CN113407905A - 一种实体行为基线分析方法、系统及终端设备 - Google Patents
一种实体行为基线分析方法、系统及终端设备 Download PDFInfo
- Publication number
- CN113407905A CN113407905A CN202110722520.3A CN202110722520A CN113407905A CN 113407905 A CN113407905 A CN 113407905A CN 202110722520 A CN202110722520 A CN 202110722520A CN 113407905 A CN113407905 A CN 113407905A
- Authority
- CN
- China
- Prior art keywords
- behavior
- dimensional
- matrix
- entity
- characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/16—Matrix or vector computation, e.g. matrix-matrix or matrix-vector multiplication, matrix factorization
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/288—Entity relationship models
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Computational Mathematics (AREA)
- Algebra (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种基于多维度视角的实体行为基线分析方法、系统及终端设备,定义实体行为的各个特征集合;对周期内的特征集合建立多维度特征矩阵;将所述多维度特征矩阵映射成多个二维特征矩阵;对多个周期内的数据集构建行为基线数据;构建待检测的行为二维特征矩阵;对待检测的行为二维特征矩阵中的行为特征数据进行异常评估。本发明对实体行为不同的特征维度,建立多个二维特征矩阵,以相同特征的行为计数作为衡量指标,多方面衡量实体行为的异常状况。本发明使用二维度特征组合的方式来构建特征矩阵,解决了多维度特征完全组合而带来的特征值过小,容易造成大量行为特征的出现偏移的情况,又避免多维度特征组合数过多而导致的大量计算。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于多维度视角的实体行为基线分析方法、系统及终端设备。
背景技术
随着网络安全技术的快速发展,针对各类内生式安全风险的实体行为分析系统开始得到广泛应用。如何在大量的用户行为数据之中,识别出异常的用户或设备行为,成为了各类行为分析系统的研究的重点。
目前对于实体异常行为分析,一般是采用建立实体行为的基线,通过计算行为数据和基线数据偏离成都的方式,来识别出异常的实体行为。单一维度的行为基线特征,往往无法真实的体现实体行为的异常,而严格匹配行为场景特征的基线,又因数据过于敏感,最终导致频繁出现漏报和误报情况的发生。
发明内容
本发明的目的是提供一种多维度实体行为基线的建立和异常分析的方法,用于解决传统行为基线分析准确度不高的问题。通过对实体行为在时间、空间、关系、数量等维度构建多个行为特征基线,通过构建对多个基线偏离率的评分策略,实现对实体异常行为更准确地检测。
实体行为基线分析方法包括:
步骤一:定义实体行为的各个特征集合;
步骤二:对周期内的特征集合建立多维度特征矩阵;
步骤三:将所述多维度特征矩阵映射成多个二维特征矩阵;
步骤四:对多个周期内的数据集构建行为基线数据;
步骤五:构建待检测的行为二维特征矩阵;
步骤六:对待检测的行为二维特征矩阵中的行为特征数据进行异常评估。
本发明还提供一种实体行为基线分析系统,包括:定义模块、矩阵配置模块、映射模块、构建行为模块以及评估模块;
定义模块用于定义实体行为的各个特征集合;
矩阵配置模块用于对周期内的特征集合建立多维度特征矩阵;
映射模块用于将所述多维度特征矩阵映射成多个二维特征矩阵;
构建行为模块用于对多个周期内的数据集构建行为基线数据,并构建待检测的行为二维特征矩阵;
评估模块用于对待检测的行为二维特征矩阵中的行为特征数据进行异常评估。
本发明还提供一种实现实体行为基线分析方法的终端设备,其特征在于,包括:
存储器,用于存储计算机程序及实体行为基线分析方法;
处理器,用于执行所述计算机程序及实体行为基线分析方法,以实现实体行为基线分析方法的步骤。
从以上技术方案可以看出,本发明具有以下优点:
本发明提供的系统中,基于在多个维度视角下,对实体行为不同的特征维度,建立多个二维特征矩阵,以相同特征的行为计数作为衡量指标,多方面衡量实体行为的异常状况。
本发明在使用过程中,使用二维度特征组合的方式来构建特征矩阵,解决了多维度特征完全组合而带来的特征值过小,容易造成大量行为特征的出现偏移的情况,又避免多维度特征组合数过多而导致的大量计算。
本发明在使用过程中,可以根据实体的角色、权限等静态特征来设定不同的行为偏移量评估权重,以适应不同实体行为异常的敏感度。
附图说明
为了更清楚地说明本发明的技术方案,下面将对描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为基于多维度视角的实体行为基线分析方法流程图。
图2为基于多维度视角的实体行为基线分析系统示意图。
具体实施方式
下面将结合本发明实施例中的附图1所示,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供的基于多维度视角的实体行为基线分析方法中,本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
本发明提供的基于多维度视角的实体行为基线分析方法中,附图1和2所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
本发明提供的基于多维度视角的实体行为基线分析方法中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
此外,本发明提供的基于多维度视角的实体行为基线分析方法中,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本发明的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本发明的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本发明的各方面。
本发明提供的基于多维度视角的实体行为基线分析方法包括:
S101:定义实体行为的各个特征集合;
其中,各个维度集合包括:集合G(T)={t1,t2,t3...tn}表示实体在时间维度上的特征集合;集合G(S)={s1,s2,s3...sm}表示实体在空间维度上的特征集合;集合G(R)={r1,r2,r3...rk}表示实体在关系维度上的特征集合。
S102:对周期内的特征集合建立多维度特征矩阵;
本实施例中,对周期时间D内特征集合的数据样本,以计数为特征值,在时间、空间、关系,数量四个特征维度建立多维度特征矩阵其中Ui为实体i,为在周期时间D内匹配维度特征t、s、r时的行为计数特征值,v为生成特征矩阵数据的列数。
S103:将所述多维度特征矩阵映射成多个二维特征矩阵;
S104:对多个周期内的数据集构建行为基线数据;
对多个周期D的二维矩阵数据Ui(T,S),Ui(T,R),Ui(R,S)分别计算矩阵中C的平均值;
S105:构建待检测的行为二维特征矩阵;
S106:对待检测的行为二维特征矩阵中的行为特征数据进行异常评估。
这样,本发明解决传统行为基线分析准确度不高的问题。通过对实体行为在时间、空间、关系、数量等维度构建多个行为特征基线,通过构建对多个基线偏离率的评分策略,实现对实体异常行为更准确地检测。
基于上述方法本发明还提供一种实体行为基线分析系统,包括:定义模块1、矩阵配置模块2、映射模块3、构建行为模块4以及评估模块5;
定义模块1用于定义实体行为的各个特征集合;
矩阵配置模块2用于对周期内的特征集合建立多维度特征矩阵;
映射模块3用于将所述多维度特征矩阵映射成多个二维特征矩阵;
构建行为模块4用于对多个周期内的数据集构建行为基线数据,并构建待检测的行为二维特征矩阵;
评估模块5用于对待检测的行为二维特征矩阵中的行为特征数据进行异常评估。
本发明提供的系统中,基于在多个维度视角下,对实体行为不同的特征维度,建立多个二维特征矩阵,以相同特征的行为计数作为衡量指标,多方面衡量实体行为的异常状况。
本发明在使用过程中,使用二维度特征组合的方式来构建特征矩阵,解决了多维度特征完全组合而带来的特征值过小,容易造成大量行为特征的出现偏移的情况,又避免多维度特征组合数过多而导致的大量计算。
本发明在使用过程中,可以根据实体的角色、权限等静态特征来设定不同的行为偏移量评估权重,以适应不同实体行为异常的敏感度。
本发明提供的实体行为基线分析系统是结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
本发明提供的实体行为基线分析系统可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (9)
1.一种实体行为基线分析方法,其特征在于,方法包括:
步骤一:定义实体行为的各个特征集合;
步骤二:对周期内的特征集合建立多维度特征矩阵;
步骤三:将所述多维度特征矩阵映射成多个二维特征矩阵;
步骤四:对多个周期内的数据集构建行为基线数据;
步骤五:构建待检测的行为二维特征矩阵;
步骤六:对待检测的行为二维特征矩阵中的行为特征数据进行异常评估。
2.根据权利要求1所述的实体行为基线分析方法,其特征在于,
步骤一中,各个维度集合包括:集合G(T)={t1,t2,t3...tn}表示实体在时间维度上的特征集合;集合G(S)={s1,s2,s3...sm}表示实体在空间维度上的特征集合;集合G(R)={r1,r2,r3...rk}表示实体在关系维度上的特征集合。
8.一种实体行为基线分析系统,其特征在于,包括:定义模块、矩阵配置模块、映射模块、构建行为模块以及评估模块;
定义模块用于定义实体行为的各个特征集合;
矩阵配置模块用于对周期内的特征集合建立多维度特征矩阵;
映射模块用于将所述多维度特征矩阵映射成多个二维特征矩阵;
构建行为模块用于对多个周期内的数据集构建行为基线数据,并构建待检测的行为二维特征矩阵;
评估模块用于对待检测的行为二维特征矩阵中的行为特征数据进行异常评估。
9.一种实现实体行为基线分析方法的终端设备,其特征在于,包括:
存储器,用于存储计算机程序及实体行为基线分析方法;
处理器,用于执行所述计算机程序及实体行为基线分析方法,以实现如权利要求1至7任意一项所述实体行为基线分析方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110722520.3A CN113407905B (zh) | 2021-06-28 | 2021-06-28 | 一种实体行为基线分析方法、系统及终端设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110722520.3A CN113407905B (zh) | 2021-06-28 | 2021-06-28 | 一种实体行为基线分析方法、系统及终端设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113407905A true CN113407905A (zh) | 2021-09-17 |
CN113407905B CN113407905B (zh) | 2023-01-03 |
Family
ID=77679899
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110722520.3A Active CN113407905B (zh) | 2021-06-28 | 2021-06-28 | 一种实体行为基线分析方法、系统及终端设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113407905B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107967489A (zh) * | 2017-11-29 | 2018-04-27 | 中国科学院空间应用工程与技术中心 | 一种异常检测方法及系统 |
CN109993556A (zh) * | 2017-12-30 | 2019-07-09 | 中国移动通信集团湖北有限公司 | 用户行为分析方法、装置、计算设备及存储介质 |
CN110011997A (zh) * | 2019-03-28 | 2019-07-12 | 杭州数梦工场科技有限公司 | 入侵检测方法及装置和计算机可读存储介质 |
US10367843B1 (en) * | 2018-11-07 | 2019-07-30 | Packetsled, Inc. | Securing a network |
WO2019220363A1 (en) * | 2018-05-16 | 2019-11-21 | Sharelock S.R.L. | Creation and verification of behavioral baselines for the detection of cybersecurity anomalies using machine learning techniques |
CN111259948A (zh) * | 2020-01-13 | 2020-06-09 | 中孚安全技术有限公司 | 一种基于融合机器学习算法的用户安全行为基线分析方法 |
CN112632533A (zh) * | 2020-11-13 | 2021-04-09 | 厦门熙重电子科技有限公司 | 一种基于滑动局部注意力机制的恶意代码检测方法 |
-
2021
- 2021-06-28 CN CN202110722520.3A patent/CN113407905B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107967489A (zh) * | 2017-11-29 | 2018-04-27 | 中国科学院空间应用工程与技术中心 | 一种异常检测方法及系统 |
CN109993556A (zh) * | 2017-12-30 | 2019-07-09 | 中国移动通信集团湖北有限公司 | 用户行为分析方法、装置、计算设备及存储介质 |
WO2019220363A1 (en) * | 2018-05-16 | 2019-11-21 | Sharelock S.R.L. | Creation and verification of behavioral baselines for the detection of cybersecurity anomalies using machine learning techniques |
US10367843B1 (en) * | 2018-11-07 | 2019-07-30 | Packetsled, Inc. | Securing a network |
CN110011997A (zh) * | 2019-03-28 | 2019-07-12 | 杭州数梦工场科技有限公司 | 入侵检测方法及装置和计算机可读存储介质 |
CN111259948A (zh) * | 2020-01-13 | 2020-06-09 | 中孚安全技术有限公司 | 一种基于融合机器学习算法的用户安全行为基线分析方法 |
CN112632533A (zh) * | 2020-11-13 | 2021-04-09 | 厦门熙重电子科技有限公司 | 一种基于滑动局部注意力机制的恶意代码检测方法 |
Non-Patent Citations (1)
Title |
---|
孙剑文: "基于用户实体行为的异常检测技术研究", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 * |
Also Published As
Publication number | Publication date |
---|---|
CN113407905B (zh) | 2023-01-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107909472B (zh) | 经营数据审核方法、装置、设备及计算机可读存储介质 | |
US20160156652A1 (en) | Pattern detection in sensor networks | |
CN108491321B (zh) | 测试用例范围确定方法、装置及存储介质 | |
CN112732785A (zh) | 时序数据异常检测方法、装置、设备及存储介质 | |
CN116258420B (zh) | 一种产品质量检测方法、装置、终端设备及介质 | |
CN112435193A (zh) | 一种点云数据去噪的方法、装置、存储介质和电子设备 | |
Wang et al. | Location and estimation of multiple outliers in weighted total least squares | |
US9547768B2 (en) | Privacy measurement and quantification | |
CN113407905B (zh) | 一种实体行为基线分析方法、系统及终端设备 | |
Ljungdahl et al. | Multidimensional parameter estimation of heavy‐tailed moving averages | |
CN116522096B (zh) | 基于动作捕捉的三维数字孪生内容智能制作方法 | |
CN115144807B (zh) | 差分滤噪和载流分级的电流互感器在线评估方法、装置 | |
CN112165498A (zh) | 一种渗透测试的智能决策方法 | |
US9460393B2 (en) | Inference of anomalous behavior of members of cohorts and associate actors related to the anomalous behavior based on divergent movement from the cohort context centroid | |
CN115484112A (zh) | 支付大数据安全防护方法、系统及云平台 | |
CN113919500B (zh) | 微震事件时空分形维数计算方法、装置及电子设备 | |
CN111709955B (zh) | 图像分割检验方法、装置、终端及存储介质 | |
CN111241158B (zh) | 一种飞行器遥测数据的异常检测方法和装置 | |
CN113722917A (zh) | 基于垂直剖面上裂变径迹长度分布的热史模拟方法及系统 | |
CN113419961A (zh) | 业务测试用例库的建立方法、装置、设备及存储介质 | |
Qiu | Large random matrices and big data analytics | |
CN114676656B (zh) | 多响应cfd模型的一致性度量方法、装置、设备及存储介质 | |
CN110688610A (zh) | 图数据的权重计算方法、装置和电子设备 | |
CN114095391B (zh) | 一种数据检测方法、基线模型构建方法及电子设备 | |
CN108696722A (zh) | 一种目标监测方法、系统及设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |