CN109347808B - 一种基于用户群行为活动的安全分析方法 - Google Patents

一种基于用户群行为活动的安全分析方法 Download PDF

Info

Publication number
CN109347808B
CN109347808B CN201811120889.1A CN201811120889A CN109347808B CN 109347808 B CN109347808 B CN 109347808B CN 201811120889 A CN201811120889 A CN 201811120889A CN 109347808 B CN109347808 B CN 109347808B
Authority
CN
China
Prior art keywords
user
behavior
activity
application system
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811120889.1A
Other languages
English (en)
Other versions
CN109347808A (zh
Inventor
吴朝雄
石波
于冰
郭敏
王晓菲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Computer Technology and Applications
Original Assignee
Beijing Institute of Computer Technology and Applications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Computer Technology and Applications filed Critical Beijing Institute of Computer Technology and Applications
Priority to CN201811120889.1A priority Critical patent/CN109347808B/zh
Publication of CN109347808A publication Critical patent/CN109347808A/zh
Application granted granted Critical
Publication of CN109347808B publication Critical patent/CN109347808B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明涉及一种基于用户群行为活动的安全分析方法,涉及网络安全技术领域。本发明通过构建实体用户与应用***用户的映射关系,形成统一的用户身份管理,为异常行为定位到个人提供基础。同时,搜集用户在网络中的行为活动信息,形成完整的用户行为活动记录,并根据历史数据进行统计分析,形成四类用户日常行为模式。依据用户行为活动“白模式”中的信息,实时分析用户行为和模式,实时研判用户行为是否属于异常行为。对不确定的用户行为活动,进行逆向用户行为分析和判断,通过深度分析线索,并结合与该用户具有相同角色和权限的用户的行为模式的对比分析结果,实现对用户行为的监测以及高危用户行为评估,从而发现数据渗透、APT攻击等行为。

Description

一种基于用户群行为活动的安全分析方法
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于用户群行为活动的安全分析方法。
背景技术
用户网络行为分析有助于用户执行正常活动基线的确立,迅速识别偏离正常行为的异常行为,采用统计学习和机器学习技术,实时分析并了解用户行为和模式,监测和评估高危用户行为。主动寻找内部威胁、检测高级的恶意软件活动、密切关注用户的行动,识别高危行为,从而达到对主机、网络、数据的安全保护,能够及时发现数据渗透、APT攻击等行为。如何针对内网用户异常行为检测、分析、研判,设计一种基于用户群网络行为的安全分析方法,成为了亟待解决的技术问题。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何针对内网用户异常行为检测、分析、研判,设计一种基于用户群网络行为的安全分析方法。
(二)技术方案
为了解决上述技术问题,本发明提供了一种基于用户群行为活动的安全分析方法,包括以下步骤:
步骤1:将网络或者***中的应用***用户与实体用户进行一一关联和映射;
步骤2:通过搜集用户在网络或***中的行为活动数据,提取用于用户行为活动分析的属性信息,形成用户网络行为活动记录;
步骤3:根据用户网络行为活动记录,从访问频率、时间、访问途径、访问内容的维度,建立用户正常行为活动模式,形成用户行为活动基线库;
步骤4:用户行为活动初次判断:将用户的实时行为活动与用户行为活动基线库中的用户正常行为活动模式对比,判断当前用户行为的模式,如果符合用户正常行为活动模式,则判定为正常行为,否则预判为可疑行为模式,转入步骤5;
步骤5:用户行为逆向追踪:对预判为可疑行为模式的用户行为进行逆向追踪和分析,明确用户行为环节中各个节点状况,若判定用户行为活动为异常行为,则转入步骤8,否则转入步骤6;
步骤6:可疑行为二次判断:通过将可疑行为模式的行为活动与其他相同角色的用户行为活动进行对比分析,判断被分析的用户行为活动的是正常行为还是异常行为,若判定为异常行为,则进入步骤8,否则进入步骤7;
步骤7:根据步骤6的二次判断结果,采用LRU的方式更新用户行为活动基线库;
步骤8:根据对用户行为二次判断的结果,对异常行为进行告警,并更新异常行为库。
优选地,步骤1具体为:
在办公***或者业务***中,将一个实体用户对应多个应用***用户,实体用户集用EU表示,EU={(eu1,id1),…(eui,idi),…(eun,idn)},eui为实体用户i的用户名,idi为实体用户i的唯一身份标识号,应用***用户集用AU表示,AU={au1,…aui,…aun},aui为应用***用户i的用户名,实体用户与应用***用户的映射关系通过统计学习的方式进行自动映射,即应用***用户访问一次应用***,记录应用***用户访问***时的应用用户名和id,id由ip地址、电子钥匙、指纹、指静脉、虹膜、视网膜之一表示,实体用户与应用***用户的映射关系表示为:
F(EU,AU)={(EU,AU)|EU(idi,eui)=AU(idi,auj)}。
优选地,步骤2中,将Web网页浏览访问的过程分为两个阶段,第一阶段为实体用户通过浏览器访问应用***;第二阶段为应用***连接数据库进行数据的增、删、改、查。
优选地,步骤2具体为:
通过网络数据抓取装置,获取用户在网络或者***中的操作行为信息,根据应用***用户aui在网络或***中的行为,建立应用***用户aui的正常行为活动模式,应用***访问行为数据从应用***审计日志中提取,包括用户ip、应用***用户ip、操作菜单名称、端口、访问途径、时间戳信息,从数据库审计日志中提取应用***ip、数据库ip、数据库操作类型、返回结果、SQL语句信息,以应用***ip为衔接点,将web访问过程中两个阶段的操作信息组合起来,形成一条完整的行为活动记录b;
应用***用户aui第j次的行为活动记录bj表示为(aui,bj)=(auip,sysip,menu,portj,howj,dbip,opj,resultj,sqlj,timej),其中,auip为应用***用户ip,sysip为应用***ip,menu为操作菜单名称信息、port为端口信息、how为访问途径、dbip为数据库ip,op为数据库操作类型、result为返回结果信息、sql为SQL语句信息,time为时间戳,应用***用户aui的一系列web访问行为形成应用***用户aui的行为活动记录组(aui,B)=((aui,b1)…(aui,bj)…(aui,bn))。
优选地,步骤3中建立的用户正常行为活动模式包括以下几类:
模式1:基于单位时间访问频率的行为活动模式
在单位时间内,采用动态规划算法,在应用***用户aui的行为活动记录组中,统计(aui,B)中具有相同sysip的(aui,bj)的数量,从而得到应用***用户aui在单位时间内应用***sysip的最大频次,形成访问频率的行为活动模式B1
(aui,B1)=(auip,sysip,count)
(aui,B1)的行为活动模式表示应用***用户aui在单位时间范围内对应用***sysip的最大访问次数不高于count次;
模式2:基于时间段的访问模式
在应用***用户aui的行为活动记录组中,抽取(aui,B)中time相同中的行为活动序列,然后将sysip,menu,dbip信息进行聚合分析,挖掘用户aui在每天、每月、每年同时段的访问行为习惯,形成行为活动模式B2
(aui,B2)=(auip,sysip,menu,dbip,time)
(aui,B2)的行为活动模式表示应用***用户aui在日常time段,访问应用***sysip以及数据库dbip的menu菜单;
模式3:基于访问途径的行为活动模式
表示访问应用***的途径和方式,即应用***用户aui只能通过合法访问方式来访问应用***sysip,在历史数据中,统计分析用户访问***的途径和方式,形成行为活动模式B3,应用***用户通过超链接访问一***,则:
(aui,B3)=(aui,sysip,how)
(aui,B3)的行为活动模式即表示应用***用户aui只能通过规定的how的手段访问应用***sysip
模式4:基于访问内容的行为活动模式
用户aui对应用***sysip内容的操作行为,包括文件上传、下载、增、删、改、查,形成行为行为活动模式B4
(aui,B4)=(aui,sysip,op,SQL,result)
(aui,B4)的行为活动模式即表示应用***用户aui只能在应用***sysip中进行op的操作;
模式5:基于活动序列的行为活动模式
用户aui对应用***sysip访问的行为活动序列,形成行为活动模式B5
(aui,B5)=(aui,sysip,(how1…howm…hown),(op1,…opm…opt))
(aui,B5)的行为活动模式即表示应用***用户aui通过how1到howm一系列的方式以及从op1到opt一系列的操作访问应用***sysip,n、t为整数。
优选地,步骤4中,获取当前应用***用户aui的行为活动记录(aui,B)与用户aui正常行为模式(aui,B1)、(aui,B2)、(aui,B3)、(aui,B4)、(aui,B5)中的属性信息进行一一对比分析,如果符合用户正常行为活动模式,则判定为正常行为,否则预判为可疑行为模式,即“灰模式”行为活动,转入步骤5,对“灰模式”的用户行为活动进行逆向分析。
优选地,步骤5中,对可疑的用户行为活动进行逆向追踪和分析,一一对比用户aui的行为活动记录(aui,bj)中各属性信息与用户异常行为活动库中的信息,如果在操作类型、访问内容、访问途径、访问方式方面的任一信息一致,则可判定用户行为活动为异常行为,转入步骤8,否则转入步骤6。
优选地,步骤6中,用户可疑行为二次判断采用如下方式:在用户集合AU中找出与aui具有相同权限和角色的用户auj’(j’=1,2…n且j’!=i),将用户aui的行为活动记录组(aui,Bi)与auj’的行为活动记录组(auj’,Bj’)逐一对比,如果在访问路径、访问内容、访问***名称任一内容上相同,或者访问频次不高于所有具有相同权限和角色的用户au中的频次时,则按照auj’的行为对aui的行为进行定性,确定为正常访问行为,进入步骤7,如果均不符合,则判定为异常行为,转入步骤8。
(三)有益效果
本发明通过构建实体用户与应用***用户的映射关系,形成统一的用户身份管理,为异常行为定位到个人提供基础。同时,搜集用户在网络中的行为活动信息,形成完整的用户行为活动记录,并根据历史数据进行统计分析,形成四类用户日常行为模式,即用户行为活动“白模式”。依据用户行为活动“白模式”中的信息,实时分析用户行为和模式,实时研判用户行为是否属于异常行为。对不确定的用户行为活动,进行逆向用户行为分析和判断,通过深度分析线索,并结合与该用户具有相同角色和权限的用户的行为模式的对比分析结果,实现对用户行为的监测以及高危用户行为评估,从而发现数据渗透、APT攻击等行为。同时,采用基于LRU的方法更新用户的行为活动行为模式库,确保用户正常行为模式库的及时更新。
附图说明
图1为本发明的方法流程图;
图2为Web网页浏览访问过程示意图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
参考图1,本发明提供的一种基于用户群网络行为的安全分析方法包括以下步骤:
步骤1:实体用户与应用***用户关系映射。在办公***或者业务***中,一个实体用户可对应多个应用***用户,如,实体用户A在财务***中对应的应用***用户为a1,在邮件***中的对应的应用***用户为a2。实体用户集用EU表示,EU={(eu1,id1),…(eui,idi),…(eun,idn)},eui为实体用户i的用户名,idi为实体用户i的唯一身份标识号,应用***用户集用AU表示,AU={au1,…aui,…aun},aui为应用***用户i的用户名。实体用户与应用***用户的映射关系通过统计学习的方式进行自动映射,即应用***用户访问一次应用***,记录应用***用户访问***时的应用用户名和id,id由ip地址、电子钥匙、指纹、指静脉、虹膜、视网膜等表示。实体用户与应用***用户的映射关系表示为:
F(EU,AU)={(EU,AU)|EU(idi,eui)=AU(idi,auj)}
步骤2:用户行为活动记录生成。Web网页浏览访问的一般过程分为两个阶段,第一阶段为实体用户通过浏览器访问应用***;第二阶段为应用***连接数据库进行数据的增、删、改、查等。如图2所示。
通过网络数据抓取装置,获取用户在网络或者***中的操作行为信息。根据应用***用户aui在网络或***中的行为,建立应用***用户aui的正常行为活动模式。应用***访问行为数据从应用***审计日志中提取,包括用户ip、应用***用户ip、操作菜单名称、端口、访问途径、时间戳等信息,从数据库审计日志中提取应用***ip、数据库ip、数据库操作类型、返回结果、SQL语句等信息,以应用***ip为衔接点,将web访问过程中两个阶段的操作信息组合起来,形成一条完整的行为活动记录b。
应用***用户aui第j次的行为活动记录bj表示为(aui,bj)=(auip,sysip,menu,portj,howj,dbip,opj,resultj,sqlj,timej)。其中,auip为应用***用户ip,sysip为应用***ip,menu为操作菜单名称信息、port为端口信息、how为访问途径、dbip为数据库ip,op为数据库操作类型、result为返回结果信息、sql为SQL语句信息,time为时间戳。应用***用户aui的一系列web访问行为形成了应用***用户aui的行为活动记录组(aui,B)=((aui,b1)…(aui,bj)…(aui,bn))。
步骤3:用户行为活动模式建立。采用基于访问频率、时间、访问途径、访问内容的统计分析方法建立用户正常行为活动模式,形成用户行为活动基线库。建立的用户正常行为活动模式包括以下几类:
模式1:基于单位时间访问频率的行为活动模式。在单位时间内,采用动态规划算法,在应用***用户aui的行为活动记录组中,统计(aui,B)中具有相同sysip的(aui,bj)的数量,从而得到应用***用户aui在单位时间内应用***sysip的最大频次,形成访问频率的行为活动模式B1
(aui,B1)=(auip,sysip,count)
(aui,B1)的行为活动模式表示应用***用户aui在单位时间范围内对应用***sysip的最大访问次数不高于count次。
模式2:基于时间段的访问模式。在应用***用户aui的行为活动记录组中,抽取(aui,B)中time相同中的行为活动序列,然后将sysip,menu,dbip信息进行聚合分析,挖掘用户aui在每天、每月、每年同时段的访问行为习惯,形成行为活动模式B2
(aui,B2)=(auip,sysip,menu,dbip,time)
(aui,B2)的行为活动模式表示应用***用户aui在日常time段,访问应用***sysip以及数据库dbip的menu菜单。
模式3:基于访问途径的行为活动模式。表示访问应用***的途径和方式。即应用***用户aui只能通过合法访问方式来访问应用***sysip。在历史数据中,统计分析用户访问***的途径和方式,形成行为活动模式B3,如,应用***用户通过超链接访问某***:
(aui,B3)=(aui,sysip,how)
(aui,B3)的行为活动模式即表示应用***用户aui只能通过规定的how的手段访问应用***sysip
模式4:基于访问内容的行为活动模式。用户aui对应用***sysip内容的操作行为,包括文件上传、下载、增、删、改、查等。形成行为行为活动模式B4
(aui,B4)=(aui,sysip,op,SQL,result)
(aui,B4)的行为活动模式即表示应用***用户aui只能在应用***sysip中进行op的操作。
模式5:基于活动序列的行为活动模式。用户aui对应用***sysip访问的行为活动序列。形成行为活动模式B5
(aui,B5)=(aui,sysip,(how1…howm…hown),(op1,…opm…opt))
(aui,B5)的行为活动模式即表示应用***用户aui通过how1到howm一系列的方式以及从op1到opt一系列的操作访问应用***sysip,n、t为整数。
步骤4:用户行为活动初次判断。获取当前应用***用户aui的行为活动记录(aui,B)与用户aui正常行为模式(aui,B1)、(aui,B2)、(aui,B3)、(aui,B4)、(aui,B5)中的属性信息进行一一对比分析,如果符合用户正常行为活动模式,则判定为正常行为,否则预判为可疑行为模式,即“灰模式”行为活动,转入步骤5,对“灰模式”的用户行为活动进行逆向分析。
步骤5:用户行为活动逆向分析。对可疑的用户行为活动进行逆向追踪和分析,一一对比用户aui的行为活动记录(aui,bj)中各属性信息与用户异常行为活动库中的信息,如果在操作类型、访问内容、访问途径、访问方式等方面的任一信息一致,则可判定用户行为活动为“黑模式”,转入步骤8,否则转入步骤6。
步骤6:可疑行为二次判断。用户可疑行为二次判断可采用如下方式:在用户集合AU中找出与aui具有相同权限和角色的用户auj’(j’=1,2…n且j’!=i),将用户aui的行为活动记录组(aui,Bi)与auj’的行为活动记录组(auj’,Bj’)逐一对比,如果在访问路径、访问内容、访问***名称等任一内容上相同,或者访问频次不高于所有具有相同权限和角色的用户au中的频次时,则按照auj’的行为对aui的行为进行定性,确定为正常访问行为,进入步骤7,如果均不符合,则判定为异常行为,转入步骤8。
步骤7:采用基于LRU的方法动态更新用户行为活动基线库。基于步骤3中的四种行为模式,采用LRU的方式,对用户行为活动基线库进行更新,形成最新的用户行为活动基线库。
步骤8:产生告警。判断用户行为为异常行为时,产生告警,并通过步骤1中F(EU,AU)的对应关系,直接定位到实体用户AU的违规行为,同时,启动告警处置装备,对告警信息进行处理,并更新用户异常行为活动库。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (7)

1.一种基于用户群行为活动的安全分析方法,其特征在于,包括以下步骤:
步骤1:将网络或者***中的应用***用户与实体用户进行一一关联和映射;
步骤2:通过搜集用户在网络或***中的行为活动数据,提取用于用户行为活动分析的属性信息,形成用户网络行为活动记录;
步骤3:根据用户网络行为活动记录,从访问频率、时间、访问途径、访问内容的维度,建立用户正常行为活动模式,形成用户行为活动基线库;
步骤4:用户行为活动初次判断:将用户的实时行为活动与用户行为活动基线库中的用户正常行为活动模式对比,判断当前用户行为的模式,如果符合用户正常行为活动模式,则判定为正常行为,否则预判为可疑行为模式,转入步骤5;
步骤5:用户行为逆向追踪:对预判为可疑行为模式的用户行为进行逆向追踪和分析,明确用户行为环节中各个节点状况,若判定用户行为活动为异常行为,则转入步骤8,否则转入步骤6;
步骤6:可疑行为二次判断:通过将可疑行为模式的行为活动与其他相同角色的用户行为活动进行对比分析,判断被分析的用户行为活动的是正常行为还是异常行为,若判定为异常行为,则进入步骤8,否则进入步骤7;
步骤7:根据步骤6的二次判断结果,采用LRU的方式更新用户行为活动基线库;
步骤8:根据对用户行为二次判断的结果,对异常行为进行告警,并更新异常行为库;
步骤1具体为:
在办公***或者业务***中,将一个实体用户对应多个应用***用户,实体用户集用EU表示,EU={(eu1,id1),…(eui,idi),…(eun,idn)},eui为实体用户i的用户名,idi为实体用户i的唯一身份标识号,应用***用户集用AU表示,AU={au1,…aui,…aun},aui为应用***用户i的用户名,实体用户与应用***用户的映射关系通过统计学习的方式进行自动映射,即应用***用户访问一次应用***,记录应用***用户访问***时的应用用户名和id,id由ip地址、电子钥匙、指纹、指静脉、虹膜、视网膜之一表示,实体用户与应用***用户的映射关系表示为:
F(EU,AU)={(EU,AU)|EU(idi,eui)=AU(idi,auj)}。
2.如权利要求1所述的方法,其特征在于,步骤2中,将Web网页浏览访问的过程分为两个阶段,第一阶段为实体用户通过浏览器访问应用***;第二阶段为应用***连接数据库进行数据的增、删、改、查。
3.如权利要求1所述的方法,其特征在于,步骤2具体为:
通过网络数据抓取装置,获取用户在网络或者***中的操作行为信息,根据应用***用户aui在网络或***中的行为,建立应用***用户aui的正常行为活动模式,应用***访问行为数据从应用***审计日志中提取,包括用户ip、应用***用户ip、操作菜单名称、端口、访问途径、时间戳信息,从数据库审计日志中提取应用***ip、数据库ip、数据库操作类型、返回结果、SQL语句信息,以应用***ip为衔接点,将web访问过程中两个阶段的操作信息组合起来,形成一条完整的行为活动记录b;
应用***用户aui第j次的行为活动记录bj表示为(aui,bj)=(auip,sysip,menu,portj,howj,dbip,opj,resultj,sqlj,timej),其中,auip为应用***用户ip,sysip为应用***ip,menu为操作菜单名称信息、port为端口信息、how为访问途径、dbip为数据库ip,op为数据库操作类型、result为返回结果信息、sql为SQL语句信息,time为时间戳,应用***用户aui的一系列web访问行为形成应用***用户aui的行为活动记录组(aui,B)=((aui,b1)…(aui,bj)…(aui,bn))。
4.如权利要求3所述的方法,其特征在于,步骤3中建立的用户正常行为活动模式包括以下几类:
模式1:基于单位时间访问频率的行为活动模式
在单位时间内,采用动态规划算法,在应用***用户aui的行为活动记录组中,统计(aui,B)中具有相同sysip的(aui,bj)的数量,从而得到应用***用户aui在单位时间内应用***sysip的最大频次,形成访问频率的行为活动模式B1
(aui,B1)=(auip,sysip,count)
(aui,B1)的行为活动模式表示应用***用户aui在单位时间范围内对应用***sysip的最大访问次数不高于count次;
模式2:基于时间段的访问模式
在应用***用户aui的行为活动记录组中,抽取(aui,B)中time相同中的行为活动序列,然后将sysip,menu,dbip信息进行聚合分析,挖掘用户aui在每天、每月、每年同时段的访问行为习惯,形成行为活动模式B2
(aui,B2)=(auip,sysip,menu,dbip,time)
(aui,B2)的行为活动模式表示应用***用户aui在日常time段,访问应用***sysip以及数据库dbip的menu菜单;
模式3:基于访问途径的行为活动模式
表示访问应用***的途径和方式,即应用***用户aui只能通过合法访问方式来访问应用***sysip,在历史数据中,统计分析用户访问***的途径和方式,形成行为活动模式B3,应用***用户通过超链接访问一***,则:
(aui,B3)=(aui,sysip,how)
(aui,B3)的行为活动模式即表示应用***用户aui只能通过规定的how的手段访问应用***sysip
模式4:基于访问内容的行为活动模式
用户aui对应用***sysip内容的操作行为,包括文件上传、下载、增、删、改、查,形成行为行为活动模式B4
(aui,B4)=(aui,sysip,op,SQL,result)
(aui,B4)的行为活动模式即表示应用***用户aui只能在应用***sysip中进行op的操作;
模式5:基于活动序列的行为活动模式
用户aui对应用***sysip访问的行为活动序列,形成行为活动模式B5
(aui,B5)=(aui,sysip,(how1…howm…hown),(op1,…opm…opt))
(aui,B5)的行为活动模式即表示应用***用户aui通过how1到howm一系列的方式以及从op1到opt一系列的操作访问应用***sysip,n、t为整数。
5.如权利要求4所述的方法,其特征在于,步骤4中,获取当前应用***用户aui的行为活动记录(aui,B)与用户aui正常行为模式(aui,B1)、(aui,B2)、(aui,B3)、(aui,B4)、(aui,B5)中的属性信息进行一一对比分析,如果符合用户正常行为活动模式,则判定为正常行为,否则预判为可疑行为模式,即“灰模式”行为活动,转入步骤5,对“灰模式”的用户行为活动进行逆向分析。
6.如权利要求5所述的方法,其特征在于,步骤5中,对可疑的用户行为活动进行逆向追踪和分析,一一对比用户aui的行为活动记录(aui,bj)中各属性信息与用户异常行为活动库中的信息,如果在操作类型、访问内容、访问途径、访问方式方面的任一信息一致,则可判定用户行为活动为异常行为,转入步骤8,否则转入步骤6。
7.如权利要求6所述的方法,其特征在于,步骤6中,用户可疑行为二次判断采用如下方式:在用户集合AU中找出与aui具有相同权限和角色的用户auj’(j’=1,2…n且j’!=i),将用户aui的行为活动记录组(aui,Bi)与auj’的行为活动记录组(auj’,Bj’)逐一对比,如果在访问路径、访问内容、访问***名称任一内容上相同,或者访问频次不高于所有具有相同权限和角色的用户au中的频次时,则按照auj’的行为对aui的行为进行定性,确定为正常访问行为,进入步骤7,如果均不符合,则判定为异常行为,转入步骤8。
CN201811120889.1A 2018-09-26 2018-09-26 一种基于用户群行为活动的安全分析方法 Active CN109347808B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811120889.1A CN109347808B (zh) 2018-09-26 2018-09-26 一种基于用户群行为活动的安全分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811120889.1A CN109347808B (zh) 2018-09-26 2018-09-26 一种基于用户群行为活动的安全分析方法

Publications (2)

Publication Number Publication Date
CN109347808A CN109347808A (zh) 2019-02-15
CN109347808B true CN109347808B (zh) 2021-02-12

Family

ID=65306411

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811120889.1A Active CN109347808B (zh) 2018-09-26 2018-09-26 一种基于用户群行为活动的安全分析方法

Country Status (1)

Country Link
CN (1) CN109347808B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11601442B2 (en) 2018-08-17 2023-03-07 The Research Foundation For The State University Of New York System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy
CN109905411B (zh) * 2019-04-25 2021-11-16 北京腾云天下科技有限公司 一种异常用户识别方法、装置和计算设备
CN112800101A (zh) * 2019-11-13 2021-05-14 中国信托登记有限责任公司 一种基于FP-growth算法异常行为检测方法及应用该方法的模型
CN112631856B (zh) * 2020-12-17 2022-04-29 西安电子科技大学 一种意图驱动6g网络智能运维方法、***、设备及应用
CN114882974B (zh) * 2022-05-27 2023-04-18 江苏智慧智能软件科技有限公司 一种心理诊断数据库访问人工智能验证***及方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101359352A (zh) * 2008-09-25 2009-02-04 中国人民解放军信息工程大学 分层协同的混淆后api调用行为发现及其恶意性判定方法
CN106161098A (zh) * 2016-07-21 2016-11-23 四川无声信息技术有限公司 一种网络行为检测方法及装置
US9563782B1 (en) * 2015-04-10 2017-02-07 Dell Software Inc. Systems and methods of secure self-service access to content
CN106888196A (zh) * 2015-12-16 2017-06-23 国家电网公司 一种未知威胁检测的协同防御***
CN107402957A (zh) * 2017-06-09 2017-11-28 全球能源互联网研究院 用户行为模式库的构建及用户行为异常检测方法、***
CN107579956A (zh) * 2017-08-07 2018-01-12 北京奇安信科技有限公司 一种用户行为的检测方法和装置
CN108063768A (zh) * 2017-12-26 2018-05-22 河南信息安全研究院有限公司 基于网络基因技术的网络恶意行为识别方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101359352A (zh) * 2008-09-25 2009-02-04 中国人民解放军信息工程大学 分层协同的混淆后api调用行为发现及其恶意性判定方法
US9563782B1 (en) * 2015-04-10 2017-02-07 Dell Software Inc. Systems and methods of secure self-service access to content
CN106888196A (zh) * 2015-12-16 2017-06-23 国家电网公司 一种未知威胁检测的协同防御***
CN106161098A (zh) * 2016-07-21 2016-11-23 四川无声信息技术有限公司 一种网络行为检测方法及装置
CN107402957A (zh) * 2017-06-09 2017-11-28 全球能源互联网研究院 用户行为模式库的构建及用户行为异常检测方法、***
CN107579956A (zh) * 2017-08-07 2018-01-12 北京奇安信科技有限公司 一种用户行为的检测方法和装置
CN108063768A (zh) * 2017-12-26 2018-05-22 河南信息安全研究院有限公司 基于网络基因技术的网络恶意行为识别方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
用户行为数据分析下的信息推送***的设计;沈军彩;《现代电子技术》;20170901;全文 *

Also Published As

Publication number Publication date
CN109347808A (zh) 2019-02-15

Similar Documents

Publication Publication Date Title
CN109347808B (zh) 一种基于用户群行为活动的安全分析方法
US10686829B2 (en) Identifying changes in use of user credentials
US11049056B2 (en) Discovery of sensitive data location in data sources using business/enterprise application data flows
US20170104756A1 (en) Detection, protection and transparent encryption/tokenization/masking/redaction/blocking of sensitive data and transactions in web and enterprise applications
CN103026345B (zh) 用于事件监测优先级的动态多维模式
CN109842628A (zh) 一种异常行为检测方法及装置
CN111953697B (zh) 一种apt攻击识别及防御方法
US10505986B1 (en) Sensor based rules for responding to malicious activity
CN114915479B (zh) 一种基于Web日志的Web攻击阶段分析方法及***
CN114003903B (zh) 一种网络攻击追踪溯源方法及装置
CN107409134A (zh) 法证分析
Ben Salem et al. Masquerade attack detection using a search-behavior modeling approach
Garcia et al. Web attack detection using ID3
CN113032824B (zh) 基于数据库流量日志的低频数据泄漏检测方法及***
CN110865866A (zh) 一种基于自省技术的虚拟机安全检测方法
CN113918938A (zh) 一种持续免疫安全***的用户实体行为分析方法及***
RU180789U1 (ru) Устройство аудита информационной безопасности в автоматизированных системах
CN117454376A (zh) 工业互联网数据安全检测响应与溯源方法及装置
CN114500122B (zh) 一种基于多源数据融合的特定网络行为分析方法和***
CN104143064A (zh) 基于数据库活动与Web访问关联性分析的网站数据安全***
CN113923037B (zh) 一种基于可信计算的异常检测优化装置、方法及***
Seo et al. A system for improving data leakage detection based on association relationship between data leakage patterns
Bo et al. Tom: A threat operating model for early warning of cyber security threats
Mihailescu et al. Unveiling Threats: Leveraging User Behavior Analysis for Enhanced Cybersecurity
CN111212039A (zh) 基于dns流量的主机挖矿行为检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant