本發(fā)明涉及一種基于用戶群行為活動的安全分析方法，涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。本發(fā)明通過構(gòu)建實體用戶與應(yīng)用系統(tǒng)用戶的映射關(guān)系，形成統(tǒng)一的用戶身份管理，為異常行為定位到個人提供基礎(chǔ)。同時，搜集用戶在網(wǎng)絡(luò)中的行為活動信息，形成完整的用戶行為活動記錄，并根據(jù)歷史數(shù)據(jù)進行統(tǒng)計分析，形成四類用戶日常行為模式。依據(jù)用戶行為活動“白模式”中的信息，實時分析用戶行為和模式，實時研判用戶行為是否屬于異常行為。對不確定的用戶行為活動，進行逆向用戶行為分析和判斷，通過深度分析線索，并結(jié)合與該用戶具有相同角色和權(quán)限的用戶的行為模式的對比分析結(jié)果，實現(xiàn)對用戶行為的監(jiān)測以及高危用戶行為評估，從而發(fā)現(xiàn)數(shù)據(jù)滲透、APT攻擊等行為。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種基于用戶群行為活動的安全分析方法。

背景技術(shù)

用戶網(wǎng)絡(luò)行為分析有助于用戶執(zhí)行正常活動基線的確立，迅速識別偏離正常行為的異常行為，采用統(tǒng)計學(xué)習(xí)和機器學(xué)習(xí)技術(shù)，實時分析并了解用戶行為和模式，監(jiān)測和評估高危用戶行為。主動尋找內(nèi)部威脅、檢測高級的惡意軟件活動、密切關(guān)注用戶的行動，識別高危行為，從而達到對主機、網(wǎng)絡(luò)、數(shù)據(jù)的安全保護，能夠及時發(fā)現(xiàn)數(shù)據(jù)滲透、APT攻擊等行為。如何針對內(nèi)網(wǎng)用戶異常行為檢測、分析、研判，設(shè)計一種基于用戶群網(wǎng)絡(luò)行為的安全分析方法，成為了亟待解決的技術(shù)問題。

發(fā)明內(nèi)容

(一)要解決的技術(shù)問題

本發(fā)明要解決的技術(shù)問題是：如何針對內(nèi)網(wǎng)用戶異常行為檢測、分析、研判，設(shè)計一種基于用戶群網(wǎng)絡(luò)行為的安全分析方法。

(二)技術(shù)方案

為了解決上述技術(shù)問題，本發(fā)明提供了一種基于用戶群行為活動的安全分析方法，包括以下步驟：

步驟1：將網(wǎng)絡(luò)或者系統(tǒng)中的應(yīng)用系統(tǒng)用戶與實體用戶進行一一關(guān)聯(lián)和映射；

步驟2：通過搜集用戶在網(wǎng)絡(luò)或系統(tǒng)中的行為活動數(shù)據(jù)，提取用于用戶行為活動分析的屬性信息，形成用戶網(wǎng)絡(luò)行為活動記錄；

步驟3：根據(jù)用戶網(wǎng)絡(luò)行為活動記錄，從訪問頻率、時間、訪問途徑、訪問內(nèi)容的維度，建立用戶正常行為活動模式，形成用戶行為活動基線庫；

步驟4：用戶行為活動初次判斷：將用戶的實時行為活動與用戶行為活動基線庫中的用戶正常行為活動模式對比，判斷當(dāng)前用戶行為的模式，如果符合用戶正常行為活動模式，則判定為正常行為，否則預(yù)判為可疑行為模式，轉(zhuǎn)入步驟5；

步驟5：用戶行為逆向追蹤：對預(yù)判為可疑行為模式的用戶行為進行逆向追蹤和分析，明確用戶行為環(huán)節(jié)中各個節(jié)點狀況，若判定用戶行為活動為異常行為，則轉(zhuǎn)入步驟8，否則轉(zhuǎn)入步驟6；

步驟6：可疑行為二次判斷：通過將可疑行為模式的行為活動與其他相同角色的用戶行為活動進行對比分析，判斷被分析的用戶行為活動的是正常行為還是異常行為，若判定為異常行為，則進入步驟8，否則進入步驟7；

步驟7：根據(jù)步驟6的二次判斷結(jié)果，采用LRU的方式更新用戶行為活動基線庫；

步驟8：根據(jù)對用戶行為二次判斷的結(jié)果，對異常行為進行告警，并更新異常行為庫。

優(yōu)選地，步驟1具體為：