CN111259088B - 一种基于画像技术的用户网络行为审计建模方法 - Google Patents

一种基于画像技术的用户网络行为审计建模方法 Download PDF

Info

Publication number
CN111259088B
CN111259088B CN202010030995.1A CN202010030995A CN111259088B CN 111259088 B CN111259088 B CN 111259088B CN 202010030995 A CN202010030995 A CN 202010030995A CN 111259088 B CN111259088 B CN 111259088B
Authority
CN
China
Prior art keywords
network
entity
graph
comprehensive
audit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010030995.1A
Other languages
English (en)
Other versions
CN111259088A (zh
Inventor
李兴国
郑传义
曲志峰
苗功勋
武巧莉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING ZHONGFU TAIHE TECHNOLOGY DEVELOPMENT CO LTD
Nanjing Zhongfu Information Technology Co Ltd
Zhongfu Information Co Ltd
Zhongfu Safety Technology Co Ltd
Original Assignee
BEIJING ZHONGFU TAIHE TECHNOLOGY DEVELOPMENT CO LTD
Nanjing Zhongfu Information Technology Co Ltd
Zhongfu Information Co Ltd
Zhongfu Safety Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING ZHONGFU TAIHE TECHNOLOGY DEVELOPMENT CO LTD, Nanjing Zhongfu Information Technology Co Ltd, Zhongfu Information Co Ltd, Zhongfu Safety Technology Co Ltd filed Critical BEIJING ZHONGFU TAIHE TECHNOLOGY DEVELOPMENT CO LTD
Priority to CN202010030995.1A priority Critical patent/CN111259088B/zh
Publication of CN111259088A publication Critical patent/CN111259088A/zh
Application granted granted Critical
Publication of CN111259088B publication Critical patent/CN111259088B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/288Entity relationship models

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种基于画像技术的用户网络行为审计建模方法,该方法包括以下步骤:通过画像技术还原网络中实体行为,形成实体的关系图谱;通过实体的关系图谱将不同的网络安全数据合并到综合图空间中;对综合图空间进行数据挖掘,建立E‑R图分析模型。能够全面的表述还原网络中各类审计数据、告警事件、人员及设备之间的归属关系、设备与设备之间的流量关系等,进行了全面刻画,能够完整的描述审计的行为在发生时所处的环境、状态以及相关的事件。为后续进行大数据和人工智能分析提供了良好的数据基础,为后续风险事件的溯源提供了数据支撑。

Description

一种基于画像技术的用户网络行为审计建模方法
技术领域
本发明涉及网络安全技术领域,具体地说是一种基于画像技术的用户网络行为审计建模方法。
背景技术
随着网络信息化的普及,各组织单位的业务系统也面临着信息化进程。业务信息化带来的数据共享方便性不言而喻,但是数据共享的方便性也是一把双刃剑,同时也带了来数据操作安全的风险。能否实时、准确的的监管和感知数据风险已经成为各组织和单位共同的关注焦点。
对用户网络行为进行审计是保证网络和数据安全的有力手段。用户网络行为的审计也逐步从单一的网络安全审计走向了多维审计。国内各安全公司和研究机构也针对各自的业务领域推出了众多审计分析平台,形成了诸如流量审计、运维审计、打印审计、刻录审计等众多审计产品,取得了丰硕的成果,解决了大量的审计安全问题。
信息技术的飞速发展,网络互联进程的推进,使得数据和网络变得越来越复杂,传统的单一的审计方法已经不能满足当前网络信息安全的审计要求,单一的审计管理逐步走向融合流量审计、运维审计、打印审计、数据审计、应用审计和人员行为审计的综合审计管理。
随着综合审计管理需求的出现,传统的审计方法已经不适用于在大规模复杂网络的审计要求。当前需要设计一种综合的行为审计模型,能够对网络进行全面审计并具备融合分析和态势感知能力。
发明内容
本发明的目的在于一种基于画像技术的用户网络行为审计建模方法,用于解决传统的审计方法无法对网络进行全面审计并具备融合分析和态势感知能力的问题。
本发明解决其技术问题所采取的技术方案是:
本发明提供了一种基于画像技术的用户网络行为审计建模方法,该方法包括以下步骤:
通过画像技术还原网络中实体行为,形成实体的关系图谱;
通过实体的关系图谱将不同的网络安全数据合并到综合图空间中;
对综合图空间进行数据挖掘,建立E-R图分析模型。
在第一种可能实现的方式中,所述形成实体的关系图谱具体包括以下方法:
通过网络采集器捕获影响网络安全的事件;
对事件进行拆分定位事件的主体、客体、事件内容;
根据系统中备案的设备信息、资产信息、人员信息以及各种监控指标和流量控制策略与事件中拆分出来的主体、客体以及事件内容进行映射对照,形成实体的关系图谱{V1,V2,...Vn}。
在第二种可能实现的方式中,通过实体的关系图谱将不同的网络安全数据合并到综合图空间中具体包括以下方法:
通过对网络内所有网络流量进行源地址、目的地址、协议类型以及流量发生时间进行抽取,形成综合图空间{E1,E2,...En}。
在第三种可能实现的方式中,对综合图空间进行数据挖掘,建立E-R图分析模型具体包括以下方法:
根据实体的关系图谱{V1,V2,...Vn}与综合图空间{E1,E2,...En}构建整体E-R关系图G=(V(G),E(G));
在网络运行防护过程中安全防护事件存在与网络设备及相关主体的实体关联关系F=(A(F),R(F)),式中,A(F)∈{A1,A2,...An};安全防护事件之间的关系为R(F)∈{R1,R2,...Rn};人员与设备之间的管理关系为T=(A(T),L(T));设备与文件、人员与文件的文件操作关系为Q=(A(Q),W(Q));
对上述关系进行融合,得到综合实体关系图M:
形成综合关系图模型。
本发明实施例建立的基于画像技术的E-R图分析模型能够全面的表述还原网络中各类审计数据、告警事件、人员及设备之间的归属关系、设备与设备之间的流量关系等,进行了全面刻画,能够完整的描述审计的行为在发生时所处的环境、状态以及相关的事件。为后续进行大数据和人工智能分析提供了良好的数据基础,为后续风险事件的溯源提供了数据支撑。通过实体关系图刻画的用户网络行为记录是一种融合流量审计、运维审计、打印审计、数据审计、应用审计和人员行为审计的综合审计记录。通过综合审计记录能够对网络进行全面审计并具备融合分析和态势感知能力。通过实体关系描述的用户行为审计记录可以通过抽象实现图计算,能够对用户行为进行深度分析。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种基于画像技术的用户网络行为审计建模方法流程示意图;
图2为设备与网络流量E-R关系结构图;
图3为设备、人员与事件的相关E-R关系结构图;
图4为综合关系图模型
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
如图1所示,一种基于画像技术的用户网络行为审计建模方法,该方法包括以下步骤:
S1、通过画像技术还原网络中实体行为,形成实体的关系图谱;
S2、通过实体的关系图谱将不同的网络安全数据合并到综合图空间中;
S3、对综合图空间进行数据挖掘,建立E-R图分析模型。
形成实体的关系图谱具体包括以下方法:
通过网络采集器捕获影响网络安全的事件;包括流量采集、日志采集、攻击事件采集、病毒事件采集、违规行为采集等。
对事件进行拆分定位事件的主体、客体、事件内容;
根据系统中备案的设备信息、资产信息、人员信息以及各种监控指标和流量控制策略与事件中拆分出来的主体、客体以及事件内容进行映射对照,形成实体的关系图谱{V1,V2,...Vn}。实体Vi表示为网络中的通讯节点,包含主机、服务器、网络设备。
通过实体的关系图谱将不同的网络安全数据合并到综合图空间中具体包括以下方法:
通过对网络内所有网络流量进行源地址、目的地址、协议类型以及流量发生时间进行抽取,形成综合图空间{E1,E2,...En}。边Ei表示为网络流量中的一条访问流量,包含源IP地址、源端口、目标IP地址、目标端口、流量协议,产生时间。节点就是系统中备案的设备或资产,边就是流量的流向,边的权重值就是协议类型。对综合图空间进行数据挖掘,建立E-R图分析模型具体包括以下方法:
根据实体的关系图谱{V1,V2,...Vn}与综合图空间{E1,E2,...En}构建整体E-R关系图G=(V(G),E(G));
网络中部署的IDS系统、流量审计、防火墙以及杀毒软件等安全防护产品在运行防护过程中产生了大量的安全防护事件,在网络运行防护过程中安全防护事件存在与网络设备及相关主体的实体关联关系F=(A(F),R(F)),式中,A(F)∈{A1,A2,...An};实体Ai表示网络中的网络设备和责任人员,包含主机、服务器、网络设备、办公人员、运维人员、安全事件。安全防护事件之间的关系为R(F)∈{R1,R2,...Rn};Ri表示事件的相关性,包含事件标识、事件介绍、事件级别、事件时间。人员与设备之间的管理关系为T=(A(T),L(T));设备与文件、人员与文件的文件操作关系为Q=(A(Q),W(Q));
设备与网络流量E-R关系结构图,如图2所示。
设备、人员与事件的相关E-R关系结构图如图3所示。
对上述关系进行融合,得到综合实体关系图M:
形成综合关系图模型,如图4所示。
对关系图的挖掘应用主要为:通过系统备案的设备、资产、人员、访问控制策略、合规规定以及外网威胁情报数据对形成的ER关系图进行通联关系计算、矩阵相似度运算以及图卷积运算,对图所表现的内容进行是否存在风险分析,形成基于ER关系图的动态分析成果,形成可供系统使用的关系图谱知识库。
算法模型中涉及的涉密主体以及其相关属性如下:
人员(编号、姓名、使用设备列表、拥有设备列表);
设备(编号、类型、责任人、设备IP、流量输出设备列表、操作文件列表);
文件(文件HASH、文件名、文件类型、曾用名列表);
事件(编号,事件类型、事件级别、事件名称、关联设备列表、关联人员列表、关联文件列表、发生时间);
各个涉密实体之间的关系如下表所示:
人员 设备 文件 事件
人员 ---- 使用/责任 ---- 相关
设备 使用/责任 流量 存储/操作 相关
文件 ---- 存储/操作 编辑(重命名) 相关
事件 相关 相关 相关 ----
在上述基本关系的前提下结合网络监控与审计平台提供的网络安全、告警和预警事件对上述实体进行动态关系关联形成关系图谱。通过图谱高级设置,对实体、事件、时间进行压缩过滤。从而形成对网络空间各主体的信息侦查工作。操作平台左侧进行各主体属性值、相关时间对主体、事件和流量进行过滤,逐步缩小范围实现对网络各主体的精确信息查询和侦查。
以上所述仅是本发明的具体实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (3)

1.一种基于画像技术的用户网络行为审计建模方法,其特征是,该方法包括以下步骤:
通过画像技术还原网络中实体行为,形成实体的关系图谱;
通过实体的关系图谱将不同的网络安全数据合并到综合图空间中;
对综合图空间进行数据挖掘,建立E-R图分析模型;
建立E-R图分析模型具体包括以下方法:
根据实体的关系图谱与综合图空间构建整体E-R关系图G=(V(G),E(G));
在网络运行防护过程中安全防护事件存在与网络设备及相关主体的实体关联关系F=(A(F),R(F)),式中,A(F)∈{A1,A2,...An};安全防护事件之间的关系为R(F)∈{R1,R2,...Rn};人员与设备之间的管理关系为T=(A(T),L(T));设备与文件、人员与文件的文件操作关系为Q=(A(Q),W(Q));
对上述关系进行融合,得到综合实体关系图M:
形成综合关系图模型;
式中,实体Ai表示网络中的网络设备和责任人员,Ri表示事件的相关性,L(T)代表设备的集合,W(Q)代表文件的集合,V(G)代表实体的关系图谱,E(G)代表综合图空间。
2.根据权利要求1所述的方法,其特征是,所述形成实体的关系图谱具体包括以下方法:
通过网络采集器捕获影响网络安全的事件;
对事件进行拆分定位事件的主体、客体、事件内容;
根据系统中备案的设备信息、资产信息、人员信息以及各种监控指标和流量控制策略与事件中拆分出来的主体、客体以及事件内容进行映射对照,形成实体的关系图谱{V1,V2,...Vn}。
3.根据权利要求2所述的方法,其特征是,通过实体的关系图谱将不同的网络安全数据合并到综合图空间中具体包括以下方法:
通过对网络内所有网络流量进行源地址、目的地址、协议类型以及流量发生时间进行抽取,形成综合图空间{E1,E2,...En}。
CN202010030995.1A 2020-01-13 2020-01-13 一种基于画像技术的用户网络行为审计建模方法 Active CN111259088B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010030995.1A CN111259088B (zh) 2020-01-13 2020-01-13 一种基于画像技术的用户网络行为审计建模方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010030995.1A CN111259088B (zh) 2020-01-13 2020-01-13 一种基于画像技术的用户网络行为审计建模方法

Publications (2)

Publication Number Publication Date
CN111259088A CN111259088A (zh) 2020-06-09
CN111259088B true CN111259088B (zh) 2024-04-26

Family

ID=70953967

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010030995.1A Active CN111259088B (zh) 2020-01-13 2020-01-13 一种基于画像技术的用户网络行为审计建模方法

Country Status (1)

Country Link
CN (1) CN111259088B (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103036905A (zh) * 2012-12-27 2013-04-10 北京神州绿盟信息安全科技股份有限公司 企业网络安全分析方法和装置
CN103795565A (zh) * 2013-12-27 2014-05-14 北京天融信软件有限公司 一种网络事件关联分析方法和装置
CN104993952A (zh) * 2015-06-19 2015-10-21 成都艾尔普科技有限责任公司 网络用户行为审计与责任管理系统
CN105162614A (zh) * 2015-06-19 2015-12-16 成都艾尔普科技有限责任公司 网络用户行为审计与责任管理方法
CN107506484A (zh) * 2017-09-18 2017-12-22 携程旅游信息技术(上海)有限公司 运维数据关联审计方法、系统、设备及存储介质
CN107977386A (zh) * 2016-10-25 2018-05-01 航天信息股份有限公司 一种识别审计事件中的敏感用户的方法及装置
CN108924169A (zh) * 2018-09-17 2018-11-30 武汉思普崚技术有限公司 一种可视化网络安全系统
CN109040130A (zh) * 2018-09-21 2018-12-18 成都力鸣信息技术有限公司 基于属性关系图的主机网络行为模式度量方法
CN109492994A (zh) * 2018-10-29 2019-03-19 成都思维世纪科技有限责任公司 一种基于大数据的立体式全方位安全管理平台
CN109922075A (zh) * 2019-03-22 2019-06-21 中国南方电网有限责任公司 网络安全知识图谱构建方法和装置、计算机设备
CN110046973A (zh) * 2019-04-17 2019-07-23 成都市审计局 一种基于关联关系大数据分析的围标串标检测方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103036905A (zh) * 2012-12-27 2013-04-10 北京神州绿盟信息安全科技股份有限公司 企业网络安全分析方法和装置
CN103795565A (zh) * 2013-12-27 2014-05-14 北京天融信软件有限公司 一种网络事件关联分析方法和装置
CN104993952A (zh) * 2015-06-19 2015-10-21 成都艾尔普科技有限责任公司 网络用户行为审计与责任管理系统
CN105162614A (zh) * 2015-06-19 2015-12-16 成都艾尔普科技有限责任公司 网络用户行为审计与责任管理方法
CN107977386A (zh) * 2016-10-25 2018-05-01 航天信息股份有限公司 一种识别审计事件中的敏感用户的方法及装置
CN107506484A (zh) * 2017-09-18 2017-12-22 携程旅游信息技术(上海)有限公司 运维数据关联审计方法、系统、设备及存储介质
CN108924169A (zh) * 2018-09-17 2018-11-30 武汉思普崚技术有限公司 一种可视化网络安全系统
CN109040130A (zh) * 2018-09-21 2018-12-18 成都力鸣信息技术有限公司 基于属性关系图的主机网络行为模式度量方法
CN109492994A (zh) * 2018-10-29 2019-03-19 成都思维世纪科技有限责任公司 一种基于大数据的立体式全方位安全管理平台
CN109922075A (zh) * 2019-03-22 2019-06-21 中国南方电网有限责任公司 网络安全知识图谱构建方法和装置、计算机设备
CN110046973A (zh) * 2019-04-17 2019-07-23 成都市审计局 一种基于关联关系大数据分析的围标串标检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于知识图谱驱动的网络安全等级保护日志审计分析模型研究;陶源;黄涛;李末岩;胡巍;;信息网络安全;20200110(第01期);全文 *

Also Published As

Publication number Publication date
CN111259088A (zh) 2020-06-09

Similar Documents

Publication Publication Date Title
CN114143020B (zh) 一种基于规则的网络安全事件关联分析方法和系统
Wang et al. A graph based approach toward network forensics analysis
CN107579956B (zh) 一种用户行为的检测方法和装置
CN113486351A (zh) 一种民航空管网络安全检测预警平台
CN107172022B (zh) 基于入侵途径的apt威胁检测方法和系统
CN110138763B (zh) 一种基于动态web浏览行为的内部威胁检测系统及方法
CN104246786A (zh) 模式发现中的字段选择
CN103226675B (zh) 一种分析入侵行为的溯源系统及方法
CN114915479B (zh) 一种基于Web日志的Web攻击阶段分析方法及系统
CN102611713A (zh) 基于熵运算的网络入侵检测方法和装置
El Arass et al. Smart SIEM: From big data logs and events to smart data alerts
CN108833442A (zh) 一种分布式网络安全监控装置及其方法
Khobragade et al. Data generation and analysis for digital forensic application using data mining
Aldwairi et al. Flukes: Autonomous log forensics, intelligence and visualization tool
CN111259088B (zh) 一种基于画像技术的用户网络行为审计建模方法
Hajamydeen et al. A refined filter for UHAD to improve anomaly detection
CN110912753A (zh) 一种基于机器学习的云安全事件实时检测系统及方法
CN108540471B (zh) 移动应用网络流量聚类方法、计算机可读存储介质和终端
CN114500122B (zh) 一种基于多源数据融合的特定网络行为分析方法和系统
Yang et al. [Retracted] Computer User Behavior Anomaly Detection Based on K‐Means Algorithm
Panda et al. Securing database integrity in intelligent government systems that employ fog computing technology
CN113343231A (zh) 一种基于集中管控的威胁情报的数据采集系统
CN108667685B (zh) 移动应用网络流量聚类装置
Zhong The application of Apriori algorithm for network forensics analysis
CN106027558A (zh) 一种强安全性系统日志实现方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant