本發明公開了一種用戶行為異常檢測方法，其中，包括：步驟1：對原始數據進行預處理，消除重復信息和錯誤信息，生成格式化的用戶身份信息、對象信息、時間信息以及行為信息；步驟2：基于用戶身份信息、對象信息、時間信息、行為信息，進行用戶正常行為建模，建立用戶行為基線；步驟3：依據用戶行為基線，對實時產生的用戶行為進行匹配，檢測用戶行為異常；步驟4：對于實時產生的正常用戶行為，進一步進行用戶行為基線調整。本發明的計算機用戶行為異常檢測方法，實現了對計算機用戶行為的異常檢測。

技術領域

本發明屬于網絡安全技術領域，特別是一種計算機用戶行為異常檢測方法。

背景技術

數據竊取的一種重要手段為內部人員泄密或通過控制內部資產來竊取情報，這是一種隱藏于“正常行為”下的惡意行為，傳統安全防護檢測手段很難發現。

計算機用戶行為異常檢測技術基于各類用戶日志提取用戶行為模型，進而對網絡中用戶行為的進行綜合分析，確定用戶行為是否具有惡意性，最終形成用戶異常行為告警，并對惡意行為進行技術阻斷。

目前計算機用戶行為異常檢測主要采用基于規則匹配的方法。但從應用的角度看，目前的研究還存在以下不足：

規則定義難度大：需要用戶具備非常豐富的規則配置經驗，并且需要深度結合用戶應用實際，可操作性差；

誤報、虛報多：規則需要及時更新，否則無法適應最新的用戶行為形勢，導致誤報、虛報增多，管理員難以處理。

發明內容

本發明的目的在于提供一種用戶行為異常檢測方法，用于解決上述現有技術的問題。

本發明一種用戶行為異常檢測方法，其中，包括：步驟1：對原始數據進行預處理，消除重復信息和錯誤信息，生成格式化的用戶身份信息、對象信息、時間信息以及行為信息；步驟2：基于用戶身份信息、對象信息、時間信息、行為信息，進行用戶正常行為建模，建立用戶行為基線；步驟3：依據用戶行為基線，對實時產生的用戶行為進行匹配，檢測用戶行為異常；步驟4：對于實時產生的正常用戶行為，進一步進行用戶行為基線調整。

根據本發明的計算機用戶行為異常檢測方法的一實施例，其中，用于計算機用戶行為異常檢測的原始數據來源包括身份認證網關、應用系統以及主機監控系統，經過去冗余、消除錯誤信息，再進行格式化，形成用戶身份信息、對象信息、時間信息以及行為信息。

根據本發明的計算機用戶行為異常檢測方法的一實施例，其中，其中，用戶身份信息包括身份認證信息、IP地址信息、MAC地址信息以及角色信息；對象信息包括IP地址信息、對象類型信息以及端口信息；時間信息包括發起訪問時間、持續時間以及終止訪問時間；行為信息包括訪問協議、訪問端口以及操作方式。

根據本發明的計算機用戶行為異常檢測方法的一實施例，其中，步驟2具體包括：

周期T內，在每天的第k個小時內，用戶USER通過m種方式訪問了n個對象，訪問行為包括OPT₁，OPT₂，…，OPT_m，對象包括OBJ₁，OBJ₂，…，OBJ_n，時間信息中k-1≤STARTk；

得出訪問模式矩陣如下：

其中，NUM_mn表示用戶通過OPT_m這種方式訪問對象OBJ_n的次數；

針對周期T，進行用戶正常行為建模，建立訪問模式矩陣，如下：