一种基于双层隐马尔可夫链的用户异常网络访问行为识别方法与流程

该发明属于信息安全领域，提出一种基于双层隐马尔可夫链的用户异常网络访问行为识别方法。

背景技术：

1、近些年来，据有关研究机构对网络攻击事件的分析与统计中显示，很多网络攻击事件都是由多个攻击步骤组成，攻击者在发动攻击前，会先向攻击目标进行一些探测活动，通常这些操作的威胁程度都比较低，不会引起网络安全管理人员的关注。在探测完主机的信息之后，攻击者会利用探测到的信息对主机发动进一步的攻击，并且攻击力度会逐步加强，最终实现对攻击目标的攻击。这些攻击步骤之间存在一定的时间和空间联系，这类攻击方式称为多步攻击，通过这种方式能够实现更为复杂的攻击过程。一次完整的攻击过程包含多个攻击步骤，这些攻击步骤之间存在着一定的逻辑关系，只有当前一个攻击步骤成功完成，后面的攻击步骤才能够开始。一般来说，多步攻击可以分为信息探测、漏洞扫描、漏洞利用、权限提升、发动攻击、留下后门等多个步骤。

2、当前在具体的攻击中，且各个步骤之间总是具有一定的逻辑关系和时间顺序的，需要对各种网络安全设备产生的海量、孤立的报警数据进行关联分析，可以挖掘出其中存在的频繁项集，有助于发现因果关系不明确的多步攻击模式，能够更好的对异常业务访问行为识别，可以有效的提高网络威胁检测和风险预警的能力

3、基于网络通信流量的用户行为异常检测的关键问题是对用户行为建模，较难针对用户建立完整准确的行为模式，目前的用户行为建模方法大多以用户会话作为研究对象，主要针对单个用户会话建立模式，关注会话内的特征属性及其关系，却忽略了用户多次会话间的关联关系所体现出的规律性。

技术实现思路

1、为解决现有技术中存在的不足，本发明的目的在于，提供一种基于双层隐马尔可夫链的用户异常网络访问行为识别方法，其解决了传统马尔科夫链预测用户行为无法在长时间跨度下由于针对离散的单个网络异常行为进行建模，而忽略了用户多次会话间的关联关系所体现出的规律性问题，实现了长时间跨度下的数据异常识别。

2、本发明采用如下的技术方案。

3、一种基于双层隐马尔可夫链的用户异常网络访问行为识别方法，包括以下步骤:

4、步骤1，采集全量的历史用户访问行为数据，分解行为数据，形成训练样本；其中，用户访问行为就是用户对网络的访问行为。

5、步骤2，基于训练样本进行数据训练，得到用户行为的行为模型；

6、步骤3，基于用户访问行为特征进行双层马尔科夫链建模，利用所述用户行为的行为模型对实时网络用户行为进行检测,识别出异常用户；

7、步骤4，对所述异常用户访问操作用户行为进行持续追踪；

8、步骤5，对异常用户行为进行识别。

9、另一方面，本发明还提供了一种异常用户行为识别系统，包括:

10、采集单元，用于采集全量的历史用户访问行为数据，分解行为数据，形成训练样本；

11、训练单元，用于基于训练样本进行数据训练，得到用户行为的行为模型；

12、学习单元，用于基于用户访问行为特征进行双层马尔科夫链建模，利用所述用户行为的行为模型对实时网络用户行为进行检测,识别出异常用户；

13、追踪单元，用于对所述异常用户访问操作用户行为进行持续追踪；

14、识别单元，用于对异常用户行为进行识别。

15、本发明的有益效果在于，本专利发明了一种基于双层隐马尔可夫链的用户异常网络访问行为识别方法，设计基于双层隐马尔可夫链的用户异常网络访问行为检测算法，得到更长时间跨度的异常业务访问行为。可以有针对性地分析并识别异常用户行为，为恶意用户行为的处理提供准确的定位。还通过底层隐马尔可夫链用于识别离散的单个网络异常行为，高层的隐马尔可夫链则在低层识别的多个独立异常事件中得到更长时间跨度的用户异常行为,很好地解决了识别多个攻击步骤组成的网络异常业务访问行为的难题。

技术特征：

1.一种基于双层隐马尔可夫链的用户异常网络访问行为识别方法，其特征在于，包括以下步骤:

2.根据权利要求1所述的方法，其中，所述步骤1，采集全量的历史用户访问行为数据，分解行为数据，形成训练样本，具体包括：

3.根据权利要求2所述的方法，其中，所述网络探针部署在网关入口的中间件服务器上，以插件形式按照旁路方式部署。

4.根据权利要求2所述的方法，其中，所述行为数据总集合包括用户访问时间、页面点击菜单顺序、页面停留时间；所述页面停留时间为用户从访问到关闭网站页面/访问下一个网站页面的时间。

5.根据权利要求1所述的方法，其中，所述步骤2，基于训练样本进行数据训练，得到用户行为的行为模型，根据异常业务访问行为的特点，每一个异常业务访问行为事件可以由若干网络攻击动作来描述，每个网络攻击动作则有则是由一组异常行为的数据时间序列构成。因此我们可以构建一个双层隐马尔可夫链模型来描述大时间跨度的异常业务访问行为特征。具体包括：

6.根据权利要求1所述的方法，其中，所述步骤4，对所述异常用户访问操作用户行为进行持续追踪，具体包括：

7.根据权利要求1所述的方法，其中，所述步骤5，对异常用户行为进行识别，具体包括：识别所述访问用户行为是否异常，并判断所述访问操作间隔是否呈现正态分布，若所述访问用户行为异常且所述访问操作间隔未呈现正态分布，标记该用户的访问用户行为为异常用户行为。

8.一种异常用户行为识别系统，其特征在于，包括:

9.根据权利要求8所述的系统，其中，所述采集单元，用于采集全量的历史用户访问行为数据，分解行为数据，形成训练样本，具体包括：

10.根据权利要求8所述的系统，其中，所述识别单元，用于对异常用户行为进行识别，具体包括：识别所述访问用户行为是否异常，并判断所述访问操作间隔是否呈现正态分布，若所述访问用户行为异常且所述访问操作间隔未呈现正态分布，标记该用户的访问用户行为为异常用户行为。

技术总结
本发明设计了一种基于双层隐马尔可夫链的用户异常网络访问行为识别方法，针对信息系统用户异常访问行为识别困难的问题，采用双层马尔科夫链建模用户正常业务访问行为，通过建立正常业务访问行为概率矩阵，识别系统用户非正常访问行为，为网络攻击行为的处理提供准确的定位的效果。另外还解决了传统马尔科夫链预测用户行为无法在长时间跨度下由于针对离散的单个网络异常行为进行建模，而忽略了用户多次会话间的关联关系所体现出的规律性问题，实现了长时间跨度下的数据异常识别。

技术研发人员：赵磊,邹云峰,徐超
受保护的技术使用者：国网江苏省电力有限公司营销服务中心
技术研发日：
技术公布日：2024/1/13