【技术实现步骤摘要】
一种基于双层隐马尔可夫链的用户异常网络访问行为识别方法
[0001]该专利技术属于信息安全领域,提出一种基于双层隐马尔可夫链的用户异常网络访问行为识别方法。
技术介绍
[0002]近些年来,据有关研究机构对网络攻击事件的分析与统计中显示,很多网络攻击事件都是由多个攻击步骤组成,攻击者在发动攻击前,会先向攻击目标进行一些探测活动,通常这些操作的威胁程度都比较低,不会引起网络安全管理人员的关注。在探测完主机的信息之后,攻击者会利用探测到的信息对主机发动进一步的攻击,并且攻击力度会逐步加强,最终实现对攻击目标的攻击。这些攻击步骤之间存在一定的时间和空间联系,这类攻击方式称为多步攻击,通过这种方式能够实现更为复杂的攻击过程。一次完整的攻击过程包含多个攻击步骤,这些攻击步骤之间存在着一定的逻辑关系,只有当前一个攻击步骤成功完成,后面的攻击步骤才能够开始。一般来说,多步攻击可以分为信息探测、漏洞扫描、漏洞利用、权限提升、发动攻击、留下后门等多个步骤。
[0003]当前在具体的攻击中,且各个步骤之间总是具有一定的逻辑关系和时间顺序...
【技术保护点】
【技术特征摘要】
1.一种基于双层隐马尔可夫链的用户异常网络访问行为识别方法,其特征在于,包括以下步骤:步骤1,采集全量的历史用户访问行为数据,分解行为数据,形成训练样本;步骤2,基于训练样本进行数据训练,得到用户行为的行为模型;步骤3,基于用户访问行为特征进行双层马尔科夫链建模,利用所述用户行为的行为模型对实时网络用户行为进行检测,识别出异常用户;步骤4,对所述异常用户访问操作用户行为进行持续追踪;步骤5,对异常用户行为进行识别。2.根据权利要求1所述的方法,其中,所述步骤1,采集全量的历史用户访问行为数据,分解行为数据,形成训练样本,具体包括:步骤1
‑
1,网络探针提取全量的历史用户访问行为数据,所述行为数据是所有访问用户行为数据的总集合;步骤1
‑
2,用户行为分析器对比不同时间段的访问用户,去除偶发的用户访问用户行为;步骤1
‑
3,用户行为分析器统计所有数据中相同的访问用户。3.根据权利要求2所述的方法,其中,所述网络探针部署在网关入口的中间件服务器上,以插件形式按照旁路方式部署。4.根据权利要求2所述的方法,其中,所述行为数据总集合包括用户访问时间、页面点击菜单顺序、页面停留时间;所述页面停留时间为用户从访问到关闭网站页面/访问下一个网站页面的时间。5.根据权利要求1所述的方法,其中,所述步骤2,基于训练样本进行数据训练,得到用户行为的行为模型,根据异常业务访问行为的特点,每一个异常业务访问行为事件可以由若干网络攻击动作来描述,每个网络攻击动作则有则是由一组异常行为的数据时间序列构成。因此我们可以构建一个双层隐马尔可夫链模型来描述大时间跨度的异常业务访问行为特征。具体包括:步骤2
‑
1,生成业务所有访问操作集合;步骤2
‑
2,统计用户行为训练样本中用户前N个操作;步骤2
‑
3,生成双层马尔科夫链,构建用户正常行为行为模型结构及估计模型参数;步骤2
‑
4,对用户N...
【专利技术属性】
技术研发人员:赵磊,邹云峰,徐超,
申请(专利权)人:国网江苏省电力有限公司国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。