[发明专利]一种基于用户群行为活动的安全分析方法有效
| 申请号: | 201811120889.1 | 申请日: | 2018-09-26 |
| 公开(公告)号: | CN109347808B | 公开(公告)日: | 2021-02-12 |
| 发明(设计)人: | 吴朝雄;石波;于冰;郭敏;王晓菲 | 申请(专利权)人: | 北京计算机技术及应用研究所 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08;G06F16/953;G06F16/958 |
| 代理公司: | 中国兵器工业集团公司专利中心 11011 | 代理人: | 王雪芬 |
| 地址: | 100854*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种基于用户群行为活动的安全分析方法,涉及网络安全技术领域。本发明通过构建实体用户与应用系统用户的映射关系,形成统一的用户身份管理,为异常行为定位到个人提供基础。同时,搜集用户在网络中的行为活动信息,形成完整的用户行为活动记录,并根据历史数据进行统计分析,形成四类用户日常行为模式。依据用户行为活动“白模式”中的信息,实时分析用户行为和模式,实时研判用户行为是否属于异常行为。对不确定的用户行为活动,进行逆向用户行为分析和判断,通过深度分析线索,并结合与该用户具有相同角色和权限的用户的行为模式的对比分析结果,实现对用户行为的监测以及高危用户行为评估,从而发现数据渗透、APT攻击等行为。 | ||
| 搜索关键词: | 一种 基于 用户 行为 活动 安全 分析 方法 | ||
【主权项】:
1.一种基于用户群行为活动的安全分析方法,其特征在于,包括以下步骤:步骤1:将网络或者系统中的应用系统用户与实体用户进行一一关联和映射;步骤2:通过搜集用户在网络或系统中的行为活动数据,提取用于用户行为活动分析的属性信息,形成用户网络行为活动记录;步骤3:根据用户网络行为活动记录,从访问频率、时间、访问途径、访问内容的维度,建立用户正常行为活动模式,形成用户行为活动基线库;步骤4:用户行为活动初次判断:将用户的实时行为活动与用户行为活动基线库中的用户正常行为活动模式对比,判断当前用户行为的模式,如果符合用户正常行为活动模式,则判定为正常行为,否则预判为可疑行为模式,转入步骤5;步骤5:用户行为逆向追踪:对预判为可疑行为模式的用户行为进行逆向追踪和分析,明确用户行为环节中各个节点状况,若判定用户行为活动为异常行为,则转入步骤8,否则转入步骤6;步骤6:可疑行为二次判断:通过将可疑行为模式的行为活动与其他相同角色的用户行为活动进行对比分析,判断被分析的用户行为活动的是正常行为还是异常行为,若判定为异常行为,则进入步骤8,否则进入步骤7;步骤7:根据步骤6的二次判断结果,采用LRU的方式更新用户行为活动基线库;步骤8:根据对用户行为二次判断的结果,对异常行为进行告警,并更新异常行为库。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京计算机技术及应用研究所,未经北京计算机技术及应用研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201811120889.1/,转载请声明来源钻瓜专利网。
