【技术实现步骤摘要】
一种用户行为的威胁链识别方法
[0001]本专利技术涉及信息安全
,更具体的说是涉及一种用户行为的威胁链识别方法
。
技术介绍
[0002]随着互联网新兴技术的发展,带来了网络空间边界模糊化,访问方与被访问方的通路逐渐增多,传统的以规则为核心的边界防御加流量检测的安全架构难以适应
。
越来越多的组织和企业接受来自远程办公的资源请求,使威胁攻击有更多机会进入内部
。
由此更加严格的规则带来告警数据增加,但实际有效的攻击更难以发现
。
于此同时相对于外部网络,企业和组织更加信任内部网络空间的人员和设备,内部人员和实体更容易接触到商业机密
、
敏感信息
、
重要数字资产等数据,有意或无意地造成数据安全问题时有发生,此类威胁发生具有隐蔽性
、
复杂性和关联性,对此类内部威胁往往缺乏有效的检测措施
。
[0003]现有技术中,针对用户威胁行为的检测,按照使用机器学习方法的不同,大致可分为基于异常检测和基于形式化建模两类
。
[0004]基于异常检测的方式主要是通过异常行为发现和分析(
UEBA
)检测威胁,数据源多基于审计日志,这些日志包含用户和其使用的设备因操作或运行留下的日志数据,如用户的命令执行记录
、
文件搜索记录
、
数据库访问记录
、
单双导文件传输记录
、
主机审计日志
、
共享 ...
【技术保护点】
【技术特征摘要】
1.
一种用户行为的威胁链识别方法,其特征在于,包括如下步骤:
S1
:建立威胁知识库;
S2
:对日志数据进行清洗和预处理;
S3
:对预处理后的日志数据进行对象化处理,根据威胁攻击行为本体模式建立用户行为属性图;
S4
:在用户行为属性图中对多节点对应同一实体的情况进行实体融合,对具有同一名称但可指代多个实体的节点进行消岐;
S5
:对用户行为属性图的结构进行加工优化;
S6
:从用户行为属性图中抽取威胁行为子图;
S7
:将威胁行为子图与威胁知识库中的威胁攻击链图模型进行匹配;
S8
:利用神经网络模型计算威胁行为子图的相似度评分;
S9
:判断相似度评分是否超过阈值;若是,则执行步骤
S10
;否则,执行步骤
S11
;
S10
:将威胁行为子图保存到下游任务队列中;
S11
:判断威胁知识库中的威胁攻击链图模型是否已经匹配完毕;若是,则识别结束;若否,则返回步骤
S7。2.
根据权利要求1所述的用户行为的威胁链识别方法,其特征在于,所述步骤
S1
包括:建立异常行为
ATT&CK
映射策略;建立威胁攻击行为本体模式;建立威胁攻击链图模型,并存储在威胁攻击链图模型库中;构建基于
GNN
的子图匹配算法
。3.
根据权利要求2所述的用户行为的威胁链识别方法,其特征在于,所述步骤
S2
包括:对日志数据进行归一化处理;利用异常行为
ATT&CK
映射策略抽取日志数据中的关键信息,并映射为
ATT&CK
中的技术<...
【专利技术属性】
技术研发人员:王晶,谢涛,
申请(专利权)人:中孚信息股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。