一种用户行为分析方法及装置制造方法及图纸

本申请公开了一种用户行为分析方法及装置，以解决现有Linux用户态注入无法实现进程白名单，且针对用户行为分析效率低下的问题，该方法为，当系统启动一进程时，判定该进程未记录在所述白名单数据中时，将指定的第一共享库文件加载到该进程对应的进程空间，根据第一共享库文件，抓取运行该进程涉及的用户行为数据；基于获得的用户行为数据，对用户行为进行相应分析。这样既实现了对用户进程注入的白名单，而且引入了用户行为特征向量，实现了对用户行为的量化计算，针对用户行为的分析高效准确。

【技术实现步骤摘要】

本申请涉及计算机
，尤其涉及一种用户行为分析方法及装置。
技术介绍
Linux平台常规的用户态挂钩(user mode hook)方案是首先在系统配置文件/etc/ld.so.preload中指定共享库文件(shared object，so)路径，操作系统启动进程时会根据该配置文件中的设置，加载指定so文件,从而达对进程注入的目的。这个机制本身存在一个明显的缺陷。/etc/ld.so.preload中的配置项是对整个系统生效的，所有进程启动都会加载其中指定的shared object文件，因此无法做到仅仅挂钩(hook)某些特定的进程，亦即无法实现进程白名单。由于user mode hook对于系统性能、安全性、稳定性和兼容性等方面都有可能产生负面影响，因此，白名单机制就显得既重要而且必要。用户行为是一个抽象的概念。例如，一个黑客入侵一台主机的整个过程可以称之为一种用户行为，而一个管理员登录一台主机做日常的管理维护工作也可称之为一种用户行为。如何识别这些用户行为并加以区分，对于主机安全具有非凡的意义。另外，当前系统内可能并发的运行着大量的命令，对于高性能服务器尤其如此。由此引本文档来自技高网...

【技术保护点】
一种用户行为分析方法，其特征在于，包括：当系统启动一进程时，基于预设的白名单数据，判定所述一进程未记录在所述白名单数据中时，将指定的第一共享库文件加载到所述进程对应的进程空间，所述第一共享库文件用于描述一系列监控操作；根据所述第一共享库文件中记录的监控操作信息，抓取运行所述一进程涉及的用户行为数据；基于获得的用户行为数据，针对用户行为进行相应分析。

【技术特征摘要】
1.一种用户行为分析方法，其特征在于，包括：当系统启动一进程时，基于预设的白名单数据，判定所述一进程未记录在所述白名单数据中时，将指定的第一共享库文件加载到所述进程对应的进程空间，所述第一共享库文件用于描述一系列监控操作；根据所述第一共享库文件中记录的监控操作信息，抓取运行所述一进程涉及的用户行为数据；基于获得的用户行为数据，针对用户行为进行相应分析。2.如权利要求1所述的方法，其特征在于，当系统启动一进程时，基于预设的的白名单数据，判定所述一进程是否记录在所述白名单数据中，具体包括：当系统启动一进程时，从数据库中获取所述一进程的路径信息，基于据库中记录的白名单数据，判断所述路径信息是否记录在所述白名单数据中，若是，则判定所述一进程记录在所述白名单数据中；否则，判定所述一进程未记录在所述白名单数据中。3.如权利要求2所述的方法，其特征在于，进一步包括：判定所述一进程记录在所述白名单数据中时，将系统中的源共享库文件加载到所述进程对应的进程空间，所述源共享库文件中记录有各种功能函数和对外接口信息。4.如权利要求1所述的方法，其特征在于，在抓取到运行所述一进程涉及的用户行为数据后，在针对所述用户行为数据提取关键行为特征之前，进一步包括：基于抓取到的用户行为数据，利用数据库的白名单数据确定所述用户行为数据未记录在所述白名单中，确定允许执行后续提取操作。5.如权利要求1所述的方法，其特征在于，基于获得的用户行为数据，针对用户行为进行相应分析，具体包括：基于获得的用户行为数据，提取关键行为特征，形成行为特征向量；按照预设的行为特征规则，对所述行为特征向量进行分类和排序处理，组装成事件流，并对所述事件流进行相应分析。6.如权利要求1－5任一项所述的方法，其特征在于，按照预设的的行为特征规则，对所述行为特征向量进行分类和排序处理，组装成事件流，并对所述事件流进行相应分析，具体包括：按照数据库中记录的行为特征规则，对所述行为特征向量进行分类和排序处理，组装成事件流，不同的行为特征规则对应不同的事件流；针对每一个事件流中行为特征向量分别与对应的行为规则向量计算相似度，确定相似度大于设定的阈值时，将所述事件流发送至指定平台进行进一步分析。7.一种用户行为分析装置，其特征在于，包括：加载单元，用于...

【专利技术属性】
技术研发人员：李毅，胡茂芳，郑瀚，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY