CN107528832A

CN107528832A - 一种面向系统日志的基线构建与未知异常行为检测方法

Info

Publication number: CN107528832A
Application number: CN201710660939.4A
Authority: CN
Inventors: 李雄; 赫树龙; 孙润涛; 张健; 柏洪涛
Original assignee: Beijing Zhongsheng Xinda Science And Technology Co Ltd
Current assignee: Beijing Zhongsheng Xinda Science And Technology Co Ltd
Priority date: 2017-08-04
Filing date: 2017-08-04
Publication date: 2017-12-29
Anticipated expiration: 2037-08-04
Also published as: CN107528832B

Abstract

本发明公开了一种面向系统日志的基线构建与未知异常行为检测方法，该方法包括：步骤一：用户操作日志量化，即用户行为量化；步骤二：用户行为特征筛选：步骤三：异常行为检测：步骤四：异常行为描述。本发明提出的面向系统日志的基线构建与未知异常行为检测方法首先针对用户操作日志进行量化，生成行为特征向量；然后对样本进行异常标注构建出基准样本集，同时评估和筛选子特征，构成新的特征向量；最后对用户行为特征向量进行主动聚类分析，构建行为基线，检测异常行为。由于检测过程中排除了异常点，能有效避免产生“异常点效应”并准确检测出典型的用户行为和异常行为。

Description

一种面向系统日志的基线构建与未知异常行为检测方法

技术领域

本发明涉及一种面向系统日志的基线构建与未知异常行为检测方法，它利用系统记录的用户操作和维护日志，自动分析用户的典型行为模式，构建行为基线并以此为基础检测异常的行为模式，从而对可能的未知风险进行预警，属于网络与信息安全技术领域。

背景技术

随着信息化的推进和互联网的发展，计算机系统已经成企业乃至国家的重要基础设施。与此同时，计算机系统的信息安全风险日益凸显，其中由系统内部用户引发的内源性风险所占比重越来越高，例如利用自身权限过量访问和下载客户信息，或以非常规的次序进行操作。应对内源性信息安全的传统方法主要是建立严格权限体系与管理制度。然而，这类被动方法需要预先明确风险类型及基本特征，无法检测权限内的未知的新型风险。系统的全方位防范必须要采用纵深的、多样的手段。因此产生了以主动检测为主的主动防护技术。

主动检测是动态安全技术模型的关键技术之一，扩展系统管理员的安全管理功能，提高了信息安全基础结构的完整性。目前，工业界已形成了一系列成熟的产品，并在实际中得到应用，典型的产品包括Real Secure和Snort等。面对计算机技术的快速发展和信息对抗的日益复杂化，主流的技术通过简单的聚类分析虽然能检测简单的异常行为，却存在许多的不足。实际情况中，聚合出的类别包含了异常样本在内的所有样本，异常样本使聚类中心方差较大，对应典型行为偏移较大，导致误判或漏判，使得异常行为检测效果不理想。因此，研究新的方法来提高系统的异常检测能力变得更加迫切。

发明内容

本发明要解决的技术问题：克服现有用未知异常检测方法对异常点鲁棒性不强的不足，提供一种面向系统日志的基线构建与未知异常行为检测方法。该方法利用系统记录的用户操作日志，自动分析用户的典型行为模式并构建行为基线，以此为基础检测异常的行为，并对可能的风险进行告警。

本发明的技术解决方案：一种面向系统日志的基线构建与未知异常行为检测方法，它包括用户操作日志即行为的量化、用户行为特征筛选、异常行为检测和异常因子提取等四个部分。用户操作日志量化部分，统计各类操作的频次与关联操作频次，形成行为的一阶特征向量和二阶特征向量，并构建完整的行为特征向量。用户行为特征筛选部分，首先从日志中收集样本并由人工进行异常标记，然后对特征向量中子特征的重要度进行评估，并筛选出有效的子特征。异常行为检测部分，对待检测样本的特征向量进行选择性聚类，聚合出典型的行为并构建行为基线，同时发现不典型的异常行为。异常因子提取部分，分析引发异常判定的因素，然后用异常因子对异常行为进行描述。

本发明一种面向系统日志的基线构建与未知异常行为检测方法，其具体步骤如下：

步骤一：用户操作日志量化，即用户行为量化。分析用户操作日志，从设定的时间窗口内提取表征用户行为的操作序列，并将操作序列量化为一阶特征向量和二阶特征向量。其中，一阶特征向量主要考察时间窗口内用户各类操作的概率，二阶特征向量主要考察用户关联操作的概率。两者都包含用户的操作行为信息，合并起来称为用户行为的特征向量，或简称为特征。

步骤二：用户行为特征筛选：从用户操作日志中收集用户操作数据，按时间窗口切分为样本，提取样本的特征向量并进行异常标记，形成基准样本集。利用基准样本集评估特征向量中各元素(即子特征)的重要度，并根据重要度选择出能有效表示用户行为的子特征，即为最终特征向量。

步骤三：异常行为检测：提取待检测的行为样本并构建特征向量，利用主动聚类技术对待检测样本和基准样本的特征向量进行选择性聚类分析，聚类出典型的用户行为并构建行为基线，基线外被放弃的不典型行为即为异常行为。

步骤四：异常行为描述：对检测出的异常行为样本进行分析，提取引发异常行为判定的异常因子，通过异常因子对用户的异常行为进行描述。

其中，在步骤一中所述的用户操作日志是指目标系统记录的用户操作信息。日志通常包括用户名、时间、客户端IP、操作对象、操作结果等要素。用户操作日志信息是检测和处置异常行为的重要依据。

其中，步骤一所述的用户行为的一阶特征向量计算方法为：对于考察的时间窗口，统计用户在该时间窗口内执行各类操作的频次，将该时间段内所有操作的频次组合成频次向量，对该频次向量进行归一化处理后便可得到该用户行为的一阶特征向量。

其中，步骤一所述的用户行为的二阶特征向量是指：为表征用户操作的时序关联性，构建一个二阶的统计量，该统计量中的每一项表示两个操作接连出现的频次。对二阶的统计量进行归一化处理，即为用户行为的二阶特征向量。

其中，步骤二中所述的提取样本特征向量并进行异常标记，方法如下：(1)从用户操作日志中收集用户行为样本，每个样本是一个用户在特定时间窗口内的操作日志；(2)从每个样本中提取特征向量；(3)人工对每个样本进行异常标记，其中异常标记为-1，正常标记为+1。该步骤输出的每条样本具有一个特征向量，以及+1或-1的标记。

其中，步骤二中所述的利用基准样本集评估各子特征的重要度，并根据重要度选择出能有效表示用户行为的子特征，方法如下：将异常标注后的样本集送入逻辑回归分类器进行训练，训练得到的权值与子特征一一对应，权值的大小表征了子特征的重要度，权值小于0表明其对异常识别起负面作用。去除权值小于0的子特征，权值大于0的子特征即构成新的特征向量，即为最终特征向量。

其中，在步骤三中所述的选择性聚类分析，是从用户行为日志中提取特征向量并进行特征筛选，并对待检测样本的特征向量进行选择性聚类，聚类结果中靠近聚类中心的为典型的用户行为，远离聚类中心、被抛弃的为不典型的行为即为异常行为。

其中，在步骤四中所述的异常因子是对异常行为的重要描述，是进行异常判定的依据和主要因素，包括权限内的过量操作、异常时段操作、异常次序操作，或者外部入侵者操作引发的时间异常、频率异常等。分析异常因子并对异常行为进行描述，有助于处理异常，有助于定位异常行为和风险告警。

本发明与现有技术相比的优点在于：目前主流的行为模式分析与异常检测方法直接通过聚类来分析用户行为模式，并检测异常行为。但是，这种聚类方法将异常样本包含在其聚合出的类别中，使得聚类中心方差较大，对应典型行为产生偏移，并且特征的鲁棒性较弱，易引发误检或漏检；。本发明提出的面向系统日志的基线构建与未知异常行为检测方法首先针对用户操作日志进行量化，生成行为特征向量；然后对样本进行异常标注构建出基准样本集，同时评估和筛选子特征，构成新的鲁棒的特征向量；最后对用户行为特征向量进行主动聚类分析，构建行为基线，检测异常行为。由于检测过程中排除了异常点，能有效避免产生“异常点效应”并准确检测出典型的用户行为和异常行为。

附图说明

图1是一种面向系统日志的基线构建与未知异常行为检测方法的流程示意图。

具体实施方式

下面结合附图及本发明的实施方式对本发明的方法作进一步详细的说明。

如图1所示，本发明一种面向系统日志的基线构建与未知异常行为检测方法，具体实现步骤如下：

步骤一：用户操作日志的量化

异常行为检测主要面向信息系统(例如4A系统)或各类设备的用户操作日志。操作类型由系统定义并授权。用户操作日志通常包括用户名、时间、客户端IP、操作对象、操作结果等要素。为了从日志中发现用户的行为特征并检测出异常，需要将日志中的用户行为样本量化为特征向量。用户的行为特征向量主要考虑为如下一阶特征向量和二阶特征向量，并用以此构建完整的行为特征向量。假设目标系统中共有N类操作，具体的量化操作如下：

(1)用户行为的一阶特征向量：对于考查的时间窗口，用f_n(u)表示用户u在该时间段内执行操作n的频次，则用户u在该时间段内所有操作的频次可表示为向量F(u)＝(f₁(u)，...，f_N(u))^T(T表示向量转置，是标准的学符号。)为了去除操作次数的影响，便于提取用户行为的典型模式，需要将频次归一化到[0,1]的概率数值。对F(u)进行归一化处理后可得：即是用户u在该时间窗内的行为一阶特征向量。

(2)用户行为的二阶特征向量：为表征用户操作的时序性特征即操作间的关联，需要统计用户在时间窗口内相邻操作的频次，并将其转化为概率分布。于是构建二阶统计量G(u)＝(f₁₁(u)，...，f_NN(u))^T，其中f_ij表示操作i和操作j接连出现的频次。同样，需要将该二阶统计量数值归一化处理到[0,1]区间，归一化后所得行为的二阶特征向量可表示为

(3)完整的用户行为特征向量：用户完整的行为特征向量可用以上一阶特征向量和二阶特征向量进行组合表示：x(u)即为对操作日志中用户行为的量化结果。

步骤二：用户行为特征筛选

量化得到的用户行为特征向量包含了行为的一阶信息和二阶信息，这些信息在行为判定中的有效性和重要度不相同，有些信息能较好地区分正常行为和异常行为，部分信息则可能起干扰作用。对特征向量中的子特征进行选择，保留有效的子特征，能提升特征向量区分正常和异常行为的能力。用户行为特征向量的筛选过程主要包括以下三个步骤：

(1)构建基准样本集。从用户操作日志中收集样本，每个样本是某用户在特定时间窗口内的操作记录序列，人工标记每条样本是否为异常样本。首先从该样本中提取量化的特征向量x(u)，其次根据样本中是否包含有异常行为对样本进行标记y，其中异常标记为-1，正常标记为+1，每个样本记为(x(u)，y)。标记好的样本集称为基准样本集其中M表示样本数量。

(2)评估子特征的重要性。用户行为特征向量x(u)是个多维向量，每个维度即子特征所表达的信息不同，区分异常行为的能力也不同。通过评估每个子特征对区分异常行为的重要性，然后用特征选择方式筛选出重要的子特征，能有效提升特征的有效性。首先计算子特征d的重要度其中w为利用基准样本集所学习逻辑回归分类器的权值。

(3)构建新的特征向量。根据上一步计算的子特征重要度，选择贡献度为正的子特征构建新的特征向量。新的特征向量能充分表示用户行为，并有较好的异常行为区分能力。

步骤三：异常行为检测

异常行为检测主要通过主动聚类技术实现，根据筛选后的行为特征向量对所有用户的行为进行选择性聚类分析，即聚类出典型的用户行为，被放弃的不典型行为即为异常行为。

首先，对用户操作日志中的数据进行步骤一中的量化处理和步骤二中的特征筛选。然后，根据这些用户行为特征向量，选择性地将用户行为特征聚合为多个类簇。设c₁，…，c_K为当前的聚类中心，每次迭代逐一扫描未归类样本x_i，并计算其与所有聚类中心的最小距离d₁＝min_k||x_i-c_k||，选择最小距离最小的样本argmin_id_i(同时min_id_i＜σ)加入聚类样本中。聚类结果分为两种类型。靠近聚类中心的行为称为典型的用户行为，即正常的用户操作；远离所有聚类中心的行为称为异常行为，这类行为不属于任何类别，在聚类中被放弃。

由此可见，对用户操作日志数据进行量化与特征筛选后，利用选择性聚类技术进行聚类分析，实现了未知异常行为检测的功能。这种方法能够准确有效地区分出正常的用户行为与异常行为。

步骤四：异常行为描述

在步骤三中检测出异常行为的基础上，分析异常行为与用户行为之间存在的特征差别，根据特征差别找出导致异常产生的因素，即的子特征。由于每个子特征具有一阶统计或二阶统计意义，因此异常行为可对应为时间异常、地点异常、频率异常等一阶异常行为，以及次序异常等二阶异常行为。通过异常因子可对异常行为进行描述，从而定位异常操作并进行告警。

由此可见，本发明可以有效的对系统中的正常用户行为与未知异常行为进行区分检测，同时分析异常因子，从而定位异常操作与异常产生原因，为风险预警解决和异常处置提供决策支持，由此为系统的信息安全提供支撑。

本发明说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

1.一种面向系统日志的基线构建与未知异常行为检测方法，其特征在于：该方法步骤如下：

步骤一：用户操作日志量化，即用户行为量化；分析用户操作日志，从设定的时间窗口内提取表征用户行为的操作序列，并将操作序列量化为一阶特征向量和二阶特征向量；其中，一阶特征向量主要考察时间窗口内用户各类操作的概率，二阶特征向量主要考察用户关联操作的概率；两者都包含用户的操作行为信息，合并起来称为用户行为的特征向量，或简称为特征；

步骤二：用户行为特征筛选：从用户操作日志中收集用户操作数据，按时间窗口切分为样本，提取样本的特征向量并进行异常标记，形成基准样本集；利用基准样本集评估特征向量中各元素即子特征的重要度，并根据重要度选择出能有效表示用户行为的子特征，即为最终特征向量；

步骤三：异常行为检测：提取待检测的行为样本并构建特征向量，利用主动聚类技术对待检测样本和基准样本的特征向量进行选择性聚类分析，聚类出典型的用户行为并构建行为基线，基线外被放弃的不典型行为即为异常行为；

2.根据权利要求1所述的一种面向系统日志的基线构建与未知异常行为检测方法，其特征在于：在步骤一中所述的用户操作日志是目标系统记录的用户操作信息；日志至少包括用户名、时间、客户端IP、操作对象、操作结果要素。

3.根据权利要求1所述的一种面向系统日志的基线构建与未知异常行为检测方法，其特征在于：步骤一所述的用户行为的一阶特征向量计算方法为：对于考察的时间窗口，统计用户在该时间窗口内执行各类操作的频次，将该时间段内所有操作的频次组合成频次向量，对该频次向量进行归一化处理后便可得到该用户行为的一阶特征向量。

4.根据权利要求1所述的一种面向系统日志的基线构建与未知异常行为检测方法，其特征在于：步骤一所述的用户行为的二阶特征向量是指：为表征用户操作的时序关联性，构建一个二阶的统计量，该统计量中的每一项表示两个操作接连出现的频次，对二阶的统计量进行归一化处理，即为用户行为的二阶特征向量。

5.根据权利要求1所述的一种面向系统日志的基线构建与未知异常行为检测方法，其特征在于：步骤二中所述的提取样本特征向量并进行异常标记，方法如下：(1)从用户操作日志中收集用户行为样本，每个样本是一个用户在特定时间窗口内的操作日志；(2)从每个样本中提取特征向量；(3)人工对每个样本进行异常标记，其中异常标记为-1，正常标记为+1；该步骤输出的每条样本具有一个特征向量，以及+1或-1的标记。

6.根据权利要求1所述的一种面向系统日志的基线构建与未知异常行为检测方法，其特征在于：步骤二中所述的利用基准样本集评估各子特征的重要度，并根据重要度选择出能有效表示用户行为的子特征，方法如下：将异常标注后的样本集送入逻辑回归分类器进行训练，训练得到的权值与子特征一一对应，权值的大小表征了子特征的重要度，权值小于0表明其对异常识别起负面作用；去除权值小于0的子特征，权值大于0的子特征即构成新的特征向量，即为最终特征向量。

7.根据权利要求1所述的一种面向系统日志的基线构建与未知异常行为检测方法，其特征在于：在步骤三中所述的选择性聚类分析，是从用户行为日志中提取特征向量并进行特征筛选，并对待检测样本的特征向量进行选择性聚类，聚类结果中靠近聚类中心的为典型的用户行为，远离聚类中心、被抛弃的为不典型的行为即为异常行为。

8.根据权利要求1所述的一种面向系统日志的基线构建与未知异常行为检测方法，其特征在于：在步骤四中所述的异常因子是对异常行为的重要描述，是进行异常判定的依据和主要因素，包括包括权限内的过量操作、异常时段操作、异常次序操作，或者外部入侵者操作引发的时间异常、频率异常。