一种基于5W1H账号的认证行为画像方法技术

本发明专利技术涉及5W1H账号安全管理技术领域，公开了一种基于5W1H账号的认证行为画像方法，所述行为画像方法以“人”为中心对用户的相关行为进行分析，包括用户登录时间、认证行为、IP地址信息、行为频次四大类信息，对用户日常行为进行刻画，建立日常行为基线。本发明专利技术具备全网集中的账号管理的能力，能够对全网账号进行集中化、标准化、可视化管理，具备全网统一的认证能力，能够对全网人员和业务认证提供标准化、服务化管理，具备全网统一的审计能力，能够提升审计智慧程度，落地审计管理，实现真正的有效审计，具备增强型的平台安全支撑能力，为业务系统提供安全增强支持。务系统提供安全增强支持。

【技术实现步骤摘要】
一种基于5W1H账号的认证行为画像方法


[0001]本专利技术涉及5W1H账号安全管理
，具体是一种基于5W1H账号的认证行为画像方法。

技术介绍

[0002]5W1H分析方法也称六何分析方法，是一种思索方式，还可以算是一种造就手法，是对选中的新项目、工艺流程或实际操作，都需要从缘故(WHY)、目标(WHAT)、地址(WHERE)、時间(WHEN)、工作人员(WHO)、方式(HOW)等六个层面提问问题开展考虑的一种方式，其广泛应用于各个行业的发展运行中。
[0003]其中工作人员作为5W1H中的执行者，其用户身份管理是网络安全的基础，也是各大企业网络安全长期存在的薄弱环节，近年来，基于5W1H形式的各个领域的集团围绕规划、前期、基建、生产、营销、管理等价值链环节业务的应用系统建设取得了重要进展，系统形态、数量、种类得到了极大的丰富，为集团全面提升信息化水平，充分发挥信息化创造价值的重要作用，助推企业转型升级、提升发展质量和效益等提供了有力的支撑，但伴随业务系统生态体系进一步完善的同时，异构系统、融合网络、多样设备的用户身份管理的复杂程度也达到了前所未有的高度，弱口令、僵尸账户、冗余账户、账号冒用、钓鱼用户、重复登录、异地登录、异常登录、多样性访问、分散管理、难于审计等与用户安全有关的问题也开始浮出水面，成为制约集团业务系统生态体系建设、威胁集团整体网络安全、影响用户体验的重要问题，具体表现如下：
[0004](1)应用存在大量的占用账户：长期不用账号(僵尸账号)、多次创建的冗余账户等，业务管理员梳理困难，账号缺乏统一集中管理，应用系统、VPN、网络准入等缺乏统一的账号管理标准。
[0005](2)应用缺乏统一的认证：VPN、各应用系统、APP认证各自独立，存在大量的弱口令。
[0006](3)缺乏统一的审计能力：现有业务系统审计日志过多，审计人员有限，无法有效落地审计能力。
[0007]此外，经过对近年来中央企业参与国家有关部门组织的年度网络安全专项行动中的数据、经验进行总结、分析，可以发现，用户身份管理问题已成为各大中央企业网络安全体系中最薄弱、管理难度最大、管理成本最高的环节，同时也是攻击者开展攻击的首选目标和方向，对该问题能否实施有效的管理，成为取得行动成功的关键因素，也是企业信息化程度、信息化管理水平、安全管理水平、组织管理能力、组织效率等综合实力的体现，随着此类专项行动逐渐成为常态化，此类问题的重要性越发凸显。

技术实现思路

[0008]本专利技术的目的在于提供一种基于5W1H账号的认证行为画像方法，以解决上述技术问题。
[0009]为实现上述目的，本专利技术提供如下技术方案：
[0010]提供一种基于5W1H账号的认证行为画像方法，该方法以“人”为中心对用户的相关行为进行分析，包括用户登录时间、认证行为、IP地址信息和行为频次四大类信息，对用户日常行为进行刻画，建立日常行为基线，其中：所述登录时间的数据分析包括用户的登录账号时间、访问时间、访问资源时间和操作时间；所述IP地址信息的数据分析包括用户的登录源IP地址、认证源IP地址、访问源IP地址和操作源IP地址；所述行为频次的数据分析包括用户的账号登录频次、账号认证频次、访问资源频次和操作行为频次；所述认证行为以用户登录时间、IP地址信息和行为频次的行为进行人物画像行为分析，采用均值统计算法，统计分析算法或/和关联分析算法建立分析模型，通过算法学习将用户的日常行为归类，并通过基于模型策略技术、基于邻近度技术、基于密度技术以及数据分析模型，作为监理正常行为的标准基线；
[0011]所述用户行为分析的数据模型建立流程包括：
[0012]S1、数据集中采集，使用大数据存储能力以及大数据技术下数据挖掘的技术，对用户登录时间、IP地址信息和行为频次信息进行集中采集；
[0013]S2、分析挖掘，使用均值统计算法，统计分析算法，关联分析算法的数据分析算法，对用户行为进行分析归类，并基于动态基线技术建立模型；
[0014]S3、建立模型，使用基于模型策略技术、基于邻近度技术、基于密度技术以及数据分析模型进行算法分析，提取算法模型中的异常数据；
[0015]S4、发现问题，提取算法模型分析后发现异常数据对应的安全事件，分析5W1H对应要素进行异常分析排查，并反馈循环至数据分析挖掘步骤中，直至算法模型呈现动态平衡。
[0016]优选的，所述认证行为的人物画像行为分析，其建立分析模型所采用的均值统计算法、统计分析算法以及关联分析算法，特点如下：
[0017]a.均值统计算法，通过对业务场景使用的均值阀值进行计算的规则，基于标准化日志进行统计，计算出相应的均值，作为阀值数据供报表和上层统计分析的算法；
[0018]b.统计分析算法，基于标准化日志和中间数据，按照审计主体、审计客体、审计动作中各属性维度进行分组次数统计，统计结果与设定阀值进行分析比对，以发现异常和违规操行为，并通过预警策略进行预警提醒，策略结果支持自动生成审计任务中待审数据；
[0019]c.关联分析算法：基于5W1H模型中的属性、自定义的模型元素和异构事件进行分析规则配置，对于存在关联关系信息的上下文制定合理的审计策略，通过组合判断多个异构事件判断操作行为性质，发掘隐藏的相关性，发现可能存在的违规行为。
[0020]优选的，所述认证行为的人物画像行为分析，其监理标准基线所采用的基于模型策略技术、基于邻近度技术、基于密度技术以及数据分析模型，特点如下：
[0021]a.基于模型策略技术，通过预先分析，找出不合格或不满足的数据；
[0022]b.基于邻近度技术，对大规模聚集的对象进行分类、归纳，异常就是那些远离大规模聚集的对象；
[0023]c.基于密度技术，对密度较大区域出现的对象进行分类、归纳，在密度低的区域出现的对是异常；
[0024]d.数据分析模型，包括同岗位，同地域，以及同时间长度，其中：
[0025]同岗位，指以同岗位的个人或组织的群体的建模，分析正常规律，挖掘异常行文；
[0026]同地域，指以同地域的个人或组织的群体建模，分析正常规律，挖掘异常行文；
[0027]同时间长度，指以同时间长度和跨度的个人或组织的群体建模，分析正常规律，挖掘异常行文。
[0028]优选的，建立用户行为分析模型，所述用户行为分析模型的实现流程包括：
[0029]S1、定义问题，从海量数据中分析规律、查找异常、挖掘信息以及分析数据，发现数据中存在的问题；
[0030]S2、准备数据，确定与划分数据分析的范围；
[0031]S3、浏览数据，采用数据算法，进行相应的数据清洗；
[0032]S4、生成模型，应用各种建模技术，参数调优，对比建模效果；
[0033]S5、预览/验证模型，基于业务场景验证、模型调优，并通过对模型的反复验证，将验证数据反馈至模型中，提升数据模型质量；
[0034]S6、部署和修改模本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于5W1H账号的认证行为画像方法，其特征在于，该方法以“人”为中心对用户的相关行为进行分析，包括用户登录时间、认证行为、IP地址信息和行为频次四大类信息，对用户日常行为进行刻画，建立日常行为基线，其中：所述登录时间的数据分析包括用户的登录账号时间、访问时间、访问资源时间和操作时间；所述IP地址信息的数据分析包括用户的登录源IP地址、认证源IP地址、访问源IP地址和操作源IP地址；所述行为频次的数据分析包括用户的账号登录频次、账号认证频次、访问资源频次和操作行为频次；所述认证行为以用户登录时间、IP地址信息和行为频次的行为进行人物画像行为分析，采用均值统计算法，统计分析算法或/和关联分析算法建立分析模型，通过算法学习将用户的日常行为归类，并通过基于模型策略技术、基于邻近度技术、基于密度技术以及数据分析模型，作为监理正常行为的标准基线；所述用户行为分析的数据模型建立流程包括：S1、数据集中采集，使用大数据存储能力以及大数据技术下数据挖掘的技术，对用户登录时间、IP地址信息和行为频次信息进行集中采集；S2、分析挖掘，使用均值统计算法，统计分析算法，关联分析算法的数据分析算法，对用户行为进行分析归类，并基于动态基线技术建立模型；S3、建立模型，使用基于模型策略技术、基于邻近度技术、基于密度技术以及数据分析模型进行算法分析，提取算法模型中的异常数据；S4、发现问题，提取算法模型分析后发现异常数据对应的安全事件，分析5W1H对应要素进行异常分析排查，并反馈循环至数据分析挖掘步骤中，直至算法模型呈现动态平衡。2.根据权利要求1所述的一种基于5W1H账号的认证行为画像方法，其特征在于，所述认证行为的人物画像行为分析，其建立分析模型所采用的均值统计算法、统计分析算法以及关联分析算法。3.根据权利要求2所述的一种基于5W1H账号的认证行为画像方法，其特征在于，均值统计算法、统计分析算法以及关联分析算法的特点如下：a.均值统计算法，通过对业务场景使用的均值阀值进行计算的规则，基于标准化日志进行统计，计算出相应的均值，作为阀值数据供报表和上层统计分析的算法；b.统计分析算法，基于标准化日志和中间数据，按照审计主体、审计客体、审计动作中各属性维度进行分组次数统计，统计结果与设定阀值进行分析比对，以发现异常和违规操行为，并通过预警策略进行预警提醒，策略结果支持...

【专利技术属性】
技术研发人员：毕玉冰，杨东，肖力炀，崔逸群，刘超飞，曾荣汉，胥冠军，朱博迪，刘迪，刘骁，王文庆，邓楠轶，董夏昕，朱召鹏，介银娟，王艺杰，崔鑫，
申请(专利权)人：华能集团技术创新中心有限公司，
类型：发明
国别省市：