[发明专利]用于检测计算机网络系统用户的异常行为的方法

说明书

本发明提供了一种用于检测计算机网络系统用户的异常行为的方法，包括从计算机网络系统中选取至少两个数据源；利用配置的张量数据结构分别从相应的数据源中提取用户行为数据并且对所提取的数据进行聚合；以及基于聚合的张量数据，进行用户行为的异常检测。根据本发明的方法可以高效整合大量互不相干的安全数据，自动辨别异常行为。

技术领域

本发明涉及信息安全领域，具体而言，涉及用于检测计算机网络系统用户的异常行为的方法。

背景技术

当前的信息安全领域正面临多种挑战：一方面，企业安全架构日趋复杂，各种类型的安全设备、安全数据越来越多，传统的分析能力明显力不从心；另一方面，由于以APT(高级可持续性威胁)和内部人员攻击为代表的新型威胁的兴起、内控与合规的深入，越来越需要储存与分析更多的安全信息并且更加快速地做出判定和响应。

因为大量互不相干的数据流难以形成简明、有条理的事件“拼图”，想要了解难以察觉的安全威胁往往会耗费数天甚至数月的时间。所采集和分析的数据量越大、看起来越混乱，重构事件所需的时间也就越长。

发明内容

本发明旨在提供一种方案，用于高效整合大量互不相干的安全数据，自动辨别异常行为，形成企业运维人员能够理解和解释的异常场景。

根据本发明的用于检测计算机网络系统用户的异常行为的方法，包括：从计算机网络系统中选取至少两个数据源，该至少两个数据源分别具有关于用户行为的记录；根据每个数据源的类型配置与该数据源相对应的张量数据结构，张量数据结构定义了需要从相应的数据源中提取的关于用户行为的多个数据；利用已配置的张量数据结构分别从相应的数据源中提取关于用户行为的多个数据并且对所提取的数据进行多维度聚合；以及基于经聚合得到的张量数据，进行用户行为的异常检测。

计算机网络系统可以包括终端设备、应用服务器、网络设备和/或其它可以生成关于用户行为的记录(日志)的设备。

数据源可以指相应设备的日志，根据本发明的方法从数据源中抽取用户、应用和/或实体的行为。由于日志中可能存在重复字段或弱功能字段等冗余信息，通过利用张量数据结构提取有价值的信息，可以在进行异常行为检测前先去除这些冗余信息，仅保留异常行为检测所需的信息。

通过配置与各个数据源相应的张量数据结构，换言之，通过定义需要从各个数据源中提取的关于用户行为的数据(字段)，可以灵活地从计算机网络系统的多个不同数据源中提取异常行为检测所需的信息。对于从各个数据源提取出的数据还需要进行聚

合处理。这里，聚合是指，对于在同一个时间粒度内特征维度(dimension)相同的多条日志，在每个标量维度上(measure)做累加，此外，还可以同时自动添加一个标量属性(count)。数据提取和聚合的过程同时对源数据进行了很大程度的压缩，仅保存了异常分析所需要的所有信息，避开了大量源数据中不必要的重复或者弱功能字段，降低了数据冗余，从而可以做到对原始日志两到三个数量级的压缩。

本发明的实施方式可以包括下列一个或多个特征。

从相应的数据源中提取的关于用户行为的多个数据包含关于考察主体的数据，该考察主体能够和相应的用户进行关联。考察主体可以将从相应的数据源中提取的多个行为特征联系起来。

计算机网络系统的每个用户具有唯一的用户身份(ID)用于标识该用户。不同的数据源可能会发生关联，但是在独立的日志中无法得到这种关联关系。通过设置唯一的用户身份，可以将所有行为日志都对应到相应的用户上。

在从不包括所述用户身份的数据源中提取关于用户行为的多个数据时，利用存储在图数据库中的关联关系将从该数据源中提取的关于考察主体的数据与所述用户身份相关联。通过引入图数据库，可以将多种数据源链接、补全，从而整合不同的数据源数据。尤其是对于不直接包括用户ID的日志，在数据提取时使用图数据库中的关联关系可以获取与所提取数据相对应的用户。