CN111784404A - 一种基于行为变量预测的异常资产识别方法 - Google Patents

Abstract

本发明提出了一种基于行为变量预测的异常资产识别方法，通过提取资产不同时刻全状态特征，并使用PAC降维技术从特征向量组生成降维矩阵T，然后分析形成资产特定时刻画像，对比分析不同时刻资产画像的不同，选取这些不同画像的差异进行分析，然后采用时序加权平均算法进行置信区间计算，生成资产时序预测画像，从而识别突变行为，发现异常资产。本发明基于全面的多维特征实现了对突变行为的识别，将动态的资产状态关联起来，减少了漏报和误报的情况，并实现了随着时间监测越发精准。

Description

一种基于行为变量预测的异常资产识别方法

技术领域

本发明属于计算机网络安全领域，具体地说，涉及一种基于行为变量的异常资产识别方法。

背景技术

异常资产是网络安全领域的专业术语，其意义表示为资产遭受网络攻击后，未能成功进行安全防护，对资产造成了影响，如服务质量下降、权限利用等，攻击者的进一步攻击可能利用资产进行跳板操作或者拉取数据等，是网络处于高度危险状态的一种预警。异常的成因复杂，常见的攻击有恶意文件、Webshell、SQL注入等；由于网络攻击手段多样化、0day漏洞层出不穷，使用传统规则匹配的方式难以对全部攻击方法进行枚举验证，因此基于规则告警计算的异常资产识别难以全面、准确的判断资产状态，特别是对于一些0day漏洞利用攻击、未知威胁往往束手无策。

在网络安全领域，资产状态变化可以作为安全评估的重要指标，使用传统规则匹配的方式难以对全部攻击方法进行枚举验证，因此基于规则告警计算的异常资产识别难以全面、准确的判断资产状态，特别是对于一些0day漏洞利用攻击、未知威胁往往束手无策。现有的异常资产识别方法主要是通过一些单一维度的特征，如流量超出阈值、主动外连、不常见的端口开放、网络攻击告警等。然而资产的状态是动态变化的，流量行为的变化往往是由于正常业务变化引起的；异常行为特征常常隐藏在大量正常行为之中，这样的识别方式往往造成大量误报的产生。而基于网络告警的资产异常受限于安全厂商和知识库和安全设备的规则库，难以对新型攻击行为或高级持续威胁产生效果，导致大量漏报的产生；同时基于规则的安全检测也极易产生误报。

发明内容

本发明针对现有技术识别不全面，针对动态的资产状态容易产生误报和漏报等问题，提出了一种基于行为变量预测的异常资产识别方法，通过对多维度的特征向量组进行降维处理得到降维矩阵，并通过降维矩阵获得资产行为画像组，对比分析不同时刻的资产行为画像，基于全面的多维特征实现了对突变行为的识别，将动态的资产状态关联起来，减少了漏报和误报的情况，并可以随着时间越发精准。

本发明具有实现内容如下：

本发明提出了一种基于行为变量预测的异常资产识别方法，收集被监测资产正常状态下的时序连续状态样本，得到m个资产状态特征；并生成被监测资产一天内的维度为m的特征向量组；通过PAC降维技术使特征向量组生成降维矩阵T，再通过降维矩阵T和特征向量组得到资产行为画像组，并进一步得到不同时刻对应的资产行为变量K，并生成随着时间变化而变化的资产状态评估函数G(t)。

为了更好地实现本发明，进一步地，所述特征向量组具体的生成步骤为：

步骤一：首先提取初始时刻t₀时的资产状态特征向量V₀，所述资产状态特征向量V₀包括t₀时刻的m个资产状态特征；

步骤二：以一分钟为间隔，提取t₁时刻的资产状态特征向量V₁；

步骤三：重复步骤二的操作1438次，依次得到t₁时刻后的1438个时刻分别的资产状态特征向量V₂、资产状态特征向量V₃、……、资产状态特征向量V₁₄₃₉；

步骤四：整合t₀时刻到t₁₄₃₉时刻的资产状态特征V_i，得到维度为m的特征向量组；下标i＝0、1、2、……、1439。

为了更好地实现本发明，进一步地，所述资产行为画像组具体的生成步骤为：

步骤五：将降维矩阵T与t₀时刻资产状态特征向量V₀相乘得到t₀时刻的资产行为画像H₀；

步骤六：对t₀时刻之后的1439个时刻的资产状态特征向量V_i同样依次进行与降维矩阵T相乘的操作，得到资产行为画像H₁、资产行为画像H₂、……、资产行为画像H₁₄₃₉；

步骤七：整合t₀-t₁₄₃₉时刻所有的资产行为画像H_i，得到资产行为画像组，其中下标i＝0、1、2、……、1439。

为了更好地实现本发明，进一步地，所述资产行为变量K_n的具体计算方法为：将t_n时刻的资产行为画像H_n与t_n-1时刻的资产行为画像H_n-1进行内积，得到t_n时刻的资产行为变量K_n，其中，下标n＝1、2、3、4、……、1439。

为了更好地实现本发明，进一步地，通过资产行为变量K_n，采用加权平均算法，加强近期的资产行为变化的权重，计算得到t_n时刻的行为变量预测基准值M_n，其中，下标n＝1、2、3、…、1439。

为了更好地实现本发明，进一步地，将t₁-t₁₄₃₉时刻的行为变量预测基准值加和后再取平均，得到预测误差可信区间B。

为了更好地实现本发明，进一步地，所述资产状态评估函数G(t)的具体计算方法为：首先求得当前t时刻之前的一个时刻的行为变量预测基准值M_t-1的权重A，然后求得预测误差可信区间B的权重C，将行为变量预测基准值M_t-1与权重A的乘积、预测误差可信区间B与权重C的乘积加和后再计算绝对值得到当前t时刻的资产状态评估函数G(t)；所述权重

所述权重

其中，p为当前t时刻与起始预测时刻之间的差值。

为了更好地实现本发明，进一步地，根据被监测资产的起始预测时刻与当前t时刻差值的不同，设置不同的触发器识别触发函数f(t)，当触发器识别触发函数f(t)的值为1时，被监测资产处于异常状态；当触发器识别触发函数f(t)的值为0时，被监测资产处于正常状态。

为了更好地实现本发明，进一步地，当差值p大于2时：

若当前t时刻的资产状态评估函数G(t)的值大于t时刻的资产行为变量K_t，则触发器识别触发函数f(t)的值为0；

若当前t时刻的资产状态评估函数G(t)的值小于t时刻的资产行为变量K_t，则触发器识别触发函数f(t)的值为1。

为了更好地实现本发明，进一步地，当差值p小于或等于2时：

若当前t时刻之前的一个时刻的行为变量预测基准值M_t-1与预测误差可信区间B的平均值的绝对值大于t时刻的资产行为变量K_t，则触发器识别触发函数f(t)的值为0；

若当前t时刻之前的一个时刻的行为变量预测基准值M_t-1与预测误差可信区间B的平均值的绝对值小于t时刻的资产行为变量K_t，则触发器识别触发函数f(t)的值为1。

本发明与现有技术相比具有以下优点及有益效果：

(1)无需根据安全设备告警进行资产异常判断，降低安全设备误报和漏报的影响

(2)对资产多维度特征进行行为分析，避免单纯检测端口、外连等行为评价造成的误报影响，触发函数可随着样本的不停学习和自动调参，兼顾资产动态变化和初始健康状态，使识别装置器越来越精准；

(3)方法能够精准、高效、智能地对实时发生的未知威胁行为进行检测。

附图说明

图1为本发明具体流程示意图；

图2为资产行为变量生成触发器识别触发函数f(t)并进行异常检测的流程示意图。

具体实施方式

为了更清楚地说明本发明实施例的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，应当理解，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例，因此不应被看作是对保护范围的限定。基于本发明中的实施例，本领域普通技术工作人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1：

本发明提出了一种基于行为变量预测的异常资产识别方法，如图1、图2所示，首先收集正常状态下特定资产的时序连续状态样本；

然后定义资产状态特征：资产状态特征包括流入字节数(每分钟)、流出字节数(每分钟)、开放端口数、进程数、安装软件数、内存使用率、磁盘使用率、CPU使用率、对外访问次数、被访问次数、被访问成功率、域名解析失败数、木马病毒数等m个特征；

提取初始时刻t₀资产状态特征向量V₀＝{V₀₁、V₀₂、V₀₃、……、V_0m}，以一分钟为间隔，提取一天24小时内时刻t₀-t₁₄₃₉所有的资产状态特征向量V_i，V₀到V_i的集合即为特征向量组；

然后计算出1440个资产特征状态向量的均值u，V_i-u为标准化后的样本，计算V2＝V×VT得到协方差矩阵U，将协方差矩阵U进行特征值分解，[U,S,V]＝EIG(V2)，提取矩阵U中的前k列，得到降维矩阵T；

对t₀时刻之后的1439个时刻的资产状态特征向量V_i同样依次进行与降维矩阵T相乘的操作，得到资产行为画像H₁、资产行为画像H₂、……、资产行为画像H₁₄₃₉；

整合t₀-t₁₄₃₉时刻所有的资产行为画像H_i，得到资产行为画像组，其中下标i＝0、1、2、……、1439；

将t_n时刻的资产行为画像H_n与t_n-1时刻的资产行为画像H_n-1进行内积，得到t_n时刻的资产行为变量K_n，其中，下标n＝1、2、3、4、……、1439；

将t₁-t₁₄₃₉时刻的行为变量预测基准值加和后再取平均，得到预测误差可信区间B。

工作原理：通过上述操作，采取一天的时间对被监测资产进行特征取样，可以预先计算出预测误差可信区间B，然后将预测误差可信区间B用于后续识别的初始模型；一天为24小时，共1440分钟，故分了0-1439时刻；通过加权算法可以加强近期资质行为变化的权重，随着时间的变化，时间越久以前的特征变化对预测的影响就越弱。

实施例2：

本发明在上述实施例1的基础上，如图2所示，在预先计算出了预测误差可信区间B后，在实际的监测评估中，首先需要计算出资产状态评估函数G(t)，所述资产状态评估函数G(t)的具体计算方法为：首先求得当前t时刻之前的一个时刻的行为变量预测基准值M_t-1的权重A，然后求得预测误差可信区间B的权重C，将行为变量预测基准值M_t-1与权重A的乘积、预测误差可信区间B与权重C的乘积加和后再计算绝对值得到当前t时刻的资产状态评估函数G(t)；所述权重

所述权重

其中，p为当前t时刻与起始预测时刻之间的差值，用公式表达为：

在计算了资产状态评估函数G(t)后，再根据被监测资产的起始预测时刻与当前t时刻差值的不同，设置不同的触发器识别触发函数f(t)，为了更好地实现本发明，进一步地，当差值p大于2时：

若当前t时刻的资产状态评估函数G(t)的值大于t时刻的资产行为变量K_t，则触发器识别触发函数f(t)的值为0；

若当前t时刻的资产状态评估函数G(t)的值小于t时刻的资产行为变量K_t，则触发器识别触发函数f(t)的值为1。

为了更好地实现本发明，进一步地，当差值p小于或等于2时：

若当前t时刻之前的一个时刻的行为变量预测基准值M_t-1与预测误差可信区间B的平均值的绝对值大于t时刻的资产行为变量K_t，则触发器识别触发函数f(t)的值为0；

若当前t时刻之前的一个时刻的行为变量预测基准值M_t-1与预测误差可信区间B的平均值的绝对值小于t时刻的资产行为变量K_t，则触发器识别触发函数f(t)的值为1。

当触发器识别触发函数f(t)的值为1时，被监测资产处于异常状态；当触发器识别触发函数f(t)的值为0时，被监测资产处于正常状态。具体公式表达如下：

当p大于2时：

当p小于或等于2时：

工作原理：由于资产状态是不断变化的，初始训练数据的影响将逐渐减弱，因此充分考虑时间变化，即t值增长对资产状态的影响，随t的增长加强近期行为变量预测基准值M_t-1的影响，削弱初始训练数据预测误差可信区间B的影响；考虑特殊状态下B的影响，设计不同的触发器识别触发函数，为方便并降低运算资源，t取整数，每分钟计算一次。

本实施例的其他部分与上述实施例1相同，故不再赘述。

实施例3：

本发明在上述实施例1-2任一项的基础上，给出PAC降维并生成资产行为画像组的具体实施举例，包括以下步骤：

步骤A1：采用流量采集设备，采集资产流量特征，主要包括——进出流量比(每分钟)、开放端口数、对外访问次数、被访问次数、被访问成功率、域名解析失败数、访问失败数等

步骤A2：采用终端检测设备，采集资产内部行为特征，主要包括——安装软件数、内存使用率、磁盘使用率、CPU使用率、木马病毒数、漏洞数量、后门数量等

步骤A3:计算初始时刻t₀资产状态特征向量V₀＝{V₀₁、V₀₂、V₀₃、……、V_0m}；

步骤A4：以1分钟为时间刻度，计算t₁时刻资产状态特征向量V₁＝{V₁₁、V₁₂、V₁₃、……、V_1m}；

步骤A5：统计计算上述特征数据，持续一小时，形成资产的行为特征向量组。

步骤B1：进行PCA降维分解,将样本进行均值标准化，令样本为Vi，1440个样本的均值为u，即Vi-u为标准化后的样本，计算V2＝V×VT得到协方差矩阵，将协方差矩阵进行特征值分解，[U,S,V]＝EIG(V2)，提取矩阵U中的前10列，得到降维矩阵T；

步骤B2:对之前的特征向量组进行再次计算，生成t₀时刻资产行为画像H₀＝T×V₀

步骤B3:循环B2操作60次，生成资产一小时内的资产行为画像组H₀，H₁,…H₆₀，部分结果如下表所示：

H<sub>0</sub>	2.3	7	10	0.9	1	8	0.2	0.3	0.1	7
											H<sub>1</sub>	3.1	9	8	1	0	8	0.2	0.3	0.2	7
H<sub>2</sub>	1.2	15	6	1	0	8	0.2	0.3	0.2	7
											H<sub>3</sub>	0.2	10	2	0.8	1	9	0.4	0.3	0.2	7
H<sub>4</sub>	0.1	20	3	0.7	0	9	0.2	0.3	0.2	7
											H<sub>5</sub>	1.3	17	6	1	0	9	0.2	0.4	0.2	8

表1：资产行为画像组(部分)

本实施例的其他部分与上述实施例1-2任一项相同，故不再赘述。

实施例4：

本发明在上述实施例1-3任一项的基础上，在实际操作时，采用触发器识别触发函数f(t)对实验资产进行计算判断，得到如下表二所示结果(部分)：

表二：触发器结果(部分)

结果分析f(4)，f(9)，f(20)代表的时刻，资产异常，通过结果对资产的日志进行分析验证，发现这三个时刻，存在暴力破解攻击行为，说明识别方法有效。

本实施例的其他部分与上述实施例1-3任一项相同，故不再赘述。

以上所述，仅是本发明的较佳实施例，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化，均落入本发明的保护范围之内。

Claims (10)

1.一种基于行为变量预测的异常资产识别方法，其特征在于，收集被监测资产正常状态下的时序连续状态样本，得到m个资产状态特征；并生成被监测资产一天内的维度为m的特征向量组；通过PAC降维技术使特征向量组生成降维矩阵T，再通过降维矩阵T和特征向量组得到资产行为画像组，并进一步得到不同时刻对应的资产行为变量K，最后生成随着时间变化而变化的资产状态评估函数G(t)。

2.如权利要求1所述的一种基于行为变量预测的异常资产识别方法，其特征在于，所述特征向量组具体的生成步骤为：

步骤一：首先提取初始时刻t₀时的资产状态特征向量V₀，所述资产状态特征向量V₀包括t₀时刻的m个资产状态特征；

步骤二：以一分钟为间隔，提取t₁时刻的资产状态特征向量V₁；

步骤三：重复步骤二的操作1438次，依次得到t₁时刻后的1438个时刻分别的资产状态特征向量V₂、资产状态特征向量V₃、……、资产状态特征向量V₁₄₃₉；

步骤四：整合t₀时刻到t₁₄₃₉时刻的资产状态特征V_i，得到维度为m的特征向量组；下标i＝0、1、2、……、1439。

3.如权利要求2所述的一种基于行为变量预测的异常资产识别方法，其特征在于，所述资产行为画像组具体的生成步骤为：

步骤五：将降维矩阵T与t₀时刻资产状态特征向量V₀相乘得到t₀时刻的资产行为画像H₀；

步骤六：对t₀时刻之后的1439个时刻的资产状态特征向量V_i同样依次进行与降维矩阵T相乘的操作，得到资产行为画像H₁、资产行为画像H₂、……、资产行为画像H₁₄₃₉；

步骤七：整合t₀-t₁₄₃₉时刻所有的资产行为画像H_i，得到资产行为画像组，其中下标i＝0、1、2、……、1439。

4.如权利要求3所述的一种基于行为变量预测的异常资产识别方法，其特征在于，所述资产行为变量K_n的具体计算方法为：将t_n时刻的资产行为画像H_n与t_n-1时刻的资产行为画像H_n-1进行内积，得到t_n时刻的资产行为变量K_n，其中，下标n＝1、2、3、4、……、1439。

5.如权利要求4所述的一种基于行为变量预测的异常资产识别方法，其特征在于，通过资产行为变量K_n，采用加权平均算法，加强近期的资产行为变化的权重，计算得到t_n时刻的行为变量预测基准值M_n，其中，下标n＝1、2、3、…、1439。

6.如权利要求5所述的一种基于行为变量预测的异常资产识别方法，其特征在于，将t₁-t₁₄₃₉时刻的行为变量预测基准值加和后再取平均，得到预测误差可信区间B。

7.如权利要求要求6所述的一种基于行为变量预测的异常资产识别方法，其特征在于，所述资产状态评估函数G(t)的具体计算方法为：首先求得当前t时刻之前的一个时刻的行为变量预测基准值M_t-1的权重A，然后求得预测误差可信区间B的权重C，将行为变量预测基准值M_t-1与权重A的乘积、预测误差可信区间B与权重C的乘积加和后再计算绝对值得到当前t时刻的资产状态评估函数G(t)；所述权重

所述权重

其中，p为当前t时刻与起始预测时刻之间的差值。

8.如权利要求7所述的一种基于行为变量预测的异常资产识别方法，其特征在于，根据被监测资产的起始预测时刻与当前t时刻差值的不同，设置不同的触发器识别触发函数f(t)，当触发器识别触发函数f(t)的值为1时，被监测资产处于异常状态；当触发器识别触发函数f(t)的值为0时，被监测资产处于正常状态。

9.如权利要求8所述的一种基于行为变量预测的异常资产识别方法，其特征在于，当差值p大于2时：

若当前t时刻的资产状态评估函数G(t)的值大于t时刻的资产行为变量K_t，则触发器识别触发函数f(t)的值为0；

若当前t时刻的资产状态评估函数G(t)的值小于t时刻的资产行为变量K_t，则触发器识别触发函数f(t)的值为1。

10.如权利要求8所述的一种基于行为变量预测的异常资产识别方法，其特征在于，当差值p小于或等于2时：

若当前t时刻之前的一个时刻的行为变量预测基准值M_t-1与预测误差可信区间B的平均值的绝对值大于t时刻的资产行为变量K_t，则触发器识别触发函数f(t)的值为0；

若当前t时刻之前的一个时刻的行为变量预测基准值M_t-1与预测误差可信区间B的平均值的绝对值小于t时刻的资产行为变量K_t，则触发器识别触发函数f(t)的值为1。

Images