本发明专利技术公开了一种基于用户账号操作行为诊断入侵的方法及系统,包括:基于用户账号在预设时间段内的惯常操作行为建立惯常行为模型;捕获当前用户账号的操作行为;判断所述操作行为是否匹配所述惯常行为模型,若匹配则继续监控,否则判定存在异常操作行为;进一步地,若该用户账号的异常操作行为偏离所述惯常行为模型的程度超过设定阈值则判定该用户账号遭受入侵。本发明专利技术所述技术方案通过对用户账号的操作行为进行监控,并与惯常行为模型进行匹配,能够及时有效地判定系统是否遭受入侵。
【技术实现步骤摘要】
本专利技术涉及网络安全
,尤其涉及一种基于用户账号操作行为诊断入侵的方法及系统。
技术介绍
随着互联网快速发展,遭受攻击的事件也越发严重,使用的攻击手法也层出不穷,如利用0day漏洞、鱼叉式钓鱼、水坑攻击、社工等方式来获得用户的主机权限,如用户的账号密码或者新创建用户账号和密码等,然后通过该账号密码登陆遭受入侵的主机,进行横向渗透探测等方法,窃取用户的隐私信息或破坏网络基础设施等。鉴于目前攻击者的攻击手法越发先进,绕过防护软件来说不是件难事,并且他们入侵得手后,为了防止追查,清除了自己的入侵痕迹,让取证和分析人员无从下手。因此,如何判断用户账号是否被入侵成为亟待解决的问题。
技术实现思路
针对上述技术问题,本专利技术所述的技术方案通过监控用户账号在预设时间段内的惯常操作行为,并基于机器学习或相似性算法提取相似操作进而形成惯常行为模型,实时提取用户账号的操作行为并与所述惯常行为模型进行匹配,进而判断是否存在异常操作行为和系统是否遭受入侵。本专利技术采用如下方法来实现:一种基于用户账号操作行为诊断入侵的方法,包括:基于用户账号在预设时间段内的惯常操作行为建立惯常行为模型;捕获当前用户账号的操作行为;判断所述操作行为是否匹配所述惯常行为模型,若匹配则继续监控,否则判定存在异常操作行为。进一步地,所述惯常行为模型为基于企业类型和/或部门职责建立。其中,要保证所述惯常行为模型所适用范围内的用户从事相似或者相近的工作,适用范围的细分程度根据需要确定;例如:财务部门、研发部门,或者细分到部门下面的各个小组。进一步地,还包括:当判定存在异常操作行为时,选择设定的通信方式告知用户本人;或者,对当前用户账号进行锁死操作并提示输入密码,接收到正确密码后解锁。进一步地,还包括:若该用户账号的异常操作行为偏离所述惯常行为模型的程度超过设定阈值则判定该用户账号遭受入侵。上述方法中,还包括:实时对所述用户账号上的操作行为进行可视化展示。本专利技术可以采用如下系统来实现:一种基于用户账号操作行为诊断入侵的系统,包括:模型建立模块,用于基于用户账号在预设时间段内的惯常操作行为建立惯常行为模型;探针捕获模块,部署在用户主机上,用于捕获当前用户账号的操作行为;数据分析模块,用于判断所述操作行为是否匹配所述惯常行为模型,若匹配则继续监控,否则判定存在异常操作行为。进一步地,所述惯常行为模型为基于企业类型和/或部门职责建立。进一步地,还包括:预警通知模块,用于当判定存在异常操作行为时,选择设定的通信方式告知用户本人;或者,对当前用户账号进行锁死操作并提示输入密码,接收到正确密码后解锁。进一步地,还包括:入侵判定模块,用于若该用户账号的异常操作行为偏离所述惯常行为模型的程度超过设定阈值则判定该用户账号遭受入侵。上述系统中,所述探针捕获模块将捕获的操作行为数据进行加密后发送给所述数据分析模块;所述数据分析模块接收到操作行为数据后,进行备份操作和解密操作。综上,本专利技术给出一种基于用户账号操作行为诊断入侵的方法及系统,本专利技术所述技术方案尤其适用于工作内容相对固定并具备一定规律的企业,例如工作时间相对固定、工作内容及所使用的开发工具、登录的网页等具备一定规律。同时,上述惯常行为模型不仅能够基于企业整体的工作规律建立,而且能够针对各部门工作职责的不同,提取相似操作行为规律进而形成惯常行为模型。利用实时捕获的用户账号的操作行为与所述惯常行为模型匹配,判断是否是异常操作行为;并基于异常操作行为与惯常行为模型的偏离程度判断所述用户账号是否遭受入侵。有益效果为:本专利技术所述技术方案基于用户的惯常操作习惯来识别入侵,进而及时有效地保护系统安全。附图说明为了更清楚地说明本专利技术的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种基于用户账号操作行为诊断入侵的方法实施例1流程图;图2为本专利技术提供的一种基于用户账号操作行为诊断入侵的方法实施例2流程图;图3为本专利技术提供的一种基于用户账号操作行为诊断入侵的系统实施例1结构图;图4为本专利技术提供的一种基于用户账号操作行为诊断入侵的系统实施例2结构图。具体实施方式本专利技术给出了一种基于用户账号操作行为诊断入侵的方法及系统实施例,为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术中技术方案作进一步详细的说明:本专利技术首先提供了一种基于用户账号操作行为诊断入侵的方法实施例1,如图1所示,包括:S101基于用户账号在预设时间段内的惯常操作行为建立惯常行为模型;其中,所述预设时间段根据需要选择,包括:日、周、月、季度或者年等;S102捕获当前用户账号的操作行为;所述操作行为包括用户账号的登录信息、用户操作记录、系统操作记录、外网请求记录或者内网请求记录等,具体包括但不限于:登录的用户账号、登录时间;记录启动的应用程序、关闭的应用程序(进程监控);记录增、删、改的文件操作行为(盘符、文件夹等);记录网络请求的五元组及数据包(源地址、目的地址、协议、时间等);获取请求链接的网站是哪类的网站(网站描述、页面内容等);S103判断所述操作行为是否匹配所述惯常行为模型,若匹配则继续监控,否则判定存在异常操作行为。优选地,所述惯常行为模型为基于企业类型和/或部门职责建立。其中,要保证所述惯常行为模型所适用范围内的用户从事相似或者相近的工作,适用范围的细分程度根据需要确定;例如:财务部门、研发部门,或者细分到部门下面的各个小组。优选地,还包括:当判定存在异常操作行为时,选择设定的通信方式告知用户本人;或者,对当前用户账号进行锁死操作并提示输入密码,接收到正确密码后解锁。其中,所述通信方式包括短信、微信、QQ或者邮件等;当锁死操作之后禁止用户进行任何操作,弹出密码输入框供用户操作。进而有效保护系统内部的数据安全,及时阻断入侵攻击,防止企业内网信息被泄露。优选地,还包括:若该用户账号的异常操作行为偏离所述惯常行为模型的程度超过设定阈值则判定该用户账号遭受入侵。上述方法实施例中,还包括:实时对所述用户账号上的操作行为进行可视化展示。本专利技术同时提供了一种基于用户账号操作行为诊断入侵的方法实施例2,如图2所示,包括:S201基于用户账号在预设时间段内的惯常操作行为建立惯常行为模型;S202捕获当前用户账号的操作行为;S203判断所述操作行为是否匹配所述惯常行为模型,若匹配则继续监控,否则判定存在异常操作行为;S204若该用户账号的异常操作行为偏离所述惯常行为模型的程度超过设定阈值则判定该用户账号遭受入侵。例如:如果存在已知IP中存在所述惯常行为模型之外的操作行为,那么认为该操作行为是异常操作行为,则发出警示,防止攻击者创建新用户;进程监控,实时将已开启的进程与所述惯常行为模型进行匹配,如果匹配失败,则发出警示,防止攻击者利用启动恶意代码执行恶意操作;监控文件操作行为,如果与所述惯常行为模型中预设的文件操作行为不匹配,则发起警示,防止攻击者投放或者恶意再提释放恶意代码等,比如在指定目录(临时目录等)释放二进制可本文档来自技高网...
【技术保护点】
一种基于用户账号操作行为诊断入侵的方法,其特征在于,包括:基于用户账号在预设时间段内的惯常操作行为建立惯常行为模型;捕获当前用户账号的操作行为;判断所述操作行为是否匹配所述惯常行为模型,若匹配则继续监控,否则判定存在异常操作行为。
【技术特征摘要】
1.一种基于用户账号操作行为诊断入侵的方法,其特征在于,包括:基于用户账号在预设时间段内的惯常操作行为建立惯常行为模型;捕获当前用户账号的操作行为;判断所述操作行为是否匹配所述惯常行为模型,若匹配则继续监控,否则判定存在异常操作行为。2.如权利要求1所述的方法,其特征在于,所述惯常行为模型为基于企业类型和/或部门职责建立。3.如权利要求1或2所述的方法,其特征在于,还包括:当判定存在异常操作行为时,选择设定的通信方式告知用户本人;或者,对当前用户账号进行锁死操作并提示输入密码,接收到正确密码后解锁。4.如权利要求3所述的方法,其特征在于,还包括:若该用户账号的异常操作行为偏离所述惯常行为模型的程度超过设定阈值则判定该用户账号遭受入侵。5.如权利要求1或2或4所述的方法,其特征在于,还包括:实时对所述用户账号上的操作行为进行可视化展示。6.一种基于用户账号操作行为诊断入侵的系统,其特征在于,包括:模型建立模块,用于基于用户账号在...
【专利技术属性】
技术研发人员:任洪伟,李柏松,
申请(专利权)人:北京安天电子设备有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。