CN108881194B - 企业内部用户异常行为检测方法和装置 - Google Patents

企业内部用户异常行为检测方法和装置 Download PDF

Info

Publication number
CN108881194B
CN108881194B CN201810578123.1A CN201810578123A CN108881194B CN 108881194 B CN108881194 B CN 108881194B CN 201810578123 A CN201810578123 A CN 201810578123A CN 108881194 B CN108881194 B CN 108881194B
Authority
CN
China
Prior art keywords
behavior
activity
log data
abnormal
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810578123.1A
Other languages
English (en)
Other versions
CN108881194A (zh
Inventor
郭渊博
刘春辉
孔菁
朱智强
常朝稳
李亚东
段刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Henan Yun Zheng Data Management Co Ltd
Zhengzhou Xinda Advanced Technology Research Institute
Information Engineering University of PLA Strategic Support Force
Original Assignee
Henan Yunzheng Data Management Co ltd
Information Engineering University of PLA Strategic Support Force
Zhengzhou Xinda Institute of Advanced Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Henan Yunzheng Data Management Co ltd, Information Engineering University of PLA Strategic Support Force , Zhengzhou Xinda Institute of Advanced Technology filed Critical Henan Yunzheng Data Management Co ltd
Priority to CN201810578123.1A priority Critical patent/CN108881194B/zh
Publication of CN108881194A publication Critical patent/CN108881194A/zh
Application granted granted Critical
Publication of CN108881194B publication Critical patent/CN108881194B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2411Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/29Graphical models, e.g. Bayesian networks
    • G06F18/295Markov models or related models, e.g. semi-Markov models; Markov random fields; Networks embedding Markov models

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Security & Cryptography (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明涉及网络安全技术领域,尤其涉及企业内部用户异常行为检测方法和装置。本发明公开了企业内部用户异常行为检测方法,还公开了企业内部用户异常行为检测装置,包括:行为日志获取和预处理模块;行为细节建模模块;业务状态转移预测模块;恶意行为评分判别模块。本发明使用非监督的机器学习方法,充分利用了企业中无标注的历史行为日志数据构建用户行为模型,提高了异常行为检测的准确率,降低了误报率和漏报率,为检测企业内部威胁提供了有效手段。

Description

企业内部用户异常行为检测方法和装置
技术领域
本发明涉及网络安全技术领域,尤其涉及企业内部用户异常行为检测方法和装置。
背景技术
全球企业每年因为内部用户蓄意破坏或无意失职导致的损失所占比重越来越大,内部威胁日益成为企业安全关注的重点。攻击者来自企业内部,攻击往往发生在工作时间,恶意行为嵌入在大量正常数据中,增加了数据挖掘分析的难度;同时攻击者往往具有组织安全防御机制的相关知识,可以采取措施规避安全检测。然而,内部威胁攻击模式多样,获取攻击样本成本高、难度大,人工判定异常工作量大、识别准确率低,当前较为成熟的有监督的机器学习方法,无法有效利用企业历史数据进行用户行为建模。
目前流行的标签式用户行为画像方法,针对以上数据进行统计建模,并通过学习历史数据中统计数值的大小,为用户贴标签,确定判别阈值,进而实现对新数据的异常性进行判定和打分。该方法过度依赖人工特征提取,且只能利用小部分统计性行为数据,大量细节信息被忽略,导致形成的行为模型缺细节、不全面,极大的影响了用户异常行为的判定准确率。
申请号为CN201710668128.9的发明提出了一种基于用户行为相似度的的行为检测方法,通过获取当前用户与其他用户之间的行为相似度,计算当前用户的当前行为的概率值,依据概率值,对所述当前行为进行检测。该发明中用户相似度的计算基于统计同一时间段内发生该行为的用户一共有多少人,以及当前一共有多少用户,分别统计在不同的网络环境下,每个用户的每个行为各发生了多少次这些简单的统计数据,忽略了大量行为细节信息。
综上,目前企业内部用户异常行为检测存在如下问题:
1.用户行为特征的确定和提取过度依赖人工,所提取特征多为简单的统计性信息,忽略大量的用户行为细节信息。
2.当前流行的互联网中贴标签式的用户行为画像方法,对网站访问量等基本数据进行统计、分析,从中发现用户访问网站的规律,此类方法适合于业务经营和商业推荐等领域,在内部威胁检测领域无法发挥作用。
发明内容
针对上述问题,本发明提出了企业内部用户异常行为检测方法和装置,使用非监督的机器学习方法,能够充分利用企业中无标注的历史行为日志数据构建用户行为模型,提高了异常行为检测的准确率,降低了误报率和漏报率,为检测企业内部威胁提供了有效手段。
为了实现上述目的,本发明采用以下技术方案:
企业内部用户异常行为检测方法,包括以下步骤:
步骤1:将企业内部用户的历史行为日志数据按照用户ID划分为不同的数据流,针对不同行为对应的历史行为日志数据,在解析过程中,进行不同的处理,将每条历史行为日志数据解析为一个五元组;
步骤2:为解析后的历史行为日志数据建立索引,存储到全文搜索引擎数据库中,作为初始搜索的基础数据,当接收到新的行为日志数据时,通过搜索新的行为日志数据对应的五元组提取对应的行为细节信息,检索每个行为细节信息在历史行为中出现的频率及时间节点信息,完成新行为与历史行为的比对,将文字型日志数据转化为数值型向量,利用转化为数值型向量的历史行为日志数据构建用户行为模型;
步骤3:根据行为间的时间间隔将解析后的历史行为日志数据划分为不同的行为短序列,将划分好的行为短序列根据相似性聚类,将同一类中的短序列定义为同一业务状态,用类名称代替该类中的所有短序列作为观测变量,利用观测变量训练隐马尔可夫模型,通过隐马尔可夫模型预测观测变量对应的隐藏的业务状态,进行业务状态间的转移预测,进而预测业务状态间的转移概率;
步骤4:通过用户行为模型得到行为的异常得分,通过行为的异常得分及企业内部用户历史行为日志数据中各个业务逻辑的状态转移概率计算新行为序列的异常得分,判定新行为序列是否异常。
进一步地,所述行为包括:登录活动、外部设备访问活动、电子邮件收发活动、网页浏览活动及文件读写活动。
进一步地,所述用户历史行为日志数据包括:登录活动数据、外部设备访问活动数据、电子邮件收发活动数据、网页浏览活动数据及文件读写活动数据。
进一步地,所述五元组为<timestamp,userid,deviceid,activity,attribute>,其中,timestamp、userid、deviceid、activity、attribute为五元组对应的行为细节信息;timestamp为时间戳,userid为用户ID,deviceid为设备ID,activity为活动名称,attribute为活动属性。
进一步地,所述进行不同的处理包括:
在电子邮件发送活动中,将收件人信息加入活动属性;在电子邮件接收活动中,将发件人信息加入活动属性;
在文件读写活动中,将路径和文件名加入活动属性;
在网页浏览活动中,将URL信息加入活动属性;
登录活动和外部设备访问活动不包含属性数据,将活动属性设为空。
进一步地,所述利用转化为数值型向量的历史行为日志数据构建用户行为模型包括:将转化为数值型向量的同一用户的历史行为日志数据按发生的时间顺序进行排序,以固定的时间窗口划分为不同的行为块,利用每一个行为块中的转化为数值型向量的历史行为日志数据训练非监督学习模型,得到多个分类器,所述非监督学习模型为一分类支持向量机;保存时间最近的v个数据块形成的分类器集合M={M1,M2,…,Mv},构成非监督模型集群,所述非监督模型集群即为用户行为模型。
进一步地,所述步骤4包括:
步骤4.1:通过用户行为模型得到行为的异常得分,所述行为的异常得分为非监督模型集群中的所有分类器的平均值;
步骤4.2:通过行为的异常得分及历史行为日志数据中各个业务逻辑的状态转移概率计算新行为序列的异常得分,计算新行为序列的异常得分:
Figure BDA0001687734260000031
S为新行为序列{a21,a22,…,a2m}的异常得分,S∈(0,1),且S的值越小,新行为序列的异常程度越高;行为序列{a11,a12,…,a1n}构成观测状态x1,x1对应隐藏的业务状态y1,P12表示隐藏的业务状态y1向y2转移的概率;si为行为a2i的异常得分,i∈[1,m];
步骤4.3:根据历史行为异常得分设定异常得分阈值,根据新行为序列的异常得分S和异常得分阈值判定新行为序列是否异常,当S小于异常得分阈值时,判定为异常行为,向企业内部安全运维人员发出警报信息;当S大于异常得分阈值时,判定为正常行为,将当前行为日志数据存储至全文搜索引擎数据库,以更新用户行为模型。
企业内部用户异常行为检测装置,包括:
行为日志获取和预处理模块,用于将企业内部用户的历史行为日志数据按照用户ID划分为不同的数据流,针对不同行为对应的历史行为日志数据,在解析过程中,进行不同的处理,将每条历史行为日志数据解析为一个五元组;
行为细节建模模块,用于为解析后的历史行为日志数据建立索引,存储到全文搜索引擎数据库中,作为初始搜索的基础数据,当接收到新的行为日志数据时,通过搜索新的行为日志数据对应的五元组提取对应的行为细节信息,检索每个行为细节信息在历史行为中出现的频率及时间节点信息,完成新行为与历史行为的比对,将文字型日志数据转化为数值型向量,利用转化为数值型向量的历史行为日志数据构建用户行为模型;
业务状态转移预测模块,用于根据行为间的时间间隔将解析后的历史行为日志数据划分为不同的行为短序列,将划分好的行为短序列根据相似性聚类,将同一类中的短序列定义为同一业务状态,用类名称代替该类中的所有短序列作为观测变量,利用观测变量训练隐马尔可夫模型,通过隐马尔可夫模型预测观测变量对应的隐藏的业务状态,进行业务状态间的转移预测,进而预测业务状态间的转移概率;
恶意行为评分判别模块,用于通过用户行为模型得到行为的异常得分,通过行为的异常得分及企业内部用户历史行为日志数据中各个业务逻辑的状态转移概率计算新行为序列的异常得分,判定新行为序列是否异常。
进一步地,所述行为日志获取和预处理模块具体还用于:
在电子邮件发送活动中,将收件人信息加入活动属性;在电子邮件接收活动中,将发件人信息加入活动属性;
在文件读写活动中,将路径和文件名加入活动属性;
在网页浏览活动中,将URL信息加入活动属性;
登录活动和外部设备访问活动不包含属性数据,将活动属性设为空。
进一步地,所述行为细节建模模块具体还用于:
将转化为数值型向量的同一用户的历史行为日志数据按发生的时间顺序进行排序,以固定的时间窗口划分为不同的行为块,利用每一个行为块中的转化为数值型向量的历史行为日志数据训练非监督学习模型,得到多个分类器,所述非监督学习模型为一分类支持向量机;保存时间最近的v个数据块形成的分类器集合M={M1,M2,…,Mv},构成非监督模型集群,所述非监督模型集群即为用户行为模型。
进一步地,所述恶意行为评分判别模块包括:
行为异常得分获得模块,用于通过用户行为模型得到行为的异常得分,所述行为的异常得分为非监督模型集群中的所有分类器的平均值;
新行为异常程度判定模块,用于通过行为的异常得分及历史行为日志数据中各个业务逻辑的状态转移概率计算新行为序列的异常得分,计算新行为序列的异常得分:
Figure BDA0001687734260000041
S为新行为序列{a21,a22,…,a2m}的异常得分,S∈(0,1),且S的值越小,新行为序列的异常程度越高;行为序列{a11,a12,…,a1n}构成观测状态x1,x1对应隐藏的业务状态y1,P12表示隐藏的业务状态y1向y2转移的概率;si为行为a2i的异常得分,i∈[1,m];
异常行为判断模块,用于根据历史行为异常得分设定异常得分阈值,根据新行为序列的异常得分S和异常得分阈值判定新行为序列是否异常,当S小于异常得分阈值时,判定为异常行为,向企业内部安全运维人员发出警报信息;当S大于异常得分阈值时,判定为正常行为,将当前行为日志数据存储至全文搜索引擎数据库,以更新用户行为模型。
与现有技术相比,本发明具有的有益效果:
通过基于搜索的行为特征向量自动提取方法,免除了人工提取特征的麻烦,能够充分利用用户行为日志数据中的每一个行为细节信息,并能够从多角度确定各个行为细节信息在历史行为中的出现频率。解决了现有技术中用户行为模型细节缺失的问题。
利用集成学习的常态行为非监督机器学习建模方法,充分利用集成学习技术的优势,能够提高建模的健壮性和稳定性,有效降低了单模型中数据过拟合导致的误报、漏报问题带来的影响,并能够随着时间推移学习用户行为模型变化,实现了用户行为模型的在线更新,有效解决了单模型更新不及时带来的检测准确率降低的问题。
采用基于业务逻辑的状态转移预测方法,充分利用用户业务的有限性和稳定性,通过历史行为日志数据中各个业务状态的转移概率,预测新行为在业务状态转移时的可能性大小。该方法能够提高用户违规操作、用户身份盗用或身份伪装等问题的检测准确率。
恶意行为评分判别模块基于融合行为细节建模模块和业务状态转移预测模块的预测结果进行评分,通过学习历史行为日志数据确定评分阈值,进而判定新行为的异常程度。对于异常行为,能够及时向企业安全管理员发出报警信息,方便采取预防措施和后续的用户行为人工诊断。
本发明提高了异常行为检测的准确率,降低了误报率和漏报率,为检测企业内部威胁提供了有效手段。
附图说明
图1为本发明实施例的企业内部用户异常行为检测方法的基本流程图。
图2为本发明实施例的企业内部用户异常行为检测方法的用户活动按发生时间顺序排序流程示意图。
图3为本发明实施例的企业内部用户异常行为检测方法的评分过程流程示意图。
图4为本发明另一实施例的企业内部用户异常行为检测方法的不同用户在不同的时间间隔下活动的异常得分图。
图5为本发明实施例的企业内部用户异常行为检测方法的预测异常得分图。
图6为本发明实施例的企业内部用户异常行为检测装置的结构示意图。
图7为本发明另一实施例的企业内部用户异常行为检测装置的结构示意图。
具体实施方式
下面结合附图和具体的实施例对本发明做进一步的解释说明:
实施例一:
如图1所示,本发明的一种企业内部用户异常行为检测方法,包括以下步骤:
步骤S101:将企业内部用户的历史行为日志数据按照用户ID划分为不同的数据流,针对不同行为对应的历史行为日志数据,在解析过程中,进行不同的处理,将每条历史行为日志数据解析为一个五元组。
步骤S102:为解析后的历史行为日志数据建立索引,存储到全文搜索引擎数据库中,作为初始搜索的基础数据,当接收到新的行为日志数据时,通过搜索新的行为日志数据对应的五元组提取对应的行为细节信息,检索每个行为细节信息在历史行为中出现的频率及时间节点信息,完成新行为与历史行为的比对,将文字型日志数据转化为数值型向量,利用转化为数值型向量的历史行为日志数据构建用户行为模型。
步骤S103:根据行为间的时间间隔将解析后的历史行为日志数据划分为不同的行为短序列,将划分好的行为短序列根据相似性聚类,将同一类中的短序列定义为同一业务状态,用类名称代替该类中的所有短序列作为观测变量,利用观测变量训练隐马尔可夫模型,通过隐马尔可夫模型预测观测变量对应的隐藏的业务状态,进行业务状态间的转移预测,进而预测业务状态间的转移概率。
步骤S104:通过用户行为模型得到行为的异常得分,通过行为的异常得分及企业内部用户历史行为日志数据中各个业务逻辑的状态转移概率计算新行为序列的异常得分,判定新行为序列是否异常。
实施例二:
本发明的另一种企业内部用户异常行为检测方法,包括以下步骤:
步骤S201:将企业内部用户的历史行为日志数据按照用户ID划分为不同的数据流,针对不同行为对应的历史行为日志数据,在解析过程中,进行不同的处理,将每条历史行为日志数据解析为一个五元组;
为保证合法用户有效访问受保护资源、防止非法用户非授权访问、保留用户行为记录进行违规追查,日志分析和审计成为实现保护企业信息安全、监控内部用户行为合规性的重要手段。在审计系统中,部署在企业内部的各类传感器会不断记录用户操作行为,并生成相关日志,存储至日志服务器。用户登录、外部设备访问、电子邮件收发、网页浏览、文件读写行为,是企业审计用户行为使用的最基本数据。相比网络流量、电能消耗数据,这五类日志数据采集方便、可理解性强。
用户行为日志中包含但不限于登录(login)、外部设备访问(device)、电子邮件收发(e-mail)、网页浏览(web)、文件读写(file)这五类活动。则用户行为日志数据包括:登录活动数据、外部设备访问活动数据、电子邮件收发活动数据、网页浏览活动数据及文件读写活动数据。解析每一条数据可以得到时间戳(timestamp)、用户ID(userid)、设备ID(deviceid)、活动名称(activity),部分活动可能包含更多的信息,统称为活动属性(attribute),例如电子邮件包含收件人、发件人、邮件内容。
首先将历史行为日志数据按照用户ID划分为不同的数据流。针对不同活动的属性,在解析过程中,需要进行一定的处理。例如,在电子邮件发送活动中,将收件人信息加入活动属性;在电子邮件接收活动中,将发件人信息加入活动属性;在文件读写活动中,将路径和文件名加入活动属性;在网页浏览活动中,将URL信息加入活动属性;登录活动和外部设备访问活动不包含属性数据,将活动属性设为空(None)。
最终,每一条行为日志数据可以解析为一个5元组:
<timestamp,userid,deviceid,activity,attribute>
其中,timestamp、userid、deviceid、activity、attribute为五元组对应的行为细节信息。
步骤S202:为解析后的历史行为日志数据建立索引,存储到全文搜索引擎数据库中,作为初始搜索的基础数据,当接收到新的行为日志数据时,通过搜索新的行为日志数据对应的五元组提取对应的行为细节信息,检索每个行为细节信息在历史行为中出现的频率及时间节点信息,完成新行为与历史行为的比对,将文字型日志数据转化为数值型向量,利用转化为数值型向量的历史行为日志数据构建用户行为模型。
企业审计日志中用户行为数据本身没有分类标注,且通过人工核查的方法很难及时、准确地判断其威胁性。有监督的机器学习方法无法处理此类无标注数据。本发明充分利用搜索引擎技术的优势,通过搜索的方式,实现对用户行为日志数据的特征提取和细节补足。
全文搜索引擎技术是目前主流搜索引擎广泛应用的技术,它通过扫描文章中的每一个词,对每个词建立索引,指明该词在文章中出现的次数和位置。当用户查询时,检索程序就根据事先建立的索引进行查找,并将查找的结果即时反馈给用户。
将搜索引擎技术作为联系用户历史行为和新行为的桥梁,把用户历史行为日志数据建立索引,存储到全文搜索引擎数据库中,充当初始搜索的基础数据,当新的行为数据到来时,检索该行为中每个细节信息在历史行为中的出现的频率、时间节点信息。在充分提取行为细节信息的基础上,完成新行为与历史行为的比对工作,将文字型日志数据转化为便于机器学习算法处理的数值型向量。
例如,新行为日志中有这样一条记录,2017年10月12日08:12:10用户U在设备D上访问网页https://www.demo.com/this/is/a/test.jsp。通过步骤S201将该记录解析为五元组(2017-10-12 08:12:10,U,D,WWW_VISIT,[demo.com,this,is,a,test])。随后,搜索用户U在设备D上活动与用户U所有活动的比例,搜索07:42到08:42这个时间段内用户U在设备D上活动与用户U在设备D所有活动的比例,搜索用户U在设备D上访问网页与用户U在设备D所有活动的比例,搜索07:42到08:42这个时间段内用户U在设备D上访问网页活动与用户U在设备D所有访问网页活动的比例,搜索用户U在设备D上访问demo.com与用户U在设备D上所有网页访问活动的比例。按照上述方式,搜索五元组中所有有意义的排列组合方式与历史行为日志数据的比例,形成一个描述该行为记录的包含全细节的数值型向量。
利用集成学习的常态行为非监督机器学习建模方法,充分利用集成学习技术的优势,能够提高建模的健壮性和稳定性,有效降低了单模型中数据过拟合导致的误报、漏报问题带来的影响,并能够随着时间推移学习用户行为模型变化,实现了用户行为模型的在线更新,有效解决了单模型更新不及时带来的检测准确率降低的问题。
如附图2所示,将用户某项活动按发生的时间顺序排序,以某固定时间窗口(例如7天)为一个单位划分为不同的行为块。为能够较全面描述一段时间内的用户行为,尽量做到每一个行为块中包含用户工作日和休息日的行为日志数据。利用每一个行为块中的数据训练非监督学习模型,得到多个分类器,所述非监督学习模型为一分类支持向量机。保存时间最近的v个数据块形成的分类器集合M={M1,M2,…,Mv},构成非监督模型集群,作为用户行为模型。
步骤S203:根据行为间的时间间隔将解析后的历史行为日志数据划分为不同的行为短序列,将划分好的行为短序列根据相似性聚类,将同一类中的短序列定义为同一业务状态,用类名称代替该类中的所有短序列作为观测变量,利用观测变量训练隐马尔可夫模型,通过隐马尔可夫模型预测观测变量对应的隐藏的业务状态,进行业务状态间的转移预测,进而预测业务状态间的转移概率。
基于时间阈值的用户行为划分,将用户行为数据流根据行为间的时间间隔划分为不同的行为短序列,使用非监督的机器学习聚类方法,将相似行为短序列定义为同一业务状态,保证了用户业务状态的有限性,为后续预测状态转移概率提供数据基础。
在现实生活中,用户处理的业务流程不同,产生的行为序列也会存在差异。在进行业务切换时,用户行为的间隔时间比业务进行时的间隔时间长。基于以上情况,本发明假设相同业务状态中用户行为间隔时间Δ小于阈值θ,在业务状态发生切换时,Δ>θ。根据时间间隔阈值θ可以将用户行为序列流划分为多个具有先后顺序的短序列。
相同的业务状态,用户的行为序列应大致相同。为保证观测值的有限性,将划分好的短序列根据相似性聚类,作为一种可实施方式,采用k-means算法进行聚类,相似性函数采用Pearson相关系数。相似的短序列被聚到同一类中,于是,在进行业务状态转移预测时,可以用类名称代替该类中的所有短序列作为观测变量,X={x1,x2,…,xm},其中xi∈X表示第i时刻的观测值。
基于业务状态的转移预测,充分利用用户业务的有限性和稳定性,通过学习行为历史日志数据中各个业务状态的转移概率,预测新行为在业务状态转移时的可能性大小。该方法能够提高用户违规操作、用户身份盗用或身份伪装问题的检测准确率。
例如,利用观测变量序列训练隐马尔可夫模型,预测隐藏的业务状态变量{y1,y2,…,yn},其中yi∈Y表示第i时刻的业务状态,进而预测状态变量间的转移概率。
步骤S204:通过用户行为模型得到行为的异常得分,通过行为的异常得分及企业内部用户历史行为日志数据中各个业务逻辑的状态转移概率计算新行为序列的异常得分,判定新行为序列是否异常。
用户行为评分过程如附图3所示,图中行为序列{a11,a12,…,a1n}构成观测状态x1,x1对应隐藏的业务状态,即隐状态y1;P12表示隐状态y1向y2转移的概率;OCSVMs为非监督模型集群;当新序列{a21,a22,…,a2m}到来时,可以得到P12。对于每一个行为a2i,利用训练好的非监督模型集群可以得出该行为的异常得分si,si的值为非监督模型集群的所有分类器的平均值,i∈[1,m];最终,新行为序列的异常得分为:
Figure BDA0001687734260000091
S∈(0,1),且S的值越小,新行为序列的异常程度越高。
当隐状态y1向y2转移的概率很大,且行为序列中的活动为用户历史常做活动时,异常得分S值趋近于1。反之,当隐状态y1向y2转移的概率很小,或行为序列中出现历史罕见活动,S值趋近于0。
设定异常得分阈值,根据设定的得分阈值判定新行为是否为异常行为;当S小于异常得分阈值时,判定为异常行为,向安全运维人员发出警报信息,方便采取预防措施和后续的人工诊断,去除异常行为后,将最近时间时间窗口内的所有该用户该类活动记录训练新的非监督模型Mv+1,并将Mv+1加入到集群M中,同时剔除M1,保持M中有时间最近的v个数据块形成的分类器;判定为正常行为时,将当前行为数据存储至全文搜索引擎数据库,以更新用户行为模型。
作为一种可实施方式,选取ElasticSearch全文搜索引擎作为行为特征向量自动提取方法的技术支撑,选取一分类支持向量机作为用户行为常态建模的非监督学习分类器,选取隐马尔科夫模型作为实现基于业务逻辑的状态转移预测方法的技术方法。
ElasticSearch是一个基于Apache Lucence的开源的实时分布式搜索和分析引擎,能够以极高的速度处理大规模数据,可以实现稳定、可靠、快速的实时搜索,是当前流行的企业级搜索引擎。
随机选取某军工企业中两名因窃取机密信息离职用户的历史行为日志数据,作为验证该发明有效性的数据输入。经过事后人工分析,对两名用户的行为数据进行了分析,确认两名用户在前90天的数据中不包含攻击数据。验证过程中选取前90天的数据作为训练数据,提取正常用户行为画像,剩下410天的数据作为测试数据。测试过程中,当用户行为判定为正常后,也会被加入到正常数据中,用于充实和更新正常用户画像。
根据该企业安全分析人员介绍,用户LMP和CDH,涉及两个完全不同的内部威胁场景。用户LMP从某天开始浏览求职网站,向竞争单位发出求职申请,并在他离开公司之前,使用可移动存储设备偷窃公司数据。用户CDH登录其他用户的机器找寻机密文件信息,将找到的机密文件通过Email发送到私人邮箱中。两用户所有活动中包含的恶意行为如表1所示。
表1内部威胁场景中恶意行为信息表
Figure BDA0001687734260000101
在划分观测序列时,不同的时间间隔对序列长短、序列数量以及序列划分的有效性会产生不同的影响。为选取合理的时间间隔,保证该发明在完成部署后发挥最佳作用,在其他实验参数固定的情况下,分别对2min、5min、10min的时间间隔进行验证。图4展示了两个不同用户在不同的时间间隔下,14天活动的异常得分分布情况。可以看出,当时间间隔为2min时,序列划分数量比5min、10min时要多,且得分分布较散,此时异常得分均值分别为0.37和0.205,方差分别为0.073和0.037。时间间隔为10min时,序列数量急剧减少,一个序列中包含的活动数量增加,但当一天中用户活动数量较少时,不能很好的表现用户工作状态的转换情况,此时得分的均值分别为0.228和0.069,方差分别为0.039和0.008。综上比较,最终选择5min为合理的活动序列划分时间间隔,此时得分的均值分别为0.217和0.151,方差分别为0.027和0.034。
将5min作为活动观测序列的划分间隔,进行后续验证。用训练好的用户行为模型预测剩下的410天中的活动,得到附图5中的异常得分图。从图5可以看出,随着时间的推移,每个活动的异常得分趋于平稳,由于隐马尔可夫模型中部分隐状态的转换概率较小,图中存在少部分活动得分小于1×10-4
选取不同的得分阈值作为异常行为的评判标准,训练模型的检测效果也会有所不同,如表2所示。
表2不同阈值下系统效果表
Figure BDA0001687734260000111
在实际工作中,不同的企业对查全率和查准率的要求不同。在安全级别较高的企业中,漏报恶意行为会引起较大损失,该类企业更倾向于高查准率。一般企业中,当异常行为排查难度大时,高误报会加大安全工程师的工作量,降低正常员工的满意度和工作积极性,该类企业更倾向于高查全率。企业可以根据自身特征选择合适的得分阈值。从表2中,可以得出,用户LMP、用户CDH、整体均在得分阈值为10E-7时取得最大F1得分,F1得分是对查准率和查全率的一个有机融合,是一种常用的验证模型检测效果的指标。
实施例三:
如图6所示,本发明的一种企业内部用户异常行为检测装置,包括:
行为日志获取和预处理模块301,用于将企业内部用户的历史行为日志数据按照用户ID划分为不同的数据流,针对不同行为对应的历史行为日志数据,在解析过程中,进行不同的处理,将每条历史行为日志数据解析为一个五元组;
行为细节建模模块302,用于为解析后的历史行为日志数据建立索引,存储到全文搜索引擎数据库中,作为初始搜索的基础数据,当接收到新的行为日志数据时,通过搜索新的行为日志数据对应的五元组提取对应的行为细节信息,检索每个行为细节信息在历史行为中出现的频率及时间节点信息,完成新行为与历史行为的比对,将文字型日志数据转化为数值型向量,利用转化为数值型向量的历史行为日志数据构建用户行为模型;
业务状态转移预测模块303,用于根据行为间的时间间隔将解析后的历史行为日志数据划分为不同的行为短序列,将划分好的行为短序列根据相似性聚类,将同一类中的短序列定义为同一业务状态,用类名称代替该类中的所有短序列作为观测变量,利用观测变量训练隐马尔可夫模型,通过隐马尔可夫模型预测观测变量对应的隐藏的业务状态,进行业务状态间的转移预测,进而预测业务状态间的转移概率;
恶意行为评分判别模块304,用于通过用户行为模型得到行为的异常得分,通过行为的异常得分及企业内部用户历史行为日志数据中各个业务逻辑的状态转移概率计算新行为序列的异常得分,判定新行为序列是否异常。
实施例四:
如图7所示,本发明的另一种企业内部用户异常行为检测装置,包括:
行为日志获取和预处理模块401,用于将企业内部用户的历史行为日志数据按照用户ID划分为不同的数据流,针对不同行为对应的历史行为日志数据,在解析过程中,进行不同的处理,将每条历史行为日志数据解析为一个五元组;
行为细节建模模块402,用于为解析后的历史行为日志数据建立索引,存储到全文搜索引擎数据库中,作为初始搜索的基础数据,当接收到新的行为日志数据时,通过搜索新的行为日志数据对应的五元组提取对应的行为细节信息,检索每个行为细节信息在历史行为中出现的频率及时间节点信息,完成新行为与历史行为的比对,将文字型日志数据转化为数值型向量,利用转化为数值型向量的历史行为日志数据构建用户行为模型;
业务状态转移预测模块403,用于根据行为间的时间间隔将解析后的历史行为日志数据划分为不同的行为短序列,将划分好的行为短序列根据相似性聚类,将同一类中的短序列定义为同一业务状态,用类名称代替该类中的所有短序列作为观测变量,利用观测变量训练隐马尔可夫模型,通过隐马尔可夫模型预测观测变量对应的隐藏的业务状态,进行业务状态间的转移预测,进而预测业务状态间的转移概率;
恶意行为评分判别模块404,用于通过用户行为模型得到行为的异常得分,通过行为的异常得分及企业内部用户历史行为日志数据中各个业务逻辑的状态转移概率计算新行为序列的异常得分,判定新行为序列是否异常。
所述行为日志获取和预处理模块401具体还用于:
在电子邮件发送活动中,将收件人信息加入活动属性;在电子邮件接收活动中,将发件人信息加入活动属性;
在文件读写活动中,将路径和文件名加入活动属性;
在网页浏览活动中,将URL信息加入活动属性;
登录活动和外部设备访问活动不包含属性数据,将活动属性设为空。
所述行为细节建模模块402具体还用于:
将转化为数值型向量的同一用户的历史行为日志数据按发生的时间顺序进行排序,以固定的时间窗口划分为不同的行为块,利用每一个行为块中的转化为数值型向量的历史行为日志数据训练非监督学习模型,得到多个分类器,所述非监督学习模型为一分类支持向量机;保存时间最近的v个数据块形成的分类器集合M={M1,M2,…,Mv},构成非监督模型集群,所述非监督模型集群即为用户行为模型。
所述恶意行为评分判别模块404包括:
行为异常得分获得模块4041,用于通过用户行为模型得到行为的异常得分,所述行为的异常得分为非监督模型集群中的所有分类器的平均值;
新行为异常程度判定模块4042,用于通过行为的异常得分及历史行为日志数据中各个业务逻辑的状态转移概率计算新行为序列的异常得分,计算新行为序列的异常得分:
Figure BDA0001687734260000131
S为新行为序列{a21,a22,…,a2m}的异常得分,S∈(0,1),且S的值越小,新行为序列的异常程度越高;行为序列{a11,a12,…,a1n}构成观测状态x1,x1对应隐藏的业务状态y1,P12表示隐藏的业务状态y1向y2转移的概率;si为行为a2i的异常得分,i∈[1,m];
异常行为判断模块4043,用于根据历史行为异常得分设定异常得分阈值,根据新行为序列的异常得分S和异常得分阈值判定新行为序列是否异常,当S小于异常得分阈值时,判定为异常行为,向企业内部安全运维人员发出警报信息;当S大于异常得分阈值时,判定为正常行为,将当前行为日志数据存储至全文搜索引擎数据库,以更新用户行为模型。
以上所示仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.企业内部用户异常行为检测方法,其特征在于,包括以下步骤:
步骤1:将企业内部用户的历史行为日志数据按照用户ID划分为不同的数据流,针对不同行为对应的历史行为日志数据,在解析过程中,进行不同的处理,将每条历史行为日志数据解析为一个五元组;
步骤2:为解析后的历史行为日志数据建立索引,存储到全文搜索引擎数据库中,作为初始搜索的基础数据,当接收到新的行为日志数据时,通过搜索新的行为日志数据对应的五元组提取对应的行为细节信息,检索每个行为细节信息在历史行为中出现的频率及时间节点信息,完成新行为与历史行为的比对,将文字型日志数据转化为数值型向量,利用转化为数值型向量的历史行为日志数据构建用户行为模型;
步骤3:根据行为间的时间间隔将解析后的历史行为日志数据划分为不同的行为短序列,将划分好的行为短序列根据相似性聚类,将同一类中的短序列定义为同一业务状态,用类名称代替该类中的所有短序列作为观测变量,利用观测变量训练隐马尔可夫模型,通过隐马尔可夫模型预测观测变量对应的隐藏的业务状态,进行业务状态间的转移预测,进而预测业务状态间的转移概率;
步骤4:通过用户行为模型得到行为的异常得分,通过行为的异常得分及企业内部用户历史行为日志数据中各个业务逻辑的状态转移概率计算新行为序列的异常得分,判定新行为序列是否异常。
2.根据权利要求1所述的企业内部用户异常行为检测方法,其特征在于,所述行为包括:登录活动、外部设备访问活动、电子邮件收发活动、网页浏览活动及文件读写活动。
3.根据权利要求2所述的企业内部用户异常行为检测方法,其特征在于,所述用户历史行为日志数据包括:登录活动数据、外部设备访问活动数据、电子邮件收发活动数据、网页浏览活动数据及文件读写活动数据。
4.根据权利要求1所述的企业内部用户异常行为检测方法,其特征在于,所述五元组为<timestamp,userid,deviceid,activity,attribute>,其中,timestamp、userid、deviceid、activity、attribute为五元组对应的行为细节信息;timestamp为时间戳,userid为用户ID,deviceid为设备ID,activity为活动名称,attribute为活动属性。
5.根据权利要求4所述的企业内部用户异常行为检测方法,其特征在于,所述进行不同的处理包括:
在电子邮件发送活动中,将收件人信息加入活动属性;在电子邮件接收活动中,将发件人信息加入活动属性;
在文件读写活动中,将路径和文件名加入活动属性;
在网页浏览活动中,将URL信息加入活动属性;
登录活动和外部设备访问活动不包含属性数据,将活动属性设为空。
6.根据权利要求1所述的企业内部用户异常行为检测方法,其特征在于,所述利用转化为数值型向量的历史行为日志数据构建用户行为模型包括:
将转化为数值型向量的同一用户的历史行为日志数据按发生的时间顺序进行排序,以固定的时间窗口划分为不同的行为块,利用每一个行为块中的转化为数值型向量的历史行为日志数据训练非监督学习模型,得到多个分类器,所述非监督学习模型为一分类支持向量机;保存时间最近的v个数据块形成的分类器集合M={M1,M2,…,Mv},构成非监督模型集群,所述非监督模型集群即为用户行为模型。
7.根据权利要求6所述的企业内部用户异常行为检测方法,其特征在于,所述步骤4包括:
步骤4.1:通过用户行为模型得到行为的异常得分,所述行为的异常得分为非监督模型集群中的所有分类器的平均值;
步骤4.2:通过行为的异常得分及历史行为日志数据中各个业务逻辑的状态转移概率计算新行为序列的异常得分,计算新行为序列的异常得分:
Figure FDA0002647951710000021
S为新行为序列{a21,a22,…,a2m}的异常得分,n为行为序列{a11,a12,…,a1n}中的行为个数,S∈(0,1),且S的值越小,新行为序列的异常程度越高;行为序列{a11,a12,…,a1n}构成观测状态x1,m为新行为序列{a21,a22,…,a2m}中的行为个数,x1对应隐藏的业务状态y1,y2为新行为序列{a21,a22,…,a2m}对应隐藏的业务状态,P1,2表示隐藏的业务状态y1向y2转移的概率;si为行为a2i的异常得分,i∈[1,m];
步骤4.3:根据历史行为异常得分设定异常得分阈值,根据新行为序列的异常得分S和异常得分阈值判定新行为序列是否异常,当S小于异常得分阈值时,判定为异常行为,向企业内部安全运维人员发出警报信息;当S大于异常得分阈值时,判定为正常行为,将当前行为日志数据存储至全文搜索引擎数据库,以更新用户行为模型。
8.基于权利要求1-7任一所述的企业内部用户异常行为检测方法的企业内部用户异常行为检测装置,其特征在于,包括:
行为日志获取和预处理模块,用于将企业内部用户的历史行为日志数据按照用户ID划分为不同的数据流,针对不同行为对应的历史行为日志数据,在解析过程中,进行不同的处理,将每条历史行为日志数据解析为一个五元组;
行为细节建模模块,用于为解析后的历史行为日志数据建立索引,存储到全文搜索引擎数据库中,作为初始搜索的基础数据,当接收到新的行为日志数据时,通过搜索新的行为日志数据对应的五元组提取对应的行为细节信息,检索每个行为细节信息在历史行为中出现的频率及时间节点信息,完成新行为与历史行为的比对,将文字型日志数据转化为数值型向量,利用转化为数值型向量的历史行为日志数据构建用户行为模型;
业务状态转移预测模块,用于根据行为间的时间间隔将解析后的历史行为日志数据划分为不同的行为短序列,将划分好的行为短序列根据相似性聚类,将同一类中的短序列定义为同一业务状态,用类名称代替该类中的所有短序列作为观测变量,利用观测变量训练隐马尔可夫模型,通过隐马尔可夫模型预测观测变量对应的隐藏的业务状态,进行业务状态间的转移预测,进而预测业务状态间的转移概率;
恶意行为评分判别模块,用于通过用户行为模型得到行为的异常得分,通过行为的异常得分及企业内部用户历史行为日志数据中各个业务逻辑的状态转移概率计算新行为序列的异常得分,判定新行为序列是否异常。
9.根据权利要求8所述的企业内部用户异常行为检测装置,其特征在于,所述行为日志获取和预处理模块具体还用于:
在电子邮件发送活动中,将收件人信息加入活动属性;在电子邮件接收活动中,将发件人信息加入活动属性;
在文件读写活动中,将路径和文件名加入活动属性;
在网页浏览活动中,将URL信息加入活动属性;
登录活动和外部设备访问活动不包含属性数据,将活动属性设为空。
10.根据权利要求8所述的企业内部用户异常行为检测装置,其特征在于,所述行为细节建模模块具体还用于:
将转化为数值型向量的同一用户的历史行为日志数据按发生的时间顺序进行排序,以固定的时间窗口划分为不同的行为块,利用每一个行为块中的转化为数值型向量的历史行为日志数据训练非监督学习模型,得到多个分类器,所述非监督学习模型为一分类支持向量机;保存时间最近的v个数据块形成的分类器集合M={M1,M2,…,Mv},构成非监督模型集群,所述非监督模型集群即为用户行为模型;
优选地,所述恶意行为评分判别模块包括:
行为异常得分获得模块,用于通过用户行为模型得到行为的异常得分,所述行为的异常得分为非监督模型集群中的所有分类器的平均值;
新行为异常程度判定模块,用于通过行为的异常得分及历史行为日志数据中各个业务逻辑的状态转移概率计算新行为序列的异常得分,计算新行为序列的异常得分:
Figure FDA0002647951710000041
S为新行为序列{a21,a22,…,a2m}的异常得分,n为行为序列{a11,a12,…,a1n}中的行为个数,S∈(0,1),且S的值越小,新行为序列的异常程度越高;行为序列{a11,a12,…,a1n}构成观测状态x1,m为新行为序列{a21,a22,…,a2m}中的行为个数,x1对应隐藏的业务状态y1,y2为新行为序列{a21,a22,…,a2m}对应隐藏的业务状态,P1,2表示隐藏的业务状态y1向y2转移的概率;si为行为a2i的异常得分,i∈[1,m];
异常行为判断模块,用于根据历史行为异常得分设定异常得分阈值,根据新行为序列的异常得分S和异常得分阈值判定新行为序列是否异常,当S小于异常得分阈值时,判定为异常行为,向企业内部安全运维人员发出警报信息;当S大于异常得分阈值时,判定为正常行为,将当前行为日志数据存储至全文搜索引擎数据库,以更新用户行为模型。
CN201810578123.1A 2018-06-07 2018-06-07 企业内部用户异常行为检测方法和装置 Active CN108881194B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810578123.1A CN108881194B (zh) 2018-06-07 2018-06-07 企业内部用户异常行为检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810578123.1A CN108881194B (zh) 2018-06-07 2018-06-07 企业内部用户异常行为检测方法和装置

Publications (2)

Publication Number Publication Date
CN108881194A CN108881194A (zh) 2018-11-23
CN108881194B true CN108881194B (zh) 2020-12-11

Family

ID=64337082

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810578123.1A Active CN108881194B (zh) 2018-06-07 2018-06-07 企业内部用户异常行为检测方法和装置

Country Status (1)

Country Link
CN (1) CN108881194B (zh)

Families Citing this family (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111368290B (zh) * 2018-12-26 2023-06-09 中兴通讯股份有限公司 一种数据异常检测方法、装置及终端设备
CN109617915B (zh) * 2019-01-15 2020-12-15 成都知道创宇信息技术有限公司 一种基于页面访问拓扑的异常用户挖掘方法
CN110489311B (zh) * 2019-03-01 2023-04-18 北京亿赛通科技发展有限责任公司 自动检测电脑用户行为及自动更新检测模型的方法和系统
CN110401626B (zh) * 2019-03-14 2022-02-18 腾讯科技(深圳)有限公司 一种黑客攻击分级检测方法及装置
CN110020687B (zh) * 2019-04-10 2021-11-05 北京神州泰岳软件股份有限公司 基于操作人员态势感知画像的异常行为分析方法及装置
CN110224850A (zh) * 2019-04-19 2019-09-10 北京亿阳信通科技有限公司 电信网络故障预警方法、装置及终端设备
CN110138763B (zh) * 2019-05-09 2020-12-11 中国科学院信息工程研究所 一种基于动态web浏览行为的内部威胁检测系统及方法
CN110225009B (zh) * 2019-05-27 2020-06-05 四川大学 一种基于通信行为画像的代理使用者检测方法
CN112015946B (zh) * 2019-05-30 2023-11-10 中国移动通信集团重庆有限公司 视频检测方法、装置、计算设备及计算机存储介质
CN110443274B (zh) * 2019-06-28 2024-05-07 平安科技(深圳)有限公司 异常检测方法、装置、计算机设备及存储介质
CN110493176B (zh) * 2019-07-02 2022-06-10 北京科东电力控制系统有限责任公司 一种基于非监督机器学习的用户可疑行为分析方法及系统
CN110472191B (zh) * 2019-07-02 2021-03-12 北京大学 一种动态自适应的服务评价计算方法及装置
CN110427971A (zh) * 2019-07-05 2019-11-08 五八有限公司 用户及ip的识别方法、装置、服务器和存储介质
CN110753038A (zh) * 2019-09-29 2020-02-04 武汉大学 一种异常检测自适应权限控制系统及方法
CN110677430B (zh) * 2019-10-14 2020-09-08 西安交通大学 基于网络安全设备日志数据的用户风险度评估方法和系统
CN110866030A (zh) * 2019-10-23 2020-03-06 中国科学院信息工程研究所 一种基于无监督学习的数据库异常访问检测方法
CN111090885A (zh) * 2019-12-20 2020-05-01 北京天融信网络安全技术有限公司 一种用户行为审计方法、装置、电子设备及存储介质
CN111277564B (zh) * 2020-01-08 2022-06-28 山东浪潮科学研究院有限公司 一种基于动态存储网络的企业网络异常检测方法及系统
CN111277606B (zh) * 2020-02-10 2022-04-15 北京邮电大学 检测模型训练方法、检测方法及装置、存储介质
CN111367964B (zh) * 2020-02-29 2023-11-17 上海爱数信息技术股份有限公司 一种自动解析日志的方法
CN111709765A (zh) * 2020-03-25 2020-09-25 中国电子科技集团公司电子科学研究院 一种用户画像评分方法、装置和存储介质
CN111461773B (zh) * 2020-03-27 2023-09-08 北京奇艺世纪科技有限公司 一种用户检测方法、装置及电子设备
CN111756760B (zh) * 2020-06-28 2022-11-18 深圳壹账通智能科技有限公司 基于集成分类器的用户异常行为检测方法及相关设备
CN111814436B (zh) * 2020-07-27 2023-10-17 上海观安信息技术股份有限公司 一种基于互信息和熵的用户行为序列检测方法及系统
US11496521B2 (en) 2020-08-12 2022-11-08 International Business Machines Corporation Feedback loop for security audit logs
CN112579728B (zh) * 2020-12-18 2023-04-18 成都民航西南凯亚有限责任公司 基于海量数据全文检索的行为异常识别方法及装置
CN112651019A (zh) * 2020-12-28 2021-04-13 成都网安科技发展有限公司 基于无监督学习的异常行为检测方法、装置及计算终端
CN112800666A (zh) * 2021-01-18 2021-05-14 上海派拉软件股份有限公司 日志行为分析的训练方法、身份安全风险预测方法
CN112948211A (zh) * 2021-02-26 2021-06-11 杭州安恒信息技术股份有限公司 一种基于日志处理的告警方法、装置、设备及介质
CN112966732B (zh) * 2021-03-02 2022-11-18 东华大学 具有周期属性的多因素交互行为异常检测方法
CN112995331B (zh) * 2021-03-25 2022-11-22 绿盟科技集团股份有限公司 一种用户行为威胁检测方法、装置及计算设备
CN112989332B (zh) * 2021-04-08 2024-06-11 北京安天网络安全技术有限公司 一种异常用户行为检测方法和装置
CN113259398B (zh) * 2021-07-07 2021-10-15 杭州大乘智能科技有限公司 一种基于邮件日志数据的账号安全检测方法
CN113535823B (zh) * 2021-07-26 2023-11-10 北京天融信网络安全技术有限公司 异常访问行为检测方法、装置及电子设备
CN113569949B (zh) * 2021-07-28 2024-06-21 广州博冠信息科技有限公司 异常用户识别方法及装置、电子设备和存储介质
CN113807809A (zh) * 2021-08-24 2021-12-17 姚玲 一种基于机器学习技术构建审计用户画像的方法
CN114218998A (zh) * 2021-11-02 2022-03-22 国家电网有限公司信息通信分公司 一种基于隐马尔可夫模型的电力系统异常行为分析方法
CN114363082B (zh) * 2022-01-12 2024-05-03 南昌首页科技股份有限公司 网络攻击检测方法、装置、设备及计算机可读存储介质
CN114500075B (zh) * 2022-02-11 2023-11-07 中国电信股份有限公司 用户异常行为检测方法、装置、电子设备及存储介质
CN114615034B (zh) * 2022-03-01 2023-09-29 中铁第四勘察设计院集团有限公司 业务传输的控制方法、装置、处理设备及存储介质
CN115022052B (zh) * 2022-06-07 2023-05-30 山东省计算中心(国家超级计算济南中心) 一种基于用户二元性分析的内部用户异常行为融合检测方法及系统
CN115174226B (zh) * 2022-07-05 2024-05-03 北京鉴微知著智能科技有限公司 基于人工智能和大数据的用户行为预测方法、设备、介质及产品
CN115204322B (zh) * 2022-09-16 2022-11-22 成都新希望金融信息有限公司 行为链路异常识别方法和装置
CN117614724B (zh) * 2023-12-06 2024-08-06 北京东方通科技股份有限公司 一种基于体系细粒度处理的工业互联网访问控制方法
CN117539739A (zh) * 2023-12-11 2024-02-09 国网河南省电力公司经济技术研究院 基于双特征的用户连续行为异常监测方法
CN117633787A (zh) * 2024-01-25 2024-03-01 北京安领可信网络科技有限公司 一种基于用户行为数据的安全分析方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140055829A (ko) * 2012-11-01 2014-05-09 단국대학교 산학협력단 웹 서버의 공격 탐지 방법 및 시스템
CN106339322A (zh) * 2016-09-13 2017-01-18 哈尔滨工程大学 一种基于hmm‑aco的软件行为预测的方法
CN106534212A (zh) * 2016-12-29 2017-03-22 杭州世平信息科技有限公司 基于用户行为和数据状态的自适应安全防护方法及系统
CN106789885A (zh) * 2016-11-17 2017-05-31 国家电网公司 一种大数据环境下用户异常行为检测分析方法
CN106911668A (zh) * 2017-01-10 2017-06-30 同济大学 一种基于用户行为模型的身份认证方法及系统
CN107222472A (zh) * 2017-05-26 2017-09-29 电子科技大学 一种Hadoop集群下的用户行为异常检测方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201227385A (en) * 2010-12-16 2012-07-01 Univ Nat Taiwan Science Tech Method of detecting malicious script and system thereof

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140055829A (ko) * 2012-11-01 2014-05-09 단국대학교 산학협력단 웹 서버의 공격 탐지 방법 및 시스템
CN106339322A (zh) * 2016-09-13 2017-01-18 哈尔滨工程大学 一种基于hmm‑aco的软件行为预测的方法
CN106789885A (zh) * 2016-11-17 2017-05-31 国家电网公司 一种大数据环境下用户异常行为检测分析方法
CN106534212A (zh) * 2016-12-29 2017-03-22 杭州世平信息科技有限公司 基于用户行为和数据状态的自适应安全防护方法及系统
CN106911668A (zh) * 2017-01-10 2017-06-30 同济大学 一种基于用户行为模型的身份认证方法及系统
CN107222472A (zh) * 2017-05-26 2017-09-29 电子科技大学 一种Hadoop集群下的用户行为异常检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于隐马尔可夫模型的资源滥用行为检测方法研究;王超,等;《电子学报》;20100630;第38卷(第6期);全文 *

Also Published As

Publication number Publication date
CN108881194A (zh) 2018-11-23

Similar Documents

Publication Publication Date Title
CN108881194B (zh) 企业内部用户异常行为检测方法和装置
CN106790256B (zh) 用于危险主机监测的主动机器学习系统
Eldardiry et al. Multi-domain information fusion for insider threat detection
CN107172022B (zh) 基于入侵途径的apt威胁检测方法和系统
Kotenko et al. Systematic literature review of security event correlation methods
Brynielsson et al. Analysis of weak signals for detecting lone wolf terrorists
CN105637519A (zh) 使用行为辨识系统的认知信息安全性
CN110830438A (zh) 一种异常日志告警方法、装置及电子设备
US11615326B2 (en) Digital MDR (managed detection and response) analysis
US11997122B2 (en) Systems and methods for analyzing cybersecurity events
CN117081858B (zh) 一种基于多决策树入侵行为检测方法、系统、设备及介质
Li et al. PhishBox: An approach for phishing validation and detection
CN116865994A (zh) 一种基于大数据的网络数据安全预测方法
Abinaya et al. Spam detection on social media platforms
CN113282920B (zh) 日志异常检测方法、装置、计算机设备和存储介质
CN116248362A (zh) 一种基于双层隐马尔可夫链的用户异常网络访问行为识别方法
CN118316723A (zh) 一种基于网络风险检测的网络安全评估方法及系统
CN110708296B (zh) 一种基于长时间行为分析的vpn账号失陷智能检测模型
CN110909380B (zh) 一种异常文件访问行为监控方法和装置
Xu Research on network intrusion detection method based on machine learning
CN115952492A (zh) 一种电力工控系统入侵检测方法、装置及存储介质
Liao et al. An Intelligent Cyber Threat Classification System
Sabri et al. Hybrid of rough set theory and artificial immune recognition system as a solution to decrease false alarm rate in intrusion detection system
CN114218569A (zh) 数据分析方法、装置、设备、介质和产品
Geeta et al. Big data analytics for detection of frauds in matrimonial websites

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20190604

Address after: 450000 Science Avenue 62, Zhengzhou High-tech Zone, Henan Province

Applicant after: Chinese people's Liberation Army Strategic Support Force Information Engineering University

Applicant after: Zhengzhou Xinda advanced technology research institute

Applicant after: Henan Yun Zheng Data Management Co., Ltd.

Address before: 450000 Lianhua Street, Zhengzhou High-tech Industrial Development Zone, Henan Province

Applicant before: Zhengzhou Xinda advanced technology research institute

Applicant before: Henan Yun Zheng Data Management Co., Ltd.

GR01 Patent grant
GR01 Patent grant