本發明設計了一種基于雙層隱馬爾可夫鏈的用戶異常網絡訪問行為識別方法，針對信息系統用戶異常訪問行為識別困難的問題，采用雙層馬爾科夫鏈建模用戶正常業務訪問行為，通過建立正常業務訪問行為概率矩陣，識別系統用戶非正常訪問行為，為網絡攻擊行為的處理提供準確的定位的效果。另外還解決了傳統馬爾科夫鏈預測用戶行為無法在長時間跨度下由于針對離散的單個網絡異常行為進行建模，而忽略了用戶多次會話間的關聯關系所體現出的規律性問題，實現了長時間跨度下的數據異常識別。

技術領域

該發明屬于信息安全領域，提出一種基于雙層隱馬爾可夫鏈的用戶異常網絡訪問行為識別方法。

背景技術

近些年來，據有關研究機構對網絡攻擊事件的分析與統計中顯示，很多網絡攻擊事件都是由多個攻擊步驟組成，攻擊者在發動攻擊前，會先向攻擊目標進行一些探測活動，通常這些操作的威脅程度都比較低，不會引起網絡安全管理人員的關注。在探測完主機的信息之后，攻擊者會利用探測到的信息對主機發動進一步的攻擊，并且攻擊力度會逐步加強，最終實現對攻擊目標的攻擊。這些攻擊步驟之間存在一定的時間和空間聯系，這類攻擊方式稱為多步攻擊，通過這種方式能夠實現更為復雜的攻擊過程。一次完整的攻擊過程包含多個攻擊步驟，這些攻擊步驟之間存在著一定的邏輯關系，只有當前一個攻擊步驟成功完成，后面的攻擊步驟才能夠開始。一般來說，多步攻擊可以分為信息探測、漏洞掃描、漏洞利用、權限提升、發動攻擊、留下后門等多個步驟。

當前在具體的攻擊中，且各個步驟之間總是具有一定的邏輯關系和時間順序的，需要對各種網絡安全設備產生的海量、孤立的報警數據進行關聯分析，可以挖掘出其中存在的頻繁項集，有助于發現因果關系不明確的多步攻擊模式，能夠更好的對異常業務訪問行為識別，可以有效的提高網絡威脅檢測和風險預警的能力

基于網絡通信流量的用戶行為異常檢測的關鍵問題是對用戶行為建模，較難針對用戶建立完整準確的行為模式，目前的用戶行為建模方法大多以用戶會話作為研究對象，主要針對單個用戶會話建立模式，關注會話內的特征屬性及其關系，卻忽略了用戶多次會話間的關聯關系所體現出的規律性。

發明內容

為解決現有技術中存在的不足，本發明的目的在于，提供一種基于雙層隱馬爾可夫鏈的用戶異常網絡訪問行為識別方法，其解決了傳統馬爾科夫鏈預測用戶行為無法在長時間跨度下由于針對離散的單個網絡異常行為進行建模，而忽略了用戶多次會話間的關聯關系所體現出的規律性問題，實現了長時間跨度下的數據異常識別。

本發明采用如下的技術方案。

一種基于雙層隱馬爾可夫鏈的用戶異常網絡訪問行為識別方法，包括以下步驟:

步驟1，采集全量的歷史用戶訪問行為數據，分解行為數據，形成訓練樣本；其中，用戶訪問行為就是用戶對網絡的訪問行為。

步驟2，基于訓練樣本進行數據訓練，得到用戶行為的行為模型；

步驟3，基于用戶訪問行為特征進行雙層馬爾科夫鏈建模，利用所述用戶行為的行為模型對實時網絡用戶行為進行檢測,識別出異常用戶；

步驟4，對所述異常用戶訪問操作用戶行為進行持續追蹤；

步驟5，對異常用戶行為進行識別。

另一方面，本發明還提供了一種異常用戶行為識別系統，包括:

采集單元，用于采集全量的歷史用戶訪問行為數據，分解行為數據，形成訓練樣本；

訓練單元，用于基于訓練樣本進行數據訓練，得到用戶行為的行為模型；

學習單元，用于基于用戶訪問行為特征進行雙層馬爾科夫鏈建模，利用所述用戶行為的行為模型對實時網絡用戶行為進行檢測,識別出異常用戶；

追蹤單元，用于對所述異常用戶訪問操作用戶行為進行持續追蹤；

識別單元，用于對異常用戶行為進行識別。