基于隐马尔科夫模型的用户行为与实体行为分析方法与流程

本发明涉及一种用户行为与实体行为分析方法，尤其涉及一种基于隐马尔科夫模型的用户行为与实体行为分析方法。

背景技术：

随着办公连网设备与云服务的普及，每日所产生的安全日志爆炸式成长。为了从宏观的角度观测整体安全情况，常利用安全基线进行表示。传统技术使用累计值或同比、环比的方式来建立宏观角度的安全基线。若当下的安全情况低于安全基线的阈值时，则发出安全告警；但是使用此类安全基线维度无法显示多方数据的关联性，所以只能对单一维度的数据人为设定阈值，不仅在数据维度上表现较为单一，阈值定义也存在人为偏差。

技术实现要素：

本发明所要解决的技术问题是提供一种基于隐马尔科夫模型的用户行为与实体行为分析方法，能够解决传统单一维度的安全基线以及人为设定阈值存在偏差的情况。

本发明为解决上述技术问题而采用的技术方案是提供一种基于隐马尔科夫模型的用户行为与实体行为分析方法，包括如下步骤：s1)搜集多方来源数据作为训练数据；s2)将异构数据使用one-hot编码进行归一化；s3)针对每个用户群体或实体类型归一化后的结果进行递增编号，代表hmm的观测变量；s4)设定时间窗口变量t，并根据时间窗口滚动划分出用户或实体的行为序列；s5)给定训练初始参数，包含初始转移概率矩阵a,初始发射概率矩阵b,隐藏变量数量s与初始状态概率矩阵π，进行hmm建模，得到用户或实体行为的转移概率矩阵与发射概率矩阵；s6)将hmm模型布置到实时生产环境上；s7)实时搜集多方数据来源，对每条数据根据先前所得one-hot编码表，获得对应的观测变量；s8)取时间窗口变量t长度的用户或实体行为序列，使用hmm模型预测隐藏状态与对应发射概率矩阵得到发射概率，若发射概率低于设定的阈值，则发出安全告警。

本发明对比现有技术有如下的有益效果：本发明提供的基于隐马尔科夫模型的用户行为与实体行为分析方法，通过搜集大量历史数据描绘安全基线，并根据用户或实体的实时行为，判断用户行为或实体行为的是否为恶意行为，有效利用历史数据与实时数据，并排除人为定义阈值的误差。

附图说明

图1为本发明的实施实例的用户行为与实体行为分析的模块示意图；

图2本发明的实施实例在用户行为与实体行为分析阶段的流程图。

具体实施方式

下面结合附图和实施例对本发明作进一步的描述。

请参见图1，本发明提供的基于隐马尔科夫模型的用户行为与实体行为分析方法包括数据搜集模块、hmm建模模块、用户或实体行为分析模块、安全告警模块。

数据搜集模块，搜集多方数据来源，并进行数据清洗与转换。

hmm建模模块，对历史数据使用one-hot编码进行归一化，对归一化结果进行递增编号，代表观测变量；根据指定初始化参数建立hmm模型。

用户或实体行为分析模块，使用one-hot编码表对来自数据搜集模块的实时数据进行编码，使用hmm模型判断用户或实体的行为进行分析。

安全告警模块，对用户或实体行为分析模块进行监听，如果发现用户或实体恶意行为，则实时将进行安全告警。

本发明提供的一种基于隐马尔可夫链模型(hmm)的用户行为与实体行为分析(ueba)方法，具有如下特点：

1)根据用户或实体大量的历史数据得到安全基线。

2)非人为定义安全告警标准，而是使用用户或实体的历史数据训练所得的hmm模型进行判断。

3)实时从多方数据源搜集日志，并且从而精炼出安全告警。

请继续参见图2，本发明一种基于隐马尔可夫链模型(hmm)的用户行为与实体行为分析(ueba)方法的流程图如下：

步骤1：搜集多方来源数据作为训练数据，数据来源包括主机日志，堡垒机日志，dlp日志等。

步骤2：对异构数据使用one-hot编码进行归一化，例如编码字段为是否在上班时间，是否在下载文件，是否上传文件，下载文件的来源主机是否为生产主机，上传文件的目的端电脑是否为生产主机，是否外传文件，本身是否为生产主机，是否为高危操作，是否为中危操作，是否为低危操作，现有一条数据则根据本身情况，one-hot编码为1，1，0，1，0，0，0，0，0，1

步骤3：针对每个用户群体或实体类型归一化后的结果进行递增编号，代表hmm的观测变量。

步骤4：设定时间窗口变量t＝3；设定隐藏状态数量s为10；初始概率矩阵π使用每个隐藏变量的初始概率皆为1/s；初始转移概率矩阵a,与初始发射概率矩阵b皆使用随机数产生。

步骤5：进行hmm建模，可得到用户或实体行为的转移概率矩阵与发射概率矩阵。

步骤6：线上实时搜集多方数据来源。

步骤7：取特定用户的时间窗口长度t的行为序列，并对每个数据根据先前所得的one-hot编码，获得对应的观测变量，例如得到用户行为观测变量序列变量为10,50,51。

步骤7：使用hmm模型预测当前隐藏状态，并查询发射概率矩阵，根据设定阈值判断是否发出安全告警；例如hmm模型预测出的当前时间隐藏变量为3，发射概率矩阵中隐藏变量3对应发生观测变量10的概率为0.03％，低于阈值0.1％，则发出安全告警。

本发明的进步效果在于：搜集多方数据源作为训练数据，使用隐马尔可夫链模型(hmm)训练模型，排除人为定义偏差导致的安全基线误差；使用模型产生用户或实体行为基线，透过实时数据与安全基线达成用户或实体行为异常检测自动发现与安全告警，有效从大量数据中精炼安全事件并进行安全告警。

虽然本发明已以较佳实施例揭示如上，然其并非用以限定本发明，任何本领域技术人员，在不脱离本发明的精神和范围内，当可作些许的修改和完善，因此本发明的保护范围当以权利要求书所界定的为准。