[发明专利]一种计算机用户行为异常检测方法

说明书

本发明公开了一种用户行为异常检测方法，其中，包括：步骤1：对原始数据进行预处理，消除重复信息和错误信息，生成格式化的用户身份信息、对象信息、时间信息以及行为信息；步骤2：基于用户身份信息、对象信息、时间信息、行为信息，进行用户正常行为建模，建立用户行为基线；步骤3：依据用户行为基线，对实时产生的用户行为进行匹配，检测用户行为异常；步骤4：对于实时产生的正常用户行为，进一步进行用户行为基线调整。本发明的计算机用户行为异常检测方法，实现了对计算机用户行为的异常检测。

技术领域

本发明属于网络安全技术领域，特别是一种计算机用户行为异常检测方法。

背景技术

数据窃取的一种重要手段为内部人员泄密或通过控制内部资产来窃取情报，这是一种隐藏于“正常行为”下的恶意行为，传统安全防护检测手段很难发现。

计算机用户行为异常检测技术基于各类用户日志提取用户行为模型，进而对网络中用户行为的进行综合分析，确定用户行为是否具有恶意性，最终形成用户异常行为告警，并对恶意行为进行技术阻断。

目前计算机用户行为异常检测主要采用基于规则匹配的方法。但从应用的角度看，目前的研究还存在以下不足：

规则定义难度大：需要用户具备非常丰富的规则配置经验，并且需要深度结合用户应用实际，可操作性差；

误报、虚报多：规则需要及时更新，否则无法适应最新的用户行为形势，导致误报、虚报增多，管理员难以处理。

发明内容

本发明的目的在于提供一种用户行为异常检测方法，用于解决上述现有技术的问题。

本发明一种用户行为异常检测方法，其中，包括：步骤1：对原始数据进行预处理，消除重复信息和错误信息，生成格式化的用户身份信息、对象信息、时间信息以及行为信息；步骤2：基于用户身份信息、对象信息、时间信息、行为信息，进行用户正常行为建模，建立用户行为基线；步骤3：依据用户行为基线，对实时产生的用户行为进行匹配，检测用户行为异常；步骤4：对于实时产生的正常用户行为，进一步进行用户行为基线调整。

根据本发明的计算机用户行为异常检测方法的一实施例，其中，用于计算机用户行为异常检测的原始数据来源包括身份认证网关、应用系统以及主机监控系统，经过去冗余、消除错误信息，再进行格式化，形成用户身份信息、对象信息、时间信息以及行为信息。

根据本发明的计算机用户行为异常检测方法的一实施例，其中，其中，用户身份信息包括身份认证信息、IP地址信息、MAC地址信息以及角色信息；对象信息包括IP地址信息、对象类型信息以及端口信息；时间信息包括发起访问时间、持续时间以及终止访问时间；行为信息包括访问协议、访问端口以及操作方式。

根据本发明的计算机用户行为异常检测方法的一实施例，其中，步骤2具体包括：

周期T内，在每天的第k个小时内，用户USER通过m种方式访问了n个对象，访问行为包括OPT₁，OPT₂，…，OPT_m，对象包括OBJ₁，OBJ₂，…，OBJ_n，时间信息中k-1≤STARTk；

得出访问模式矩阵如下：

其中，NUM_mn表示用户通过OPT_m这种方式访问对象OBJ_n的次数；

针对周期T，进行用户正常行为建模，建立访问模式矩阵，如下：