[发明专利]企业内部用户异常行为检测方法和装置

说明书

本发明涉及网络安全技术领域，尤其涉及企业内部用户异常行为检测方法和装置。本发明公开了企业内部用户异常行为检测方法，还公开了企业内部用户异常行为检测装置，包括：行为日志获取和预处理模块；行为细节建模模块；业务状态转移预测模块；恶意行为评分判别模块。本发明使用非监督的机器学习方法，充分利用了企业中无标注的历史行为日志数据构建用户行为模型，提高了异常行为检测的准确率，降低了误报率和漏报率，为检测企业内部威胁提供了有效手段。

技术领域

本发明涉及网络安全技术领域，尤其涉及企业内部用户异常行为检测方法和装置。

背景技术

全球企业每年因为内部用户蓄意破坏或无意失职导致的损失所占比重越来越大，内部威胁日益成为企业安全关注的重点。攻击者来自企业内部，攻击往往发生在工作时间，恶意行为嵌入在大量正常数据中，增加了数据挖掘分析的难度；同时攻击者往往具有组织安全防御机制的相关知识，可以采取措施规避安全检测。然而，内部威胁攻击模式多样，获取攻击样本成本高、难度大，人工判定异常工作量大、识别准确率低，当前较为成熟的有监督的机器学习方法，无法有效利用企业历史数据进行用户行为建模。

目前流行的标签式用户行为画像方法，针对以上数据进行统计建模，并通过学习历史数据中统计数值的大小，为用户贴标签，确定判别阈值，进而实现对新数据的异常性进行判定和打分。该方法过度依赖人工特征提取，且只能利用小部分统计性行为数据，大量细节信息被忽略，导致形成的行为模型缺细节、不全面，极大的影响了用户异常行为的判定准确率。

申请号为CN201710668128.9的发明提出了一种基于用户行为相似度的的行为检测方法，通过获取当前用户与其他用户之间的行为相似度，计算当前用户的当前行为的概率值，依据概率值，对所述当前行为进行检测。该发明中用户相似度的计算基于统计同一时间段内发生该行为的用户一共有多少人，以及当前一共有多少用户，分别统计在不同的网络环境下，每个用户的每个行为各发生了多少次这些简单的统计数据，忽略了大量行为细节信息。

综上，目前企业内部用户异常行为检测存在如下问题：

1.用户行为特征的确定和提取过度依赖人工，所提取特征多为简单的统计性信息，忽略大量的用户行为细节信息。

2.当前流行的互联网中贴标签式的用户行为画像方法，对网站访问量等基本数据进行统计、分析，从中发现用户访问网站的规律，此类方法适合于业务经营和商业推荐等领域，在内部威胁检测领域无法发挥作用。

发明内容

针对上述问题，本发明提出了企业内部用户异常行为检测方法和装置，使用非监督的机器学习方法，能够充分利用企业中无标注的历史行为日志数据构建用户行为模型，提高了异常行为检测的准确率，降低了误报率和漏报率，为检测企业内部威胁提供了有效手段。

为了实现上述目的，本发明采用以下技术方案：

企业内部用户异常行为检测方法，包括以下步骤：

步骤1：将企业内部用户的历史行为日志数据按照用户ID划分为不同的数据流，针对不同行为对应的历史行为日志数据，在解析过程中，进行不同的处理，将每条历史行为日志数据解析为一个五元组；

步骤2：为解析后的历史行为日志数据建立索引，存储到全文搜索引擎数据库中，作为初始搜索的基础数据，当接收到新的行为日志数据时，通过搜索新的行为日志数据对应的五元组提取对应的行为细节信息，检索每个行为细节信息在历史行为中出现的频率及时间节点信息，完成新行为与历史行为的比对，将文字型日志数据转化为数值型向量，利用转化为数值型向量的历史行为日志数据构建用户行为模型；