異常行為識別系統，該系統包括數據采集層和行為分析引擎，數據采集層收集所有被授權的行為數據，收集數據中心所有的服務端賬號，和資產數據以及資產數據的變化；以被授權的行為數據建立白名單，以資產數據的變化作為異常事件，數據采集層的數據匯總于行為分析引擎，行為分析引擎將每一個異常事件與白名單對比，判斷異常事件的內容是否屬于白名單，若不屬于白名單，則該異常事件標記為異常行為；行為分析引擎只對異常行為報警。本發明的優點在于：采集層、分析層和應用層橫向可擴展，應用層各應用模塊縱向集成采集層和分析層，可以根據用戶需求源源不斷的快速開發出各種安全應用。

技術領域

本發明涉及信息安全領域，特別是一種異常行為識別系統。

背景技術

本部分只是為了方便理解本發明的內容，不應視為現有技術。

根據網絡面向的用戶不同，可以將網絡劃分為外網（互聯網）和內網（局域網）。內網又可以劃分為辦公網和生產網。辦公上網的網絡行為相對開放，容易發生病毒和網絡入侵事件。若辦公用戶和生產用戶處于同一網絡中，則辦公網絡發生的病毒和入侵事件會幾乎迅速傳播到生產網，給生產安全帶來極大的威脅。因此，辦公網和生產網也被要求隔離。生產網也稱為數據中心。數據中心包括計算資源、存儲資源和網絡資源等。

常見的攻擊行為包括：1、口令入侵，指使用某些合法用戶的帳號和口令登錄到目的設備，然后再實施攻擊活動。這種方法的前提是必須先得到該設備上的某個合法用戶的帳號，然后再進行合法用戶口令的破譯。2、特洛伊木馬，常被偽裝成工具程式或游戲等誘使用戶打開，一旦用戶打開了這些郵件的附件或執行了這些程式之后，他們就會留在計算機中，并在自己的計算機系統中隱藏一個能在windows啟動時悄悄執行的程式。3、WWW欺騙，正在訪問的網頁已被黑客篡改過，網頁上的信息是虛假的。例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的服務器，當用戶瀏覽目標網頁的時候，實際上是向黑客服務器發出請求。4、節點攻擊，攻擊者在突破一臺設備后，往往以此設備作為根據地，攻擊其他設備。他們能使用網絡監聽方法，嘗試攻破同一網絡內的其他設備；也能通過IP欺騙和設備信任關系，攻擊其他設備。5、網絡監聽，是設備的一種工作模式，在這種模式下，設備能接收到本網段在同一條物理通道上傳輸的所有信息，而不管這些信息的發送方和接收方是誰。

但是，對于風險的監控或預警都只是用戶，或者目標設備各自報警，所有預警都是單一維度的信息。例如：用戶報警：XX賬號異常；或者是目標設備報警：XX設備異常。單一維度的信息無法獲知是由于被攻擊造成的異常報警，還是只是因為臨時改變了操作規則導致的誤報。

現有的異常識別，能夠單獨針對賬號或目標設備進行異常事件報警。該異常事件報警機制是在單一數據維度、基于固定規則進行判斷而識別出的單一維度異常事件。這種異常事件報警機制存在的問題是：1、固定規則死板、無法與時俱進。如，某賬號在非有效時段登錄數據中心，則該賬號發出異常事件報警。但是，有可能該賬號是由臨時的工作任務需要進入數據中心，并且已經過工作流引擎審批通過形成被允許的操作，但該被允許的操作并非固定規則，因此，具有合法被允許的操作的賬號在非固定規則規定的有效時段登錄數據中心，賬號維度會發出賬號異常事件報警。2、只從單一維度進行報警，而單一維度的異常事件無法構成異常行為或攻擊行為。如某賬號發出賬號異常事件，但異常信息也僅在于該賬號異常，沒有辦法獲得與該賬號關聯的其他維度的信息。這些原因造成的問題主要有：1、誤報率高，2、單一維度的異常事件報警，除本維度信息以外，沒有其他維度的信息，因此無法判斷異常事件是否由攻擊行為造成，異常事件報警的參考價值較低。誤報率高加上報警的參考價值不高，導致運維人員習慣性忽略異常事件報警，導致報警形同虛設。

發明內容

本發明將進入數據中心的模型視為包含終端和服務端，終端代表用戶，服務端代表數據中心的資產。