本发明涉及网络安全
技术领域:
,具体地说是一种基于画像技术的用户网络行为审计建模方法。
背景技术:
:随着网络信息化的普及,各组织单位的业务系统也面临着信息化进程。业务信息化带来的数据共享方便性不言而喻,但是数据共享的方便性也是一把双刃剑,同时也带了来数据操作安全的风险。能否实时、准确的的监管和感知数据风险已经成为各组织和单位共同的关注焦点。对用户网络行为进行审计是保证网络和数据安全的有力手段。用户网络行为的审计也逐步从单一的网络安全审计走向了多维审计。国内各安全公司和研究机构也针对各自的业务领域推出了众多审计分析平台,形成了诸如流量审计、运维审计、打印审计、刻录审计等众多审计产品,取得了丰硕的成果,解决了大量的审计安全问题。信息技术的飞速发展,网络互联进程的推进,使得数据和网络变得越来越复杂,传统的单一的审计方法已经不能满足当前网络信息安全的审计要求,单一的审计管理逐步走向融合流量审计、运维审计、打印审计、数据审计、应用审计和人员行为审计的综合审计管理。随着综合审计管理需求的出现,传统的审计方法已经不适用于在大规模复杂网络的审计要求。当前需要设计一种综合的行为审计模型,能够对网络进行全面审计并具备融合分析和态势感知能力。技术实现要素:本发明的目的在于一种基于画像技术的用户网络行为审计建模方法,用于解决传统的审计方法无法对网络进行全面审计并具备融合分析和态势感知能力的问题。本发明解决其技术问题所采取的技术方案是:本发明提供了一种基于画像技术的用户网络行为审计建模方法,该方法包括以下步骤:通过画像技术还原网络中实体行为,形成实体的关系图谱;通过实体的关系图谱将不同的网络安全数据合并到综合图空间中;对综合图空间进行数据挖掘,建立e-r图分析模型。在第一种可能实现的方式中,所述形成实体的关系图谱具体包括以下方法:通过网络采集器捕获影响网络安全的事件;对事件进行拆分定位事件的主体、客体、事件内容;根据系统中备案的设备信息、资产信息、人员信息以及各种监控指标和流量控制策略与事件中拆分出来的主体、客体以及事件内容进行映射对照,形成实体的关系图谱{v1,v2,...vn}。在第二种可能实现的方式中,通过实体的关系图谱将不同的网络安全数据合并到综合图空间中具体包括以下方法:通过对网络内所有网络流量进行源地址、目的地址、协议类型以及流量发生时间进行抽取,形成综合图空间{e1,e2,...en}。在第三种可能实现的方式中,对综合图空间进行数据挖掘,建立e-r图分析模型具体包括以下方法:根据实体的关系图谱{v1,v2,...vn}与综合图空间{e1,e2,...en}构建整体e-r关系图g=(v(g),e(g));在网络运行防护过程中安全防护事件存在与网络设备及相关主体的实体关联关系f=(a(f),r(f)),式中,a(f)∈{a1,a2,...an};安全防护事件之间的关系为r(f)∈{r1,r2,...rn};人员与设备之间的管理关系为t=(a(t),l(t));设备与文件、人员与文件的文件操作关系为q=(a(q),w(q));对上述关系进行融合,得到综合实体关系图m:形成综合关系图模型。本发明实施例建立的基于画像技术的e-r图分析模型能够全面的表述还原网络中各类审计数据、告警事件、人员及设备之间的归属关系、设备与设备之间的流量关系等,进行了全面刻画,能够完整的描述审计的行为在发生时所处的环境、状态以及相关的事件。为后续进行大数据和人工智能分析提供了良好的数据基础,为后续风险事件的溯源提供了数据支撑。通过实体关系图刻画的用户网络行为记录是一种融合流量审计、运维审计、打印审计、数据审计、应用审计和人员行为审计的综合审计记录。通过综合审计记录能够对网络进行全面审计并具备融合分析和态势感知能力。通过实体关系描述的用户行为审计记录可以通过抽象实现图计算,能够对用户行为进行深度分析。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为一种基于画像技术的用户网络行为审计建模方法流程示意图;图2为设备与网络流量e-r关系结构图;图3为设备、人员与事件的相关e-r关系结构图;图4为综合关系图模型具体实施方式为了使本
技术领域:
的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。如图1所示,一种基于画像技术的用户网络行为审计建模方法,该方法包括以下步骤:s1、通过画像技术还原网络中实体行为,形成实体的关系图谱;s2、通过实体的关系图谱将不同的网络安全数据合并到综合图空间中;s3、对综合图空间进行数据挖掘,建立e-r图分析模型。形成实体的关系图谱具体包括以下方法:通过网络采集器捕获影响网络安全的事件;包括流量采集、日志采集、攻击事件采集、病毒事件采集、违规行为采集等。对事件进行拆分定位事件的主体、客体、事件内容;根据系统中备案的设备信息、资产信息、人员信息以及各种监控指标和流量控制策略与事件中拆分出来的主体、客体以及事件内容进行映射对照,形成实体的关系图谱{v1,v2,...vn}。实体vi表示为网络中的通讯节点,包含主机、服务器、网络设备。通过实体的关系图谱将不同的网络安全数据合并到综合图空间中具体包括以下方法:通过对网络内所有网络流量进行源地址、目的地址、协议类型以及流量发生时间进行抽取,形成综合图空间{e1,e2,...en}。边ei表示为网络流量中的一条访问流量,包含源ip地址、源端口、目标ip地址、目标端口、流量协议,产生时间。节点就是系统中备案的设备或资产,边就是流量的流向,边的权重值就是协议类型。对综合图空间进行数据挖掘,建立e-r图分析模型具体包括以下方法:根据实体的关系图谱{v1,v2,...vn}与综合图空间{e1,e2,...en}构建整体e-r关系图g=(v(g),e(g));网络中部署的ids系统、流量审计、防火墙以及杀毒软件等安全防护产品在运行防护过程中产生了大量的安全防护事件,在网络运行防护过程中安全防护事件存在与网络设备及相关主体的实体关联关系f=(a(f),r(f)),式中,a(f)∈{a1,a2,...an};实体ai表示网络中的网络设备和责任人员,包含主机、服务器、网络设备、办公人员、运维人员、安全事件。安全防护事件之间的关系为r(f)∈{r1,r2,...rn};ri表示事件的相关性,包含事件标识、事件介绍、事件级别、事件时间。人员与设备之间的管理关系为t=(a(t),l(t));设备与文件、人员与文件的文件操作关系为q=(a(q),w(q));设备与网络流量e-r关系结构图,如图2所示。设备、人员与事件的相关e-r关系结构图如图3所示。对上述关系进行融合,得到综合实体关系图m:形成综合关系图模型,如图4所示。对关系图的挖掘应用主要为:通过系统备案的设备、资产、人员、访问控制策略、合规规定以及外网威胁情报数据对形成的er关系图进行通联关系计算、矩阵相似度运算以及图卷积运算,对图所表现的内容进行是否存在风险分析,形成基于er关系图的动态分析成果,形成可供系统使用的关系图谱知识库。算法模型中涉及的涉密主体以及其相关属性如下:人员(编号、姓名、使用设备列表、拥有设备列表);设备(编号、类型、责任人、设备ip、流量输出设备列表、操作文件列表);文件(文件hash、文件名、文件类型、曾用名列表);事件(编号,事件类型、事件级别、事件名称、关联设备列表、关联人员列表、关联文件列表、发生时间);各个涉密实体之间的关系如下表所示:人员设备文件事件人员----使用/责任----相关设备使用/责任流量存储/操作相关文件----存储/操作编辑(重命名)相关事件相关相关相关----在上述基本关系的前提下结合网络监控与审计平台提供的网络安全、告警和预警事件对上述实体进行动态关系关联形成关系图谱。通过图谱高级设置,对实体、事件、时间进行压缩过滤。从而形成对网络空间各主体的信息侦查工作。操作平台左侧进行各主体属性值、相关时间对主体、事件和流量进行过滤,逐步缩小范围实现对网络各主体的精确信息查询和侦查。以上所述仅是本发明的具体实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。当前第1页1 2 3
技术特征:1.一种基于画像技术的用户网络行为审计建模方法,其特征是,该方法包括以下步骤:
通过画像技术还原网络中实体行为,形成实体的关系图谱;
通过实体的关系图谱将不同的网络安全数据合并到综合图空间中;
对综合图空间进行数据挖掘,建立e-r图分析模型。
2.根据权利要求1所述的方法,其特征是,所述形成实体的关系图谱具体包括以下方法:
通过网络采集器捕获影响网络安全的事件;
对事件进行拆分定位事件的主体、客体、事件内容;
根据系统中备案的设备信息、资产信息、人员信息以及各种监控指标和流量控制策略与事件中拆分出来的主体、客体以及事件内容进行映射对照,形成实体的关系图谱{v1,v2,...vn}。
3.根据权利要求2所述的方法,其特征是,通过实体的关系图谱将不同的网络安全数据合并到综合图空间中具体包括以下方法:
通过对网络内所有网络流量进行源地址、目的地址、协议类型以及流量发生时间进行抽取,形成综合图空间{e1,e2,...en}。
4.根据权利要求2所述的方法,其特征是,对综合图空间进行数据挖掘,建立e-r图分析模型具体包括以下方法:
根据实体的关系图谱{v1,v2,...vn}与综合图空间{e1,e2,...en}构建整体e-r关系图g=(v(g),e(g));
在网络运行防护过程中安全防护事件存在与网络设备及相关主体的实体关联关系f=(a(f),r(f)),式中,a(f)∈{a1,a2,...an};安全防护事件之间的关系为r(f)∈{r1,r2,...rn};人员与设备之间的管理关系为t=(a(t),l(t));设备与文件、人员与文件的文件操作关系为q=(a(q),w(q));
对上述关系进行融合,得到综合实体关系图m:
形成综合关系图模型。
技术总结一种基于画像技术的用户网络行为审计建模方法,该方法包括以下步骤:通过画像技术还原网络中实体行为,形成实体的关系图谱;通过实体的关系图谱将不同的网络安全数据合并到综合图空间中;对综合图空间进行数据挖掘,建立E‑R图分析模型。能够全面的表述还原网络中各类审计数据、告警事件、人员及设备之间的归属关系、设备与设备之间的流量关系等,进行了全面刻画,能够完整的描述审计的行为在发生时所处的环境、状态以及相关的事件。为后续进行大数据和人工智能分析提供了良好的数据基础,为后续风险事件的溯源提供了数据支撑。
技术研发人员:李兴国;郑传义;曲志峰;苗功勋;武巧莉
受保护的技术使用者:中孚安全技术有限公司;中孚信息股份有限公司;北京中孚泰和科技发展股份有限公司;南京中孚信息技术有限公司
技术研发日:2020.01.13
技术公布日:2020.06.09
