本申请涉及一种异常用户检测方法、装置以及计算机程序产品。所述方法包括:确定账号所关联的异构数据源;基于账号,从对应的异构数据源中获取与用户关联的待检测数据;基于待检测数据,确定所包含的各行为序列的序列信息;基于各所述序列信息以及各行为序列所对应的阈值,确定用户是否异常。采用本方法弥补了网络安全产品中对内部账户的异常检测与安全防护的缺失,实现自适应性的用户异常检测,降低了内部账号进行异常检测的误报率和漏报率。了内部账号进行异常检测的误报率和漏报率。了内部账号进行异常检测的误报率和漏报率。
【技术实现步骤摘要】
异常用户检测方法、装置以及计算机程序产品
[0001]本申请涉及网络安全
,特别是涉及一种异常用户检测方法、装置以及计算机程序产品。
技术介绍
[0002]由数据可知,在网络安全
大部分的安全事件是由内部人员造成的,内部威胁事件的平均成本为高达千万,而目前大部分的网络安全相关产品都是针对网络边界以及恶意软件的,无法检测内部威胁如账号共享、账号被盗、内部用户滥用等相关的安全风险。
[0003]传统技术中,一些传统的基于单数据源规则的检测方式,不仅误报较高同时也会产生较大的漏报,对于内部用户的异常检测效率低,可靠性不强。
技术实现思路
[0004]基于此,有必要针对上述技术问题,提供一种能够检测内部账号的异常威胁以及实现更低的误报率和漏报率的异常用户检测方法、装置以及计算机程序产品。
[0005]第一方面,本申请提供了一种异常用户检测方法。所述方法包括:
[0006]确定账号所关联的异构数据源;
[0007]基于所述账号,从对应的异构数据源中获取与用户关联的待检测数据;
[0008]基于所述待检测数据,确定所包含的各行为序列的序列信息;
[0009]基于各所述序列信息以及各行为序列所对应的阈值,确定所述用户是否异常。
[0010]在其中一个实施例中,所述确定账号所关联的异构数据源之后包括:
[0011]采集所述异构数据源的异构数据;
[0012]对所述异构数据进行解析,得到字段信息;所述字段信息包括对应账号的账号信息;r/>[0013]基于所述字段信息,确定所述账号是否属于同一所述用户。
[0014]在其中一个实施例中,所述基于所述字段信息,确定所述账号是否属于同一所述用户上包括:
[0015]获取第一历史时间内的所述字段信息;所述字段信息包括来源用户名以及源IP的信息对;
[0016]将所述第一历史时间划分为N段;获取在每一段时间内,同一IP对应的异构数据源账号出现的次数Q;
[0017]基于所述次数Q,统计不同时间段内,所述异构数据源账号同时出现的次数M;
[0018]判断所述异构数据源账号同时出现的次数M与所述N段的比值是否大于设定的第一阈值;
[0019]若大于,则所述账号属于同一所述用户。
[0020]在其中一个实施例中,所述基于各所述待检测数据,确定分别所包含的各行为序
列的序列信息包括:
[0021]基于对所述账号关注行为的不同,自定义所述账号的所述各行为序列;
[0022]所述各行为序列包括单数据源行为序列以及多数据源组合行为序列。
[0023]在其中一个实施例中,所述基于所述账号,从对应的异构数据源中获取与用户关联的待检测数据之后包括:
[0024]基于所述账号,从对应的异构数据源中获取与所述用户关联的历史数据;
[0025]基于所述历史数据,确定所包含的各行为序列所对应的阈值。
[0026]在其中一个实施例中,所述基于所述历史数据,确定所包含的各行为序列所对应的阈值包括:
[0027]所述历史数据为第二历史时间内所述各行为序列的数据;
[0028]将所述第二历史时间划分为T段;
[0029]统计在每个间隔时间内,所述各行为序列的行为出现的频次W;
[0030]获取T段时间内所述各行为序列所对应的阈值;所述阈值包括以下至少之一:平均值、最大值、最小值、方差以及标准差。
[0031]在其中一个实施例中,所述基于各所述序列信息以及各行为序列所对应的阈值,确定所述用户是否异常包括:
[0032]对所述各行为序列设置不同的权重;
[0033]基于所述权重,将所述序列信息与所述各行为序列所对应的阈值进行偏离异常程度衡量,得到所述各行为序列的异常分值;
[0034]将所述用户的所述各行为序列的异常分值求和,得到所述用户的综合异常评分,确定所述用户是否异常。
[0035]在其中一个实施例中,所述将所述用户的所述各行为序列的异常分值求和,得到所述用户的综合异常评分之后还包括:
[0036]基于所述综合异常评分,按照由高到低对所述用户进行排序,将排名靠前的所述用户标记为异常用户。
[0037]第二方面,本申请还提供了一种异常用户检测装置。所述装置包括:
[0038]确定模块,用于确定账号所关联的异构数据源;
[0039]获取模块,用于基于所述账号,从对应的异构数据源中获取与用户关联的待检测数据;基于所述待检测数据,确定所包含的各行为序列的序列信息;
[0040]判断模块,用于基于各所述序列信息以及各行为序列所对应的阈值,确定所述用户是否异常。
[0041]第三方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述第一方面的内容。
[0042]上述异常用户检测方法、装置、以及计算机程序产品,通过确定账号所关联的异构数据源;基于所述账号,从对应的异构数据源中获取与用户关联的待检测数据;基于所述待检测数据,确定所包含的各行为序列的序列信息;基于各所述序列信息以及各行为序列所对应的阈值,确定所述用户是否异常弥补了网络安全产品中对内部账户的异常检测与安全防护的缺失,实现自适应性的异常检测,降低了内部账号进行异常检测的误报率和漏报率。
附图说明
[0043]图1为一个实施例中异常用户检测方法的流程示意图;
[0044]图2为一个实施例中异构数据源账号归集方法的流程示意图;
[0045]图3为一个实施例中账号自动关联算法步骤的流程示意图;
[0046]图4为一个实施例中确定各行为序列阈值的流程示意图;
[0047]图5为一个实施例中确定各行为序列阈值中步骤S404的流程示意图;
[0048]图6为示例实施例的异常用户检测方法的流程示意图;
[0049]图7为一个实施例中异常用户检测装置的结构框图。
具体实施方式
[0050]为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
[0051]在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
[0052]除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属
内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种异常用户检测方法,其特征在于,所述方法包括:确定账号所关联的异构数据源;基于所述账号,从对应的异构数据源中获取与用户关联的待检测数据;基于所述待检测数据,确定所包含的各行为序列的序列信息;基于各所述序列信息以及各行为序列所对应的阈值,确定所述用户是否异常。2.根据权利要求1所述的异常用户检测方法,其特征在于,所述确定账号所关联的异构数据源之后包括:采集所述异构数据源的异构数据;对所述异构数据进行解析,得到字段信息;所述字段信息包括对应账号的账号信息;基于所述字段信息,确定所述账号是否属于同一所述用户。3.根据权利要求2所述的异常用户检测方法,其特征在于,所述基于所述字段信息,确定所述账号是否属于同一所述用户上包括:获取第一历史时间内的所述字段信息;所述字段信息包括来源用户名以及源IP的信息对;将所述第一历史时间划分为N段;获取在每一段时间内,同一IP对应的异构数据源账号出现的次数Q;基于所述次数Q,统计不同时间段内,所述异构数据源账号同时出现的次数M;判断所述异构数据源账号同时出现的次数M与所述N段的比值是否大于设定的第一阈值;若大于,则所述账号属于同一所述用户。4.根据权利要求1所述的异常用户检测方法,其特征在于,所述基于各所述待检测数据,确定分别所包含的各行为序列的序列信息包括:基于对所述账号关注行为的不同,自定义所述账号的所述各行为序列;所述各行为序列包括单数据源行为序列以及多数据源组合行为序列。5.根据权利要求1所述的异常用户检测方法,其特征在于,所述基于所述账号,从对应的异构数据源中获取与用户关联的待检测数据之后包括:基于所述账号,从对应的异构数据源中获取与所述用户关联的历史数据;基于所述历史数据,确...
【专利技术属性】
技术研发人员:丁雄,何帅,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。