CN113326507B - 一种识别内网潜在威胁业务账号的方法及装置 - Google Patents
一种识别内网潜在威胁业务账号的方法及装置 Download PDFInfo
- Publication number
- CN113326507B CN113326507B CN202110598305.7A CN202110598305A CN113326507B CN 113326507 B CN113326507 B CN 113326507B CN 202110598305 A CN202110598305 A CN 202110598305A CN 113326507 B CN113326507 B CN 113326507B
- Authority
- CN
- China
- Prior art keywords
- service account
- tested
- log
- behavior
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种识别内网潜在威胁业务账号的方法及装置,所述方法包括:确定待测业务账号登录内网的业务资源***的登录行为日志;基于所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列;确定每个所述待测业务账号的登录行为时间序列的周期,并基于所述周期对所述待测业务账号的登录行为时间序列进行划分,以得到每个所述待测业务账号的子行为时间序列;计算所述待测业务账号的子行为时间序列间的相似度;基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号。本发明的方法能够快速有效,且准确地识别出内网中潜在威胁业务账号。
Description
技术领域
本发明实施例涉及内网业务审计领域,特别涉及一种识别内网潜在威胁业务账号的方法及装置。
背景技术
近年来,企业内网中的业务***发展十分迅速,尤其企业内网中存在的大量的网络设备、应用***,及对应的大量业务账号、管理账号,分别归属不同的部门人员进行维护管理,但繁多的账号及业务资源***,造成管理困难,管理成本较高,更多的带来安全问题:难以对账号行为进行有效的监督和审计。
目前比较行之有效的方案是在企业内部搭建集中管控平台(如统一安全管理平台、堡垒机、安全网关等),对企业内部的业务资源的账号、账号管理、账号授权进行统一管理及账号行为集中审计,保证在企业内部中能安全、方便的使用特定的业务资源(***)。
但即使在企业内部搭建集中管控平台统一管理账号及业务资源,也常存在以下的业务问题:
1.业务账号无法全部审计
在每个***资源内,不是所有的业务账号都在访问管控平台***内进行审计,例如,在内网环境中存在不经过管控直接发起对业务***服务请求资源的业务账号,此类业务账号常用于对业务资源的查询、更新等大量频繁操作,对于未在审计范围内的账号活动,带来的缺点一方面是未审计的业务账号的异常活动有可能是破坏性活动,此类业务账号都会对企业重要资产资源造成严重的破坏,尤其是涉及用户数据的企业;而另一方面是未审计的业务账号常见于完成入侵的恶意软件中,常见APT类型(高级可持续威胁攻击类型,也称为定向威胁攻击类型)包括隐秘窃取行为。
2.未审计业务账号的威胁行为研判效率低
对未审计的业务账号威胁行为的判定常见有两种:第一种是通过人为的筛选,业务人员需要对未审计的账号结合其历史行为进行一一验证,这样会增加人工审计的工作成本,工作效率低下,并且容易出错。第二种是需要依靠业务人员的已有经验提炼出规则,进而使用简单的计算公式设定阈值来进行检测,但是其缺点是准确率较低,容易漏报。若漏报的业务账号的行为不属于内网正常账号活动行为,则会对内网业务安全及数据安全造成严重威胁。
发明内容
本发明提供了一种能够有效且准确地识别出内网中潜在威胁业务账号的方法,及应用该方法的电子装置。
本发明实施例提供了一种识别内网潜在威胁业务账号的方法,包括:
确定待测业务账号登录内网的业务资源***的登录行为日志;
基于所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列;
确定每个所述待测业务账号的登录行为时间序列的周期,并基于所述周期对所述待测业务账号的登录行为时间序列进行划分,以得到每个所述待测业务账号的子行为时间序列;
计算所述待测业务账号的子行为时间序列间的相似度;
基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号。
可选地,所述待测业务账号为未经管控平台审计的业务账号,所述管控平台用于对向所述内网的业务资源***发起请求的业务账号进行安全审计;
所述确定待测业务账号登录内网的业务资源***的登录行为日志,包括:
自所述业务资源***的***日志中获得对应所述业务资源***的第一登录行为日志;
自所述管控平台中获得对应所述业务资源***的第二登录行为日志;
基于所述第一登录行为日志及第二登录行为日志确定未经审计的所述待测业务账号的登录行为日志。
可选地,所述第一登录行为日志及第二登录行为日志均包括业务账号、源IP地址及登录时间,其中,经过所述管控平台登录所述业务资源***的业务账号,其在所述第一登录行为日志及第二登录行为日志中的所述源IP地址相同;
所述基于所述第一登录行为日志及第二登录行为日志确定未经审计的所述待测业务账号的登录行为日志,包括:
滤除在所述第一登录行为日志及第二登录行为日志中对应同一业务账号的源IP地址相同,且登录时间相同的所述第一登录行为日志;
将剩余的所述第一登录行为日志确定为所述待测业务账号的登录行为日志。
可选地,所述待测业务账号的登录行为日志包括待测业务账号、源IP地址、登录时间;
所述基于所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列,包括:
设置满足时间序列的多个目标时间段;
基于所述待测业务账号的登录行为日志确定在每个所述目标时间段内对应同一所述待测业务账号及源IP地址的登录次数;
基于每个所述待测业务账号及对应的目标时间段、登录次数分别构建对应每个所述待测业务账号的登录行为时间序列。
可选地,所述确定每个所述待测业务账号的登录行为时间序列的周期,并基于所述周期对所述待测业务账号的登录行为时间序列进行划分,以得到每个所述待测业务账号的子行为时间序列,包括:
基于快速傅里叶变换算法对每个所述待测业务账号的登录行为时间序列进行计算,以确定出每个所述待测业务账号的登录行为时间序列的周期;
基于所述周期对对应的所述待测业务账号的登录行为时间序列进行切片分段,以得到对应每个所述待测业务账号的子行为时间序列。
可选地,所述计算所述待测业务账号的子行为时间序列间的相似度,包括:
基于动态时间规整算法计算所述待测业务账号中时序相邻的子行为时间序列的相似度。
可选地,所述基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号,包括:
确定每个所述待测业务账号的相似度中与所述相似度阈值满足目标关系的第一相似度;
统计所述第一相似度的数量;
基于所述第一相似度的数量辅助确定所述待测业务账号是否为潜在威胁业务账号。
可选地,所述基于所述第一相似度数量辅助确定所述待测业务账号是否为潜在威胁业务账号,包括:
确定所述第一相似度与对应的所述待测业务账号的全部相似度的比例数值;
基于所述比例数值与占比阈值确定所述待测业务账号是否为潜在威胁业务账号。
本发明另一实施例同时提供一种电子装置,包括:
第一确定模块,用于确定待测业务账号登录内网的业务资源***的登录行为日志;
第二确定模块,用于根据所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列;
第三确定模块,用于确定每个所述待测业务账号的登录行为时间序列的周期,并基于所述周期对所述待测业务账号的登录行为时间序列进行划分,以得到每个所述待测业务账号的子行为时间序列;
计算模块,用于计算所述待测业务账号的子行为时间序列间的相似度;
判断模块,用于根据所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号。
可选地,所述待测业务账号为未经管控平台审计的业务账号,所述管控平台用于对向所述内网的业务资源***发起请求的业务账号进行安全审计;
所述第一确定模块还用于:
自所述业务资源***的***日志中获得对应所述业务资源***的第一登录行为日志;
自所述管控平台中获得对应所述业务资源***的第二登录行为日志;
基于所述第一登录行为日志及第二登录行为日志确定未经审计的所述待测业务账号的登录行为日志。
基于上述实施例的公开可以获知,本发明实施例具备的有益效果包括通过获得待测业务账号登录内网的业务资源***的登录行为日志,并基于该待测业务账号的登录行为日志确定每个待测业务账号的登录行为时间序列,接着计算每个待测业务账号的登录行为时间序列的周期,并基于周期对待测业务账号的登录行为时间序列进行划分,以得到每个待测业务账号的子行为时间序列,之后计算待测业务账号的子行为时间序列间的相似度,最后基于相似度及相似度阈值确定待测业务账号是否为潜在威胁业务账号,该过程无需人为操作,简化了业务人员的操作流程,同时无需业务人员凭借经验制定检测规则,而是充分利用待测业务账号的登录行为时间序列来辅助计算时间序列的相似度,以基于计算得到的相似度快速且准确的识别出活动行为异常的潜在威胁业务账号,确保内网的业务资源***的使用安全性。
附图说明
图1为本发明实施例中的识别内网潜在威胁业务账号的方法的流程图。
图2为本发明实施例中终端、管控平台与不同业务***间的逻辑关系图。
图3为本发明另一实施例中的识别内网潜在威胁业务账号的方法的流程图。
图4为本发明实施例中的待测业务账号登录行为时间序列的示意图。
图5为本发明实施例中的待测业务账号登录行为时间序列基于快速傅里叶算法转换为频谱图的过程示意图。
图6为本发明实施例中在计算子行为时间序列相似度时生成的多个WARP路径的示意图。
图7本发明实施例中的电子装置的结构框图。
具体实施方式
下面,结合附图对本发明的具体实施例进行详细的描述,但不作为本发明的限定。
应理解的是,可以对此处公开的实施例做出各种修改。因此,下述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本发明的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本发明进行了描述,但本领域技术人员能够确定地实现本发明的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
下面,结合附图详细的说明本发明实施例。
如图1所示,本发明实施例公开一种识别内网潜在威胁业务账号的方法,包括:
确定待测业务账号登录内网的业务资源***的登录行为日志;
基于待测业务账号的登录行为日志确定每个待测业务账号的登录行为时间序列;
确定每个待测业务账号的登录行为时间序列的周期,并基于周期对待测业务账号的登录行为时间序列进行划分,以得到每个待测业务账号的子行为时间序列;
计算待测业务账号的子行为时间序列间的相似度;
基于相似度及相似度阈值确定待测业务账号是否为潜在威胁业务账号。
例如,获得待测业务账号,该待测业务账号可以是经由人工收集得到,也可以是通过第三方设备收集得到,还可是内网中的全部业务账号,或部分未经安全审核的业务账号、陌生业务账号等,具体不限。待确定了待测业务账号后,确定待测业务账号登录内网的业务资源***的登录行为日志,其可以从业务资源***处得到,也可以由业务人员获取后输入至***中,具体根据用于记录,存储业务资源***的登录行为日志而定。得到待测业务账号的登录行为日志后,基于该日志记录的内容确定对应每个待测业务账号的登录行为时间序列,然后对各个时间序列进行周期计算,确定出各个待测业务账号的登录行为的执行周期,并基于计算出的周期对对应的时间序列进行划分,以得到对应每个待测业务账号的多个子行为时间序列,即,子行为时间序列集合。接着计算每个待测业务账号的子行为时间序列集合中各子行为时间序列间的相似度,最终基于该相似度及相似度阈值判断各个待测业务账号是否具有异常活动行为,如大量反复登录业务资源***并请求资源,该资源可以是同一资源,也可以是相似资源,还可以是涉及用户数据的资源等,若经判断确定有异常活动行为,则可确定该待测业务账号为潜在威胁业务账号,从而完成识别。
由上述内容可知,基于本实施例的识别内网潜在威胁业务账号的方法对待测业务账号进行识别的过程是充分利用待测业务账号的登录行为时间序列来辅助计算时间序列的相似度,以基于计算得到的相似度快速且准确的识别出活动行为异常的潜在威胁业务账号,确保内网的业务资源***的使用安全性。该识别过程无需人为操作,简化了业务人员的操作流程,同时无需业务人员凭借经验制定检测规则,有效降低了错误率。
进一步地,如图2所示,本实施例中的业务***可以为1个,也可为多个,其均与管控平台相连,终端通过管控平台向业务资源***发起请求,但是也有一些请求,即登录行为是不经过管控平台的。而本实施例中的待测业务账号即为未经管控平台审计的业务账号,该管控平台用于对向内网的业务资源***发起资源请求的业务账号进行安全审计,经管控平台进行安全审计,并通过的业务账号为安全的业务账号;
如图3所示,本实施例中确定待测业务账号登录内网的业务资源***的登录行为日志,包括:
自业务资源***的***日志中获得对应业务资源***的第一登录行为日志;
自管控平台中获得对应业务资源***的第二登录行为日志;
基于第一登录行为日志及第二登录行为日志确定未经审计的待测业务账号的登录行为日志。
进一步地,所述的第一登录行为日志及第二登录行为日志均包括业务账号、源IP地址及登录时间,其中,经过管控平台登录业务资源***的业务账号,其在第一登录行为日志及第二登录行为日志中的源IP地址相同;
本实施例在基于第一登录行为日志及第二登录行为日志确定未经审计的待测业务账号的登录行为日志,包括:
滤除在第一登录行为日志及第二登录行为日志中对应同一业务账号的源IP地址相同,且登录时间相同的第一登录行为日志及第二登录行为日志;
将剩余的第一登录行为日志确定为待测业务账号的登录行为日志。
具体地,实际应用时业务资源***可以是一个,也可以是多个,在获得第一登录行为日志时可以从各个业务资源***日志中获取登录行为日志,即第一登录行为日志,该日志中的主要实体可以包含:源IP地址、登录时间、目的IP地址、登录账号(业务账号)、登录结果。其中,第一登录行为日志可以为包含全部登陆过业务资源***的业务账号的登录行为日志。接着,从管控平台中获取各个业务资源***登录行为日志,即第二登录行为日志,该日志中的主要实体可以包含:源IP地址、登录时间、目的IP地址、登录账号、登录结果。该第二登录行为日志可以为管控平台对经其审计的业务账号登录所需的业务资源***的过程所记录的日志。经过管控平台登录业务资源***的业务账号,其在第一登录行为日志及第二登录行为日志中的源IP地址相同,均属于管控平台的IP地址。当获得了第一及第二登录行为日志后,便可基于各业务账号的第一登录行为日志中记录的数据为基准线,对对应同一业务账号的第二登录行为日志中的源IP地址、登录时间等信息进行核查,若确定第一登录行为日志中的源IP地址与第二登录行为日志中的源IP地址相同且登录时间相同时,则可滤除该条第一登录行为日志及第二登录行为日志。经上述条件过滤后得到的没有被滤除的第一登录行为日志,则可确定为待测业务账号的登录行为日志。
进一步地,本实施例中的待测业务账号的登录行为日志至少包括待测业务账号、源IP地址、登录时间,当然还可以包括登录结果等其他关于登录行为的信息。
当基于待测业务账号的登录行为日志确定每个待测业务账号的登录行为时间序列时,包括:
设置满足时间序列的多个目标时间段;
基于待测业务账号的登录行为日志确定在每个目标时间段内对应同一待测业务账号及源IP地址的登录次数;
基于每个待测业务账号及对应的目标时间段、登录次数分别构建对应每个待测业务账号的登录行为时间序列。
例如,以待测业务账号、源IP地址组合作为主要实体,来对对应的登录行为日志进行特征提取,并按照时间顺序设置以一小时为一目标时间段,之后***便可基于时间顺序,对每个待测业务账号每小时的登录次数进行提取,并计算累加值作为为特征值,最终构成多个分别对应每个待测业务账号的登录行为时间序列,登录行为时间序列的形式可参考图4所示。
进一步地,本实施例在确定每个待测业务账号的登录行为时间序列的周期,并基于周期对待测业务账号的登录行为时间序列进行划分,以得到每个待测业务账号的子行为时间序列,包括:
基于快速傅里叶变换算法对每个待测业务账号的登录行为时间序列进行计算,以确定出每个待测业务账号的登录行为时间序列的周期;
基于周期对对应的待测业务账号的登录行为时间序列进行切片分段,以得到对应每个待测业务账号的子行为时间序列。
具体地,虽然很多时间序列数据看似杂乱无章,常常不能通过观察得到其周期,但实际上其可能隐含有多个规律性的行为,因此为了快速确定时间序列数据的周期点,从傅里叶定理可知,对于任何连续记录的时间序列或信号,都可用无限叠加不同频率的正交正弦波信号表示。因此可将时间序列进行傅里叶变换,计算序列的周期特征并进行频谱分析,观察其规律,进而确定该时间序列的周期。基于此,本实施例优选采用计算速度更快捷的快速傅里叶变换算法(FFT,其为离散傅里叶变换DFT的一种快速算法)对每个待测业务账号的登录行为时间序列进行计算,以确定出每个待测业务账号的登录行为时间序列的周期。离散型傅里叶变换公式为:
其中,在输入序列X(n)的N点DFT是以N点等间隔采样,频率采样间隔为2,N为输入参数。
而快速傅里叶变换算法(FFT)的基本思路为:将大点数的DFT分解为若干个短序列的DFT的组合,以将原傅立叶变换步骤缩短,减少运算量。
具体地,应用时可基于快速傅里叶变换算法将登录行为时间序列的时域进行加权处理,以变换到频域,接着通过分析频谱关系,提取周期时间△T,例如如图5所示,该图中示出了某待测业务账号的登录时间序列被转换后的频谱图,由该频谱图可知周期时间△T=20。当计算出周日后,利用计算出的周期△T,对原始登录行为时间序列进行切片分段。例如,输入的登录行为时间序列为H,则可以将其分成H/△T个片段,即H/△T个子行为时间序列,该H/△T个子行为时间序列形成对应该待测业务账号的子行为时间序列集合。
进一步地,本实施例在计算待测业务账号的子行为时间序列间的相似度,包括:
基于动态时间规整算法计算待测业务账号中时序相邻的子行为时间序列的相似度。
具体地,动态时间规整算法(Dynamic Time Warping,简称DTW)是一种时间序列的相似性度量方法。由于登录行为时间序列转换后的时间行为序列具有稀疏性,且在时间上存在偏移问题,故无法直接计算子序列间相似度。而DTW算法中的DTW距离由于定义了序列之间的最佳对齐匹配关系,支持不同长度时间序列的相似性度量,同时支持时间轴的伸缩和弯曲,因此采用DTW可实现本实施例中衡量时间行为序列存在相似行为的目的。
应用时,可输入两个子行为时间序列Q=(q1,q2,......,qm)和C=(C1,C2,......,Cn),该两个时间序列的长度分别为m和n,故可以构成一个m*n的矩阵。Wk(i,j)表示qi和cj两个点的距离函数(常用欧式距离表征两个点的距离),Warp路径,即DTW路径会穿越该矩阵,Warp路径的第k个元素标识为wk=(i,j)k,,用于代表矩阵中的两个子行为时间序列对齐的点,且对该两个子行为时间序列进行最佳对齐匹配时只能将相邻的点进行对齐;如图6所示,经DTW算法计算形成的Warp路径有很多,但并不是所有Warp路径都满足要求,需要找到最为合适的路径曲线,以使得累计距离最小,也就是路径经过的元素值数量最少,而比较两个子时间序列的相似度,就相当于寻找累计距离的最小值:
基于动态时间规划算法执行上述计算后,便可输出每个待测业务账号下的若干子行为时间序列集合中时序相邻的子行为时间序列间的相似度。以某一待测业务账号下有N个子行为时间序列的话,需要计算N-1次的相似度,并将得的N-1个相似度值,该相似度值可保存在相似度值集合中,以用于后续计算。
进一步地,本实施例基于相似度及相似度阈值确定待测业务账号是否为潜在威胁业务账号,包括:
确定每个待测业务账号的相似度中与相似度阈值满足目标关系的第一相似度;
统计第一相似度的数量;
基于第一相似度的数量辅助确定待测业务账号是否为潜在威胁业务账号。
其中,基于第一相似度数量辅助确定待测业务账号是否为潜在威胁业务账号,包括:
确定第一相似度与对应的待测业务账号的全部相似度的比例数值;
基于比例数值与占比阈值确定待测业务账号是否为潜在威胁业务账号。
例如,可根据实际观测得到的分析结果经过人工分析设置一个相似度阈值,该阈值可在后续实际检测效果的过程中进行不断调整,以提高该相似度阈值的判断精度。具体应用时可计算待测业务账号的相似度集合中的每个相似度值与设定的相似度阈值进行比较,若超过相似度阈值,则将其放置在结果集合S中,拟定相似度集合中具有N-1个相似度值,当S/N-1的比例数值超过预设定的占比阈值时,则确定与该相似度值集合对应的待测业务账号为内网潜在威胁账号,其极有可能在历史时间内做了大量未经审计的重复性资源请求行为,恐为恶意行为,故***便可向用户输出该潜在威胁账号。
如图7所示,本发明另一实施例同时提供一种电子装置,包括:
第一确定模块,用于确定待测业务账号登录内网的业务资源***的登录行为日志;
第二确定模块,用于根据待测业务账号的登录行为日志确定每个待测业务账号的登录行为时间序列;
第三确定模块,用于确定每个待测业务账号的登录行为时间序列的周期,并基于周期对待测业务账号的登录行为时间序列进行划分,以得到每个待测业务账号的子行为时间序列;
计算模块,用于计算待测业务账号的子行为时间序列间的相似度;
判断模块,用于根据相似度及相似度阈值确定待测业务账号是否为潜在威胁业务账号。
可选地,本实施例中的待测业务账号为未经管控平台审计的业务账号,管控平台用于对向内网的业务资源***发起请求的业务账号进行安全审计;
所述第一确定模块还用于:
自业务资源***的***日志中获得对应业务资源***的第一登录行为日志;
自管控平台中获得对应业务资源***的第二登录行为日志;
基于第一登录行为日志及第二登录行为日志确定未经审计的待测业务账号的登录行为日志。
可选地,所述第一登录行为日志及第二登录行为日志均包括业务账号、源IP地址及登录时间,其中,经过所述管控平台登录所述业务资源***的业务账号,其在所述第一登录行为日志及第二登录行为日志中的所述源IP地址相同;
所述第一确定模块基于所述第一登录行为日志及第二登录行为日志确定未经审计的所述待测业务账号的登录行为日志,包括:
滤除在所述第一登录行为日志及第二登录行为日志中对应同一业务账号的源IP地址相同,且登录时间相同的所述第一登录行为日志及第二登录行为日志;
将剩余的所述第一登录行为日志确定为所述待测业务账号的登录行为日志。
可选地,所述待测业务账号的登录行为日志包括待测业务账号、源IP地址、登录时间;
所述第二确定模块基于所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列,包括:
设置满足时间序列的多个目标时间段;
基于所述待测业务账号的登录行为日志确定在每个所述目标时间段内对应同一所述待测业务账号及源IP地址的登录次数;
基于每个所述待测业务账号及对应的目标时间段、登录次数分别构建对应每个所述待测业务账号的登录行为时间序列。
可选地,所述第三确定模块确定每个所述待测业务账号的登录行为时间序列的周期,并基于所述周期对所述待测业务账号的登录行为时间序列进行划分,以得到每个所述待测业务账号的子行为时间序列,包括:
基于快速傅里叶变换算法对每个所述待测业务账号的登录行为时间序列进行计算,以确定出每个所述待测业务账号的登录行为时间序列的周期;
基于所述周期对对应的所述待测业务账号的登录行为时间序列进行切片分段,以得到对应每个所述待测业务账号的子行为时间序列。
可选地,所述计算模块计算所述待测业务账号的子行为时间序列间的相似度,包括:
基于动态时间规整算法计算所述待测业务账号中时序相邻的子行为时间序列的相似度。
可选地,所述判断模块基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号,包括:
确定每个所述待测业务账号的相似度中与所述相似度阈值满足目标关系的第一相似度;
统计所述第一相似度的数量;
基于所述第一相似度的数量辅助确定所述待测业务账号是否为潜在威胁业务账号。
可选地,所述判断模块基于所述第一相似度数量辅助确定所述待测业务账号是否为潜在威胁业务账号,包括:
确定所述第一相似度与对应的所述待测业务账号的全部相似度的比例数值;
基于所述比例数值与占比阈值确定所述待测业务账号是否为潜在威胁业务账号。
本发明另一实施例还提供一种电子设备,包括:
一个或多个处理器;
存储器,配置为存储一个或多个程序;
当该一个或多个程序被该一个或多个处理器执行时,使得该一个或多个处理器实现上述方法。
本发明另一实施例还提供一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的方法。应理解,本实施例中的各个方案具有上述方法实施例中对应的技术效果,此处不再赘述。
本发明另一实施例还提供了一种计算机程序产品,所述计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可读指令,所述计算机可执行指令在被执行时使至少一个处理器执行诸如上文所述实施例中的方法。应理解,本实施例中的各个方案具有上述方法实施例中对应的技术效果,此处不再赘述。
需要说明的是,本申请的计算机存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读介质例如可以但不限于是电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储介质(RAM)、只读存储介质(ROM)、可擦式可编程只读存储介质(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储介质(CD-ROM)、光存储介质件、磁存储介质件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输配置为由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、天线、光缆、RF等等,或者上述的任意合适的组合。
应当理解,虽然本申请是按照各个实施例描述的,但并非每个实施例仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。
Claims (6)
1.一种识别内网潜在威胁业务账号的方法,包括:
确定待测业务账号登录内网的业务资源***的登录行为日志;
基于所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列;
确定每个所述待测业务账号的登录行为时间序列的周期,并基于所述周期对所述待测业务账号的登录行为时间序列进行划分,以得到每个所述待测业务账号的子行为时间序列;
计算所述待测业务账号的子行为时间序列间的相似度;
基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号;
所述确定每个所述待测业务账号的登录行为时间序列的周期,并基于所述周期对所述待测业务账号的登录行为时间序列进行划分,以得到每个所述待测业务账号的子行为时间序列,包括:
基于快速傅里叶变换算法对每个所述待测业务账号的登录行为时间序列进行计算,以确定出每个所述待测业务账号的登录行为时间序列的周期;
基于所述周期对对应的所述待测业务账号的登录行为时间序列进行切片分段,以得到对应每个所述待测业务账号的子行为时间序列;
所述计算所述待测业务账号的子行为时间序列间的相似度,包括:
基于动态时间规整算法计算所述待测业务账号中时序相邻的子行为时间序列的相似度;
所述基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号,包括:
确定每个所述待测业务账号的相似度中与所述相似度阈值满足目标关系的第一相似度;
统计所述第一相似度的数量;
确定所述第一相似度与对应的所述待测业务账号的全部相似度的比例数值;
基于所述比例数值与占比阈值确定所述待测业务账号是否为潜在威胁业务账号。
2.根据权利要求1所述的方法,其中,所述待测业务账号为未经管控平台审计的业务账号,所述管控平台用于对向所述内网的业务资源***发起请求的业务账号进行安全审计;
所述确定待测业务账号登录内网的业务资源***的登录行为日志,包括:
自所述业务资源***的***日志中获得对应所述业务资源***的第一登录行为日志;
自所述管控平台中获得对应所述业务资源***的第二登录行为日志;
基于所述第一登录行为日志及第二登录行为日志确定未经审计的所述待测业务账号的登录行为日志。
3.根据权利要求2所述的方法,其中,所述第一登录行为日志及第二登录行为日志均包括业务账号、源IP地址及登录时间,其中,经过所述管控平台登录所述业务资源***的业务账号,其在所述第一登录行为日志及第二登录行为日志中的所述源IP地址相同;
所述基于所述第一登录行为日志及第二登录行为日志确定未经审计的所述待测业务账号的登录行为日志,包括:
滤除在所述第一登录行为日志及第二登录行为日志中对应同一业务账号的源IP地址相同,且登录时间相同的所述第一登录行为日志及第二登录行为日志;
将剩余的所述第一登录行为日志确定为所述待测业务账号的登录行为日志。
4.根据权利要求1所述的方法,其中,所述待测业务账号的登录行为日志包括待测业务账号、源IP地址、登录时间;
所述基于所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列,包括:
设置满足时间序列的多个目标时间段;
基于所述待测业务账号的登录行为日志确定在每个所述目标时间段内对应同一所述待测业务账号及源IP地址的登录次数;
基于每个所述待测业务账号及对应的目标时间段、登录次数分别构建对应每个所述待测业务账号的登录行为时间序列。
5.一种电子装置,包括:
第一确定模块,用于确定待测业务账号登录内网的业务资源***的登录行为日志;
第二确定模块,用于根据所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列;
第三确定模块,用于确定每个所述待测业务账号的登录行为时间序列的周期,并基于所述周期对所述待测业务账号的登录行为时间序列进行划分,以得到每个所述待测业务账号的子行为时间序列;
计算模块,用于计算所述待测业务账号的子行为时间序列间的相似度;
判断模块,用于根据所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号;
所述第三确定模块确定每个所述待测业务账号的登录行为时间序列的周期,并基于所述周期对所述待测业务账号的登录行为时间序列进行划分,以得到每个所述待测业务账号的子行为时间序列,包括:
基于快速傅里叶变换算法对每个所述待测业务账号的登录行为时间序列进行计算,以确定出每个所述待测业务账号的登录行为时间序列的周期;
基于所述周期对对应的所述待测业务账号的登录行为时间序列进行切片分段,以得到对应每个所述待测业务账号的子行为时间序列;
所述计算模块计算所述待测业务账号的子行为时间序列间的相似度,包括:
基于动态时间规整算法计算所述待测业务账号中时序相邻的子行为时间序列的相似度;
所述判断模块基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号,包括:
确定每个所述待测业务账号的相似度中与所述相似度阈值满足目标关系的第一相似度;
统计所述第一相似度的数量;
确定所述第一相似度与对应的所述待测业务账号的全部相似度的比例数值;
基于所述比例数值与占比阈值确定所述待测业务账号是否为潜在威胁业务账号。
6.根据权利要求5所述的电子装置,其中,所述待测业务账号为未经管控平台审计的业务账号,所述管控平台用于对向所述内网的业务资源***发起请求的业务账号进行安全审计;
所述第一确定模块还用于:
自所述业务资源***的***日志中获得对应所述业务资源***的第一登录行为日志;
自所述管控平台中获得对应所述业务资源***的第二登录行为日志;
基于所述第一登录行为日志及第二登录行为日志确定未经审计的所述待测业务账号的登录行为日志。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110598305.7A CN113326507B (zh) | 2021-05-31 | 2021-05-31 | 一种识别内网潜在威胁业务账号的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110598305.7A CN113326507B (zh) | 2021-05-31 | 2021-05-31 | 一种识别内网潜在威胁业务账号的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113326507A CN113326507A (zh) | 2021-08-31 |
CN113326507B true CN113326507B (zh) | 2023-09-26 |
Family
ID=77422676
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110598305.7A Active CN113326507B (zh) | 2021-05-31 | 2021-05-31 | 一种识别内网潜在威胁业务账号的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113326507B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107911396A (zh) * | 2017-12-30 | 2018-04-13 | 世纪龙信息网络有限责任公司 | 登录异常检测方法和*** |
CN109151518A (zh) * | 2018-08-06 | 2019-01-04 | 武汉斗鱼网络科技有限公司 | 一种被盗账号的识别方法、装置及电子设备 |
CN110798428A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种账号暴力破解行为的检测方法、***及相关装置 |
CN111298445A (zh) * | 2020-02-07 | 2020-06-19 | 腾讯科技(深圳)有限公司 | 目标账号检测方法、装置、电子设备及存储介质 |
CN112306982A (zh) * | 2020-11-16 | 2021-02-02 | 杭州海康威视数字技术股份有限公司 | 异常用户检测方法、装置、计算设备及存储介质 |
CN112714093A (zh) * | 2019-10-25 | 2021-04-27 | 深信服科技股份有限公司 | 一种账号异常检测方法、装置、***及存储介质 |
-
2021
- 2021-05-31 CN CN202110598305.7A patent/CN113326507B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107911396A (zh) * | 2017-12-30 | 2018-04-13 | 世纪龙信息网络有限责任公司 | 登录异常检测方法和*** |
CN110798428A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种账号暴力破解行为的检测方法、***及相关装置 |
CN109151518A (zh) * | 2018-08-06 | 2019-01-04 | 武汉斗鱼网络科技有限公司 | 一种被盗账号的识别方法、装置及电子设备 |
CN112714093A (zh) * | 2019-10-25 | 2021-04-27 | 深信服科技股份有限公司 | 一种账号异常检测方法、装置、***及存储介质 |
CN111298445A (zh) * | 2020-02-07 | 2020-06-19 | 腾讯科技(深圳)有限公司 | 目标账号检测方法、装置、电子设备及存储介质 |
CN112306982A (zh) * | 2020-11-16 | 2021-02-02 | 杭州海康威视数字技术股份有限公司 | 异常用户检测方法、装置、计算设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113326507A (zh) | 2021-08-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111552933A (zh) | 一种账号异常登录的识别方法与装置 | |
CN109375060B (zh) | 一种配电网故障波形相似度计算方法 | |
CN104317681A (zh) | 针对计算机***的行为异常自动检测方法及检测*** | |
CN114338372B (zh) | 网络信息安全监控方法及*** | |
CN112362304B (zh) | 一种在多根光缆中识别目标光缆的方法及相应的*** | |
CN110598959A (zh) | 一种资产风险评估方法、装置、电子设备及存储介质 | |
CN114978877A (zh) | 一种异常处理方法、装置、电子设备及计算机可读介质 | |
CN113326507B (zh) | 一种识别内网潜在威胁业务账号的方法及装置 | |
CN105825130A (zh) | 一种信息安全预警方法及装置 | |
US20220046039A1 (en) | Method, device, and computer program product for abnormality detection | |
CN116307269B (zh) | 一种基于人工智能的光伏发电功率预测方法及装置 | |
CN117691733A (zh) | 一种配电自动化***信息安全防护的评估方法及装置 | |
CN117370548A (zh) | 用户行为风险识别方法、装置、电子设备及介质 | |
CN116827697A (zh) | 网络攻击事件的推送方法、电子设备及存储介质 | |
CN116800504A (zh) | 一种终端物理指纹提取及非法接入动态认证方法和装置 | |
CN114726623A (zh) | 一种高级威胁攻击评估方法、装置、电子设备及存储介质 | |
CN115664868A (zh) | 安全等级确定方法、装置、电子设备和存储介质 | |
CN116108376A (zh) | 一种反窃电的监测***、方法、电子设备及介质 | |
CN113691498B (zh) | 一种电力物联终端安全状态评估方法、装置及存储介质 | |
CN107783942B (zh) | 一种异常行为检测方法及装置 | |
CN112732773B (zh) | 一种继电保护缺陷数据的唯一性校核方法及*** | |
CN114363082A (zh) | 网络攻击检测方法、装置、设备及计算机可读存储介质 | |
CN112839029A (zh) | 一种僵尸网络活跃度的分析方法与*** | |
CN113032774A (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 | |
CN110120893A (zh) | 一种定位网络***安全问题的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |