The invention relates to the technical field of network security, in particular to an abnormal behavior detection method and device for users within an enterprise. The invention discloses an abnormal behavior detection method for internal users of enterprises, and also discloses an abnormal behavior detection device for internal users of enterprises, including: behavior log acquisition and preprocessing module; behavior details modeling module; business status transition prediction module; malicious behavior scoring and discrimination module. The invention uses unsupervised machine learning method, makes full use of unmarked historical behavior log data in enterprises to construct user behavior model, improves the accuracy of abnormal behavior detection, reduces false alarm rate and false alarm rate, and provides an effective means for detecting internal threats in enterprises.
【技术实现步骤摘要】
企业内部用户异常行为检测方法和装置
本专利技术涉及网络安全
,尤其涉及企业内部用户异常行为检测方法和装置。
技术介绍
全球企业每年因为内部用户蓄意破坏或无意失职导致的损失所占比重越来越大,内部威胁日益成为企业安全关注的重点。攻击者来自企业内部,攻击往往发生在工作时间,恶意行为嵌入在大量正常数据中,增加了数据挖掘分析的难度;同时攻击者往往具有组织安全防御机制的相关知识,可以采取措施规避安全检测。然而,内部威胁攻击模式多样,获取攻击样本成本高、难度大,人工判定异常工作量大、识别准确率低,当前较为成熟的有监督的机器学习方法,无法有效利用企业历史数据进行用户行为建模。目前流行的标签式用户行为画像方法,针对以上数据进行统计建模,并通过学习历史数据中统计数值的大小,为用户贴标签,确定判别阈值,进而实现对新数据的异常性进行判定和打分。该方法过度依赖人工特征提取,且只能利用小部分统计性行为数据,大量细节信息被忽略,导致形成的行为模型缺细节、不全面,极大的影响了用户异常行为的判定准确率。申请号为CN201710668128.9的专利技术提出了一种基于用户行为相似度的的行为检测...
【技术保护点】
1.企业内部用户异常行为检测方法,其特征在于,包括以下步骤:步骤1:将企业内部用户的历史行为日志数据按照用户ID划分为不同的数据流,针对不同行为对应的历史行为日志数据,在解析过程中,进行不同的处理,将每条历史行为日志数据解析为一个五元组;步骤2:为解析后的历史行为日志数据建立索引,存储到全文搜索引擎数据库中,作为初始搜索的基础数据,当接收到新的行为日志数据时,通过搜索新的行为日志数据对应的五元组提取对应的行为细节信息,检索每个行为细节信息在历史行为中出现的频率及时间节点信息,完成新行为与历史行为的比对,将文字型日志数据转化为数值型向量,利用转化为数值型向量的历史行为日志数据...
【技术特征摘要】
1.企业内部用户异常行为检测方法,其特征在于,包括以下步骤:步骤1:将企业内部用户的历史行为日志数据按照用户ID划分为不同的数据流,针对不同行为对应的历史行为日志数据,在解析过程中,进行不同的处理,将每条历史行为日志数据解析为一个五元组;步骤2:为解析后的历史行为日志数据建立索引,存储到全文搜索引擎数据库中,作为初始搜索的基础数据,当接收到新的行为日志数据时,通过搜索新的行为日志数据对应的五元组提取对应的行为细节信息,检索每个行为细节信息在历史行为中出现的频率及时间节点信息,完成新行为与历史行为的比对,将文字型日志数据转化为数值型向量,利用转化为数值型向量的历史行为日志数据构建用户行为模型;步骤3:根据行为间的时间间隔将解析后的历史行为日志数据划分为不同的行为短序列,将划分好的行为短序列根据相似性聚类,将同一类中的短序列定义为同一业务状态,用类名称代替该类中的所有短序列作为观测变量,利用观测变量训练隐马尔可夫模型,通过隐马尔可夫模型预测观测变量对应的隐藏的业务状态,进行业务状态间的转移预测,进而预测业务状态间的转移概率;步骤4:通过用户行为模型得到行为的异常得分,通过行为的异常得分及企业内部用户历史行为日志数据中各个业务逻辑的状态转移概率计算新行为序列的异常得分,判定新行为序列是否异常。2.根据权利要求1所述的企业内部用户异常行为检测方法,其特征在于,所述行为包括:登录活动、外部设备访问活动、电子邮件收发活动、网页浏览活动及文件读写活动。3.根据权利要求2所述的企业内部用户异常行为检测方法,其特征在于,所述用户历史行为日志数据包括:登录活动数据、外部设备访问活动数据、电子邮件收发活动数据、网页浏览活动数据及文件读写活动数据。4.根据权利要求1所述的企业内部用户异常行为检测方法,其特征在于,所述五元组为<timestamp,userid,deviceid,activity,attribute>,其中,timestamp、userid、deviceid、activity、attribute为五元组对应的行为细节信息;timestamp为时间戳,userid为用户ID,deviceid为设备ID,activity为活动名称,attribute为活动属性。5.根据权利要求4所述的企业内部用户异常行为检测方法,其特征在于,所述进行不同的处理包括:在电子邮件发送活动中,将收件人信息加入活动属性;在电子邮件接收活动中,将发件人信息加入活动属性;在文件读写活动中,将路径和文件名加入活动属性;在网页浏览活动中,将URL信息加入活动属性;登录活动和外部设备访问活动不包含属性数据,将活动属性设为空。6.根据权利要求1所述的企业内部用户异常行为检测方法,其特征在于,所述利用转化为数值型向量的历史行为日志数据构建用户行为模型包括:将转化为数值型向量的同一用户的历史行为日志数据按发生的时间顺序进行排序,以固定的时间窗口划分为不同的行为块,利用每一个行为块中的转化为数值型向量的历史行为日志数据训练非监督学习模型,得到多个分类器,所述非监督学习模型为一分类支持向量机;保存时间最近的v个数据块形成的分类器集合M={M1,M2,…,Mv},构成非监督模型集群,所述非监督模型集群即为用户行为模型。7.根据权利要求6所述的企业内部用户异常行为检测方法,其特征在于,所述步骤4包括:步骤4.1:通过用户行为模型得到行为的异常得分,所述行为的异常得分为非监督模型集群中的所有分类器的平均值;步骤4.2:通过行为的异常得分及历史行为日志数据中各个业务逻辑的状态转移概率计算新行为序列的异常得分,计算新行为序列的异常得分:S为新行为序列{a21,a22,…,a2m}的异常得分,S∈(0,1),且S的值越小,新行为序列的异常程度越高;行为序列{a11,a12,…,a1n}构成观测状态x1,x1对应隐藏的业务状态y1,P12表示隐藏的业务状态y1向y2...
【专利技术属性】
技术研发人员:郭渊博,刘春辉,孔菁,朱智强,常朝稳,李亚东,段刚,
申请(专利权)人:郑州信大先进技术研究院,河南云政数据管理有限公司,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。