[发明专利]基于UEBA的异常行为分析方法及装置

说明书

本说明书提供一种基于UEBA的异常行为分析方法，通过获取待分析的目标异常行为；针对所述目标异常行为进行行为追溯，以确定在所述目标异常行为的发生时刻之前发生的与所述目标异常行为存在逻辑关系的前置行为，并生成包含所述目标异常行为和所述前置行为的目标行为分组；针对所述目标行为分组进行基于UEBA的异常行为分析。

技术领域

本说明书一个或多个实施例涉及计算机技术领域，尤其涉及一种基于UEBA的异常行为分析方法及装置。

背景技术

随着计算机技术的发展，在网络安全领域中，伴随着数据的大量采集以及安全信息与事件管理/安全运营中心(SIEM/SOC，Security Information Event Management/Security Operations Center)类平台的建立，为基于数据关联分析的威胁检测方法提供了基础与可行性，用户与实体行为分析(UEBA，User and Entity Behavior Analytics)在这种情况下应运而生。UEBA以用户或实体作为对象，基于收集的海量数据，进行行为的关联分析与建模，构建多维度基线，同时引入机器学习来发现异常行为，进而发现潜在的安全威胁。

发明内容

有鉴于此，本说明书一个或多个实施例提供一种基于UEBA的异常行为分析方法及装置，以解决相关技术中存在的问题。

为实现上述目的，本说明书一个或多个实施例提供技术方案如下：

根据本说明书一个或多个实施例的第一方面，提出了一种基于UEBA的异常行为分析方法，所述方法包括：

获取由多个待检测对象的访问行为数据样本构成的数据集；其中，所述多个待检测对象包括访问行为相似的至少一个对象群体；

获取待分析的目标异常行为；

针对所述目标异常行为进行行为追溯，以确定在所述目标异常行为的发生时刻之前发生的与所述目标异常行为存在逻辑关系的前置行为，并生成包含所述目标异常行为和所述前置行为的目标行为分组；

针对所述目标行为分组进行基于UEBA的异常行为分析。

根据本说明书一个或多个实施例的第二方面，提出了一种基于UEBA的异常行为分析装置，所述装置包括：

行为获取单元，用于获取待分析的目标异常行为；

行为追溯单元，用于针对所述目标异常行为进行行为追溯，以确定在所述目标异常行为的发生时刻之前发生的与所述目标异常行为存在逻辑关系的前置行为，并生成包含所述目标异常行为和所述前置行为的目标行为分组；

异常分析单元，用于针对所述目标行为分组进行基于UEBA的异常行为分析。

根据本说明书一个或多个实施例的第三方面，提出了一种电子设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器通过运行所述可执行指令以实现如第一方面所述的方法。

根据本说明书一个或多个实施例的第四方面，提出了一种计算机可读存储介质，其上存储有计算机指令，该指令被处理器执行时实现如第一方面所述方法的步骤。

本申请的有益效果：

本申请通过对待分析的目标异常行为进行追溯，将追溯到的与目标异常行为存在逻辑关系的前置行为构建行为分组，由于前置行为能够跨越多个主机多个账户，因此本申请构建的行为分组中的行为足够完善，可以包括攻击源的整条攻击链上的攻击行为，因此能够极大的提升UEBA的检测效果。同时，只针对在一段时间范围内的前置行为进行追溯，而非追溯一段时间内的用户或实体的全部行为，因此系统性能不变的情况下，能够支持更加长周期的行为跨度，提升了基于UEBA的检测性能。