【技术实现步骤摘要】
一种实体行为基线分析方法、系统及终端设备
[0001]本专利技术涉及网络安全
,尤其涉及一种基于多维度视角的实体行为基线分析方法、系统及终端设备。
技术介绍
[0002]随着网络安全技术的快速发展,针对各类内生式安全风险的实体行为分析系统开始得到广泛应用。如何在大量的用户行为数据之中,识别出异常的用户或设备行为,成为了各类行为分析系统的研究的重点。
[0003]目前对于实体异常行为分析,一般是采用建立实体行为的基线,通过计算行为数据和基线数据偏离成都的方式,来识别出异常的实体行为。单一维度的行为基线特征,往往无法真实的体现实体行为的异常,而严格匹配行为场景特征的基线,又因数据过于敏感,最终导致频繁出现漏报和误报情况的发生。
技术实现思路
[0004]本专利技术的目的是提供一种多维度实体行为基线的建立和异常分析的方法,用于解决传统行为基线分析准确度不高的问题。通过对实体行为在时间、空间、关系、数量等维度构建多个行为特征基线,通过构建对多个基线偏离率的评分策略,实现对实体异常行为更准确地检测。 />[0005]实体本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种实体行为基线分析方法,其特征在于,方法包括:步骤一:定义实体行为的各个特征集合;步骤二:对周期内的特征集合建立多维度特征矩阵;步骤三:将所述多维度特征矩阵映射成多个二维特征矩阵;步骤四:对多个周期内的数据集构建行为基线数据;步骤五:构建待检测的行为二维特征矩阵;步骤六:对待检测的行为二维特征矩阵中的行为特征数据进行异常评估。2.根据权利要求1所述的实体行为基线分析方法,其特征在于,步骤一中,各个维度集合包括:集合G(T)={t1,t2,t3...t
n
}表示实体在时间维度上的特征集合;集合G(S)={s1,s2,s3...s
m
}表示实体在空间维度上的特征集合;集合G(R)={r1,r2,r3...r
k
}表示实体在关系维度上的特征集合。3.根据权利要求2所述的实体行为基线分析方法,其特征在于,步骤二中,对周期时间D内特征集合的数据样本,以计数为特征值,在时间、空间、关系,数量四个特征维度建立多维度特征矩阵其中U
i
为实体i,为在周期时间D内匹配维度特征t、s、r时的行为计数特征值,v为生成特征矩阵数据的列数。4.根据权利要求3所述的实体行为基线分析方法,其特征在于,步骤三中,基于多维度特征矩阵分别对各个维度特征矩阵进行映射,生成多个二维的特征矩阵;其中涉及的是用户或实体行为在时间维度和空间维度的二维特征矩阵,为在匹配维度特征t、s时的行为计数;还涉及的是用户或实体行为在时间维度和关系维度的二维特征矩阵,为在匹配维度特征t、r时的行为计数;还涉及的是用户或实体行为在关系维度和空间维度的二维特征矩阵,为在匹配维度特征r、s时的行为计数。5.根据权利要求4所述的实体行为基线分析方法,其特征在于,
步骤四中:对多个周期D的二维矩阵数据U
i
(T,S),U
i
(T,R),U
i
(R,S)分别计算矩阵中C的平均值;...
【专利技术属性】
技术研发人员:蔡力兵,郑传义,苗功勋,高峰,曲志峰,
申请(专利权)人:中孚信息股份有限公司南京中孚信息技术有限公司北京中孚泰和科技发展股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。