一种基于网络安全设备日志数据的用户账户滥用审计方法和系统技术方案

本发明专利技术一种基于网络安全设备日志数据的用户账户滥用审计方法和系统，步骤为：1)从网络安全设备用户日志等数据中提取特征；2)对特征进行预处理和数据分析，获得特征之间以及特征与用户行为之间的关系；3)根据用户特征构建基于OCSVM算法的分类器模型；4)根据分类器模型对用户行为特征进行判别，以发现用户账户是否存在被滥用的风险；本发明专利技术所公开的基于网络安全设备日志数据的用户账户滥用审计方法和系统，结构简单、计算复杂度低，可有效减少用户日志中行为分析的计算资源开销，仅需网络安全设备自动记录的数据，具有实际应用的优势，提供了针对用户个人账户行为特征的建模化分析方法，同时对用户账户是否存在被滥用的风险进行了决策性判断。

An audit method and system of user account abuse based on log data of network security equipment

【技术实现步骤摘要】
一种基于网络安全设备日志数据的用户账户滥用审计方法和系统
本专利技术属于数据挖掘
，特别涉及一种基于网络安全设备日志数据的用户账户滥用审计方法和系统。
技术介绍
由于企业云平台的重要性，各企业在搭建云平台时都会选择将其部署在安全设备之后从而保障其不受到来自外网的攻击。但安全设备对于已获准进入的内部用户的异常访问行为并不能很好的检查出来，比如用户账户滥用、用户越权访问，以及用户私自获取、修改重要数据等行为。这些异常行为对于企业云平台而言具有极高的风险，一旦发生就会给企业带来不可估量的严重后果和经济损失。虽然网络安全设备无法检测到内部用户的行为异常，但可以较为全面的记录所有云平台用户的操作信息与账户信息。通过这些数据我们可以利用技术手段提取出用户的行为特征，从而尝试对用户行为进行识别并实现对异常用户账户的识别预警。
技术实现思路
为了克服上述现有技术的缺点，本专利技术的目的在于提供一种基于网络安全设备日志数据的用户账户滥用审计方法和系统，从网络安全设备用户权限数据中提取用户权限信息，然后通过统计海量用户日志本文档来自技高网...

【技术保护点】
1.一种基于网络安全设备日志数据的用户账户滥用审计方法，其特征在于，包括：/n步骤1，以网络安全设备用户权限数据为数据源，从用户权限数据中提取用户的系统账号ID、服务器IP以及“root”权限信息；/n步骤2，以网络安全设备用户日志数据为数据源，从用户一段时间内的单日操作日志的有效字段中提取28个用户单日行为特征，其中包括单日操作频次特征、单日账号与设备使用特征、单日操作指令使用特征以及参考步骤1中用户权限数据得到的用户单日越权操作特征共四类特征；/n步骤3，对步骤2中提取到的用户单日行为特征使用特征标准化预处理方法进行标准化处理，得到标准化后的用户单日行为特征，并记录所有的标准化时用到的信息...

【技术特征摘要】
1.一种基于网络安全设备日志数据的用户账户滥用审计方法，其特征在于，包括：
步骤1，以网络安全设备用户权限数据为数据源，从用户权限数据中提取用户的系统账号ID、服务器IP以及“root”权限信息；
步骤2，以网络安全设备用户日志数据为数据源，从用户一段时间内的单日操作日志的有效字段中提取28个用户单日行为特征，其中包括单日操作频次特征、单日账号与设备使用特征、单日操作指令使用特征以及参考步骤1中用户权限数据得到的用户单日越权操作特征共四类特征；
步骤3，对步骤2中提取到的用户单日行为特征使用特征标准化预处理方法进行标准化处理，得到标准化后的用户单日行为特征，并记录所有的标准化时用到的信息，即平均值与标准差；
步骤4，基于OCSVM(One-ClassSupportVectorMachine，单分类支持向量机)算法，使用步骤3中得到的用户单日行为特征训练针对每位用户本人账户的单类分类器，得到用以区别用户本人与非用户操作者对用户账户的操作行为的分类器模型；
步骤5，基于步骤4的训练方法，在一段时间后对所有用户的单类分类器进行更新，重新训练新的针对每位用户的单类分类器；
步骤6，获取网络安全设备当日的用户日志数据，从其中的用户操作日志有效字段中提取用户当日行为特征，并利用步骤3获得的标准化信息、按相同方法对当日行为特征进行标准化处理，根据步骤4中得到的用户行为单类分类器对各个用户的当日特征进行分类匹配，并根据分类结果对是否发出用户异常警告做出决策。


2.根据权利要求1所述基于网络安全设备日志数据的用户账户滥用审计方法，其特征在于，所述步骤1中，网络安全设备用户权限数据是指网络安全设备上的包含所有用户的服务器登录权限、系统账号授权以及权限有效期信息在内的数据。


3.根据权利要求1所述基于网络安全设备日志数据的用户账户滥用审计方法，其特征在于，所述步骤2和步骤6中，网络安全设备用户日志数据是指网络安全设备上包含用户操作时的操作时间、所在服务器、所用账号以及操作指令在内的有效字段的用户日志数据，有效字段是指经过指令解析后的用户日志中包含的与用户行为特征相关的九个字段，包括：操作时间、进程ID、系统账号ID、真实姓名即堡垒机账号ID、通过堡垒机连接的服务器IP、完整命令字符串、命令参数部分、命令指令部分、命令中出现的远程连接地址。


4.根据权利要求1或3所述基于网络安全设备日志数据的用户账户滥用审计方法，其特征在于，所述步骤2和步骤6中，特征提取包括：
(1)依据历史日志数据中的“操作时间”字段提取操作频次类特征：将单日内的24小时划分为0点～8点、8点～12点、12点～14点、14点～18点、18点～24点五个时段，8点～12点和14点～18点这两个时段上记作“工作时间”进行后序统计，0点～8点、12点～14点、18点～24点这三个时段记作“休息时间”进行后序统计；然后，通过统计历史日志中，每个用户每日工作时间、休息时间的操作次数，分别对其求取平均值，获得工作时间日均操作次数、休息时间日均操作次数两个用户特征；
(2)依据历史日志数据中的“进程ID”、“系统账号ID”以及“服务器IP”三个有效字段提取账号与设备使用类特征：对每位用户所使用过的服务器数目、系统账号数目以及进程ID数目进行统计，得到用户单日使用的服务器IP数目、单日使用的系统账号ID数目、单日使用的进程ID数目3个用户特征；
(3)依据历史日志数据中的“命令指令部分”有效字段提取操作指令使用类特征：通过识别历史日志中每个用户的指令类别，统计每个用户在各类指令下的操作频次，并计算出各类指令在用户使用过的全部指令中的占比，从而得到使用的各类指令占比，指令类别包括：Linux指令中文件管理类、文档编辑类、文件传输类、磁盘管理类、磁盘维护类、网络通讯类、系统管理类、系统设置类、备份压缩类、设备管理类指令的占比，使用的Hadoop指令中用户命令、管理命令的占比，使用的SQL指令中数据操作、数据定义、数据控制、事务控制、程序化SQL的占比以及未识别指令的占比，最后获得共18个用户特征；
(4)依据历史日志数据中的“命令参数部分”、“命...

【专利技术属性】
技术研发人员：周亚东，朱星宇，胡博文，管晓宏，
申请(专利权)人：西安交通大学，
类型：发明
国别省市：陕西;61