一种基于网络安全设备日志数据的用户账户滥用审计方法和系统技术方案

本发明专利技术一种基于网络安全设备日志数据的用户账户滥用审计方法和系统，步骤为：1)从网络安全设备用户日志等数据中提取特征；2)对特征进行预处理和数据分析，获得特征之间以及特征与用户行为之间的关系；3)根据用户特征构建基于OCSVM算法的分类器模型；4)根据分类器模型对用户行为特征进行判别，以发现用户账户是否存在被滥用的风险；本发明专利技术所公开的基于网络安全设备日志数据的用户账户滥用审计方法和系统，结构简单、计算复杂度低，可有效减少用户日志中行为分析的计算资源开销，仅需网络安全设备自动记录的数据，具有实际应用的优势，提供了针对用户个人账户行为特征的建模化分析方法，同时对用户账户是否存在被滥用的风险进行了决策性判断。

An audit method and system of user account abuse based on log data of network security equipment

【技术实现步骤摘要】
一种基于网络安全设备日志数据的用户账户滥用审计方法和系统
本专利技术属于数据挖掘
，特别涉及一种基于网络安全设备日志数据的用户账户滥用审计方法和系统。
技术介绍
由于企业云平台的重要性，各企业在搭建云平台时都会选择将其部署在安全设备之后从而保障其不受到来自外网的攻击。但安全设备对于已获准进入的内部用户的异常访问行为并不能很好的检查出来，比如用户账户滥用、用户越权访问，以及用户私自获取、修改重要数据等行为。这些异常行为对于企业云平台而言具有极高的风险，一旦发生就会给企业带来不可估量的严重后果和经济损失。虽然网络安全设备无法检测到内部用户的行为异常，但可以较为全面的记录所有云平台用户的操作信息与账户信息。通过这些数据我们可以利用技术手段提取出用户的行为特征，从而尝试对用户行为进行识别并实现对异常用户账户的识别预警。
技术实现思路
为了克服上述现有技术的缺点，本专利技术的目的在于提供一种基于网络安全设备日志数据的用户账户滥用审计方法和系统，从网络安全设备用户权限数据中提取用户权限信息，然后通过统计海量用户日志数据获得用户单日的操作频次、账号设备使用、指令操作、越权行为等特征；使用OCSVM算法建立针对每位用户的行为单类分类器，从而构建包括全部用户的行为分类器库；通过使用分类器对用户行为特征进行分类获取用户行为的类标签，并根据类标签对存在滥用风险的用户作出预警，从而达到准确预警并节省人力和财力的目的。本专利技术不仅考虑了用户的历史日志数据，同时也考虑了用户的当前数据，具有获取成本低、信息内容丰富、覆盖用户广、针对用户的行为模型更精准等优点，使得本申请与传统的方法和系统相比，具有明显优势。为了实现上述目的，本专利技术采用的技术方案是：一种基于用户日志数据的用户账户滥用审计方法，其特征在于，包括：步骤1，以网络安全设备用户权限数据为数据源，从用户权限数据中提取用户的系统账号ID、服务器IP，以及“root”权限信息；步骤2，以网络安全设备用户日志数据为数据源，从用户一段时间内的单日操作日志的有效字段中提取28个用户特征。其中包括单日操作频次特征、单日账号与设备使用特征、单日操作指令使用特征，以及参考步骤1中用户权限信息得到的用户单日越权操作特征共四类特征：步骤2.1，依据历史日志数据中的“操作时间”字段提取操作频次类特征：将单日内的24小时划分为0点～8点、8点～12点、12点～14点、14点～18点、18点～24点五个时段，8点～12点和14点～18点这两个时段上记作“工作时间”进行后序统计，0点～8点、12点～14点、18点～24点这三个时段记作“休息时间”进行后序统计。然后，通过统计历史日志中，每个用户每日工作时间、休息时间的操作次数，分别对其求取平均值，可以获得工作时间日均操作次数、休息时间日均操作次数两个用户特征；步骤2.2，依据历史日志数据中的“进程ID”、“系统账号ID”以及“服务器IP”三个有效字段提取账号与设备使用类特征：对每位用户所使用过的服务器数目、系统账号数目以及进程ID数目进行统计，可以得到用户单日使用的服务器IP数目、单日使用的系统账号ID数目、单日使用的进程ID数目3个用户特征；步骤2.3，依据历史日志数据中的“命令指令部分”有效字段提取操作指令使用类特征：通过识别历史日志中每个用户的指令类别，统计每个用户在各类指令下的操作频次，并计算出各类指令在用户使用过的全部指令中的占比，从而得到使用的各类指令占比，指令类别包括：Linux指令中文件管理类、文档编辑类、文件传输类、磁盘管理类、磁盘维护类、网络通讯类、系统管理类、系统设置类、备份压缩类、设备管理类指令的占比，使用的Hadoop指令中用户命令、管理命令的占比，使用的SQL指令中数据操作、数据定义、数据控制、事务控制、程序化SQL的占比，以及未识别指令的占比，最后可获得共18个用户特征；步骤2.4，依据历史日志数据中的“命令参数部分”、“命令指令部分”以及“命令中出现的远程连接地址”三个有效字段以及用户权限数据中提取所有用户的权限信息，提取越权操作类特征：通过提取历史日志中每个用户登录其他系统账号、使用高级权限(“root”权限)、远程登录其他服务器的行为信息，并将其与该用户的权限数据进行对照，统计每个用户越权登录他人账号、服务器，以及私自提权为“root”的次数，从而得到越权登录他人账号频次、越权登录他人账号个数、私自提权频次、越权登录其他服务器频次、越权登录其他服务器的个数5个用户特征；步骤3，根据步骤2中提取到的用户单日行为特征，使用特征标准化预处理方法对用户特征进行标准化处理，得到标准化后的用户单日特征，并记录所有的标准化时用到的信息，即平均值与标准差：步骤3.1，针对每个用户的每一个特征维度，计算并记录该用户的每个特征值的均值μ与方差σ2；步骤3.2，对每个用户的每个特征值x使用公式进行换算，并用所得的x*进行步骤4中模型构建运算；步骤4，基于OCSVM算法，使用步骤3中得到的每位用户的单日行为特征训练针对每位用户本人账户的单类分类器，得到用以区别用户本人与非用户操作者对用户账户的操作行为的分类器模型：步步骤4.1，将步骤3中得到的不同用户多日内的全部单日行为特征按不同用户进行划分，建立每位用户的日常行为特征库；步骤4.2，使用每位用户的全部单日行为特征并基于OCSVM(One-ClassSupportVectorMachine，单分类支持向量机)算法训练针对每位用户本人的单类分类器，最终每个用户都有一个与其对应的单类分类器；步骤5，基于步骤4的训练方法，在一段时间后对所有用户的单类分类器进行更新，重新训练新的针对每位用户的单类分类器：步骤5.1，根据用户工作平台人员变动或事务变动的一般周期设置分类器更新的时间间隔；步骤5.2，在达到更新时间限时，基于最近一个更新周期内的用户日志数据，使用步骤2、3、4的方法提取新的用户单日行为特征，并根据新的用户单日特征训练针对每位用户的单类分类器，用以代替旧的用户行为单类分类器；步骤6，获取网络安全设备当日的用户日志数据，从其中的用户操作日志有效字段中提取用户当日行为特征，并利用步骤3获得的标准化信息、按相同方法对当日行为特征进行标准化处理，根据步骤4中得到的用户行为单类分类器对各个用户的当日特征进行分类匹配，并根据分类结果对是否发出用户异常警告做出决策：步骤6.1，获取网络安全设备最近一天内的用户日志数据，以“单日”为单位提取用户特征，并用步骤3中记录的平均值和标准差，按相同方法对当日行为特征进行标准化处理；步骤6.2，针对每个用户，使用与其对应的用户行为特征单类分类器对当日用户特征进行分类，确定每个用户特征的类标记；步骤6.3，对全部用户的类标记进行筛选：标记为1表明其行为符合该用户的过往行为习惯，标记为-1则表明该用户当日行为与其过往行为有较大偏差；针对类标记为-1的用户做出对该类用户发出账户滥用预警的决策。进一步，本专利技术中网络安本文档来自技高网...

【技术保护点】
1.一种基于网络安全设备日志数据的用户账户滥用审计方法，其特征在于，包括：/n步骤1，以网络安全设备用户权限数据为数据源，从用户权限数据中提取用户的系统账号ID、服务器IP以及“root”权限信息；/n步骤2，以网络安全设备用户日志数据为数据源，从用户一段时间内的单日操作日志的有效字段中提取28个用户单日行为特征，其中包括单日操作频次特征、单日账号与设备使用特征、单日操作指令使用特征以及参考步骤1中用户权限数据得到的用户单日越权操作特征共四类特征；/n步骤3，对步骤2中提取到的用户单日行为特征使用特征标准化预处理方法进行标准化处理，得到标准化后的用户单日行为特征，并记录所有的标准化时用到的信息，即平均值与标准差；/n步骤4，基于OCSVM(One-Class Support Vector Machine，单分类支持向量机)算法，使用步骤3中得到的用户单日行为特征训练针对每位用户本人账户的单类分类器，得到用以区别用户本人与非用户操作者对用户账户的操作行为的分类器模型；/n步骤5，基于步骤4的训练方法，在一段时间后对所有用户的单类分类器进行更新，重新训练新的针对每位用户的单类分类器；/n步骤6，获取网络安全设备当日的用户日志数据，从其中的用户操作日志有效字段中提取用户当日行为特征，并利用步骤3获得的标准化信息、按相同方法对当日行为特征进行标准化处理，根据步骤4中得到的用户行为单类分类器对各个用户的当日特征进行分类匹配，并根据分类结果对是否发出用户异常警告做出决策。/n...

【技术特征摘要】
1.一种基于网络安全设备日志数据的用户账户滥用审计方法，其特征在于，包括：
步骤1，以网络安全设备用户权限数据为数据源，从用户权限数据中提取用户的系统账号ID、服务器IP以及“root”权限信息；
步骤2，以网络安全设备用户日志数据为数据源，从用户一段时间内的单日操作日志的有效字段中提取28个用户单日行为特征，其中包括单日操作频次特征、单日账号与设备使用特征、单日操作指令使用特征以及参考步骤1中用户权限数据得到的用户单日越权操作特征共四类特征；
步骤3，对步骤2中提取到的用户单日行为特征使用特征标准化预处理方法进行标准化处理，得到标准化后的用户单日行为特征，并记录所有的标准化时用到的信息，即平均值与标准差；
步骤4，基于OCSVM(One-ClassSupportVectorMachine，单分类支持向量机)算法，使用步骤3中得到的用户单日行为特征训练针对每位用户本人账户的单类分类器，得到用以区别用户本人与非用户操作者对用户账户的操作行为的分类器模型；
步骤5，基于步骤4的训练方法，在一段时间后对所有用户的单类分类器进行更新，重新训练新的针对每位用户的单类分类器；
步骤6，获取网络安全设备当日的用户日志数据，从其中的用户操作日志有效字段中提取用户当日行为特征，并利用步骤3获得的标准化信息、按相同方法对当日行为特征进行标准化处理，根据步骤4中得到的用户行为单类分类器对各个用户的当日特征进行分类匹配，并根据分类结果对是否发出用户异常警告做出决策。


2.根据权利要求1所述基于网络安全设备日志数据的用户账户滥用审计方法，其特征在于，所述步骤1中，网络安全设备用户权限数据是指网络安全设备上的包含所有用户的服务器登录权限、系统账号授权以及权限有效期信息在内的数据。


3.根据权利要求1所述基于网络安全设备日志数据的用户账户滥用审计方法，其特征在于，所述步骤2和步骤6中，网络安全设备用户日志数据是指网络安全设备上包含用户操作时的操作时间、所在服务器、所用账号以及操作指令在内的有效字段的用户日志数据，有效字段是指经过指令解析后的用户日志中包含的与用户行为特征相关的九个字段，包括：操作时间、进程ID、系统账号ID、真实姓名即堡垒机账号ID、通过堡垒机连接的服务器IP、完整命令字符串、命令参数部分、命令指令部分、命令中出现的远程连接地址。


4.根据权利要求1或3所述基于网络安全设备日志数据的用户账户滥用审计方法，其特征在于，所述步骤2和步骤6中，特征提取包括：
(1)依据历史日志数据中的“操作时间”字段提取操作频次类特征：将单日内的24小时划分为0点～8点、8点～12点、12点～14点、14点～18点、18点～24点五个时段，8点～12点和14点～18点这两个时段上记作“工作时间”进行后序统计，0点～8点、12点～14点、18点～24点这三个时段记作“休息时间”进行后序统计；然后，通过统计历史日志中，每个用户每日工作时间、休息时间的操作次数，分别对其求取平均值，获得工作时间日均操作次数、休息时间日均操作次数两个用户特征；
(2)依据历史日志数据中的“进程ID”、“系统账号ID”以及“服务器IP”三个有效字段提取账号与设备使用类特征：对每位用户所使用过的服务器数目、系统账号数目以及进程ID数目进行统计，得到用户单日使用的服务器IP数目、单日使用的系统账号ID数目、单日使用的进程ID数目3个用户特征；
(3)依据历史日志数据中的“命令指令部分”有效字段提取操作指令使用类特征：通过识别历史日志中每个用户的指令类别，统计每个用户在各类指令下的操作频次，并计算出各类指令在用户使用过的全部指令中的占比，从而得到使用的各类指令占比，指令类别包括：Linux指令中文件管理类、文档编辑类、文件传输类、磁盘管理类、磁盘维护类、网络通讯类、系统管理类、系统设置类、备份压缩类、设备管理类指令的占比，使用的Hadoop指令中用户命令、管理命令的占比，使用的SQL指令中数据操作、数据定义、数据控制、事务控制、程序化SQL的占比以及未识别指令的占比，最后获得共18个用户特征；
(4)依据历史日志数据中的“命令参数部分”、“命...

【专利技术属性】
技术研发人员：周亚东，朱星宇，胡博文，管晓宏，
申请(专利权)人：西安交通大学，
类型：发明
国别省市：陕西;61