CN115146263B - 用户账号的失陷检测方法、装置、电子设备及存储介质 - Google Patents
用户账号的失陷检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115146263B CN115146263B CN202211075837.3A CN202211075837A CN115146263B CN 115146263 B CN115146263 B CN 115146263B CN 202211075837 A CN202211075837 A CN 202211075837A CN 115146263 B CN115146263 B CN 115146263B
- Authority
- CN
- China
- Prior art keywords
- entity
- vector
- behavior
- user
- feature vector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/33—Querying
- G06F16/3331—Query processing
- G06F16/334—Query execution
- G06F16/3344—Query execution using natural language analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computational Linguistics (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- Image Analysis (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请实施例提供一种用户账号的失陷检测方法、装置、电子设备及存储介质,其中,该方法包括:获取用户账号的日志数据;抽取所述日志数据中的实体;根据所述实体构建关联图和用户画像特征向量;根据所述实体获得行为序列特征向量;根据所述实体和所述关联图生成异常向量和进程实体向量;根据所述用户画像特征向量、所述行为序列特征向量、所述异常向量和所述进程实体向量生成行为画像向量;根据所述行为画像向量获得检测结果。实施本申请实施例,根据用户画像对相应的账号进行检测,不需要依赖人工构建的规则,灵活性更高,检测结果更加准确,可以节省人力物力,降低成本。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种用户账号的失陷检测方法、装置、电子设备及计算机可读存储介质。
背景技术
当前的失陷账号检测主要针对外部与内部的攻击来源。外部攻击通常具有进程伪装的行为模式,从而躲避终端防护设备的检测与查杀,与之相对的内部攻击通常会伪装为企业内部合法用户,在获取足够的账号权限后会执行看似合规的正常操作,进而对内部安全造成无法估计的破坏。然而,主流的网络防护设备却更注重于对外部威胁的检测,忽视了内部威胁带来的潜在影响,这种情况尤其在终端防护产品中更容易出现。当防护设备缺失了行之有效的内部威胁监控同外部威胁的联合分析,会使得整个安防体系无法形成检测的闭环,造成一定程度上的检测误报和漏报。
现有技术在解决这些问题的过程中,实体关联过程依赖于人工构建的规则所进行的惰性关联方式,缺乏自动化关联与实体节点扩展能力,当有新的实体加入到关联逻辑中,旧有的关联方案并不能动态地进行关联构建,费时费力,且效果不佳。
发明内容
本申请实施例的目的在于提供一种用户账号的失陷检测方法、装置、电子设备及计算机可读存储介质,根据用户画像对相应的账号进行检测,不需要依赖人工构建的规则,灵活性更高,检测结果更加准确,可以节省人力物力,降低成本。
第一方面,本申请实施例提供了一种用户账号的失陷检测方法,所述方法包括:
获取用户账号的日志数据;
抽取所述日志数据中的实体;
根据所述实体构建关联图和用户画像特征向量;
根据所述实体获得行为序列特征向量;
根据所述实体和所述关联图生成异常向量和进程实体向量;
根据所述用户画像特征向量、所述行为序列特征向量、所述异常向量和所述进程实体向量生成行为画像向量;
根据所述行为画像向量获得检测结果。
在上述实现过程中,根据日志数据和用户画像的特征对相应的账号进行检测,使得实体的关联过程更加灵活,不需要依赖人工构建的规则,灵活性更高,检测结果更加准确,可以节省人力物力,降低成本。
进一步地,所述根据所述实体构建关联图和用户画像特征向量的步骤,包括:
利用深度学习算法抽取所述实体的实体关系和实体属性;
根据所述实体属性和所述实体关系构建所述关联图;
根据所述实体属性构建所述用户画像特征向量。
在上述实现过程中,根据深度学习算法抽取实体关系和实体属性,可以使得实体关系和实体属性更加准确,确保构建的关联图和用户画像特征向量可以完整地表达用户画像特征和实体之间的关系,有助于提高对不同账号的检测结果。
进一步地,所述根据所述实体获得行为序列特征向量的步骤,包括:
根据所述实体的所述实体关系建立行为合规基线模型;
根据所述行为合规基线模型获得所述行为序列特征向量。
在上述实现过程中,通过建立行为合规基线模型来获得行为序列特征向量,可以将实体关系反映出来,减少序列特征向量的误差。
进一步地,所述根据所述实体和所述关联图生成异常向量和进程实体向量的步骤,包括:
根据所述关联图获得所述进程实体标签;
根据所述行为合规基线模型获得所述异常标签;
根据所述异常标签和所述进程实体标签生成异常向量和进程实体向量。
在上述实现过程中,根据异常标签和进程实体标签生成异常向量和进程实体向量,使得异常向量和进程实体向量可以包含更多特征,减少误差和计算量。
进一步地,所述根据所述行为画像向量获得检测结果的步骤,包括:
获取所述日志数据的标签;
根据所述行为画像向量和所述标签训练基础检测模型,得到检测模型;
将所述日志数据输入所述检测模型中,得到所述检测结果。
在上述实现过程中,根据行为画像向量和日志数据的标签训练基础检测模型,使得基础检测模型可以包含更多的特征,使得到的检测模型的鲁棒性更强、准确性更高。
进一步地,所述根据所述实体属性构建所述用户画像特征向量的步骤,包括:
对所述实体属性进行特征选择,得到用户画像;
对所述用户画像进行离散特征型编码转换,得到所述用户画像特征向量。
在上述实现过程中,对用户画像进行离散特征型编码转换,可以将用户画像完整地转换为用户画像特征向量,减少用户画像的特征的丢失,提高用户画像特征向量的准确性。
进一步地,所述根据所述关联图获得所述进程实体标签的步骤,包括:
获取所述实体的行为标签;
将所述行为标签通过所述关联图传递至进程实体,得到所述进程实体标签。
在上述实现过程中,将行为标签传递至进程实体,可以避免行为标签的丢失,使得到的进程实体标签更加完整。
第二方面,本申请实施例还提供了一种用户账号的失陷检测装置,所述装置包括:
获取模块,用于获取用户账号的日志数据;
抽取模块,用于抽取所述日志数据中的实体;
构建模块,用于根据所述实体构建关联图和用户画像特征向量;
序列建模模块,用于根据所述实体获得行为序列特征向量;
生成模块,用于根据所述实体和所述关联图生成异常向量和进程实体向量;还用于根据所述用户画像特征向量、所述行为序列特征向量、所述异常向量和所述进程实体向量生成行为画像向量;
检测模块,用于根据所述行为画像向量获得检测结果。
在上述实现过程中,根据日志数据和用户画像的特征对相应的账号进行检测,使得实体的关联过程更加灵活,不需要依赖人工构建的规则,灵活性更高,检测结果更加准确,可以节省人力物力,降低成本。
第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
第四方面,本申请实施例提供的一种计算机可读存储介质,所述存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
第五方面,本申请实施例提供的一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行如第一方面任一项所述的方法。
本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
并可依照说明书的内容予以实施,以下以本申请的较佳实施例并配合附图详细说明如后。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的用户账号的失陷检测方法的流程示意图;
图2为本申请实施例提供的用户账号的失陷检测装置的结构组成示意图;
图3为本申请实施例提供的电子设备的结构组成示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
下面结合附图和实施例,对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
实施例一
图1是本申请实施例提供的用户账号的失陷检测方法的流程示意图,如图1所示,该方法包括:
S1,获取用户账号的日志数据;
S2,抽取日志数据中的实体;
S3,根据实体构建关联图和用户画像特征向量;
S4,根据实体获得行为序列特征向量;
S5,根据实体和关联图生成异常向量和进程实体向量;
S6,根据用户画像特征向量、行为序列特征向量、异常向量和进程实体向量生成行为画像向量;
S7,根据行为画像向量获得检测结果。
在上述实现过程中,根据日志数据和用户画像的特征对相应的账号进行检测,使得实体的关联过程更加灵活,不需要依赖人工构建的规则,灵活性更高,检测结果更加准确,可以节省人力物力,降低成本。
在S1中,部署数据采集器从主机或终端上采集海量的日志数据,包括账号登录日志、进程日志、网络日志、文件日志与服务项运行日志等,随后结合安全事件场景(例如挖矿、勒索、蠕虫、木马、后门)分析主机遭受入侵的攻击阶段,判断用户是否在该主机上产生后续的攻击动作(例如在挖矿场景下的对外扫描、勒索场景下的释放勒索信等),对“失陷”与“非失陷”的标签,如产生攻击动作,标签为“失陷”,如果没有,标签为“非失陷”。
进一步地,标签可以分为多种类型,例如,根据不同日志数据的行为动作来标识日志数据的行为标签,行为标签包括:进程事件(如进程创建/线程创建等)、文件事件(如创建文件、修改文件)、网络事件(TCP连接/UDP连接等)、硬件事件(外连设备插拔等)、账号事件(账号增删等)、登录事件(SSH登录等)。
在S2中,通过预先构建已标注的网络安全实体类别库(用户实体名称库、进程实体库、文件实体库、网络实体库、服务项实体库与资产实体库等)来抽取日志数据中的实体。可选地,基于不仅限于最大熵模型、隐马尔可夫、条件随机场与深度学习算法从日志数据中抽取不同实体,实体主要包括:用户实体、进程实体、文件实体、网络实体、服务项实体(包括:系统服务、计划任务等)与资产实体(包括:数据库、业务系统、密码等)等。
进一步地,S3包括:
利用深度学习算法抽取实体的实体关系和实体属性;
根据实体属性和实体关系构建关联图;
根据实体属性构建用户画像特征向量。
在上述实现过程中,根据深度学习算法抽取实体关系和实体属性,可以使得实体关系和实体属性更加准确,确保构建的关联图和用户画像特征向量可以完整地表达用户画像特征和实体之间的关系,有助于提高对不同账号的检测结果。
深度学习算法包括但不限于无监督学习、弱监督与监督学习的机器学习算法与深度学习的CNN、LSTM与注意力机制模型等,其中,实体关系包括:
用户实体与进程实体之间的关系,当用户实体与进程实体存在交互类行为,包括用户创建、执行、终止进程等。
进程实体与资产实体之间的关系,当进程实体与资产实体存在交互类行为,包括进程新增、删除、读取资产(包括:读取数据库、读取业务系统、读取密码等)等。
进程实体与网络实体之间的关系,当进程实体与网络实体存在连接类行为,包括进程解析TCP、外部通过网页执行进程等。
进程实体与文件实体之间的关系,当进程实体与文件实体存在交互类行为,包括进程执行、修改、创建文件等。
进程实体与服务项实体之间的关系,当进程实体与服务项实体存在交互类行为,包括进程创建、修改、删除计划任务,进程创建、修改、删除系统服务等。
实体属性包括多种,如用户实体属性,用户实体与主机存在的登录类行为以及用户实体本身的属性,包括登录方式、登录时间、登录地点、登录IP、登录频率以及用户权限组等;
进程实体属性,包括进程PID、进程名、进程路径、父进程等;
文件实体属性,包括文件名、文件MD5、文件SHA256等;
网络实体属性,包括网络连接端口、网络连接IP、网络连接频率等;
服务项实体属性,包括服务项创建时间、服务项名称、服务项归属等;
资产实体属性,包括资产类型、资产重要程度、资产等保等级等。
可选地,在得到关联图后,可以将实体属性附加在相应的实体上,构建关联图的过程还包括:通过实体关系确定关联图的实体方向,具体地:
用户实体与进程实体之间的关系,方向为用户实体指向进程实体;
进程实体与资产实体之间的关系,方向为进程实体指向资产实体;
进程实体与网络实体之间的关系,方向为进程实体指向网络实体。
进程实体与文件实体之间的关系,方向为进程实体指向文件实体。
进程实体与服务项实体之间的关系,方向为进程实体指向服务项实体。
进一步地,根据实体属性构建用户画像特征向量的步骤,包括:
对实体属性进行特征选择,得到用户画像;
对用户画像进行离散特征型编码转换,得到用户画像特征向量。
在上述实现过程中,对用户画像进行离散特征型编码转换,可以将用户画像完整地转换为用户画像特征向量,减少用户画像的特征的丢失,提高用户画像特征向量的准确性。
通过特征选择方式(如特征相似性、特征重要性、离群特征等)组合为用户实体的用户画像,将用户画像通过离散型特征编码转换为用户画像特征向量。
进一步地,S4包括:
根据实体的实体关系建立行为合规基线模型;
根据行为合规基线模型获得行为序列特征向量。
在上述实现过程中,通过建立行为合规基线模型来获得行为序列特征向量,可以将实体关系反映出来,减少序列特征向量的误差。
其中,行为合规基线模型至少包括以下特征类别:用户登录行为基线,用户与进程行为基线,进程与资产行为基线,进程与网络行为基线,进程与文件行为基线,进程与服务项行为基线。
以序列建模的方式生成行为序列特征向量,并将该向量根据关联图附加在关联的用户实体上。
进一步地,S5包括:
根据关联图获得进程实体标签;
根据行为合规基线模型获得异常标签;
根据异常标签和进程实体标签生成异常向量和进程实体向量。
在上述实现过程中,根据异常标签和进程实体标签生成异常向量和进程实体向量,使得异常向量和进程实体向量可以包含更多特征,减少误差和计算量。
以包括但不限于统计算法(核密度估计、3σ原则等)、无监督学习(聚类、孤立森林等)的方法根据实体关系建立行为合规基线模型,通过统计实体关系中的历史关系行为识别出实体的行为异常。对相应的实体标识异常标签为“异常”或“非异常”,并附加在相应实体上,行为异常标签包括用户登录行为异常标签和进程行为异常标签。
根据异常标签和进程实体标签以包括但不限于独热编码、哈希编码的方式进行离散化向量表示,生成异常向量和进程实体向量。
进一步地,根据关联图获得进程实体标签的步骤,包括:
获取实体的行为标签;
将行为标签通过关联图传递至进程实体,得到进程实体标签。
在上述实现过程中,将行为标签传递至进程实体,可以避免行为标签的丢失,使得到的进程实体标签更加完整。
将文件实体、网络实体、服务项实体、资产实体的行为标签通过关联图再通过标签传递算法传递给进程实体,标签传递算法的方向是:将关联图中的实体方向进行逆向。再将进程实体的所有标签传递给关联的用户实体,所有标签包括进程本身的标签和通过标签传递过来的标签。
进一步地,S7包括:
获取日志数据的标签;
根据行为画像向量和标签训练基础检测模型,得到检测模型;
将日志数据输入检测模型中,得到检测结果。
在上述实现过程中,根据行为画像向量和日志数据的标签训练基础检测模型,使得基础检测模型可以包含更多的特征,使得到的检测模型的鲁棒性更强、准确性更高。
根据用户画像特征向量、行为序列特征向量、异常向量和进程实体向量组合成账号的行为画像向量。
以包括但不限于集成学习、线性模型、树模型等的机器学习算法和深度学习算法得到基础检测模型。
将日志数据输入到检测模型中,检测到账号是否失陷,即检测结果为用户账号为失陷账号。
示例性地,通过搭建运行环境实现对用户账号的失陷检测:
一台具有图数据库、行为检测能力与静态文件检测能力的主服务器以及若干装有可对日志数据进行采集的从服务器。在任意服务器或终端上伪装成企业内部员工进行操作:
以root用户权限在非工作时间、非常用地域进行登录,当然也可以使用VPN进行伪装;读取核心资产MySQL数据库,拷贝数据库中数据后,执行下载数据操作;向服务器上传挖矿病毒,执行挖矿病毒开始挖矿,此时需要保证网络通信顺畅;删除数据库中所有数据,清除自身行为的临时文件;添加正常用户的弱密码账号,为下次入侵做准备。
为了检测root用户账号是否失陷,从受侵害的服务器中采集日志数据,自动地提取出相应的用户实体、进程实体、网络实体、核心资产实体、文件实体等并附加相应的行为标签,基于已经对不同实体建立的行为基线模型动态地检测出不同实体的风险行为操作给出不同实体的“异常”与“非异常”标签以及不同实体的行为序列特征向量,根据图数据库中实体间的连接方式,除了可以有效地进行可视化外,还可以根据与用户实体关联的进程标签生成用户实体的交互行为特征,通过已经训练好的用户账号的失陷检测模型可以检测到该用户是否已经失陷,从而给出告警提示。
本申请实施例从不同日志数据中抽取出实体、实体关联关系与实体属性,依据关联关系对已经附加实体属性建立关联图,然后以图关联算法与标签传递算法等对实体的标签集聚来生成关联行为的特征向量。此外,生成用户画像后建立出的行为基线可以显著表明用户的异常表现,而在终端内部用户发起的相关行为对账号失陷判别提供了更多特征。最终形成的用户画像特征、用户行为特征、用户与其它实体的行为特征通过机器学习算法进行检测,检测结果可以识别用户账号是否失陷。本申请实施例不依赖于人工经验,在保证极高准确率、低误报的同时降低了人工的审查工作量。
实施例二
为了执行上述实施例一对应的方法,以实现相应的功能和技术效果,下面提供一种用户账号的失陷检测装置,如图2所示,该装置包括:
获取模块1,用于获取用户账号的日志数据;
抽取模块2,用于抽取日志数据中的实体;
构建模块3,用于根据实体构建关联图和用户画像特征向量;
序列建模模块4,用于根据实体获得行为序列特征向量;
生成模块5,用于根据实体和关联图生成异常向量和进程实体向量;还用于根据用户画像特征向量、行为序列特征向量、异常向量和进程实体向量生成行为画像向量;
检测模块6,用于根据行为画像向量获得检测结果。
进一步地,构建模块3还用于:
利用深度学习算法抽取实体的实体关系和实体属性;
根据实体属性和实体关系构建关联图;
根据实体属性构建用户画像特征向量。
进一步地,序列建模模块4还用于:
根据实体的实体关系建立行为合规基线模型;
根据行为合规基线模型获得行为序列特征向量。
进一步地,生成模块5还用于:
根据关联图获得进程实体标签;
根据行为合规基线模型获得异常标签;
根据异常标签和进程实体标签生成异常向量和进程实体向量。
进一步地,检测模块6还用于:
获取日志数据的标签;
根据行为画像向量和标签训练基础检测模型,得到检测模型;
将日志数据输入检测模型中,得到检测结果。
进一步地,构建模块3还用于:
对实体属性进行特征选择,得到用户画像;
对用户画像进行离散特征型编码转换,得到用户画像特征向量。
进一步地,生成模块5还用于:
获取实体的行为标签;
将行为标签通过关联图传递至进程实体,得到进程实体标签。
上述的用户账号的失陷检测装置可实施上述实施例一的方法。上述实施例一中的可选项也适用于本实施例,这里不再详述。
本申请实施例的其余内容可参照上述实施例一的内容,在本实施例中,不再进行赘述。
实施例三
本申请实施例提供一种电子设备,包括存储器及处理器,该存储器用于存储计算机程序,该处理器运行计算机程序以使电子设备执行实施例一的用户账号的失陷检测方法。
可选地,上述电子设备可以是服务器。
请参见图3,图3为本申请实施例提供的电子设备的结构组成示意图。该电子设备可以包括处理器31、通信接口32、存储器33和至少一个通信总线34。其中,通信总线34用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口32用于与其他节点设备进行信令或数据的通信。处理器31可以是一种集成电路芯片,具有信号的处理能力。
上述的处理器31可以是通用处理器,包括中央处理器(Central ProcessingUnit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器31也可以是任何常规的处理器等。
存储器33可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器33中存储有计算机可读取指令,当计算机可读取指令由所述处理器31执行时,设备可以执行上述图1方法实施例涉及的各个步骤。
可选地,电子设备还可以包括存储控制器、输入输出单元。存储器33、存储控制器、处理器31、外设接口、输入输出单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线34实现电性连接。处理器31用于执行存储器33中存储的可执行模块,例如设备包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是,但不限于,鼠标和键盘等。
可以理解,图3所示的结构仅为示意,电子设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
另外,本申请实施例还提供一种计算机可读存储介质,其存储有计算机程序,该计算机程序被处理器执行时实现实施例一的用户账号的失陷检测方法。
本申请实施例还提供一种计算机程序产品,该计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的装置来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (7)
1.一种用户账号的失陷检测方法,其特征在于,所述方法包括:
获取用户账号的日志数据;
抽取所述日志数据中的实体;
根据所述实体构建关联图和用户画像特征向量;
根据所述实体获得行为序列特征向量;
根据所述实体和所述关联图生成异常向量和进程实体向量;
根据所述用户画像特征向量、所述行为序列特征向量、所述异常向量和所述进程实体向量生成行为画像向量;
根据所述行为画像向量获得检测结果;
所述根据所述实体构建关联图和用户画像特征向量的步骤,包括:
利用深度学习算法抽取所述实体的实体关系和实体属性;
根据所述实体属性和所述实体关系构建所述关联图;
根据所述实体属性构建所述用户画像特征向量;
所述根据所述实体获得行为序列特征向量的步骤,包括:
根据所述实体的所述实体关系建立行为合规基线模型;
根据所述行为合规基线模型获得所述行为序列特征向量;
所述根据所述实体和所述关联图生成异常向量和进程实体向量的步骤,包括:
根据所述关联图获得所述进程实体标签;
根据所述行为合规基线模型获得所述异常标签;
根据所述异常标签和所述进程实体标签生成异常向量和进程实体向量。
2.根据权利要求1所述的用户账号的失陷检测方法,其特征在于,所述根据所述行为画像向量获得检测结果的步骤,包括:
获取所述日志数据的标签;
根据所述行为画像向量和所述标签训练基础检测模型,得到检测模型;
将所述日志数据输入所述检测模型中,得到所述检测结果。
3.根据权利要求1所述的用户账号的失陷检测方法,其特征在于,所述根据所述实体属性构建所述用户画像特征向量的步骤,包括:
对所述实体属性进行特征选择,得到用户画像;
对所述用户画像进行离散特征型编码转换,得到所述用户画像特征向量。
4.根据权利要求1所述的用户账号的失陷检测方法,其特征在于,所述根据所述关联图获得所述进程实体标签的步骤,包括:
获取所述实体的行为标签;
将所述行为标签通过所述关联图传递至进程实体,得到所述进程实体标签。
5.一种用户账号的失陷检测装置,其特征在于,所述装置包括:
获取模块,用于获取用户账号的日志数据;
抽取模块,用于抽取所述日志数据中的实体;
构建模块,用于根据所述实体构建关联图和用户画像特征向量;
序列建模模块,用于根据所述实体获得行为序列特征向量;
生成模块,用于根据所述实体和所述关联图生成异常向量和进程实体向量;还用于根据所述用户画像特征向量、所述行为序列特征向量、所述异常向量和所述进程实体向量生成行为画像向量;
检测模块,用于根据所述行为画像向量获得检测结果;
构建模块还用于:
利用深度学习算法抽取所述实体的实体关系和实体属性;
根据所述实体属性和所述实体关系构建所述关联图;
根据所述实体属性构建所述用户画像特征向量;
序列建模模块还用于:
根据所述实体的所述实体关系建立行为合规基线模型;
根据所述行为合规基线模型获得所述行为序列特征向量;
生成模块还用于:
根据所述关联图获得所述进程实体标签;
根据所述行为合规基线模型获得所述异常标签;
根据所述异常标签和所述进程实体标签生成异常向量和进程实体向量。
6.一种电子设备,其特征在于,包括存储器及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1至4中任一项所述的用户账号的失陷检测方法。
7.一种计算机可读存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4中任一项所述的用户账号的失陷检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211075837.3A CN115146263B (zh) | 2022-09-05 | 2022-09-05 | 用户账号的失陷检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211075837.3A CN115146263B (zh) | 2022-09-05 | 2022-09-05 | 用户账号的失陷检测方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115146263A CN115146263A (zh) | 2022-10-04 |
CN115146263B true CN115146263B (zh) | 2022-12-16 |
Family
ID=83415696
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211075837.3A Active CN115146263B (zh) | 2022-09-05 | 2022-09-05 | 用户账号的失陷检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115146263B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115567227B (zh) * | 2022-12-02 | 2023-04-07 | 华南师范大学 | 一种基于大数据安全的身份认证方法及系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114116284A (zh) * | 2021-11-22 | 2022-03-01 | 闪捷信息科技有限公司 | 失陷帐号检测方法、装置、电子设备和存储介质 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110611635B (zh) * | 2018-06-14 | 2022-02-25 | 蓝盾信息安全技术股份有限公司 | 一种基于多维度失陷账号的检测方法 |
CN113574843B (zh) * | 2019-03-15 | 2024-06-25 | 埃尔森有限公司 | 用于异常监测的分布式日志 |
CN110351307B (zh) * | 2019-08-14 | 2022-01-28 | 杭州安恒信息技术股份有限公司 | 基于集成学习的异常用户检测方法及系统 |
CN111371767B (zh) * | 2020-02-20 | 2022-05-13 | 深圳市腾讯计算机系统有限公司 | 恶意账号识别方法、恶意账号识别装置、介质及电子设备 |
CN112804196A (zh) * | 2020-12-25 | 2021-05-14 | 北京明朝万达科技股份有限公司 | 日志数据的处理方法及装置 |
CN113918938A (zh) * | 2021-10-18 | 2022-01-11 | 北京八分量信息科技有限公司 | 一种持续免疫安全系统的用户实体行为分析方法及系统 |
CN113923037B (zh) * | 2021-10-18 | 2024-03-26 | 北京八分量信息科技有限公司 | 一种基于可信计算的异常检测优化装置、方法及系统 |
CN113886829B (zh) * | 2021-12-08 | 2022-03-18 | 北京微步在线科技有限公司 | 一种失陷主机检测方法、装置、电子设备及存储介质 |
-
2022
- 2022-09-05 CN CN202211075837.3A patent/CN115146263B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114116284A (zh) * | 2021-11-22 | 2022-03-01 | 闪捷信息科技有限公司 | 失陷帐号检测方法、装置、电子设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115146263A (zh) | 2022-10-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109347801B (zh) | 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法 | |
US10936717B1 (en) | Monitoring containers running on container host devices for detection of anomalies in current container behavior | |
JP6508353B2 (ja) | 情報処理装置 | |
US9998484B1 (en) | Classifying potentially malicious and benign software modules through similarity analysis | |
US20240129327A1 (en) | Context informed abnormal endpoint behavior detection | |
US11194906B2 (en) | Automated threat alert triage via data provenance | |
US20150286819A1 (en) | Insider threat prediction | |
US10614226B2 (en) | Machine learning statistical methods estimating software system's security analysis assessment or audit effort, cost and processing decisions | |
US11321066B2 (en) | Securing software installation through deep graph learning | |
US20200045064A1 (en) | Systems and methods for monitoring security of an organization based on a normalized risk score | |
Goyal et al. | Discovering signals from web sources to predict cyber attacks | |
CN112131571B (zh) | 威胁溯源方法及相关设备 | |
CN115146263B (zh) | 用户账号的失陷检测方法、装置、电子设备及存储介质 | |
US20200007559A1 (en) | Web Threat Investigation Using Advanced Web Crawling | |
CN113886829B (zh) | 一种失陷主机检测方法、装置、电子设备及存储介质 | |
CN114006727B (zh) | 告警关联分析方法、装置、设备及存储介质 | |
Johnson et al. | Quantitative information security risk estimation using probabilistic attack graphs | |
CN114003914A (zh) | 一种文件的安全性检测方法、装置、电子设备及存储介质 | |
CN114186278A (zh) | 数据库异常操作识别方法、装置与电子设备 | |
CN115242614B (zh) | 网络信息分析方法、装置、设备及介质 | |
US11822655B1 (en) | False alarm reduction by novelty detection | |
US20220253529A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
US11416609B1 (en) | Systems and methods for cyber security threat detection and expedited generation of investigation storyboards using intelligent cyber security automations | |
CN114004604B (zh) | 一种邮件中url数据的检测方法、装置、电子设备 | |
JP7259436B2 (ja) | 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |