CN109347808A - 一种基于用户群行为活动的安全分析方法 - Google Patents
一种基于用户群行为活动的安全分析方法 Download PDFInfo
- Publication number
- CN109347808A CN109347808A CN201811120889.1A CN201811120889A CN109347808A CN 109347808 A CN109347808 A CN 109347808A CN 201811120889 A CN201811120889 A CN 201811120889A CN 109347808 A CN109347808 A CN 109347808A
- Authority
- CN
- China
- Prior art keywords
- user
- application system
- mode
- access
- activity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
Abstract
本发明涉及一种基于用户群行为活动的安全分析方法,涉及网络安全技术领域。本发明通过构建实体用户与应用系统用户的映射关系,形成统一的用户身份管理,为异常行为定位到个人提供基础。同时,搜集用户在网络中的行为活动信息,形成完整的用户行为活动记录,并根据历史数据进行统计分析,形成四类用户日常行为模式。依据用户行为活动“白模式”中的信息,实时分析用户行为和模式,实时研判用户行为是否属于异常行为。对不确定的用户行为活动,进行逆向用户行为分析和判断,通过深度分析线索,并结合与该用户具有相同角色和权限的用户的行为模式的对比分析结果,实现对用户行为的监测以及高危用户行为评估,从而发现数据渗透、APT攻击等行为。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于用户群行为活动的安全分析方法。
背景技术
用户网络行为分析有助于用户执行正常活动基线的确立,迅速识别偏离正常行为的异常行为,采用统计学习和机器学习技术,实时分析并了解用户行为和模式,监测和评估高危用户行为。主动寻找内部威胁、检测高级的恶意软件活动、密切关注用户的行动,识别高危行为,从而达到对主机、网络、数据的安全保护,能够及时发现数据渗透、APT攻击等行为。如何针对内网用户异常行为检测、分析、研判,设计一种基于用户群网络行为的安全分析方法,成为了亟待解决的技术问题。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何针对内网用户异常行为检测、分析、研判,设计一种基于用户群网络行为的安全分析方法。
(二)技术方案
为了解决上述技术问题,本发明提供了一种基于用户群行为活动的安全分析方法,包括以下步骤:
步骤1:将网络或者系统中的应用系统用户与实体用户进行一一关联和映射;
步骤2:通过搜集用户在网络或系统中的行为活动数据,提取用于用户行为活动分析的属性信息,形成用户网络行为活动记录;
步骤3:根据用户网络行为活动记录,从访问频率、时间、访问途径、访问内容的维度,建立用户正常行为活动模式,形成用户行为活动基线库;
步骤4:用户行为活动初次判断:将用户的实时行为活动与用户行为活动基线库中的用户正常行为活动模式对比,判断当前用户行为的模式,如果符合用户正常行为活动模式,则判定为正常行为,否则预判为可疑行为模式,转入步骤5;
步骤5:用户行为逆向追踪:对预判为可疑行为模式的用户行为进行逆向追踪和分析,明确用户行为环节中各个节点状况,若判定用户行为活动为异常行为,则转入步骤8,否则转入步骤6;
步骤6:可疑行为二次判断:通过将可疑行为模式的行为活动与其他相同角色的用户行为活动进行对比分析,判断被分析的用户行为活动的是正常行为还是异常行为,若判定为异常行为,则进入步骤8,否则进入步骤7;
步骤7:根据步骤6的二次判断结果,采用LRU的方式更新用户行为活动基线库;
步骤8:根据对用户行为二次判断的结果,对异常行为进行告警,并更新异常行为库。
优选地,步骤1具体为:
在办公系统或者业务系统中,将一个实体用户对应多个应用系统用户,实体用户集用EU表示,EU={(eu1,id1),…(eui,idi),…(eun,idn)},eui为实体用户i的用户名,idi为实体用户i的唯一身份标识号,应用系统用户集用AU表示,AU={au1,…aui,…aun},aui为应用系统用户i的用户名,实体用户与应用系统用户的映射关系通过统计学习的方式进行自动映射,即应用系统用户访问一次应用系统,记录应用系统用户访问系统时的应用用户名和id,id由ip地址、电子钥匙、指纹、指静脉、虹膜、视网膜之一表示,实体用户与应用系统用户的映射关系表示为:
F(EU,AU)={(EU,AU)|EU(idi,eui)=AU(idi,auj)}。
优选地,步骤2中,将Web网页浏览访问的过程分为两个阶段,第一阶段为实体用户通过浏览器访问应用系统;第二阶段为应用系统连接数据库进行数据的增、删、改、查。
优选地,步骤2具体为:
通过网络数据抓取装置,获取用户在网络或者系统中的操作行为信息,根据应用系统用户aui在网络或系统中的行为,建立应用系统用户aui的正常行为活动模式,应用系统访问行为数据从应用系统审计日志中提取,包括用户ip、应用系统用户ip、操作菜单名称、端口、访问途径、时间戳信息,从数据库审计日志中提取应用系统ip、数据库ip、数据库操作类型、返回结果、SQL语句信息,以应用系统ip为衔接点,将web访问过程中两个阶段的操作信息组合起来,形成一条完整的行为活动记录b;
应用系统用户aui第j次的行为活动记录bj表示为(aui,bj)=(auip,sysip,menu,portj,howj,dbip,opj,resultj,sqlj,timej),其中,auip为应用系统用户ip,sysip为应用系统ip,menu为操作菜单名称信息、port为端口信息、how为访问途径、dbip为数据库ip,op为数据库操作类型、result为返回结果信息、sql为SQL语句信息,time为时间戳,应用系统用户aui的一系列web访问行为形成应用系统用户aui的行为活动记录组(aui,B)=((aui,b1)…(aui,bj)…(aui,bn))。
优选地,步骤3中建立的用户正常行为活动模式包括以下几类:
模式1:基于单位时间访问频率的行为活动模式
在单位时间内,采用动态规划算法,在应用系统用户aui的行为活动记录组中,统计(aui,B)中具有相同sysip的(aui,bj)的数量,从而得到应用系统用户aui在单位时间内应用系统sysip的最大频次,形成访问频率的行为活动模式B1:
(aui,B1)=(auip,sysip,count)
(aui,B1)的行为活动模式表示应用系统用户aui在单位时间范围内对应用系统sysip的最大访问次数不高于count次;
模式2:基于时间段的访问模式
在应用系统用户aui的行为活动记录组中,抽取(aui,B)中time相同中的行为活动序列,然后将sysip,menu,dbip信息进行聚合分析,挖掘用户aui在每天、每月、每年同时段的访问行为习惯,形成行为活动模式B2:
(aui,B2)=(auip,sysip,menu,dbip,time)
(aui,B2)的行为活动模式表示应用系统用户aui在日常time段,访问应用系统sysip以及数据库dbip的menu菜单;
模式3:基于访问途径的行为活动模式
表示访问应用系统的途径和方式,即应用系统用户aui只能通过合法访问方式来访问应用系统sysip,在历史数据中,统计分析用户访问系统的途径和方式,形成行为活动模式B3,应用系统用户通过超链接访问一系统,则:
(aui,B3)=(aui,sysip,how)
(aui,B3)的行为活动模式即表示应用系统用户aui只能通过规定的how的手段访问应用系统sysip;
模式4:基于访问内容的行为活动模式
用户aui对应用系统sysip内容的操作行为,包括文件上传、下载、增、删、改、查,形成行为行为活动模式B4:
(aui,B4)=(aui,sysip,op,SQL,result)
(aui,B4)的行为活动模式即表示应用系统用户aui只能在应用系统sysip中进行op的操作;
模式5:基于活动序列的行为活动模式
用户aui对应用系统sysip访问的行为活动序列,形成行为活动模式B5:
(aui,B5)=(aui,sysip,(how1…howm…hown),(op1,…opm…opt))
(aui,B5)的行为活动模式即表示应用系统用户aui通过how1到howm一系列的方式以及从op1到opt一系列的操作访问应用系统sysip,n、t为整数。
优选地,步骤4中,获取当前应用系统用户aui的行为活动记录(aui,B)与用户aui正常行为模式(aui,B1)、(aui,B2)、(aui,B3)、(aui,B4)、(aui,B5)中的属性信息进行一一对比分析,如果符合用户正常行为活动模式,则判定为正常行为,否则预判为可疑行为模式,即“灰模式”行为活动,转入步骤5,对“灰模式”的用户行为活动进行逆向分析。
优选地,步骤5中,对可疑的用户行为活动进行逆向追踪和分析,一一对比用户aui的行为活动记录(aui,bj)中各属性信息与用户异常行为活动库中的信息,如果在操作类型、访问内容、访问途径、访问方式方面的任一信息一致,则可判定用户行为活动为异常行为,转入步骤8,否则转入步骤6。
优选地,步骤6中,用户可疑行为二次判断采用如下方式:在用户集合AU中找出与aui具有相同权限和角色的用户auj’(j’=1,2…n且j’!=i),将用户aui的行为活动记录组(aui,Bi)与auj’的行为活动记录组(auj’,Bj’)逐一对比,如果在访问路径、访问内容、访问系统名称任一内容上相同,或者访问频次不高于所有具有相同权限和角色的用户au中的频次时,则按照auj’的行为对aui的行为进行定性,确定为正常访问行为,进入步骤7,如果均不符合,则判定为异常行为,转入步骤8。
(三)有益效果
本发明通过构建实体用户与应用系统用户的映射关系,形成统一的用户身份管理,为异常行为定位到个人提供基础。同时,搜集用户在网络中的行为活动信息,形成完整的用户行为活动记录,并根据历史数据进行统计分析,形成四类用户日常行为模式,即用户行为活动“白模式”。依据用户行为活动“白模式”中的信息,实时分析用户行为和模式,实时研判用户行为是否属于异常行为。对不确定的用户行为活动,进行逆向用户行为分析和判断,通过深度分析线索,并结合与该用户具有相同角色和权限的用户的行为模式的对比分析结果,实现对用户行为的监测以及高危用户行为评估,从而发现数据渗透、APT攻击等行为。同时,采用基于LRU的方法更新用户的行为活动行为模式库,确保用户正常行为模式库的及时更新。
附图说明
图1为本发明的方法流程图;
图2为Web网页浏览访问过程示意图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
参考图1,本发明提供的一种基于用户群网络行为的安全分析方法包括以下步骤:
步骤1:实体用户与应用系统用户关系映射。在办公系统或者业务系统中,一个实体用户可对应多个应用系统用户,如,实体用户A在财务系统中对应的应用系统用户为a1,在邮件系统中的对应的应用系统用户为a2。实体用户集用EU表示,EU={(eu1,id1),…(eui,idi),…(eun,idn)},eui为实体用户i的用户名,idi为实体用户i的唯一身份标识号,应用系统用户集用AU表示,AU={au1,…aui,…aun},aui为应用系统用户i的用户名。实体用户与应用系统用户的映射关系通过统计学习的方式进行自动映射,即应用系统用户访问一次应用系统,记录应用系统用户访问系统时的应用用户名和id,id由ip地址、电子钥匙、指纹、指静脉、虹膜、视网膜等表示。实体用户与应用系统用户的映射关系表示为:
F(EU,AU)={(EU,AU)|EU(idi,eui)=AU(idi,auj)}
步骤2:用户行为活动记录生成。Web网页浏览访问的一般过程分为两个阶段,第一阶段为实体用户通过浏览器访问应用系统;第二阶段为应用系统连接数据库进行数据的增、删、改、查等。如图2所示。
通过网络数据抓取装置,获取用户在网络或者系统中的操作行为信息。根据应用系统用户aui在网络或系统中的行为,建立应用系统用户aui的正常行为活动模式。应用系统访问行为数据从应用系统审计日志中提取,包括用户ip、应用系统用户ip、操作菜单名称、端口、访问途径、时间戳等信息,从数据库审计日志中提取应用系统ip、数据库ip、数据库操作类型、返回结果、SQL语句等信息,以应用系统ip为衔接点,将web访问过程中两个阶段的操作信息组合起来,形成一条完整的行为活动记录b。
应用系统用户aui第j次的行为活动记录bj表示为(aui,bj)=(auip,sysip,menu,portj,howj,dbip,opj,resultj,sqlj,timej)。其中,auip为应用系统用户ip,sysip为应用系统ip,menu为操作菜单名称信息、port为端口信息、how为访问途径、dbip为数据库ip,op为数据库操作类型、result为返回结果信息、sql为SQL语句信息,time为时间戳。应用系统用户aui的一系列web访问行为形成了应用系统用户aui的行为活动记录组(aui,B)=((aui,b1)…(aui,bj)…(aui,bn))。
步骤3:用户行为活动模式建立。采用基于访问频率、时间、访问途径、访问内容的统计分析方法建立用户正常行为活动模式,形成用户行为活动基线库。建立的用户正常行为活动模式包括以下几类:
模式1:基于单位时间访问频率的行为活动模式。在单位时间内,采用动态规划算法,在应用系统用户aui的行为活动记录组中,统计(aui,B)中具有相同sysip的(aui,bj)的数量,从而得到应用系统用户aui在单位时间内应用系统sysip的最大频次,形成访问频率的行为活动模式B1:
(aui,B1)=(auip,sysip,count)
(aui,B1)的行为活动模式表示应用系统用户aui在单位时间范围内对应用系统sysip的最大访问次数不高于count次。
模式2:基于时间段的访问模式。在应用系统用户aui的行为活动记录组中,抽取(aui,B)中time相同中的行为活动序列,然后将sysip,menu,dbip信息进行聚合分析,挖掘用户aui在每天、每月、每年同时段的访问行为习惯,形成行为活动模式B2:
(aui,B2)=(auip,sysip,menu,dbip,time)
(aui,B2)的行为活动模式表示应用系统用户aui在日常time段,访问应用系统sysip以及数据库dbip的menu菜单。
模式3:基于访问途径的行为活动模式。表示访问应用系统的途径和方式。即应用系统用户aui只能通过合法访问方式来访问应用系统sysip。在历史数据中,统计分析用户访问系统的途径和方式,形成行为活动模式B3,如,应用系统用户通过超链接访问某系统:
(aui,B3)=(aui,sysip,how)
(aui,B3)的行为活动模式即表示应用系统用户aui只能通过规定的how的手段访问应用系统sysip。
模式4:基于访问内容的行为活动模式。用户aui对应用系统sysip内容的操作行为,包括文件上传、下载、增、删、改、查等。形成行为行为活动模式B4:
(aui,B4)=(aui,sysip,op,SQL,result)
(aui,B4)的行为活动模式即表示应用系统用户aui只能在应用系统sysip中进行op的操作。
模式5:基于活动序列的行为活动模式。用户aui对应用系统sysip访问的行为活动序列。形成行为活动模式B5:
(aui,B5)=(aui,sysip,(how1…howm…hown),(op1,…opm…opt))
(aui,B5)的行为活动模式即表示应用系统用户aui通过how1到howm一系列的方式以及从op1到opt一系列的操作访问应用系统sysip,n、t为整数。
步骤4:用户行为活动初次判断。获取当前应用系统用户aui的行为活动记录(aui,B)与用户aui正常行为模式(aui,B1)、(aui,B2)、(aui,B3)、(aui,B4)、(aui,B5)中的属性信息进行一一对比分析,如果符合用户正常行为活动模式,则判定为正常行为,否则预判为可疑行为模式,即“灰模式”行为活动,转入步骤5,对“灰模式”的用户行为活动进行逆向分析。
步骤5:用户行为活动逆向分析。对可疑的用户行为活动进行逆向追踪和分析,一一对比用户aui的行为活动记录(aui,bj)中各属性信息与用户异常行为活动库中的信息,如果在操作类型、访问内容、访问途径、访问方式等方面的任一信息一致,则可判定用户行为活动为“黑模式”,转入步骤8,否则转入步骤6。
步骤6:可疑行为二次判断。用户可疑行为二次判断可采用如下方式:在用户集合AU中找出与aui具有相同权限和角色的用户auj’(j’=1,2…n且j’!=i),将用户aui的行为活动记录组(aui,Bi)与auj’的行为活动记录组(auj’,Bj’)逐一对比,如果在访问路径、访问内容、访问系统名称等任一内容上相同,或者访问频次不高于所有具有相同权限和角色的用户au中的频次时,则按照auj’的行为对aui的行为进行定性,确定为正常访问行为,进入步骤7,如果均不符合,则判定为异常行为,转入步骤8。
步骤7:采用基于LRU的方法动态更新用户行为活动基线库。基于步骤3中的四种行为模式,采用LRU的方式,对用户行为活动基线库进行更新,形成最新的用户行为活动基线库。
步骤8:产生告警。判断用户行为为异常行为时,产生告警,并通过步骤1中F(EU,AU)的对应关系,直接定位到实体用户AU的违规行为,同时,启动告警处置装备,对告警信息进行处理,并更新用户异常行为活动库。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (8)
1.一种基于用户群行为活动的安全分析方法,其特征在于,包括以下步骤:
步骤1:将网络或者系统中的应用系统用户与实体用户进行一一关联和映射;
步骤2:通过搜集用户在网络或系统中的行为活动数据,提取用于用户行为活动分析的属性信息,形成用户网络行为活动记录;
步骤3:根据用户网络行为活动记录,从访问频率、时间、访问途径、访问内容的维度,建立用户正常行为活动模式,形成用户行为活动基线库;
步骤4:用户行为活动初次判断:将用户的实时行为活动与用户行为活动基线库中的用户正常行为活动模式对比,判断当前用户行为的模式,如果符合用户正常行为活动模式,则判定为正常行为,否则预判为可疑行为模式,转入步骤5;
步骤5:用户行为逆向追踪:对预判为可疑行为模式的用户行为进行逆向追踪和分析,明确用户行为环节中各个节点状况,若判定用户行为活动为异常行为,则转入步骤8,否则转入步骤6;
步骤6:可疑行为二次判断:通过将可疑行为模式的行为活动与其他相同角色的用户行为活动进行对比分析,判断被分析的用户行为活动的是正常行为还是异常行为,若判定为异常行为,则进入步骤8,否则进入步骤7;
步骤7:根据步骤6的二次判断结果,采用LRU的方式更新用户行为活动基线库;
步骤8:根据对用户行为二次判断的结果,对异常行为进行告警,并更新异常行为库。
2.如权利要求1所述的方法,其特征在于,步骤1具体为:在办公系统或者业务系统中,将一个实体用户对应多个应用系统用户,实体用户集用EU表示,EU={(eu1,id1),…(eui,idi),…(eun,idn)},eui为实体用户i的用户名,idi为实体用户i的唯一身份标识号,应用系统用户集用AU表示,AU={au1,…aui,…aun},aui为应用系统用户i的用户名,实体用户与应用系统用户的映射关系通过统计学习的方式进行自动映射,即应用系统用户访问一次应用系统,记录应用系统用户访问系统时的应用用户名和id,id由ip地址、电子钥匙、指纹、指静脉、虹膜、视网膜之一表示,实体用户与应用系统用户的映射关系表示为:
F(EU,AU)={(EU,AU)|EU(idi,eui)=AU(idi,auj)}。
3.如权利要求1所述的方法,其特征在于,步骤2中,将Web网页浏览访问的过程分为两个阶段,第一阶段为实体用户通过浏览器访问应用系统;第二阶段为应用系统连接数据库进行数据的增、删、改、查。
4.如权利要求2所述的方法,其特征在于,步骤2具体为:
通过网络数据抓取装置,获取用户在网络或者系统中的操作行为信息,根据应用系统用户aui在网络或系统中的行为,建立应用系统用户aui的正常行为活动模式,应用系统访问行为数据从应用系统审计日志中提取,包括用户ip、应用系统用户ip、操作菜单名称、端口、访问途径、时间戳信息,从数据库审计日志中提取应用系统ip、数据库ip、数据库操作类型、返回结果、SQL语句信息,以应用系统ip为衔接点,将web访问过程中两个阶段的操作信息组合起来,形成一条完整的行为活动记录b;
应用系统用户aui第j次的行为活动记录bj表示为(aui,bj)=(auip,sysip,menu,portj,howj,dbip,opj,resultj,sqlj,timej),其中,auip为应用系统用户ip,sysip为应用系统ip,menu为操作菜单名称信息、port为端口信息、how为访问途径、dbip为数据库ip,op为数据库操作类型、result为返回结果信息、sql为SQL语句信息,time为时间戳,应用系统用户aui的一系列web访问行为形成应用系统用户aui的行为活动记录组(aui,B)=((aui,b1)…(aui,bj)…(aui,bn))。
5.如权利要求4所述的方法,其特征在于,步骤3中建立的用户正常行为活动模式包括以下几类:
模式1:基于单位时间访问频率的行为活动模式
在单位时间内,采用动态规划算法,在应用系统用户aui的行为活动记录组中,统计(aui,B)中具有相同sysip的(aui,bj)的数量,从而得到应用系统用户aui在单位时间内应用系统sysip的最大频次,形成访问频率的行为活动模式B1:
(aui,B1)=(auip,sysip,count)
(aui,B1)的行为活动模式表示应用系统用户aui在单位时间范围内对应用系统sysip的最大访问次数不高于count次;
模式2:基于时间段的访问模式
在应用系统用户aui的行为活动记录组中,抽取(aui,B)中time相同中的行为活动序列,然后将sysip,menu,dbip信息进行聚合分析,挖掘用户aui在每天、每月、每年同时段的访问行为习惯,形成行为活动模式B2:
(aui,B2)=(auip,sysip,menu,dbip,time)
(aui,B2)的行为活动模式表示应用系统用户aui在日常time段,访问应用系统sysip以及数据库dbip的menu菜单;
模式3:基于访问途径的行为活动模式
表示访问应用系统的途径和方式,即应用系统用户aui只能通过合法访问方式来访问应用系统sysip,在历史数据中,统计分析用户访问系统的途径和方式,形成行为活动模式B3,应用系统用户通过超链接访问一系统,则:
(aui,B3)=(aui,sysip,how)
(aui,B3)的行为活动模式即表示应用系统用户aui只能通过规定的how的手段访问应用系统sysip;
模式4:基于访问内容的行为活动模式
用户aui对应用系统sysip内容的操作行为,包括文件上传、下载、增、删、改、查,形成行为行为活动模式B4:
(aui,B4)=(aui,sysip,op,SQL,result)
(aui,B4)的行为活动模式即表示应用系统用户aui只能在应用系统sysip中进行op的操作;
模式5:基于活动序列的行为活动模式
用户aui对应用系统sysip访问的行为活动序列,形成行为活动模式B5:
(aui,B5)=(aui,sysip,(how1…howm…hown),(op1,…opm…opt))
(aui,B5)的行为活动模式即表示应用系统用户aui通过how1到howm一系列的方式以及从op1到opt一系列的操作访问应用系统sysip,n、t为整数。
6.如权利要求5所述的方法,其特征在于,步骤4中,获取当前应用系统用户aui的行为活动记录(aui,B)与用户aui正常行为模式(aui,B1)、(aui,B2)、(aui,B3)、(aui,B4)、(aui,B5)中的属性信息进行一一对比分析,如果符合用户正常行为活动模式,则判定为正常行为,否则预判为可疑行为模式,即“灰模式”行为活动,转入步骤5,对“灰模式”的用户行为活动进行逆向分析。
7.如权利要求6所述的方法,其特征在于,步骤5中,对可疑的用户行为活动进行逆向追踪和分析,一一对比用户aui的行为活动记录(aui,bj)中各属性信息与用户异常行为活动库中的信息,如果在操作类型、访问内容、访问途径、访问方式方面的任一信息一致,则可判定用户行为活动为异常行为,转入步骤8,否则转入步骤6。
8.如权利要求7所述的方法,其特征在于,步骤6中,用户可疑行为二次判断采用如下方式:在用户集合AU中找出与aui具有相同权限和角色的用户auj’(j’=1,2…n且j’!=i),将用户aui的行为活动记录组(aui,Bi)与auj’的行为活动记录组(auj’,Bj’)逐一对比,如果在访问路径、访问内容、访问系统名称任一内容上相同,或者访问频次不高于所有具有相同权限和角色的用户au中的频次时,则按照auj’的行为对aui的行为进行定性,确定为正常访问行为,进入步骤7,如果均不符合,则判定为异常行为,转入步骤8。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811120889.1A CN109347808B (zh) | 2018-09-26 | 2018-09-26 | 一种基于用户群行为活动的安全分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811120889.1A CN109347808B (zh) | 2018-09-26 | 2018-09-26 | 一种基于用户群行为活动的安全分析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109347808A true CN109347808A (zh) | 2019-02-15 |
CN109347808B CN109347808B (zh) | 2021-02-12 |
Family
ID=65306411
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811120889.1A Active CN109347808B (zh) | 2018-09-26 | 2018-09-26 | 一种基于用户群行为活动的安全分析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109347808B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109905411A (zh) * | 2019-04-25 | 2019-06-18 | 北京腾云天下科技有限公司 | 一种异常用户识别方法、装置和计算设备 |
CN112631856A (zh) * | 2020-12-17 | 2021-04-09 | 西安电子科技大学 | 一种意图驱动6g网络智能运维方法、系统、设备及应用 |
CN112800101A (zh) * | 2019-11-13 | 2021-05-14 | 中国信托登记有限责任公司 | 一种基于FP-growth算法异常行为检测方法及应用该方法的模型 |
CN114882974A (zh) * | 2022-05-27 | 2022-08-09 | 江苏智慧智能软件科技有限公司 | 一种心理诊断数据库访问人工智能验证系统及方法 |
US11601442B2 (en) | 2018-08-17 | 2023-03-07 | The Research Foundation For The State University Of New York | System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101359352A (zh) * | 2008-09-25 | 2009-02-04 | 中国人民解放军信息工程大学 | 分层协同的混淆后api调用行为发现及其恶意性判定方法 |
CN106161098A (zh) * | 2016-07-21 | 2016-11-23 | 四川无声信息技术有限公司 | 一种网络行为检测方法及装置 |
US9563782B1 (en) * | 2015-04-10 | 2017-02-07 | Dell Software Inc. | Systems and methods of secure self-service access to content |
CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
CN107402957A (zh) * | 2017-06-09 | 2017-11-28 | 全球能源互联网研究院 | 用户行为模式库的构建及用户行为异常检测方法、系统 |
CN107579956A (zh) * | 2017-08-07 | 2018-01-12 | 北京奇安信科技有限公司 | 一种用户行为的检测方法和装置 |
CN108063768A (zh) * | 2017-12-26 | 2018-05-22 | 河南信息安全研究院有限公司 | 基于网络基因技术的网络恶意行为识别方法及装置 |
-
2018
- 2018-09-26 CN CN201811120889.1A patent/CN109347808B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101359352A (zh) * | 2008-09-25 | 2009-02-04 | 中国人民解放军信息工程大学 | 分层协同的混淆后api调用行为发现及其恶意性判定方法 |
US9563782B1 (en) * | 2015-04-10 | 2017-02-07 | Dell Software Inc. | Systems and methods of secure self-service access to content |
CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
CN106161098A (zh) * | 2016-07-21 | 2016-11-23 | 四川无声信息技术有限公司 | 一种网络行为检测方法及装置 |
CN107402957A (zh) * | 2017-06-09 | 2017-11-28 | 全球能源互联网研究院 | 用户行为模式库的构建及用户行为异常检测方法、系统 |
CN107579956A (zh) * | 2017-08-07 | 2018-01-12 | 北京奇安信科技有限公司 | 一种用户行为的检测方法和装置 |
CN108063768A (zh) * | 2017-12-26 | 2018-05-22 | 河南信息安全研究院有限公司 | 基于网络基因技术的网络恶意行为识别方法及装置 |
Non-Patent Citations (1)
Title |
---|
沈军彩: "用户行为数据分析下的信息推送系统的设计", 《现代电子技术》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11601442B2 (en) | 2018-08-17 | 2023-03-07 | The Research Foundation For The State University Of New York | System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy |
CN109905411A (zh) * | 2019-04-25 | 2019-06-18 | 北京腾云天下科技有限公司 | 一种异常用户识别方法、装置和计算设备 |
CN109905411B (zh) * | 2019-04-25 | 2021-11-16 | 北京腾云天下科技有限公司 | 一种异常用户识别方法、装置和计算设备 |
CN112800101A (zh) * | 2019-11-13 | 2021-05-14 | 中国信托登记有限责任公司 | 一种基于FP-growth算法异常行为检测方法及应用该方法的模型 |
CN112631856A (zh) * | 2020-12-17 | 2021-04-09 | 西安电子科技大学 | 一种意图驱动6g网络智能运维方法、系统、设备及应用 |
CN114882974A (zh) * | 2022-05-27 | 2022-08-09 | 江苏智慧智能软件科技有限公司 | 一种心理诊断数据库访问人工智能验证系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109347808B (zh) | 2021-02-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109347808A (zh) | 一种基于用户群行为活动的安全分析方法 | |
CN109861995A (zh) | 一种网络空间安全大数据智能分析方法、计算机可读介质 | |
Abraham et al. | Investigative profiling with computer forensic log data and association rules | |
CN104484474A (zh) | 数据库安全审计方法 | |
CN104539626A (zh) | 一种基于多源报警日志的网络攻击场景生成方法 | |
JP2005259140A (ja) | データベースを監視するための方法、命令の1つ以上のシーケンスを保持するコンピュータ読み取り可能な媒体、および装置 | |
CN103763124A (zh) | 一种互联网用户行为分析预警系统及方法 | |
Costante et al. | A white-box anomaly-based framework for database leakage detection | |
CN110781308A (zh) | 一种基于大数据构建知识图谱的反欺诈系统 | |
KR20150009798A (ko) | 개인 정보 상시 감시 시스템 및 그 상시 감시 방법 | |
CN110138763A (zh) | 一种基于动态web浏览行为的内部威胁检测系统及方法 | |
CN111915468B (zh) | 网络反诈骗主动巡检与预警系统 | |
CN107888602A (zh) | 一种检测异常用户的方法及装置 | |
CN107733902A (zh) | 一种目标数据扩散过程的监控方法及装置 | |
CN109450882A (zh) | 一种融合人工智能与大数据的网上行为的安全管控系统及方法 | |
CN116614277A (zh) | 基于机器学习与异常行为分析的网络安全监管系统与方法 | |
CN109388949B (zh) | 一种数据安全集中管控方法和系统 | |
CN106021552A (zh) | 基于人群行为模拟的互联网爬虫并发数据采集方法及系统 | |
CN109992961A (zh) | 用于数据库系统防黑客入侵的检测系统和方法 | |
CN116680704A (zh) | 一种用于客户端的数据安全防护方法及系统 | |
WO2019220363A1 (en) | Creation and verification of behavioral baselines for the detection of cybersecurity anomalies using machine learning techniques | |
Fuertes et al. | On the development of advanced parental control tools | |
Sun et al. | Insider threat detection using an unsupervised learning method: COPOD | |
Agrafiotis et al. | Towards a User and Role-based Sequential Behavioural Analysis Tool for Insider Threat Detection. | |
Chimphlee et al. | A Rough-Fuzzy Hybrid Algorithm for computer intrusion detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |