CN113326507B - 一种识别内网潜在威胁业务账号的方法及装置 - Google Patents

Abstract

本发明提供一种识别内网潜在威胁业务账号的方法及装置，所述方法包括：确定待测业务账号登录内网的业务资源系统的登录行为日志；基于所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列；确定每个所述待测业务账号的登录行为时间序列的周期，并基于所述周期对所述待测业务账号的登录行为时间序列进行划分，以得到每个所述待测业务账号的子行为时间序列；计算所述待测业务账号的子行为时间序列间的相似度；基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号。本发明的方法能够快速有效，且准确地识别出内网中潜在威胁业务账号。

Description

一种识别内网潜在威胁业务账号的方法及装置

技术领域

本发明实施例涉及内网业务审计领域，特别涉及一种识别内网潜在威胁业务账号的方法及装置。

背景技术

近年来，企业内网中的业务系统发展十分迅速，尤其企业内网中存在的大量的网络设备、应用系统，及对应的大量业务账号、管理账号，分别归属不同的部门人员进行维护管理，但繁多的账号及业务资源系统，造成管理困难，管理成本较高，更多的带来安全问题：难以对账号行为进行有效的监督和审计。

目前比较行之有效的方案是在企业内部搭建集中管控平台(如统一安全管理平台、堡垒机、安全网关等)，对企业内部的业务资源的账号、账号管理、账号授权进行统一管理及账号行为集中审计，保证在企业内部中能安全、方便的使用特定的业务资源(系统)。

但即使在企业内部搭建集中管控平台统一管理账号及业务资源，也常存在以下的业务问题：

1.业务账号无法全部审计

在每个系统资源内，不是所有的业务账号都在访问管控平台系统内进行审计，例如，在内网环境中存在不经过管控直接发起对业务系统服务请求资源的业务账号，此类业务账号常用于对业务资源的查询、更新等大量频繁操作，对于未在审计范围内的账号活动，带来的缺点一方面是未审计的业务账号的异常活动有可能是破坏性活动，此类业务账号都会对企业重要资产资源造成严重的破坏，尤其是涉及用户数据的企业；而另一方面是未审计的业务账号常见于完成入侵的恶意软件中，常见APT类型(高级可持续威胁攻击类型,也称为定向威胁攻击类型)包括隐秘窃取行为。

2.未审计业务账号的威胁行为研判效率低

对未审计的业务账号威胁行为的判定常见有两种：第一种是通过人为的筛选，业务人员需要对未审计的账号结合其历史行为进行一一验证，这样会增加人工审计的工作成本，工作效率低下，并且容易出错。第二种是需要依靠业务人员的已有经验提炼出规则，进而使用简单的计算公式设定阈值来进行检测，但是其缺点是准确率较低，容易漏报。若漏报的业务账号的行为不属于内网正常账号活动行为，则会对内网业务安全及数据安全造成严重威胁。

发明内容

本发明提供了一种能够有效且准确地识别出内网中潜在威胁业务账号的方法，及应用该方法的电子装置。

本发明实施例提供了一种识别内网潜在威胁业务账号的方法，包括：

确定待测业务账号登录内网的业务资源系统的登录行为日志；

基于所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列；

确定每个所述待测业务账号的登录行为时间序列的周期，并基于所述周期对所述待测业务账号的登录行为时间序列进行划分，以得到每个所述待测业务账号的子行为时间序列；

计算所述待测业务账号的子行为时间序列间的相似度；

基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号。

可选地，所述待测业务账号为未经管控平台审计的业务账号，所述管控平台用于对向所述内网的业务资源系统发起请求的业务账号进行安全审计；

所述确定待测业务账号登录内网的业务资源系统的登录行为日志，包括：

自所述业务资源系统的系统日志中获得对应所述业务资源系统的第一登录行为日志；

自所述管控平台中获得对应所述业务资源系统的第二登录行为日志；

基于所述第一登录行为日志及第二登录行为日志确定未经审计的所述待测业务账号的登录行为日志。

可选地，所述第一登录行为日志及第二登录行为日志均包括业务账号、源IP地址及登录时间，其中，经过所述管控平台登录所述业务资源系统的业务账号，其在所述第一登录行为日志及第二登录行为日志中的所述源IP地址相同；

所述基于所述第一登录行为日志及第二登录行为日志确定未经审计的所述待测业务账号的登录行为日志，包括：

滤除在所述第一登录行为日志及第二登录行为日志中对应同一业务账号的源IP地址相同，且登录时间相同的所述第一登录行为日志；

将剩余的所述第一登录行为日志确定为所述待测业务账号的登录行为日志。

可选地，所述待测业务账号的登录行为日志包括待测业务账号、源IP地址、登录时间；

所述基于所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列，包括：

设置满足时间序列的多个目标时间段；

基于所述待测业务账号的登录行为日志确定在每个所述目标时间段内对应同一所述待测业务账号及源IP地址的登录次数；

基于每个所述待测业务账号及对应的目标时间段、登录次数分别构建对应每个所述待测业务账号的登录行为时间序列。

可选地，所述确定每个所述待测业务账号的登录行为时间序列的周期，并基于所述周期对所述待测业务账号的登录行为时间序列进行划分，以得到每个所述待测业务账号的子行为时间序列，包括：

基于快速傅里叶变换算法对每个所述待测业务账号的登录行为时间序列进行计算，以确定出每个所述待测业务账号的登录行为时间序列的周期；

基于所述周期对对应的所述待测业务账号的登录行为时间序列进行切片分段，以得到对应每个所述待测业务账号的子行为时间序列。

可选地，所述计算所述待测业务账号的子行为时间序列间的相似度，包括：

基于动态时间规整算法计算所述待测业务账号中时序相邻的子行为时间序列的相似度。

可选地，所述基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号，包括：

确定每个所述待测业务账号的相似度中与所述相似度阈值满足目标关系的第一相似度；

统计所述第一相似度的数量；

基于所述第一相似度的数量辅助确定所述待测业务账号是否为潜在威胁业务账号。

可选地，所述基于所述第一相似度数量辅助确定所述待测业务账号是否为潜在威胁业务账号，包括：

确定所述第一相似度与对应的所述待测业务账号的全部相似度的比例数值；

基于所述比例数值与占比阈值确定所述待测业务账号是否为潜在威胁业务账号。

本发明另一实施例同时提供一种电子装置，包括：

第一确定模块，用于确定待测业务账号登录内网的业务资源系统的登录行为日志；

第二确定模块，用于根据所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列；

第三确定模块，用于确定每个所述待测业务账号的登录行为时间序列的周期，并基于所述周期对所述待测业务账号的登录行为时间序列进行划分，以得到每个所述待测业务账号的子行为时间序列；

计算模块，用于计算所述待测业务账号的子行为时间序列间的相似度；

判断模块，用于根据所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号。

可选地，所述待测业务账号为未经管控平台审计的业务账号，所述管控平台用于对向所述内网的业务资源系统发起请求的业务账号进行安全审计；

所述第一确定模块还用于：

自所述业务资源系统的系统日志中获得对应所述业务资源系统的第一登录行为日志；

自所述管控平台中获得对应所述业务资源系统的第二登录行为日志；

基于所述第一登录行为日志及第二登录行为日志确定未经审计的所述待测业务账号的登录行为日志。

基于上述实施例的公开可以获知，本发明实施例具备的有益效果包括通过获得待测业务账号登录内网的业务资源系统的登录行为日志，并基于该待测业务账号的登录行为日志确定每个待测业务账号的登录行为时间序列，接着计算每个待测业务账号的登录行为时间序列的周期，并基于周期对待测业务账号的登录行为时间序列进行划分，以得到每个待测业务账号的子行为时间序列，之后计算待测业务账号的子行为时间序列间的相似度，最后基于相似度及相似度阈值确定待测业务账号是否为潜在威胁业务账号，该过程无需人为操作，简化了业务人员的操作流程，同时无需业务人员凭借经验制定检测规则，而是充分利用待测业务账号的登录行为时间序列来辅助计算时间序列的相似度，以基于计算得到的相似度快速且准确的识别出活动行为异常的潜在威胁业务账号，确保内网的业务资源系统的使用安全性。

附图说明

图1为本发明实施例中的识别内网潜在威胁业务账号的方法的流程图。

图2为本发明实施例中终端、管控平台与不同业务系统间的逻辑关系图。

图3为本发明另一实施例中的识别内网潜在威胁业务账号的方法的流程图。

图4为本发明实施例中的待测业务账号登录行为时间序列的示意图。

图5为本发明实施例中的待测业务账号登录行为时间序列基于快速傅里叶算法转换为频谱图的过程示意图。

图6为本发明实施例中在计算子行为时间序列相似度时生成的多个WARP路径的示意图。

图7本发明实施例中的电子装置的结构框图。

具体实施方式

下面，结合附图对本发明的具体实施例进行详细的描述，但不作为本发明的限定。

应理解的是，可以对此处公开的实施例做出各种修改。因此，下述说明书不应该视为限制，而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。

包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例，并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。

通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述，本发明的这些和其它特性将会变得显而易见。

还应当理解，尽管已经参照一些具体实例对本发明进行了描述，但本领域技术人员能够确定地实现本发明的很多其它等效形式，它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。

当结合附图时，鉴于以下详细说明，本公开的上述和其他方面、特征和优势将变得更为显而易见。

此后参照附图描述本公开的具体实施例；然而，应当理解，所公开的实施例仅仅是本公开的实例，其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此，本文所公开的具体的结构性和功能性细节并非意在限定，而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。

本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”，其均可指代根据本公开的相同或不同实施例中的一个或多个。

下面，结合附图详细的说明本发明实施例。

如图1所示，本发明实施例公开一种识别内网潜在威胁业务账号的方法，包括：

确定待测业务账号登录内网的业务资源系统的登录行为日志；

基于待测业务账号的登录行为日志确定每个待测业务账号的登录行为时间序列；

确定每个待测业务账号的登录行为时间序列的周期，并基于周期对待测业务账号的登录行为时间序列进行划分，以得到每个待测业务账号的子行为时间序列；

计算待测业务账号的子行为时间序列间的相似度；

基于相似度及相似度阈值确定待测业务账号是否为潜在威胁业务账号。

例如，获得待测业务账号，该待测业务账号可以是经由人工收集得到，也可以是通过第三方设备收集得到，还可是内网中的全部业务账号，或部分未经安全审核的业务账号、陌生业务账号等，具体不限。待确定了待测业务账号后，确定待测业务账号登录内网的业务资源系统的登录行为日志，其可以从业务资源系统处得到，也可以由业务人员获取后输入至系统中，具体根据用于记录，存储业务资源系统的登录行为日志而定。得到待测业务账号的登录行为日志后，基于该日志记录的内容确定对应每个待测业务账号的登录行为时间序列，然后对各个时间序列进行周期计算，确定出各个待测业务账号的登录行为的执行周期，并基于计算出的周期对对应的时间序列进行划分，以得到对应每个待测业务账号的多个子行为时间序列，即，子行为时间序列集合。接着计算每个待测业务账号的子行为时间序列集合中各子行为时间序列间的相似度，最终基于该相似度及相似度阈值判断各个待测业务账号是否具有异常活动行为，如大量反复登录业务资源系统并请求资源，该资源可以是同一资源，也可以是相似资源，还可以是涉及用户数据的资源等，若经判断确定有异常活动行为，则可确定该待测业务账号为潜在威胁业务账号，从而完成识别。

由上述内容可知，基于本实施例的识别内网潜在威胁业务账号的方法对待测业务账号进行识别的过程是充分利用待测业务账号的登录行为时间序列来辅助计算时间序列的相似度，以基于计算得到的相似度快速且准确的识别出活动行为异常的潜在威胁业务账号，确保内网的业务资源系统的使用安全性。该识别过程无需人为操作，简化了业务人员的操作流程，同时无需业务人员凭借经验制定检测规则，有效降低了错误率。

进一步地，如图2所示，本实施例中的业务系统可以为1个，也可为多个，其均与管控平台相连，终端通过管控平台向业务资源系统发起请求，但是也有一些请求，即登录行为是不经过管控平台的。而本实施例中的待测业务账号即为未经管控平台审计的业务账号，该管控平台用于对向内网的业务资源系统发起资源请求的业务账号进行安全审计，经管控平台进行安全审计，并通过的业务账号为安全的业务账号；

如图3所示，本实施例中确定待测业务账号登录内网的业务资源系统的登录行为日志，包括：

自业务资源系统的系统日志中获得对应业务资源系统的第一登录行为日志；

自管控平台中获得对应业务资源系统的第二登录行为日志；

基于第一登录行为日志及第二登录行为日志确定未经审计的待测业务账号的登录行为日志。

进一步地，所述的第一登录行为日志及第二登录行为日志均包括业务账号、源IP地址及登录时间，其中，经过管控平台登录业务资源系统的业务账号，其在第一登录行为日志及第二登录行为日志中的源IP地址相同；

本实施例在基于第一登录行为日志及第二登录行为日志确定未经审计的待测业务账号的登录行为日志，包括：

滤除在第一登录行为日志及第二登录行为日志中对应同一业务账号的源IP地址相同，且登录时间相同的第一登录行为日志及第二登录行为日志；

将剩余的第一登录行为日志确定为待测业务账号的登录行为日志。

具体地，实际应用时业务资源系统可以是一个，也可以是多个，在获得第一登录行为日志时可以从各个业务资源系统日志中获取登录行为日志，即第一登录行为日志，该日志中的主要实体可以包含：源IP地址、登录时间、目的IP地址、登录账号(业务账号)、登录结果。其中，第一登录行为日志可以为包含全部登陆过业务资源系统的业务账号的登录行为日志。接着，从管控平台中获取各个业务资源系统登录行为日志，即第二登录行为日志，该日志中的主要实体可以包含：源IP地址、登录时间、目的IP地址、登录账号、登录结果。该第二登录行为日志可以为管控平台对经其审计的业务账号登录所需的业务资源系统的过程所记录的日志。经过管控平台登录业务资源系统的业务账号，其在第一登录行为日志及第二登录行为日志中的源IP地址相同，均属于管控平台的IP地址。当获得了第一及第二登录行为日志后，便可基于各业务账号的第一登录行为日志中记录的数据为基准线，对对应同一业务账号的第二登录行为日志中的源IP地址、登录时间等信息进行核查，若确定第一登录行为日志中的源IP地址与第二登录行为日志中的源IP地址相同且登录时间相同时，则可滤除该条第一登录行为日志及第二登录行为日志。经上述条件过滤后得到的没有被滤除的第一登录行为日志，则可确定为待测业务账号的登录行为日志。

进一步地，本实施例中的待测业务账号的登录行为日志至少包括待测业务账号、源IP地址、登录时间，当然还可以包括登录结果等其他关于登录行为的信息。

当基于待测业务账号的登录行为日志确定每个待测业务账号的登录行为时间序列时，包括：

设置满足时间序列的多个目标时间段；

基于待测业务账号的登录行为日志确定在每个目标时间段内对应同一待测业务账号及源IP地址的登录次数；

基于每个待测业务账号及对应的目标时间段、登录次数分别构建对应每个待测业务账号的登录行为时间序列。

例如，以待测业务账号、源IP地址组合作为主要实体，来对对应的登录行为日志进行特征提取，并按照时间顺序设置以一小时为一目标时间段，之后系统便可基于时间顺序，对每个待测业务账号每小时的登录次数进行提取，并计算累加值作为为特征值，最终构成多个分别对应每个待测业务账号的登录行为时间序列，登录行为时间序列的形式可参考图4所示。

进一步地，本实施例在确定每个待测业务账号的登录行为时间序列的周期，并基于周期对待测业务账号的登录行为时间序列进行划分，以得到每个待测业务账号的子行为时间序列，包括：

基于快速傅里叶变换算法对每个待测业务账号的登录行为时间序列进行计算，以确定出每个待测业务账号的登录行为时间序列的周期；

基于周期对对应的待测业务账号的登录行为时间序列进行切片分段，以得到对应每个待测业务账号的子行为时间序列。

具体地，虽然很多时间序列数据看似杂乱无章，常常不能通过观察得到其周期，但实际上其可能隐含有多个规律性的行为，因此为了快速确定时间序列数据的周期点，从傅里叶定理可知，对于任何连续记录的时间序列或信号，都可用无限叠加不同频率的正交正弦波信号表示。因此可将时间序列进行傅里叶变换，计算序列的周期特征并进行频谱分析，观察其规律，进而确定该时间序列的周期。基于此，本实施例优选采用计算速度更快捷的快速傅里叶变换算法(FFT，其为离散傅里叶变换DFT的一种快速算法)对每个待测业务账号的登录行为时间序列进行计算，以确定出每个待测业务账号的登录行为时间序列的周期。离散型傅里叶变换公式为：

其中，在输入序列X(n)的N点DFT是以N点等间隔采样，频率采样间隔为2，N为输入参数。

而快速傅里叶变换算法(FFT)的基本思路为：将大点数的DFT分解为若干个短序列的DFT的组合，以将原傅立叶变换步骤缩短，减少运算量。

具体地，应用时可基于快速傅里叶变换算法将登录行为时间序列的时域进行加权处理，以变换到频域，接着通过分析频谱关系，提取周期时间△T，例如如图5所示，该图中示出了某待测业务账号的登录时间序列被转换后的频谱图，由该频谱图可知周期时间△T＝20。当计算出周日后，利用计算出的周期△T，对原始登录行为时间序列进行切片分段。例如，输入的登录行为时间序列为H，则可以将其分成H/△T个片段，即H/△T个子行为时间序列，该H/△T个子行为时间序列形成对应该待测业务账号的子行为时间序列集合。

进一步地，本实施例在计算待测业务账号的子行为时间序列间的相似度，包括：

基于动态时间规整算法计算待测业务账号中时序相邻的子行为时间序列的相似度。

具体地，动态时间规整算法(Dynamic Time Warping，简称DTW)是一种时间序列的相似性度量方法。由于登录行为时间序列转换后的时间行为序列具有稀疏性，且在时间上存在偏移问题，故无法直接计算子序列间相似度。而DTW算法中的DTW距离由于定义了序列之间的最佳对齐匹配关系，支持不同长度时间序列的相似性度量，同时支持时间轴的伸缩和弯曲，因此采用DTW可实现本实施例中衡量时间行为序列存在相似行为的目的。

应用时，可输入两个子行为时间序列Q＝(q1,q2,......,qm)和C＝(C1,C2,......,Cn)，该两个时间序列的长度分别为m和n，故可以构成一个m*n的矩阵。Wk(i,j)表示qi和cj两个点的距离函数(常用欧式距离表征两个点的距离),Warp路径，即DTW路径会穿越该矩阵，Warp路径的第k个元素标识为w_k＝(i,j)_k，，用于代表矩阵中的两个子行为时间序列对齐的点，且对该两个子行为时间序列进行最佳对齐匹配时只能将相邻的点进行对齐；如图6所示，经DTW算法计算形成的Warp路径有很多，但并不是所有Warp路径都满足要求，需要找到最为合适的路径曲线，以使得累计距离最小,也就是路径经过的元素值数量最少，而比较两个子时间序列的相似度，就相当于寻找累计距离的最小值：

基于动态时间规划算法执行上述计算后，便可输出每个待测业务账号下的若干子行为时间序列集合中时序相邻的子行为时间序列间的相似度。以某一待测业务账号下有N个子行为时间序列的话，需要计算N-1次的相似度，并将得的N-1个相似度值，该相似度值可保存在相似度值集合中，以用于后续计算。

进一步地，本实施例基于相似度及相似度阈值确定待测业务账号是否为潜在威胁业务账号，包括：

确定每个待测业务账号的相似度中与相似度阈值满足目标关系的第一相似度；

统计第一相似度的数量；

基于第一相似度的数量辅助确定待测业务账号是否为潜在威胁业务账号。

其中，基于第一相似度数量辅助确定待测业务账号是否为潜在威胁业务账号，包括：

确定第一相似度与对应的待测业务账号的全部相似度的比例数值；

基于比例数值与占比阈值确定待测业务账号是否为潜在威胁业务账号。

例如，可根据实际观测得到的分析结果经过人工分析设置一个相似度阈值，该阈值可在后续实际检测效果的过程中进行不断调整，以提高该相似度阈值的判断精度。具体应用时可计算待测业务账号的相似度集合中的每个相似度值与设定的相似度阈值进行比较，若超过相似度阈值，则将其放置在结果集合S中，拟定相似度集合中具有N-1个相似度值，当S/N-1的比例数值超过预设定的占比阈值时，则确定与该相似度值集合对应的待测业务账号为内网潜在威胁账号，其极有可能在历史时间内做了大量未经审计的重复性资源请求行为，恐为恶意行为，故系统便可向用户输出该潜在威胁账号。

如图7所示，本发明另一实施例同时提供一种电子装置，包括：

第一确定模块，用于确定待测业务账号登录内网的业务资源系统的登录行为日志；

第二确定模块，用于根据待测业务账号的登录行为日志确定每个待测业务账号的登录行为时间序列；

第三确定模块，用于确定每个待测业务账号的登录行为时间序列的周期，并基于周期对待测业务账号的登录行为时间序列进行划分，以得到每个待测业务账号的子行为时间序列；

计算模块，用于计算待测业务账号的子行为时间序列间的相似度；

判断模块，用于根据相似度及相似度阈值确定待测业务账号是否为潜在威胁业务账号。

可选地，本实施例中的待测业务账号为未经管控平台审计的业务账号，管控平台用于对向内网的业务资源系统发起请求的业务账号进行安全审计；

所述第一确定模块还用于：

自业务资源系统的系统日志中获得对应业务资源系统的第一登录行为日志；

自管控平台中获得对应业务资源系统的第二登录行为日志；

基于第一登录行为日志及第二登录行为日志确定未经审计的待测业务账号的登录行为日志。

可选地，所述第一登录行为日志及第二登录行为日志均包括业务账号、源IP地址及登录时间，其中，经过所述管控平台登录所述业务资源系统的业务账号，其在所述第一登录行为日志及第二登录行为日志中的所述源IP地址相同；

所述第一确定模块基于所述第一登录行为日志及第二登录行为日志确定未经审计的所述待测业务账号的登录行为日志，包括：

滤除在所述第一登录行为日志及第二登录行为日志中对应同一业务账号的源IP地址相同，且登录时间相同的所述第一登录行为日志及第二登录行为日志；

将剩余的所述第一登录行为日志确定为所述待测业务账号的登录行为日志。

可选地，所述待测业务账号的登录行为日志包括待测业务账号、源IP地址、登录时间；

所述第二确定模块基于所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列，包括：

设置满足时间序列的多个目标时间段；

基于所述待测业务账号的登录行为日志确定在每个所述目标时间段内对应同一所述待测业务账号及源IP地址的登录次数；

基于每个所述待测业务账号及对应的目标时间段、登录次数分别构建对应每个所述待测业务账号的登录行为时间序列。

可选地，所述第三确定模块确定每个所述待测业务账号的登录行为时间序列的周期，并基于所述周期对所述待测业务账号的登录行为时间序列进行划分，以得到每个所述待测业务账号的子行为时间序列，包括：

基于快速傅里叶变换算法对每个所述待测业务账号的登录行为时间序列进行计算，以确定出每个所述待测业务账号的登录行为时间序列的周期；

基于所述周期对对应的所述待测业务账号的登录行为时间序列进行切片分段，以得到对应每个所述待测业务账号的子行为时间序列。

可选地，所述计算模块计算所述待测业务账号的子行为时间序列间的相似度，包括：

基于动态时间规整算法计算所述待测业务账号中时序相邻的子行为时间序列的相似度。

可选地，所述判断模块基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号，包括：

确定每个所述待测业务账号的相似度中与所述相似度阈值满足目标关系的第一相似度；

统计所述第一相似度的数量；

基于所述第一相似度的数量辅助确定所述待测业务账号是否为潜在威胁业务账号。

可选地，所述判断模块基于所述第一相似度数量辅助确定所述待测业务账号是否为潜在威胁业务账号，包括：

确定所述第一相似度与对应的所述待测业务账号的全部相似度的比例数值；

基于所述比例数值与占比阈值确定所述待测业务账号是否为潜在威胁业务账号。

本发明另一实施例还提供一种电子设备，包括:

一个或多个处理器；

存储器，配置为存储一个或多个程序；

当该一个或多个程序被该一个或多个处理器执行时，使得该一个或多个处理器实现上述方法。

本发明另一实施例还提供一种存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上所述的方法。应理解，本实施例中的各个方案具有上述方法实施例中对应的技术效果，此处不再赘述。

本发明另一实施例还提供了一种计算机程序产品，所述计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可读指令，所述计算机可执行指令在被执行时使至少一个处理器执行诸如上文所述实施例中的方法。应理解，本实施例中的各个方案具有上述方法实施例中对应的技术效果，此处不再赘述。

需要说明的是，本申请的计算机存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读介质例如可以但不限于是电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储介质(RAM)、只读存储介质(ROM)、可擦式可编程只读存储介质(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储介质(CD-ROM)、光存储介质件、磁存储介质件、或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输配置为由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、天线、光缆、RF等等，或者上述的任意合适的组合。

应当理解，虽然本申请是按照各个实施例描述的，但并非每个实施例仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

以上实施例仅为本发明的示例性实施例，不用于限制本发明，本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内，对本发明做出各种修改或等同替换，这种修改或等同替换也应视为落在本发明的保护范围内。

Claims (6)

1.一种识别内网潜在威胁业务账号的方法，包括：

确定待测业务账号登录内网的业务资源系统的登录行为日志；

基于所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列；

确定每个所述待测业务账号的登录行为时间序列的周期，并基于所述周期对所述待测业务账号的登录行为时间序列进行划分，以得到每个所述待测业务账号的子行为时间序列；

计算所述待测业务账号的子行为时间序列间的相似度；

基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号；

所述确定每个所述待测业务账号的登录行为时间序列的周期，并基于所述周期对所述待测业务账号的登录行为时间序列进行划分，以得到每个所述待测业务账号的子行为时间序列，包括：

基于快速傅里叶变换算法对每个所述待测业务账号的登录行为时间序列进行计算，以确定出每个所述待测业务账号的登录行为时间序列的周期；

基于所述周期对对应的所述待测业务账号的登录行为时间序列进行切片分段，以得到对应每个所述待测业务账号的子行为时间序列；

所述计算所述待测业务账号的子行为时间序列间的相似度，包括：

基于动态时间规整算法计算所述待测业务账号中时序相邻的子行为时间序列的相似度；

所述基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号，包括：

确定每个所述待测业务账号的相似度中与所述相似度阈值满足目标关系的第一相似度；

统计所述第一相似度的数量；

确定所述第一相似度与对应的所述待测业务账号的全部相似度的比例数值；

基于所述比例数值与占比阈值确定所述待测业务账号是否为潜在威胁业务账号。

2.根据权利要求1所述的方法，其中，所述待测业务账号为未经管控平台审计的业务账号，所述管控平台用于对向所述内网的业务资源系统发起请求的业务账号进行安全审计；

所述确定待测业务账号登录内网的业务资源系统的登录行为日志，包括：

自所述业务资源系统的系统日志中获得对应所述业务资源系统的第一登录行为日志；

自所述管控平台中获得对应所述业务资源系统的第二登录行为日志；

基于所述第一登录行为日志及第二登录行为日志确定未经审计的所述待测业务账号的登录行为日志。

3.根据权利要求2所述的方法，其中，所述第一登录行为日志及第二登录行为日志均包括业务账号、源IP地址及登录时间，其中，经过所述管控平台登录所述业务资源系统的业务账号，其在所述第一登录行为日志及第二登录行为日志中的所述源IP地址相同；

所述基于所述第一登录行为日志及第二登录行为日志确定未经审计的所述待测业务账号的登录行为日志，包括：

滤除在所述第一登录行为日志及第二登录行为日志中对应同一业务账号的源IP地址相同，且登录时间相同的所述第一登录行为日志及第二登录行为日志；

将剩余的所述第一登录行为日志确定为所述待测业务账号的登录行为日志。

4.根据权利要求1所述的方法，其中，所述待测业务账号的登录行为日志包括待测业务账号、源IP地址、登录时间；

所述基于所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列，包括：

设置满足时间序列的多个目标时间段；

基于所述待测业务账号的登录行为日志确定在每个所述目标时间段内对应同一所述待测业务账号及源IP地址的登录次数；

基于每个所述待测业务账号及对应的目标时间段、登录次数分别构建对应每个所述待测业务账号的登录行为时间序列。

5.一种电子装置，包括：

第一确定模块，用于确定待测业务账号登录内网的业务资源系统的登录行为日志；

第二确定模块，用于根据所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列；

第三确定模块，用于确定每个所述待测业务账号的登录行为时间序列的周期，并基于所述周期对所述待测业务账号的登录行为时间序列进行划分，以得到每个所述待测业务账号的子行为时间序列；

计算模块，用于计算所述待测业务账号的子行为时间序列间的相似度；

判断模块，用于根据所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号；

所述第三确定模块确定每个所述待测业务账号的登录行为时间序列的周期，并基于所述周期对所述待测业务账号的登录行为时间序列进行划分，以得到每个所述待测业务账号的子行为时间序列，包括：

基于快速傅里叶变换算法对每个所述待测业务账号的登录行为时间序列进行计算，以确定出每个所述待测业务账号的登录行为时间序列的周期；

基于所述周期对对应的所述待测业务账号的登录行为时间序列进行切片分段，以得到对应每个所述待测业务账号的子行为时间序列；

所述计算模块计算所述待测业务账号的子行为时间序列间的相似度，包括：

基于动态时间规整算法计算所述待测业务账号中时序相邻的子行为时间序列的相似度；

所述判断模块基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号，包括：

确定每个所述待测业务账号的相似度中与所述相似度阈值满足目标关系的第一相似度；

统计所述第一相似度的数量；

确定所述第一相似度与对应的所述待测业务账号的全部相似度的比例数值；

基于所述比例数值与占比阈值确定所述待测业务账号是否为潜在威胁业务账号。

6.根据权利要求5所述的电子装置，其中，所述待测业务账号为未经管控平台审计的业务账号，所述管控平台用于对向所述内网的业务资源系统发起请求的业务账号进行安全审计；

所述第一确定模块还用于：

自所述业务资源系统的系统日志中获得对应所述业务资源系统的第一登录行为日志；

自所述管控平台中获得对应所述业务资源系统的第二登录行为日志；

基于所述第一登录行为日志及第二登录行为日志确定未经审计的所述待测业务账号的登录行为日志。