基于UEBA的智能网络安全检测分析系统的制作方法

基于ueba的智能网络安全检测分析系统
技术领域
1.本发明涉及网络安全技术领域，具体是基于ueba的智能网络安全检测分析系统。


背景技术：

2.近年来随着各类数据快速增长、移动应用走入日常工作生活、云计算普遍使用、物联网快速拓展，各类安全问题层出不穷，往日属于专业领域的网络安全问题开始成为普通人的日常新闻。随着互联网的发展，人们在享受到互联网便利的同时也存在网络安全隐患，而企业为了保证公司信息的安全，一般会构建严密的防火墙，但是，再坚固的堡垒也容易从内部打破，大多数企业的核心信息丢失一般是公司内部员工的不当操作或者恶意报复。而现在企业也慢慢重视公司内部网络的安全，尽量避免公司因员工的操作造成利益受损，这种内部网络的隐患一般很难排查，现有的网络安全系统也没有很好的排查隐患。
3.为了针对上述的网络安全隐患，人们将ueba应用到网络安全系统上，ueba是一种采用高级数据分析方法、面向用户和实体网络行为，进行异常检测和调查的技术，是安全智能分析切入点。在网络安全领域得到高度重视，近年来在市场上得到应用和客户认可。
4.现有网络安全系统存在如下问题：1.用户在登录系统时没有对其登录状态进行分析检测，进而容易造成他人盗取账号登录系统并窃取机密；2、用户容易受到一些带有病毒的网址的诱惑，进而访问该网址将病毒带入系统内部；3、用户违规删除公司文件可能给公司带来损失；4、用户恶意传输公司内部文件，给公司造成不利影响。因此，本领域技术人员提供了基于ueba的智能网络安全检测分析系统，以解决上述背景技术中提出的问题。


技术实现要素：

5.本发明的目的在于提供基于ueba的智能网络安全检测分析系统，通过设置的异常登录模型检测用户登录状态是否异常，通过设置的异常资源访问模型检测用户访问网址是否异常，通过设置的异常删除文件模型检测用户删除的文件是否异常，通过设置的异常数据传输模型检测用户传输的数据对象是否异常，以解决上述背景技术中提出的问题。
6.为实现上述目的，本发明提供如下技术方案：
7.基于ueba的智能网络安全检测分析系统，包括ueba流量解析模块、数据接入模块、数据管理模块、数据分析模块、数据检测模块以及后台控制模块；
8.其中，所述ueba流量解析模块与数据接入模块通信连接，所述数据接入模块与数据管理模块通信连接，所述数据管理模块与数据分析模块通信连接，所述数据分析模块与数据检测模块通信连接，所述数据检测模块与后台控制模块通信连接；
9.所述ueba流量解析模块用于进行数据解析，其接收交换机镜像数据，其中，镜像数据包括流数据、用户登录数据、各类日志数据、资产数据、资产漏扫数据、威胁情报数据与身份信息数据，所述ueba流量解析模块对流数据进行自动解析，再将解析后的流数据以及用户登录数据、各类日志数据、资产数据、资产漏扫数据、威胁情报数据、身份信息数据传输给数据接入模块；
10.所述数据接入模块用于接收数据，其接收ueba流量解析模块传来的数据并将数据传输给数据管理模块与数据检测模块；
11.所述数据管理模块接收数据接入模块传来的数据后对数据进行分布式存储，对数据进行管理；
12.所述数据分析模块提取数据管理模块中存储的数据进行分析学习，构建异常行为检测模型，将该模型发送给数据检测模块；所述数据分析模块构建的异常行为检测模型包括异常登录模型、异常资源访问模型、异常删除文件模型以及异常数据传输模型；所述异常登录模型用于检测用户登录状态是否异常，所述异常资源访问模型用于检测用户访问网址是否异常，所述异常删除文件模型用于检测用户删除的文件是否异常，所述异常数据传输模型用于检测用户传输的数据对象是否异常；
13.所述数据检测模块根据数据分析模块传来的异常行为检测模型对数据接入模块传来的数据进行检测，并将检测结果传输给后台控制模块；
14.所述后台控制模块用于显示数据检测结果以及进行系统管理。
15.通过设置的异常登录模型检测用户登录状态是否异常，通过设置的异常资源访问模型检测用户访问网址是否异常，通过设置的异常删除文件模型检测用户删除的文件是否异常，通过设置的异常数据传输模型检测用户传输的数据对象是否异常。
16.作为本发明进一步的方案：所述异常登录模型的具体构建过程为：
17.s1：构建登录时长检测模型；
18.s11：将用户以往登录系统的所用的时长标记为tsi，i＝1
……
n；
19.s12：去掉最短登录时长与最长登录时长，对其余登录时长求取平均值tsz；
20.s13：将用户此次登录系统所用时长标记为tsc，再将tsc与tsz进行比较，若tsc与tsz相差的绝对值在1s内则检测结果显示正常；若tsc与tsz相差的绝对值在1-3s内则检测结果显示登录时长一级异常；若tsc与tsz相差的绝对值在3-5s内则检测结果显示登录时长二级异常；若tsc与tsz相差的绝对值超过5s则检测结果显示登录时长三级异常；
21.s2：构建登录ip地址检测模型；
22.s21：将用户以往登录系统的ip地址标记为pzi，i＝1
……
n；
23.s22：将用户此次登录系统的ip地址标记为pzm；
24.s23：将pzm与pzi进行匹配；
25.s24：若pzm与任一一个pzi匹配则检测结果显示正常；若pzm不与任一一个pzi匹配则检测结果显示ip地址登录异常；
26.s3：构建登录终端检测模型；
27.s31：将用户以往登录系统所用的终端mac地址标记为mji，j＝1
……
n；
28.s32：将用户此次登录系统所用终端的mac地址标记为mjp；
29.s33：将mjp与mji进行匹配；
30.s34：若mjp与任一一个mji匹配则检测结果显示正常；若mjp不与任一一个mji匹配则检测结果显示登录终端异常；
31.s4：构建登录时间检测模型；
32.s41：将用户以往登录系统的时间点标记为sti，i＝1
……
n；
33.s42：将用户此次登录系统的时间点标记为stc；
34.s43：将stc与sti进行比较；
35.s44：若stc与任一一个sti的时间差绝对值在1h内则检测结果显示正常；若stc与任一一个sti的时间差绝对值在1-2h内则检测结果显示登录时间一级异常；若stc与任一一个sti的时间差绝对值在2-3h内则检测结果显示登录时间二级异常；若stc与任一一个sti的时间差绝对值超过3h则检测结果显示登录时间三级异常。
36.作为本发明再进一步的方案：所述异常资源访问模型的具体构建过程为：
37.步骤一：将用户以往登录的网址标记为wji，i＝1
……
n；
38.步骤二：将用户实时登录的网址标记为wjz；
39.步骤三：将wjz与wji进行匹配，若wjz与任一一个wji匹配则检测结果显示正常；若wjz不与任一一个wji匹配则进入下一步骤；
40.步骤四：对该网址进行病毒扫描；
41.步骤五：若确认该网址无病毒则检测结果显示正常；若确认该网址有病毒则进入下一步骤；
42.步骤六：若用户浏览该网址的时长超过预设值则检测结果显示资源访问异常；若用户浏览该网址的时长在预设值内则检测结果显示正常。
43.作为本发明再进一步的方案：所述异常删除文件模型的具体构建过程为：
44.(1)：将用户删除的文件进行时间标记，若所删文件最后一次修改的时间点在一个月之内则将该所删文件标记为重要文件；若所删文件最后一次修改的时间点在一个月到三个月之内则将该所删文件标记为次要文件；若所删文件最后一次修改的时间点超过三个月则将该所删文件标记为不重要文件；
45.(2)：对用户删除的文件进行数量标记，若所删文件的大小在预设值之内则标记正常删除；若所删文件的大小不在预设值之内则标记异常删除；
46.(3)：当所删文件的大小在预设值之内且所删文件标记为不重要文件，则检测结果显示正常；
47.(4)：当所删文件的大小在预设值之内且所删文件标记为次要文件，则检测结果显示删除文件一级异常；
48.(5)：当所删文件的大小在预设值之内且所删文件标记为重要文件，则检测结果显示删除文件二级异常；
49.(6)：当所删文件的大小不在预设值之内且所删文件标记为不重要文件，则检测结果显示删除文件一级异常；
50.(7)：当所删文件的大小不在预设值之内且所删文件标记为次要文件，则检测结果显示删除文件二级异常；
51.(8)：当所删文件的大小不在预设值之内且所删文件标记为重要文件，则检测结果显示删除文件三级异常。
52.作为本发明再进一步的方案：所述所删文件的大小是否在预设值之内的具体过程为：
53.1)：将用户以往所删除的文件根据属性进行分类，分别为文本类、视频类、音频类、图片类以及可执行文件类；
54.2)：将用户以往每日删除的不同种类的文件进行统计；
55.3)：若用户所删文件为文本类且所删文件的大小与以往任一天所删文本类文件大小相差在500kb之内，则所删文件的大小在预设值之内并标记正常删除；若用户所删文件为文本类且所删文件的大小与以往任一天所删文本类文件大小相差超过500kb，则所删文件的大小不在预设值之内并标记异常删除；
56.4)：若用户所删文件为视频类且所删文件的大小与以往任一天所删视频类文件大小相差在500mb之内，则所删文件的大小在预设值之内并标记正常删除；若用户所删文件为视频类且所删文件的大小与以往任一天所删视频类文件大小相差超过500mb，则所删文件的大小不在预设值之内并标记异常删除；
57.5)：若用户所删文件为音频类且所删文件的大小与以往任一天所删音频类文件大小相差在50mb之内，则所删文件的大小在预设值之内并标记正常删除；若用户所删文件为音频类且所删文件的大小与以往任一天所删音频类文件大小相差超过50mb，则所删文件的大小不在预设值之内并标记异常删除；
58.6)：若用户所删文件为图片类且所删文件的大小与以往任一天所删图片类文件大小相差在5mb之内，则所删文件的大小在预设值之内并标记正常删除；若用户所删文件为图片类且所删文件的大小与以往任一天所删图片类文件大小相差超过5mb，则所删文件的大小不在预设值之内并标记异常删除；
59.7)：若用户所删文件为可执行文件类且所删文件的大小与以往任一天所删可执行文件类文件大小相差在500kb之内，则所删文件的大小在预设值之内并标记正常删除；若用户所删文件为可执行文件类且所删文件的大小与以往任一天所删可执行文件类文件大小相差超过500kb，则所删文件的大小不在预设值之内并标记异常删除。
60.作为本发明再进一步的方案：所述异常数据传输模型的具体构建过程为：
61.ss1：将用户以往传输数据的对象标记为rji，i＝1
……
n；
62.ss2：将用户实时传输数据的对象标记为rjz；
63.ss3：将rjz与rji进行匹配；
64.ss4：若rjz与任一一个rji匹配则检测结果显示正常；若rjz不与任一一个rji匹配则进入下一步骤；
65.ss5：识别rjz与rji的ip地址中的网段；
66.ss6：若rjz与rji的ip地址中的网段匹配则检测结果显示正常；若rjz与rji的ip地址中的网段不匹配则检测结果显示数据传输异常。
67.作为本发明再进一步的方案：所述后台控制模块的系统管理包括提供权限管理、系统配置、算法管理与监控、服务监控、硬件资源监控以及审计日志。
68.与现有技术相比，本发明的有益效果是：
69.1、通过设置的异常登录模型检测用户登录状态是否异常，该异常登录模型从登录时长、登录ip地址、登录终端以及登录时间四个方面对用户的登录状态进行多方位检测，并在构建登录时长检测模型与登录时间检测模型时采用分级异常提醒，进而方便工作人员更清楚的了解轻重缓急。
70.2、通过设置的异常资源访问模型检测用户访问网址是否异常，该异常资源访问模型不仅能够识别陌生网址，还能对陌生网址进行病毒检测。此外，当用户访问病毒网址时还能够根据访问时间进行异常判定，避免用户不小心点开病毒网址后迅速关闭网址也被识别
成异常资源访问。
71.3、通过设置的异常删除文件模型检测用户删除的文件是否异常，该异常删除文件模型能够根据所删文件的类型以及所删文件的大小来快速识别用户所删除的文件是否符合标准，进而避免公司内部资料销毁造成损失。
72.4、通过设置的异常数据传输模型检测用户传输的数据对象是否异常，该异常数据传输模型能够识别用户传输数据的对象是否为陌生对象，而对陌生对象ip地址的网段进行识别匹配来判断该接收对象是否为公司内部员工，进而有效避免数据外泄。
附图说明
73.图1为基于ueba的智能网络安全检测分析系统的结构框图。
具体实施方式
74.下面对本发明的实施例作详细说明，本实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。
75.如图1所示，本实施例提供一种技术方案：基于ueba的智能网络安全检测分析系统，包括ueba流量解析模块、数据接入模块、数据管理模块、数据分析模块、数据检测模块以及后台控制模块。其中，ueba流量解析模块与数据接入模块通信连接，数据接入模块与数据管理模块通信连接，数据管理模块与数据分析模块通信连接，数据分析模块与数据检测模块通信连接，数据检测模块与后台控制模块通信连接。
76.ueba流量解析模块用于进行数据解析，其接收交换机镜像数据。其中，镜像数据包括流数据、用户登录数据、各类日志数据、资产数据、资产漏扫数据、威胁情报数据与身份信息数据。ueba流量解析模块对流数据进行自动解析，再将解析后的流数据以及用户登录数据、各类日志数据、资产数据、资产漏扫数据、威胁情报数据、身份信息数据传输给数据接入模块。
77.数据接入模块用于接收数据，其接收ueba流量解析模块传来的数据并将数据传输给数据管理模块与数据检测模块。
78.数据管理模块接收数据接入模块传来的数据后对数据进行分布式存储，对数据进行管理。
79.数据分析模块提取数据管理模块中存储的数据进行分析学习，构建异常行为检测模型，将该模型发送给数据检测模块。数据分析模块构建的异常行为检测模型包括异常登录模型、异常资源访问模型、异常删除文件模型以及异常数据传输模型。异常登录模型用于检测用户登录状态是否异常，异常资源访问模型用于检测用户访问网址是否异常，异常删除文件模型用于检测用户删除的文件是否异常，异常数据传输模型用于检测用户传输的数据对象是否异常。
80.数据检测模块根据数据分析模块传来的异常行为检测模型对数据接入模块传来的数据进行检测，并将检测结果传输给后台控制模块。
81.后台控制模块用于显示数据检测结果以及进行系统管理。
82.通过设置的异常登录模型检测用户登录状态是否异常，通过设置的异常资源访问
模型检测用户访问网址是否异常，通过设置的异常删除文件模型检测用户删除的文件是否异常，通过设置的异常数据传输模型检测用户传输的数据对象是否异常。
83.在本实施例中：异常登录模型的具体构建过程为：
84.s1：构建登录时长检测模型。
85.s11：将用户以往登录系统的所用的时长标记为tsi，i＝1
……
n。
86.s12：去掉最短登录时长与最长登录时长，对其余登录时长求取平均值tsz。
87.s13：将用户此次登录系统所用时长标记为tsc，再将tsc与tsz进行比较，若tsc与tsz相差的绝对值在1s内则检测结果显示正常。若tsc与tsz相差的绝对值在1-3s内则检测结果显示登录时长一级异常。若tsc与tsz相差的绝对值在3-5s内则检测结果显示登录时长二级异常。若tsc与tsz相差的绝对值超过5s则检测结果显示登录时长三级异常。
88.s2：构建登录ip地址检测模型。
89.s21：将用户以往登录系统的ip地址标记为pzi，i＝1
……
n。
90.s22：将用户此次登录系统的ip地址标记为pzm。
91.s23：将pzm与pzi进行匹配。
92.s24：若pzm与任一一个pzi匹配则检测结果显示正常。若pzm不与任一一个pzi匹配则检测结果显示ip地址登录异常。
93.s3：构建登录终端检测模型。
94.s31：将用户以往登录系统所用的终端mac地址标记为mji，j＝1
……
n。
95.s32：将用户此次登录系统所用终端的mac地址标记为mjp。
96.s33：将mjp与mji进行匹配。
97.s34：若mjp与任一一个mji匹配则检测结果显示正常。若mjp不与任一一个mji匹配则检测结果显示登录终端异常。
98.s4：构建登录时间检测模型。
99.s41：将用户以往登录系统的时间点标记为sti，i＝1
……
n。
100.s42：将用户此次登录系统的时间点标记为stc。
101.s43：将stc与sti进行比较。
102.s44：若stc与任一一个sti的时间差绝对值在1h内则检测结果显示正常。若stc与任一一个sti的时间差绝对值在1-2h内则检测结果显示登录时间一级异常。若stc与任一一个sti的时间差绝对值在2-3h内则检测结果显示登录时间二级异常。若stc与任一一个sti的时间差绝对值超过3h则检测结果显示登录时间三级异常。
103.异常登录模型通过登录时长、登录ip地址、登录终端以及登录时间四个方面对用户的登录状态进行检测。
104.在本实施例中：异常资源访问模型的具体构建过程为：
105.步骤一：将用户以往登录的网址标记为wji，i＝1
……
n。
106.步骤二：将用户实时登录的网址标记为wjz。
107.步骤三：将wjz与wji进行匹配，若wjz与任一一个wji匹配则检测结果显示正常。若wjz不与任一一个wji匹配则进入下一步骤。
108.步骤四：对该网址进行病毒扫描。
109.步骤五：若确认该网址无病毒则检测结果显示正常。若确认该网址有病毒则进入
下一步骤。
110.步骤六：若用户浏览该网址的时长超过预设值则检测结果显示资源访问异常。若用户浏览该网址的时长在预设值内则检测结果显示正常。
111.异常资源访问模型不仅能够识别陌生网址，还能对陌生网址进行病毒检测，此外，当用户访问病毒网址时还能够根据访问时间进行异常判定。在本实施例中，用户浏览病毒网址的预设值时长为5s。
112.在本实施例中：异常删除文件模型的具体构建过程为：
113.(1)：将用户删除的文件进行时间标记，若所删文件最后一次修改的时间点在一个月之内则将该所删文件标记为重要文件。若所删文件最后一次修改的时间点在一个月到三个月之内则将该所删文件标记为次要文件。若所删文件最后一次修改的时间点超过三个月则将该所删文件标记为不重要文件。
114.(2)：对用户删除的文件进行数量标记，若所删文件的大小在预设值之内则标记正常删除。若所删文件的大小不在预设值之内则标记异常删除。
115.(3)：当所删文件的大小在预设值之内且所删文件标记为不重要文件，则检测结果显示正常。
116.(4)：当所删文件的大小在预设值之内且所删文件标记为次要文件，则检测结果显示删除文件一级异常。
117.(5)：当所删文件的大小在预设值之内且所删文件标记为重要文件，则检测结果显示删除文件二级异常。
118.(6)：当所删文件的大小不在预设值之内且所删文件标记为不重要文件，则检测结果显示删除文件一级异常。
119.(7)：当所删文件的大小不在预设值之内且所删文件标记为次要文件，则检测结果显示删除文件二级异常。
120.(8)：当所删文件的大小不在预设值之内且所删文件标记为重要文件，则检测结果显示删除文件三级异常。
121.在本实施例中：所删文件的大小是否在预设值之内的具体过程为：
122.1)：将用户以往所删除的文件根据属性进行分类，分别为文本类、视频类、音频类、图片类以及可执行文件类。
123.2)：将用户以往每日删除的不同种类的文件进行统计。
124.3)：若用户所删文件为文本类且所删文件的大小与以往任一天所删文本类文件大小相差在500kb之内，则所删文件的大小在预设值之内并标记正常删除。若用户所删文件为文本类且所删文件的大小与以往任一天所删文本类文件大小相差超过500kb，则所删文件的大小不在预设值之内并标记异常删除。
125.4)：若用户所删文件为视频类且所删文件的大小与以往任一天所删视频类文件大小相差在500mb之内，则所删文件的大小在预设值之内并标记正常删除。若用户所删文件为视频类且所删文件的大小与以往任一天所删视频类文件大小相差超过500mb，则所删文件的大小不在预设值之内并标记异常删除。
126.5)：若用户所删文件为音频类且所删文件的大小与以往任一天所删音频类文件大小相差在50mb之内，则所删文件的大小在预设值之内并标记正常删除。若用户所删文件为
音频类且所删文件的大小与以往任一天所删音频类文件大小相差超过50mb，则所删文件的大小不在预设值之内并标记异常删除。
127.6)：若用户所删文件为图片类且所删文件的大小与以往任一天所删图片类文件大小相差在5mb之内，则所删文件的大小在预设值之内并标记正常删除。若用户所删文件为图片类且所删文件的大小与以往任一天所删图片类文件大小相差超过5mb，则所删文件的大小不在预设值之内并标记异常删除。
128.7)：若用户所删文件为可执行文件类且所删文件的大小与以往任一天所删可执行文件类文件大小相差在500kb之内，则所删文件的大小在预设值之内并标记正常删除。若用户所删文件为可执行文件类且所删文件的大小与以往任一天所删可执行文件类文件大小相差超过500kb，则所删文件的大小不在预设值之内并标记异常删除。
129.该异常删除文件模型能够根据所删文件的类型以及所删文件的大小来快速识别用户所删除的文件是否符合标准，进而避免公司内部资料销毁造成损失。
130.在本实施例中：异常数据传输模型的具体构建过程为：
131.ss1：将用户以往传输数据的对象标记为rji，i＝1
……
n。
132.ss2：将用户实时传输数据的对象标记为rjz。
133.ss3：将rjz与rji进行匹配。
134.ss4：若rjz与任一一个rji匹配则检测结果显示正常。若rjz不与任一一个rji匹配则进入下一步骤。
135.ss5：识别rjz与rji的ip地址中的网段。
136.ss6：若rjz与rji的ip地址中的网段匹配则检测结果显示正常。若rjz与rji的ip地址中的网段不匹配则检测结果显示数据传输异常。
137.该异常数据传输模型能够识别用户传输数据的对象是否为陌生对象，而对陌生对象ip地址的网段进行识别匹配来判断该接收对象是否为公司内部员工，进而有效避免数据外泄。
138.在本实施例中：后台控制模块的系统管理包括提供权限管理、系统配置、算法管理与监控、服务监控、硬件资源监控以及审计日志。权限管理能够给登录系统的用户开放不同的权限，例如权限低的员工无法查看自己行为的检测分析结果，而权限高的领导可查看员工行为的检测分析结果。系统配置能够用来设置异常行为检测模型中的检测预设值。算法管理与监控能够对系统的算法进行监控与管理。服务监控能够在服务出现问题或者快要出现问题时能够准确快速地发现以减小影响范围。硬件资源监控能够了解硬件的工作状态。审计日志包含所有用户登录记录和所有用户操作记录。
139.综上所述，上述实施例的基于ueba的智能网络安全检测分析系统，通过对用户在登录状态、资源访问、文件删除以及数据传输上的行为进行异常检测和调查，能够有效保护公司内部网络安全，避免内部文件丢失或泄露。
140.以上所述的，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。