一种海量日志提权行为检测及分类方法技术

本发明专利技术提供一种海量日志提权行为检测及分类方法，包括：海量日志提权行为检测和海量日志提权行为分类两大模块。通过提取历史日志中的多维度提权特征，在线检测海量流式日志中的权限提升行为；再将历史日志作为训练样本，学习产生分类模型，对检测出的所述权限提升行为给出更细粒度的分类结果。

A Method for Detecting and Classifying Massive Log Entitlement Behavior

【技术实现步骤摘要】
一种海量日志提权行为检测及分类方法
本专利技术属于行为检测及分类
，使用的主要方法是模式识别中的特征匹配和机器学习中的决策树模型，特别涉及一种海量日志提权行为检测及分类方法。
技术介绍
随着信息技术的快速发展，越来越多企业为了提高经济效益和社会效益，依靠信息系统来满足业务的要求。在企业无纸化、高效发展的同时，必须要求系统有足够保障数据安全的能力。一方面需要能够辨别用户的身份是否合法，另一方面还需要制定权限检测机制来合理控制访问权限。需要合理可用的权限控制，来对服务和资源的操作者的访问权限进行管控，既要保证授权用户顺利地执行已经授权了的任务，又要保证未授权用户执行未授权的任务。既要保证已授权的用户可以访问合法资源，又要保证未授权的用户不能访问未授权的资源。如果访问控制对操作者的安全防护不够，就会出现一些操作者执行非法操作，如果访问控制对操作者的安全防护过度，则会出现合法用户的合法操作被拒绝。一般的信息系统权限提升行为包含用户的权限异常提升和对系统文件访问的权限提升，需要分别进行识别。通常用户权限异常提升的方式有以下三种：1)普通用户登录操作系统后，通过利用操作系统内核或软件漏洞使得普通用户权限提升至root账户；2)通过Web系统的上传漏洞植入Webshell，再利用系统级漏洞实现提权；3)由于配置不当使得普通用户特权提升。对系统文件访问的权限提升即系统文件本身权限发生改变，使得普通用户也拥有对系统隐私文件的访问和操作权限。在系统访问频繁的情况下，如何高效地进行权限检测及分类，已经显得格外的重要。目前已有的权限提升检测方法，普遍采用基于用户组的访问控制方法来对系统进行规范授权操作，以确保对系统资源的安全访问。根据系统的不同需求，可以确定不同的用户组，每个用户组对系统拥有不同的权限，不同的用户又被赋予不同的用户组，而同一个用户因为可以承担不同的任务，因此可以扮演多用户，具有不同的权限。
技术实现思路
为了克服上述现有技术的缺点，本专利技术的目的在于提供一种海量日志提权行为检测及分类方法，实现了从操作系统日志中检测识别出权限提升行为，并对提权行为进行高效分类的功能。为了实现上述目的，本专利技术采用的技术方案是：本专利技术第一方面提供一种海量日志提权行为检测方法，包括：输入小批量已标定的训练日志样本，提取多维度的提权特征；根据所述多维度的提权特征构建特征向量集合，检测海量日志中的提权行为。所述标定是指对训练数据中所包含的提权记录以及提权类型赋予标签信息，所述小批量是指所选用的分类模型所需要的最小训练样本量。所述多维度提权特征，包括进程树结构特征PS(PstreeSignature)、用户登录特征LS(LoginSignature)、sudo操作特征OS(OperationSignature)和关键字特征KS(KeywordSignatyre)。所述进程树结构特征是通过关联进程日志，构建进程树，普通用户获取管理员权限时，追踪进程树中进程所在的用户ID变化情况，当一个uid不为0的父进程派生出一个uid为0的子进程时，该子进程即为权限提升后产生的进程，基于该特征作为检测依据，提取所有权限提升行为的日志记录；所述用户登录特征是筛选出日志含有登陆成功信息的关键日志记录，提取出登录用户名和登录时间，记录该用户登录时间，提取待检测日志中用户的操作记录和操作时间信息，如果在该条操作记录之前没有该用户登录的痕迹，则该条操作记录是利用漏洞使用户权限提升后的操作记录；所述sudo操作特征是日志记录中含有“sudo”且没有“userNOTinsudoers”，则该条记录是配置不当使得普通用户权限提升，用户使用sudo命令的记录，提取其中的用户名、时间和操作命令等信息；所述关键字特征是判断修改用户组操作，如果把用户追加到root组或具有root权限的组中，则判断其为修改用户组权限提升行为，分析日志文件，提取包含“usermod-G”字段，如果是追加到具有root权限的用户组中，则该条记录为修改用户组权限提升行为。本专利技术第二方面提供一种海量日志提权行为分类方法，在利用上述方法进行检测之后，结合训练样本的数学统计结果，计算每个特征的信息熵和信息增益；对所述特征向量集合按照所述信息增益的值进行排序，建立分类模型，对所述提权行为进行高效的细粒度分类。所述对特征向量集合按照所述信息增益值进行排序，建立分类模型，以信息熵的下降速度为选取提权特征的标准，即在每个节点选取最高信息增益的提权特征作为划分标准，然后继续这个过程，直到生成的分类模型能完美分类训练日志样本。所述信息增益是来衡量一个特征区分日志样本的能力，计算公式：Grain(A)＝Info(D)-InfoA(D)其中，Grain(A)为信息增益，A为权限特征：PS、LS、OS和KS；Info(D)和InfoA(D)分别为权限特征A作用前、后的信息熵；通过计算所述特征信息熵的差，当新增一个提权特征A时，信息熵Grain(A)的变化大小即为特征A的信息增益。所述信息熵InfoA(D)描述提权特征A携带的信息量，信息量越大，则越不确定，越不容易被预测；D为所述训练日志样本数据集，c表示数据类别数，pi表示类别i样本数量占所有样本的比例即所述数学统计结果，k表示样本D被分为k个部分。所述分类模型是根据每个特征的信息增益，按照信息增益的大小，自上向下构建决策树分类模型，信息增益最大的特征，作为决策树模型最优节点。根据所述决策树模型，实时检测海量日志，给出更细粒度的权限提升判定结果。所述细粒度的权限提升判定结果，根据进程树结构变化提取进程权限提升信息，结合当前权限提升行为所触发的规则，给出更细粒度的权限提升判定结果包括利用漏洞的权限提升行为、某个进程的权限提升操作行为、改变用户所属用户组来实现权限提升、通过修改文件属性实现权限提升和通过修改文件拥有者实现权限提升。与现有技术相比，本专利技术通过提取历史日志中的多维度提权特征，在线检测海量流式日志中的权限提升行为；再将历史日志作为训练样本，学习产生分类模型，对检测出的所述权限提升行为可给出更细粒度的分类结果。附图说明图1为本专利技术提供的一种海量日志提权行为检测及分类方法的流程图。图2为本专利技术提供的一种海量日志提权行为检测方法的流程图。图3为本专利技术提供的一种海量日志提权行为分类方法的流程图。图4为本专利技术提供的一种海量日志提权行为分类方法的分类模型图。图5为本专利技术提供的一种海量日志提权行为检测及分类方法的总体框架图。具体实施方式本专利技术提供一种海量日志提权行为检测及分类方法，实现了从操作系统日志中检测识别出权限提升行为，并对提权行为进行高效分类的功能。为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术中的附图，对本专利技术中的技术方案进行清楚、完整地描述。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。图1为本专利技术提供一种海量日志提权行为检测及分类方法的流程图，如图1所示，方法包括如下步骤。步骤101、输入小批量已标定的训练日志样本，所述日志样本主要针对操作系统包含提权信息的系统日志。所述标定过程是指对训练数据中所包含的提权记录以及提权类型赋予标签信息。所述小批量是指本专利技术所选用的分类模型所本文档来自技高网...

【技术保护点】
1.一种海量日志提权行为检测方法，其特征在于，包括：输入小批量已标定的训练日志样本，提取多维度的提权特征；根据所述多维度的提权特征构建特征向量集合，检测海量日志中的提权行为。

【技术特征摘要】
1.一种海量日志提权行为检测方法，其特征在于，包括：输入小批量已标定的训练日志样本，提取多维度的提权特征；根据所述多维度的提权特征构建特征向量集合，检测海量日志中的提权行为。2.根据权利要求1所述海量日志提权行为检测方法，其特征在于，所述标定是指对训练数据中所包含的提权记录以及提权类型赋予标签信息，所述小批量是指所选用的分类模型所需要的最小训练样本量。3.根据权利要求1所述海量日志提权行为检测方法，其特征在于，所述多维度提权特征，包括进程树结构特征PS(PstreeSignature)、用户登录特征LS(LoginSignature)、sudo操作特征OS(OperationSignature)和关键字特征KS(KeywordSignatyre)。4.根据权利要求3所述海量日志提权行为检测方法，其特征在于，所述进程树结构特征是通过关联进程日志，构建进程树，普通用户获取管理员权限时，追踪进程树中进程所在的用户ID变化情况，当一个uid不为0的父进程派生出一个uid为0的子进程时，该子进程即为权限提升后产生的进程，基于该特征作为检测依据，提取所有权限提升行为的日志记录；所述用户登录特征是筛选出日志含有登陆成功信息的关键日志记录，提取出登录用户名和登录时间，记录该用户登录时间，提取待检测日志中用户的操作记录和操作时间信息，如果在该条操作记录之前没有该用户登录的痕迹，则该条操作记录是利用漏洞使用户权限提升后的操作记录；所述sudo操作特征是日志记录中含有“sudo”且没有“userNOTinsudoers”，则该条记录是配置不当使得普通用户权限提升，用户使用sudo命令的记录，提取其中的用户名、时间和操作命令信息；所述关键字特征是判断修改用户组操作，如果把用户追加到root组或具有root权限的组中，则判断其为修改用户组权限提升行为，分析日志文件，提取包含“usermod-G”字段，如果是追加到具有root权限的用户组中，则该条记录为修改用户组权限提升行为。5.一种海量日志提权行为分类方法，其特征在于，在利用权利要求1的方法实现检测之后，结...

【专利技术属性】
技术研发人员：陶敬，樊志甲，郑宁，马小博，王晨旭，郝传洲，常跃，陈奕光，王莞尔，詹旭娜，
申请(专利权)人：西安交通大学，
类型：发明
国别省市：陕西,61