CN110753038A

CN110753038A - 一种异常检测自适应权限控制系统及方法

Info

Publication number: CN110753038A
Application number: CN201910932859.9A
Authority: CN
Inventors: 陈晶; 何琨; 杜瑞颖; 陈说
Original assignee: Wuhan University WHU
Current assignee: Wuhan University WHU
Priority date: 2019-09-29
Filing date: 2019-09-29
Publication date: 2020-02-04

Abstract

本发明公开了一种异常检测自适应权限控制系统及方法，系统包括日志行为采集系统、行为存储系统、行为分析系统以及权限控制系统；日志行为采集用于对生成的日志进行分布式、非侵入式的收集，然后序列化为存储系统中的标准格式；行为存储则主要是针对每个用户生产的行为数据进行存储，供行为分析系统进行读写；行为分析则是用于将采集系统中新收到的数据基于隐马尔科夫模型计算出当前的用户状态，针对异常状态进行预警；权限控制则是接受异常状态，通过异常状态的严重性来动态确定当前会话的可操作权限范围。本发明充分挖掘日志数据中蕴藏的用户行为信息，并且能够做到用户的自适应权限控制，为用户行为安全分析智能化发展提供有力的技术支撑。

Description

一种异常检测自适应权限控制系统及方法

技术领域

本发明属于信息安全技术领域，涉及一种异常检测自适应权限控制系统及方法，具体涉及一种基于隐马尔科夫模型(Hidden Markov Model，HMM)的用户日志数据异常检测自适应权限控制系统及方法。

背景技术

在过去的几年里，大规模的网络漏洞的曝光变得越来越频繁。随着像WordPress这种开源的CMS系统越来越受到欢迎，软件本身的漏洞便会导致大规模的影响。

国外的购物网站ebay在之前由于受到网络攻击，使得用户密码以及其他非金融数据陷入危险，要求所有用户更改密码。用户不经意间泄露的敏感信息也会成为攻击者利用的入口，此前12306就发生过大规模的撞库事件，攻击者通过从其他渠道获取到的用户已泄露信息生成字典表，从而在12306网站上进行批量登陆，然后获取用户信息，数据泄露超过10万条。之后Equifax的信息泄露事件，导致1.43亿美国用户的个人重要信息面临泄露。攻击者可以利用这些信息，从事任何形式的金融欺诈行为，例如冒名进行银行开户、信用卡提现等，这将导致暴露在此次事件中的个人面临巨大的潜在金融风险。因此用户输入了正确的账号密码并不代表着这就是一次安全的登陆，许多网站程序在通过第一次登陆验证之后就完全信任了本次登陆后的所有操作，这给了例如撞库这类攻击方法可乘之机。

而Equifax这个重要的攻击信息，却在攻击发生两个月之后才公之于众，没有给用户足够的挽救时间，给了攻击者利用这些信息的机会。攻击者利用这些信息，满足自己的利益亦或者是在利用完成之后进行信息倒卖，从而导致用户更大范围的利益受损。因此，对于攻击时间的发现处理具有时效性，安全威胁曝光的越久，对使用者造成的损失也会越大。

目前的各种软件系统中，都会记录下系统操作信息日志，系统中出现的每一个错误，用户的每一次操作以及操作时的状态信息，都会以文件的形式保存下来。普通台式机每天产生超过100万个事件，而服务器可以产生10到100倍的事件。每天，由100台计算机组成的集群就能够产生200G的数据，这些数据具有非常大的数据挖掘价值。例如针对APT攻击，可以对操作系统级日志进行因果分析，发现威胁，但日志的安全价值绝不仅仅只在这些方面。

发明内容

为了解决上述问题，本发明提出了一种基于隐马尔科夫模型的异常检测自适应权限控制系统及方法。

本发明的系统所采用的技术方案是：一种异常检测自适应权限控制系统，其特征在于：包括日志行为采集系统、日志行为存储系统、日志行为分析系统以及权限控制系统；

所述日志行为采集系统，用于在每个服务节点上对日志数据进行采集，收集用户操作行为，然后对行为数据进行序列化操作并发送结构化的日志数据消息到存储系统中；

所述日志行为存储系统，用于对每个用户的行为数据进行存储，供日志行为分析系统读写由日志行为采集系统发送的日志数据以及日志行为分析系统所产生的结构化的用户模型；

所述日志行为分析系统，用于将采集系统中新收到的数据基于HMM计算出当前的用户状态，针对异常状态进行预警操作；

所述权限控制系统，用于接受异常状态，通过异常状态的严重性来动态确定当前会话的可操作权限范围。

本发明的方法所采用的技术方案是：一种异常检测自适应权限控制方法，其特征在于，包括以下步骤：

步骤1：日志读取；

步骤2：日志预处理；

步骤3：日志格式化；

步骤4：数据分析及异常预警；

步骤5：生成用户行为模型；

步骤6：自适应权限控制。

本发明相比现有技术，其优点和积极效果主要体现在以下几个方面：

(1)本发明针对单个用户的操作行为，通过日志实现了非侵入式的、实时的、准确的安全预警，提供解决已有系统缺失安全预警功能的兼容性方案。不需要对已有程序进行任何改动，只需要在每个服务节点上部署系统，即可通过节点上的日志信息，来进行行为分析，推断出非安全操作；

(2)使用了基于HMM的异常检测方法，通过对用户行为模型的分析，每个行为的异常作为HMM模型的显性状态，而一系列的异常行为组成的行为链则是HMM模型的隐形状态，通过HMM模型描述出每个隐形状态的概率，确定出行为意图，这样就能够有效检测出会话异常状态；

(3)基于会话状态检测，提出了自适应权限控制系统，通过HMM确定出当前会话的行为意图以及相应的概率，针对高危高概率行为意图，系统直接限制当前会话可访问权限，保护资源，尽可能减小用户或者系统能受到的攻击影响。

附图说明

图1为本发明实施例中方法流程图；

图2为本发明实施例中用户行为模型的威胁树示意图；

图3为本发明实施例中攻击树示意图。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图及实施例对本发明作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本发明，并不用于限定本发明。

本发明提供的一种异常检测自适应权限控制系统，包括日志行为采集系统、日志行为存储系统、日志行为分析系统以及权限控制系统；

日志行为采集系统，用于在每个服务节点上对日志数据进行采集，收集用户操作行为，然后对行为数据进行序列化操作并发送结构化的日志数据消息到存储系统中；

日志行为存储系统，用于对每个用户的行为数据进行存储，供日志行为分析系统读写由日志行为采集系统发送的日志数据以及日志行为分析系统所产生的结构化的用户模型；

日志行为分析系统，用于将采集系统中新收到的数据基于HMM计算出当前的用户状态，针对异常状态进行预警操作；

权限控制系统，用于接受异常状态，通过异常状态的严重性来动态确定当前会话的可操作权限范围。

请见图1，本发明提供的一种异常检测自适应权限控制方法，其特征在于，包括以下步骤：

步骤1：日志读取；

在分布式服务节点上对产生的所有服务日志、数据库日志、系统日志、网络日志、系统操作日志进行提取。

步骤2：日志预处理；

对采集提取的所有日志进行预处理，一般情况下提取到的日志会包含程序调试日志、服务存活日志等与用户行为无关的数据项，因此需要对日志数据进行过滤，提取用户行为操作，这些都是日志预处理部分。通过过滤，筛选掉了部分例如重复日志、过期日志、非用户行为日志等无用、不关键信息信息，提高存储效率以及工作效率。

步骤3：日志格式化；

用于将预处理的数据进行格式化，统一为系统能够处理的格式，提高系统分析效率，同时也可以对非法数据进一步的过滤，然后对格式化的数据序列化，进一步提升存储效率以及数据发送效率。

步骤4：数据分析及异常预警；

收集从各个分布式日志行为采集系统中发送的数据，基于HMM对当前会话状态进行分析，针对非正常状态进行预警，达到自动化用户异常行为预警的目的。

分析方法是通过HMM计算出观察序列的概率，HMM系统的基础模型来自于由安全员事先分析的，在当前系统可能发生的攻击路径，并生成如图3所示攻击模型，HMM选取经过数据分析后概率最大并且超过阈值的路径，定义该会话为非正常状态。

进行用户分析后，若计算后超过阈值，需要发出警告，则通过自定义方法(例如短信、邮件、电话等方式)进行安全预警，并执行相关自定义操作(如封锁账号等)，并记录当前状态提供给自适应权限控制系统。

步骤5：生成用户行为模型；

请见图2，用户行为模型存储于行为存储系统中，其结构为树形模型，每个叶节点为一个风险项，针对不同的场景，每个风险项可以由不同的权限值进行计算。

步骤6：自适应权限控制；

用于接受异常状态预警，并通过当前用户的静态登录信息如IP地址、登录设备指纹等与用户历史信息进行比对，计算确定当前会话的可信度，结合异常状态预警信息，来动态决定当前权限范围，保证用户安全。

本发明提供了一种对用户行为模型进行实时分析并对异常行为进行检测的系统，同时系统根据用户异常检测情况，针对本次会话周期进行权限的动态控制。系统包括独立的日志行为采集系统、行为存储系统、行为分析系统以及权限控制系统；日志行为采集系统用于对系统生成的日志进行分布式、非侵入式的收集，然后序列化为存储系统中的标准格式；行为存储系统则主要是针对每个用户单位生产的行为数据进行存储，供行为分析系统进行读写操作；行为分析系统则是用于将采集系统中新收到的数据基于隐马尔科夫模型(Hidden Markov Model，HMM)计算出当前的用户状态，针对异常状态进行预警操作；权限控制系统则是接受异常状态，通过异常状态的严重性来动态确定当前会话的可操作权限范围。本发明通过提取日志数据中的用户行为特征，配合HMM算法分析用户模型等步骤，充分挖掘日志数据中蕴藏的用户行为信息，并且能够做到用户的自适应权限控制，为用户行为安全分析智能化发展提供有力的技术支撑。

本发明能够为使用者提供：

(1)对用户行为进行准确、有效的安全判断，保证用户服务的安全，防止用户资产受到攻击；

(2)本发明在用户行为分析方面提出了用户模型树，可以灵活应对不同场景下的、不同需求的对异常行为的判断，有足够的灵活性；

(3)本发明对已有的程序不需要任何更改，达到了非侵入式的效果，减少了软件使用成本，达到了更好的兼容性；

(4)本发明通存储用户的行为模型，可以通过该模型实现用户的偏好画像功能，推断用户的性格、喜好、职业等。

应当理解的是，本说明书未详细阐述的部分均属于现有技术。

应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。

Claims

1.一种异常检测自适应权限控制系统，其特征在于：包括日志行为采集系统、日志行为存储系统、日志行为分析系统以及权限控制系统；

所述日志行为采集系统，用于在每个服务节点上对日志数据进行采集，收集用户操作行为，然后对行为数据进行序列化操作并发送结构化的日志数据消息到日志存储系统中；

2.一种异常检测自适应权限控制方法，其特征在于，包括以下步骤：

步骤1：日志读取；

步骤2：日志预处理；

步骤3：日志格式化；

步骤4：数据分析及异常预警；

步骤5：生成用户行为模型；

步骤6：自适应权限控制。

3.根据权利要求2所述的异常检测自适应权限控制方法，其特征在于：步骤1中所述日志读取，是在分布式服务节点上对产生的所有服务日志、数据库日志、系统日志、网络日志、系统操作日志进行提取。

4.根据权利要求2所述的异常检测自适应权限控制方法，其特征在于：步骤2中，对日志数据进行过滤，筛选掉重复日志、过期日志、非用户行为日志，提取用户行为操作数据。

5.根据权利要求2所述的异常检测自适应权限控制方法，其特征在于：步骤3中，将预处理的数据进行格式化，统一为系统能够处理的格式，然后对格式化的数据序列化。

6.根据权利要求2所述的异常检测自适应权限控制方法，其特征在于：步骤4中，对当前会话状态进行分析，针对非正常状态进行预警。

7.根据权利要求6所述的异常检测自适应权限控制方法，其特征在于：所述分析方法是通过HMM计算出观察序列的概率，选取概率最大并且超过阈值的路径，定义该会话为非正常状态。

8.根据权利要求2所述的异常检测自适应权限控制方法，其特征在于：步骤5中，所述用户行为模型结构为树形模型，每个叶节点为一个风险项，针对不同的场景，每个风险项由不同的权限值进行计算；其中，异常行为路径在系统运行前进行定义。

9.根据权利要求2所述的异常检测自适应权限控制方法，其特征在于：步骤6中，所述自适应权限控制，用于接受异常状态预警，并通过当前用户的静态登录信息与用户历史信息进行比对，计算确定当前会话的可信度，结合异常状态预警信息，来动态决定当前权限范围，保证用户安全。