[发明专利]一种实体行为基线分析方法、系统及终端设备

说明书

本发明提供一种基于多维度视角的实体行为基线分析方法、系统及终端设备，定义实体行为的各个特征集合；对周期内的特征集合建立多维度特征矩阵；将所述多维度特征矩阵映射成多个二维特征矩阵；对多个周期内的数据集构建行为基线数据；构建待检测的行为二维特征矩阵；对待检测的行为二维特征矩阵中的行为特征数据进行异常评估。本发明对实体行为不同的特征维度，建立多个二维特征矩阵，以相同特征的行为计数作为衡量指标，多方面衡量实体行为的异常状况。本发明使用二维度特征组合的方式来构建特征矩阵，解决了多维度特征完全组合而带来的特征值过小，容易造成大量行为特征的出现偏移的情况，又避免多维度特征组合数过多而导致的大量计算。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于多维度视角的实体行为基线分析方法、系统及终端设备。

背景技术

随着网络安全技术的快速发展，针对各类内生式安全风险的实体行为分析系统开始得到广泛应用。如何在大量的用户行为数据之中，识别出异常的用户或设备行为，成为了各类行为分析系统的研究的重点。

目前对于实体异常行为分析，一般是采用建立实体行为的基线，通过计算行为数据和基线数据偏离程度的方式，来识别出异常的实体行为。单一维度的行为基线特征，往往无法真实的体现实体行为的异常，而严格匹配行为场景特征的基线，又因数据过于敏感，最终导致频繁出现漏报和误报情况的发生。

发明内容

本发明的目的是提供一种多维度实体行为基线的建立和异常分析的方法，用于解决传统行为基线分析准确度不高的问题。通过对实体行为在时间、空间、关系、数量等维度构建多个行为特征基线，通过构建对多个基线偏离率的评分策略，实现对实体异常行为更准确地检测。

实体行为基线分析方法包括：

步骤一：定义实体行为的各个特征集合；

步骤二：对周期内的特征集合建立多维度特征矩阵；

步骤三：将所述多维度特征矩阵映射成多个二维特征矩阵；

步骤四：对多个周期内的数据集构建行为基线数据；

步骤五：构建待检测的行为二维特征矩阵；

步骤六：对待检测的行为二维特征矩阵中的行为特征数据进行异常评估。

本发明还提供一种实体行为基线分析系统，包括：定义模块、矩阵配置模块、映射模块、构建行为模块以及评估模块；

定义模块用于定义实体行为的各个特征集合；

矩阵配置模块用于对周期内的特征集合建立多维度特征矩阵；

映射模块用于将所述多维度特征矩阵映射成多个二维特征矩阵；

构建行为模块用于对多个周期内的数据集构建行为基线数据，并构建待检测的行为二维特征矩阵；

评估模块用于对待检测的行为二维特征矩阵中的行为特征数据进行异常评估。

本发明还提供一种实现实体行为基线分析方法的终端设备，其特征在于，包括：

存储器，用于存储计算机程序及实体行为基线分析方法；

处理器，用于执行所述计算机程序及实体行为基线分析方法，以实现实体行为基线分析方法的步骤。

从以上技术方案可以看出，本发明具有以下优点：

本发明提供的系统中，基于在多个维度视角下，对实体行为不同的特征维度，建立多个二维特征矩阵，以相同特征的行为计数作为衡量指标，多方面衡量实体行为的异常状况。