The invention relates to a security analysis method based on user group behavior activities, and relates to the technical field of network security. By constructing the mapping relationship between entity users and application system users, the invention forms a unified user identity management and provides a basis for locating abnormal behavior to individuals. At the same time, collect the information of user's behavior activities in the network, form a complete record of user's behavior activities, and make statistical analysis based on historical data to form four types of user's daily behavior patterns. According to the information in the \white mode\ of user behavior activity, the user behavior and mode are analyzed in real time, and whether the user behavior belongs to abnormal behavior is judged in real time. For uncertain user behavior activities, reverse user behavior analysis and judgment are carried out. Through in-depth analysis of clues, and combined with the comparative analysis results of user behavior patterns with the same roles and rights as the user, the user behavior monitoring and high-risk user behavior evaluation are realized, so as to discover data penetration, APT attacks and other behaviors.
【技术实现步骤摘要】
一种基于用户群行为活动的安全分析方法
本专利技术涉及网络安全
,具体涉及一种基于用户群行为活动的安全分析方法。
技术介绍
用户网络行为分析有助于用户执行正常活动基线的确立,迅速识别偏离正常行为的异常行为,采用统计学习和机器学习技术,实时分析并了解用户行为和模式,监测和评估高危用户行为。主动寻找内部威胁、检测高级的恶意软件活动、密切关注用户的行动,识别高危行为,从而达到对主机、网络、数据的安全保护,能够及时发现数据渗透、APT攻击等行为。如何针对内网用户异常行为检测、分析、研判,设计一种基于用户群网络行为的安全分析方法,成为了亟待解决的技术问题。
技术实现思路
(一)要解决的技术问题本专利技术要解决的技术问题是:如何针对内网用户异常行为检测、分析、研判,设计一种基于用户群网络行为的安全分析方法。(二)技术方案为了解决上述技术问题,本专利技术提供了一种基于用户群行为活动的安全分析方法,包括以下步骤:步骤1:将网络或者系统中的应用系统用户与实体用户进行一一关联和映射;步骤2:通过搜集用户在网络或系统中的行为活动数据,提取用于用户行为活动分析的属性信息,形成用户网络行为活动记录;步骤3:根据用户网络行为活动记录,从访问频率、时间、访问途径、访问内容的维度,建立用户正常行为活动模式,形成用户行为活动基线库;步骤4:用户行为活动初次判断:将用户的实时行为活动与用户行为活动基线库中的用户正常行为活动模式对比,判断当前用户行为的模式,如果符合用户正常行为活动模式,则判定为正常行为,否则预判为可疑行为模式,转入步骤5;步骤5:用户行为逆向追踪:对预判为可疑行为模式的用户行 ...
【技术保护点】
1.一种基于用户群行为活动的安全分析方法,其特征在于,包括以下步骤:步骤1:将网络或者系统中的应用系统用户与实体用户进行一一关联和映射;步骤2:通过搜集用户在网络或系统中的行为活动数据,提取用于用户行为活动分析的属性信息,形成用户网络行为活动记录;步骤3:根据用户网络行为活动记录,从访问频率、时间、访问途径、访问内容的维度,建立用户正常行为活动模式,形成用户行为活动基线库;步骤4:用户行为活动初次判断:将用户的实时行为活动与用户行为活动基线库中的用户正常行为活动模式对比,判断当前用户行为的模式,如果符合用户正常行为活动模式,则判定为正常行为,否则预判为可疑行为模式,转入步骤5;步骤5:用户行为逆向追踪:对预判为可疑行为模式的用户行为进行逆向追踪和分析,明确用户行为环节中各个节点状况,若判定用户行为活动为异常行为,则转入步骤8,否则转入步骤6;步骤6:可疑行为二次判断:通过将可疑行为模式的行为活动与其他相同角色的用户行为活动进行对比分析,判断被分析的用户行为活动的是正常行为还是异常行为,若判定为异常行为,则进入步骤8,否则进入步骤7;步骤7:根据步骤6的二次判断结果,采用LRU的方式更新 ...
【技术特征摘要】
1.一种基于用户群行为活动的安全分析方法,其特征在于,包括以下步骤:步骤1:将网络或者系统中的应用系统用户与实体用户进行一一关联和映射;步骤2:通过搜集用户在网络或系统中的行为活动数据,提取用于用户行为活动分析的属性信息,形成用户网络行为活动记录;步骤3:根据用户网络行为活动记录,从访问频率、时间、访问途径、访问内容的维度,建立用户正常行为活动模式,形成用户行为活动基线库;步骤4:用户行为活动初次判断:将用户的实时行为活动与用户行为活动基线库中的用户正常行为活动模式对比,判断当前用户行为的模式,如果符合用户正常行为活动模式,则判定为正常行为,否则预判为可疑行为模式,转入步骤5;步骤5:用户行为逆向追踪:对预判为可疑行为模式的用户行为进行逆向追踪和分析,明确用户行为环节中各个节点状况,若判定用户行为活动为异常行为,则转入步骤8,否则转入步骤6;步骤6:可疑行为二次判断:通过将可疑行为模式的行为活动与其他相同角色的用户行为活动进行对比分析,判断被分析的用户行为活动的是正常行为还是异常行为,若判定为异常行为,则进入步骤8,否则进入步骤7;步骤7:根据步骤6的二次判断结果,采用LRU的方式更新用户行为活动基线库;步骤8:根据对用户行为二次判断的结果,对异常行为进行告警,并更新异常行为库。2.如权利要求1所述的方法,其特征在于,步骤1具体为:在办公系统或者业务系统中,将一个实体用户对应多个应用系统用户,实体用户集用EU表示,EU={(eu1,id1),…(eui,idi),…(eun,idn)},eui为实体用户i的用户名,idi为实体用户i的唯一身份标识号,应用系统用户集用AU表示,AU={au1,…aui,…aun},aui为应用系统用户i的用户名,实体用户与应用系统用户的映射关系通过统计学习的方式进行自动映射,即应用系统用户访问一次应用系统,记录应用系统用户访问系统时的应用用户名和id,id由ip地址、电子钥匙、指纹、指静脉、虹膜、视网膜之一表示,实体用户与应用系统用户的映射关系表示为:F(EU,AU)={(EU,AU)|EU(idi,eui)=AU(idi,auj)}。3.如权利要求1所述的方法,其特征在于,步骤2中,将Web网页浏览访问的过程分为两个阶段,第一阶段为实体用户通过浏览器访问应用系统;第二阶段为应用系统连接数据库进行数据的增、删、改、查。4.如权利要求2所述的方法,其特征在于,步骤2具体为:通过网络数据抓取装置,获取用户在网络或者系统中的操作行为信息,根据应用系统用户aui在网络或系统中的行为,建立应用系统用户aui的正常行为活动模式,应用系统访问行为数据从应用系统审计日志中提取,包括用户ip、应用系统用户ip、操作菜单名称、端口、访问途径、时间戳信息,从数据库审计日志中提取应用系统ip、数据库ip、数据库操作类型、返回结果、SQL语句信息,以应用系统ip为衔接点,将web访问过程中两个阶段的操作信息组合起来,形成一条完整的行为活动记录b;应用系统用户aui第j次的行为活动记录bj表示为(aui,bj)=(auip,sysip,menu,portj,howj,dbip,opj,resultj,sqlj,timej),其中,auip为应用系统用户ip,sysip为应用系统ip,menu为操作菜单名称信息、port为端口信息、how为访问途径、dbip为数据库ip,op为数据库操作类型、result为返回结果信息、sql为SQL语句信息,time为时间戳,应用系统用户aui的一系列web访问行为形成应用系统用户aui的行为活动记录组(aui,B)=((aui,b1)…(aui,bj)…(aui,bn))。5.如权利要求4所述的方法,其特征在于,步骤3中建立的用户正常行为活动模式包括以下几类:模式1:...
【专利技术属性】
技术研发人员:吴朝雄,石波,于冰,郭敏,王晓菲,
申请(专利权)人:北京计算机技术及应用研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。