CN111953695B - 终端行为画像的构建方法、装置、电子设备及存储介质 - Google Patents

终端行为画像的构建方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN111953695B
CN111953695B CN202010817137.1A CN202010817137A CN111953695B CN 111953695 B CN111953695 B CN 111953695B CN 202010817137 A CN202010817137 A CN 202010817137A CN 111953695 B CN111953695 B CN 111953695B
Authority
CN
China
Prior art keywords
risk prediction
information
domain name
prediction model
risk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010817137.1A
Other languages
English (en)
Other versions
CN111953695A (zh
Inventor
李艺明
刘志强
姚志强
叶建涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202010817137.1A priority Critical patent/CN111953695B/zh
Publication of CN111953695A publication Critical patent/CN111953695A/zh
Application granted granted Critical
Publication of CN111953695B publication Critical patent/CN111953695B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Biophysics (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种终端行为画像的构建方法及装置,涉及人工智能领域,其中,该方法包括:通过预先构建的终端数据平台获取终端数据,所述终端数据包括:终端行为信息;根据预定的风险类型选择相应的已训练的风险预测模型,并基于选择的风险预测模型对所述终端行为信息进行风险预测;根据风险预测的结果构建终端行为画像。通过本发明,可以实现对终端行为的精准管理,进而可以有效提升集团的安全管控能力。

Description

终端行为画像的构建方法、装置、电子设备及存储介质
技术领域
本发明涉及人工智能领域,具体涉及一种终端行为画像的构建方法及装置。
背景技术
随着集团规模的发展,人员数量庞大,终端设备处理很多日常应用,产生了大量的交互数据,大量的用户信息存储在本机及各个应用系统里面。而这些数据分散在集团的各个应用系统里面,并没有一个统一的数据平台,容易产生数据孤岛问题,无法快速获取有价值的用户数据,也无法有效提高集团的安全管控能力。
发明内容
有鉴于此,本发明提供一种终端行为画像的构建方法及装置,以解决上述提及的至少一个问题。
根据本发明的第一方面,提供一种终端行为画像的构建方法,该方法包括:
通过预先构建的终端数据平台获取终端数据,所述终端数据包括:终端行为信息;
根据预定的风险类型选择相应的已训练的风险预测模型,并基于选择的风险预测模型对所述终端行为信息进行风险预测;
根据风险预测的结果构建终端行为画像。
根据本发明的第二方面,提供一种终端行为画像的构建装置,所述装置包括:
数据获取单元,用于通过预先构建的终端数据平台获取终端数据,所述终端数据包括:终端行为信息;
风险预测单元,用于根据预定的风险类型选择相应的已训练的风险预测模型,并基于选择的风险预测模型对所述终端行为信息进行风险预测;
画像构建单元,用于根据风险预测的结果构建终端行为画像。
根据本发明的第三方面,提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法的步骤。
根据本发明的第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤。
由上述技术方案可知,通过从预先构建的终端数据平台获取终端数据,并根据预定的风险类型选择相应的风险预测模型对终端数据中的终端行为信息进行风险预测,之后根据风险预测结果来构建终端行为画像,从而可以实现对终端行为的精准管理,进而可以有效提升集团的安全管控能力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的终端行为画像构建方法的流程图;
图2是根据本发明实施例的域名风险预测流程图;
图3是根据本发明实施例的终端行为画像构建装置的结构框图;
图4是根据本发明实施例的终端行为画像构建装置的详细结构框图;
图5为本发明实施例的电子设备600的系统构成的示意框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
由于现有的海量用户数据存在信息孤岛的问题,导致了无法快速获取有价值的用户数据,因而也无法有效提高集团的安全管控能力。基于此,本发明实施例提供一种终端行为画像的构建方案,通过对海量用户数据进行分析,挖掘出有用信息,进行终端行为画像,从而实现对终端行为的精准管理,可以有效提升集团主动、立体的安全管控能力。以下结合附图来详细描述本发明实施例。
图1是根据本发明实施例的终端行为画像构建方法的流程图,如图1所示,该方法包括:
步骤101,通过预先构建的终端数据平台获取终端数据,所述终端数据包括:终端行为信息;
步骤102,根据预定的风险类型选择相应的已训练的风险预测模型,并基于选择的风险预测模型对所述终端行为信息进行风险预测;
步骤103,根据风险预测的结果构建终端行为画像。
通过从预先构建的终端数据平台获取终端数据,并根据预定的风险类型选择相应的风险预测模型对终端数据中的终端行为信息进行风险预测,之后根据风险预测结果来构建终端行为画像,从而可以实现对终端行为的精准管理,进而可以有效提升集团的安全管控能力。
在一个实施例中,对于步骤101中的终端数据平台,可以通过建立终端数据CMDB(Configuration Management Database,配置管理数据库)来实现,该CMDB 还提供数据接口调用功能。
CMDB中的数据项具体包括:用户数据项(例如,姓名、部门、AD(Active Directory,活动目录)账号、统一认证账号等)、终端设备数据项(例如,计算机名、资源编码、操作系统等)、网络信息数据项(例如,MAC地址、IP地址等) 等。这里的终端设备数据项和网络信息数据项对应于上述的终端行为信息。
在构建CMDB时,可以从各应用系统提取终端数据,并从终端数据中按需获取相关数据项,并对获取的数据项进行分类处理(例如,按用户数据项、终端设备数据项、网络信息数据项进行分类),之后将分类处理后的数据存储到CMDB。
在一个实施例中,可以通过调用人力资源系统、统一认证系统(例如,AAM 系统)接口来获取用户数据项。还可以通过调用资源管理系统(例如,RMIS系统) 接口获取终端设备静态信息(对应于上述的终端设备数据项)。也可以通过调用客户端管理系统(例如,TMS系统)接口获取终端设备动态信息。也可以通过调用网管系统接口获取终端网络信息。这里的终端设备动态信息和终端网络信息对应于上述的网络信息数据项。
由于CMDB从多个系统获取数据,因而需要对获取的数据进行预处理。
首先,进行去重处理(去除重复的数据项)、去无效处理(去除发生时间点较久远的历史数据)等数据清洗工作。
然后,再将清洗后的数据建立标签进行管理。具体地,获取的数据可以分为:用户属性标签、终端静态标签和终端动态标签。其中,用户属性标签包括:用户姓名、部门、职位、入职时间、岗位信息等;终端静态标签包括:设备型号、硬件配置信息等;终端动态标签包括:注册表信息变动、进程信息变动、网络流量信息变动、FTP/HTTP(文件传输协议/超文本传输协议)外发文件记录、U盘外拷记录等。通过对这些数据的预处理操作,可以构成一个有效的终端数据CMDB。
对于步骤102,从上述CMDB中获取数据后,对数据提取特征,根据特定数据类型,进行特征分类,可以形成多个风险预测模型,通过各风险预测模型,可以实现对不同风险的预测。从而可以根据预测结果实现数据的实时关联分析和智能分析挖掘,形成终端行为画像,并对存在风险的行为进行智能防御。
为了更好地理解本发明实施例,以下给出几个风险预测模型的实例。
(一)域名风险预测模型
从上述CMDB中获取终端行为信息,具体地,主要是域名系统(Domain NameSystem,DNS)日志信息。根据预先存储的安全域名信息(例如,白名单)和风险域名信息(例如,黑名单)对域名系统日志信息进行匹配操作;响应于匹配结果为与所述安全域名信息和风险域名信息匹配均失败,即,获取的DNS日志信息不存在于黑白名单中,此时,将该DNS日志信息输入至已训练的域名风险预测模型进行域名风险预测,域名风险预测模型基于历史安全域名信息和历史风险域名信息进行训练。
当域名风险预测结果为高风险时,将该域名系统日志信息添加到风险域名信息中,并对相应的终端进行风险防御处理。
在实际操作中,通过对历史安全域名信息和历史风险域名信息进行特征提取,构建深度神经网络,训练形成识别模型(即,域名风险预测模型),利用模型识别终端DNS访问请求的域名是否恶意域名,并利用请求IP关联终端基础信息,可以勾勒出存在异常行为的终端画像,实现智能防御,同时触发处置响应流程(即,风险防御流程),将终端断网隔离,从而可以实现内网异常计算机的智能发现及处置。
如图2所示,对域名风险预测的流程主要包括以下步骤:
(1)对终端DNS日志进行白名单筛选,对筛选后的域名信息与黑名单中的域名进行匹配。
(2)如果命中黑名单,则根据终端源IP信息,关联防火墙、防病毒、IPS (IntrusionPrevention System,入侵防御系统)日志,进行进一步风险分析,触发处置响应流程,将终端断网隔离,并自动发邮件通知管理员督办用户整改。
(3)如果没有命中黑名单,则提取日志信息特征,使用域名风险预测模型自动判别处理。该域名风险预测模型是基于恶意域名库(即,黑名单库)、正常域名库(即,白名单库)来构建的,通过神经网络训练,生成该深度神经网络模型。
使用域名风险预测模型判断该终端行为是否恶意,如判断为恶意,则根据终端源IP信息,关联防火墙、防病毒、IPS日志,进行进一步风险分析,同时触发处置响应流程,将终端断网隔离,并自动发邮件通知管理员督办用户整改,并将该域名添加到黑名单。如判断为非恶意,则将该终端行为定义为低风险,不做拦截处理。
(二)病毒风险预测模型
从上述CMDB中获取终端行为信息,具体地,主要为网络流(Netflow)信息。将该网络流信息输入至已训练的病毒风险预测模型,所述病毒风险预测模型基于所述网络流信息中的单一IP地址的会话信息进行病毒风险预测。
这里涉及到的病毒可以是,网络病毒、木马等。
在实际操作中,具体地病毒风险预测流程包括:
(1)从终端动态标签数据的网络流量信息中筛选出网络流(Netflow)数据。
(2)将Netflow数据输入至病毒风险预测模型,该模型基于Netflow数据计算单一IP的session(会话)情况,计算逻辑包括:在10分钟内如果发生如下情况至少之一:
(a)客户端发起超过20个session;
(b)每个session的端口号全部相同;
(c)每个session发出的字节一致。
则,触发处置响应流程,将该IP地址对应的终端断网隔离,并自动发邮件通知管理员督办用户排查。
(三)信息泄露风险预测模型
从上述CMDB中获取终端行为信息和用户属性信息,具体地,主要包括:文件外传记录和用户岗位信息。通过用户岗位信息,可以预先设置文件外传记录规则。将获取的文件外传记录输入至已训练的信息泄露风险预测模型,所述信息泄露风险预测模型基于所述文件外传记录规则对输入的文件外传记录进行信息泄露风险预测。
在实际操作中,这里的文件外传记录可以包括:FTP/HTTP外发文件数量、U 盘外拷数量等。
在一个实施例中,用户属性标签数据根据岗位信息进行FTP/HTTP外发文件数量参数、U盘外拷数量参数设置。例如,对于后勤岗位,接触的材料较少涉及重要信息,则相关参数设置为FTP/HTTP外发文件数量告警个数为50个,U盘外拷数量告警个数30个;对于财务岗位,接触的材料较重要,相关参数设置为 FTP/HTTP外发文件数量告警个数为10个,U盘外拷数量告警个数5个。
上述信息泄露风险预测模型在预测过程中,当发现FTP/HTTP外发文件数量多于上述设置的参数,或者U盘外拷数量多于上述设置的参数时,触发处置响应流程,关闭对应终端的所有外发数据权限,自动发邮件通知安全审计人员对该终端用户启动安全审计。
(四)端口病毒风险预测模型
从上述CMDB中获取终端行为信息,具体地,主要是指定端口(例如,139、 445)流量信息(或者称为网络流量信息)。将指定端口流量信息输入至已训练的端口病毒风险预测模型,端口病毒风险预测模型基于该指定端口的周期流量信息进行端口病毒风险预测。
这里的周期流量信息是指对指定端口按照周期时间(按天、按周、按月)进行统计,形成的周期流量基线。
上述信息泄露风险预测模型在预测过程中,将输入的流量信息与同时段的流量基线进行对比,例如,周期为天,则流量按天进行对比,输入的周一至周五的流量与上周一至周五的流量基线进行对比;又例如,周期为月,则输入的这个月流量与上月流量基线进行对比。如果对比结果为输入流量超过基线数据的阀值 (如,达到流量基线的1.5倍),则认为指定端口存在病毒攻击的风险。此时,触发处置响应流程,将该IP地址对应的终端断网隔离,并自动发邮件通知管理员督办用户排查。
基于上述多个风险预测模型的预测结果,可以为各终端构建行为画像,本发明实施例深度融合机器学习、人工智能与安全技术,可以全方位全天候实时感知和处置多类攻击行为、信息泄漏行为,与各安全系统联动实现智能防御。
基于相似的发明构思,本发明实施例还提供一种终端行为画像的构建装置,该装置优选地用于实现上述方法实施例中的流程。
图3是该终端行为画像构建装置的结构框图,如图3所示,该装置包括:数据获取单元31、风险预测单元32和画像构建单元33,其中:
数据获取单元31,用于通过预先构建的终端数据平台获取终端数据,所述终端数据包括:终端行为信息;
风险预测单元32,用于根据预定的风险类型选择相应的已训练的风险预测模型,并基于选择的风险预测模型对所述终端行为信息进行风险预测;
画像构建单元33,用于根据风险预测的结果构建终端行为画像。
通过数据获取单元31从预先构建的终端数据平台获取终端数据,风险预测单元32根据与预定的风险类型选择相应的风险预测模型对终端数据中的终端行为信息进行风险预测,之后画像构建单元33根据风险预测结果来构建终端行为画像,从而可以实现对终端行为的精准管理,进而可以有效提升集团的安全管控能力。
在一个实施例中,上述终端行为信息可以包括:域名系统日志信息,对应的风险预测模型可以是域名风险预测模型,上述风险预测单元包括:匹配模块和域名风险预测模块,其中:
匹配模块,用于根据预先存储的安全域名信息和风险域名信息对所述域名系统日志信息进行匹配操作;
域名风险预测模块,用于响应于匹配结果为与所述安全域名信息和风险域名信息匹配均失败,将所述域名系统日志信息输入至已训练的域名风险预测模型进行域名风险预测,所述域名风险预测模型基于历史安全域名信息和历史风险域名信息进行训练。
相应地,如图4所示,上述装置还可以包括:风险处理单元34,用于响应于域名风险预测结果为高风险,将所述域名系统日志信息添加到所述风险域名信息,并对所述终端进行风险防御处理。
在一个实施例中,上述终端行为信息还可以包括:网络流信息,对应的风险预测模型为病毒风险预测模型,上述的风险预测单元还可以包括:
病毒风险预测模块,用于将所述网络流量信息输入至已训练的病毒风险预测模型,所述病毒风险预测模型基于所述网络流信息中的单一IP地址的会话信息进行病毒风险预测。
在一个实施例中,上述终端数据还可以包括:与该终端相关的用户岗位信息,上述终端行为信息还可以包括:文件外传记录,对应的风险预测模型为信息泄露风险预测模型,上述风险预测单元还可以包括:文件外传记录规则设置模块和信息泄露风险预测模块,其中:
文件外传记录规则设置模块,用于根据所述用户岗位信息预先设置文件外传记录规则;
信息泄露风险预测模块,用于将所述文件外传记录输入至已训练的信息泄露风险预测模型,所述信息泄露风险预测模型基于所述文件外传记录规则进行信息泄露风险预测。
在一个实施例中,上述终端行为信息还可以包括:指定端口流量信息,对应的风险预测模型为端口病毒风险预测模型,上述风险预测单元还可以包括:
端口病毒风险预测模块,用于将所述指定端口流量信息输入至已训练的端口病毒风险预测模型,所述端口病毒风险预测模型基于该指定端口的周期流量信息进行端口病毒风险预测。
上述各单元、各模块的具体执行过程,可以参见上述方法实施例中的描述,此处不再赘述。
在实际操作中,上述各单元、各模块可以组合设置、也可以单一设置,本发明不限于此。
本实施例还提供一种电子设备,该电子设备可以是台式计算机、平板电脑及移动终端等,本实施例不限于此。在本实施例中,该电子设备可以参照上述方法实施例进行实施及终端行为画像构建装置的实施例进行实施,其内容被合并于此,重复之处不再赘述。
图5为本发明实施例的电子设备600的系统构成的示意框图。如图5所示,该电子设备600可以包括中央处理器100和存储器140;存储器140耦合到中央处理器100。值得注意的是,该图是示例性的;还可以使用其他类型的结构,来补充或代替该结构,以实现电信功能或其他功能。
一实施例中,终端行为画像构建功能可以被集成到中央处理器100中。其中,中央处理器100可以被配置为进行如下控制:
通过预先构建的终端数据平台获取终端数据,所述终端数据包括:终端行为信息;
根据预定的风险类型选择相应的已训练的风险预测模型,并基于选择的风险预测模型对所述终端行为信息进行风险预测;
根据风险预测的结果构建终端行为画像。
从上述描述可知,本申请实施例提供的电子设备,通过从预先构建的终端数据平台获取终端数据,并根据预定的风险类型选择相应的风险预测模型对终端数据中的终端行为信息进行风险预测,之后根据风险预测结果来构建终端行为画像,从而可以实现对终端行为的精准管理,进而可以有效提升集团的安全管控能力。
在另一个实施方式中,终端行为画像构建装置可以与中央处理器100分开配置,例如可以将终端行为画像构建装置配置为与中央处理器100连接的芯片,通过中央处理器的控制来实现终端行为画像构建功能。
如图5所示,该电子设备600还可以包括:通信模块110、输入单元120、音频处理单元130、显示器160、电源170。值得注意的是,电子设备600也并不是必须要包括图5中所示的所有部件;此外,电子设备600还可以包括图5中没有示出的部件,可以参考现有技术。
如图5所示,中央处理器100有时也称为控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该中央处理器100接收输入并控制电子设备600的各个部件的操作。
其中,存储器140,例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息,此外还可存储执行有关信息的程序。并且中央处理器100可执行该存储器140存储的该程序,以实现信息存储或处理等。
输入单元120向中央处理器100提供输入。该输入单元120例如为按键或触摸输入装置。电源170用于向电子设备600提供电力。显示器160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器,但并不限于此。
该存储器140可以是固态存储器,例如,只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器,其即使在断电时也保存信息,可被选择性地擦除且设有更多数据,该存储器的示例有时被称为EPROM等。存储器140还可以是某种其它类型的装置。存储器140包括缓冲存储器141(有时被称为缓冲器)。存储器140可以包括应用/功能存储部142,该应用/功能存储部142 用于存储应用程序和功能程序或用于通过中央处理器100执行电子设备600的操作的流程。
存储器140还可以包括数据存储部143,该数据存储部143用于存储数据,例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器 140的驱动程序存储部144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
通信模块110即为经由天线111发送和接收信号的发送机/接收机110。通信模块(发送机/接收机)110耦合到中央处理器100,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。
基于不同的通信技术,在同一电子设备中,可以设置有多个通信模块110,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)110 还经由音频处理器130耦合到扬声器131和麦克风132,以经由扬声器131提供音频输出,并接收来自麦克风132的音频输入,从而实现通常的电信功能。音频处理器130可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器130 还耦合到中央处理器100,从而使得可以通过麦克风132能够在本机上录音,且使得可以通过扬声器131来播放本机上存储的声音。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时以实现上述终端行为画像构建方法的步骤。
综上所述,本发明实施例为打破信息孤岛问题,提供了一种终端行为画像构建方案,通过对海量用户数据进行分析,挖掘出有用信息,进行终端数字画像,从而实现对终端的精准管理,进一步提升集团主动、立体的安全防御能力。
以上参照附图描述了本发明的优选实施方式。这些实施方式的许多特征和优点根据该详细的说明书是清楚的,因此权利要求旨在覆盖这些实施方式的落入其真实精神和范围内的所有这些特征和优点。此外,由于本领域的技术人员容易想到很多修改和改变,因此不是要将本发明的实施方式限于所例示和描述的精确结构和操作,而是可以涵盖落入其范围内的所有合适修改和等同物。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (6)

1.一种终端行为画像的构建方法,其特征在于,所述方法包括:
通过预先构建的终端数据平台获取终端数据,所述终端数据包括:终端行为信息和与该终端相关的用户岗位信息;
根据预定的风险类型选择相应的已训练的风险预测模型,并基于选择的风险预测模型对所述终端行为信息进行风险预测;
根据风险预测的结果构建终端行为画像;
其中,所述终端行为信息包括:域名系统日志信息、网络流信息、文件外传记录或指定端口流量信息,所述风险预测模型为域名风险预测模型、病毒风险预测模型、信息泄露风险预测模型或端口病毒风险预测模型,基于选择的风险预测模型对所述终端行为信息进行风险预测包括:
根据预先存储的安全域名信息和风险域名信息对所述域名系统日志信息进行匹配操作,响应于匹配结果为与所述安全域名信息和风险域名信息匹配均失败,将所述域名系统日志信息输入至已训练的域名风险预测模型进行域名风险预测,所述域名风险预测模型基于历史安全域名信息和历史风险域名信息进行训练;
将所述网络流信息输入至已训练的病毒风险预测模型,所述病毒风险预测模型基于所述网络流信息中的单一IP地址的会话信息进行病毒风险预测;
根据所述用户岗位信息预先设置文件外传记录规则;将所述文件外传记录输入至已训练的信息泄露风险预测模型,所述信息泄露风险预测模型基于所述文件外传记录规则进行信息泄露风险预测;
将所述指定端口流量信息输入至已训练的端口病毒风险预测模型,所述端口病毒风险预测模型基于该指定端口的周期流量信息进行端口病毒风险预测。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于域名风险预测结果为高风险,将所述域名系统日志信息添加到所述风险域名信息,并对所述终端进行风险防御处理。
3.一种终端行为画像的构建装置,其特征在于,所述装置包括:
数据获取单元,用于通过预先构建的终端数据平台获取终端数据,所述终端数据包括:终端行为信息和与该终端相关的用户岗位信息;
风险预测单元,用于根据预定的风险类型选择相应的已训练的风险预测模型,并基于选择的风险预测模型对所述终端行为信息进行风险预测;
画像构建单元,用于根据风险预测的结果构建终端行为画像;
其中,所述终端行为信息包括域名系统日志信息、网络流信息、文件外传记录或指定端口流量信息,所述风险预测模型为域名风险预测模型、病毒风险预测模型、信息泄露风险预测模型或端口病毒风险预测模型,所述风险预测单元还包括:
匹配模块,用于根据预先存储的安全域名信息和风险域名信息对所述域名系统日志信息进行匹配操作;
域名风险预测模块,用于响应于匹配结果为与所述安全域名信息和风险域名信息匹配均失败,将所述域名系统日志信息输入至已训练的域名风险预测模型进行域名风险预测,所述域名风险预测模型基于历史安全域名信息和历史风险域名信息进行训练;
病毒风险预测模块,用于将所述网络流量信息输入至已训练的病毒风险预测模型,所述病毒风险预测模型基于所述网络流信息中的单一IP地址的会话信息进行病毒风险预测;
文件外传记录规则设置模块,用于根据所述用户岗位信息预先设置文件外传记录规则;
信息泄露风险预测模块,用于将所述文件外传记录输入至已训练的信息泄露风险预测模型,所述信息泄露风险预测模型基于所述文件外传记录规则进行信息泄露风险预测;
端口病毒风险预测模块,用于将所述指定端口流量信息输入至已训练的端口病毒风险预测模型,所述端口病毒风险预测模型基于该指定端口的周期流量信息进行端口病毒风险预测。
4.根据权利要求3所述的装置,其特征在于,所述装置还包括:
风险处理单元,用于响应于域名风险预测结果为高风险,将所述域名系统日志信息添加到所述风险域名信息,并对所述终端进行风险防御处理。
5.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至2中任一项所述方法的步骤。
6.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至2中任一项所述方法的步骤。
CN202010817137.1A 2020-08-14 2020-08-14 终端行为画像的构建方法、装置、电子设备及存储介质 Active CN111953695B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010817137.1A CN111953695B (zh) 2020-08-14 2020-08-14 终端行为画像的构建方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010817137.1A CN111953695B (zh) 2020-08-14 2020-08-14 终端行为画像的构建方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN111953695A CN111953695A (zh) 2020-11-17
CN111953695B true CN111953695B (zh) 2022-10-28

Family

ID=73342236

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010817137.1A Active CN111953695B (zh) 2020-08-14 2020-08-14 终端行为画像的构建方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN111953695B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102821002A (zh) * 2011-06-09 2012-12-12 中国移动通信集团河南有限公司信阳分公司 网络流量异常检测方法和系统
CN109918899A (zh) * 2019-01-23 2019-06-21 平安科技(深圳)有限公司 服务器、员工泄露企业信息的预测方法及存储介质
CN110247916A (zh) * 2019-06-20 2019-09-17 四川长虹电器股份有限公司 恶意域名检测方法
CN111078880A (zh) * 2019-12-12 2020-04-28 支付宝(杭州)信息技术有限公司 子应用的风险识别方法以及装置
CN111444236A (zh) * 2020-03-23 2020-07-24 华南理工大学 一种基于大数据的移动终端用户画像构建方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10904282B2 (en) * 2017-08-08 2021-01-26 American International Group, Inc. System and method for assessing cybersecurity risk of computer network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102821002A (zh) * 2011-06-09 2012-12-12 中国移动通信集团河南有限公司信阳分公司 网络流量异常检测方法和系统
CN109918899A (zh) * 2019-01-23 2019-06-21 平安科技(深圳)有限公司 服务器、员工泄露企业信息的预测方法及存储介质
CN110247916A (zh) * 2019-06-20 2019-09-17 四川长虹电器股份有限公司 恶意域名检测方法
CN111078880A (zh) * 2019-12-12 2020-04-28 支付宝(杭州)信息技术有限公司 子应用的风险识别方法以及装置
CN111444236A (zh) * 2020-03-23 2020-07-24 华南理工大学 一种基于大数据的移动终端用户画像构建方法及系统

Also Published As

Publication number Publication date
CN111953695A (zh) 2020-11-17

Similar Documents

Publication Publication Date Title
CN110381045B (zh) 攻击操作的处理方法和装置、存储介质及电子装置
CN106295328B (zh) 文件检测方法、装置及系统
CN112511512A (zh) 漏洞扫描引擎和威胁检测引擎的风险管理系统
US11777961B2 (en) Asset remediation trend map generation and utilization for threat mitigation
US20230308487A1 (en) System and method for secure evaluation of cyber detection products
WO2020046458A1 (en) Increasing security of network resources utilizing virtual honeypots
WO2018216000A1 (en) A system and method for on-premise cyber training
CN113141335B (zh) 网络攻击检测方法及装置
WO2022257226A1 (zh) 基于网络空间测绘的蜜罐识别方法、装置、设备及介质
CN114172703A (zh) 一种恶意软件识别方法、装置、介质
CN111464513A (zh) 数据检测方法、装置、服务器及存储介质
CN115550049A (zh) 一种物联网设备的漏洞检测方法及系统
CN111049828B (zh) 网络攻击检测及响应方法及系统
Djap et al. Xb-pot: Revealing honeypot-based attacker’s behaviors
WO2019018829A1 (en) MITIGATING IMPROVED CYBERSECURITY THREATS USING DEEP AND BEHAVIORAL ANALYTICS
CN115134166A (zh) 一种基于蜜洞的攻击溯源方法
CN117527412A (zh) 数据安全监测方法及装置
CN113132316A (zh) 一种Web攻击检测方法、装置、电子设备及存储介质
CN108108618B (zh) 伪造攻击的应用界面检测方法及装置
CN111245800B (zh) 网络安全测试方法和装置、存储介质、电子装置
CN111953695B (zh) 终端行为画像的构建方法、装置、电子设备及存储介质
CN110378120A (zh) 应用程序接口攻击检测方法、装置以及可读存储介质
CN115688100A (zh) 一种放置诱饵文件的方法、装置、设备及介质
CN115396218A (zh) 基于流量分析的企业api安全管控方法及系统
US11763004B1 (en) System and method for bootkit detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant