一种用户实体行为分析风险值计算方法与流程

本发明涉及网络安全，具体为一种用户实体行为分析风险值计算方法。

背景技术：

1、用户实体行为分析风险值计算方法是指通过对用户实体(如员工、系统用户等)的行为数据进行分析和评估，计算出其所展现的行为模式与预期行为模式之间的偏离程度，进而为每个用户实体赋予一个表示其风险程度的数值。这一数值可以帮助安全团队确定对待不同用户实体的优先级，评估潜在威胁，并采取相应的安全措施，用户实体行为分析风险值计算方法的目的是识别潜在的安全风险，包括但不限于内部威胁、数据泄露、未经授权的系统访问等。通过对用户行为模式进行分析，该方法可以帮助安全团队识别出异常行为，并据此计算出每个用户实体的风险值。这种方法有助于提高安全团队对潜在威胁的感知能力，优化安全调查分析工作的优先级，并提高整体安全性，总的来说，用户实体行为分析风险值计算方法旨在利用数据分析和评估技术，为每个用户实体量身定制一个反映其风险程度的数值，以便安全团队能够更有效地识别、评估和应对潜在的安全风险

2、现有方法可能没有充分考虑用户行为的上下文信息，如用户的工作职责、访问权限等，而仅仅基于行为本身的特征来进行评估，这样可能会导致对于某些正常行为被误判为异常行为，或者对于某些异常行为未能被有效识别。

技术实现思路

1、针对现有技术的不足，本发明提供了一种用户实体行为分析风险值计算方法，解决了传统的方法仅仅基于行为本身的特征来进行评估，这样可能会导致对于某些正常行为被误判为异常行为的问题。

2、为实现以上目的，本发明通过以下技术方案予以实现：一种用户实体行为分析风险值计算方法，包括以下步骤：

3、步骤一、通过收集用户实体的行为数据，包括但不限于登录记录、活动模式、访问文件信息；

4、步骤二、用机器学习算法学习用户历史行为数据训练模型，使用训练后的模型识别恶意行为和威胁，并将模型应用于用户实体行为分析系统的探测器模块；

5、步骤三、使用风险值计算方法计算用户风险值，根据风险值排序展示于用户实体行为分析系统的分析模块；

6、步骤四、基于用户风险值进行预警。

7、优选的，所述步骤三中，所述使用机器学习算法包括但不限于：ecod、rcf、autoencode。

8、优选的，所述步骤三中，所述使用风险值计算方法计算用户风险值具体步骤包括：

9、s1、计算s_max，即当前告警中的最高分：

10、smax＝max(等级1，等级2，...，等级10)。

11、优选的，所述步骤三中，s2、对于每个模型i，计算其s_extra，向上取整数，即如果出现告警至少会增加1风险值：

12、

13、优选的，所述步骤三中，s3、将所有规则的s_extra累加得到总的s_extra：

14、

15、优选的，所述步骤三中，s4、计算总分s，取s_max+s_extra和100中的较小值：

16、s＝min(smax+sextra，100)。

17、优选的，所述alert_weight告警权重用于计算当前告警最高分，步骤包括：

18、(1)、调用云纷siem平台异常警告模块内的所有安全事件规则集g＝{g1，g2，...，gn}n个规则。

19、优选的，所述alert_weight还包括：

20、(2)、从整体中随机取样得到样本集x。

21、优选的，所述alert_weight还包括：

22、(3)、统计得到规则发生集c＝{c1，c2，...，cn}

23、(4)、使用规则发生集c得到规则发生的占比

24、优选的，所述alert_weight还包括：

25、(5)、把占比转换为倒数

26、(6)、得到alert_weight告警权重。

27、本发明提供了一种用户实体行为分析风险值计算方法。具备以下有益效果：

28、1、本发明通过改进了恶意行为和威胁的风险分数难以计算，评估的问题。使用本方法计算得到的风险值，可以有效的体现出恶意行为和威胁的风险程度。既兼顾了安全专家的先验知识(人为定义的风险等级)，也涵盖了恶意行为发生次数占比的权重。确保风险值会因行为的大量发生和风险等级同时增高。

29、2、首先通过收集用户实体的行为数据，然后利用机器学习算法对用户历史行为数据进行学习和模型训练，训练后的模型将应用于用户实体行为分析系统的探测器模块，用于识别异常行为并计算用户的风险值。

技术特征：

1.一种用户实体行为分析风险值计算方法，其特征在于，包括以下步骤

2.根据权利要求1所述的一种用户实体行为分析风险值计算方法，其特征在于，所述步骤三中使用机器学习算法包括但不限于：ecod、rcf、autoencoder。

3.根据权利要求1所述的一种用户实体行为分析风险值计算方法，其特征在于，所述步骤三中使用风险值计算方法计算用户风险值具体步骤包括：

4.根据权利要求1所述的一种用户实体行为分析风险值计算方法，其特征在于，所述步骤三中，s2、对于每个模型i，计算其s_extra，向上取整数，即如果出现告警至少会增加1风险值：

5.根据权利要求1所述的一种用户实体行为分析风险值计算方法，其特征在于，所述步骤三中，s3、将所有规则的s_extra累加得到总的s_extra：

6.根据权利要求1所述的一种用户实体行为分析风险值计算方法，其特征在于，所述步骤三中，s4、计算总分s，取s_max+s_extra和100中的较小值：

7.根据权利要求1所述的一种用户实体行为分析风险值计算方法，其特征在于，所述alert_weight告警权重用于计算当前告警最高分，步骤包括：

技术总结
本申请涉及网络安全技术领域，公开了一种用户实体行为分析风险值计算方法，包括以下步骤：步骤一、通过收集用户实体的行为数据，包括但不限于登录记录、活动模式、访问文件信息；步骤二、用机器学习算法学习用户历史行为数据训练模型，使用训练后的模型识别恶意行为和威胁，并将模型应用于用户实体行为分析系统的探测器模；步骤三、使用风险值计算方法计算用户风险值，根据风险值排序展示于用户实体行为分析系统的分析模块；所述步骤三中，所述使用机器学习算法包括但不限于：ECOD、RCF、AutoEncoder。通过既兼顾了安全专家的先验知识，也涵盖了恶意行为发生次数占比的权重。确保风险值会因行为的大量发生和风险等级同时增高。

技术研发人员：王诗涵
受保护的技术使用者：云纷（上海）信息科技有限公司
技术研发日：
技术公布日：2024/3/21