一种用户行为分析方法及装置与流程

本申请涉及计算机技术领域，尤其涉及一种用户行为分析方法及装置。

背景技术：

Linux平台常规的用户态挂钩(user mode hook)方案是首先在系统配置文件/etc/ld.so.preload中指定共享库文件(shared object，so)路径，操作系统启动进程时会根据该配置文件中的设置，加载指定so文件,从而达对进程注入的目的。

这个机制本身存在一个明显的缺陷。/etc/ld.so.preload中的配置项是对整个系统生效的，所有进程启动都会加载其中指定的shared object文件，因此无法做到仅仅挂钩(hook)某些特定的进程，亦即无法实现进程白名单。由于user mode hook对于系统性能、安全性、稳定性和兼容性等方面都有可能产生负面影响，因此，白名单机制就显得既重要而且必要。

用户行为是一个抽象的概念。例如，一个黑客入侵一台主机的整个过程可以称之为一种用户行为，而一个管理员登录一台主机做日常的管理维护工作也可称之为一种用户行为。如何识别这些用户行为并加以区分，对于主机安全具有非凡的意义。

另外，当前系统内可能并发的运行着大量的命令，对于高性能服务器尤其如此。由此引发出一个问题，即hook模块可能捕获到大量的用户操作事件。但受到网络带宽的限制，同时也为了避免对系统资源的过度使用而影响其他业务的正常运行，hook模块通常无法满负荷运转，因此也无法及时高效的将消息流发送给大数据处理模块。另外，系统中可能存在一些循环执行的命令，这些命令常常完全相同，或者非常的近似。这些信息如果全部被传递给数据分析模块，反而会拖累整个分析过程的速度。因此，在hook模块中尽可能的过滤重 复或相似的命令就愈发重要，这就要求hook模块具备识别相似的命令的能力，并能够针对用户的行为进行进一步的分析。

申请内容

本申请的目的是提供一种用户行为分析方法及装置，以解决现有Linux用户态注入无法实现进程白名单，且针对用户行为分析效率低下的问题。

本申请的目的是通过以下技术方案实现的：

一种用户行为分析方法，包括：

当系统启动一进程时，基于预设的白名单数据，判定所述一进程未记录在所述白名单数据中时，将指定的第一共享库文件加载到所述进程对应的进程空间，所述第一共享库文件用于描述一系列监控操作；

根据所述第一共享库文件中记录的监控操作信息，抓取运行所述一进程涉及的用户行为数据；

基于获得的用户行为数据，针对用户行为进行相应分析。

这样既实现了对用户进程注入的白名单，能够提供一种更安全、可靠、稳定、灵活的共享库注入方案，而且用户行为特征向量的引入，是对用户行为建模的基础，为识别和区分黑客和合法系统用户的行为创造了条件，实现了对用户行为的量化计算，进而为智能分析用户行为提供了可能。

可选的，当系统启动一进程时，基于预设的的白名单数据，判定所述一进程是否记录在所述白名单数据中，具体包括：

当系统启动一进程时，从数据库中获取所述一进程的路径信息，基于据库中记录的白名单数据，判断所述路径信息是否记录在所述白名单数据中，若是，则判定所述一进程记录在所述白名单数据中；否则，判定所述一进程未记录在所述白名单数据中。

可选的，进一步包括：

判定所述一进程记录在所述白名单数据中时，将系统中的源共享库文件加 载到所述进程对应的进程空间，所述源共享库文件中记录有各种功能函数和对外接口信息。

可选的，在抓取到运行所述一进程涉及的用户行为数据后，在针对所述用户行为数据提取关键行为特征之前，进一步包括：

基于抓取到的用户行为数据，利用数据库的白名单数据确定所述用户行为数据未记录在所述白名单中，确定允许执行后续提取操作。

可选的，基于获得的用户行为数据，针对用户行为进行相应分析，具体包括：

基于获得的用户行为数据，提取关键行为特征，形成行为特征向量；

按照预设的行为特征规则，对所述行为特征向量进行分类和排序处理，组装成事件流，并对所述事件流进行相应分析。

可选的，按照预设的的行为特征规则，对所述行为特征向量进行分类和排序处理，组装成事件流，并对所述事件流进行相应分析，具体包括：

按照数据库中记录的行为特征规则，对所述行为特征向量进行分类和排序处理，组装成事件流，不同的行为特征规则对应不同的事件流；

针对每一个事件流中行为特征向量分别与对应的行为规则向量计算相似度，确定相似度大于设定的阈值时，将所述事件流发送至指定平台进行进一步分析。

一种用户行为分析装置，包括：

加载单元，用于当系统启动一进程时，基于预设的的白名单数据，判定所述一进程未记录在所述白名单数据中时，将指定的第一共享库文件加载到所述进程对应的进程空间，所述第一共享库文件用于描述一系列监控操作；

抓取单元，用于根据所述第一共享库文件中记录的监控操作信息，抓取运行所述一进程涉及的用户行为数据；

分析单元，用于基于获得的用户行为数据，针对用户行为进行相应分析。

这样既实现了对用户进程注入的白名单，能够提供一种更安全、可靠、稳 定、灵活的共享库注入方案，而且用户行为特征向量的引入，是对用户行为建模的基础，为识别和区分黑客和合法系统用户的行为创造了条件，实现了对用户行为的量化计算，进而为智能分析用户行为提供了可能。

可选的，当系统启动一进程时，基于预设的白名单数据，判定所述一进程是否记录在所述白名单数据中时，所述加载单元具体用于：

当系统启动一进程时，从数据库中获取所述一进程的路径信息，基于据库中记录的白名单数据，判断所述路径信息是否记录在所述白名单数据中，若是，则判定所述一进程记录在所述白名单数据中；否则，判定所述一进程未记录在所述白名单数据中。

可选的，所述加载单元进一步用于：

判定所述一进程记录在所述白名单数据中时，将系统中的源共享库文件加载到所述进程对应的进程空间，所述源共享库文件中记录有各种功能函数和对外接口信息。

可选的，在抓取到运行所述一进程涉及的用户行为数据后，在针对所述用户行为数据提取关键行为特征之前，所述抓取单元进一步用于：

基于抓取到的用户行为数据，利用数据库的白名单数据确定所述用户行为数据未记录在所述白名单中，确定允许执行后续提取操作。

可选的，基于获得的用户行为数据，针对用户行为进行相应分析时，所述分析单元具体用于：

基于获得的用户行为数据，提取关键行为特征，形成行为特征向量；

按照预设的行为特征规则，对所述行为特征向量进行分类和排序处理，组装成事件流，并对所述事件流进行相应分析。

可选的，按照预设的的行为特征规则，对所述行为特征向量进行分类和排序处理，组装成事件流，并对所述事件流进行相应分析时，所述分析单元具体用于：

按照数据库中记录的行为特征规则，对所述行为特征向量进行分类和排序 处理，组装成事件流，不同的行为特征规则对应不同的事件流；

针对每一个事件流中行为特征向量分别与对应的行为规则向量计算相似度，确定相似度大于设定的阈值时，将所述事件流发送至指定平台进行进一步分析。

附图说明

图1为本申请实施例用户行为分析系统架构图；

图2为本申请实施例中用户行为分析方法流程示意图；

图3为本申请实施例中Linux系统的进程启动流程图；

图4为本申请实施例中用户行为分析装置结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，并不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

现有的Linux平台用户态注入so技术无法做到进程粒度的白名单。本申请实施例中基于Linux virtual file system和用户态(User mode)挂钩(hook)技术相结合的so注入方法，可以实现对特定进程的注入，从而将hook模块对系统其他应用的影响降到最低，此外针对用户行为分析时，引入了用户行为特征向量，这是引入数学方法分析用户行为的基础，为用户行为的智能分析提供了可能性。

结合这种hook机制的特点，本申请通过引入文件系统过滤驱动，在进程启动之初，读取/etc/ld.so.preload文件时，过滤掉无需注入的进程，从而实现了user mode hook的白名单功能，而且本申请使用特征向量来描述用户的行为。特征向量中包含用户行为的关键特征点，这为用户行为的识别，相似度计算， 智能分析提供了可能。

本申请实施例方法中涉及的用户行为分析系统架构可参阅图1所示，系统主要包含以下部分：

1)文件系统重定向驱动(File system redirect driver)模块，Linux的虚拟文件系统(virtual file system，VFS)提供了一系列回调接口，用以扩展文件系统本身的功能，通过这套接口可以很容易的实现文件重定向。用户的行为通常体现为一系列进程的行为。Linux系统上，任意进程启动都会访问/etc/ld.so.preload文件，以确定是否存在需要预加载的共享库文件(shared object，so)，而通过文件系统过滤驱动可以捕获这一下行为并加以利用。例如，当某一进程未命中白名单时，驱动程序通过将读取/etc/ld.so.preload文件的操作重定向到其他文件(即/etc/ld.so.preload.fake)来实现对特定进程注入so。

2)用户态挂钩模块，用户态Hook模块的实现功能和路径通过上述的shared object的形式注入特定进程，进而感知被注入进程的行为，用于捕获当前系统所有用户执行命令的事件，如修改系统配置、访问敏感数据、发起网络连接等。

3)用户行为特征向量提取器(UBF vector extractor)，根据用户态Hook模块中捕获的原始事件，提取出关键行为特征点，组装成统一格式的数据包，形成行为特征向量。

例如，某个用户尝试访问一个敏感文件，用户行为特征向量提取器根据宽松用户行为特征库来提取用户的关键行为特征点，其中，宽松用户行为特征库中规定了提取用户关键行为特征的规则，即提取哪些信息作为用户的关键行为特征，此时，用户行为特征向量提取器根据宽松用户行为特征库获取需要提取的关键行为特征，将用户ID，用户名，用户分组，敏感文件名，访问时间，命令参数等信息作为该用户此次行为的关键行为特征点，并组装成统一格式的数据包，形成行为特征向量。

4)事件收集器(Event collector)，用于收集特征向量提取器采集到的数据包，并依据用户行为特征规则库将数据包组装成事件流，并将其传递给事件流 预处理器。

5)事件流预处理器(Event stream pre-processor)，用于初步处理来自事件收集器的消息流，如消息去重、相似度计算、使用用户行为特征规则做事件过滤等，未被过滤掉的事件将传递给网络接口模块，被过滤掉的事件将被丢弃。

6)网络接口模块(Network interface)，用于将经过预处理的事件发送到云计算平台，作进一步的分析。

7)白名单(White list)数据库，定义白名单命令、用户、文件、IP地址等规则，供文件系统重定向驱动模块、用户态hook模块、事件收集器使用。

8)宽松用户行为特征(Ease user behavior feature)库，定义了用户行为特征规则，用户行为特征向量规则，宽松的匹配规则，相似度阈值等。

以上简述了本申请实施例中的系统架构，以及定义了模块的功能。以下将根据本系统中的客观信息和数据，如何进行用户行为分析及行为判定做出详细说明。

参阅图2所示，本申请实施中提供一种用户行为分析方法，可用于Linux或Unix系统中，具体流程如下：

步骤200：当系统启动一进程时，基于预设的白名单数据，判定该进程未记录在白名单数据中时，将指定的第一共享库文件加载到该进程对应的进程空间，第一共享库文件用于描述一系列监控操作。

具体的，当系统启动一进程时，基于预设的白名单数据，判定该该进程是否记录在白名单数据中，具体过程为：当系统启动一进程时，从数据库中获取该进程的路径信息，基于据库中记录的白名单数据，判断该路径信息是否记录在白名单数据中，若是，则判定该进程记录在白名单数据中；否则，判定该进程未记录在白名单数据中。

进一步的，判定一进程记录在白名单数据中时，将系统中的源共享库文件加载到该进程对应的进程空间，源共享库文件中记录有各种功能函数和对外接口信息。

例如，图3是Linux系统中进程启动初期的流程图，Linux启动进程时首先会检查/etc/ld.so.preload文件是否存在，如果存在，则根据文件中指定的路径加载相应的shared object到进程空间。这里通过VFS提供的回调接口加入了文件读取的过滤逻辑。当系统尝试访问/etc/ld.so.preload文件时，驱动程序将根据白名单数据检查该进程是否需要注入shared object，如果白名单没有命中则将对/etc/ld.so.preload的访问重定向到/etc/ld.so.preload.fake，前者不包含需要注入的shared object路径，后者则包含前者的内容和User mode hook模块(即shared object文件)的路径信息。由于/etc/ld.so.preload.fake中包含hook模块的路径，当进程启动时，该模块即被加载到进程空间实现对进程的监控。因此，通过文件重定向的手段，即可实现仅对特定进程注入的目的。由于第一共享库预加载(preload)的so中定义了与被hook的系统调用接口完全一致的函数，系统在装载第一共享库文件时，就会用这个函数取代原始的系统调用，从而达到在既有程序中动态注入代码的目的。通过这段代码，可以实现一些安全相关的操作，例如获取运行当前命令的用户身份、命令执行的具体参数等信息。

由于Linux系统的用户态shared object注入方式是全局生效的，即所有进程启动都要加载这个shared object，这将对系统性能、稳定性带来巨大的挑战，这里通过文件系统重定向驱动模块实现了进程的白名单，提升了系统性能。

步骤201：根据第一共享库文件中记录的监控操作信息，抓取运行上述进程涉及的用户行为数据。

进一步的，在抓取到运行一进程涉及的用户行为数据后，基于抓取到的用户行为数据，利用数据库的白名单数据确定该用户行为数据未记录在白名单中时，确定允许执行后续提取操作，即针对获取到的用户行为数据进行关键行为特征提取。

步骤202：基于获得的用户行为数据，针对用户行为进行相应分析。

具体的，基于获得的用户行为数据，针对用户行为进行相应分析，具体过程为：基于获得的用户行为数据，提取关键行为特征，形成行为特征向量；按 照预设的行为特征规则，对该行为特征向量进行分类和排序处理，组装成事件流，并对该事件流进行相应分析。

例如，用户登录系统以后，通常会执行一系列指令以完成某种特定的任务。通过捕获这些指令及其相关的信息可以推断出该用户的行为是否带有恶意。用户执行的指令序列通常具有高度相关性。例如相邻的两个命令通常具有相同的当前工作目录、用户身份标识号(IDentity的缩写，ID)，用户组ID，终端等。除此之外，相邻的指令通常还具有逻辑上的因果关联，如用户A需要先执行添加账户B的命令，然后才能以新添加的用户B的身份执行其他命令。

将用户执行命令时的用户ID(user id)、组ID(group id)、当前工作目录(current working directory)、命令(command)、参数(parameters)等信息捕获即可还原出该用户的意图。而这些信息即可作为该用户行为的特征，用于描述和标识该用户的行为。进一步的，将这些信息按照特定的顺序组合起来，即可成为一个具有特殊含义的向量。例如，一次黑客入侵过程中，访问了特定文件，这一行为可以通过如下的特征向量来描述：{登录用户id，用户名，命令路径，命令参数，环境变量，当前工作目录，终端名称，访问文件路径}。

若使用符号表示用户行为特征向量，x1，x2，...xn表示上述的用户行为特征点，即向量在各个维度上的分量，则用户行为特征可用向量表示为如下形式：

$\stackrel{\→}{x}=\{x_1,x_2,...x_n\}={\left\{x_i\right\}}_{i=\mathrm{1,2},...n}$

例如，将用户的行为通过特征向量描述以后，进而可以在此n维空间上定义向量的数学运算。因此，向量的模为：

$\left|\stackrel{\→}{x}\right|=\sqrt{\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{x}_i^2}$

向量的点积计算公式为：

$\stackrel{\→}{x}\·\stackrel{\→}{y}=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{x}_i{y}_i$

进而，若向量与的夹角记为θ则有:

$\cos \left(\mathrm{\θ}\right)=\frac{\stackrel{\→}{x}\·\stackrel{\→}{y}}{\left|\stackrel{\→}{x}\right|\·\left|\stackrel{\→}{y}\right|}=\frac{\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{x}_i\·y_i}{\sqrt{\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{x}_i^2\·\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{y}_i^2}}$

因此，通过计算两个用户行为特征向量的夹角来量化两个特征的相似程度，这使得比较两个行为特征有了数学依据。

具体的，按照预设的的行为特征规则，对上述行为特征向量进行分类和排序处理，组装成事件流，并对该事件流进行相应分析，具体过程为：按照数据库中记录的行为特征规则，对该行为特征向量进行分类和排序处理，组装成事件流，不同的行为特征规则对应不同的事件流；针对每一个事件流中行为特征向量分别与对应的行为规则向量计算相似度，确定相似度大于设定的阈值时，将该事件流发送至指定平台进行进一步分析。

例如，将事件流抽象为一系列同类的按时间排序的行为向量，通过比较同一类事件流中各先后向量之间的相似度或夹角，能够得知用户操作行为的相似性，假设一段时间内用户A执行打开文件并关闭文件这一操作共操作了50次，通过相似度计算，能够进行消息的去重，并对无效的信息进行过滤。

又例如，通过计算各类事件流与其自身对应的规则向量之间的相似度，当相似度达到预设条件时，确定与对应的规则匹配成功时，判定用户的行为属性，得到判定结果。假设，设定某些权限用户的规则向量为不允许执行的操作，通过采集某一段时间内的用户行为向量并与规则向量计算相似度，大于设定值时，判定该用户执行了违法操作，这时，将该用户的行为进行上报处理，以进行进一步分析。

基于上述技术方案，参阅图4所示，本申请实施例中提供一种用户行为分析装置，包括：加载单元40，抓取单元41和分析单元42，其中：

加载单元40，用于当系统启动一进程时，基于预设的的白名单数据，判定所述一进程未记录在所述白名单数据中时，将指定的第一共享库文件加载到所述进程对应的进程空间，所述第一共享库文件用于描述一系列监控操作；

抓取单元41，用于根据所述第一共享库文件中记录的监控操作信息，抓取 运行所述一进程涉及的用户行为数据；

分析单元42，用于基于获得的用户行为数据，针对用户行为进行相应分析。

这样既实现了对用户进程注入的白名单，能够提供一种更安全、可靠、稳定、灵活的共享库注入方案，而且用户行为特征向量的引入，是对用户行为建模的基础，为识别和区分黑客和合法系统用户的行为创造了条件，实现了对用户行为的量化计算，进而为智能分析用户行为提供了可能。

可选的，当系统启动一进程时，基于预设的白名单数据，判定所述一进程是否记录在所述白名单数据中时，所述加载单元40具体用于：

当系统启动一进程时，从数据库中获取所述一进程的路径信息，基于据库中记录的白名单数据，判断所述路径信息是否记录在所述白名单数据中，若是，则判定所述一进程记录在所述白名单数据中；否则，判定所述一进程未记录在所述白名单数据中。

可选的，所述加载单元40进一步用于：

判定所述一进程记录在所述白名单数据中时，将系统中的源共享库文件加载到所述进程对应的进程空间，所述源共享库文件中记录有各种功能函数和对外接口信息。

可选的，在抓取到运行所述一进程涉及的用户行为数据后，在针对所述用户行为数据提取关键行为特征之前，所述抓取单元41进一步用于：

基于抓取到的用户行为数据，利用数据库的白名单数据确定所述用户行为数据未记录在所述白名单中，确定允许执行后续提取操作。

可选的，基于获得的用户行为数据，针对用户行为进行相应分析时，所述分析单元42具体用于：

基于获得的用户行为数据，提取关键行为特征，形成行为特征向量；

按照预设的行为特征规则，对所述行为特征向量进行分类和排序处理，组装成事件流，并对所述事件流进行相应分析。

可选的，按照预设的的行为特征规则，对所述行为特征向量进行分类和排 序处理，组装成事件流，并对所述事件流进行相应分析时，所述分析单元42具体用于：

按照数据库中记录的行为特征规则，对所述行为特征向量进行分类和排序处理，组装成事件流，不同的行为特征规则对应不同的事件流；

针对每一个事件流中行为特征向量分别与对应的行为规则向量计算相似度，确定相似度大于设定的阈值时，将所述事件流发送至指定平台进行进一步分析。

综上所述，本申请实施例中，当系统启动一进程时，基于预设白名单数据，判定该进程未记录在所述白名单数据中时，将指定的第一共享库文件加载到该进程对应的进程空间，根据第一共享库文件中记录的监控操作信息，抓取运行该进程涉及的用户行为数据；基于获得的用户行为数据，对用户的行为进行相应分析。这样既实现了对用户进程注入的白名单，能够提供一种更安全、可靠、稳定、灵活的共享库注入方案，而且用户行为特征向量的引入，是对用户行为建模的基础，为识别和区分黑客和合法系统用户的行为创造了条件，实现了对用户行为的量化计算，进而为智能分析用户行为提供了可能。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一 个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。