[发明专利]一种基于画像技术的用户网络行为审计建模方法

说明书

一种基于画像技术的用户网络行为审计建模方法，该方法包括以下步骤：通过画像技术还原网络中实体行为，形成实体的关系图谱；通过实体的关系图谱将不同的网络安全数据合并到综合图空间中；对综合图空间进行数据挖掘，建立E‑R图分析模型。能够全面的表述还原网络中各类审计数据、告警事件、人员及设备之间的归属关系、设备与设备之间的流量关系等，进行了全面刻画，能够完整的描述审计的行为在发生时所处的环境、状态以及相关的事件。为后续进行大数据和人工智能分析提供了良好的数据基础，为后续风险事件的溯源提供了数据支撑。

技术领域

本发明涉及网络安全技术领域，具体地说是一种基于画像技术的用户 网络行为审计建模方法。

背景技术

随着网络信息化的普及，各组织单位的业务系统也面临着信息化进程。 业务信息化带来的数据共享方便性不言而喻，但是数据共享的方便性也是 一把双刃剑，同时也带了来数据操作安全的风险。能否实时、准确的的监 管和感知数据风险已经成为各组织和单位共同的关注焦点。

对用户网络行为进行审计是保证网络和数据安全的有力手段。用户网 络行为的审计也逐步从单一的网络安全审计走向了多维审计。国内各安全 公司和研究机构也针对各自的业务领域推出了众多审计分析平台，形成了 诸如流量审计、运维审计、打印审计、刻录审计等众多审计产品，取得了 丰硕的成果，解决了大量的审计安全问题。

信息技术的飞速发展，网络互联进程的推进，使得数据和网络变得越 来越复杂，传统的单一的审计方法已经不能满足当前网络信息安全的审计 要求，单一的审计管理逐步走向融合流量审计、运维审计、打印审计、数 据审计、应用审计和人员行为审计的综合审计管理。

随着综合审计管理需求的出现，传统的审计方法已经不适用于在大规 模复杂网络的审计要求。当前需要设计一种综合的行为审计模型，能够对 网络进行全面审计并具备融合分析和态势感知能力。

发明内容

本发明的目的在于一种基于画像技术的用户网络行为审计建模方法， 用于解决传统的审计方法无法对网络进行全面审计并具备融合分析和态势 感知能力的问题。

本发明解决其技术问题所采取的技术方案是：

本发明提供了一种基于画像技术的用户网络行为审计建模方法，该方 法包括以下步骤：

通过画像技术还原网络中实体行为，形成实体的关系图谱；

通过实体的关系图谱将不同的网络安全数据合并到综合图空间中；

对综合图空间进行数据挖掘，建立E-R图分析模型。

在第一种可能实现的方式中，所述形成实体的关系图谱具体包括以下 方法：

通过网络采集器捕获影响网络安全的事件；

对事件进行拆分定位事件的主体、客体、事件内容；

根据系统中备案的设备信息、资产信息、人员信息以及各种监控指标 和流量控制策略与事件中拆分出来的主体、客体以及事件内容进行映射对 照，形成实体的关系图谱{V₁，V₂，...V_n}。

在第二种可能实现的方式中，通过实体的关系图谱将不同的网络安全 数据合并到综合图空间中具体包括以下方法：

通过对网络内所有网络流量进行源地址、目的地址、协议类型以及流 量发生时间进行抽取，形成综合图空间{E₁，E₂，...E_n}。

在第三种可能实现的方式中，对综合图空间进行数据挖掘，建立E-R 图分析模型具体包括以下方法：