CN113157652A - 一种基于用户操作审计的用户行画像和异常行为检测方法 - Google Patents
一种基于用户操作审计的用户行画像和异常行为检测方法 Download PDFInfo
- Publication number
- CN113157652A CN113157652A CN202110517680.4A CN202110517680A CN113157652A CN 113157652 A CN113157652 A CN 113157652A CN 202110517680 A CN202110517680 A CN 202110517680A CN 113157652 A CN113157652 A CN 113157652A
- Authority
- CN
- China
- Prior art keywords
- user
- behavior
- abnormal
- data
- method based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 38
- 238000001514 detection method Methods 0.000 title claims abstract description 28
- 238000012550 audit Methods 0.000 title claims abstract description 20
- 230000006399 behavior Effects 0.000 claims abstract description 70
- 230000002159 abnormal effect Effects 0.000 claims abstract description 10
- 238000005065 mining Methods 0.000 claims description 6
- 230000005856 abnormality Effects 0.000 claims description 3
- 238000000034 method Methods 0.000 abstract description 7
- 238000004458 analytical method Methods 0.000 description 11
- 230000000903 blocking effect Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/1734—Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Human Computer Interaction (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开一种基于用户操作审计的用户行画像和异常行为检测方法,本发明采用以上技术方案,通过机器来学习用户日常操作习惯,发现用户违规和异常操作,并记录用户操作过程。根据用户正常操作行为,结合用户的个人信息和网络环境形成一个用户行为模型。通过实时检测和分析用户操作行为,根据预先配置好的审计规则对用户行为进行审计,对于违反用户操作准则和不符合用户日常操作习惯的行为进行告警。并且用户实时操作会形成实时行为模型,通过和用户行为模型进行计算,依靠系统内置算法分析用户存在的异常行为。最终用户操作习惯和检测结果全部通过用户画像图形化展示出来。本发明可以检测出如账号共用、异常登录、非法访问等单纯通过操作审计无法获取到的异常行为,极大的提高了检测结果的准确性。
Description
技术领域
本发明涉及数据处理技术领域,尤其涉及一种基于用户操作审计的用户行画像和异常行为检测方法。
背景技术
随着5G网络时代的到来,网络安全已进入公众视野,在网络信息时代占据重要地位。越来越多的企业重视网络安全,越来越多的专业人员投入到网络安全事业中,致力于及时发现、阻断和维护网络安全。通过用户异常行为检测可发现大部分的外部威胁和告警,进一步采取阻断措施,从而及时阻断网络攻击。
用户异常行为检测基于用户行为分析。传统的用户行为分析根据用户操作日志,分场景对所有用户日常行为建立用户行为模型。当网络攻击发生时,将异常行为和已有的用户行为分析模型进行对比,得到用户异常行为告警,进行阻断。这样的模型可发现部分有效告警,但由于以所有用户的行为分析作为数据源建立用户行为分析模型,数据源的普遍性问题,可能会导致漏报或大量误报的情况。例如:当数据源中包含大量管理员操作日志,模型异常检测门槛过高,当普通用户账户发生异常行为,无法有效发现;当数据源中包含大量普通用户的操作日志,管理员的日常维护操作将带来大量的误报告警。在网络安全发展过程中,人们尝试使用各种巧妙的算发,提高用户异常行为检测的准确度,降低误报率。这些方法在一定程度上提高了用户异常行为检测的精准度。但现存仍有大量误报和漏报的情况,导致阻断不及时,发生网络安全事件。
发明内容
本发明的目的在于提供一种基于用户操作审计的用户行画像和异常行为检测方法。
本发明采用的技术方案是:
一种基于用户操作审计的用户行画像和异常行为检测方法,其包括以下步骤:
步骤1,采集获取基本用户数据,同时采集用户数据的基本特征形成基本特征库;
步骤2,数据处理:对统一汇聚的用户数据集中进行数据处理;
步骤3,用户属性画像:从实际业务系统原始数据中提取系统用户信息构建数据集,并根据系统用户信息构建用户标签系统,进而形成用户属性画像模型;
步骤4,用户行为画像:对用户角色进行分类分析挖掘对应角色操作的功能点,通过统计特征得出用户操作工作频率以及功能占比,对用户行为进行频繁序列挖掘形成用户的频繁序列的用户行为画像;
步骤5,异常检测:将用户待测的行为序列模式与已知正常行为的特征序列模式进行模式匹配以确认行为是否异常;
步骤6,安全告警:匹配的异常行为直接产生实时告警,及时发现异常行为和入侵行为。
进一步地,步骤1中基本用户数据包含设备各类日志、4A审计数据、用户限权数据。
进一步地,步骤1中基本特征库包括高危资源库和分布资源库。
进一步地,步骤3中用户属性包括基本属性、常用节点属性和角色属性。
进一步地,步骤5的具体步骤为:
步骤5-1,精确提取用户的正常行为模式得到已知特征序列模式;
步骤5-1,把用户待测的行为序列模式与已知特征序列模式进行模式匹配,
当匹配正确一致时,则待测行为为正常行为;当无法匹配或匹配程度低时,则将待测行为划分为异常行为。
本发明采用以上技术方案,通过机器来学习用户日常操作习惯,发现用户违规和异常操作,并记录用户操作过程。根据用户正常操作行为,结合用户的个人信息和网络环境形成一个用户行为模型。通过实时检测和分析用户操作行为,根据预先配置好的审计规则对用户行为进行审计,对于违反用户操作准则和不符合用户日常操作习惯的行为进行告警。并且用户实时操作会形成实时行为模型,通过和用户行为模型进行计算,依靠系统内置算法分析用户存在的异常行为。最终用户操作习惯和检测结果全部通过用户画像图形化展示出来。这种异常检测机制可以检测出如账号共用、异常登录、非法访问等单纯通过操作审计无法获取到的异常行为,极大的提高了检测结果的准确性。
附图说明
以下结合附图和具体实施方式对本发明做进一步详细说明;
图1为本发明一种基于用户操作审计的用户行画像和异常行为检测方法的原理架构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图对本申请实施例中的技术方案进行清楚、完整地描述。
为了提高用户异常行为检测精确度,可区分用户类型,进行用户行为分析和用户异常行为检测,提高可靠性。且已有大量的运维操作审计的情况下,可基于运维操作审计形成用户行为画像,将用户异常行为对比用户画像,进行用户异常行为检测。通过机器学习动态的调整用户行为模型,减少用户配置。如图1所示,本发明公开了本发明提出一种基于用户操作审计的用户画像和异常行为检测方法,降低用户异常行为检测的误报和漏报情况,提高精准度,方法包括以下步骤:
步骤1,采集获取基本用户数据,同时采集用户数据的基本特征形成基本特征库;
步骤2,数据处理:对统一汇聚的用户数据集中进行数据处理;
步骤3,用户属性画像:从实际业务系统原始数据中提取系统用户信息构建数据集,并根据系统用户信息构建用户标签系统,进而形成用户属性画像模型;
步骤4,用户行为画像:对用户角色进行分类分析挖掘对应角色操作的功能点,通过统计特征得出用户操作工作频率以及功能占比,对用户行为进行频繁序列挖掘形成用户的频繁序列的用户行为画像;
步骤5,异常检测:将用户待测的行为序列模式与已知正常行为的特征序列模式进行模式匹配以确认行为是否异常;
步骤6,安全告警:匹配的异常行为直接产生实时告警,及时发现异常行为和入侵行为。
进一步地,步骤1中基本用户数据包含设备各类日志、4A审计数据、用户限权数据。
进一步地,步骤1中基本特征库包括高危资源库和分布资源库。
进一步地,步骤3中用户属性包括基本属性、常用节点属性和角色属性。
进一步地,步骤5的具体步骤为:
步骤5-1,精确提取用户的正常行为模式得到已知特征序列模式;
步骤5-1,把用户待测的行为序列模式与已知特征序列模式进行模式匹配,
当匹配正确一致时,则待测行为为正常行为;当无法匹配或匹配程度低时,则将待测行为划分为异常行为。
本发明采用以上技术方案,具有如下优点:(1)通过用户画像更好更直观的展示用户的操作内容和行为习惯,对应发现的异常行为可以通过和日常行为习惯比对从而更好的呈现出来。可以完整的呈现用户的行为习惯和异常操作。(2)通过机器学习动态的调整用户行为模型,而不是静态的模型配置,这样可以减少用户配置,从而减少用户分析过程中可能存在的偏差,最大限度的发挥机器学习的优势,从模型角度来减少漏报。(3)对于用户的实时操作形成实时操作模型,将用户操做进行实时、动态的分析,分析的颗粒度比较细,实现近实时流的分析方式,从而最大限度的减少以往分析方法可能出现的漏报和误报问题。(4)用户行为模型和实时操作模型会根据用户实时操作行为进行调整,在此基础上结合系统内部众多算法,对用户模型通过关联分析、回溯分析、横向对比等方法进行数据分析,结合用户的历史操作进行追溯,极大的降低了漏报的问题。
显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
Claims (5)
1.一种基于用户操作审计的用户行画像和异常行为检测方法,其特征在于:其包括以下步骤:
步骤1,采集获取基本用户数据,同时采集用户数据的基本特征形成基本特征库;
步骤2,数据处理:对统一汇聚的用户数据集中进行数据处理;
步骤3,用户属性画像:从实际业务系统原始数据中提取系统用户信息构建数据集,并根据系统用户信息构建用户标签系统,进而形成用户属性画像模型;
步骤4,用户行为画像:对用户角色进行分类分析挖掘对应角色操作的功能点,通过统计特征得出用户操作工作频率以及功能占比,对用户行为进行频繁序列挖掘形成用户的频繁序列的用户行为画像;
步骤5,异常检测:将用户待测的行为序列模式与已知正常行为的特征序列模式进行模式匹配以确认行为是否异常;
步骤6,安全告警:匹配的异常行为直接产生实时告警,及时发现异常行为和入侵行为。
2.根据权利要求1所述的一种基于用户操作审计的用户行画像和异常行为检测方法,其特征在于:步骤1中基本用户数据包含设备各类日志、4A审计数据、用户限权数据。
3.根据权利要求1所述的一种基于用户操作审计的用户行画像和异常行为检测方法,其特征在于:步骤1中基本特征库包括高危资源库和分布资源库。
4.根据权利要求1所述的一种基于用户操作审计的用户行画像和异常行为检测方法,其特征在于:步骤3中用户属性包括基本属性、常用节点属性和角色属性。
5.根据权利要求1所述的一种基于用户操作审计的用户行画像和异常行为检测方法,其特征在于:步骤5的具体步骤为:
步骤5-1,精确提取用户的正常行为模式得到已知特征序列模式;
步骤5-1,把用户待测的行为序列模式与已知特征序列模式进行模式匹配,
当匹配正确一致时,则待测行为为正常行为;当无法匹配或匹配程度低时,则将待测行为划分为异常行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110517680.4A CN113157652A (zh) | 2021-05-12 | 2021-05-12 | 一种基于用户操作审计的用户行画像和异常行为检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110517680.4A CN113157652A (zh) | 2021-05-12 | 2021-05-12 | 一种基于用户操作审计的用户行画像和异常行为检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113157652A true CN113157652A (zh) | 2021-07-23 |
Family
ID=76874910
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110517680.4A Pending CN113157652A (zh) | 2021-05-12 | 2021-05-12 | 一种基于用户操作审计的用户行画像和异常行为检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113157652A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109002490A (zh) * | 2018-06-26 | 2018-12-14 | 腾讯科技(深圳)有限公司 | 用户画像生成方法、装置、服务器及存储介质 |
| CN110958251A (zh) * | 2019-12-04 | 2020-04-03 | 中电福富信息科技有限公司 | 一种基于实时流处理检测失陷主机并回溯的方法及装置 |
| US20200120102A1 (en) * | 2018-10-10 | 2020-04-16 | Nuweba Labs Ltd. | Techniques for protecting against flow manipulation of serverless functions |
| CN112491779A (zh) * | 2019-09-12 | 2021-03-12 | 中移(苏州)软件技术有限公司 | 一种异常行为检测方法及装置、电子设备 |
| CN112491872A (zh) * | 2020-11-25 | 2021-03-12 | 国网辽宁省电力有限公司信息通信分公司 | 一种基于设备画像的异常网络访问行为检测方法和系统 |
-
2021
- 2021-05-12 CN CN202110517680.4A patent/CN113157652A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109002490A (zh) * | 2018-06-26 | 2018-12-14 | 腾讯科技(深圳)有限公司 | 用户画像生成方法、装置、服务器及存储介质 |
| US20200120102A1 (en) * | 2018-10-10 | 2020-04-16 | Nuweba Labs Ltd. | Techniques for protecting against flow manipulation of serverless functions |
| CN112491779A (zh) * | 2019-09-12 | 2021-03-12 | 中移(苏州)软件技术有限公司 | 一种异常行为检测方法及装置、电子设备 |
| CN110958251A (zh) * | 2019-12-04 | 2020-04-03 | 中电福富信息科技有限公司 | 一种基于实时流处理检测失陷主机并回溯的方法及装置 |
| CN112491872A (zh) * | 2020-11-25 | 2021-03-12 | 国网辽宁省电力有限公司信息通信分公司 | 一种基于设备画像的异常网络访问行为检测方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101803337B (zh) | 入侵检测方法和系统 | |
| US20180114016A1 (en) | Method and apparatus for detecting anomaly based on behavior-analysis | |
| US20100146622A1 (en) | Security system and method for detecting intrusion in a computerized system | |
| CN112804196A (zh) | 日志数据的处理方法及装置 | |
| CN112491779B (zh) | 一种异常行为检测方法及装置、电子设备 | |
| CN101751535A (zh) | 通过应用程序数据访问分类进行的数据损失保护 | |
| CN104038466B (zh) | 用于云计算环境的入侵检测系统、方法及设备 | |
| Yu | A survey of anomaly intrusion detection techniques | |
| US9961047B2 (en) | Network security management | |
| CN113630419B (zh) | 一种基于api流量的数据分类分级及数据安全监测方法及系统 | |
| CN113904881B (zh) | 一种入侵检测规则误报处理方法和装置 | |
| CN113242267A (zh) | 一种基于类脑计算的态势感知方法 | |
| CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
| CN112039858A (zh) | 一种区块链服务安全加固系统与方法 | |
| CN110149303B (zh) | 一种党校的网络安全预警方法及预警系统 | |
| CN107465652B (zh) | 一种操作行为检测方法、服务器及系统 | |
| CN113282474A (zh) | 基于堡垒机的用户行为监控方法、系统、设备及介质 | |
| CN112261034A (zh) | 基于企业内网的网络安全防护系统 | |
| CN107623677B (zh) | 数据安全性的确定方法和装置 | |
| CN108289035B (zh) | 一种直观的网络及业务系统运行状态展现方法及系统 | |
| CN113157652A (zh) | 一种基于用户操作审计的用户行画像和异常行为检测方法 | |
| CN114285596A (zh) | 基于机器学习的变电站终端账号异常检测方法 | |
| Dhakar et al. | A New Model for Intrusion Detection based on Reduced Error Pruning Technique | |
| Fessi et al. | Data collection for information security system | |
| Lee et al. | Sierra: Ranking anomalous activities in enterprise networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210723 |
|
| RJ01 | Rejection of invention patent application after publication |