CN107231345A - 基于ahp的网络用户行为风险评估方法 - Google Patents

Abstract

本发明公开了基于AHP的网络用户行为风险评估方法，本方法利用AHP层次分析法，根据实际应用需求和功能特性将整体的用户行为风险逐层分解，将综合的、笼统的用户行为风险分解为若干行为风险属性，再将行为风险属性继续细化为可用软硬件直接测量的行为风险证据，最终得到综合风险值，本方法针对APT的攻击的入侵途径，从个人上网行为数据分析挖掘入手，对网络用户行为做出风险评估，从源头上监测APT攻击发起者的入侵，达到APT攻击监测防御的目的。

Description

基于AHP的网络用户行为风险评估方法

技术领域

本发明涉及一种网络用户行为风险评估领域，具体涉及基于AHP的网络用户行为风险评估方法。

背景技术

一、APT攻击的危害性

APT攻击一般是专业甚至是有组织和国家背景支持的黑客,针对重要目标和系统发起的一种攻击手段，主要特征有：

1)终端性：攻击者的攻击目标虽然针对重要的资产，但是入手点都是终端，而终端又必须由人来访问，但在一个大型组织里，是难以保证所有人的安全能力与安全意识都处于高水准。因而做好每个人的终端防护比服务器端防护要困难很多，通过SQL注射攻击了WEB服务器，一般也是希望利用它攻击使用这些WEB服务器的终端用户作为跳板渗透进内网。

2)广谱信息收集性：通常攻击者会花上很长的时间和资源，依靠互联网搜集、主动扫描、真实物理访问方式，收集被攻击目标的信息，如：组织架构，人际关系，常用软件，常用防御策略与产品，内部网络部署等信息。

3)针对性：攻击者会针对收集到的常用软件，常用防御策略与产品，内部网络部署等信息，搭建专门的环境，用于寻找有针对性安全漏洞，测试特定的木马是否能饶过检测。

4)未知性：攻击者依据找到的针对性安全漏洞，根据应用本身构造专门的触发攻击的代码，并编写符合自己攻击目标，但能饶过现有防护者检测体系的特种木马，这些0DAY漏洞和特种木马，都是防护者或防护体系所不知道的。

5)渗透性社工：攻击者为了让被攻击者目标更容易信任，往往会先从被攻击者目标容易信任的对象着手，比如攻击一个被攻击者目标的好友或家人，或者被攻击者目标使用的内部论坛，通过他们的身份再对组织内的被攻击者目标发起0DAY攻击，成功率会高很多。再利用组织内的已被攻击成功的身份再去渗透攻击他的上级，逐步拿到对核心资产有访问权限的目标。

6)隐蔽合法性：攻击者访问到重要资产后，往往通过控制的客户端，分布使用合法加密的数据通道，将信息窃取出来，以饶过我们的审计和异常检测的防护。

结合APT攻击特性的分析，可以得出以下结论：APT攻击是针对有重要价值资产或重要战略意义的目标，一般军工、能源、金融、军事、政府、重要高科技企业等最容易遭受APT攻击；虽然普通网民不会遭受APT攻击的眷顾，但是如果是APT攻击目标组织的一名普通员工甚至只是与APT攻击目标组织的一名普通员工是好友或亲戚关系，则依然可能成为APT攻击的中间跳板；重要的信息资产即使只在内网甚至物理隔离也难逃APT攻击的侵害。因为即使物理阻止了网络层流，也阻止不了逻辑上的信息流。

二、针对APT攻击监测防御的必要性

APT攻击已经成为近年来为祸甚烈、行之有效、难以依靠传统安全防御手段进行防御反制的网络攻击手段。一旦成为APT攻击的目标，则意味着受攻击者本身具备较高的价值和战略意义。尤其对于处于高速发展期的我国而言，一旦敌对势力或组织花费高昂代价进行有的放矢的APT攻击针对我国重要信息系统并且获得成功，那么造成的危害将难以估量。而且这种情况在我国当前所面临的国内、国际形势下并非危言耸听。

因此，研究出一套有效的APT攻击监测防御手段，对我国的国家安全、经济发展都拥有巨大战略意义和促进作用。

发明内容

本发明的目的在于克服现有技术的不足，提供基于AHP的网络用户行为风险评估方法，本发明通过以下技术方案来实现的：

基于AHP的网络用户行为风险评估方法，是根据实际应用需求和功能特性将整体的用户行为风险逐层分解，将综合的、笼统的用户行为风险分解为若干行为风险属性，再将行为风险属性继续细化为可用软硬件直接测量的行为风险证据，解决信息网络中用户行为信任的笼统性和不确定性问题。

基于AHP的网络用户行为风险评估方法，它包括以下步骤：

S1：网络用户行为数据预处理；

S2：指纹建模；

S3：得出综合风险值。

所述的网络用户行为数据预处理，包括网络用户行为数据采集、标记分类和分析；

所述的网络用户行为数据采集对象包括用户信息备案表、邮件特征库、社交平台特征库、内网网络数据流特征库、用户行为特征库、数据库协议库、远程控制协议数据库；

所述的网络用户行为标记分类，将网络用户行为分为正常网络行为和异常网络行为，利用分类器根据每种应用库的特征码进行细分，如HTTP应用库可分为登录信息、BBS、Web聊天室、WebMail等；

所述的网络用户行为分析是根据逻辑关系进行的关联性分析，挖掘出隐藏的数据关系，不落下潜在攻击威胁。

进一步地，所述的指纹建模，是使用层次分析法对多用户、多业务系统的各种操作行为进行行为特征提取并建立出一一对应的指纹库，将对象视作系统，按照分解、比较、判断、综合的思维方式进行决策实现，具体包括以下子步骤：

S21：用户行为特征层次结构模型的建立；

S22：用户行为特征判断矩阵的构造；

S23：用户行为特征层次单排序及一致性检验；

S24：用户行为特征总排序及一致性检验。

所述的用户行为特征层次结构模型的建立，是通过深入分析所研究的问题，将问题中所包含的因素划分为不同的层次，如禁止行为、异常行为、未履职行为，并画出层次结构图表示的递阶结构和相邻两层因素的从属关系。

所述的用户行为特征构造判断矩阵，是通过将相邻的两个层次，把高层次作为目标，低层次作为因素，而矩阵元素的值则表示决策者对各因素关于目标的相对重要性的认识，决策者通过两两比较法对多个证据的重要程度做比较实现的。

更进一步地，所述的用户行为特征层次单排序及一致性检验，包括以下子步骤：

S231：单层次排序，规范化后利用各因素的重要性权值排序，通过和积法求出矩阵最大特征根及其对应特征向量；

S232：一致性检验，判断矩阵的一致性检验，根据判断思维的逻辑一致性，判断层次单排序的结果是否满足一致性，若不满足，则需要调整判断矩阵各元素的取值重新进行层次排序；

所述的用户行为特征总排序及一致性检验，包括以下子步骤：

S241：总层次排序，将某一处中所有的因素对于总目标相对重要性进行权值排序，令最高层作为总目标，从高到低进行排序；，通过和积法求出矩阵最大特征根及其对应特征向量；

S242：一致性检验，判断矩阵的一致性检验，根据判断思维的逻辑一致性，判断层次单排序的结果是否满足一致性，若不满足，则需要调整判断矩阵各元素的取值重新进行层次排序。

所述的得出综合风险值包括以下步骤：首先使用将网络用户特征行为进行系统性建设，如禁止行为、异常行为、未履职行为，构建出评估指标；基于层次分析法确定各评估指标的相对权重、预设的风险评估标准，确定各评估指标的风险值，以各评估指标的风险值以及各评估指标的相对权重作为网络用户指纹模型的输入值，计算得到综合风险值。

更进一步地，所述的单层次排序包括以下子步骤：

S2311：利用公式将矩阵按列规范化；

S2312：按列规范化的矩阵，再根据公式按行求和；

S2313：根据公式将向量规范化，得到最大特征向量的近似值；

S2314：利用最大特征向量的近似值，得到计算最大特征根

所述的一致性检验是从高到低进行排序的，包括以下子步骤：

S2321：获取一致性指标，C^I＝0时，A一致，C^I越大，A_j的不一致性程度越严重；

S2322：获取随机一致性指标，用于克服一致性指标随随矩阵阶数增大而明显增大的弊端；

S2323：获取一致性比率，类似的，当Cr<0.1时，认为层次总排序结果局有满意的一致性，此时可用A_j的特征向量作为权向量；否则，需要重新调整判断矩阵的元素值。

更进一步地，基于AHP的行为特征的权重计算方法，得到最大特征根和对应的特征向量的具体步骤如下：

设判断矩阵为n阶的正互反矩阵A＝(α ij)n*n，对A按列规范 将规范化后的判断矩阵按行相加对向量规范化则W＝(W¹,W²,…,Wⁿ)^T即为最大特征向量的近似值；利用最大特征向量球最大特征根的近似值其中，AWⁱ表示向量AW的第i个元素。

基于AHP的行为特征权重的一致性检验，判断矩阵是用两两比较法和决策者对话得到的，当用户行为信任的证据较多时，可能会发生判断不一致的情况，具体方法如下：一致性指标定义为当完全一致时，C^I＝0。当不一致时，一般n越大，一致性也就越差，所以引入平均随机一致性指标R^I和随机一致性指标率

平均一致性指标R^I，具体方法如下：对于特定的n，随机构造n阶正反矩阵 A，，其中α,ij是从1，2，…，9，1/2，1/3，…，1/9中随机抽取，这样得到的A可能是不一致的。取充分大的子样(如1000个样本)，得到A的最大特征根的平均值。定义平均随机一致性指标对于1-9阶的判断矩阵，给出下表所示的1-9阶矩阵的R^I的值。R^I的引入在一定程度上克服了一致性检验指标 C^I随矩阵阶数增大而明显增大的弊端。

在进行一致性判定时，如果修正值C^R<0.1,则认为不一致性可以被接受；如果C^R≥0.10.1，认为不一致不能接受，需要修改判断矩阵。

本发明的有益效果是：

1、本方法根据实际应用需求和功能特性将整体的用户行为风险逐层分解，将综合的、笼统的用户行为风险分解为若干行为风险属性，再将行为风险属性继续细化为可用软硬件直接测量的行为风险证据，这样可以有效解决信息网络中用户行为信任的笼统性和不确定性问题；并且用户行为风险的量化评估是分层的，用户的某个行为属性是多项行为风险证据的“组合”，整体行为风险评估又是多项行为属性的“组合”，即有行为证据可计算出某个用户的行为属性，有用户行为属性可计算出用户整体行为的评估值，由信息系统活动用户的评估值可以计算出信息网络的用户行为风险评估值，通过对网络用户行为风险的评估，从源头上监控APT攻击发起者的入侵，达到APT攻击监测防御的目的。

2、层次分析法计算的根本问题是求判断矩阵的最大特征根和对应的特征向量，这种计算方法是精确计算方法，通过改进近似计算方法，它可以使算法更简单，算法需要的空间资源更少，计算速度更快。

3、本方法引入了判断矩阵，用判断矩阵及其特征可以检验决策者的思维是否一致，能够帮助决策者自我检验并进一步保持判断思维的一致性。

5、本方法不仅要考虑到权重能够反映证据在用户行为风险评估中的重要性，而且要防止当证据量非常大时，各个证据权重的冲突与矛盾，采用AHP法来解决这个问题，可以确认权值，并进行合理性验证和层次组合计算。

附图说明

图1为基于AHP的网络用户行为风险评估方法流程图；

具体实施方式

下面结合具体实施例进一步详细描述本发明的技术方案，但本发明的保护范围不局限于以下所述。

实施例1

如图1，基于AHP的网络用户行为风险评估方法，是根据实际应用需求和功能特性将整体的用户行为风险逐层分解，将综合的、笼统的用户行为风险分解为若干行为风险属性，再将行为风险属性继续细化为可用软硬件直接测量的行为风险证据，得出综合风险值。

基于AHP的网络用户行为风险评估方法，它包括以下步骤：

S1：网络用户行为数据预处理；

S2：指纹建模；

S3：得出综合风险值。

所述的网络用户行为数据预处理，包括网络用户行为数据采集、标记分类和分析；

所述的网络用户行为数据采集对象包括用户信息备案表、邮件特征库、社交平台特征库、内网网络数据流特征库、用户行为特征库、数据库协议库、远程控制协议数据库；

所述的网络用户行为标记分类，将网络用户行为分为正常网络行为和异常网络行为，利用分类器根据每种应用库的特征码进行细分，如HTTP应用库可分为登录信息、BBS、Web聊天室、WebMail等；

所述的网络用户行为分析是根据逻辑关系进行的关联性分析，挖掘出隐藏的数据关系，不落下潜在攻击威胁。

进一步地，所述的指纹建模，是使用层次分析法对多用户、多业务系统的各种操作行为进行行为特征提取并建立出一一对应的指纹库，将对象视作系统，按照分解、比较、判断、综合的思维方式进行决策实现，包括以下子步骤：

S21：用户行为特征层次结构模型的建立；

S22：用户行为特征判断矩阵的构造；

S23：用户行为特征层次单排序及一致性检验；

S24：用户行为特征总排序及一致性检验。

所述的用户行为特征层次结构模型的建立，是通过深入分析所研究的问题，将问题中所包含的因素划分为不同的层次，如禁止行为、异常行为、未履职行为，并画出层次结构图表示的递阶结构和相邻两层因素的从属关系。

所述的用户行为特征构造判断矩阵，是通过将相邻的两个层次，把高层次作为目标，低层次作为因素，而矩阵元素的值则表示决策者对各因素关于目标的相对重要性的认识，决策者通过两两比较法对多个证据的重要程度做比较实现的。

更进一步地，所述的用户行为特征层次单排序及一致性检验，包括以下子步骤：

S231：单层次排序，规范化后利用各因素的重要性权值排序，通过和积法求出矩阵最大特征根及其对应特征向量；

S232：一致性检验，判断矩阵的一致性检验，根据判断思维的逻辑一致性，判断层次单排序的结果是否满足一致性，若不满足，则需要调整判断矩阵各元素的取值重新进行层次排序；

所述的用户行为特征总排序及一致性检验，包括以下子步骤：

S241：总层次排序，将某一处中所有的因素对于总目标相对重要性进行权值排序，令最高层作为总目标，从高到低进行排序；，通过和积法求出矩阵最大特征根及其对应特征向量；

S242：一致性检验，判断矩阵的一致性检验，根据判断思维的逻辑一致性，判断层次单排序的结果是否满足一致性，若不满足，则需要调整判断矩阵各元素的取值重新进行层次排序；

所述的得出综合风险值包括以下步骤：首先使用将网络用户特征行为进行系统性建设，如禁止行为、异常行为、未履职行为，构建出评估指标；基于层次分析法确定各评估指标的相对权重、预设的风险评估标准，确定各评估指标的风险值，以各评估指标的风险值以及各评估指标的相对权重作为网络用户指纹模型的输入值，计算得到综合风险值。

所述的层次总排序，是根据某一处中所有的因素对于总目标相对重要性进行权值排序，将最高层作为总目标，将层次从高到低进行排序。

更进一步地，所述层次总排序的一致性检验，包括以下子步骤：

S2411：将层次再次进行从高到低排序，如果B层次若干因素对于上一层次某一因素Aj的单排序一致性检验指标C1，相应的随机一致性指标为R1，则B 层次总排序随机一致性比率为类似的，当Cr<0.1时，认为层次总排序结果局有满意的一致性；否则，需要重新调整判断矩阵的元素值。

S2412：基于AHP的行为特征的权重计算方法。从AHP解决问题的步骤可以看到，层次分析法计算的根本问题是求判断矩阵的最大特征根和对应的特征向量，这种计算方法是精确计算方法，在要求不是非常严格的情况下，可以使用改进的近似计算方法，它可以使算法更简单，算法需要的空间资源更少，计算速度更快，本系统中采用的近似计算方法为和积法。设判断矩阵为n阶的正互反矩阵 A＝(α ij)n*n,则用和积法求最大特征向量和特征根的方法如下：

对A按列规范将规范化后的判断矩阵按行相加对向量规范化，则 W＝(W¹,W²,…,Wⁿ)^T即为最大特征向量的近似值。利用最大特征向量球最大特征根的近似值其中，AWⁱ表示向量AW的第i个元素。

基于AHP的行为特征权重的一致性检验。判断矩阵是用两两比较法和决策者对话得到的，当用户行为信任的证据较多时，可能会发生判断不一致的情况。由于判断矩阵是根据专家经验给出的主观判断，所以不一致性在所难免，一致性检验就是判断不一致程度的方法。一致性指标定义为当完全一致时，C^I＝0。当不一致时，一般n越大，一致性也就越差，所以引入平均随机一致性指标R^I和随机一致性指标率

平均一致性指标R^I：对于特定的n，随机构造n阶正反矩阵A，，其中α,ij是从1，2，…，9，1/2，1/3，…，1/9中随机抽取，这样得到的A可能是不一致的。取充分大的子样(如1000个样本)，得到A的最大特征根的平均值。定义平均随机一致性指标对于1-9阶的判断矩阵，给出下表所示的1-9 阶矩阵的R^I的值。R^I的引入在一定程度上克服了一致性检验指标C^I随矩阵阶数增大而明显增大的弊端。

1-9阶矩阵的平均随机一致性指标

1	2	3	4	5	6	7	8	9
									0	0	0.58	0.90	1.12	1.24	1.32	1.41	1.45

在进行一致性判定时，如果修正值C^R<0.1,则认为不一致性可以被接受；如果C^R≥0.10.1，认为不一致不能接受，需要修改判断矩阵。

以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。

Claims (10)

1.基于AHP的网络用户行为风险评估方法，其特征在于，它包括以下步骤：

S1：网络用户行为数据预处理；

S2：指纹建模；

S3：得出综合风险值。

2.根据权利要求1所述的基于AHP的网络用户行为风险评估方法，其特征在于，所述的网络用户行为数据预处理，包括网络用户行为数据采集、标记分类和分析；所述的网络用户行为数据采集对象包括用户信息备案表、邮件特征库、社交平台特征库、内网网络数据流特征库、用户行为特征库、数据库协议库、远程控制协议数据库；所述的网络用户行为标记分类，将网络用户行为分为正常网络行为和异常网络行为，利用分类器根据每种应用库的特征码进行细分；所述的网络用户行为分析采用关联性分析，挖掘出隐藏的数据关系，发现潜在攻击威胁。

3.根据权利要求1所述的基于AHP的网络用户行为风险评估方法，其特征在于，所述的指纹建模，是使用层次分析法对多用户、多业务系统的各种操作行为进行行为特征提取并建立出一一对应的指纹库，将对象视作系统，按照分解、比较、判断、综合的思维方式进行决策实现，包括以下子步骤：

S21：用户行为特征层次结构模型的建立；

S22：用户行为特征判断矩阵的构造；

S23：用户行为特征层次单排序及一致性检验；

S24：用户行为特征总排序及一致性检验。

4.根据权利要求3所述的指纹建模，其特征在于，所述的用户行为特征层次结构模型的建立，是通过深入分析所研究的问题，将问题中所包含的因素划分为不同的层次，如禁止行为、异常行为、未履职行为，并画出层次结构图的递阶结构和相邻两层因素的从属关系。

5.根据权利要求3所述的指纹建模，其特征在于，所述的用户行为特征构造判断矩阵，是通过将相邻的两个层次，把高层次作为目标，低层次作为因素，而矩阵元素的值则表示决策者对各因素关于目标的相对重要性的认识，决策者通过两两比较法对多个证据的重要程度做比较实现的。

6.根据权利要求3所述的指纹建模，其特征在于，所述的用户行为特征层次单排序及一致性检验，包括以下子步骤：

S231：单层次排序，规范化后利用各因素的重要性做权值排序，通过和积法求出矩阵最大特征根及其对应特征向量；

S232：一致性检验，判断矩阵的一致性检验，根据判断思维的逻辑一致性，判断层次单排序的结果是否满足一致性，若不满足，则需要调整判断矩阵各元素的取值重新进行层次排序。

7.根据权利要求3所述的指纹建模，其特征在于，所述的用户行为特征总排序及一致性检验，包括以下子步骤：

S241：总层次排序，将某一处中所有的因素对于总目标相对重要性进行权值排序，令最高层作为总目标，从高到低进行排序，通过和积法求出矩阵最大特征根及其对应特征向量；

S242：一致性检验，判断矩阵的一致性检验，根据判断思维的逻辑一致性，判断层次单排序的结果是否满足一致性，若不满足，则需要调整判断矩阵各元素的取值重新进行层次排序。

8.根据权利要求1所述的基于AHP的网络用户行为风险评估方法，其特征在于，所述的得出综合风险值包括以下步骤：首先使用将网络用户特征行为进行系统性建设，构建出评估指标；然后基于层次分析法确定各评估指标的相对权重、预设的风险评估标准，确定各评估指标的风险值，以各评估指标的风险值以及各评估指标的相对权重作为网络用户指纹模型的输入值，计算得到综合风险值；最后系统对行为数据呈现图表和列表两种不同方式，其中图表的查询采用钻取方式，从总体到细节，层层深入；另外列表提供组合查询，所有的行为日志以及人工研判日志提供多条件的组合查询方式，包括行为方式、行为对象、特定IP、方便用户掌握总体行为态势及对APT攻击事件的追踪溯源。

9.根据权利要求6所述的层次单排序及一致性检验，其特征在于，所述的单层次排序包括以下子步骤：

S2311：利用公式将矩阵按列规范化；

S2312：按列规范化的矩阵，再根据公式n按行求和；

S2313：根据公式将向量规范化，得到最大特征向量的近似值；

S2314：利用最大特征向量的近似值，得到计算最大特征根

10.根据权利要6所述的层次单排序及一致性检验，其特征在于，所述的一致性检验是从高到低进行排序的，包括以下子步骤：

S2321：获取一致性指标，C^I＝0时，A一致，C^I越大，A_j的不一致性程度越严重；

S2322：获取随机一致性指标，用于克服一致性指标随随矩阵阶数增大而明显增大的弊端；

S2323：获取一致性比率，类似的，当Cr<0.1时，认为层次总排序结果局有满意的一致性，此时可用A_j的特征向量作为权向量；否则，需要重新调整判断矩阵的元素值。