CN114024734A - 基于ueba的智能网络安全检测分析系统 - Google Patents
基于ueba的智能网络安全检测分析系统 Download PDFInfo
- Publication number
- CN114024734A CN114024734A CN202111285672.8A CN202111285672A CN114024734A CN 114024734 A CN114024734 A CN 114024734A CN 202111285672 A CN202111285672 A CN 202111285672A CN 114024734 A CN114024734 A CN 114024734A
- Authority
- CN
- China
- Prior art keywords
- deleted
- data
- files
- abnormal
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/16—File or folder operations, e.g. details of user interfaces specifically adapted to file systems
- G06F16/162—Delete operations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/1734—Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Human Computer Interaction (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于UEBA的智能网络安全检测分析系统,属于网络安全检测系统领域,包括基于UEBA的智能网络安全检测分析系统,包括UEBA流量解析模块、数据接入模块、数据管理模块、数据分析模块、数据检测模块以及后台控制模块;所述数据分析模块提取数据管理模块中存储的数据进行分析学习,构建异常行为检测模型;所述数据分析模块构建的异常行为检测模型包括异常登录模型、异常资源访问模型、异常删除文件模型以及异常数据传输模型;所述异常登录模型用于检测用户登录状态是否异常。本发明,通过对用户在登录状态、资源访问、文件删除以及数据传输上的行为进行异常检测和调查,能够有效保护公司内部网络安全,避免内部文件丢失或泄露。
Description
技术领域
本发明涉及网络安全技术领域,具体是基于UEBA的智能网络安全检测分析系统。
背景技术
近年来随着各类数据快速增长、移动应用走入日常工作生活、云计算普遍使用、物联网快速拓展,各类安全问题层出不穷,往日属于专业领域的网络安全问题开始成为普通人的日常新闻。随着互联网的发展,人们在享受到互联网便利的同时也存在网络安全隐患,而企业为了保证公司信息的安全,一般会构建严密的防火墙,但是,再坚固的堡垒也容易从内部打破,大多数企业的核心信息丢失一般是公司内部员工的不当操作或者恶意报复。而现在企业也慢慢重视公司内部网络的安全,尽量避免公司因员工的操作造成利益受损,这种内部网络的隐患一般很难排查,现有的网络安全系统也没有很好的排查隐患。
为了针对上述的网络安全隐患,人们将UEBA应用到网络安全系统上,UEBA是一种采用高级数据分析方法、面向用户和实体网络行为,进行异常检测和调查的技术,是安全智能分析切入点。在网络安全领域得到高度重视,近年来在市场上得到应用和客户认可。
现有网络安全系统存在如下问题:1.用户在登录系统时没有对其登录状态进行分析检测,进而容易造成他人盗取账号登录系统并窃取机密;2、用户容易受到一些带有病毒的网址的诱惑,进而访问该网址将病毒带入系统内部;3、用户违规删除公司文件可能给公司带来损失;4、用户恶意传输公司内部文件,给公司造成不利影响。因此,本领域技术人员提供了基于UEBA的智能网络安全检测分析系统,以解决上述背景技术中提出的问题。
发明内容
本发明的目的在于提供基于UEBA的智能网络安全检测分析系统,通过设置的异常登录模型检测用户登录状态是否异常,通过设置的异常资源访问模型检测用户访问网址是否异常,通过设置的异常删除文件模型检测用户删除的文件是否异常,通过设置的异常数据传输模型检测用户传输的数据对象是否异常,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
基于UEBA的智能网络安全检测分析系统,包括UEBA流量解析模块、数据接入模块、数据管理模块、数据分析模块、数据检测模块以及后台控制模块;
其中,所述UEBA流量解析模块与数据接入模块通信连接,所述数据接入模块与数据管理模块通信连接,所述数据管理模块与数据分析模块通信连接,所述数据分析模块与数据检测模块通信连接,所述数据检测模块与后台控制模块通信连接;
所述UEBA流量解析模块用于进行数据解析,其接收交换机镜像数据,其中,镜像数据包括流数据、用户登录数据、各类日志数据、资产数据、资产漏扫数据、威胁情报数据与身份信息数据,所述UEBA流量解析模块对流数据进行自动解析,再将解析后的流数据以及用户登录数据、各类日志数据、资产数据、资产漏扫数据、威胁情报数据、身份信息数据传输给数据接入模块;
所述数据接入模块用于接收数据,其接收UEBA流量解析模块传来的数据并将数据传输给数据管理模块与数据检测模块;
所述数据管理模块接收数据接入模块传来的数据后对数据进行分布式存储,对数据进行管理;
所述数据分析模块提取数据管理模块中存储的数据进行分析学习,构建异常行为检测模型,将该模型发送给数据检测模块;所述数据分析模块构建的异常行为检测模型包括异常登录模型、异常资源访问模型、异常删除文件模型以及异常数据传输模型;所述异常登录模型用于检测用户登录状态是否异常,所述异常资源访问模型用于检测用户访问网址是否异常,所述异常删除文件模型用于检测用户删除的文件是否异常,所述异常数据传输模型用于检测用户传输的数据对象是否异常;
所述数据检测模块根据数据分析模块传来的异常行为检测模型对数据接入模块传来的数据进行检测,并将检测结果传输给后台控制模块;
所述后台控制模块用于显示数据检测结果以及进行系统管理。
通过设置的异常登录模型检测用户登录状态是否异常,通过设置的异常资源访问模型检测用户访问网址是否异常,通过设置的异常删除文件模型检测用户删除的文件是否异常,通过设置的异常数据传输模型检测用户传输的数据对象是否异常。
作为本发明进一步的方案:所述异常登录模型的具体构建过程为:
S1:构建登录时长检测模型;
S11:将用户以往登录系统的所用的时长标记为Tsi,i=1……n;
S12:去掉最短登录时长与最长登录时长,对其余登录时长求取平均值Tsz;
S13:将用户此次登录系统所用时长标记为Tsc,再将Tsc与Tsz进行比较,若Tsc与Tsz相差的绝对值在1s内则检测结果显示正常;若Tsc与Tsz相差的绝对值在1-3s内则检测结果显示登录时长一级异常;若Tsc与Tsz相差的绝对值在3-5s内则检测结果显示登录时长二级异常;若Tsc与Tsz相差的绝对值超过5s则检测结果显示登录时长三级异常;
S2:构建登录IP地址检测模型;
S21:将用户以往登录系统的IP地址标记为Pzi,i=1……n;
S22:将用户此次登录系统的IP地址标记为Pzm;
S23:将Pzm与Pzi进行匹配;
S24:若Pzm与任一一个Pzi匹配则检测结果显示正常;若Pzm不与任一一个Pzi匹配则检测结果显示IP地址登录异常;
S3:构建登录终端检测模型;
S31:将用户以往登录系统所用的终端mac地址标记为Mji,j=1……n;
S32:将用户此次登录系统所用终端的mac地址标记为Mjp;
S33:将Mjp与Mji进行匹配;
S34:若Mjp与任一一个Mji匹配则检测结果显示正常;若Mjp不与任一一个Mji匹配则检测结果显示登录终端异常;
S4:构建登录时间检测模型;
S41:将用户以往登录系统的时间点标记为Sti,i=1……n;
S42:将用户此次登录系统的时间点标记为Stc;
S43:将Stc与Sti进行比较;
S44:若Stc与任一一个Sti的时间差绝对值在1h内则检测结果显示正常;若Stc与任一一个Sti的时间差绝对值在1-2h内则检测结果显示登录时间一级异常;若Stc与任一一个Sti的时间差绝对值在2-3h内则检测结果显示登录时间二级异常;若Stc与任一一个Sti的时间差绝对值超过3h则检测结果显示登录时间三级异常。
作为本发明再进一步的方案:所述异常资源访问模型的具体构建过程为:
步骤一:将用户以往登录的网址标记为Wji,i=1……n;
步骤二:将用户实时登录的网址标记为Wjz;
步骤三:将Wjz与Wji进行匹配,若Wjz与任一一个Wji匹配则检测结果显示正常;若Wjz不与任一一个Wji匹配则进入下一步骤;
步骤四:对该网址进行病毒扫描;
步骤五:若确认该网址无病毒则检测结果显示正常;若确认该网址有病毒则进入下一步骤;
步骤六:若用户浏览该网址的时长超过预设值则检测结果显示资源访问异常;若用户浏览该网址的时长在预设值内则检测结果显示正常。
作为本发明再进一步的方案:所述异常删除文件模型的具体构建过程为:
(1):将用户删除的文件进行时间标记,若所删文件最后一次修改的时间点在一个月之内则将该所删文件标记为重要文件;若所删文件最后一次修改的时间点在一个月到三个月之内则将该所删文件标记为次要文件;若所删文件最后一次修改的时间点超过三个月则将该所删文件标记为不重要文件;
(2):对用户删除的文件进行数量标记,若所删文件的大小在预设值之内则标记正常删除;若所删文件的大小不在预设值之内则标记异常删除;
(3):当所删文件的大小在预设值之内且所删文件标记为不重要文件,则检测结果显示正常;
(4):当所删文件的大小在预设值之内且所删文件标记为次要文件,则检测结果显示删除文件一级异常;
(5):当所删文件的大小在预设值之内且所删文件标记为重要文件,则检测结果显示删除文件二级异常;
(6):当所删文件的大小不在预设值之内且所删文件标记为不重要文件,则检测结果显示删除文件一级异常;
(7):当所删文件的大小不在预设值之内且所删文件标记为次要文件,则检测结果显示删除文件二级异常;
(8):当所删文件的大小不在预设值之内且所删文件标记为重要文件,则检测结果显示删除文件三级异常。
作为本发明再进一步的方案:所述所删文件的大小是否在预设值之内的具体过程为:
1):将用户以往所删除的文件根据属性进行分类,分别为文本类、视频类、音频类、图片类以及可执行文件类;
2):将用户以往每日删除的不同种类的文件进行统计;
3):若用户所删文件为文本类且所删文件的大小与以往任一天所删文本类文件大小相差在500KB之内,则所删文件的大小在预设值之内并标记正常删除;若用户所删文件为文本类且所删文件的大小与以往任一天所删文本类文件大小相差超过500KB,则所删文件的大小不在预设值之内并标记异常删除;
4):若用户所删文件为视频类且所删文件的大小与以往任一天所删视频类文件大小相差在500MB之内,则所删文件的大小在预设值之内并标记正常删除;若用户所删文件为视频类且所删文件的大小与以往任一天所删视频类文件大小相差超过500MB,则所删文件的大小不在预设值之内并标记异常删除;
5):若用户所删文件为音频类且所删文件的大小与以往任一天所删音频类文件大小相差在50MB之内,则所删文件的大小在预设值之内并标记正常删除;若用户所删文件为音频类且所删文件的大小与以往任一天所删音频类文件大小相差超过50MB,则所删文件的大小不在预设值之内并标记异常删除;
6):若用户所删文件为图片类且所删文件的大小与以往任一天所删图片类文件大小相差在5MB之内,则所删文件的大小在预设值之内并标记正常删除;若用户所删文件为图片类且所删文件的大小与以往任一天所删图片类文件大小相差超过5MB,则所删文件的大小不在预设值之内并标记异常删除;
7):若用户所删文件为可执行文件类且所删文件的大小与以往任一天所删可执行文件类文件大小相差在500KB之内,则所删文件的大小在预设值之内并标记正常删除;若用户所删文件为可执行文件类且所删文件的大小与以往任一天所删可执行文件类文件大小相差超过500KB,则所删文件的大小不在预设值之内并标记异常删除。
作为本发明再进一步的方案:所述异常数据传输模型的具体构建过程为:
SS1:将用户以往传输数据的对象标记为Rji,i=1……n;
SS2:将用户实时传输数据的对象标记为Rjz;
SS3:将Rjz与Rji进行匹配;
SS4:若Rjz与任一一个Rji匹配则检测结果显示正常;若Rjz不与任一一个Rji匹配则进入下一步骤;
SS5:识别Rjz与Rji的IP地址中的网段;
SS6:若Rjz与Rji的IP地址中的网段匹配则检测结果显示正常;若Rjz与Rji的IP地址中的网段不匹配则检测结果显示数据传输异常。
作为本发明再进一步的方案:所述后台控制模块的系统管理包括提供权限管理、系统配置、算法管理与监控、服务监控、硬件资源监控以及审计日志。
与现有技术相比,本发明的有益效果是:
1、通过设置的异常登录模型检测用户登录状态是否异常,该异常登录模型从登录时长、登录IP地址、登录终端以及登录时间四个方面对用户的登录状态进行多方位检测,并在构建登录时长检测模型与登录时间检测模型时采用分级异常提醒,进而方便工作人员更清楚的了解轻重缓急。
2、通过设置的异常资源访问模型检测用户访问网址是否异常,该异常资源访问模型不仅能够识别陌生网址,还能对陌生网址进行病毒检测。此外,当用户访问病毒网址时还能够根据访问时间进行异常判定,避免用户不小心点开病毒网址后迅速关闭网址也被识别成异常资源访问。
3、通过设置的异常删除文件模型检测用户删除的文件是否异常,该异常删除文件模型能够根据所删文件的类型以及所删文件的大小来快速识别用户所删除的文件是否符合标准,进而避免公司内部资料销毁造成损失。
4、通过设置的异常数据传输模型检测用户传输的数据对象是否异常,该异常数据传输模型能够识别用户传输数据的对象是否为陌生对象,而对陌生对象IP地址的网段进行识别匹配来判断该接收对象是否为公司内部员工,进而有效避免数据外泄。
附图说明
图1为基于UEBA的智能网络安全检测分析系统的结构框图。
具体实施方式
下面对本发明的实施例作详细说明,本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
如图1所示,本实施例提供一种技术方案:基于UEBA的智能网络安全检测分析系统,包括UEBA流量解析模块、数据接入模块、数据管理模块、数据分析模块、数据检测模块以及后台控制模块。其中,UEBA流量解析模块与数据接入模块通信连接,数据接入模块与数据管理模块通信连接,数据管理模块与数据分析模块通信连接,数据分析模块与数据检测模块通信连接,数据检测模块与后台控制模块通信连接。
UEBA流量解析模块用于进行数据解析,其接收交换机镜像数据。其中,镜像数据包括流数据、用户登录数据、各类日志数据、资产数据、资产漏扫数据、威胁情报数据与身份信息数据。UEBA流量解析模块对流数据进行自动解析,再将解析后的流数据以及用户登录数据、各类日志数据、资产数据、资产漏扫数据、威胁情报数据、身份信息数据传输给数据接入模块。
数据接入模块用于接收数据,其接收UEBA流量解析模块传来的数据并将数据传输给数据管理模块与数据检测模块。
数据管理模块接收数据接入模块传来的数据后对数据进行分布式存储,对数据进行管理。
数据分析模块提取数据管理模块中存储的数据进行分析学习,构建异常行为检测模型,将该模型发送给数据检测模块。数据分析模块构建的异常行为检测模型包括异常登录模型、异常资源访问模型、异常删除文件模型以及异常数据传输模型。异常登录模型用于检测用户登录状态是否异常,异常资源访问模型用于检测用户访问网址是否异常,异常删除文件模型用于检测用户删除的文件是否异常,异常数据传输模型用于检测用户传输的数据对象是否异常。
数据检测模块根据数据分析模块传来的异常行为检测模型对数据接入模块传来的数据进行检测,并将检测结果传输给后台控制模块。
后台控制模块用于显示数据检测结果以及进行系统管理。
通过设置的异常登录模型检测用户登录状态是否异常,通过设置的异常资源访问模型检测用户访问网址是否异常,通过设置的异常删除文件模型检测用户删除的文件是否异常,通过设置的异常数据传输模型检测用户传输的数据对象是否异常。
在本实施例中:异常登录模型的具体构建过程为:
S1:构建登录时长检测模型。
S11:将用户以往登录系统的所用的时长标记为Tsi,i=1……n。
S12:去掉最短登录时长与最长登录时长,对其余登录时长求取平均值Tsz。
S13:将用户此次登录系统所用时长标记为Tsc,再将Tsc与Tsz进行比较,若Tsc与Tsz相差的绝对值在1s内则检测结果显示正常。若Tsc与Tsz相差的绝对值在1-3s内则检测结果显示登录时长一级异常。若Tsc与Tsz相差的绝对值在3-5s内则检测结果显示登录时长二级异常。若Tsc与Tsz相差的绝对值超过5s则检测结果显示登录时长三级异常。
S2:构建登录IP地址检测模型。
S21:将用户以往登录系统的IP地址标记为Pzi,i=1……n。
S22:将用户此次登录系统的IP地址标记为Pzm。
S23:将Pzm与Pzi进行匹配。
S24:若Pzm与任一一个Pzi匹配则检测结果显示正常。若Pzm不与任一一个Pzi匹配则检测结果显示IP地址登录异常。
S3:构建登录终端检测模型。
S31:将用户以往登录系统所用的终端mac地址标记为Mji,j=1……n。
S32:将用户此次登录系统所用终端的mac地址标记为Mjp。
S33:将Mjp与Mji进行匹配。
S34:若Mjp与任一一个Mji匹配则检测结果显示正常。若Mjp不与任一一个Mji匹配则检测结果显示登录终端异常。
S4:构建登录时间检测模型。
S41:将用户以往登录系统的时间点标记为Sti,i=1……n。
S42:将用户此次登录系统的时间点标记为Stc。
S43:将Stc与Sti进行比较。
S44:若Stc与任一一个Sti的时间差绝对值在1h内则检测结果显示正常。若Stc与任一一个Sti的时间差绝对值在1-2h内则检测结果显示登录时间一级异常。若Stc与任一一个Sti的时间差绝对值在2-3h内则检测结果显示登录时间二级异常。若Stc与任一一个Sti的时间差绝对值超过3h则检测结果显示登录时间三级异常。
异常登录模型通过登录时长、登录IP地址、登录终端以及登录时间四个方面对用户的登录状态进行检测。
在本实施例中:异常资源访问模型的具体构建过程为:
步骤一:将用户以往登录的网址标记为Wji,i=1……n。
步骤二:将用户实时登录的网址标记为Wjz。
步骤三:将Wjz与Wji进行匹配,若Wjz与任一一个Wji匹配则检测结果显示正常。若Wjz不与任一一个Wji匹配则进入下一步骤。
步骤四:对该网址进行病毒扫描。
步骤五:若确认该网址无病毒则检测结果显示正常。若确认该网址有病毒则进入下一步骤。
步骤六:若用户浏览该网址的时长超过预设值则检测结果显示资源访问异常。若用户浏览该网址的时长在预设值内则检测结果显示正常。
异常资源访问模型不仅能够识别陌生网址,还能对陌生网址进行病毒检测,此外,当用户访问病毒网址时还能够根据访问时间进行异常判定。在本实施例中,用户浏览病毒网址的预设值时长为5s。
在本实施例中:异常删除文件模型的具体构建过程为:
(1):将用户删除的文件进行时间标记,若所删文件最后一次修改的时间点在一个月之内则将该所删文件标记为重要文件。若所删文件最后一次修改的时间点在一个月到三个月之内则将该所删文件标记为次要文件。若所删文件最后一次修改的时间点超过三个月则将该所删文件标记为不重要文件。
(2):对用户删除的文件进行数量标记,若所删文件的大小在预设值之内则标记正常删除。若所删文件的大小不在预设值之内则标记异常删除。
(3):当所删文件的大小在预设值之内且所删文件标记为不重要文件,则检测结果显示正常。
(4):当所删文件的大小在预设值之内且所删文件标记为次要文件,则检测结果显示删除文件一级异常。
(5):当所删文件的大小在预设值之内且所删文件标记为重要文件,则检测结果显示删除文件二级异常。
(6):当所删文件的大小不在预设值之内且所删文件标记为不重要文件,则检测结果显示删除文件一级异常。
(7):当所删文件的大小不在预设值之内且所删文件标记为次要文件,则检测结果显示删除文件二级异常。
(8):当所删文件的大小不在预设值之内且所删文件标记为重要文件,则检测结果显示删除文件三级异常。
在本实施例中:所删文件的大小是否在预设值之内的具体过程为:
1):将用户以往所删除的文件根据属性进行分类,分别为文本类、视频类、音频类、图片类以及可执行文件类。
2):将用户以往每日删除的不同种类的文件进行统计。
3):若用户所删文件为文本类且所删文件的大小与以往任一天所删文本类文件大小相差在500KB之内,则所删文件的大小在预设值之内并标记正常删除。若用户所删文件为文本类且所删文件的大小与以往任一天所删文本类文件大小相差超过500KB,则所删文件的大小不在预设值之内并标记异常删除。
4):若用户所删文件为视频类且所删文件的大小与以往任一天所删视频类文件大小相差在500MB之内,则所删文件的大小在预设值之内并标记正常删除。若用户所删文件为视频类且所删文件的大小与以往任一天所删视频类文件大小相差超过500MB,则所删文件的大小不在预设值之内并标记异常删除。
5):若用户所删文件为音频类且所删文件的大小与以往任一天所删音频类文件大小相差在50MB之内,则所删文件的大小在预设值之内并标记正常删除。若用户所删文件为音频类且所删文件的大小与以往任一天所删音频类文件大小相差超过50MB,则所删文件的大小不在预设值之内并标记异常删除。
6):若用户所删文件为图片类且所删文件的大小与以往任一天所删图片类文件大小相差在5MB之内,则所删文件的大小在预设值之内并标记正常删除。若用户所删文件为图片类且所删文件的大小与以往任一天所删图片类文件大小相差超过5MB,则所删文件的大小不在预设值之内并标记异常删除。
7):若用户所删文件为可执行文件类且所删文件的大小与以往任一天所删可执行文件类文件大小相差在500KB之内,则所删文件的大小在预设值之内并标记正常删除。若用户所删文件为可执行文件类且所删文件的大小与以往任一天所删可执行文件类文件大小相差超过500KB,则所删文件的大小不在预设值之内并标记异常删除。
该异常删除文件模型能够根据所删文件的类型以及所删文件的大小来快速识别用户所删除的文件是否符合标准,进而避免公司内部资料销毁造成损失。
在本实施例中:异常数据传输模型的具体构建过程为:
SS1:将用户以往传输数据的对象标记为Rji,i=1……n。
SS2:将用户实时传输数据的对象标记为Rjz。
SS3:将Rjz与Rji进行匹配。
SS4:若Rjz与任一一个Rji匹配则检测结果显示正常。若Rjz不与任一一个Rji匹配则进入下一步骤。
SS5:识别Rjz与Rji的IP地址中的网段。
SS6:若Rjz与Rji的IP地址中的网段匹配则检测结果显示正常。若Rjz与Rji的IP地址中的网段不匹配则检测结果显示数据传输异常。
该异常数据传输模型能够识别用户传输数据的对象是否为陌生对象,而对陌生对象IP地址的网段进行识别匹配来判断该接收对象是否为公司内部员工,进而有效避免数据外泄。
在本实施例中:后台控制模块的系统管理包括提供权限管理、系统配置、算法管理与监控、服务监控、硬件资源监控以及审计日志。权限管理能够给登录系统的用户开放不同的权限,例如权限低的员工无法查看自己行为的检测分析结果,而权限高的领导可查看员工行为的检测分析结果。系统配置能够用来设置异常行为检测模型中的检测预设值。算法管理与监控能够对系统的算法进行监控与管理。服务监控能够在服务出现问题或者快要出现问题时能够准确快速地发现以减小影响范围。硬件资源监控能够了解硬件的工作状态。审计日志包含所有用户登录记录和所有用户操作记录。
综上所述,上述实施例的基于UEBA的智能网络安全检测分析系统,通过对用户在登录状态、资源访问、文件删除以及数据传输上的行为进行异常检测和调查,能够有效保护公司内部网络安全,避免内部文件丢失或泄露。
以上所述的,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
Claims (7)
1.基于UEBA的智能网络安全检测分析系统,其特征在于,包括UEBA流量解析模块、数据接入模块、数据管理模块、数据分析模块、数据检测模块以及后台控制模块;
其中,所述UEBA流量解析模块与数据接入模块通信连接,所述数据接入模块与数据管理模块通信连接,所述数据管理模块与数据分析模块通信连接,所述数据分析模块与数据检测模块通信连接,所述数据检测模块与后台控制模块通信连接;
所述UEBA流量解析模块用于进行数据解析,其接收交换机镜像数据,其中,镜像数据包括流数据、用户登录数据、各类日志数据、资产数据、资产漏扫数据、威胁情报数据与身份信息数据,所述UEBA流量解析模块对流数据进行自动解析,再将解析后的流数据以及用户登录数据、各类日志数据、资产数据、资产漏扫数据、威胁情报数据、身份信息数据传输给数据接入模块;
所述数据接入模块用于接收数据,其接收UEBA流量解析模块传来的数据并将数据传输给数据管理模块与数据检测模块;
所述数据管理模块接收数据接入模块传来的数据后对数据进行分布式存储,对数据进行管理;
所述数据分析模块提取数据管理模块中存储的数据进行分析学习,构建异常行为检测模型,将该模型发送给数据检测模块;所述数据分析模块构建的异常行为检测模型包括异常登录模型、异常资源访问模型、异常删除文件模型以及异常数据传输模型;所述异常登录模型用于检测用户登录状态是否异常,所述异常资源访问模型用于检测用户访问网址是否异常,所述异常删除文件模型用于检测用户删除的文件是否异常,所述异常数据传输模型用于检测用户传输的数据对象是否异常;
所述数据检测模块根据数据分析模块传来的异常行为检测模型对数据接入模块传来的数据进行检测,并将检测结果传输给后台控制模块;
所述后台控制模块用于显示数据检测结果以及进行系统管理。
2.根据权利要求1所述的基于UEBA的智能网络安全检测分析系统,其特征在于,所述异常登录模型的具体构建过程为:
S1:构建登录时长检测模型;
S11:将用户以往登录系统的所用的时长标记为Tsi,i=1……n;
S12:去掉最短登录时长与最长登录时长,对其余登录时长求取平均值Tsz;
S13:将用户此次登录系统所用时长标记为Tsc,再将Tsc与Tsz进行比较,若Tsc与Tsz相差的绝对值在1s内则检测结果显示正常;若Tsc与Tsz相差的绝对值在1-3s内则检测结果显示登录时长一级异常;若Tsc与Tsz相差的绝对值在3-5s内则检测结果显示登录时长二级异常;若Tsc与Tsz相差的绝对值超过5s则检测结果显示登录时长三级异常;
S2:构建登录IP地址检测模型;
S21:将用户以往登录系统的IP地址标记为Pzi,i=1……n;
S22:将用户此次登录系统的IP地址标记为Pzm;
S23:将Pzm与Pzi进行匹配;
S24:若Pzm与任一一个Pzi匹配则检测结果显示正常;若Pzm不与任一一个Pzi匹配则检测结果显示IP地址登录异常;
S3:构建登录终端检测模型;
S31:将用户以往登录系统所用的终端mac地址标记为Mji,j=1……n;
S32:将用户此次登录系统所用终端的mac地址标记为Mjp;
S33:将Mjp与Mji进行匹配;
S34:若Mjp与任一一个Mji匹配则检测结果显示正常;若Mjp不与任一一个Mji匹配则检测结果显示登录终端异常;
S4:构建登录时间检测模型;
S41:将用户以往登录系统的时间点标记为Sti,i=1……n;
S42:将用户此次登录系统的时间点标记为Stc;
S43:将Stc与Sti进行比较;
S44:若Stc与任一一个Sti的时间差绝对值在1h内则检测结果显示正常;若Stc与任一一个Sti的时间差绝对值在1-2h内则检测结果显示登录时间一级异常;若Stc与任一一个Sti的时间差绝对值在2-3h内则检测结果显示登录时间二级异常;若Stc与任一一个Sti的时间差绝对值超过3h则检测结果显示登录时间三级异常。
3.根据权利要求1所述的基于UEBA的智能网络安全检测分析系统,其特征在于,所述异常资源访问模型的具体构建过程为:
步骤一:将用户以往登录的网址标记为Wji,i=1……n;
步骤二:将用户实时登录的网址标记为Wjz;
步骤三:将Wjz与Wji进行匹配,若Wjz与任一一个Wji匹配则检测结果显示正常;若Wjz不与任一一个Wji匹配则进入下一步骤;
步骤四:对该网址进行病毒扫描;
步骤五:若确认该网址无病毒则检测结果显示正常;若确认该网址有病毒则进入下一步骤;
步骤六:若用户浏览该网址的时长超过预设值则检测结果显示资源访问异常;若用户浏览该网址的时长在预设值内则检测结果显示正常。
4.根据权利要求1所述的基于UEBA的智能网络安全检测分析系统,其特征在于,所述异常删除文件模型的具体构建过程为:
(1):将用户删除的文件进行时间标记,若所删文件最后一次修改的时间点在一个月之内则将该所删文件标记为重要文件;若所删文件最后一次修改的时间点在一个月到三个月之内则将该所删文件标记为次要文件;若所删文件最后一次修改的时间点超过三个月则将该所删文件标记为不重要文件;
(2):对用户删除的文件进行数量标记,若所删文件的大小在预设值之内则标记正常删除;若所删文件的大小不在预设值之内则标记异常删除;
(3):当所删文件的大小在预设值之内且所删文件标记为不重要文件,则检测结果显示正常;
(4):当所删文件的大小在预设值之内且所删文件标记为次要文件,则检测结果显示删除文件一级异常;
(5):当所删文件的大小在预设值之内且所删文件标记为重要文件,则检测结果显示删除文件二级异常;
(6):当所删文件的大小不在预设值之内且所删文件标记为不重要文件,则检测结果显示删除文件一级异常;
(7):当所删文件的大小不在预设值之内且所删文件标记为次要文件,则检测结果显示删除文件二级异常;
(8):当所删文件的大小不在预设值之内且所删文件标记为重要文件,则检测结果显示删除文件三级异常。
5.根据权利要求4所述的基于UEBA的智能网络安全检测分析系统,其特征在于,所述所删文件的大小是否在预设值之内的具体过程为:
1):将用户以往所删除的文件根据属性进行分类,分别为文本类、视频类、音频类、图片类以及可执行文件类;
2):将用户以往每日删除的不同种类的文件进行统计;
3):若用户所删文件为文本类且所删文件的大小与以往任一天所删文本类文件大小相差在500KB之内,则所删文件的大小在预设值之内并标记正常删除;若用户所删文件为文本类且所删文件的大小与以往任一天所删文本类文件大小相差超过500KB,则所删文件的大小不在预设值之内并标记异常删除;
4):若用户所删文件为视频类且所删文件的大小与以往任一天所删视频类文件大小相差在500MB之内,则所删文件的大小在预设值之内并标记正常删除;若用户所删文件为视频类且所删文件的大小与以往任一天所删视频类文件大小相差超过500MB,则所删文件的大小不在预设值之内并标记异常删除;
5):若用户所删文件为音频类且所删文件的大小与以往任一天所删音频类文件大小相差在50MB之内,则所删文件的大小在预设值之内并标记正常删除;若用户所删文件为音频类且所删文件的大小与以往任一天所删音频类文件大小相差超过50MB,则所删文件的大小不在预设值之内并标记异常删除;
6):若用户所删文件为图片类且所删文件的大小与以往任一天所删图片类文件大小相差在5MB之内,则所删文件的大小在预设值之内并标记正常删除;若用户所删文件为图片类且所删文件的大小与以往任一天所删图片类文件大小相差超过5MB,则所删文件的大小不在预设值之内并标记异常删除;
7):若用户所删文件为可执行文件类且所删文件的大小与以往任一天所删可执行文件类文件大小相差在500KB之内,则所删文件的大小在预设值之内并标记正常删除;若用户所删文件为可执行文件类且所删文件的大小与以往任一天所删可执行文件类文件大小相差超过500KB,则所删文件的大小不在预设值之内并标记异常删除。
6.根据权利要求1所述的基于UEBA的智能网络安全检测分析系统,其特征在于,所述异常数据传输模型的具体构建过程为:
SS1:将用户以往传输数据的对象标记为Rji,i=1……n;
SS2:将用户实时传输数据的对象标记为Rjz;
SS3:将Rjz与Rji进行匹配;
SS4:若Rjz与任一一个Rji匹配则检测结果显示正常;若Rjz不与任一一个Rji匹配则进入下一步骤;
SS5:识别Rjz与Rji的IP地址中的网段;
SS6:若Rjz与Rji的IP地址中的网段匹配则检测结果显示正常;若Rjz与Rji的IP地址中的网段不匹配则检测结果显示数据传输异常。
7.根据权利要求1所述的基于UEBA的智能网络安全检测分析系统,其特征在于,所述后台控制模块的系统管理包括提供权限管理、系统配置、算法管理与监控、服务监控、硬件资源监控以及审计日志。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111285672.8A CN114024734B (zh) | 2021-11-01 | 2021-11-01 | 基于ueba的智能网络安全检测分析系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111285672.8A CN114024734B (zh) | 2021-11-01 | 2021-11-01 | 基于ueba的智能网络安全检测分析系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114024734A true CN114024734A (zh) | 2022-02-08 |
CN114024734B CN114024734B (zh) | 2023-03-24 |
Family
ID=80059608
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111285672.8A Active CN114024734B (zh) | 2021-11-01 | 2021-11-01 | 基于ueba的智能网络安全检测分析系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114024734B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115952207A (zh) * | 2022-12-21 | 2023-04-11 | 北京中睿天下信息技术有限公司 | 一种基于StarRocks数据库的威胁邮件存储方法和系统 |
CN117240614A (zh) * | 2023-11-13 | 2023-12-15 | 中通服网盈科技有限公司 | 一种基于互联网的网络信息安全监测预警系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
CN110781930A (zh) * | 2019-10-14 | 2020-02-11 | 西安交通大学 | 一种基于网络安全设备日志数据的用户画像分组及行为分析方法和系统 |
CN111245793A (zh) * | 2019-12-31 | 2020-06-05 | 西安交大捷普网络科技有限公司 | 网络数据的异常分析方法及装置 |
CN112560027A (zh) * | 2020-12-18 | 2021-03-26 | 福建中信网安信息科技有限公司 | 一种数据安全监测系统 |
CN113132389A (zh) * | 2021-04-21 | 2021-07-16 | 广东电网有限责任公司梅州供电局 | 一种网络安全监测系统 |
-
2021
- 2021-11-01 CN CN202111285672.8A patent/CN114024734B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
CN110781930A (zh) * | 2019-10-14 | 2020-02-11 | 西安交通大学 | 一种基于网络安全设备日志数据的用户画像分组及行为分析方法和系统 |
CN111245793A (zh) * | 2019-12-31 | 2020-06-05 | 西安交大捷普网络科技有限公司 | 网络数据的异常分析方法及装置 |
CN112560027A (zh) * | 2020-12-18 | 2021-03-26 | 福建中信网安信息科技有限公司 | 一种数据安全监测系统 |
CN113132389A (zh) * | 2021-04-21 | 2021-07-16 | 广东电网有限责任公司梅州供电局 | 一种网络安全监测系统 |
Non-Patent Citations (1)
Title |
---|
司德睿等: "一种基于机器学习的安全威胁分析系统", 《信息技术与网络安全》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115952207A (zh) * | 2022-12-21 | 2023-04-11 | 北京中睿天下信息技术有限公司 | 一种基于StarRocks数据库的威胁邮件存储方法和系统 |
CN115952207B (zh) * | 2022-12-21 | 2024-02-20 | 北京中睿天下信息技术有限公司 | 一种基于StarRocks数据库的威胁邮件存储方法和系统 |
CN117240614A (zh) * | 2023-11-13 | 2023-12-15 | 中通服网盈科技有限公司 | 一种基于互联网的网络信息安全监测预警系统 |
CN117240614B (zh) * | 2023-11-13 | 2024-01-23 | 中通服网盈科技有限公司 | 一种基于互联网的网络信息安全监测预警系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114024734B (zh) | 2023-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109525558B (zh) | 数据泄露检测方法、系统、装置及存储介质 | |
US7752665B1 (en) | Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory | |
Koike et al. | SnortView: visualization system of snort logs | |
CN111800395A (zh) | 一种威胁情报防御方法和系统 | |
KR101327317B1 (ko) | Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템 | |
CN114024734B (zh) | 基于ueba的智能网络安全检测分析系统 | |
CN101370008B (zh) | Sql注入web攻击的实时入侵检测系统 | |
CN104767757A (zh) | 基于web业务的多维度安全监测方法和系统 | |
WO2009087359A2 (en) | Internet activity evaluation method and system | |
CN114372286A (zh) | 数据安全管理方法、装置、计算机设备及存储介质 | |
CN103428186A (zh) | 一种检测钓鱼网站的方法及装置 | |
WO2021253899A1 (zh) | 针对性攻击检测方法及其装置和计算机可读存储介质 | |
CN107517214A (zh) | 用于提供计算机网络安全的系统和方法 | |
US8225407B1 (en) | Incident prioritization and adaptive response recommendations | |
CN113792308A (zh) | 一种面向政务敏感数据安全行为风险分析方法 | |
CN111274276A (zh) | 操作审计方法、装置及电子设备和计算机可读存储介质 | |
CN115883223A (zh) | 用户风险画像的生成方法及装置、电子设备、存储介质 | |
CN114785613A (zh) | 一种基于自动编排处理安全告警事件的方法及系统 | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
US11470100B1 (en) | Data surveillance in a zero-trust network | |
CN113381980B (zh) | 信息安全防御方法及系统、电子设备、存储介质 | |
Hassan et al. | The role of artificial intelligence in cyber security and incident response | |
CN114338171A (zh) | 一种黑产攻击检测方法和装置 | |
CN112671801B (zh) | 一种网络安全检测方法和系统 | |
CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |