本發(fā)明提供了一種特權(quán)賬號異常行為分析方法，屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。本發(fā)明提供了一種特權(quán)賬號異常行為分析方法，包括：采集特權(quán)賬號的會話視頻數(shù)據(jù)并進行預(yù)處理；將預(yù)處理后的會話視頻數(shù)據(jù)進行標(biāo)注劃分，對標(biāo)注后的會話視頻進行審計處理；針對不同特征可形成不同的特征行為預(yù)測分類樹；將每棵分類樹根據(jù)訓(xùn)練數(shù)據(jù)集中的引導(dǎo)樣本獨立增長到最大大小并形成分類樹；將形成的各個分類樹進行集成，并用測試集進行模型測試；根據(jù)分類樹的投票多少判定分類結(jié)果；將會話視頻導(dǎo)入異常行為預(yù)測隨機森林模型，通過分類樹投票得到行為預(yù)測結(jié)果。通過對特權(quán)行為的會話日志和視頻數(shù)據(jù)進行機器學(xué)習(xí)，使得檢測結(jié)果更準(zhǔn)確，進一步提升檢測結(jié)果的準(zhǔn)確性。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種特權(quán)賬號異常行為分析方法。

背景技術(shù)

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，我國工業(yè)互聯(lián)網(wǎng)發(fā)展越來越向智能化生產(chǎn)、網(wǎng)絡(luò)化協(xié)同、個性化定制和服務(wù)化延伸方向發(fā)展，而工廠的永遠在線，也意味著網(wǎng)絡(luò)威脅隱患時刻存在。在工業(yè)互聯(lián)網(wǎng)領(lǐng)域，高價值(如可以讀取業(yè)務(wù)敏感數(shù)據(jù)的應(yīng)用賬號)、高風(fēng)險(如可以啟停設(shè)備的管理員賬號)的工控特權(quán)賬號繁多且復(fù)雜，工控終端安全管理薄弱，安全問題嚴(yán)峻。一旦特權(quán)賬號被竊取或者擁有特權(quán)賬號的相關(guān)內(nèi)部人員利用特權(quán)賬號對企業(yè)造成破壞或者發(fā)生其他特權(quán)威脅異常行為，將對企業(yè)造成極大的特權(quán)威脅安全隱患。傳統(tǒng)系統(tǒng)針對特權(quán)威脅異常行為絕大多數(shù)是通過人工方式實現(xiàn)，憑借人工個人經(jīng)驗提供固化的簡單邏輯條件進行檢測，這種方法僅適用于特權(quán)賬號較少的應(yīng)用場景；在特權(quán)賬號多且復(fù)雜工控互聯(lián)網(wǎng)，這種方法并不適用，不僅需要投入大量的人力成本，還容易產(chǎn)生大量誤報或者漏報情況，對企業(yè)正常經(jīng)營生產(chǎn)極為不利。

中國專利申請文獻CN110519241A中，公開了一種基于機器學(xué)習(xí)的主動發(fā)現(xiàn)特權(quán)威脅異常行為的方法及裝置，該方法應(yīng)用于特權(quán)賬號威脅分析系統(tǒng)，包括如下步驟：A)通過通用的接口接入特權(quán)賬號會話日志數(shù)據(jù)，通過通用的接口接入特權(quán)賬號終端操作審計日志數(shù)據(jù)；B)對所述特權(quán)賬號會話日志數(shù)據(jù)和特權(quán)賬號終端操作審計日志數(shù)據(jù)進行處理；C)根據(jù)需要，選擇讓機器學(xué)習(xí)算法學(xué)習(xí)的歷史日志數(shù)據(jù)或歷史日志數(shù)據(jù)中某個維度數(shù)據(jù)；D)創(chuàng)建機器學(xué)習(xí)工作流模型，確認機器學(xué)習(xí)執(zhí)行分析任務(wù)所需的配置信息和元數(shù)據(jù)；E)通過機器對選擇的歷史日志數(shù)據(jù)或歷史日志數(shù)據(jù)中某個維度數(shù)據(jù)的學(xué)習(xí)，自動確認正常行為基線并開始實時檢測；F)判斷是否檢測到特權(quán)威脅異常行為，如是，執(zhí)行步驟G)；否則，返回步驟E)；G)實時報告特權(quán)威脅異常行為。所述步驟B)中對所述特權(quán)賬號會話日志數(shù)據(jù)和特權(quán)賬號終端操作審計日志數(shù)據(jù)進行處理包括過濾、提取和序列化。當(dāng)特權(quán)行為偏離所述正常行為基線時，則認為該特權(quán)行為為特權(quán)威脅異常行為。所述特權(quán)賬號威脅分析系統(tǒng)包括相互連接的智能威脅審計單元、實時威脅監(jiān)測單元和統(tǒng)籌配置管理單元；所述智能威脅審計單元用于將關(guān)于賬號威脅事件詳細信息進行分析，以及對賬號威脅事件數(shù)據(jù)進行匯總，并通過圖表結(jié)合控制面板進行展示；所述實時威脅監(jiān)測單元用于展現(xiàn)監(jiān)測到的賬號威脅活動，設(shè)置賬號威脅規(guī)則條件，以及在賬號威脅規(guī)則條件觸發(fā)后自動響應(yīng)與發(fā)出預(yù)警記錄；所述統(tǒng)籌配置管理單元用于實現(xiàn)所述特權(quán)賬號威脅分析系統(tǒng)中重要系統(tǒng)配置的管理。但是該方法使用的是監(jiān)督式的機器學(xué)習(xí)算法，使用的機器學(xué)習(xí)模型要求特權(quán)賬號行為數(shù)據(jù)具有很強的線性關(guān)系，現(xiàn)實中特權(quán)賬號的很多行為數(shù)據(jù)之間并不存在線性關(guān)系，所以該模型一旦面對大規(guī)模復(fù)雜且無線性規(guī)律的訓(xùn)練樣本將難以實施，得出的數(shù)據(jù)也不準(zhǔn)確，存在很高的誤報率。

現(xiàn)有技術(shù)至少存在以下不足：

1.傳統(tǒng)系統(tǒng)針對特權(quán)威脅異常行為絕大多數(shù)是通過人工方式實現(xiàn)，憑借人工個人經(jīng)驗提供固化的簡單邏輯條件進行檢測，這種方法僅適用于特權(quán)賬號較少的應(yīng)用場景，在特權(quán)賬號多且復(fù)雜工控互聯(lián)網(wǎng)，這種方法并不適用，不僅需要投入大量的人力成本，還容易產(chǎn)生大量誤報或者漏報情況，對企業(yè)正常經(jīng)營生產(chǎn)極為不利。

2.現(xiàn)有的發(fā)現(xiàn)特權(quán)賬號威脅行為的方法要求特權(quán)賬號行為數(shù)據(jù)特征需要存在強線性關(guān)系，但現(xiàn)實中特權(quán)賬號的很多行為數(shù)據(jù)特征之間幾乎不存在線性關(guān)系，故使用該種方法得出的數(shù)據(jù)是不準(zhǔn)確的，誤報率很高。

3.現(xiàn)有的方法不能很好的處理大量多類特征或變量多的復(fù)雜情況下的特權(quán)賬號威脅行為問題。

發(fā)明內(nèi)容