[发明专利]基于UEBA的异常行为分析方法及装置

权利要求书

1.一种基于UEBA的异常行为分析方法，所述方法包括：

获取待分析的目标异常行为；

针对所述目标异常行为进行行为追溯，以确定在所述目标异常行为的发生时刻之前发生的与所述目标异常行为存在逻辑关系的前置行为，并生成包含所述目标异常行为和所述前置行为的目标行为分组；

针对所述目标行为分组进行基于UEBA的异常行为分析。

2.根据权利要求1所述的方法，所述获取待分析的目标异常行为，包括：

读取安全信息管理系统中维护的告警日志所包含的与所述目标异常行为对应的安全事件；

响应于读取到的所述安全事件，将所述安全事件对应的异常行为确定所述待分析的目标异常行为。

3.根据权利要求1所述的方法，针对所述目标异常行为进行行为追溯，以确定在所述目标异常行为的发生时刻之前发生的与所述目标异常行为存在逻辑关系的前置行为，包括：

获取所述目标异常行为对应的进程，追溯与所述目标异常行为对应的进程存在逻辑关系的父进程，将所述父进程对应的行为作为前置行为；和/或，

追溯与所述目标异常行为的行为类型存在逻辑关系的上游行为，将所述上游行为作为前置行为。

4.根据权利要求3所述的方法，追溯与所述目标异常行为对应的进程存在逻辑关系的父进程，将所述父进程对应的行为作为前置行为，包括：

将所述目标异常行为对应的进程确定为目标进程，并追溯与所述目标进程存在逻辑关系的第一父进程；

将所述第一父进程确定为所述目标进程，并继续追溯与所述目标进程存在逻辑关系的第二父进程，依次类推，直至无法追溯到与所述目标进程对应的父进程时停止；

将追溯到的所有父进程对应的行为确定为前置行为。

5.根据权利要求3所述的方法，追溯与所述目标异常行为的行为类型存在逻辑关系的上游行为，将所述上游行为作为前置行为，包括：

将所述目标异常行为确定为目标行为，追溯与所述目标行为的行为类型存在逻辑关系的第一上游行为；

将所述第一上游行为确定为所述目标行为，并继续追溯与所述目标行为的行为类型存在逻辑关系的第二上游行为，依次类推，直至无法追溯到与所述目标行为的行为类型存在逻辑关系上游行为时停止；以及，

将追溯到所有上游行为确定为前置行为。

6.根据权利要求1所述的方法，针对所述行为分组进行基于UEBA的异常行为分析，包括：

将所述目标行为分组与所述目标异常行为的发生时刻之前生成的与所述行为分组相似的行为分组进行合并；

针对合并后的行为分组，进行基于UEBA的异常行为分析。

7.根据权利要求6所述的方法，将所述目标行为分组与所述目标异常行为的发生时刻之前生成的与所述行为分组相似的行为分组进行合并，包括：

确定所述目标异常行为的发生时刻之前生成的行为分组集合中，与所述目标行为分组相似的行为分组集合；

将所述目标行为分组与所述目标行为分组相似的行为分组集合中的行为分组进行合并。

8.根据权利要求1所述的方法，所述目标异常行为的前置行为包括：与发生所述目标异常行为的主机通过网络连接的其它主机上发生的行为；和/或，与发起所述目标异常行为的用户账户不同的其它账户发起的行为。

9.一种基于UEBA的异常行为分析装置，所述装置包括：

行为获取单元，用于获取待分析的目标异常行为；

行为追溯单元，用于针对所述目标异常行为进行行为追溯，以确定在所述目标异常行为的发生时刻之前发生的与所述目标异常行为存在逻辑关系的前置行为，并生成包含所述目标异常行为和所述前置行为的目标行为分组；

异常分析单元，用于针对所述目标行为分组进行基于UEBA的异常行为分析。