本申请公开了一种用户行为分析方法及装置,以解决现有Linux用户态注入无法实现进程白名单,且针对用户行为分析效率低下的问题,该方法为,当系统启动一进程时,判定该进程未记录在所述白名单数据中时,将指定的第一共享库文件加载到该进程对应的进程空间,根据第一共享库文件,抓取运行该进程涉及的用户行为数据;基于获得的用户行为数据,对用户行为进行相应分析。这样既实现了对用户进程注入的白名单,而且引入了用户行为特征向量,实现了对用户行为的量化计算,针对用户行为的分析高效准确。
【技术实现步骤摘要】
本申请涉及计算机
,尤其涉及一种用户行为分析方法及装置。
技术介绍
Linux平台常规的用户态挂钩(user mode hook)方案是首先在系统配置文件/etc/ld.so.preload中指定共享库文件(shared object,so)路径,操作系统启动进程时会根据该配置文件中的设置,加载指定so文件,从而达对进程注入的目的。这个机制本身存在一个明显的缺陷。/etc/ld.so.preload中的配置项是对整个系统生效的,所有进程启动都会加载其中指定的shared object文件,因此无法做到仅仅挂钩(hook)某些特定的进程,亦即无法实现进程白名单。由于user mode hook对于系统性能、安全性、稳定性和兼容性等方面都有可能产生负面影响,因此,白名单机制就显得既重要而且必要。用户行为是一个抽象的概念。例如,一个黑客入侵一台主机的整个过程可以称之为一种用户行为,而一个管理员登录一台主机做日常的管理维护工作也可称之为一种用户行为。如何识别这些用户行为并加以区分,对于主机安全具有非凡的意义。另外,当前系统内可能并发的运行着大量的命令,对于高性能服务器尤其如此。由此引发出一个问题,即hook模块可能捕获到大量的用户操作事件。但受到网络带宽的限制,同时也为了避免对系统资源的过度使用而影响其他业务的正常运行,hook模块通常无法满负荷运转,因此也无法及时高效的将消息流发送给大数据处理模块。另外,系统中可能存在一些循环执行的命令,这些命令常常完全相同,或者非常的近似。这些信息如果全部被传递给数据分析模块,反而会拖累整个分析过程的速度。因此,在hook模块中尽可能的过滤重
复或相似的命令就愈发重要,这就要求hook模块具备识别相似的命令的能力,并能够针对用户的行为进行进一步的分析。申请内容本申请的目的是提供一种用户行为分析方法及装置,以解决现有Linux用户态注入无法实现进程白名单,且针对用户行为分析效率低下的问题。本申请的目的是通过以下技术方案实现的:一种用户行为分析方法,包括:当系统启动一进程时,基于预设的白名单数据,判定所述一进程未记录在所述白名单数据中时,将指定的第一共享库文件加载到所述进程对应的进程空间,所述第一共享库文件用于描述一系列监控操作;根据所述第一共享库文件中记录的监控操作信息,抓取运行所述一进程涉及的用户行为数据;基于获得的用户行为数据,针对用户行为进行相应分析。这样既实现了对用户进程注入的白名单,能够提供一种更安全、可靠、稳定、灵活的共享库注入方案,而且用户行为特征向量的引入,是对用户行为建模的基础,为识别和区分黑客和合法系统用户的行为创造了条件,实现了对用户行为的量化计算,进而为智能分析用户行为提供了可能。可选的,当系统启动一进程时,基于预设的的白名单数据,判定所述一进程是否记录在所述白名单数据中,具体包括:当系统启动一进程时,从数据库中获取所述一进程的路径信息,基于据库中记录的白名单数据,判断所述路径信息是否记录在所述白名单数据中,若是,则判定所述一进程记录在所述白名单数据中;否则,判定所述一进程未记录在所述白名单数据中。可选的,进一步包括:判定所述一进程记录在所述白名单数据中时,将系统中的源共享库文件加
载到所述进程对应的进程空间,所述源共享库文件中记录有各种功能函数和对外接口信息。可选的,在抓取到运行所述一进程涉及的用户行为数据后,在针对所述用户行为数据提取关键行为特征之前,进一步包括:基于抓取到的用户行为数据,利用数据库的白名单数据确定所述用户行为数据未记录在所述白名单中,确定允许执行后续提取操作。可选的,基于获得的用户行为数据,针对用户行为进行相应分析,具体包括:基于获得的用户行为数据,提取关键行为特征,形成行为特征向量;按照预设的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,并对所述事件流进行相应分析。可选的,按照预设的的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,并对所述事件流进行相应分析,具体包括:按照数据库中记录的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,不同的行为特征规则对应不同的事件流;针对每一个事件流中行为特征向量分别与对应的行为规则向量计算相似度,确定相似度大于设定的阈值时,将所述事件流发送至指定平台进行进一步分析。一种用户行为分析装置,包括:加载单元,用于当系统启动一进程时,基于预设的的白名单数据,判定所述一进程未记录在所述白名单数据中时,将指定的第一共享库文件加载到所述进程对应的进程空间,所述第一共享库文件用于描述一系列监控操作;抓取单元,用于根据所述第一共享库文件中记录的监控操作信息,抓取运行所述一进程涉及的用户行为数据;分析单元,用于基于获得的用户行为数据,针对用户行为进行相应分析。这样既实现了对用户进程注入的白名单,能够提供一种更安全、可靠、稳
定、灵活的共享库注入方案,而且用户行为特征向量的引入,是对用户行为建模的基础,为识别和区分黑客和合法系统用户的行为创造了条件,实现了对用户行为的量化计算,进而为智能分析用户行为提供了可能。可选的,当系统启动一进程时,基于预设的白名单数据,判定所述一进程是否记录在所述白名单数据中时,所述加载单元具体用于:当系统启动一进程时,从数据库中获取所述一进程的路径信息,基于据库中记录的白名单数据,判断所述路径信息是否记录在所述白名单数据中,若是,则判定所述一进程记录在所述白名单数据中;否则,判定所述一进程未记录在所述白名单数据中。可选的,所述加载单元进一步用于:判定所述一进程记录在所述白名单数据中时,将系统中的源共享库文件加载到所述进程对应的进程空间,所述源共享库文件中记录有各种功能函数和对外接口信息。可选的,在抓取到运行所述一进程涉及的用户行为数据后,在针对所述用户行为数据提取关键行为特征之前,所述抓取单元进一步用于:基于抓取到的用户行为数据,利用数据库的白名单数据确定所述用户行为数据未记录在所述白名单中,确定允许执行后续提取操作。可选的,基于获得的用户行为数据,针对用户行为进行相应分析时,所述分析单元具体用于:基于获得的用户行为数据,提取关键行为特征,形成行为特征向量;按照预设的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,并对所述事件流进行相应分析。可选的,按照预设的的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,并对所述事件流进行相应分析时,所述分析单元具体用于:按照数据库中记录的行为特征规则,对所述行为特征向量进行分类和排序
处理,组装成事件流,不同的行为特征规则对应不同的事件流;针对每一个事件流中行为特征向量分别与对应的行为规则向量计算相似度,确定相似度大于设定的阈值时,将所述事件流发送至指定平台进行进一步分析。附图说明图1为本申请实施例用户行为分析系统架构图;图2为本申请实施例中用户行为分析方法流程示意图;图3为本申请实施例中Linux系统的进程启动流程图;图4为本申请实施例中用户行为分析装置结构示意图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本文档来自技高网...
【技术保护点】
一种用户行为分析方法,其特征在于,包括:当系统启动一进程时,基于预设的白名单数据,判定所述一进程未记录在所述白名单数据中时,将指定的第一共享库文件加载到所述进程对应的进程空间,所述第一共享库文件用于描述一系列监控操作;根据所述第一共享库文件中记录的监控操作信息,抓取运行所述一进程涉及的用户行为数据;基于获得的用户行为数据,针对用户行为进行相应分析。
【技术特征摘要】
1.一种用户行为分析方法,其特征在于,包括:当系统启动一进程时,基于预设的白名单数据,判定所述一进程未记录在所述白名单数据中时,将指定的第一共享库文件加载到所述进程对应的进程空间,所述第一共享库文件用于描述一系列监控操作;根据所述第一共享库文件中记录的监控操作信息,抓取运行所述一进程涉及的用户行为数据;基于获得的用户行为数据,针对用户行为进行相应分析。2.如权利要求1所述的方法,其特征在于,当系统启动一进程时,基于预设的的白名单数据,判定所述一进程是否记录在所述白名单数据中,具体包括:当系统启动一进程时,从数据库中获取所述一进程的路径信息,基于据库中记录的白名单数据,判断所述路径信息是否记录在所述白名单数据中,若是,则判定所述一进程记录在所述白名单数据中;否则,判定所述一进程未记录在所述白名单数据中。3.如权利要求2所述的方法,其特征在于,进一步包括:判定所述一进程记录在所述白名单数据中时,将系统中的源共享库文件加载到所述进程对应的进程空间,所述源共享库文件中记录有各种功能函数和对外接口信息。4.如权利要求1所述的方法,其特征在于,在抓取到运行所述一进程涉及的用户行为数据后,在针对所述用户行为数据提取关键行为特征之前,进一步包括:基于抓取到的用户行为数据,利用数据库的白名单数据确定所述用户行为数据未记录在所述白名单中,确定允许执行后续提取操作。5.如权利要求1所述的方法,其特征在于,基于获得的用户行为数据,针对用户行为进行相应分析,具体包括:基于获得的用户行为数据,提取关键行为特征,形成行为特征向量;按照预设的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,并对所述事件流进行相应分析。6.如权利要求1-5任一项所述的方法,其特征在于,按照预设的的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,并对所述事件流进行相应分析,具体包括:按照数据库中记录的行为特征规则,对所述行为特征向量进行分类和排序处理,组装成事件流,不同的行为特征规则对应不同的事件流;针对每一个事件流中行为特征向量分别与对应的行为规则向量计算相似度,确定相似度大于设定的阈值时,将所述事件流发送至指定平台进行进一步分析。7.一种用户行为分析装置,其特征在于,包括:加载单元,用于...
【专利技术属性】
技术研发人员:李毅,胡茂芳,郑瀚,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。