CN109347808A

CN109347808A - 一种基于用户群行为活动的安全分析方法

Info

Publication number: CN109347808A
Application number: CN201811120889.1A
Authority: CN
Inventors: 吴朝雄; 石波; 于冰; 郭敏; 王晓菲
Original assignee: Beijing Institute of Computer Technology and Applications
Current assignee: Beijing Institute of Computer Technology and Applications
Priority date: 2018-09-26
Filing date: 2018-09-26
Publication date: 2019-02-15
Anticipated expiration: 2038-09-26
Also published as: CN109347808B

Abstract

本发明涉及一种基于用户群行为活动的安全分析方法，涉及网络安全技术领域。本发明通过构建实体用户与应用系统用户的映射关系，形成统一的用户身份管理，为异常行为定位到个人提供基础。同时，搜集用户在网络中的行为活动信息，形成完整的用户行为活动记录，并根据历史数据进行统计分析，形成四类用户日常行为模式。依据用户行为活动“白模式”中的信息，实时分析用户行为和模式，实时研判用户行为是否属于异常行为。对不确定的用户行为活动，进行逆向用户行为分析和判断，通过深度分析线索，并结合与该用户具有相同角色和权限的用户的行为模式的对比分析结果，实现对用户行为的监测以及高危用户行为评估，从而发现数据渗透、APT攻击等行为。

Description

一种基于用户群行为活动的安全分析方法

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于用户群行为活动的安全分析方法。

背景技术

用户网络行为分析有助于用户执行正常活动基线的确立，迅速识别偏离正常行为的异常行为，采用统计学习和机器学习技术，实时分析并了解用户行为和模式，监测和评估高危用户行为。主动寻找内部威胁、检测高级的恶意软件活动、密切关注用户的行动，识别高危行为，从而达到对主机、网络、数据的安全保护，能够及时发现数据渗透、APT攻击等行为。如何针对内网用户异常行为检测、分析、研判，设计一种基于用户群网络行为的安全分析方法，成为了亟待解决的技术问题。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何针对内网用户异常行为检测、分析、研判，设计一种基于用户群网络行为的安全分析方法。

(二)技术方案

为了解决上述技术问题，本发明提供了一种基于用户群行为活动的安全分析方法，包括以下步骤：

步骤1：将网络或者系统中的应用系统用户与实体用户进行一一关联和映射；

步骤2：通过搜集用户在网络或系统中的行为活动数据，提取用于用户行为活动分析的属性信息，形成用户网络行为活动记录；

步骤3：根据用户网络行为活动记录，从访问频率、时间、访问途径、访问内容的维度，建立用户正常行为活动模式，形成用户行为活动基线库；

步骤4：用户行为活动初次判断：将用户的实时行为活动与用户行为活动基线库中的用户正常行为活动模式对比，判断当前用户行为的模式，如果符合用户正常行为活动模式，则判定为正常行为，否则预判为可疑行为模式，转入步骤5；

步骤5：用户行为逆向追踪：对预判为可疑行为模式的用户行为进行逆向追踪和分析，明确用户行为环节中各个节点状况，若判定用户行为活动为异常行为，则转入步骤8，否则转入步骤6；

步骤6：可疑行为二次判断：通过将可疑行为模式的行为活动与其他相同角色的用户行为活动进行对比分析，判断被分析的用户行为活动的是正常行为还是异常行为，若判定为异常行为，则进入步骤8，否则进入步骤7；

步骤7：根据步骤6的二次判断结果，采用LRU的方式更新用户行为活动基线库；

步骤8：根据对用户行为二次判断的结果，对异常行为进行告警，并更新异常行为库。

优选地，步骤1具体为：

在办公系统或者业务系统中，将一个实体用户对应多个应用系统用户，实体用户集用EU表示，EU＝{(eu₁,id₁)，…(eu_i,id_i)，…(eu_n,id_n)}，eu_i为实体用户i的用户名，id_i为实体用户i的唯一身份标识号，应用系统用户集用AU表示，AU＝{au₁，…au_i，…au_n}，au_i为应用系统用户i的用户名，实体用户与应用系统用户的映射关系通过统计学习的方式进行自动映射，即应用系统用户访问一次应用系统，记录应用系统用户访问系统时的应用用户名和id，id由ip地址、电子钥匙、指纹、指静脉、虹膜、视网膜之一表示，实体用户与应用系统用户的映射关系表示为：

F(EU,AU)＝{(EU，AU)|EU(id_i，eu_i)＝AU(id_i，au_j)}。

优选地，步骤2中，将Web网页浏览访问的过程分为两个阶段，第一阶段为实体用户通过浏览器访问应用系统；第二阶段为应用系统连接数据库进行数据的增、删、改、查。

优选地，步骤2具体为：

通过网络数据抓取装置，获取用户在网络或者系统中的操作行为信息，根据应用系统用户au_i在网络或系统中的行为，建立应用系统用户au_i的正常行为活动模式，应用系统访问行为数据从应用系统审计日志中提取，包括用户ip、应用系统用户ip、操作菜单名称、端口、访问途径、时间戳信息，从数据库审计日志中提取应用系统ip、数据库ip、数据库操作类型、返回结果、SQL语句信息，以应用系统ip为衔接点，将web访问过程中两个阶段的操作信息组合起来，形成一条完整的行为活动记录b；

应用系统用户au_i第j次的行为活动记录b_j表示为(au_i，b_j)＝(au_ip，sys_ip，menu，port_j，how_j，db_ip，op_j，result_j，sql_j，time_j)，其中，au_ip为应用系统用户ip，sys_ip为应用系统ip，menu为操作菜单名称信息、port为端口信息、how为访问途径、db_ip为数据库ip，op为数据库操作类型、result为返回结果信息、sql为SQL语句信息，time为时间戳，应用系统用户au_i的一系列web访问行为形成应用系统用户au_i的行为活动记录组(au_i，B)＝((au_i，b₁)…(au_i，b_j)…(au_i，b_n))。

优选地，步骤3中建立的用户正常行为活动模式包括以下几类：

模式1：基于单位时间访问频率的行为活动模式

在单位时间内，采用动态规划算法，在应用系统用户au_i的行为活动记录组中，统计(au_i，B)中具有相同sys_ip的(au_i，b_j)的数量，从而得到应用系统用户au_i在单位时间内应用系统sys_ip的最大频次，形成访问频率的行为活动模式B¹：

(au_i,B¹)＝(au_ip，sys_ip，count)

(au_i,B¹)的行为活动模式表示应用系统用户au_i在单位时间范围内对应用系统sys_ip的最大访问次数不高于count次；

模式2：基于时间段的访问模式

在应用系统用户au_i的行为活动记录组中，抽取(au_i，B)中time相同中的行为活动序列，然后将sys_ip，menu，db_ip信息进行聚合分析，挖掘用户au_i在每天、每月、每年同时段的访问行为习惯，形成行为活动模式B²：

(au_i,B²)＝(au_ip，sys_ip，menu，db_ip，time)

(au_i,B²)的行为活动模式表示应用系统用户au_i在日常time段，访问应用系统sys_ip以及数据库db_ip的menu菜单；

模式3：基于访问途径的行为活动模式

表示访问应用系统的途径和方式，即应用系统用户au_i只能通过合法访问方式来访问应用系统sys_ip，在历史数据中，统计分析用户访问系统的途径和方式，形成行为活动模式B³，应用系统用户通过超链接访问一系统，则：

(au_i,B³)＝(au_i，sys_ip，how)

(au_i,B³)的行为活动模式即表示应用系统用户au_i只能通过规定的how的手段访问应用系统sys_ip；

模式4：基于访问内容的行为活动模式

用户au_i对应用系统sys_ip内容的操作行为，包括文件上传、下载、增、删、改、查，形成行为行为活动模式B⁴：

(au_i,B⁴)＝(au_i，sys_ip，op，SQL，result)

(au_i,B⁴)的行为活动模式即表示应用系统用户au_i只能在应用系统sys_ip中进行op的操作；

模式5：基于活动序列的行为活动模式

用户au_i对应用系统sys_ip访问的行为活动序列，形成行为活动模式B⁵：

(au_i,B⁵)＝(au_i，sys_ip，(how₁…how_m…how_n)，(op₁，…op_m…op_t))

(au_i,B⁵)的行为活动模式即表示应用系统用户au_i通过how₁到how_m一系列的方式以及从op₁到op_t一系列的操作访问应用系统sys_ip，n、t为整数。

优选地，步骤4中，获取当前应用系统用户au_i的行为活动记录(au_i，B)与用户au_i正常行为模式(au_i,B¹)、(au_i,B²)、(au_i,B³)、(au_i,B⁴)、(au_i,B⁵)中的属性信息进行一一对比分析，如果符合用户正常行为活动模式，则判定为正常行为，否则预判为可疑行为模式，即“灰模式”行为活动，转入步骤5，对“灰模式”的用户行为活动进行逆向分析。

优选地，步骤5中，对可疑的用户行为活动进行逆向追踪和分析，一一对比用户au_i的行为活动记录(au_i，b_j)中各属性信息与用户异常行为活动库中的信息，如果在操作类型、访问内容、访问途径、访问方式方面的任一信息一致，则可判定用户行为活动为异常行为，转入步骤8，否则转入步骤6。

优选地，步骤6中，用户可疑行为二次判断采用如下方式：在用户集合AU中找出与au_i具有相同权限和角色的用户au_j’(j’＝1,2…n且j’！＝i)，将用户au_i的行为活动记录组(au_i，B_i)与au_j’的行为活动记录组(au_j’，B_j’)逐一对比，如果在访问路径、访问内容、访问系统名称任一内容上相同，或者访问频次不高于所有具有相同权限和角色的用户au中的频次时，则按照au_j’的行为对au_i的行为进行定性，确定为正常访问行为，进入步骤7，如果均不符合，则判定为异常行为，转入步骤8。

(三)有益效果

本发明通过构建实体用户与应用系统用户的映射关系，形成统一的用户身份管理，为异常行为定位到个人提供基础。同时，搜集用户在网络中的行为活动信息，形成完整的用户行为活动记录，并根据历史数据进行统计分析，形成四类用户日常行为模式，即用户行为活动“白模式”。依据用户行为活动“白模式”中的信息，实时分析用户行为和模式，实时研判用户行为是否属于异常行为。对不确定的用户行为活动，进行逆向用户行为分析和判断，通过深度分析线索，并结合与该用户具有相同角色和权限的用户的行为模式的对比分析结果，实现对用户行为的监测以及高危用户行为评估，从而发现数据渗透、APT攻击等行为。同时，采用基于LRU的方法更新用户的行为活动行为模式库，确保用户正常行为模式库的及时更新。

附图说明

图1为本发明的方法流程图；

图2为Web网页浏览访问过程示意图。

具体实施方式

为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

参考图1，本发明提供的一种基于用户群网络行为的安全分析方法包括以下步骤：

步骤1：实体用户与应用系统用户关系映射。在办公系统或者业务系统中，一个实体用户可对应多个应用系统用户，如，实体用户A在财务系统中对应的应用系统用户为a₁，在邮件系统中的对应的应用系统用户为a₂。实体用户集用EU表示，EU＝{(eu₁,id₁)，…(eu_i,id_i)，…(eu_n,id_n)}，eu_i为实体用户i的用户名，id_i为实体用户i的唯一身份标识号，应用系统用户集用AU表示，AU＝{au₁，…au_i，…au_n}，au_i为应用系统用户i的用户名。实体用户与应用系统用户的映射关系通过统计学习的方式进行自动映射，即应用系统用户访问一次应用系统，记录应用系统用户访问系统时的应用用户名和id，id由ip地址、电子钥匙、指纹、指静脉、虹膜、视网膜等表示。实体用户与应用系统用户的映射关系表示为：

F(EU,AU)＝{(EU，AU)|EU(id_i，eu_i)＝AU(id_i，au_j)}

步骤2：用户行为活动记录生成。Web网页浏览访问的一般过程分为两个阶段，第一阶段为实体用户通过浏览器访问应用系统；第二阶段为应用系统连接数据库进行数据的增、删、改、查等。如图2所示。

通过网络数据抓取装置，获取用户在网络或者系统中的操作行为信息。根据应用系统用户au_i在网络或系统中的行为，建立应用系统用户au_i的正常行为活动模式。应用系统访问行为数据从应用系统审计日志中提取，包括用户ip、应用系统用户ip、操作菜单名称、端口、访问途径、时间戳等信息，从数据库审计日志中提取应用系统ip、数据库ip、数据库操作类型、返回结果、SQL语句等信息，以应用系统ip为衔接点，将web访问过程中两个阶段的操作信息组合起来，形成一条完整的行为活动记录b。

应用系统用户au_i第j次的行为活动记录b_j表示为(au_i，b_j)＝(au_ip，sys_ip，menu，port_j，how_j，db_ip，op_j，result_j，sql_j，time_j)。其中，au_ip为应用系统用户ip，sys_ip为应用系统ip，menu为操作菜单名称信息、port为端口信息、how为访问途径、db_ip为数据库ip，op为数据库操作类型、result为返回结果信息、sql为SQL语句信息，time为时间戳。应用系统用户au_i的一系列web访问行为形成了应用系统用户au_i的行为活动记录组(au_i，B)＝((au_i，b₁)…(au_i，b_j)…(au_i，b_n))。

步骤3：用户行为活动模式建立。采用基于访问频率、时间、访问途径、访问内容的统计分析方法建立用户正常行为活动模式，形成用户行为活动基线库。建立的用户正常行为活动模式包括以下几类：

模式1：基于单位时间访问频率的行为活动模式。在单位时间内，采用动态规划算法，在应用系统用户au_i的行为活动记录组中，统计(au_i，B)中具有相同sys_ip的(au_i，b_j)的数量，从而得到应用系统用户au_i在单位时间内应用系统sys_ip的最大频次，形成访问频率的行为活动模式B¹：

(au_i,B¹)＝(au_ip，sys_ip，count)

(au_i,B¹)的行为活动模式表示应用系统用户au_i在单位时间范围内对应用系统sys_ip的最大访问次数不高于count次。

模式2：基于时间段的访问模式。在应用系统用户au_i的行为活动记录组中，抽取(au_i，B)中time相同中的行为活动序列，然后将sys_ip，menu，db_ip信息进行聚合分析，挖掘用户au_i在每天、每月、每年同时段的访问行为习惯，形成行为活动模式B²：

(au_i,B²)＝(au_ip，sys_ip，menu，db_ip，time)

(au_i,B²)的行为活动模式表示应用系统用户au_i在日常time段，访问应用系统sys_ip以及数据库db_ip的menu菜单。

模式3：基于访问途径的行为活动模式。表示访问应用系统的途径和方式。即应用系统用户au_i只能通过合法访问方式来访问应用系统sys_ip。在历史数据中，统计分析用户访问系统的途径和方式，形成行为活动模式B³，如，应用系统用户通过超链接访问某系统：

(au_i,B³)＝(au_i，sys_ip，how)

(au_i,B³)的行为活动模式即表示应用系统用户au_i只能通过规定的how的手段访问应用系统sys_ip。

模式4：基于访问内容的行为活动模式。用户au_i对应用系统sys_ip内容的操作行为，包括文件上传、下载、增、删、改、查等。形成行为行为活动模式B⁴：

(au_i,B⁴)＝(au_i，sys_ip，op，SQL，result)

(au_i,B⁴)的行为活动模式即表示应用系统用户au_i只能在应用系统sys_ip中进行op的操作。

模式5：基于活动序列的行为活动模式。用户au_i对应用系统sys_ip访问的行为活动序列。形成行为活动模式B⁵：

步骤4：用户行为活动初次判断。获取当前应用系统用户au_i的行为活动记录(au_i，B)与用户au_i正常行为模式(au_i,B¹)、(au_i,B²)、(au_i,B³)、(au_i,B⁴)、(au_i,B⁵)中的属性信息进行一一对比分析，如果符合用户正常行为活动模式，则判定为正常行为，否则预判为可疑行为模式，即“灰模式”行为活动，转入步骤5，对“灰模式”的用户行为活动进行逆向分析。

步骤5：用户行为活动逆向分析。对可疑的用户行为活动进行逆向追踪和分析，一一对比用户au_i的行为活动记录(au_i，b_j)中各属性信息与用户异常行为活动库中的信息，如果在操作类型、访问内容、访问途径、访问方式等方面的任一信息一致，则可判定用户行为活动为“黑模式”，转入步骤8，否则转入步骤6。

步骤6：可疑行为二次判断。用户可疑行为二次判断可采用如下方式：在用户集合AU中找出与au_i具有相同权限和角色的用户au_j’(j’＝1,2…n且j’！＝i)，将用户au_i的行为活动记录组(au_i，B_i)与au_j’的行为活动记录组(au_j’，B_j’)逐一对比，如果在访问路径、访问内容、访问系统名称等任一内容上相同，或者访问频次不高于所有具有相同权限和角色的用户au中的频次时，则按照au_j’的行为对au_i的行为进行定性，确定为正常访问行为，进入步骤7，如果均不符合，则判定为异常行为，转入步骤8。

步骤7：采用基于LRU的方法动态更新用户行为活动基线库。基于步骤3中的四种行为模式，采用LRU的方式，对用户行为活动基线库进行更新，形成最新的用户行为活动基线库。

步骤8：产生告警。判断用户行为为异常行为时，产生告警，并通过步骤1中F(EU,AU)的对应关系，直接定位到实体用户AU的违规行为，同时，启动告警处置装备，对告警信息进行处理，并更新用户异常行为活动库。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims

1.一种基于用户群行为活动的安全分析方法，其特征在于，包括以下步骤：

2.如权利要求1所述的方法，其特征在于，步骤1具体为：在办公系统或者业务系统中，将一个实体用户对应多个应用系统用户，实体用户集用EU表示，EU＝{(eu₁,id₁)，…(eu_i,id_i)，…(eu_n,id_n)}，eu_i为实体用户i的用户名，id_i为实体用户i的唯一身份标识号，应用系统用户集用AU表示，AU＝{au₁，…au_i，…au_n}，au_i为应用系统用户i的用户名，实体用户与应用系统用户的映射关系通过统计学习的方式进行自动映射，即应用系统用户访问一次应用系统，记录应用系统用户访问系统时的应用用户名和id，id由ip地址、电子钥匙、指纹、指静脉、虹膜、视网膜之一表示，实体用户与应用系统用户的映射关系表示为：

F(EU,AU)＝{(EU，AU)|EU(id_i，eu_i)＝AU(id_i，au_j)}。

3.如权利要求1所述的方法，其特征在于，步骤2中，将Web网页浏览访问的过程分为两个阶段，第一阶段为实体用户通过浏览器访问应用系统；第二阶段为应用系统连接数据库进行数据的增、删、改、查。

4.如权利要求2所述的方法，其特征在于，步骤2具体为：

5.如权利要求4所述的方法，其特征在于，步骤3中建立的用户正常行为活动模式包括以下几类：

模式1：基于单位时间访问频率的行为活动模式

(au_i,B¹)＝(au_ip，sys_ip，count)

模式2：基于时间段的访问模式

(au_i,B²)＝(au_ip，sys_ip，menu，db_ip，time)

模式3：基于访问途径的行为活动模式

(au_i,B³)＝(au_i，sys_ip，how)

模式4：基于访问内容的行为活动模式

(au_i,B⁴)＝(au_i，sys_ip，op，SQL，result)

模式5：基于活动序列的行为活动模式

6.如权利要求5所述的方法，其特征在于，步骤4中，获取当前应用系统用户au_i的行为活动记录(au_i，B)与用户au_i正常行为模式(au_i,B¹)、(au_i,B²)、(au_i,B³)、(au_i,B⁴)、(au_i,B⁵)中的属性信息进行一一对比分析，如果符合用户正常行为活动模式，则判定为正常行为，否则预判为可疑行为模式，即“灰模式”行为活动，转入步骤5，对“灰模式”的用户行为活动进行逆向分析。

7.如权利要求6所述的方法，其特征在于，步骤5中，对可疑的用户行为活动进行逆向追踪和分析，一一对比用户au_i的行为活动记录(au_i，b_j)中各属性信息与用户异常行为活动库中的信息，如果在操作类型、访问内容、访问途径、访问方式方面的任一信息一致，则可判定用户行为活动为异常行为，转入步骤8，否则转入步骤6。

8.如权利要求7所述的方法，其特征在于，步骤6中，用户可疑行为二次判断采用如下方式：在用户集合AU中找出与au_i具有相同权限和角色的用户au_j’(j’＝1,2…n且j’！＝i)，将用户au_i的行为活动记录组(au_i，B_i)与au_j’的行为活动记录组(au_j’，B_j’)逐一对比，如果在访问路径、访问内容、访问系统名称任一内容上相同，或者访问频次不高于所有具有相同权限和角色的用户au中的频次时，则按照au_j’的行为对au_i的行为进行定性，确定为正常访问行为，进入步骤7，如果均不符合，则判定为异常行为，转入步骤8。