[发明专利]一种识别内网潜在威胁业务账号的方法及装置

权利要求书

1.一种识别内网潜在威胁业务账号的方法，包括：

确定待测业务账号登录内网的业务资源系统的登录行为日志；

基于所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列；

确定每个所述待测业务账号的登录行为时间序列的周期，并基于所述周期对所述待测业务账号的登录行为时间序列进行划分，以得到每个所述待测业务账号的子行为时间序列；

计算所述待测业务账号的子行为时间序列间的相似度；

基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号；

所述确定每个所述待测业务账号的登录行为时间序列的周期，并基于所述周期对所述待测业务账号的登录行为时间序列进行划分，以得到每个所述待测业务账号的子行为时间序列，包括：

基于快速傅里叶变换算法对每个所述待测业务账号的登录行为时间序列进行计算，以确定出每个所述待测业务账号的登录行为时间序列的周期；

基于所述周期对对应的所述待测业务账号的登录行为时间序列进行切片分段，以得到对应每个所述待测业务账号的子行为时间序列；

所述计算所述待测业务账号的子行为时间序列间的相似度，包括：

基于动态时间规整算法计算所述待测业务账号中时序相邻的子行为时间序列的相似度；

所述基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号，包括：

确定每个所述待测业务账号的相似度中与所述相似度阈值满足目标关系的第一相似度；

统计所述第一相似度的数量；

确定所述第一相似度与对应的所述待测业务账号的全部相似度的比例数值；

基于所述比例数值与占比阈值确定所述待测业务账号是否为潜在威胁业务账号。

2.根据权利要求1所述的方法，其中，所述待测业务账号为未经管控平台审计的业务账号，所述管控平台用于对向所述内网的业务资源系统发起请求的业务账号进行安全审计；

所述确定待测业务账号登录内网的业务资源系统的登录行为日志，包括：

自所述业务资源系统的系统日志中获得对应所述业务资源系统的第一登录行为日志；

自所述管控平台中获得对应所述业务资源系统的第二登录行为日志；

基于所述第一登录行为日志及第二登录行为日志确定未经审计的所述待测业务账号的登录行为日志。

3.根据权利要求2所述的方法，其中，所述第一登录行为日志及第二登录行为日志均包括业务账号、源IP地址及登录时间，其中，经过所述管控平台登录所述业务资源系统的业务账号，其在所述第一登录行为日志及第二登录行为日志中的所述源IP地址相同；

所述基于所述第一登录行为日志及第二登录行为日志确定未经审计的所述待测业务账号的登录行为日志，包括：

滤除在所述第一登录行为日志及第二登录行为日志中对应同一业务账号的源IP地址相同，且登录时间相同的所述第一登录行为日志及第二登录行为日志；

将剩余的所述第一登录行为日志确定为所述待测业务账号的登录行为日志。

4.根据权利要求1所述的方法，其中，所述待测业务账号的登录行为日志包括待测业务账号、源IP地址、登录时间；

所述基于所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列，包括：

设置满足时间序列的多个目标时间段；

基于所述待测业务账号的登录行为日志确定在每个所述目标时间段内对应同一所述待测业务账号及源IP地址的登录次数；

基于每个所述待测业务账号及对应的目标时间段、登录次数分别构建对应每个所述待测业务账号的登录行为时间序列。