[发明专利]一种识别内网潜在威胁业务账号的方法及装置

说明书

本发明提供一种识别内网潜在威胁业务账号的方法及装置，所述方法包括：确定待测业务账号登录内网的业务资源系统的登录行为日志；基于所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列；确定每个所述待测业务账号的登录行为时间序列的周期，并基于所述周期对所述待测业务账号的登录行为时间序列进行划分，以得到每个所述待测业务账号的子行为时间序列；计算所述待测业务账号的子行为时间序列间的相似度；基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号。本发明的方法能够快速有效，且准确地识别出内网中潜在威胁业务账号。

技术领域

本发明实施例涉及内网业务审计领域，特别涉及一种识别内网潜在威胁业务账号的方法及装置。

背景技术

近年来，企业内网中的业务系统发展十分迅速，尤其企业内网中存在的大量的网络设备、应用系统，及对应的大量业务账号、管理账号，分别归属不同的部门人员进行维护管理，但繁多的账号及业务资源系统，造成管理困难，管理成本较高，更多的带来安全问题：难以对账号行为进行有效的监督和审计。

目前比较行之有效的方案是在企业内部搭建集中管控平台(如统一安全管理平台、堡垒机、安全网关等)，对企业内部的业务资源的账号、账号管理、账号授权进行统一管理及账号行为集中审计，保证在企业内部中能安全、方便的使用特定的业务资源(系统)。

但即使在企业内部搭建集中管控平台统一管理账号及业务资源，也常存在以下的业务问题：

1.业务账号无法全部审计

在每个系统资源内，不是所有的业务账号都在访问管控平台系统内进行审计，例如，在内网环境中存在不经过管控直接发起对业务系统服务请求资源的业务账号，此类业务账号常用于对业务资源的查询、更新等大量频繁操作，对于未在审计范围内的账号活动，带来的缺点一方面是未审计的业务账号的异常活动有可能是破坏性活动，此类业务账号都会对企业重要资产资源造成严重的破坏，尤其是涉及用户数据的企业；而另一方面是未审计的业务账号常见于完成入侵的恶意软件中，常见APT类型(高级可持续威胁攻击类型,也称为定向威胁攻击类型)包括隐秘窃取行为。

2.未审计业务账号的威胁行为研判效率低

对未审计的业务账号威胁行为的判定常见有两种：第一种是通过人为的筛选，业务人员需要对未审计的账号结合其历史行为进行一一验证，这样会增加人工审计的工作成本，工作效率低下，并且容易出错。第二种是需要依靠业务人员的已有经验提炼出规则，进而使用简单的计算公式设定阈值来进行检测，但是其缺点是准确率较低，容易漏报。若漏报的业务账号的行为不属于内网正常账号活动行为，则会对内网业务安全及数据安全造成严重威胁。

发明内容

本发明提供了一种能够有效且准确地识别出内网中潜在威胁业务账号的方法，及应用该方法的电子装置。

本发明实施例提供了一种识别内网潜在威胁业务账号的方法，包括：

确定待测业务账号登录内网的业务资源系统的登录行为日志；

基于所述待测业务账号的登录行为日志确定每个所述待测业务账号的登录行为时间序列；

确定每个所述待测业务账号的登录行为时间序列的周期，并基于所述周期对所述待测业务账号的登录行为时间序列进行划分，以得到每个所述待测业务账号的子行为时间序列；

计算所述待测业务账号的子行为时间序列间的相似度；

基于所述相似度及相似度阈值确定所述待测业务账号是否为潜在威胁业务账号。

可选地，所述待测业务账号为未经管控平台审计的业务账号，所述管控平台用于对向所述内网的业务资源系统发起请求的业务账号进行安全审计；

所述确定待测业务账号登录内网的业务资源系统的登录行为日志，包括：