[发明专利]基于UEBA进行异常侦测的方法、装置及相关产品

说明书

本申请实施例提供了一种基于UEBA进行异常侦测的方法、装置及相关产品。基于UEBA进行异常侦测的方法包括：实时抓取关联于用户实体行为的系统操作日志源数据；将实时抓取的系统操作日志源数据输入到异常侦测模型群组中，所述异常侦测模型群组包括多个异常侦测模型；由所述异常侦测模型群组中的异常侦测模型根据所述异常侦测判断策略对实时抓取的系统操作日志源数据进行异常侦测判断并输出侦测结果。本申请实施例可进行异常侦测，从而对用户的行为建立有效的监控。

技术领域

本申请涉及安全技术领域，特别是涉及一种基于UEBA进行异常侦测的方法、装置及相关产品。

背景技术

21世纪是数据信息大发展的时代，移动互联、社交网络、电子商务等极大拓展了互联网的边界和应用范围，各种数据正在迅速膨胀并变大。互联网(社交、搜索、电商)、移动互联网(微博)、物联网(传感器，智慧地球)、车联网、GPS、医学影像、安全监控、金融(银行、股市、保险)、电信(通话、短信)都在疯狂产生着数据，海量的数据隐含着巨大的信息。

数据是信息的载体，一旦遭遇数据灾难，可能给用户造成不可估量的损失。因此，亟待提供一种进行异常侦测的方法，从而对用户的行为建立有效的监控。

发明内容

基于上述问题，本申请实施例提供了一种基于UEBA进行异常侦测的方法、装置及相关产品。

本申请实施例公开了如下技术方案：

一种基于UEBA进行异常侦测的方法，其包括：

实时抓取关联于用户实体行为的系统操作日志源数据；

将实时抓取的系统操作日志源数据输入到异常侦测模型群组中，所述异常侦测模型群组包括多个异常侦测模型；

由所述异常侦测模型群组中的异常侦测模型根据所述异常侦测判断策略对实时抓取的系统操作日志源数据进行异常侦测判断并输出侦测结果。

可选地，在本申请一实施例中，所述多个具有先后运行逻辑的异常侦测模型按照分布式架构设置在多个后台服务器上。

可选地，在本申请一实施例中，所述由所述异常侦测模型群组中的异常侦测模型根据所述异常侦测判断策略对实时抓取的系统操作日志源数据进行异常侦测判断并输出侦测结果，包括：若所述侦测结果表明所述系统操作日志源数据异常，则生成报警事件。

可选地，在本申请一实施例中，多个所述异常侦测模型具有级联的逻辑处理关系；对应地，所述异常侦测判断策略根据所述级联的逻辑处理关系确定；所述由所述异常侦测模型群组中的异常侦测模型根据所述异常侦测判断策略对实时抓取的系统操作日志源数据进行异常侦测判断并输出侦测结果，包括：若上一个异常侦测模型输出表明实时抓取的系统操作日志源数据正常，则由所述上一个异常侦测模型将实时抓取的系统操作日志源数据转发给下一个异常侦测模型对实时抓取的系统操作日志源数据进行异常侦测判断并输出侦测结果。

可选地，在本申请一实施例中，多个所述异常侦测模型具有并行的逻辑处理关系；对应地，所述异常侦测判断策略根据所述级联的逻辑处理关系确定；所述由所述异常侦测模型群组中的异常侦测模型根据所述异常侦测判断策略对实时抓取的系统操作日志源数据进行异常侦测判断并输出侦测结果，包括：多个所述异常侦测模型并行对实时抓取的系统操作日志源数据进行异常侦测判断并输出侦测结果。

可选地，在本申请一实施例中，实时抓取关联于用户实体行为的系统操作日志源数据之前包括：获取关联于用户实体行为的系统操作日志源样本数据；根据建立的日志模板，对所述系统操作日志源样本数据进行解析处理得到关键日志样本数据；按照建立的数据分类维度，对所述关键日志样本数据进行分类处理得到若干类关键日志有效样本数据；根据所述若干类关键日志有效样本数据以及机器学习训练模型，建立异常侦测模型。