本申请公开了一种终端用户的网络行为的监管方法和装置。其中,该方法包括:针对企业终端用户以HTTPS协议访问的数据内容提取过程,通过采用终端准入插件的方式获得会话主密钥用来解密的被服务器加密得数据,大大降低了中间人代理方式还进行双倍的连接建立所带来CPU性能的急剧消耗和减少了吞吐量。针对企业终端应用数据,采用改造后的卷积神经网络模型进行特征提取并和特征数据库对比与相似度监测。相对于只利用字节特征的传统方案形成明显优势,能够更好的识别未曾见过的病毒样本,抵御抗病毒变种和新病毒家族等未知威胁。本申请解决了相关技术中无法准确监管用户终端出现的病毒的技术问题。的技术问题。的技术问题。
【技术实现步骤摘要】
终端用户的网络行为的监管方法和装置
[0001]本申请涉及计算机网络安全领域,具体而言,涉及一种终端用户的网络行为的监管方法和装置。
技术介绍
[0002]目前,部分企业的规模随着企业的发展而逐步壮大,企业的终端在类型、数量以及应用范围等方面持续扩大,终端安全防护形式日益严峻,终端漏洞、病毒层出不穷。然而,优质、高效、安全的企业网络和终端环境是企业良好发展的一个重要保障,但是现有办公终端的常用监控手段,已经无法满足部分企业对办公终端的高风险行为的实时监测、快速识别、及时阻断的需要。
[0003]针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
[0004]本申请实施例提供了一种终端用户的网络行为的监管方法和装置,以至少解决相关技术中无法准确监管用户终端出现的病毒的技术问题。
[0005]根据本申请实施例的一个方面,提供了一种终端用户的网络行为的监管方法,包括:通过终端准入插件从用户终端上获取会话密钥,其中,会话密钥为用户终端与网络服务器之间利用HTTPS协议进行会话的密钥,终端准入插件设置在用户终端上;通过终端准入插件从用户终端获取加密的通信数据和应用行为数据,其中,加密的通信数据为用户终端上运行的应用通过企业服务器与网络服务器之间进行通信的数据,应用行为数据为用户终端上的应用在用户终端的本地运行时产生的数据;利用会话密钥对加密的通信数据进行解密,得到明文通信数据;利用卷积神经网络模型从应用行为数据和明文通信数据提取数据特征;获取终端的数据的数据特征与已有病毒的数据特征之间的相似度;在相似度大于目标阈值的情况下,确定与终端的数据关联的文件为病毒样本。
[0006]根据本申请实施例的另一方面,还提供了一种终端用户的网络行为的监管装置,包括:第一获取单元,用于通过终端准入插件从用户终端上获取会话密钥,其中,会话密钥为用户终端与网络服务器之间利用HTTPS协议进行会话的密钥,终端准入插件设置在用户终端上;第二获取单元,用于通过终端准入插件从用户终端获取加密的通信数据和应用行为数据,其中,加密的通信数据为用户终端上运行的应用通过企业服务器与网络服务器之间进行通信的数据,应用行为数据为用户终端上的应用在用户终端的本地运行时产生的数据;解密单元,用于利用会话密钥对加密的通信数据进行解密,得到明文通信数据;提取单元,用于利用卷积神经网络模型从应用行为数据和明文通信数据提取数据特征;第三获取单元,用于获取终端的数据的数据特征与已有病毒的数据特征之间的相似度;确定单元,用于在相似度大于目标阈值的情况下,确定与终端的数据关联的文件为病毒样本。
[0007]根据本申请实施例的另一方面,还提供了一种存储介质,该存储介质包括存储的程序,程序运行时执行上述的方法。
[0008]根据本申请实施例的另一方面,还提供了一种电子装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器通过计算机程序执行上述的方法。
[0009]在本申请实施例中:
[0010]1)可结合终端用户的终端应用行为和网络使用行为数据,为每个用户的终端使用和网络行为进行综合评分,从而企业的安全技术管理人员可以据此做出正确的安全防护措施。针对企业终端用户以HTTPS协议访问的数据内容提取过程,由于HTTPS协议在数据传输过程中数据的加密特性,我们通过采用终端准入插件的方式获得会话主密钥用来解密的被服务器加密得数据,大大降低了中间人代理方式还进行双倍的连接建立所带来CPU性能的急剧消耗和减少了吞吐量。针对企业终端应用数据,本专利技术中采用改造后的卷积神经网络模型进行特征提取并和特征数据库对比,利用改进的相似度计算算法计算其相似性并得处系统安全等级指标。相对于只利用字节特征的传统方案形成明显优势,能够更好的识别未曾见过的病毒样本,抵御抗病毒变种和新病毒家族等未知威胁。
[0011]2)通过采用终端准入插件的方式获得会话主密钥用来解密的被服务器加密得数据,大大降低了中间人代理方式还进行双倍的连接建立所带来CPU性能的急剧消耗和减少了吞吐量。
[0012]3)采用改造后的卷积神经网络模型进行特征提取并和特征数据库对比,利用改进的相似度计算算法计算其相似性并得处系统安全等级指标。相对于只利用字节特征的传统方案形成明显优势,能够更好的识别未曾见过的病毒样本,抵御抗病毒变种和新病毒家族等未知威胁。
[0013]进而解决了相关技术中无法准确监管用户终端出现的病毒的技术问题。
附图说明
[0014]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0015]图1是根据本申请实施例的业终端用户网络行为分析框架的示意图;
[0016]图2是根据本申请实施例的终端用户的网络行为的监管方法流程图;
[0017]图3是根据本申请实施例的终端用户的网络行为分析的示意图;
[0018]图4是根据本申请实施例的终端用户的网络行为方案的示意图;
[0019]图5是根据本申请实施例的网络结构的示意图。
具体实施方式
[0020]为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
[0021]需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用
的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0022]专利技术人认识到,相较于个人终端而言,企业终端的数据等资产价值更高,由终端、服务器等不同软硬件所组成的办公局域网,带来更为复杂的病毒来源、感染、传播途径,因此企业用户面临更为严峻的终端用户网络行为安全挑战,对防护、管理、应用等多方面提出了更加严厉的要求。
[0023]如何在企业办公网络中对用户终端的使用和网络访问行为进行有效的监测和管理,是企业办公网建设和管理所面临的严峻问题。因此,寻找一种有效、简单、快速的终端用户网络行为识别方法,并能够根据网络状态和业务流量采取不同的管理策略,成为解决上述问题的关键。
[0024]当前有部分用户上网行为日志审计的产品、和终端安全监测产品可以针对用户的上网行为进行记录和审计,包括网页访问行为、网络发帖、邮件Email、IM聊天内容、文件本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种终端用户的网络行为的监管方法,其特征在于,包括:通过终端准入插件从用户终端上获取会话密钥,其中,所述会话密钥为所述用户终端与网络服务器之间利用HTTPS协议进行会话的密钥,所述终端准入插件设置在所述用户终端上;通过所述终端准入插件从所述用户终端获取加密的通信数据和应用行为数据,其中,所述加密的通信数据为所述用户终端上运行的应用通过企业服务器与所述网络服务器之间进行通信的数据,所述应用行为数据为所述用户终端上的应用在所述用户终端的本地运行时产生的数据;利用所述会话密钥对所述加密的通信数据进行解密,得到明文通信数据;利用卷积神经网络模型从所述应用行为数据和所述明文通信数据提取数据特征;获取所述终端的数据的数据特征与已有病毒的数据特征之间的相似度;在所述相似度大于目标阈值的情况下,确定与所述终端的数据关联的文件为病毒样本。2.根据权利要求1所述的方法,其特征在于,获取所述终端的数据的数据特征与已有病毒的数据特征之间的相似度包括:获取用于表示所述终端的数据的数据特征的向量A,用于表示所述已有病毒的数据特征的向量B;按照如下公式确定所述相似度sim(A,B):其中,sim(A,B)的取值范围为0到1,x
i
表示A中的第i个维度的元素,y
i
表示B中的第i个维度的元素,a为预设阈值,n为维度的数量。3.根据权利要求1所述的方法,其特征在于,利用卷积神经网络模型从所述应用行为数据和所述明文通信数据提取数据特征包括:将所述应用行为数据和所述明文通信数据转换为图像格式的数据;将所述图像格式的数据输入所述卷积神经网络模型,以提取出所述数据特征。4.根据权利要求3所述的方法,其特征在于,将所述图像格式的数据输入所述卷积神经网络模型,以提取出所述数据特征包括:从所述图像格式的数据中提取出包括多个维度的所述数据特征。5.根据权利要求1所述的方法,其特征在于,利用所述会话密钥对所述加密的通信数据进行解密,得到明文通信数据之后,所述方法还包括:利用所述应用行为数据和所述明文通信数据确定所述用户终端当前所在的安全级别;采用与所述...
【专利技术属性】
技术研发人员:禹宁,黄达成,宫鑫,谷良,狄婷,赵嘉,吴瑶,安龙,
申请(专利权)人:国网山西省电力公司信息通信分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。