基于机器学习的主动发现特权威胁异常行为的方法及装置与流程

本发明涉及特权威胁异常行为检测领域，特别涉及一种基于机器学习的主动发现特权威胁异常行为的方法及装置。

背景技术：

特权账号是指具有高风险(如可以启停设备的管理员账号)或具有高价值(如可以读取业务敏感数据的应用账号)的账号，每年超过半数的重大安全事件都是由于特权账号被窃取或者拥有特权账号的相关内部人员造成，这种利用特权账号对企业造成破坏或者损失的行为我们称为特权威胁异常行为。传统工具或系统针对特权威胁异常行为绝大多数是通过人工方式，基于人工个人经验提供固化的简单逻辑条件进行检测，由于个人经验参差不齐，使得企业对特权威胁异常行为检测产生大量误报或者漏报情况，对企业造成极大的特权威胁安全隐患。

技术实现要素：

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种能最大限度减少因个人经验问题而导致的误报或者漏报问题，降低特权威胁安全隐患，为企业特权账号安全保驾护航的基于机器学习的主动发现特权威胁异常行为的方法及装置。

本发明解决其技术问题所采用的技术方案是：构造一种基于机器学习的主动发现特权威胁异常行为的方法，应用于特权账号威胁分析系统，所述方法包括如下步骤：

a)通过通用的接口接入特权账号会话日志数据，通过通用的接口接入特权账号终端操作审计日志数据；

b)对所述特权账号会话日志数据和特权账号终端操作审计日志数据进行处理；

c)根据需要，选择让机器学习算法学习的历史日志数据或历史日志数据中某个维度数据；

d)创建机器学习工作流模型，确认机器学习执行分析任务所需的配置信息和元数据；

e)通过机器对选择的历史日志数据或历史日志数据中某个维度数据的学习，自动确认正常行为基线并开始实时检测；

f)判断是否检测到特权威胁异常行为，如是，执行步骤g)；否则，返回步骤e)；

g)实时报告特权威胁异常行为。

在本发明所述的基于机器学习的主动发现特权威胁异常行为的方法中，所述步骤b)中对所述特权账号会话日志数据和特权账号终端操作审计日志数据进行处理包括过滤、提取和序列化。

在本发明所述的基于机器学习的主动发现特权威胁异常行为的方法中，当特权行为偏离所述正常行为基线时，则认为该特权行为为特权威胁异常行为。

在本发明所述的基于机器学习的主动发现特权威胁异常行为的方法中，所述特权账号威胁分析系统包括相互连接的智能威胁审计单元、实时威胁监测单元和统筹配置管理单元；所述智能威胁审计单元用于将关于账号威胁事件详细信息进行分析，以及对账号威胁事件数据进行汇总，并通过图表结合控制面板进行展示；所述实时威胁监测单元用于展现监测到的账号威胁活动，设置账号威胁规则条件，以及在账号威胁规则条件触发后自动响应与发出预警记录；所述统筹配置管理单元用于实现所述特权账号威胁分析系统中重要系统配置的管理。

本发明还涉及一种实现上述基于机器学习的主动发现特权威胁异常行为的方法的装置，应用于特权账号威胁分析系统，所述装置包括：

日志接入单元：用于通过通用的接口接入特权账号会话日志数据，通过通用的接口接入特权账号终端操作审计日志数据；

日志数据处理单元：用于对所述特权账号会话日志数据和特权账号终端操作审计日志数据进行处理；

学习数据选择单元：用于根据需要，选择让机器学习算法学习的历史日志数据或历史日志数据中某个维度数据；

模型创建单元：用于创建机器学习工作流模型，确认机器学习执行分析任务所需的配置信息和元数据；

基线确认单元：用于通过机器对选择的历史日志数据或历史日志数据中某个维度数据的学习，自动确认正常行为基线并开始实时检测；

异常行为判断单元：用于判断是否检测到特权威胁异常行为；

异常行为报告单元：用于实时报告特权威胁异常行为。

在本发明所述的装置中，所述日志数据处理单元中对所述特权账号会话日志数据和特权账号终端操作审计日志数据进行处理包括过滤、提取和序列化。

在本发明所述的装置中，当特权行为偏离所述正常行为基线时，则认为该特权行为为特权威胁异常行为。

在本发明所述的装置中，所述特权账号威胁分析系统包括相互连接的智能威胁审计单元、实时威胁监测单元和统筹配置管理单元；所述智能威胁审计单元用于将关于账号威胁事件详细信息进行分析，以及对账号威胁事件数据进行汇总，并通过图表结合控制面板进行展示；所述实时威胁监测单元用于展现监测到的账号威胁活动，设置账号威胁规则条件，以及在账号威胁规则条件触发后自动响应与发出预警记录；所述统筹配置管理单元用于实现所述特权账号威胁分析系统中重要系统配置的管理。

实施本发明的基于机器学习的主动发现特权威胁异常行为的方法及装置，具有以下有益效果：由于在大量经验的基础上，进一步采用机器学习方法，通过对大量历史数据的学习，自动确定正常行为基线，实时针对来自无论内部还是外部的特权威胁行为进行检测，本发明能最大限度减少因个人经验问题而导致的误报或者漏报问题，降低特权威胁安全隐患，为企业特权账号安全保驾护航。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明基于机器学习的主动发现特权威胁异常行为的方法及装置一个实施例中方法的流程图；

图2为所述实施例中装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明基于机器学习的主动发现特权威胁异常行为的方法及装置实施例中，其基于机器学习的主动发现特权威胁异常行为的方法应用于特权账号威胁分析系统，特权账号威胁分析系统包括相互连接的智能威胁审计单元、实时威胁监测单元和统筹配置管理单元；其中，智能威胁审计单元用于将关于账号威胁事件详细信息进行分析，以及对账号威胁事件数据进行汇总，并通过图表结合控制面板进行展示；实时威胁监测单元用于展现监测到的账号威胁活动，设置账号威胁规则条件，以及在账号威胁规则条件触发后自动响应与发出预警记录；统筹配置管理单元用于实现特权账号威胁分析系统中重要系统配置的管理。

图1为本实施例中基于机器学习的主动发现特权威胁异常行为的方法的流程图，图1中，该基于机器学习的主动发现特权威胁异常行为的方法包括如下步骤：

步骤s01通过通用的接口接入特权账号会话日志数据，通过通用的接口接入特权账号终端操作审计日志数据：本步骤中，通过通用的接口接入特权账号会话日志数据，通过通用的接口接入特权账号终端操作审计日志数据，也就是将特权账号会话日志数据导入特权账号威胁分析系统，将特权账号终端操作审计日志数据导入特权账号威胁分析系统。

步骤s02对特权账号会话日志数据和特权账号终端操作审计日志数据进行处理：本步骤中，对特权账号会话日志数据和特权账号终端操作审计日志数据进行处理，具体是对特权账号会话日志数据和特权账号终端操作审计日志数据进行过滤、提取和序列化等，方便后面统一分析。

步骤s03根据需要，选择让机器学习算法学习的历史日志数据或历史日志数据中某个维度数据：本步骤中，根据自身需要，选择让机器学习算法学习的历史日志数据或历史日志数据中某个维度数据，本步骤实现的是定义需机器学习使用的索引或维度。

步骤s04创建机器学习工作流模型，确认机器学习执行分析任务所需的配置信息和元数据：本步骤中，创建机器学习工作流模型，确认机器学习执行分析任务所需的配置信息和元数据。

步骤s05通过机器对选择的历史日志数据或历史日志数据中某个维度数据的学习，自动确认正常行为基线并开始实时检测：本步骤中，通过机器对选择的历史日志数据或历史日志数据中某个维度数据的学习，自动确认正常行为基线并开始实时检测，具体而言，通过上述创建的工作量，对大量历史进行学习，自动确认正常行为基线并开始实时检测。通过本步骤实现了机器学习自动确认正常行为基线并开始实时检测。

步骤s06判断是否检测到特权威胁异常行为：本实施例中，当特权行为偏离正常行为基线时，则认为该特权行为为特权威胁异常行为。本步骤中，判断是否检测到特权威胁异常行为，也就是判断当前特权行为是否偏离了正常行为基线，如果判断的结果为是，则执行步骤s07；否则，返回步骤s05。

步骤s07实时报告特权威胁异常行为：本步骤中，实时报告特权威胁异常行为，也就是一旦检测到偏离正常行为基线的特权威胁异常行为，立刻进行报告呈现。

对比传统技术中关于特权威胁异常行为的检测手段，过于依赖个人经验，容易因个人经验参差不齐造成企业特权威胁安全隐患，本发明的基于机器学习的主动发现特权威胁异常行为的方法通过机器学习方式，可以最大限度降低这个依赖的风险，并且能够以大量历史数据为支撑，准确检测甚至预判潜在的特权威胁异常行为，避免特权威胁异常行为对企业造成进一步重大损失。

本实施例还涉及一种实现上述基于机器学习的主动发现特权威胁异常行为的方法的装置，该装置应用于特权账号威胁分析系统，特权账号威胁分析系统包括相互连接的智能威胁审计单元、实时威胁监测单元和统筹配置管理单元；其中，智能威胁审计单元用于将关于账号威胁事件详细信息进行分析，以及对账号威胁事件数据进行汇总，并通过图表结合控制面板进行展示；实时威胁监测单元用于展现监测到的账号威胁活动，设置账号威胁规则条件，以及在账号威胁规则条件触发后自动响应与发出预警记录；统筹配置管理单元用于实现特权账号威胁分析系统中重要系统配置的管理。

图2为本实施例中装置的结构示意图，图2中，该装置包括日志接入单元1、日志数据处理单元2、学习数据选择单元3、模型创建单元4、基线确认单元5、异常行为判断单元6和异常行为报告单元7；其中，日志接入单元1用于通过通用的接口接入特权账号会话日志数据，通过通用的接口接入特权账号终端操作审计日志数据；日志数据处理单元2用于对特权账号会话日志数据和特权账号终端操作审计日志数据进行处理；日志数据处理单元2中对特权账号会话日志数据和特权账号终端操作审计日志数据进行处理包括过滤、提取和序列化。

学习数据选择单元3用于根据需要，选择让机器学习算法学习的历史日志数据或历史日志数据中某个维度数据；模型创建单元4用于创建机器学习工作流模型，确认机器学习执行分析任务所需的配置信息和元数据；基线确认单元5用于通过机器对选择的历史日志数据或历史日志数据中某个维度数据的学习，自动确认正常行为基线并开始实时检测。异常行为判断单元6用于判断是否检测到特权威胁异常行为；值得一提的是，本实施例中，当特权行为偏离正常行为基线时，则认为该特权行为为特权威胁异常行为。异常行为报告单元7用于实时报告特权威胁异常行为。

对比传统技术中关于特权威胁异常行为的检测手段，过于依赖个人经验，容易因个人经验参差不齐造成企业特权威胁安全隐患，本发明的装置通过机器学习方式，可以最大限度降低这个依赖的风险，并且能够以大量历史数据为支撑，准确检测甚至预判潜在的特权威胁异常行为，避免特权威胁异常行为对企业造成进一步重大损失。

总之，本实施例中，本发明在大量丰富经验的基础上，进一步采用机器学习方法，通过对大量历史数据的学习，自动确定正常行为基线，实时针对来自无论内部还是外部的特权威胁行为进行检测，最大限度减少因个人经验问题而导致的误报或者漏报问题，降低特权威胁安全隐患，为企业特权账号安全保驾护航。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。