CN106998334B - 一种计算机用户行为异常检测方法 - Google Patents
一种计算机用户行为异常检测方法 Download PDFInfo
- Publication number
- CN106998334B CN106998334B CN201710376279.7A CN201710376279A CN106998334B CN 106998334 B CN106998334 B CN 106998334B CN 201710376279 A CN201710376279 A CN 201710376279A CN 106998334 B CN106998334 B CN 106998334B
- Authority
- CN
- China
- Prior art keywords
- user
- information
- behavior
- access
- opt
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用户行为异常检测方法,其中,包括:步骤1:对原始数据进行预处理,消除重复信息和错误信息,生成格式化的用户身份信息、对象信息、时间信息以及行为信息;步骤2:基于用户身份信息、对象信息、时间信息、行为信息,进行用户正常行为建模,建立用户行为基线;步骤3:依据用户行为基线,对实时产生的用户行为进行匹配,检测用户行为异常;步骤4:对于实时产生的正常用户行为,进一步进行用户行为基线调整。本发明的计算机用户行为异常检测方法,实现了对计算机用户行为的异常检测。
Description
技术领域
本发明属于网络安全技术领域,特别是一种计算机用户行为异常检测方法。
背景技术
数据窃取的一种重要手段为内部人员泄密或通过控制内部资产来窃取情报,这是一种隐藏于“正常行为”下的恶意行为,传统安全防护检测手段很难发现。
计算机用户行为异常检测技术基于各类用户日志提取用户行为模型,进而对网络中用户行为的进行综合分析,确定用户行为是否具有恶意性,最终形成用户异常行为告警,并对恶意行为进行技术阻断。
目前计算机用户行为异常检测主要采用基于规则匹配的方法。但从应用的角度看,目前的研究还存在以下不足:
规则定义难度大:需要用户具备非常丰富的规则配置经验,并且需要深度结合用户应用实际,可操作性差;
误报、虚报多:规则需要及时更新,否则无法适应最新的用户行为形势,导致误报、虚报增多,管理员难以处理。
发明内容
本发明的目的在于提供一种用户行为异常检测方法,用于解决上述现有技术的问题。
本发明一种用户行为异常检测方法,其中,包括:步骤1:对原始数据进行预处理,消除重复信息和错误信息,生成格式化的用户身份信息、对象信息、时间信息以及行为信息;步骤2:基于用户身份信息、对象信息、时间信息、行为信息,进行用户正常行为建模,建立用户行为基线;步骤3:依据用户行为基线,对实时产生的用户行为进行匹配,检测用户行为异常;步骤4:对于实时产生的正常用户行为,进一步进行用户行为基线调整。
根据本发明的计算机用户行为异常检测方法的一实施例,其中,用于计算机用户行为异常检测的原始数据来源包括身份认证网关、应用系统以及主机监控系统,经过去冗余、消除错误信息,再进行格式化,形成用户身份信息、对象信息、时间信息以及行为信息。
根据本发明的计算机用户行为异常检测方法的一实施例,其中,其中,用户身份信息包括身份认证信息、IP地址信息、MAC地址信息以及角色信息;对象信息包括IP地址信息、对象类型信息以及端口信息;时间信息包括发起访问时间、持续时间以及终止访问时间;行为信息包括访问协议、访问端口以及操作方式。
根据本发明的计算机用户行为异常检测方法的一实施例,其中,步骤2具体包括:
周期T内,在每天的第k个小时内,用户USER通过m种方式访问了n个对象,访问行为包括OPT1,OPT2,…,OPTm,对象包括OBJ1,OBJ2,…,OBJn,时间信息中k-1≤START<k;
得出访问模式矩阵如下:
其中,NUMmn表示用户通过OPTm这种方式访问对象OBJn的次数;
针对周期T,进行用户正常行为建模,建立访问模式矩阵,如下:
根据本发明的计算机用户行为异常检测方法的一实施例,其中,步骤3进一步包括:依据用户行为基线,对实时产生的用户行为进行匹配,检测用户行为异常;设定用户行为异常阈值为W,0<W≤100%;在某天的第k个小时内,用户通过OPTq这种方式访问对象OBJpr次;其中,p、q均为不同访问对应的数值,当0<q≤m时,表示这种访问方式是步骤2中m种访问方式中的一种;当q>m时,表示这种访问方式不属于步骤2中m种访问方式;当0<p≤n时,表示这个访问对象是步骤2中n个访问对象中的一个;当p>n时,表示这个访问对象不属于步骤2中n个访问对象;若p>n,0<q≤m,则用户以前从未以OPTq这种方式访问过对象OBJp,因此判定为异常行为,触发用户行为异常告警;若0<p≤n,q>m,则用户以前以OPTq这种方式从未访问过对象OBJp,因此判定为异常行为,触发用户行为异常告警;若0<p≤n,且0<q≤m,但则用户以OPTq这种访问方式访问对象OBJp的频次超过了正常范围,触发用户行为异常告警;其中,表示周期T内用户通过OPTq这种方式访问对象OBJp的平均次数;其他情况为正常访问,不触发用户行为异常告警。
根据本发明的计算机用户行为异常检测方法的一实施例,其中,步骤4进一步包括:
调整用户行为基线,如下:
根据本发明的计算机用户行为异常检测方法的一实施例,其中,T至少为3个月。
本发明的计算机用户行为异常检测方法,基于计算机用户行为具有一定的规律性的原理,通过对计算机用户的行为进行长周期挖掘、学习、建模,形成计算机用户正常行为模式(即用户行为基线),最终实现对计算机用户行为的异常检测。
附图说明
图1所示为本发明一种计算机用户行为异常检测方法的流程图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
图1所示为本发明一种计算机用户行为异常检测方法的流程图,如图1所示,本发明结合计算机用户行为的特点,把用于计算机用户行为异常检测的要素分为4种:用户身份信息、对象信息、时间信息、行为信息。用户身份信息主要包括身份认证信息、IP地址信息、MAC地址信息、角色信息等。对象信息主要包括IP地址信息、对象类型信息、端口信息等。时间信息主要包括发起访问时间、持续时间、终止访问时间。行为信息主要包括访问协议、访问端口、操作方式等。
如图1所示,本发明一种计算机用户行为异常检测方法的流程包括:
步骤1:对原始数据进行预处理,消除重复信息和错误信息,生成格式化的用户身份信息、对象信息、时间信息、行为信息;
步骤2:基于用户身份信息、对象信息、时间信息、行为信息,进行用户正常行为建模,建立用户行为基线;
步骤3:依据用户行为基线,对实时产生的用户行为进行匹配,检测用户行为异常;
步骤4:对于实时产生的正常用户行为,进一步进行用户行为基线调整。
本发明基于计算机用户行为具有规律性的原理,通过对长周期用户行为进行建模,挖掘形成用户行为基线,刻画用户正常行为模式,从而支撑计算机用户行为异常检测。本方法无需先验知识规则,能够大大减少误报、虚报,具备较高的实施性。
如图1所示,本发明一种计算机用户行为异常检测方法进一步包括:
步骤1:对原始数据进行预处理,消除重复信息和错误信息,生成格式化的用户身份信息、对象信息、时间信息、行为信息。
具体来说,用于计算机用户行为异常检测的数据来源包括身份认证网关、应用系统、主机监控系统等。经过去冗余、消除错误信息,再进行格式化,形成用户身份信息、对象信息、时间信息、行为信息。
用户身份信息主要包括身份认证信息、IP地址信息、MAC地址信息、角色信息等。对象信息主要包括IP地址信息、对象类型信息、端口信息等。时间信息主要包括发起访问时间、持续时间、终止访问时间。行为信息主要包括访问协议、访问端口、操作方式等。
步骤2:基于用户身份信息、对象信息、时间信息、行为信息,进行用户正常行为建模,建立用户行为基线。
设定周期T内(包含t天),T至少为3个月,周期越长,建立的基线越准确。
周期T内,在每天的第k个小时内(1≤k≤24),用户USER通过m种方式访问了n个对象,访问行为包括OPT1,OPT2,…,OPTm,对象包括OBJ1,OBJ2,…,OBJn,时间信息中k-1≤START<k。
根据以上信息,可得出访问模式矩阵如下:
其中,NUMmn表示用户通过OPTm这种方式访问对象OBJn的次数。
针对周期T,进行用户正常行为建模,建立用户行为基线(即访问模式矩阵),如下:
步骤3:依据用户行为基线,对实时产生的用户行为进行匹配,检测用户行为异常。
设定用户行为异常阈值为W,0<W≤100%。
在某天的第k个小时内,用户通过OPTq这种方式访问对象OBJp r次。
其中,p、q均为不同访问对应的数值。当0<q≤m时,表示这种访问方式是步骤2中m种访问方式中的一种;当q>m时,表示这种访问方式不属于步骤2中m种访问方式。当0<p≤n时,表示这个访问对象是步骤2中n个访问对象中的一个;当p>n时,表示这个访问对象不属于步骤2中n个访问对象。
若p>n,0<q≤m,则用户以前从未以OPTq这种方式访问过对象OBJp,因此判定为异常行为,触发用户行为异常告警。
若0<p≤n,q>m,则用户以前以OPTq这种方式从未访问过对象OBJp,因此判定为异常行为,触发用户行为异常告警。
其他情况为正常访问,不触发用户行为异常告警。
步骤4:对于实时产生的正常用户行为,进一步进行用户行为基线调整。
对于用户通过OPTp这种方式访问对象OBJq r次的正常行为,调整用户行为基线,如下:
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (5)
1.一种计算机用户行为异常检测方法,其特征在于,包括:
步骤1:对原始数据进行预处理,消除重复信息和错误信息,生成格式化的用户身份信息、对象信息、时间信息以及行为信息;
步骤2:基于用户身份信息、对象信息、时间信息、行为信息,进行用户正常行为建模,建立用户行为基线;
步骤3:依据用户行为基线,对实时产生的用户行为进行匹配,检测用户行为异常;
步骤4:对于实时产生的正常用户行为,进一步进行用户行为基线调整;
步骤2具体包括:
周期T内,在每天的第k个小时内,用户USER通过n 种方式访问了m 个对象,访问行为包括OPT1,OPT2,…,OPTn ,对象包括OBJ1,OBJ2,…,OBJm ,时间信息中k-1≤START<k;
得出访问模式矩阵如下:
其中,NUMmn表示用户通过OPTn 这种方式访问对象OBJm 的次数;
针对周期T,进行用户正常行为建模,建立访问模式矩阵,如下:
调整用户行为基线,如下:
其中,周期T内包含t天,用户通过OPTp这种方式访问对象OBJq,r次。
2.如权利要求1所述的计算机用户行为异常检测方法,其特征在于,用于计算机用户行为异常检测的原始数据来源包括身份认证网关、应用系统以及主机监控系统,经过去冗余、消除错误信息,再进行格式化,形成用户身份信息、对象信息、时间信息以及行为信息。
3.如权利要求1所述的计算机用户行为异常检测方法,其特征在于,用户身份信息包括身份认证信息、IP地址信息、MAC地址信息以及角色信息;对象信息包括IP地址信息、对象类型信息以及端口信息;时间信息包括发起访问时间、持续时间以及终止访问时间;行为信息包括访问协议、访问端口以及操作方式。
4.如权利要求3所述的计算机用户行为异常检测方法,其特征在于,步骤3进一步包括:
依据用户行为基线,对实时产生的用户行为进行匹配,检测用户行为异常;
设定用户行为异常阈值为W,0<W≤100%;
在某天的第k个小时内,用户通过OPTq这种方式访问对象OBJp r次;
其中,p、q均为不同访问对应的数值,当0<q≤m时,表示这种访问方式是步骤2中m种访问方式中的一种;当q>m时,表示这种访问方式不属于步骤2中m种访问方式;当0<p≤n时,表示这个访问对象是步骤2中n个访问对象中的一个;当p>n时,表示这个访问对象不属于步骤2中n个访问对象;
若p>n,0<q≤m,则用户以前从未以OPTq这种方式访问过对象OBJp,因此判定为异常行为,触发用户行为异常告警;
若0<p≤n,q>m,则用户以前以OPTq这种方式从未访问过对象OBJp,因此判定为异常行为,触发用户行为异常告警;
其他情况为正常访问,不触发用户行为异常告警。
5.如权利要求4所述的计算机用户行为异常检测方法,其特征在于,T至少为3个月。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710376279.7A CN106998334B (zh) | 2017-05-25 | 2017-05-25 | 一种计算机用户行为异常检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710376279.7A CN106998334B (zh) | 2017-05-25 | 2017-05-25 | 一种计算机用户行为异常检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106998334A CN106998334A (zh) | 2017-08-01 |
CN106998334B true CN106998334B (zh) | 2021-04-06 |
Family
ID=59435978
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710376279.7A Active CN106998334B (zh) | 2017-05-25 | 2017-05-25 | 一种计算机用户行为异常检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106998334B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107517203B (zh) * | 2017-08-08 | 2020-07-14 | 奇安信科技集团股份有限公司 | 一种用户行为基线建立方法及装置 |
CN107547565B (zh) * | 2017-09-28 | 2020-08-14 | 新华三技术有限公司 | 一种网络接入认证方法及装置 |
CN108156141B (zh) * | 2017-12-14 | 2021-08-27 | 北京奇艺世纪科技有限公司 | 一种实时数据识别方法、装置及电子设备 |
CN109388642B (zh) * | 2018-10-23 | 2021-08-27 | 北京计算机技术及应用研究所 | 基于标签的敏感数据追踪溯源方法 |
CN112287390B (zh) * | 2020-10-23 | 2024-05-10 | 杭州数梦工场科技有限公司 | 基线的自适应调整方法及装置 |
CN113852592A (zh) * | 2021-07-13 | 2021-12-28 | 天翼智慧家庭科技有限公司 | 基于动态访问控制策略的大数据安全运维管控方法及系统 |
CN113992340B (zh) * | 2021-09-09 | 2024-04-16 | 奇安信科技集团股份有限公司 | 用户异常行为识别方法、装置、设备和存储介质 |
CN114500011B (zh) * | 2022-01-13 | 2023-12-05 | 中国电子科技网络信息安全有限公司 | 一种基于行为基线异常分析和事件编排的辅助决策方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102176698A (zh) * | 2010-12-20 | 2011-09-07 | 北京邮电大学 | 一种基于迁移学习的用户异常行为检测方法 |
US9189623B1 (en) * | 2013-07-31 | 2015-11-17 | Emc Corporation | Historical behavior baseline modeling and anomaly detection in machine generated end to end event log |
CN105224872A (zh) * | 2015-09-30 | 2016-01-06 | 河南科技大学 | 一种基于神经网络聚类的用户异常行为检测方法 |
CN106534212A (zh) * | 2016-12-29 | 2017-03-22 | 杭州世平信息科技有限公司 | 基于用户行为和数据状态的自适应安全防护方法及系统 |
CN106657160A (zh) * | 2017-02-28 | 2017-05-10 | 南开大学 | 面向大流量基于可信度的网络恶意行为检测方法 |
-
2017
- 2017-05-25 CN CN201710376279.7A patent/CN106998334B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102176698A (zh) * | 2010-12-20 | 2011-09-07 | 北京邮电大学 | 一种基于迁移学习的用户异常行为检测方法 |
US9189623B1 (en) * | 2013-07-31 | 2015-11-17 | Emc Corporation | Historical behavior baseline modeling and anomaly detection in machine generated end to end event log |
CN105224872A (zh) * | 2015-09-30 | 2016-01-06 | 河南科技大学 | 一种基于神经网络聚类的用户异常行为检测方法 |
CN106534212A (zh) * | 2016-12-29 | 2017-03-22 | 杭州世平信息科技有限公司 | 基于用户行为和数据状态的自适应安全防护方法及系统 |
CN106657160A (zh) * | 2017-02-28 | 2017-05-10 | 南开大学 | 面向大流量基于可信度的网络恶意行为检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106998334A (zh) | 2017-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106998334B (zh) | 一种计算机用户行为异常检测方法 | |
US11030311B1 (en) | Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise | |
US10949534B2 (en) | Method for predicting and characterizing cyber attacks | |
US10902117B1 (en) | Framework for classifying an object as malicious with machine learning for deploying updated predictive models | |
US11038907B2 (en) | System and method for malware detection learning | |
CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
US10924502B2 (en) | Network security using inflated files for anomaly detection | |
US20180248896A1 (en) | System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning | |
US20150089646A1 (en) | Apparatus and method for protecting communication pattern of network traffic | |
WO2005031528A3 (en) | Method of and system for enterprise information asset protection through insider attack specification, monitoring and mitigation | |
US20170054738A1 (en) | Data mining algorithms adopted for trusted execution environment | |
CN112714093B (zh) | 一种账号异常检测方法、装置、系统及存储介质 | |
US20030084323A1 (en) | Network intrusion detection system and method | |
US20060294588A1 (en) | System, method and program for identifying and preventing malicious intrusions | |
JP6690646B2 (ja) | 情報処理装置、情報処理システム、情報処理方法、及び、プログラム | |
CN108268354A (zh) | 数据安全监控方法、后台服务器、终端及系统 | |
CN107070889B (zh) | 一种基于云平台的统一安全防御系统 | |
CN109766694B (zh) | 一种工控主机的程序协议白名单联动方法及装置 | |
JP2016152594A (ja) | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム | |
EP3582463B1 (en) | Threat detection method and apparatus | |
CN103888480B (zh) | 基于云监测的网络信息安全性鉴定方法及云端设备 | |
CN113711559B (zh) | 检测异常的系统和方法 | |
US7590698B1 (en) | Thwarting phishing attacks by using pre-established policy files | |
CN112118154A (zh) | 基于机器学习的icmp隧道检测方法 | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |