CN110493264A - 一种基于内网实体关系与行为链的内部威胁发现方法 - Google Patents
一种基于内网实体关系与行为链的内部威胁发现方法 Download PDFInfo
- Publication number
- CN110493264A CN110493264A CN201910879140.3A CN201910879140A CN110493264A CN 110493264 A CN110493264 A CN 110493264A CN 201910879140 A CN201910879140 A CN 201910879140A CN 110493264 A CN110493264 A CN 110493264A
- Authority
- CN
- China
- Prior art keywords
- chain
- behavioral
- entity
- behavioral chain
- intranet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于内网实体关系与行为链的内部威胁发现方法,该方法包括:收集指定时间内的事件映射为行为信息模型,并构建实体关联度模型库;收集指定时间内的事件映射为行为信息模型并进行分类,生成行为链;量化行为链;对所有行为链量化结果进行离群度检测,根据行为链的离群程度确定异常行为链,进而判断异常用户;交叉分析所有的异常行为链与异常用户,判断恶意共谋行为。本发明通过将安全事件映射为行为信息模型,进而对行为信息模型进行统计分析,获得了实体关联度模型库。然后利用行为信息模型与实体关联度模型库将内网实体关系与用户在指定时间内形成的行为链相结合并进行量化,实现了对内部网络威胁的发现。
Description
技术领域
本发明涉及信息安全领域,具体是安全运维技术。
背景技术
在当前互联网迅速发的时代下,网络的复杂程度日益增加,同时网络攻击的手段也趋于多样化,其复杂程度也不断上升。面对多样化的网络攻击,企业对网络攻击的关注度越来越高,采用很多方式提高了威胁发现与防范攻击的能力,但常被忽视的一个事实是:越来越多网络攻击的源头来自机构内部。在企业网络安全防范过程中,由于对内部威胁认识不足,所采取的安全防范措施不当,导致了内部网络安全事故逐年上升。由于企业内部网络中传递的信息包含了大量的内部机密与重要文件资料,所以其安全性对于企业的核心利益和长远发展有着重要影响。来自牛津大学赛德商学院的研究表明,目前披露报道的内部攻击仅仅是冰山一角(只占报道总数1%)。那些涉及公众的网络事件往往不得不对外披露,然而更多内部网络安全事件几乎每天都在发生。
其中高级持续性威胁(Advanced Persistent Threat,APT)已经被广泛提及与关注。APT攻击是攻击者以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,其主要特点是持续性与潜伏性,具有高度隐蔽性。
传统的检测手段主要是通过专家经验生成规则针对单次的威胁,或者利用机器学习生成的行为模型来匹配用户的行为从而发现异常的行为与用户,对于位置的威胁无法进行及时的发现与定位。
综上,如何应对内部网络攻击的能力对于企业越来越重要。因此,有必要提出一种针对内网未知威胁发现的方法。
发明内容
本发明提出了一种基于内网实体关系与行为链的内部威胁发现方法。其能够将内网实体的关系与用户行为相结合并进行量化。并根据行为链的偏离发现异常行为链,进而判断是否存在异常行为以及异常用户。
本发明是通过以下技术方案实现的:一种基于内网实体关系与行为链的内部威胁发现方法,其方法包括以下内容:
A.构建用户行为信息模型,由源IP、目标IP、上传包个数、下载包个数、上传字节数、下载字节数、平均上传流量、平均下载流量操作、结果组成;
B.构建实体关联度模型,由:由源IP、目标IP、平均上传流量(每个包/Byte)、平均下载流量(每个包/Byte)、操作、结果、操作次数、访问次数、总访问次数组成。
C.生成实体关联度模型库:
a)收集一定时间周期内的所有事件
b)将事件映射到用户行为信息模型中
c)将所有的用户行为信息模型按照源IP、目标IP、操作、结果进行分类统计最终映射到实体关联度模型中,生成实体关联度模型库;
D.生成行为链:
将一定时间周期内的所有事件映射为行为信息模型,然后将所有行为信息模型按照源IP进行分类,每一个分类中的所有行为信息模型构成指定用户在指定时间周期内的行为链。
E.量化行为链。
a)将行为链中的每个行为信息模型根据其源IP、目标IP、操作、结果去实体关联度模型库查找对应的记录
b)根据a)步骤的查询结果利用平均上传流量(每个包/Byte)、平均下载流量(每个包/Byte)、操作次数、访问次数对该行为进行量化该行为信息模型。
c)将所有行为信息模型量化后求和,然后求均值。
F.查找步骤E中异常的量化结果,确定异常的行为链接与异常用户。
G.对多条异常行为链进行交叉分析查找多个用户可能存在的恶意共谋行为。
本发明的有益效果是:
本发明不依赖于传统的专家经验,不使用传统的规则对异常行为进行界定从而确定异常用户;也不需要通过对用户的行为进行建模来匹配异常行为。通过对内网中实体关系与行为进行量化、建模来查找异常的行为链,从而实现通过对异常行为链的分析来确定异常用户与内网用户恶意共谋行为。
附图说明
通过结合附图对本发明示例性实施例进行更详细的描述,本发明的上述以及其它目的、特征、优势将会更加明显。
图1示出了根据本发明的基于内网实体关系与行为链的内部威胁发现方法的步骤的流程图。
具体实施方式
下面将参照附图更详细的描述本发明,使本发明的目的、技术方案以及优点更加清楚明白。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参考图1,如图1所示的是一种根据本发明的基于内网实体关系与行为链的内部威胁发现方法的步骤的流程图。
在该实例中,根据本发明的根据本发明的基于内网实体关系与行为链的内部威胁发现方法可以包括:步骤S1,收集指定时间内的时间映射为行为信息模型,并构建实体关联度模型库。步骤S2,收集指定时间内的事件映射为行为模型并进行分类,生成行为链。步骤S3,量化行为链。步骤S4,计算行为链的偏离度并根据其偏离来确定异常行为链,从而确定异常用户。步骤S5,交叉分析所有异常行为链确定恶意共谋行为。
该实例通过将事件映射为行为信息模型,量化实体关系,生成行为链,根据计算行为链的偏离度发现异常行为链并从而发现异常用户,并根据一场行为链的交叉分析进一步发现恶意共谋行为。
下面结合图1详细说明根据本发明的基于内网实体关系与行为链的内部威胁发现方法的具体步骤:
步骤S1,收集指定时间内的事件映射为行为信息模型,并构建实体关联度模型:
该步骤主要是将事件映射为行为信息模型,其中行为信息模型包括源IP、目标IP、上传包个数、上传字节数、下载包个数、下载字节数、平均上传流量、平均下载流量操作、结果。模型中的源IP、目标IP代表两个实体,上传包个数、上传字节数、下载包个数、下载字节数代表实体之间的流量交互大小,操作、结果则表示两个实体间具体进行了什么操作以及操作结果。其中,平均上传流量=上传字节数/上传包个数,平均下载流量=下载字节数/下载包个数。
然后将所有收集到的信息模型进行两次分类统计生成实体关联度模型库。实体关联度模型库中的实体关联模型包括源IP、目标IP、访问次数、操作、结果、操作次数、总访问次数、平均上传流量(每个包/Byte)、平均下载流量(每个包/Byte)。
S11:收集指定时间周期内的所有事件,并将所有事件映射为行为信息模型。
S12:将S11中的所有行为信息模型按照源IP、目标IP、操作、结果进行分类统计,并将统计结果填入到实体关联度模型中(除访问次数与总访问次数)。其中,平均上传流量(每个包/Byte)=[源IP、目标IP、操作、结果]相同的每条行为信息模型记录的平均上传流量之和/[源IP、目标IP、操作、结果]相同的行为信息模型记录数,平均下载流量(每个包/Byte)=[源IP、目标IP、操作、结果]相同的每条行为信息模型记录的平均下载流量之和/[源IP、目标IP、操作、结果]相同的行为信息模型记录数。操作次数=[源IP、目标IP、操作、结果]相同的行为信息模型记录数。
S13:对S12中的实体关联度模型按照源IP、目标IP进行分类统计,将对应的访问次数、总访问次数填入到每一个实体关联模型中。其中访问次数为[源IP、目标IP]相同的关联度模型的个数,总访问次数为S12中所有关联度模型的总数。
步骤S2:获取指定时间周期内的事件映射为行为信息模型,将行为信息模型进行分类,生成行为链:
该步骤主要是将后续的事件映射为行为信息模型,把所有的行为信息模型按照源IP进行分类,生成行为链。
S21:获取指定时间周期内的所有事件,将所有事件映射为行为信息模型,然后将行为信息模型按照源IP进行分类,类后的每一个源IP对应的分类下的所有行为信息模型视为一个源IP在指定时间周期内的一条行为链。
S3:量化行为链。
该步骤主要是将S2中生成的每一条行为链进行量化,然后利用离群点检测算法找出量化值异常的行为链,从而确定存在异常的用户。
S31:对S2中的所有行为链进行量化,量化过程是将行为链中的每一个行为信息模型单独量化然后求和并取均值,行为链信息模型的量化计算公式如下:
其中,集合E表示行为链,E={e1,e2,e3….ei}每个元素代表行为链中的一个行为信息模型,根据行为模型的源IP、目标IP、操作、结果去查询实体关联度模型库中对应的记录,根据对应记录的值获取公式中的各个参数,其中,P(Xi)=访问次数/总访问次数,P(Yi)=操作次数/访问次数,Fup为平均上传流量,Fdown为平均下载流量,m为行为链中[源IP、目标IP、操作、结果]集合的种类数。若模型库中不存在源IP、目标IP相同的模型,以下参数作临时设置:
访问次数为1,P(Yi)=0.5;
若模型库中存在[源IP、目标IP]相同但不存在[操作,结果]相同的模型,以下参数作临时设置:
访问次数为[源IP、目标IP]的模型的访问次数+1,总访问次数+1,操作次数设置为1。
S4:计算行为链的偏离度并根据偏离来确定异常行为链,从而确定异常用户。
S41:对S3中所有量化后的行为链的集合按照孤独森林算法进行离群度检测,其中被判定为异常的点就是异常的行为链。而该行为链中的源IP就是异常用户。
S5:交叉分析所有异常行为链确定恶意共谋行为。
该步骤主要是基于S3中发现的异常行为链与异常用户进行交叉关联,来实现对内网恶意共谋行为的发现。遍历S3中发现的异常行为链进行如下操作:
S51:不重复的获取一条异常行为链,获取行为链中出现的所有目标IP,执行步骤S52;如果没有下一条异常行为链,执行步骤S54。
S52:不重复的获取S51中的一个目标IP执行步骤S53,如果没有下一个目标IP,执行步骤S51;
S53:根据S3中的异常用户集合判断当前目标IP是否为异常用户,如果是异常用户,获取该异常用户为源IP的异常行为链,执行步骤S51,并将当前异常行为链的源IP指向当前目标IP;如果不是异常用户,执行步骤S52;
S54:将所有的源IP、目标IP指向关系进行合并生成用户行为关系图,根据多个异常用户相互指向可以认为它们之间可能存在恶意共谋行为。
Claims (9)
1.一种基于内网实体关系与行为链的内部威胁发现方法,其特征在于,包括:
收集指定时间周期内的事件映射为行为信息模型,并构建实体行为信息模型库;
收集指定时间周期内的事件映射为行为信息模型并进行分类,生成行为链;
量化行为链;
计算行为链的偏离度来确定异常行为链,从而确定异常用户;
交叉分析所有异常行为链判断可能存在的恶意共谋行为。
2.根据权利要求1所述的基于内网实体关系与行为链的内部威胁发现方法,其特征在于,通过人工配置或预置具体的时间周期。
3.根据权利要求1所述的基于内网实体关系与行为链的内部威胁发现方法,其特征在于,事件包括:
基于syslog或文件系统,实时获取安全事件;
将所述的安全事件进行标准化,获得行为信息模型。
4.根据权利要求3所述的基于内网实体关系与行为链的内部威胁发现方法,其特征在于,所述行为信息模型信息包括:源IP、目标IP、上传包个数、下载包个数、上传字节数、下载字节数、平均上传流量、平均下载流量、操作、结果。
5.根据权利要求1所述的基于内网实体关系与行为链的内部威胁发现方法,其特征在于,实体关联度模型库由实体关联度模型组成。
6.根据权利要求5所述的基于内网实体关系与行为链的内部威胁发现方法,其其特征在于,实体关联度模型包括:
对指定时间周期内的行为信息模型按照源IP、目标IP、操作、结果进行分类;
将每个分类后下行为信息模型的传包个数、下载包个数、上传字节数、下载字节数进行统一计算,获得平均上传流量、平均下载流量;
所述每个分类生成一个实体关联度模型,实体关联度模型包括源IP、目标IP、访问次数、操作、结果、操作次数、总访问次数、平均上传流量、平均下载流量;所有实体关联度模型生成实体关联度模型库。
7.根据权利要求1所述的基于内网实体关系与行为链的内部威胁发现方法,其特征在于,行为链包括:指定时间周期内的所有信息行为模型。
8.根据权利要求1所述的基于内网实体关系与行为链的内部威胁发现方法,其特征在于,确定异常行为链,从而确定异常用户包括:
针对所有行为链进行离群度计算,判断可能存在异常的行为链。
根据异常行为链的源IP可以判断异常的用户。
9.根据权利要求1所述的基于内网实体关系与行为链的内部威胁发现方法,其特征在于,交叉分析所有异常行为链包括:
递归分析每一条异常行为链中的目标IP是否为异常用户,并将异常用户为源IP的异常行为链进行分析,最终构建异常用户关系图,根据异常用户关系图判断多个异常用户可能存在恶意共谋行为。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910879140.3A CN110493264B (zh) | 2019-09-18 | 2019-09-18 | 一种基于内网实体关系与行为链的内部威胁发现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910879140.3A CN110493264B (zh) | 2019-09-18 | 2019-09-18 | 一种基于内网实体关系与行为链的内部威胁发现方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110493264A true CN110493264A (zh) | 2019-11-22 |
CN110493264B CN110493264B (zh) | 2021-12-24 |
Family
ID=68558294
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910879140.3A Active CN110493264B (zh) | 2019-09-18 | 2019-09-18 | 一种基于内网实体关系与行为链的内部威胁发现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110493264B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114826707A (zh) * | 2022-04-13 | 2022-07-29 | 中国人民解放军战略支援部队航天工程大学 | 处理用户威胁的方法、装置、电子设备和计算机可读介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103312723A (zh) * | 2013-07-04 | 2013-09-18 | 西安电子科技大学 | 一种基于访问向量的内部威胁特征构建方法 |
CN106209893A (zh) * | 2016-07-27 | 2016-12-07 | 中国人民解放军信息工程大学 | 基于业务过程模型挖掘的内部威胁检测系统及其检测方法 |
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
CN107579956A (zh) * | 2017-08-07 | 2018-01-12 | 北京奇安信科技有限公司 | 一种用户行为的检测方法和装置 |
CN108023768A (zh) * | 2017-12-01 | 2018-05-11 | 中国联合网络通信集团有限公司 | 网络事件链确立方法和网络事件链确立系统 |
CN108616545A (zh) * | 2018-06-26 | 2018-10-02 | 中国科学院信息工程研究所 | 一种网络内部威胁的检测方法、系统及电子设备 |
CN108632097A (zh) * | 2018-05-14 | 2018-10-09 | 平安科技(深圳)有限公司 | 异常行为对象的识别方法、终端设备及介质 |
CN109218321A (zh) * | 2018-09-25 | 2019-01-15 | 北京明朝万达科技股份有限公司 | 一种网络入侵检测方法及系统 |
CN110138763A (zh) * | 2019-05-09 | 2019-08-16 | 中国科学院信息工程研究所 | 一种基于动态web浏览行为的内部威胁检测系统及方法 |
-
2019
- 2019-09-18 CN CN201910879140.3A patent/CN110493264B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103312723A (zh) * | 2013-07-04 | 2013-09-18 | 西安电子科技大学 | 一种基于访问向量的内部威胁特征构建方法 |
CN106209893A (zh) * | 2016-07-27 | 2016-12-07 | 中国人民解放军信息工程大学 | 基于业务过程模型挖掘的内部威胁检测系统及其检测方法 |
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
CN107579956A (zh) * | 2017-08-07 | 2018-01-12 | 北京奇安信科技有限公司 | 一种用户行为的检测方法和装置 |
CN108023768A (zh) * | 2017-12-01 | 2018-05-11 | 中国联合网络通信集团有限公司 | 网络事件链确立方法和网络事件链确立系统 |
CN108632097A (zh) * | 2018-05-14 | 2018-10-09 | 平安科技(深圳)有限公司 | 异常行为对象的识别方法、终端设备及介质 |
CN108616545A (zh) * | 2018-06-26 | 2018-10-02 | 中国科学院信息工程研究所 | 一种网络内部威胁的检测方法、系统及电子设备 |
CN109218321A (zh) * | 2018-09-25 | 2019-01-15 | 北京明朝万达科技股份有限公司 | 一种网络入侵检测方法及系统 |
CN110138763A (zh) * | 2019-05-09 | 2019-08-16 | 中国科学院信息工程研究所 | 一种基于动态web浏览行为的内部威胁检测系统及方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114826707A (zh) * | 2022-04-13 | 2022-07-29 | 中国人民解放军战略支援部队航天工程大学 | 处理用户威胁的方法、装置、电子设备和计算机可读介质 |
CN114826707B (zh) * | 2022-04-13 | 2022-11-25 | 中国人民解放军战略支援部队航天工程大学 | 处理用户威胁的方法、装置、电子设备和计算机可读介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110493264B (zh) | 2021-12-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20190215328A1 (en) | System and methods for adaptive model generation for detecting intrusion in computer systems | |
US10333953B1 (en) | Anomaly detection in dynamically evolving data and systems | |
CN111614599B (zh) | 基于人工智能的webshell检测方法和装置 | |
Xia et al. | An efficient network intrusion detection method based on information theory and genetic algorithm | |
CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
CN103930887B (zh) | 使用行‑列数据存储的查询汇总生成 | |
Nguyen et al. | Application of the generic feature selection measure in detection of web attacks | |
CN111988285A (zh) | 一种基于行为画像的网络攻击溯源方法 | |
CN108664375A (zh) | 用于检测计算机网络系统用户的异常行为的方法 | |
Makiou et al. | Improving Web Application Firewalls to detect advanced SQL injection attacks | |
CN107992746A (zh) | 恶意行为挖掘方法及装置 | |
US9104877B1 (en) | Detecting penetration attempts using log-sensitive fuzzing | |
Kohout et al. | Learning communication patterns for malware discovery in HTTPs data | |
Wang et al. | Efficient detection of DDoS attacks with important attributes | |
Price-Williams et al. | Nonparametric self-exciting models for computer network traffic | |
Panda et al. | Ensembling rule based classifiers for detecting network intrusions | |
CN110493264A (zh) | 一种基于内网实体关系与行为链的内部威胁发现方法 | |
US20230409714A1 (en) | Machine Learning Techniques for Detecting Anomalous API Call Behavior | |
CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
CN113553584A (zh) | 一种工业互联网安全未知威胁检测方法、系统及存储介质 | |
CN102611714A (zh) | 基于联系发现技术的网络入侵预测方法 | |
Dargenio et al. | Exploring the use of autoencoders for botnets traffic representation | |
US20230412629A1 (en) | Securing an Anomaly Detection System for Microservice-Based Applications | |
US20230409412A1 (en) | Anomaly Detection System for Microservice-Based Applications | |
Kayacik et al. | Generating representative traffic for intrusion detection system benchmarking |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |