[发明专利]一种基于动态web浏览行为的内部威胁检测系统及方法

摘要

本发明涉及一种基于动态web浏览行为的内部威胁检测系统及方法，由5个模块组成：组织或者企业内用户主机web浏览数据的采集模块、数据预处理和存储模块、个人用户行为异常检测模块、用户组行为异常检测模块、信息融合和内部威胁检测结果输出模块。该系统通过对组织或者企业内用户web浏览数据的收集、数据的过滤和去噪、个人用户web浏览行为动态性建模和异常检测、用户组行为相对一致性建模和异常检测、信息融合和检测结果输出5个过程实现，使该系统具有较高的内部威胁检测率和较低的误报率。此外，该系统通过图聚类算法自动发现组织或者企业内的用户组关系，提高了系统的智能性，减少了人工标注用户组的工作量。

主权项

1.一种基于动态web浏览行为的内部威胁检测系统，其特征在于：所述系统包括：数据收集部分和异常检测部分，数据收集部分包括：组织或者企业内用户主机web浏览数据的采集模块、数据预处理和存储模块；异常检测部分分析收集的用户浏览行为数据；异常检测部分包括：个人用户行为异常检测模块、用户组行为异常检测模块、信息融合模块、内部威胁检测结果输出模块，其中：Web浏览数据采集模块：在组织或者企业内需要监控的、重要人员的主机上部署审计节点，用来采集主机的web浏览数据，采集通过浏览器访问的在线资源或系统；数据预处理和存储模块：通过审计节点采集的web浏览原始数据发送到服务器，并将数据存储到服务器的数据库中，由于原始数据包含重复审计的冗余数据和数据字段不完整的不完整数据，需要对数据进行过滤，提取出有效的数据，并将预处理之后的有效数据再次存储到数据库中，以便异常检测进行数据分析；个人用户行为异常检测模块：在组织或者企业内部，用户的工作任务和兴趣爱好随着时间的变化是动态改变的，通过从服务器的数据库中抽取个人web浏览数据，利用幂分布建立个人用户正常的行为改变模型，根据个人用户浏览行为的改变偏离幂分布的程度评估个人用户行为的异常程度，即异常得分；用户组行为异常检测模块：由于在组织或者企业内部同一个用户组执行相似的工作任务或相同的项目，使得个人用户与该用户组中的其他用户的行为或行为的改变具有相对一致性，因此根据用户浏览行为与用户组中其他用户行为的偏离程度评估用户在用户组行为中的异常程度，即异常得分；同时该模块建立了组织或者企业内用户关系网络并利用图聚类方法实现了用户组关系的自动抽取，减少了人工标注用户组的工作量；信息融合模块：组织或者企业内用户的行为既具有个人的动态变化性也具有用户组的行为相对一致性，利用权重的线性模型融合个人用户行为和用户组行为，通过结合个人用户行为的异常程度和用户组行为的异常程度来综合考虑用户行为的异常，能够提高检测的准确率和降低检测的误报率，得到最终融合的的异常得分；内部威胁检测结果输出模块，对于最终融合的异常得分，通过设定的阈值判定并输出检测到的内部威胁。