一种基于用户群行为活动的安全分析方法技术

本发明专利技术涉及一种基于用户群行为活动的安全分析方法，涉及网络安全技术领域。本发明专利技术通过构建实体用户与应用系统用户的映射关系，形成统一的用户身份管理，为异常行为定位到个人提供基础。同时，搜集用户在网络中的行为活动信息，形成完整的用户行为活动记录，并根据历史数据进行统计分析，形成四类用户日常行为模式。依据用户行为活动“白模式”中的信息，实时分析用户行为和模式，实时研判用户行为是否属于异常行为。对不确定的用户行为活动，进行逆向用户行为分析和判断，通过深度分析线索，并结合与该用户具有相同角色和权限的用户的行为模式的对比分析结果，实现对用户行为的监测以及高危用户行为评估，从而发现数据渗透、APT攻击等行为。

A Security Analysis Method Based on User Group Behavior Activities

The invention relates to a security analysis method based on user group behavior activities, and relates to the technical field of network security. By constructing the mapping relationship between entity users and application system users, the invention forms a unified user identity management and provides a basis for locating abnormal behavior to individuals. At the same time, collect the information of user's behavior activities in the network, form a complete record of user's behavior activities, and make statistical analysis based on historical data to form four types of user's daily behavior patterns. According to the information in the \white mode\ of user behavior activity, the user behavior and mode are analyzed in real time, and whether the user behavior belongs to abnormal behavior is judged in real time. For uncertain user behavior activities, reverse user behavior analysis and judgment are carried out. Through in-depth analysis of clues, and combined with the comparative analysis results of user behavior patterns with the same roles and rights as the user, the user behavior monitoring and high-risk user behavior evaluation are realized, so as to discover data penetration, APT attacks and other behaviors.

【技术实现步骤摘要】
一种基于用户群行为活动的安全分析方法
本专利技术涉及网络安全
，具体涉及一种基于用户群行为活动的安全分析方法。
技术介绍
用户网络行为分析有助于用户执行正常活动基线的确立，迅速识别偏离正常行为的异常行为，采用统计学习和机器学习技术，实时分析并了解用户行为和模式，监测和评估高危用户行为。主动寻找内部威胁、检测高级的恶意软件活动、密切关注用户的行动，识别高危行为，从而达到对主机、网络、数据的安全保护，能够及时发现数据渗透、APT攻击等行为。如何针对内网用户异常行为检测、分析、研判，设计一种基于用户群网络行为的安全分析方法，成为了亟待解决的技术问题。
技术实现思路
(一)要解决的技术问题本专利技术要解决的技术问题是：如何针对内网用户异常行为检测、分析、研判，设计一种基于用户群网络行为的安全分析方法。(二)技术方案为了解决上述技术问题，本专利技术提供了一种基于用户群行为活动的安全分析方法，包括以下步骤：步骤1：将网络或者系统中的应用系统用户与实体用户进行一一关联和映射；步骤2：通过搜集用户在网络或系统中的行为活动数据，提取用于用户行为活动分析的属性信息，形成用户网络行为活动记录；步骤3：根据用户网络行为活动记录，从访问频率、时间、访问途径、访问内容的维度，建立用户正常行为活动模式，形成用户行为活动基线库；步骤4：用户行为活动初次判断：将用户的实时行为活动与用户行为活动基线库中的用户正常行为活动模式对比，判断当前用户行为的模式，如果符合用户正常行为活动模式，则判定为正常行为，否则预判为可疑行为模式，转入步骤5；步骤5：用户行为逆向追踪：对预判为可疑行为模式的用户行为进行逆向追踪和分析，明确用户行为环节中各个节点状况，若判定用户行为活动为异常行为，则转入步骤8，否则转入步骤6；步骤6：可疑行为二次判断：通过将可疑行为模式的行为活动与其他相同角色的用户行为活动进行对比分析，判断被分析的用户行为活动的是正常行为还是异常行为，若判定为异常行为，则进入步骤8，否则进入步骤7；步骤7：根据步骤6的二次判断结果，采用LRU的方式更新用户行为活动基线库；步骤8：根据对用户行为二次判断的结果，对异常行为进行告警，并更新异常行为库。优选地，步骤1具体为：在办公系统或者业务系统中，将一个实体用户对应多个应用系统用户，实体用户集用EU表示，EU＝{(eu1,id1)，…(eui,idi)，…(eun,idn)}，eui为实体用户i的用户名，idi为实体用户i的唯一身份标识号，应用系统用户集用AU表示，AU＝{au1，…aui，…aun}，aui为应用系统用户i的用户名，实体用户与应用系统用户的映射关系通过统计学习的方式进行自动映射，即应用系统用户访问一次应用系统，记录应用系统用户访问系统时的应用用户名和id，id由ip地址、电子钥匙、指纹、指静脉、虹膜、视网膜之一表示，实体用户与应用系统用户的映射关系表示为：F(EU,AU)＝{(EU，AU)|EU(idi，eui)＝AU(idi，auj)}。优选地，步骤2中，将Web网页浏览访问的过程分为两个阶段，第一阶段为实体用户通过浏览器访问应用系统；第二阶段为应用系统连接数据库进行数据的增、删、改、查。优选地，步骤2具体为：通过网络数据抓取装置，获取用户在网络或者系统中的操作行为信息，根据应用系统用户aui在网络或系统中的行为，建立应用系统用户aui的正常行为活动模式，应用系统访问行为数据从应用系统审计日志中提取，包括用户ip、应用系统用户ip、操作菜单名称、端口、访问途径、时间戳信息，从数据库审计日志中提取应用系统ip、数据库ip、数据库操作类型、返回结果、SQL语句信息，以应用系统ip为衔接点，将web访问过程中两个阶段的操作信息组合起来，形成一条完整的行为活动记录b；应用系统用户aui第j次的行为活动记录bj表示为(aui，bj)＝(auip，sysip，menu，portj，howj，dbip，opj，resultj，sqlj，timej)，其中，auip为应用系统用户ip，sysip为应用系统ip，menu为操作菜单名称信息、port为端口信息、how为访问途径、dbip为数据库ip，op为数据库操作类型、result为返回结果信息、sql为SQL语句信息，time为时间戳，应用系统用户aui的一系列web访问行为形成应用系统用户aui的行为活动记录组(aui，B)＝((aui，b1)…(aui，bj)…(aui，bn))。优选地，步骤3中建立的用户正常行为活动模式包括以下几类：模式1：基于单位时间访问频率的行为活动模式在单位时间内，采用动态规划算法，在应用系统用户aui的行为活动记录组中，统计(aui，B)中具有相同sysip的(aui，bj)的数量，从而得到应用系统用户aui在单位时间内应用系统sysip的最大频次，形成访问频率的行为活动模式B1：(aui,B1)＝(auip，sysip，count)(aui,B1)的行为活动模式表示应用系统用户aui在单位时间范围内对应用系统sysip的最大访问次数不高于count次；模式2：基于时间段的访问模式在应用系统用户aui的行为活动记录组中，抽取(aui，B)中time相同中的行为活动序列，然后将sysip，menu，dbip信息进行聚合分析，挖掘用户aui在每天、每月、每年同时段的访问行为习惯，形成行为活动模式B2：(aui,B2)＝(auip，sysip，menu，dbip，time)(aui,B2)的行为活动模式表示应用系统用户aui在日常time段，访问应用系统sysip以及数据库dbip的menu菜单；模式3：基于访问途径的行为活动模式表示访问应用系统的途径和方式，即应用系统用户aui只能通过合法访问方式来访问应用系统sysip，在历史数据中，统计分析用户访问系统的途径和方式，形成行为活动模式B3，应用系统用户通过超链接访问一系统，则：(aui,B3)＝(aui，sysip，how)(aui,B3)的行为活动模式即表示应用系统用户aui只能通过规定的how的手段访问应用系统sysip；模式4：基于访问内容的行为活动模式用户aui对应用系统sysip内容的操作行为，包括文件上传、下载、增、删、改、查，形成行为行为活动模式B4：(aui,B4)＝(aui，sysip，op，SQL，result)(aui,B4)的行为活动模式即表示应用系统用户aui只能在应用系统sysip中进行op的操作；模式5：基于活动序列的行为活动模式用户aui对应用系统sysip访问的行为活动序列，形成行为活动模式B5：(aui,B5)＝(aui，sysip，(how1…howm…hown)，(op1，…opm…opt))(aui,B5)的行为活动模式即表示应用系统用户aui通过how1到howm一系列的方式以及从op1到opt一系列的操作访问应用系统sysip，n、t为整数。优选地，步骤4中，获取当前应用系统用户aui的行为活动记录(aui，B)与用户aui正常行为模式(aui,B1)、(aui,B2)、(aui,B3)、(aui,B4)、(aui,B5)中的属性信息进行一一对比分析，如果符合用户正常行为活动模式，则判定为正常行为，否则预判为可疑行为本文档来自技高网...

【技术保护点】
1.一种基于用户群行为活动的安全分析方法，其特征在于，包括以下步骤：步骤1：将网络或者系统中的应用系统用户与实体用户进行一一关联和映射；步骤2：通过搜集用户在网络或系统中的行为活动数据，提取用于用户行为活动分析的属性信息，形成用户网络行为活动记录；步骤3：根据用户网络行为活动记录，从访问频率、时间、访问途径、访问内容的维度，建立用户正常行为活动模式，形成用户行为活动基线库；步骤4：用户行为活动初次判断：将用户的实时行为活动与用户行为活动基线库中的用户正常行为活动模式对比，判断当前用户行为的模式，如果符合用户正常行为活动模式，则判定为正常行为，否则预判为可疑行为模式，转入步骤5；步骤5：用户行为逆向追踪：对预判为可疑行为模式的用户行为进行逆向追踪和分析，明确用户行为环节中各个节点状况，若判定用户行为活动为异常行为，则转入步骤8，否则转入步骤6；步骤6：可疑行为二次判断：通过将可疑行为模式的行为活动与其他相同角色的用户行为活动进行对比分析，判断被分析的用户行为活动的是正常行为还是异常行为，若判定为异常行为，则进入步骤8，否则进入步骤7；步骤7：根据步骤6的二次判断结果，采用LRU的方式更新用户行为活动基线库；步骤8：根据对用户行为二次判断的结果，对异常行为进行告警，并更新异常行为库。...

【技术特征摘要】
1.一种基于用户群行为活动的安全分析方法，其特征在于，包括以下步骤：步骤1：将网络或者系统中的应用系统用户与实体用户进行一一关联和映射；步骤2：通过搜集用户在网络或系统中的行为活动数据，提取用于用户行为活动分析的属性信息，形成用户网络行为活动记录；步骤3：根据用户网络行为活动记录，从访问频率、时间、访问途径、访问内容的维度，建立用户正常行为活动模式，形成用户行为活动基线库；步骤4：用户行为活动初次判断：将用户的实时行为活动与用户行为活动基线库中的用户正常行为活动模式对比，判断当前用户行为的模式，如果符合用户正常行为活动模式，则判定为正常行为，否则预判为可疑行为模式，转入步骤5；步骤5：用户行为逆向追踪：对预判为可疑行为模式的用户行为进行逆向追踪和分析，明确用户行为环节中各个节点状况，若判定用户行为活动为异常行为，则转入步骤8，否则转入步骤6；步骤6：可疑行为二次判断：通过将可疑行为模式的行为活动与其他相同角色的用户行为活动进行对比分析，判断被分析的用户行为活动的是正常行为还是异常行为，若判定为异常行为，则进入步骤8，否则进入步骤7；步骤7：根据步骤6的二次判断结果，采用LRU的方式更新用户行为活动基线库；步骤8：根据对用户行为二次判断的结果，对异常行为进行告警，并更新异常行为库。2.如权利要求1所述的方法，其特征在于，步骤1具体为：在办公系统或者业务系统中，将一个实体用户对应多个应用系统用户，实体用户集用EU表示，EU＝{(eu1,id1)，…(eui,idi)，…(eun,idn)}，eui为实体用户i的用户名，idi为实体用户i的唯一身份标识号，应用系统用户集用AU表示，AU＝{au1，…aui，…aun}，aui为应用系统用户i的用户名，实体用户与应用系统用户的映射关系通过统计学习的方式进行自动映射，即应用系统用户访问一次应用系统，记录应用系统用户访问系统时的应用用户名和id，id由ip地址、电子钥匙、指纹、指静脉、虹膜、视网膜之一表示，实体用户与应用系统用户的映射关系表示为：F(EU,AU)＝{(EU，AU)|EU(idi，eui)＝AU(idi，auj)}。3.如权利要求1所述的方法，其特征在于，步骤2中，将Web网页浏览访问的过程分为两个阶段，第一阶段为实体用户通过浏览器访问应用系统；第二阶段为应用系统连接数据库进行数据的增、删、改、查。4.如权利要求2所述的方法，其特征在于，步骤2具体为：通过网络数据抓取装置，获取用户在网络或者系统中的操作行为信息，根据应用系统用户aui在网络或系统中的行为，建立应用系统用户aui的正常行为活动模式，应用系统访问行为数据从应用系统审计日志中提取，包括用户ip、应用系统用户ip、操作菜单名称、端口、访问途径、时间戳信息，从数据库审计日志中提取应用系统ip、数据库ip、数据库操作类型、返回结果、SQL语句信息，以应用系统ip为衔接点，将web访问过程中两个阶段的操作信息组合起来，形成一条完整的行为活动记录b；应用系统用户aui第j次的行为活动记录bj表示为(aui，bj)＝(auip，sysip，menu，portj，howj，dbip，opj，resultj，sqlj，timej)，其中，auip为应用系统用户ip，sysip为应用系统ip，menu为操作菜单名称信息、port为端口信息、how为访问途径、dbip为数据库ip，op为数据库操作类型、result为返回结果信息、sql为SQL语句信息，time为时间戳，应用系统用户aui的一系列web访问行为形成应用系统用户aui的行为活动记录组(aui，B)＝((aui，b1)…(aui，bj)…(aui，bn))。5.如权利要求4所述的方法，其特征在于，步骤3中建立的用户正常行为活动模式包括以下几类：模式1：...

【专利技术属性】
技术研发人员：吴朝雄，石波，于冰，郭敏，王晓菲，
申请(专利权)人：北京计算机技术及应用研究所，
类型：发明
国别省市：北京,11