一种用户行为的威胁链识别方法技术

本发明专利技术提出的一种用户行为的威胁链识别方法，属于信息安全技术领域，包括：建立威胁知识库；对日志数据进行清洗和预处理；根据本体模式建立用户行为属性图；对用户行为属性图进行实体融合和消岐；对用户行为属性图进行结构加工与优化；进行用户威胁行为子图与节点特征的抽取；将用户威胁行为链与预置图模型匹配；利用神经网络模型计算威胁行为子图的相似度评分，并判断相似度评分是否高于阈值，若是，则将威胁行为子图保存到下游任务队列中

【技术实现步骤摘要】
一种用户行为的威胁链识别方法


[0001]本专利技术涉及信息安全
，更具体的说是涉及一种用户行为的威胁链识别方法
。

技术介绍

[0002]随着互联网新兴技术的发展，带来了网络空间边界模糊化，访问方与被访问方的通路逐渐增多，传统的以规则为核心的边界防御加流量检测的安全架构难以适应
。
越来越多的组织和企业接受来自远程办公的资源请求，使威胁攻击有更多机会进入内部
。
由此更加严格的规则带来告警数据增加，但实际有效的攻击更难以发现
。
于此同时相对于外部网络，企业和组织更加信任内部网络空间的人员和设备，内部人员和实体更容易接触到商业机密
、
敏感信息
、
重要数字资产等数据，有意或无意地造成数据安全问题时有发生，此类威胁发生具有隐蔽性
、
复杂性和关联性，对此类内部威胁往往缺乏有效的检测措施
。
[0003]现有技术中，针对用户威胁行为的检测，按照使用机器学习方法的不同，大致可分为基于异常检测和基于形式化建模两类
。
[0004]基于异常检测的方式主要是通过异常行为发现和分析（
UEBA
）检测威胁，数据源多基于审计日志，这些日志包含用户和其使用的设备因操作或运行留下的日志数据，如用户的命令执行记录
、
文件搜索记录
、
数据库访问记录
、
单双导文件传输记录
、
主机审计日志
、
共享文档空间操作记录
、
电子邮件发送记录等
。
对这些日志采用统计分析和机器学习进行数据挖掘，可以找出用户和实体的异常行为
。
基于形式化建模的方式则是通过对用户行为画像和建模，可对用户的正常行为建模，也可以对用户的威胁攻击建模
。
[0005]但是，采用上述方法进行用户威胁行为的检测，存在以下缺点：
1、
由于审计日志字段设计主旨在广泛覆盖各种应用场景中的信息采集需求，而忽视记录值是否可用于内部威胁检测，针对多样安全设备和应用系统的海量日志，通常需要人工设计多种威胁行为数据抽取方法，缺少一个统一的日志数据处理方式，造成日志数据处理负担重，日志数据信息难以挖掘
。
[0006]2、
内部威胁检测需要使用多种行为域的数据，现有方法多针对单个行为域建立机器学习模型，缺少链式威胁的识别功能，容易忽略不同行为之间的关联关系和上下文信息，造成分析威胁时因信息不足而大量需要人工分析研判
。
[0007]3、
对正常行为建模的方法通常需要通过评分系统，使模型可以区分正常和异常行为，但大多评分系统采用异常分数累加，易造成假阳性比例高，需根据实际场景
、
用户习惯等频繁调整阈值
。
[0008]4、
用户行为样本分布属于长尾分布，异常行为占比本身很小，其中被识别且标注为威胁行为的样本极少，因此利用传统监督学习训练模型识别威胁行为，易造成模型过拟合导致识别准确度低
、
模型泛化性能差
。

技术实现思路

[0009]针对现有技术中存在的问题，本专利技术的目的在于提供一种用户行为的威胁链识别方法，能够利用神经网络模型对用户的威胁行为链进行识别，并自动评估威胁分数，有效提高了用户威胁行为的识别率
。
[0010]本专利技术为实现上述目的，通过以下技术方案实现：一种用户行为的威胁链识别方法，包括如下步骤：
S1
：建立威胁知识库；
S2
：对日志数据进行清洗和预处理；
S3
：对预处理后的日志数据进行对象化处理，根据威胁攻击行为本体模式建立用户行为属性图；
S4
：在用户行为属性图中对多节点对应同一实体的情况进行实体融合，对具有同一名称但可指代多个实体的节点进行消岐；
S5
：对用户行为属性图的结构进行加工优化；
S6
：从用户行为属性图中抽取威胁行为子图；
S7
：将威胁行为子图与威胁知识库中的威胁攻击链图模型进行匹配；
S8
：利用神经网络模型计算威胁行为子图的相似度评分；
S9
：判断相似度评分是否超过阈值；若是，则执行步骤
S10
；否则，执行步骤
S11
；
S10
：将威胁行为子图保存到下游任务队列中；
S11
：判断威胁知识库中的威胁攻击链图模型是否已经匹配完毕；若是，则识别结束；若否，则返回步骤
S7。
[0011]进一步，步骤
S1
包括：建立异常行为
ATT&CK
映射策略；建立威胁攻击行为本体模式；建立威胁攻击链图模型，并存储在威胁攻击链图模型库中；构建基于
GNN
的子图匹配算法
。
[0012]进一步，步骤
S2
包括：对日志数据进行归一化处理；利用异常行为
ATT&CK
映射策略抽取日志数据中的关键信息，并映射为
ATT&CK
中的技术
。
[0013]进一步，步骤
S4
包括：当存在同一字段可指代多个实体的节点时，通过节点属性化的方法将此类节点转化为同一节点
。
[0014]进一步，步骤
S5
包括：通过属性传递增加邻接节点的特征；通过知识推理建立节点之间新的连接
。
[0015]进一步，步骤
S6
包括：从用户行为属性图中抽取含有
ATT&CK
标识的节点及其
k
‑
阶邻接节点的子图或子图集，并将子图内节点的属性转换为节点特征向量
。
[0016]进一步，步骤
S7
包括：
将威胁行为子图与威胁攻击链图模型库中的图模型逐一匹配，根据不同的行为属性图建立方式和子图抽取方式，选取不同的子图匹配算法；子图匹配算法采用基于节点嵌入的子图匹配模型或基于边嵌入的子图匹配模型
。
[0017]进一步，步骤
S8
包括：利用神经张量网络计算节点特征相似度，作为威胁行为子图的相似度评分
。
[0018]进一步，步骤
S8
还可以包括：利用行为发出方特征融合与神经张量网络结合的方式计算边特征相似度，作为威胁行为子图的相似度评分
。
[0019]进一步，步骤
S8
还可以包括：利用数据图边重排列之后与查询图的曼哈顿距离直接计算图对相似度，作为威胁行为子图的相似度评分
。
[0020]对比现有技术，本专利技术有益效果在于：本专利技术提供了一种用户行为的威胁链识别方法，能够利用威胁知本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种用户行为的威胁链识别方法，其特征在于，包括如下步骤：
S1
：建立威胁知识库；
S2
：对日志数据进行清洗和预处理；
S3
：对预处理后的日志数据进行对象化处理，根据威胁攻击行为本体模式建立用户行为属性图；
S4
：在用户行为属性图中对多节点对应同一实体的情况进行实体融合，对具有同一名称但可指代多个实体的节点进行消岐；
S5
：对用户行为属性图的结构进行加工优化；
S6
：从用户行为属性图中抽取威胁行为子图；
S7
：将威胁行为子图与威胁知识库中的威胁攻击链图模型进行匹配；
S8
：利用神经网络模型计算威胁行为子图的相似度评分；
S9
：判断相似度评分是否超过阈值；若是，则执行步骤
S10
；否则，执行步骤
S11
；
S10
：将威胁行为子图保存到下游任务队列中；
S11
：判断威胁知识库中的威胁攻击链图模型是否已经匹配完毕；若是，则识别结束；若否，则返回步骤
S7。2.
根据权利要求1所述的用户行为的威胁链识别方法，其特征在于，所述步骤
S1
包括：建立异常行为
ATT&CK
映射策略；建立威胁攻击行为本体模式；建立威胁攻击链图模型，并存储在威胁攻击链图模型库中；构建基于
GNN
的子图匹配算法
。3.
根据权利要求2所述的用户行为的威胁链识别方法，其特征在于，所述步骤
S2
包括：对日志数据进行归一化处理；利用异常行为
ATT&CK
映射策略抽取日志数据中的关键信息，并映射为
ATT&CK
中的技术<...

【专利技术属性】
技术研发人员：王晶，谢涛，
申请(专利权)人：中孚信息股份有限公司，
类型：发明
国别省市：