CN113918938A - 一种持续免疫安全系统的用户实体行为分析方法及系统 - Google Patents
一种持续免疫安全系统的用户实体行为分析方法及系统 Download PDFInfo
- Publication number
- CN113918938A CN113918938A CN202111212755.4A CN202111212755A CN113918938A CN 113918938 A CN113918938 A CN 113918938A CN 202111212755 A CN202111212755 A CN 202111212755A CN 113918938 A CN113918938 A CN 113918938A
- Authority
- CN
- China
- Prior art keywords
- user
- entity behavior
- behavior analysis
- data
- user entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/556—Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种持续免疫安全系统的用户实体行为分析系统,其特征在于,至少包括输入模块、数据采集模块和用户实体行为分析模块。输入模块用于用户输入所需应对的风险场景;数据采集模块能够获取所述输入模块所输入的风险场景,并根据所述风险场景采集用户相对应的数据信息;用户实体行为分析模块至少能够获取所述数据采集模块所采集的数据信息;用户实体行为分析模块被配置为能够根据输入模块所输入的风险场景,以及所述数据采集模块所采集的与所述风险场景相关的数据信息进行分析,以利用用户实体行为分析技术对用户和/或信息系统做用户画像,并基于所形成的用户画像判断用户和/或信息系统是否存在异常活动和/或异常进程。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种持续免疫安全系统的用户实体行为分析方法及系统。
背景技术
在现代安全信息事件管理系统中,针对用户行行为异常的分析是最重要的方面,特别是用户实体行为异常的分析。用户实体行为分析(User Entity Behavior Analysis,UEBA)是现代安全信息事件管理系统(Security Information Event Management System,SIEMS)中对于安全事件进行二次分析的重要手段。分析的主要目标是检测主体(即用户或可与实际用户即进行关联的账号、主机等)对客体(即实体)进行相关操作中是否存在异常,其中,实体可以是主机、服务/端口、文件夹/文件、系统定时任务、Windows主机的注册表等。一般而言,这种分析的方法包括特征匹配、流式计算以及基于机器学习的分析,其中基于机器学习的分析是用户实体行为分析中比较重要的手段,而且对于无法使用特征分析的未知威胁则可以利用机器学习的方法进行检测。而互联网(社交、搜索、电商)、移动互联网(微博)、物联网(传感器,智慧地球)、车联网、GPS、医学影像、安全监控、金融(银行、股市、保险)、电信(通话、短信)都在疯狂产生着数据,海量的数据隐含着巨大的信息。数据是信息的载体,一旦遭遇数据灾难,可能给用户造成不可估量的损失。因此亟需一种新的用户实体行为分析方法及系统,以对用户的行为建立有效的监控。
例如,公开号为CN112364285A的中国专利文献公开了一种基于UEBA建立异常侦测模型的方法、装置及相关产品。基于UEBA建立异常侦测模型的方法包括:获取关联于用户实体行为的系统操作日志源样本数据;根据建立的日志模板,对所述系统操作日志源样本数据进行解析处理得到关键日志样本数据;按照建立的样本数据分类维度,对所述关键日志样本数据进行分类处理得到若干类关键日志有效样本数据;根据所述若干类关键日志有效样本数据以及机器学习训练模型,建立异常侦测模型。本申请实施例可通过该异常侦测模型进行异常侦测,从而对用户的行为建立有效的监控。但是,该发明仍存在以下技术不足:1)由于用户实体行为分析技术的定位和特长,是解决某个非常特定风险场景的手段,因而它不能解决一个太过广泛的问题,比如分析三万个用户的行为习惯。在准备实施用户实体行为分析技术前,首先应该考虑好到底来解决什么特定风险场景,比如是解决电子银行撞库风险检测、还是解决利用合法账户盗取保单信息。定义特定风险场景是实施用户实体行为分析技术的前提,也只有将解决的风险场景定义清楚了,才能有针对性的开展后续的各项分析工作,而现有用户实体行为分析技术中缺乏定义应用场景的技术方案;2)广泛的数据采集是用户实体行为分析应用落地的基础。如果输入的数据量比较少或者数据质量不高,用户实体行为分析最终分析出来的结果肯定是价值不高的,就算系统平台、模型算法再好。用户实体行为分析所需的数据也并不是越多越好。这是因为如果和需要要分析的风险场景无关,数据再多也只能是一种负担。所以数据采集的前提,就是要和需要分析的特定场景相匹配,也就是说想要分析这个特定场景就采集与特定场景所需的数据。而现有技术中也没有对用于用户实体行为分析技术的源数据进行针对特定风险场景的分类措施。因此针对现有技术的不足有必要进行改进。
此外,一方面由于对本领域技术人员的理解存在差异;另一方面由于发明人做出本发明时研究了大量文献和专利,但篇幅所限并未详细罗列所有的细节与内容,然而这绝非本发明不具备这些现有技术的特征,相反本发明已经具备现有技术的所有特征,而且申请人保留在背景技术中增加相关现有技术之权利。
发明内容
针对现有技术之不足,本发明提供一种持续免疫安全系统的用户实体行为分析系统,其特征在于,至少包括:
输入模块被配置为用于用户输入所需应对的风险场景,从而实现为后续的用户实体行为分析定义清晰的待解决风险场景,以明确本用户实体行为分析系统所需应对的是哪一类特定风险。例如,风险场景包括但不限于:内部人员窃取敏感数据、账号失陷、失陷主机、数据泄露、金融反欺诈、绕过控制行为、电子银行撞库风险、利用合法账户盗取保单信息等。
数据采集模块被配置能够获取所述输入模块所输入的风险场景,并根据所述风险场景采集用户相对应的数据信息。优选地,输入模块能够将用户通过输入模块输入的风险场景发送至数据采集模块。优选地,风险场景可以由用户自行定义,例如,用户可以通过输入模块输入内部人员窃取敏感数据、失陷账号、失陷主机、数据泄露、风险定级排序、业务API安全、远程办公安全等。与输入模块数据连接的数据采集模块获取用户通过输入模块输入的所需应对的风险场景。例如,当用户通过输入模块输入的内容为内部人员窃取敏感数据时,输入模块将该风险场景定义为第一风险场景。在响应于输入模块所输入的第一风险场景的情况下,与输入模块数据连接的数据采集模块获取第一风险场景,并仅采集用户的与第一风险场景相关的数据信息,比如用户的数据库日志、回话日志、用户访问日志以及访问全流量、人员的作息时间、工作地点、行为特性(如操作频度及工作热区时间段)、个人特征(年龄及所属机构)等数据信息。以此类推。通过该配置方式,数据采集模块可以仅采集与所需应对的风险场景相关的数据信息,并将所得到的相关数据信息发送至用户实体行为分析模块,即向后续的用户实体行为分析模块提供高质量、多种类的分析数据源,从而地提高用户实体行为分析模块后续进行分析的准确性和性。这是由于广泛的数据采集就是用户实体行为分析应用落地的基础。如果输入的数据量比较少或者数据质量不高,用户实体行为分析最终分析出来的结果肯定是价值不高的,就算系统平台、模型算法再好。如果输入的是一堆垃圾数据,最终得出来的肯定还是一堆价值不高的分析结果。但是,用户实体行为分析所需的数据也并不是越多越好。这是因为如果和需要要分析的风险场景无关,数据再多也只能是一种负担。所以数据采集的前提,就是要和需要分析的特定场景相匹配,也就是说想要分析这个特定场景需要什么数据,而不是有一堆数据看看能分析出什么结果。在这个前提下,数据采集的要点是高质量和多种类。因此,本用户实体行为分析系统通过设置数据采集模块仅仅采集用户的与输入模块所定义的风险场景相关的数据信息,以向后续的分析过程提供高质量、多种类的分析数据源。
用户实体行为分析模块至少能够获取所述数据采集模块所采集的数据信息。用户实体行为分析模块被配置为能够根据输入模块所输入的风险场景,以及所述数据采集模块所采集的与所述风险场景相关的数据信息进行分析,以利用用户实体行为分析对用户以及信息系统做用户画像,根据所形成的用户画像去判断用户以及信息系统是否存在异常活动和/或异常进程,并对异常做进一步监控和风险预警。
根据一个优选实施方式,所述用户实体行为分析模块包括白名单生成单元和用户实体行为分析单元。所述白名单生成单元被配置为能够基于不同用户的应用场景和/或所述用户实体行为分析模块所监控的安全态势生成与该用户的安全需求相匹配的白名单;所述用户实体行为分析单元被配置为至少能够对用户运行白名单上的进程或程序进行监控分析,以监测用户运行所述白名单的进程或程序是否存在异常。优选地,用户实体行为分析模块还能够以时序的方式监控用户服务器的安全态势。优选地,安全态势至少包括用户系统版本信息。优选地,安全态势还可以包括用户所使用应用的更新、用户所使用网络的变化等。用户服务器可以为个人电脑、工作站等。系统版本信息可以为系统版本基本信息、系统版本升级或降级的时间和间隔等。应用可以为用户所使用的各种应用软件。特别优选地,用户实体行为分析模块能够识别用户的系统版本信息。用户实体行为分析模块还能够识别用户所使用应用的更新、用户所使用网络的变化。例如,若随着时间的推移用户的服务器逐步地升级,则用户实体行为分析模块判定该用户的安全态势为良性。当该用户的安全态势处于良性时,白名单生成单元被配置为能够将用户实体行为分析单元所发现的与系统升级相关的异常活动视为良性的异常,并将该良性的异常添加进入原有的白名单。而当随着时间的推移用户的服务器逐步地降级或者长期处于不变,则用户实体行为分析模块判定该用户的安全态势为恶性。当该用户的安全态势处于恶性时,白名单生成单元被配置为能够将用户实体行为分析单元所发现的与系统升级相关的异常活动视为真实的异常,并将该真实的异常发送至用户实体行为分析模块以进行预警或者报警。
根据一个优选实施方式,所述用户实体行为分析模块还包括白名单数据库单元。所述白名单数据库单元被配置为至少能够采集多个不同用户的白名单而形成白名单数据库,以通过所述白名单数据库对所述用户实体行为分析单元所监测为异常状态的白名单进行分析比对而降低所述用户实体行为分析单元的误报率。优选地,白名单数据库内的可信白名单为白名单数据库单元求取多个不同用户的白名单的最大交集而获得的。
根据一个优选实施方式,所述用户实体行为分析模块能够持续地更新白名单持续更新的方法为:若用户实体行为分析单元通过所述白名单数据库对所述用户实体行为分析单元所监测为异常状态的白名单进行分析比对发现异常状态的白名单在白名单数据库的范围内,则用户实体行为分析单元将该异常状态的白名单判定为错误的告警,与此同时,白名单生成单元获取上述指令立刻更新相应服务器的白名单并将用户实体行为分析单元所发现的良性的异常添加进入原有的白名单;若用户实体行为分析单元通过所述白名单数据库对所述用户实体行为分析单元所监测为异常状态的白名单进行分析比对发现异常状态的白名单并不在白名单数据库的范围内,则用户实体行为分析单元将该异常状态的白名单判定为真实的告警,并将该该异常状态的白名单的活动发送至用户实体行为分析模块;若用户实体行为分析单元通过所述白名单数据库一次或多次比对分析,并确认异常的白名单行为安全威胁,白名单生成单元获取上述指令立刻更新相应服务器的白名单并将用户实体行为分析单元所发现的异常白名单从原有的白名单中删除。通过该配置方式,用户实体行为分析单元通过与白名单数据库不断地数据交互,以对原有白名单进行持续地修改和更新,从而降低所述用户实体行为分析单元的误报率以及漏报率。
根据一个优选实施方式,所述用户实体行为分析模块包括:样本数据解析单元被配置为能够从所述数据采集模块获取与所述风险场景相关的数据信息,并对所述数据信息进行解析处理得到关键日志样本数据;模型建立单元用于根据所述若干类关键日志样本数据以及机器学习训练模型,建立异常侦测模型。
根据一个优选实施方式,样本数据解析单元被配置为能够从所述数据采集模块获取与所述风险场景相关的数据信息,并对所述数据信息进行解析处理得到关键日志样本数据的方法包括:根据所述与所述风险场景相关的数据信息建立多个日志模板;根据建立的多个日志模板,对所述与所述风险场景相关的数据信息进行解析处理得到关键日志样本数据。
根据一个优选实施方式,所述根据所述与所述风险场景相关的数据信息建立多个日志模板的方法包括:根据所述与所述风险场景相关的数据信息中的模板词和参数词确定消息类型;根据确定出的所述消息类型,建立多个日志模板。
根据一个优选实施方式,一种电子设备包括:存储器以及处理器,所述存储器上存储有计算机可执行指令,所述处理器用于执行所述计算机可执行指令以执行如下步骤:
根据若干类关键日志样本数据以及机器学习训练模型,建立异常侦测模型。
根据一个优选实施方式,一种计算机存储介质,所述计算机存储介质上存储有计算机可执行指令,所述计算机可执行指令被执行时根据若干类关键日志样本数据以及机器学习训练模型建立异常侦测模型。
根据一个优选实施方式,一种持续免疫安全系统的用户实体行为分析方法包括:用户通过输入模块输入所需应对的风险场景;数据采集模块获取所述输入模块所输入的风险场景,并根据所述风险场景采集用户相对应的数据信息;用户实体行为分析模块根据输入模块所输入的风险场景以及所述数据采集模块所采集的与所述风险场景相关的数据信息进行分析,以利用用户实体行为分析技术对用户和/或信息系统做用户画像,并基于所形成的用户画像判断用户和/或信息系统是否存在异常活动和/或异常进程。
附图说明
图1是本发明的一个优选实施方式的简化示意图;
图2是本发明的用户实体行为分析模块的一个优选实施方式的简化示意图。
附图标记列表
1:输入模块;2:数据采集模块;3:用户实体行为分析模块;
301:白名单生成单元;302:用户实体行为分析单元;
303:样本数据解析单元;304:模型建立单元;
305:白名单数据库单元。
具体实施方式
下面结合附图进行详细说明。
如图1和图2示出一种持续免疫安全系统的用户实体行为分析系统,其特征在于,至少包括:输入模块1、数据采集模块2和用户实体行为分析模块3。
输入模块1被配置为用于用户输入所需应对的风险场景;
数据采集模块2被配置能够获取所述输入模块1所输入的风险场景,并根据所述风险场景采集用户相对应的数据信息;
用户实体行为分析模块3至少能够获取所述数据采集模块2所采集的数据信息。
用户实体行为分析模块3被配置为能够根据输入模块1所输入的风险场景,以及所述数据采集模块2所采集的与所述风险场景相关的数据信息进行分析,以利用用户实体行为分析对用户以及信息系统做用户画像,根据所形成的用户画像去判断用户以及信息系统是否存在异常活动和/或异常进程,并对异常做进一步监控和风险预警。
优选地,用户包括但不限于:个人电脑、工作站等。
优选地,风险场景包括但不限于:内部人员窃取敏感数据、账号失陷、失陷主机、数据泄露、金融反欺诈、绕过控制行为、电子银行撞库风险、利用合法账户盗取保单信息等。
内部人员窃取敏感数据是企业典型的内部威胁场景。由于内部人员具备企业数据资产的合法访问权限,且通常了解企业敏感数据的存放位置,因此通过传统的行为审计手段无法检测该类行为。
账号失陷或账号盗用一直是困扰各种组织的痛点,且涉及到最终用户的利益和体验,特权账号更是黑客瞄准的攻击目标。
失陷主机是典型的企业内部威胁之一,攻击者常常通过入侵内网服务器,形成“肉机”后对企业网络进行横向攻击。
数据泄露可能给组织的品牌声誉带来严重损失,导致巨大的公关压力,是组织最关注的安全威胁之一。
风险定级排序是由于安全团队人力资源有限,所有组织几乎都面临告警过量的问题,难以全面处理各个安全设备触发的安全告警。如何让有限宝贵的人力资源投入,带来最大的安全运营收益,成为风险排序定级的价值所在。
业务API安全是企业WEB业务系统通常会提供大量的业务应用编程接口(API),如登录API、数据获取API、业务调用API等,攻击者通过对具体网站访问数据或请求数据进行抓包,可获取企业业务API入口的大致范围,通过对这些API进行恶意调用,可实现恶意访问、数据窃取以及其他相关恶意活动,严重影响企业的正常业务开展。
远程办公安全是企业一般通过VPN进行远程办公,从而隔离避免外部人员直接能访问到内部资源,同时也会带来一定的安全风险。
优选地,输入模块1可以包括但不限于:键盘、触摸屏、麦克风、摄像头等。优选地,输入模块1能够将用户通过输入模块1输入的风险场景发送至数据采集模块2。优选地,风险场景可以由用户自行定义,例如,用户可以通过输入模块1输入内部人员窃取敏感数据、失陷账号、失陷主机、数据泄露、风险定级排序、业务API安全、远程办公安全等。
与输入模块1数据连接的数据采集模块2获取用户通过输入模块1输入的所需应对的风险场景。当用户通过输入模块1输入的内容为内部人员窃取敏感数据时,输入模块1将该风险场景定义为第一风险场景。在响应于输入模块1所输入的第一风险场景的情况下,与输入模块1数据连接的数据采集模块2获取第一风险场景,并仅采集用户的与第一风险场景相关的数据信息,比如用户的数据库日志、回话日志、用户访问日志以及访问全流量、人员的作息时间、工作地点、行为特性(如操作频度及工作热区时间段)、个人特征(年龄及所属机构)等数据信息。
当用户通过输入模块1输入的风险场景为失陷账号时,输入模块1将该风险场景定义为第二风险场景。在响应于输入模块1所输入的第二风险场景的情况下,与输入模块1数据连接的数据采集模块2获取输入模块1所输入的第二风险场景,并仅采集用户的与第二风险场景相关的数据信息,例如频繁登录和退出、访问历史未访问过的信息系统或数据资产、异常时间地点登录等数据信息。
当用户通过输入模块1输入的风险场景为失陷主机时,输入模块1将该风险场景定义为第三风险场景。在响应于输入模块1所输入的第三风险场景的情况下,与输入模块1数据连接的数据采集模块2获取输入模块1所输入的第三风险场景,并仅采集用户的与第三风险场景相关的数据信息,比如企业内网主机或服务器时序特征的历史时序波动规律,以及请求域名、账户登录、流量大小、访问安全区频繁度、链接主机标准差等特征。
当用户通过输入模块1输入的风险场景为数据泄露时,输入模块1将该风险场景定义为第四风险场景。在响应于输入模块1所输入的第四风险场景的情况下,与输入模块1数据连接的数据采集模块2获取输入模块1所输入的第四风险场景,并仅采集用户的与第四风险场景相关的数据信息,比如企业数据库日志、回话日志、用户访问日志、访问全流量、访问周期、时序、动作、频繁度等数据信息。
当用户通过输入模块1输入的风险场景为风险定级排序时,输入模块1将该风险场景定义为第五风险场景。在响应于输入模块1所输入的第五风险场景的情况下,与输入模块1数据连接的数据采集模块2获取输入模块1所输入的第五风险场景,并仅采集用户的与第五风险场景相关的数据信息,比如组织结构、资产关键性、人员角色和访问级别等数据信息。
当用户通过输入模块1输入的风险场景为业务API安全时,输入模块1将该风险场景定义为第六风险场景。在响应于输入模块1所输入的第六风险场景的情况下,与输入模块1数据连接的数据采集模块2获取输入模块1所输入的第六风险场景,并仅采集用户的与第六风险场景相关的数据信息,比如企业业务API访问频率特征、请求者访问频率特征、参数变换标准差、以及请求时间昼夜分布等数据信息。
当用户通过输入模块1输入的风险场景为远程办公安全时,输入模块1将该风险场景定义为第七风险场景。在响应于输入模块1所输入的第七风险场景的情况下,与输入模块1数据连接的数据采集模块2获取输入模块1所输入的第七风险场景,并仅采集用户的与第七风险场景相关的数据信息,比如VPN及内部流量日志、员工登录地点、登录时间、在线时长、网络行为、协议分布等数据信息。
由于用户实体行为分析技术的定位和特长,是解决某个非常特定风险场景的手段。它不能解决一个太过广泛的问题,比如分析一下三万个用户的行为习惯,这个需求就太宽泛而没有形成特定的风险场景,进而不适合用用户实体行为分析技术来解决。因而在准备实施用户实体行为分析技术前,首先应该考虑好到底来解决什么特定风险场景,比如是解决电子银行撞库风险检测、还是解决利用合法账户盗取保单信息。定义特定风险场景是实施用户实体行为分析技术的前提,也只有将解决的风险场景定义清楚了,才能有针对性的开展后续的各项分析工作。因此,本用户实体行为分析系统通过设置输入模块1,以清晰地定义本用户实体行为分析系统所需应对与分析的风险场景。
其次,广泛的数据采集就是用户实体行为分析应用落地的基础。如果输入的数据量比较少或者数据质量不高,用户实体行为分析最终分析出来的结果肯定是价值不高的,就算系统平台、模型算法再好。如果输入的是一堆垃圾数据,最终得出来的肯定还是一堆价值不高的分析结果。但是,用户实体行为分析所需的数据也并不是越多越好。这是因为如果和需要要分析的风险场景无关,数据再多也只能是一种负担。所以数据采集的前提,就是要和需要分析的特定场景相匹配,也就是说想要分析这个特定场景需要什么数据,而不是有一堆数据看看能分析出什么结果。在这个前提下,数据采集的要点是高质量和多种类。因此,本用户实体行为分析系统通过设置数据采集模块2仅仅采集用户的与输入模块1所定义的风险场景相关的数据信息,以向后续的分析过程提供高质量、多种类的分析数据源。
优选地,风险场景能够由用户通过输入模块1自行定义。优选地,所述输入模块1能够将用户通过输入模块1输入的风险场景发送至所述数据采集模块2。
根据一个优选实施方式,所述用户实体行为分析模块3包括:
样本数据解析单元303,被配置为能够获取所述数据采集模块2所采集的与所述风险场景相关的数据信息,并上述数据信息进行解析处理得到关键日志样本数据;
模型建立单元304,被配置为根据所述若干类关键日志样本数据以及机器学习训练模型,建立异常侦测模型。
所述样本数据解析单元303进一步用于根据所述与所述风险场景相关的数据信息的消息类型,建立多个日志模板;根据建立的多个日志模板,对所述与所述风险场景相关的数据信息进行解析处理得到关键日志样本数据。
可选地,本实施例中,所述样本数据解析单元303进一步用于根据所述与所述风险场景相关的数据信息中的模板词和参数词确定消息类型,以及根据确定出的所述消息类型,建立多个日志模板。
具体地,所述样本数据解析单元303包括消息类型确定子单元,以及日志模板建立子单元,所述用于根据所述与所述风险场景相关的数据信息中的模板词和参数词确定消息类型,所述日志模板建立子单元用于根据确定出的所述消息类型,建立多个日志模板。
具体地,本实施例中,消息类型可以理解为一组消息特征相近的与所述风险场景相关的数据信息,所述与所述风险场景相关的数据信息中的模板词和参数词消息类型其原理简单且易于实现。由于可能存在海量的所述与所述风险场景相关的数据信息,通过模板词和参数词这种方式来确定消息类型,可以有效地建立多个日志模板,便于对海量的所述与所述风险场景相关的数据信息进行解析处理从而快速、准确地得到关键日志样本数据。
数据采集模块2所采集的与相应风险场景相关的数据信息关联于所述用户实体行为,即通过所述数据采集模块2所采集的与所述风险场景相关的数据信息可以间接反映出所述用户实体行为。
优选地,用户实体行为可以包括:时间、地点、人物、交互、交互的内容。比如用户搜索:在什么时间、什么平台、ID、是否做搜索、搜索的内容是什么。
优选地,可以通过在样本数据源上加载监测代码(或者又称之为埋点),通过该监测代码监测用户是否点击注册按钮、用户下载的订单。
优选地,数据采集模块2所采集的与相应风险场景相关的数据信息的存在形式不做任何限定,比如为txt文档,或者列表方式。
优选地,所述数据采集模块2所采集的与相应风险场景相关的数据信息存储在用户所使用的各种终端上。
优选地,考虑到所述数据采集模块2所采集的与相应风险场景相关的数据信息可能是大量的非结构化样本数据,直接使用会导致样本数据处理的效率低下,消耗大量的算力,为此,本实施例中,在获取到所述数据采集模块2所采集的与相应风险场景相关的数据信息进行预处理或者预分析,从而实现结构化的目的,后续步骤直接使用结构化的所述数据采集模块2所采集的与相应风险场景相关的数据信息,从而提高样本数据处理的效率,节省算力。
优选地,所述日志模板中定义了一系列的解析规则比如解析的日志关键词、解析的样本数据步长、样本数据的格式或者结构,以对所述数据采集模块2所采集的与相应风险场景相关的数据信息进行解析处理得到关键日志样本数据。或者,所述日志模板又可以称之为样本数据解析模型。
优选地,由于用户所使用的终端从产品形态上千差万别,或者所述终端的操作系统也各不相同,为此,对应每一类产品形态,或者每一类操作系统,分别配置一种日志模板。
如前所述,用户实体行为导致的所述用户实体行为通常包括如下五个维度:时间、地点、人物、交互、交互的内容,由此导致关键日志样本数据实际上也可以包括该五个维度。如前所述,用户实体行为发生的终端具有各种产品形态,或者其具有不同的操作系统,从而导致关键日志样本数据实际上也具有这些方面的维度。
优选地,为了地反映用户实体行为,可以通过步骤S103的多个样本数据分类维度,对所述关键日志样本数据进行分类处理得到若干类关键日志样本数据,关键日志样本数据比如又称之为Log Key。
本实施例中,可以通过根据所述若干类关键日志样本数据对神经网络模型训练从而建立异常监测模型。具体地,所述神经网络模型不做特别限定,比如可以为LSTM。该异常侦测模型在进行异常侦测时,可以基于密度的方法或者基于距离的方法。
可选地,在基于密度的方法中,定义:正常样本数据点的密度与其近邻的密度相近,异常点的密度与其近邻的密度相差较大,因此,在异常侦测时,将某一样本数据点周围的密度与其局部相邻样本数据点周围的密度进行比较,该样本数据点与其邻相邻点的相对密度计为异常得分,该异常得分超过设定的阈值,则表明该样本数据点为异常,表明用户实体行为异常行为。
可选地,由于有若干类关键日志样本数据,因此,在建立异常侦测模型时,可以基于每一类关键日志样本数据建立一个异常侦测模型,以可从多个维度对数据采集模块2所采集的与相应风险场景相关的数据信息是否异常进行判断,进而侦测用户实体行为的异常情况。
例如,针对第一风险场景,异常侦测模型通过治理组织的数据库日志、回话日志、用户访问日志以及访问全流量等信息,生成敏感数据访问周期、时序、动作、频繁度等相关特征,通过时序关联和自学习算法生成敏感数据被访问的动态基线、用户访问动态基线、群体访问动态基线。首先异常侦测模型利用离群分析,以挖掘行为异常个体。异常侦测模型无需对用户应用系统进行任何直接操作的前提下,自动选取一定时间内的日志数据,对人员的作息时间、工作地点、行为特性(如操作频度及工作热区时间段)、个人特征(年龄及所属机构)等多个围度进行离群分析,从而挖掘出异常行为的人员,即用户或账号;2)异常侦测模型构建行为基线,披露个体疑问行为。根据用户自身需求,结合用户或者账号构建行为基线,例如异常侦测模型可以规定哪些账号在什么时候可以访问业务系统;账号的访问权限有哪些等等。当异常侦测模型发现该用户的日访问量突变,从而判定为个体疑问行为。3)基于疑问行为,判定个体异常本子。比如,异常侦测模型提取到账户作息时间的异常行为信息。4)异常侦测模型可以利用关系图谱溯源可疑关联人员,并对可疑人员、账号、用户进行关联分析,以从多个维度(如机构、应用、内容等)分析其存在关联的人员;5)还原日志信息,罗列可疑人员操作。异常侦测模型根据筛选的可疑人员名单,利用日志搜索对其查询操作进行回溯,从而最终确认其威胁行为。
再例如,针对第二风险场景,异常侦测模型通过对正常行为和人员进行抽象归纳,利用大数据技术生成个体行为画像和群体行为画像。在此基础上,对比账户的活动是否存在异常行为,如频繁登录和退出、访问历史未访问过的信息系统或数据资产、异常时间地点登录等,并对比分析账户的活动是否偏离个人行为画像和群体(如部门或项目组等)行为画像,综合判断账户疑似被盗用风险评分,帮助安全团队及时发现账号失陷。异常侦测模型为检测失陷账号提供了最佳的安全视角,提高了数据的信噪比,可合并和减少告警量,让安全团队优先处理正在进行的威胁,并且促进的响应调查。同时,异常侦测模型还可针对已建立的账号监视分析用户行为,识别过多的特权或异常访问权限,适用于特权用户和服务帐户等所有类型的用户和帐户。使用异常侦测模型还可以用来帮助清理帐户和权限设置高于所需权限的休眠帐户和用户权限。通过异常侦测模型的行为分析,身份识别与访问管理(IAM)和特权账号管理(PAM)系统能够更全面的进行访问主体安全性评估,支持零信任(ZeroTrust)网络安全架构和部署场景。
再例如,针对第三风险场景,异常侦测模型可构建时序异常检测模型,根据企业内网主机或服务器时序特征的历史时序波动规律,以及请求域名、账户登录、流量大小、访问安全区频繁度、链接主机标准差等特征,构建单服务器的动态行为基线,群体(如业务类型、安全域等)服务器动态行为基线。利用基线,考虑具体的主机疑似失陷场景,如僵尸网络、勒索病毒、命令控制(C&C或C2)等,给出不同模型不同实体在不同时间段的综合异常评分,从而检测失陷主机,并结合资产信息,定位到具体的时间段和主机信息,辅助企业及时发现失陷主机并溯源处理。
再例如,针对第四风险场景,异常侦测模型通过治理企业数据库日志、回话日志、用户访问日志以及访问全流量等信息,生成敏感数据访问相关特征,如访问周期、时序、动作、频繁度等,通过时序关联和自学习算法生成敏感数据库的被访问动态基线、用户访问动态基线、群体访问动态基线等多种检测场景。
再例如,针对第五风险场景,异常侦测模型使用基线和威胁模型,而且也会根据所有安全解决方案中生成的报警,构建用户及实体的行为时间线,进行风险聚合。通常也会结合组织结构、资产关键性、人员角色和访问级别等进行权重评估,进行综合风险定级并排序,从而明确用户、实体、事件或潜在事件应该优先处理范围。通过风险定级排序,可以极大的缓解安全团队人力短缺的现状。
再例如,针对第六风险场景,攻击者可能利用变换多个不同的请求参数已达到恶意调用API的目的。异常侦测模型通过分析目前常用的API组成和使用方式,通常包括API所对应的URL请求参数和请求主体两部分,通过提取企业业务API访问频率特征、请求者访问频率特征、参数变换标准差、以及请求时间昼夜分布等特征,构建API请求频率动态基线、API请求时序动态基线、参数变换动态基线等多种检测场景。基于动态基线,实现检测对API请求量突变异常检、周期性异常、未知用户、可疑群体潜伏用户(某用户使用大量不同IP)等异常行为,进一步结合API的具体业务属性,实现WEB业务系统API异常请求行为检测,可定位到具体的时间段和业务、数据信息,辅助企业及时发现异常调用行为,保证整体业务和数据安全。
再例如,针对第七风险场景,异常侦测模型通过对比用户的历史行为基线,以及对比同组人员的行为基线,可以第一时间发现可疑的人员账号,通过调查分析,及时防范VPN账号违规操作或账号失陷风险。
根据一个优选实施方式,样本数据解析单元303被配置为能够从所述数据采集模块2获取与所述风险场景相关的数据信息,并对所述数据信息进行解析处理得到关键日志样本数据的方法包括:
根据所述与所述风险场景相关的数据信息建立多个日志模板;根据建立的多个日志模板,对所述与所述风险场景相关的数据信息进行解析处理得到关键日志样本数据。
根据一个优选实施方式,所述根据所述与所述风险场景相关的数据信息建立多个日志模板的方法包括:
根据所述与所述风险场景相关的数据信息中的模板词和参数词确定消息类型;
根据确定出的所述消息类型,建立多个日志模板。
一种电子设备包括:存储器以及处理器,所述存储器上存储有计算机可执行指令,所述处理器用于执行所述计算机可执行指令以执行如下步骤:
根据若干类关键日志样本数据以及机器学习训练模型,建立异常侦测模型。
该电子设备的硬件结构可以包括:处理器,通信接口,计算机可读介质和通信总线;其中,处理器、通信接口、计算机可读介质通过通信总线完成相互间的通信;
优选地,通信接口可以为通信模块的接口,如GSM模块的接口;
其中,处理器具体可以配置为运行存储器上存储的可执行程序,从而执行上述任一方法实施例的所有处理步骤或者其中部分处理步骤。
处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机可执行指令,所述计算机可执行指令被执行时根据若干类关键日志样本数据以及机器学习训练模型建立异常侦测模型。
所述计算机存储介质上存储有计算机可执行指令,所述计算机可执行指令被执行时实施如下步骤:
从数据采集模块2获取关联于用户实体行为的与所述风险场景相关的数据信息;
根据建立的日志模板,对所述与所述风险场景相关的数据信息进行解析处理得到关键日志样本数据;
根据所述若干类关键日志样本数据以及机器学习训练模型,建立异常侦测模型。
一种持续免疫安全系统的用户实体行为分析方法,所述方法包括:
用户通过输入模块1输入所需应对的风险场景;
数据采集模块2获取所述输入模块1所输入的风险场景,并根据所述风险场景采集用户相对应的数据信息;
用户实体行为分析模块3根据输入模块1所输入的风险场景以及所述数据采集模块2所采集的与所述风险场景相关的数据信息进行分析,以利用用户实体行为分析技术对用户和/或信息系统做用户画像,并基于所形成的用户画像判断用户和/或信息系统是否存在异常活动和/或异常进程。
一种电子设备包括:存储器以及处理器,所述存储器上存储有计算机可执行指令,所述处理器用于执行所述计算机可执行指令以执行如下步骤:
根据若干类关键日志样本数据以及机器学习训练模型,建立异常侦测模型。
需要注意的是,上述具体实施例是示例性的,本领域技术人员可以在本发明公开内容的启发下想出各种解决方案,而这些解决方案也都属于本发明的公开范围并落入本发明的保护范围之内。本领域技术人员应该明白,本发明说明书及其附图均为说明性而并非构成对权利要求的限制。本发明的保护范围由权利要求及其等同物限定。
本发明说明书包含多项发明构思,申请人保留根据每项发明构思提出分案申请的权利。本发明说明书包含多项发明构思,诸如“优选地”、“根据一个优选实施方式”或“可选地”均表示相应段落公开了一个独立的构思,申请人保留根据每项发明构思提出分案申请的权利。
Claims (10)
1.一种持续免疫安全系统的用户实体行为分析系统,其特征在于,至少包括:
输入模块(1),被配置为用于用户输入所需应对的风险场景;
数据采集模块(2),被配置能够获取所述输入模块(1)所输入的风险场景,并根据所述风险场景采集用户相对应的数据信息;
用户实体行为分析模块(3),至少能够获取所述数据采集模块(2)所采集的数据信息;
其中,用户实体行为分析模块(3)被配置为能够根据输入模块(1)所输入的风险场景,以及所述数据采集模块(2)所采集的与所述风险场景相关的数据信息进行分析,以利用用户实体行为分析技术对用户和/或信息系统做用户画像,并基于所形成的用户画像判断用户和/或信息系统是否存在异常活动和/或异常进程。
2.根据权利要求1所述的用户实体行为分析系统,其特征在于,所述用户实体行为分析模块(3)包括白名单生成单元(301),其中,
所述白名单生成单元(301)被配置为能够基于不同用户的应用场景和/或所述主动对抗模块所监控的安全态势生成与该用户的安全需求相匹配的白名单。
3.根据权利要求2所述的用户实体行为分析系统,其特征在于,所述用户实体行为分析模块(3)还包括:
用户实体行为分析单元(302),被配置为至少能够对用户运行白名单上的进程或程序进行监控分析,以监测用户运行所述白名单的进程或程序是否存在异常;
样本数据解析单元(303),被配置为能够从所述数据采集模块(2)获取与所述风险场景相关的数据信息,并对所述数据信息进行解析处理得到关键日志样本数据;
模型建立单元(304),被配置为能够根据所述若干类关键日志样本数据以及机器学习训练模型,建立异常侦测模型。
4.根据权利要求3所述的用户实体行为分析系统,其特征在于,样本数据解析单元(303),被配置为能够从所述数据采集模块(2)获取与所述风险场景相关的数据信息,并对所述数据信息进行解析处理得到关键日志样本数据的方法包括:
根据所述与所述风险场景相关的数据信息建立多个日志模板;根据建立的多个日志模板,对所述与所述风险场景相关的数据信息进行解析处理得到关键日志样本数据。
5.根据权利要求4所述的用户实体行为分析系统,其特征在于,所述根据所述与所述风险场景相关的数据信息建立多个日志模板的方法包括:
根据所述与所述风险场景相关的数据信息中的模板词和参数词确定消息类型;
根据确定出的所述消息类型,建立多个日志模板。
6.根据权利要求5所述的用户实体行为分析系统,其特征在于,所述用户实体行为分析模块(3)包括白名单数据库单元(305),其中,
所述白名单数据库单元(305)被配置为至少能够采集多个不同用户的白名单而形成白名单数据库,以通过所述白名单数据库对所述用户实体行为分析单元(302)所监测为异常状态的白名单进行分析比对而降低所述用户实体行为分析单元(302)的误报率。
7.根据权利要求6所述的用户实体行为分析系统,其特征在于,所述白名单数据库单元(305)能够持续地更新白名单持续更新的方法包括:若用户实体行为分析单元(302)通过所述白名单数据库对所述用户实体行为分析单元(302)所监测为异常状态的白名单进行分析比对发现异常状态的白名单在所述白名单数据库单元(305)的白名单范围内,则所述用户实体行为分析单元(302)将该异常状态的白名单判定为错误的告警,所述白名单生成单元(301)获取上述指令立刻更新相应服务器的白名单并将所述用户实体行为分析单元(302)所发现的良性的异常添加进入原有的白名单。
8.一种电子设备,其特征在于,包括:存储器以及处理器,所述存储器上存储有计算机可执行指令,所述处理器用于执行所述计算机可执行指令以执行如下步骤:
根据若干类关键日志样本数据以及机器学习训练模型,建立异常侦测模型。
9.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机可执行指令,所述计算机可执行指令被执行时根据若干类关键日志样本数据以及机器学习训练模型建立异常侦测模型。
10.一种持续免疫安全系统的用户实体行为分析方法,其特征在于,所述方法包括:
用户通过输入模块输入所需应对的风险场景;
数据采集模块(2)获取所述输入模块所输入的风险场景,并根据所述风险场景采集用户相对应的数据信息;
用户实体行为分析模块(3)根据输入模块(1)所输入的风险场景以及所述数据采集模块(2)所采集(2)的与所述风险场景相关的数据信息进行分析,以利用用户实体行为分析技术对用户和/或信息系统做用户画像,并基于所形成的用户画像判断用户和/或信息系统是否存在异常活动和/或异常进程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111212755.4A CN113918938A (zh) | 2021-10-18 | 2021-10-18 | 一种持续免疫安全系统的用户实体行为分析方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111212755.4A CN113918938A (zh) | 2021-10-18 | 2021-10-18 | 一种持续免疫安全系统的用户实体行为分析方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113918938A true CN113918938A (zh) | 2022-01-11 |
Family
ID=79241405
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111212755.4A Pending CN113918938A (zh) | 2021-10-18 | 2021-10-18 | 一种持续免疫安全系统的用户实体行为分析方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113918938A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115146263A (zh) * | 2022-09-05 | 2022-10-04 | 北京微步在线科技有限公司 | 用户账号的失陷检测方法、装置、电子设备及存储介质 |
| CN116070246A (zh) * | 2023-03-06 | 2023-05-05 | 北京中安星云软件技术有限公司 | 一种基于数据库访问异常行为识别的方法及装置 |
-
2021
- 2021-10-18 CN CN202111212755.4A patent/CN113918938A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115146263A (zh) * | 2022-09-05 | 2022-10-04 | 北京微步在线科技有限公司 | 用户账号的失陷检测方法、装置、电子设备及存储介质 |
| CN116070246A (zh) * | 2023-03-06 | 2023-05-05 | 北京中安星云软件技术有限公司 | 一种基于数据库访问异常行为识别的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109347801B (zh) | 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法 | |
| Sun et al. | Data-driven cybersecurity incident prediction: A survey | |
| US10764297B2 (en) | Anonymized persona identifier | |
| CN107958322B (zh) | 一种城市网络空间综合治理系统 | |
| US20200137083A1 (en) | Unknown malicious program behavior detection using a graph neural network | |
| US20190342307A1 (en) | System and method for monitoring security attack chains | |
| US11991198B1 (en) | User-specific data-driven network security | |
| US9838419B1 (en) | Detection and remediation of watering hole attacks directed against an enterprise | |
| CN110958220A (zh) | 一种基于异构图嵌入的网络空间安全威胁检测方法及系统 | |
| CN109842628A (zh) | 一种异常行为检测方法及装置 | |
| CN105009132A (zh) | 基于置信因子的事件关联 | |
| EP3872637A1 (en) | Application programming interface assessment | |
| CN109347808B (zh) | 一种基于用户群行为活动的安全分析方法 | |
| CN113918938A (zh) | 一种持续免疫安全系统的用户实体行为分析方法及系统 | |
| CN113642023A (zh) | 数据安全检测模型训练、数据安全检测方法、装置及设备 | |
| US9582662B1 (en) | Sensor based rules for responding to malicious activity | |
| CN111915468B (zh) | 网络反诈骗主动巡检与预警系统 | |
| US20150358292A1 (en) | Network security management | |
| US20200244693A1 (en) | Systems and methods for cybersecurity risk assessment of users of a computer network | |
| US11968184B2 (en) | Digital identity network alerts | |
| CN117527412A (zh) | 数据安全监测方法及装置 | |
| Folino et al. | An ensemble-based framework for user behaviour anomaly detection and classification for cybersecurity | |
| Elshoush et al. | Intrusion alert correlation framework: An innovative approach | |
| CN113923037B (zh) | 一种基于可信计算的异常检测优化装置、方法及系统 | |
| Henriques et al. | A survey on forensics and compliance auditing for critical infrastructure protection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |