[发明专利]一种基于内网实体关系与行为链的内部威胁发现方法

说明书

本发明公开了一种基于内网实体关系与行为链的内部威胁发现方法，该方法包括：收集指定时间内的事件映射为行为信息模型，并构建实体关联度模型库；收集指定时间内的事件映射为行为信息模型并进行分类，生成行为链；量化行为链；对所有行为链量化结果进行离群度检测，根据行为链的离群程度确定异常行为链，进而判断异常用户；交叉分析所有的异常行为链与异常用户，判断恶意共谋行为。本发明通过将安全事件映射为行为信息模型，进而对行为信息模型进行统计分析，获得了实体关联度模型库。然后利用行为信息模型与实体关联度模型库将内网实体关系与用户在指定时间内形成的行为链相结合并进行量化，实现了对内部网络威胁的发现。

技术领域

本发明涉及信息安全领域，具体是安全运维技术。

背景技术

在当前互联网迅速发的时代下，网络的复杂程度日益增加，同时网络攻击的手段也趋于多样化，其复杂程度也不断上升。面对多样化的网络攻击，企业对网络攻击的关注度越来越高，采用很多方式提高了威胁发现与防范攻击的能力，但常被忽视的一个事实是：越来越多网络攻击的源头来自机构内部。在企业网络安全防范过程中，由于对内部威胁认识不足,所采取的安全防范措施不当,导致了内部网络安全事故逐年上升。由于企业内部网络中传递的信息包含了大量的内部机密与重要文件资料,所以其安全性对于企业的核心利益和长远发展有着重要影响。来自牛津大学赛德商学院的研究表明，目前披露报道的内部攻击仅仅是冰山一角(只占报道总数1％)。那些涉及公众的网络事件往往不得不对外披露，然而更多内部网络安全事件几乎每天都在发生。

其中高级持续性威胁(Advanced Persistent Threat，APT)已经被广泛提及与关注。APT攻击是攻击者以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，其主要特点是持续性与潜伏性，具有高度隐蔽性。

传统的检测手段主要是通过专家经验生成规则针对单次的威胁，或者利用机器学习生成的行为模型来匹配用户的行为从而发现异常的行为与用户，对于位置的威胁无法进行及时的发现与定位。

综上，如何应对内部网络攻击的能力对于企业越来越重要。因此，有必要提出一种针对内网未知威胁发现的方法。

发明内容

本发明提出了一种基于内网实体关系与行为链的内部威胁发现方法。其能够将内网实体的关系与用户行为相结合并进行量化。并根据行为链的偏离发现异常行为链，进而判断是否存在异常行为以及异常用户。

本发明是通过以下技术方案实现的：一种基于内网实体关系与行为链的内部威胁发现方法，其方法包括以下内容：

A.构建用户行为信息模型，由源IP、目标IP、上传包个数、下载包个数、上传字节数、下载字节数、平均上传流量、平均下载流量操作、结果组成；

B.构建实体关联度模型，由：由源IP、目标IP、平均上传流量(每个包/Byte)、平均下载流量(每个包/Byte)、操作、结果、操作次数、访问次数、总访问次数组成。

C.生成实体关联度模型库：

a)收集一定时间周期内的所有事件

b)将事件映射到用户行为信息模型中

c)将所有的用户行为信息模型按照源IP、目标IP、操作、结果进行分类统计最终映射到实体关联度模型中，生成实体关联度模型库；

D.生成行为链：

将一定时间周期内的所有事件映射为行为信息模型，然后将所有行为信息模型按照源IP进行分类，每一个分类中的所有行为信息模型构成指定用户在指定时间周期内的行为链。

E.量化行为链。

a)将行为链中的每个行为信息模型根据其源IP、目标IP、操作、结果去实体关联度模型库查找对应的记录