用户行为异常检测方法 - Google Patents

一种计算机用户行为异常检测方法 Download PDF

Info

Publication number
CN106998334B
CN106998334B CN201710376279.7A CN201710376279A CN106998334B CN 106998334 B CN106998334 B CN 106998334B CN 201710376279 A CN201710376279 A CN 201710376279A CN 106998334 B CN106998334 B CN 106998334B
Authority
CN
China
Prior art keywords
user
information
behavior
access
opt
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710376279.7A
Other languages
English (en)
Other versions
CN106998334A (zh
Inventor
石波
吴朝雄
沈德峰
胡佳
谢小明
沈艳林
郭江
孙琦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Computer Technology and Applications
Original Assignee
Beijing Institute of Computer Technology and Applications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Computer Technology and Applications filed Critical Beijing Institute of Computer Technology and Applications
Priority to CN201710376279.7A priority Critical patent/CN106998334B/zh
Publication of CN106998334A publication Critical patent/CN106998334A/zh
Application granted granted Critical
Publication of CN106998334B publication Critical patent/CN106998334B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Alarm Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种用户行为异常检测方法,其中,包括:步骤1:对原始数据进行预处理,消除重复信息和错误信息,生成格式化的用户身份信息、对象信息、时间信息以及行为信息;步骤2:基于用户身份信息、对象信息、时间信息、行为信息,进行用户正常行为建模,建立用户行为基线;步骤3:依据用户行为基线,对实时产生的用户行为进行匹配,检测用户行为异常;步骤4:对于实时产生的正常用户行为,进一步进行用户行为基线调整。本发明的计算机用户行为异常检测方法,实现了对计算机用户行为的异常检测。

Description

一种计算机用户行为异常检测方法
技术领域
本发明属于网络安全技术领域,特别是一种计算机用户行为异常检测方法。
背景技术
数据窃取的一种重要手段为内部人员泄密或通过控制内部资产来窃取情报,这是一种隐藏于“正常行为”下的恶意行为,传统安全防护检测手段很难发现。
计算机用户行为异常检测技术基于各类用户日志提取用户行为模型,进而对网络中用户行为的进行综合分析,确定用户行为是否具有恶意性,最终形成用户异常行为告警,并对恶意行为进行技术阻断。
目前计算机用户行为异常检测主要采用基于规则匹配的方法。但从应用的角度看,目前的研究还存在以下不足:
规则定义难度大:需要用户具备非常丰富的规则配置经验,并且需要深度结合用户应用实际,可操作性差;
误报、虚报多:规则需要及时更新,否则无法适应最新的用户行为形势,导致误报、虚报增多,管理员难以处理。
发明内容
本发明的目的在于提供一种用户行为异常检测方法,用于解决上述现有技术的问题。
本发明一种用户行为异常检测方法,其中,包括:步骤1:对原始数据进行预处理,消除重复信息和错误信息,生成格式化的用户身份信息、对象信息、时间信息以及行为信息;步骤2:基于用户身份信息、对象信息、时间信息、行为信息,进行用户正常行为建模,建立用户行为基线;步骤3:依据用户行为基线,对实时产生的用户行为进行匹配,检测用户行为异常;步骤4:对于实时产生的正常用户行为,进一步进行用户行为基线调整。
根据本发明的计算机用户行为异常检测方法的一实施例,其中,用于计算机用户行为异常检测的原始数据来源包括身份认证网关、应用系统以及主机监控系统,经过去冗余、消除错误信息,再进行格式化,形成用户身份信息、对象信息、时间信息以及行为信息。
根据本发明的计算机用户行为异常检测方法的一实施例,其中,其中,用户身份信息包括身份认证信息、IP地址信息、MAC地址信息以及角色信息;对象信息包括IP地址信息、对象类型信息以及端口信息;时间信息包括发起访问时间、持续时间以及终止访问时间;行为信息包括访问协议、访问端口以及操作方式。
根据本发明的计算机用户行为异常检测方法的一实施例,其中,步骤2具体包括:
周期T内,在每天的第k个小时内,用户USER通过m种方式访问了n个对象,访问行为包括OPT1,OPT2,…,OPTm,对象包括OBJ1,OBJ2,…,OBJn,时间信息中k-1≤START<k;
得出访问模式矩阵如下:
Figure BDA0001304071560000021
其中,NUMmn表示用户通过OPTm这种方式访问对象OBJn的次数;
针对周期T,进行用户正常行为建模,建立访问模式矩阵,如下:
Figure BDA0001304071560000031
其中,NUMmn表示用户通过OPTm这种方式访问对象OBJn的次数,
Figure BDA0001304071560000032
表示周期T内用户通过OPTn这种方式访问对象OBJm的平均次数。
根据本发明的计算机用户行为异常检测方法的一实施例,其中,步骤3进一步包括:依据用户行为基线,对实时产生的用户行为进行匹配,检测用户行为异常;设定用户行为异常阈值为W,0<W≤100%;在某天的第k个小时内,用户通过OPTq这种方式访问对象OBJpr次;其中,p、q均为不同访问对应的数值,当0<q≤m时,表示这种访问方式是步骤2中m种访问方式中的一种;当q>m时,表示这种访问方式不属于步骤2中m种访问方式;当0<p≤n时,表示这个访问对象是步骤2中n个访问对象中的一个;当p>n时,表示这个访问对象不属于步骤2中n个访问对象;若p>n,0<q≤m,则用户以前从未以OPTq这种方式访问过对象OBJp,因此判定为异常行为,触发用户行为异常告警;若0<p≤n,q>m,则用户以前以OPTq这种方式从未访问过对象OBJp,因此判定为异常行为,触发用户行为异常告警;若0<p≤n,且0<q≤m,但
Figure BDA0001304071560000041
则用户以OPTq这种访问方式访问对象OBJp的频次超过了正常范围,触发用户行为异常告警;其中,
Figure BDA0001304071560000042
表示周期T内用户通过OPTq这种方式访问对象OBJp的平均次数;其他情况为正常访问,不触发用户行为异常告警。
根据本发明的计算机用户行为异常检测方法的一实施例,其中,步骤4进一步包括:
调整用户行为基线,如下:
Figure BDA0001304071560000043
根据本发明的计算机用户行为异常检测方法的一实施例,其中,T至少为3个月。
本发明的计算机用户行为异常检测方法,基于计算机用户行为具有一定的规律性的原理,通过对计算机用户的行为进行长周期挖掘、学习、建模,形成计算机用户正常行为模式(即用户行为基线),最终实现对计算机用户行为的异常检测。
附图说明
图1所示为本发明一种计算机用户行为异常检测方法的流程图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
图1所示为本发明一种计算机用户行为异常检测方法的流程图,如图1所示,本发明结合计算机用户行为的特点,把用于计算机用户行为异常检测的要素分为4种:用户身份信息、对象信息、时间信息、行为信息。用户身份信息主要包括身份认证信息、IP地址信息、MAC地址信息、角色信息等。对象信息主要包括IP地址信息、对象类型信息、端口信息等。时间信息主要包括发起访问时间、持续时间、终止访问时间。行为信息主要包括访问协议、访问端口、操作方式等。
如图1所示,本发明一种计算机用户行为异常检测方法的流程包括:
步骤1:对原始数据进行预处理,消除重复信息和错误信息,生成格式化的用户身份信息、对象信息、时间信息、行为信息;
步骤2:基于用户身份信息、对象信息、时间信息、行为信息,进行用户正常行为建模,建立用户行为基线;
步骤3:依据用户行为基线,对实时产生的用户行为进行匹配,检测用户行为异常;
步骤4:对于实时产生的正常用户行为,进一步进行用户行为基线调整。
本发明基于计算机用户行为具有规律性的原理,通过对长周期用户行为进行建模,挖掘形成用户行为基线,刻画用户正常行为模式,从而支撑计算机用户行为异常检测。本方法无需先验知识规则,能够大大减少误报、虚报,具备较高的实施性。
如图1所示,本发明一种计算机用户行为异常检测方法进一步包括:
步骤1:对原始数据进行预处理,消除重复信息和错误信息,生成格式化的用户身份信息、对象信息、时间信息、行为信息。
具体来说,用于计算机用户行为异常检测的数据来源包括身份认证网关、应用系统、主机监控系统等。经过去冗余、消除错误信息,再进行格式化,形成用户身份信息、对象信息、时间信息、行为信息。
用户身份信息主要包括身份认证信息、IP地址信息、MAC地址信息、角色信息等。对象信息主要包括IP地址信息、对象类型信息、端口信息等。时间信息主要包括发起访问时间、持续时间、终止访问时间。行为信息主要包括访问协议、访问端口、操作方式等。
步骤2:基于用户身份信息、对象信息、时间信息、行为信息,进行用户正常行为建模,建立用户行为基线。
设定周期T内(包含t天),T至少为3个月,周期越长,建立的基线越准确。
周期T内,在每天的第k个小时内(1≤k≤24),用户USER通过m种方式访问了n个对象,访问行为包括OPT1,OPT2,…,OPTm,对象包括OBJ1,OBJ2,…,OBJn,时间信息中k-1≤START<k。
根据以上信息,可得出访问模式矩阵如下:
Figure BDA0001304071560000061
其中,NUMmn表示用户通过OPTm这种方式访问对象OBJn的次数。
针对周期T,进行用户正常行为建模,建立用户行为基线(即访问模式矩阵),如下:
Figure BDA0001304071560000071
其中,NUMmn表示用户通过OPTm这种方式访问对象OBJn的次数,
Figure BDA0001304071560000072
表示周期T内用户通过OPTn这种方式访问对象OBJm的平均次数。
步骤3:依据用户行为基线,对实时产生的用户行为进行匹配,检测用户行为异常。
设定用户行为异常阈值为W,0<W≤100%。
在某天的第k个小时内,用户通过OPTq这种方式访问对象OBJp r次。
其中,p、q均为不同访问对应的数值。当0<q≤m时,表示这种访问方式是步骤2中m种访问方式中的一种;当q>m时,表示这种访问方式不属于步骤2中m种访问方式。当0<p≤n时,表示这个访问对象是步骤2中n个访问对象中的一个;当p>n时,表示这个访问对象不属于步骤2中n个访问对象。
若p>n,0<q≤m,则用户以前从未以OPTq这种方式访问过对象OBJp,因此判定为异常行为,触发用户行为异常告警。
若0<p≤n,q>m,则用户以前以OPTq这种方式从未访问过对象OBJp,因此判定为异常行为,触发用户行为异常告警。
若0<p≤n,且0<q≤m,但
Figure BDA0001304071560000081
则用户以OPTq这种访问方式访问对象OBJp的频次超过了正常范围,触发用户行为异常告警;其中,
Figure BDA0001304071560000082
表示周期T内用户通过OPTq这种方式访问对象OBJp的平均次数。
其他情况为正常访问,不触发用户行为异常告警。
步骤4:对于实时产生的正常用户行为,进一步进行用户行为基线调整。
对于用户通过OPTp这种方式访问对象OBJq r次的正常行为,调整用户行为基线,如下:
Figure BDA0001304071560000083
其中,
Figure BDA0001304071560000084
表示周期T内用户通过OPTp这种方式访问对象OBJq的平均次数,
Figure BDA0001304071560000085
表示周期T内用户通过OPTn这种方式访问对象OBJm的平均次数。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (5)

1.一种计算机用户行为异常检测方法,其特征在于,包括:
步骤1:对原始数据进行预处理,消除重复信息和错误信息,生成格式化的用户身份信息、对象信息、时间信息以及行为信息;
步骤2:基于用户身份信息、对象信息、时间信息、行为信息,进行用户正常行为建模,建立用户行为基线;
步骤3:依据用户行为基线,对实时产生的用户行为进行匹配,检测用户行为异常;
步骤4:对于实时产生的正常用户行为,进一步进行用户行为基线调整;
步骤2具体包括:
周期T内,在每天的第k个小时内,用户USER通过n 种方式访问了m 个对象,访问行为包括OPT1,OPT2,…,OPTn ,对象包括OBJ1,OBJ2,…,OBJm ,时间信息中k-1≤START<k;
得出访问模式矩阵如下:
Figure FDA0002893746420000011
其中,NUMmn表示用户通过OPTn 这种方式访问对象OBJm 的次数;
针对周期T,进行用户正常行为建模,建立访问模式矩阵,如下:
Figure FDA0002893746420000012
Figure FDA0002893746420000021
其中,NUMmn表示用户通过OPTn 这种方式访问对象OBJm 的次数,
Figure FDA0002893746420000022
表示周期T内用户通过OPTn这种方式访问对象OBJm的平均次数;
调整用户行为基线,如下:
Figure FDA0002893746420000023
其中,周期T内包含t天,用户通过OPTp这种方式访问对象OBJq,r次。
2.如权利要求1所述的计算机用户行为异常检测方法,其特征在于,用于计算机用户行为异常检测的原始数据来源包括身份认证网关、应用系统以及主机监控系统,经过去冗余、消除错误信息,再进行格式化,形成用户身份信息、对象信息、时间信息以及行为信息。
3.如权利要求1所述的计算机用户行为异常检测方法,其特征在于,用户身份信息包括身份认证信息、IP地址信息、MAC地址信息以及角色信息;对象信息包括IP地址信息、对象类型信息以及端口信息;时间信息包括发起访问时间、持续时间以及终止访问时间;行为信息包括访问协议、访问端口以及操作方式。
4.如权利要求3所述的计算机用户行为异常检测方法,其特征在于,步骤3进一步包括:
依据用户行为基线,对实时产生的用户行为进行匹配,检测用户行为异常;
设定用户行为异常阈值为W,0<W≤100%;
在某天的第k个小时内,用户通过OPTq这种方式访问对象OBJp r次;
其中,p、q均为不同访问对应的数值,当0<q≤m时,表示这种访问方式是步骤2中m种访问方式中的一种;当q>m时,表示这种访问方式不属于步骤2中m种访问方式;当0<p≤n时,表示这个访问对象是步骤2中n个访问对象中的一个;当p>n时,表示这个访问对象不属于步骤2中n个访问对象;
若p>n,0<q≤m,则用户以前从未以OPTq这种方式访问过对象OBJp,因此判定为异常行为,触发用户行为异常告警;
若0<p≤n,q>m,则用户以前以OPTq这种方式从未访问过对象OBJp,因此判定为异常行为,触发用户行为异常告警;
若0<p≤n,且0<q≤m,但
Figure FDA0002893746420000031
则用户以OPTq这种访问方式访问对象OBJp的频次超过了正常范围,触发用户行为异常告警;其中,
Figure FDA0002893746420000032
表示周期T内用户通过OPTq这种方式访问对象OBJp的平均次数;
其他情况为正常访问,不触发用户行为异常告警。
5.如权利要求4所述的计算机用户行为异常检测方法,其特征在于,T至少为3个月。
CN201710376279.7A 2017-05-25 2017-05-25 一种计算机用户行为异常检测方法 Active CN106998334B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710376279.7A CN106998334B (zh) 2017-05-25 2017-05-25 一种计算机用户行为异常检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710376279.7A CN106998334B (zh) 2017-05-25 2017-05-25 一种计算机用户行为异常检测方法

Publications (2)

Publication Number Publication Date
CN106998334A CN106998334A (zh) 2017-08-01
CN106998334B true CN106998334B (zh) 2021-04-06

Family

ID=59435978

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710376279.7A Active CN106998334B (zh) 2017-05-25 2017-05-25 一种计算机用户行为异常检测方法

Country Status (1)

Country Link
CN (1) CN106998334B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107517203B (zh) * 2017-08-08 2020-07-14 奇安信科技集团股份有限公司 一种用户行为基线建立方法及装置
CN107547565B (zh) * 2017-09-28 2020-08-14 新华三技术有限公司 一种网络接入认证方法及装置
CN108156141B (zh) * 2017-12-14 2021-08-27 北京奇艺世纪科技有限公司 一种实时数据识别方法、装置及电子设备
CN109388642B (zh) * 2018-10-23 2021-08-27 北京计算机技术及应用研究所 基于标签的敏感数据追踪溯源方法
CN112287390B (zh) * 2020-10-23 2024-05-10 杭州数梦工场科技有限公司 基线的自适应调整方法及装置
CN113852592A (zh) * 2021-07-13 2021-12-28 天翼智慧家庭科技有限公司 基于动态访问控制策略的大数据安全运维管控方法及系统
CN113992340B (zh) * 2021-09-09 2024-04-16 奇安信科技集团股份有限公司 用户异常行为识别方法、装置、设备和存储介质
CN114500011B (zh) * 2022-01-13 2023-12-05 中国电子科技网络信息安全有限公司 一种基于行为基线异常分析和事件编排的辅助决策方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102176698A (zh) * 2010-12-20 2011-09-07 北京邮电大学 一种基于迁移学习的用户异常行为检测方法
US9189623B1 (en) * 2013-07-31 2015-11-17 Emc Corporation Historical behavior baseline modeling and anomaly detection in machine generated end to end event log
CN105224872A (zh) * 2015-09-30 2016-01-06 河南科技大学 一种基于神经网络聚类的用户异常行为检测方法
CN106534212A (zh) * 2016-12-29 2017-03-22 杭州世平信息科技有限公司 基于用户行为和数据状态的自适应安全防护方法及系统
CN106657160A (zh) * 2017-02-28 2017-05-10 南开大学 面向大流量基于可信度的网络恶意行为检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102176698A (zh) * 2010-12-20 2011-09-07 北京邮电大学 一种基于迁移学习的用户异常行为检测方法
US9189623B1 (en) * 2013-07-31 2015-11-17 Emc Corporation Historical behavior baseline modeling and anomaly detection in machine generated end to end event log
CN105224872A (zh) * 2015-09-30 2016-01-06 河南科技大学 一种基于神经网络聚类的用户异常行为检测方法
CN106534212A (zh) * 2016-12-29 2017-03-22 杭州世平信息科技有限公司 基于用户行为和数据状态的自适应安全防护方法及系统
CN106657160A (zh) * 2017-02-28 2017-05-10 南开大学 面向大流量基于可信度的网络恶意行为检测方法

Also Published As

Publication number Publication date
CN106998334A (zh) 2017-08-01

Similar Documents

Publication Publication Date Title
CN106998334B (zh) 一种计算机用户行为异常检测方法
US11030311B1 (en) Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise
US10949534B2 (en) Method for predicting and characterizing cyber attacks
US10902117B1 (en) Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US11038907B2 (en) System and method for malware detection learning
CN106790186B (zh) 基于多源异常事件关联分析的多步攻击检测方法
US10924502B2 (en) Network security using inflated files for anomaly detection
US20180248896A1 (en) System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning
US20150089646A1 (en) Apparatus and method for protecting communication pattern of network traffic
WO2005031528A3 (en) Method of and system for enterprise information asset protection through insider attack specification, monitoring and mitigation
US20170054738A1 (en) Data mining algorithms adopted for trusted execution environment
CN112714093B (zh) 一种账号异常检测方法、装置、系统及存储介质
US20030084323A1 (en) Network intrusion detection system and method
US20060294588A1 (en) System, method and program for identifying and preventing malicious intrusions
JP6690646B2 (ja) 情報処理装置、情報処理システム、情報処理方法、及び、プログラム
CN108268354A (zh) 数据安全监控方法、后台服务器、终端及系统
CN107070889B (zh) 一种基于云平台的统一安全防御系统
CN109766694B (zh) 一种工控主机的程序协议白名单联动方法及装置
JP2016152594A (ja) ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム
EP3582463B1 (en) Threat detection method and apparatus
CN103888480B (zh) 基于云监测的网络信息安全性鉴定方法及云端设备
CN113711559B (zh) 检测异常的系统和方法
US7590698B1 (en) Thwarting phishing attacks by using pre-established policy files
CN112118154A (zh) 基于机器学习的icmp隧道检测方法
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant