(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111212755.4 (22)申请日 2021.10.18 (71)申请人 北京八分量信息科技有限公司 地址 100089 北京市海淀区紫竹院路81号 院3号楼2层206 (72)发明人 阮安邦　魏明　李飞　陈凯　 陈旭明　 (74)专利代理 机构 北京海虹嘉诚知识产权代理 有限公司 1 1129 代理人 张涛 (51)Int.Cl. G06F 21/55(2013.01) G06N 20/00(2019.01) (54)发明名称 一种持续免疫安全系统的用户实体行为分 析方法及系统 (57)摘要 本发明涉及一种持续免疫安全系统的用户 实体行为分析系统， 其特征在于， 至少包括输入 模块、 数据采集模块和用户实体行为分析模块。 输入模块用于用户输入所需应对的风险场景； 数 据采集模块能够获取所述输入模块所输入的风 险场景， 并根据所述风险场景采集用户相对应的 数据信息； 用户实体行为分析模块至少能够获取 所述数据采集模块所采集的数据信息； 用户实体 行为分析模块被配置为能够根据输入模块所输 入的风险场景， 以及所述数据采集模块所采集的 与所述风险场景相关的数据信息进行分析， 以利 用用户实体行为分析技术对用户和/或信息系统 做用户画 像， 并基于所形成的用户画 像判断用户 和/或信息系统是否存在异常活动和/或异常进 程。 权利要求书2页 说明书11页 附图1页 CN 113918938 A 2022.01.11 CN 113918938 A 1.一种持续免疫安全系统的用户实体行为分析系统， 其特 征在于， 至少包括： 输入模块(1)， 被 配置为用于用户输入所需应对的风险场景； 数据采集模块(2)， 被配置能够获取所述输入模块(1)所输入的风 险场景， 并根据所述 风险场景采集用户相对应的数据信息； 用户实体行为分析模块(3)， 至少能够获取 所述数据采集模块(2)所采集的数据信息； 其中， 用户实体行为分析模块(3)被配置为能够根据输入模块(1)所输入 的风险场景， 以及所述数据采集模块(2)所采集的与所述风险场景相关的数据信息进行分析， 以利用用 户实体行为分析技术对用户和/或信息系统做用户画像， 并基于所形成的用户画像判断用 户和/或信息系统是否存在异常活动和/或异常进程。 2.根据权利要求1所述的用户实体行为分析系统， 其特征在于， 所述用户实体行为分析 模块(3)包括白名单生成单 元(301)， 其中， 所述白名单生成单元(301)被配置为能够基于不同用户的应用场景和/或所述主动对 抗模块所监控的安全态 势生成与该用户的安全需求相匹配的白名单。 3.根据权利要求2所述的用户实体行为分析系统， 其特征在于， 所述用户实体行为分析 模块(3)还 包括： 用户实体行为分析单元(302)， 被配置为至少能够对用户运行白名单上的进程或程序 进行监控分析， 以监测用户运行 所述白名单的进程或程序是否存在异常； 样本数据解析单元(303)， 被配置为能够从所述数据采集模块(2)获取与所述风险场景 相关的数据信息， 并对所述数据信息进行解析处 理得到关键日志样本数据； 模型建立单元(304)， 被配置为能够根据所述若干类关键日志样本数据以及机器学习 训练模型， 建立异常侦测模型。 4.根据权利要求3所述的用户实体行为分析系统， 其特征在于， 样本数据解析单元 (303)， 被配置为能够从所述数据采集模块(2)获取与所述风险场景相关的数据信息， 并对 所述数据信息进行解析处 理得到关键日志样本数据的方法包括： 根据所述与 所述风险场景相关的数据信 息建立多个日志模板； 根据建立的多个日志模 板， 对所述与所述 风险场景相关的数据信息进行解析处 理得到关键日志样本数据。 5.根据权利要求4所述的用户实体行为分析系统， 其特征在于， 所述根据 所述与所述风 险场景相关的数据信息建立多个日志模板的方法包括： 根据所述与所述 风险场景相关的数据信息中的模板词和参数词确定消息类型； 根据确定出的所述消息类型， 建立多个日志模板 。 6.根据权利要求5所述的用户实体行为分析系统， 其特征在于， 所述用户实体行为分析 模块(3)包括白名单 数据库单 元(305)， 其中， 所述白名单数据库单元(305)被配置为至少能够采集多个不同用户的白名单而形成白 名单数据库， 以通过所述白名单数据库对所述用户实体行为分析单元(302)所监测为异常 状态的白名单进行分析比对而降低所述用户实体行为分析 单元(302)的误报率。 7.根据权利要求6所述的用户实体行为分析系统， 其特征在于， 所述白名单数据库 单元 (305)能够持续地更新白名单持续更新的方法包括： 若用户实体行为分析单元(302)通过所 述白名单数据库对所述用户实体行为分析单元(302)所监测为异常状态的 白名单进 行分析 比对发现异常状态的白名单在所述白名单数据库单元(305)的白名单范围内， 则所述用户权　利　要　求　书 1/2 页 2 CN 113918938 A 2实体行为分析单元(302)将该异常状态的白名单判定为错误的告警， 所述白名单生成单元 (301)获取上述指令立刻更新相应服务器的白名单并将所述用户实体行为分析单元(302) 所发现的良性的异常添加进入原有的白名单。 8.一种电子设备， 其特征在于， 包括： 存储器以及处理器， 所述存储器上存储有计算机 可执行指令， 所述处 理器用于执 行所述计算机可 执行指令以执 行如下步骤： 根据若干类关键日志样本数据以及机器学习训练模型， 建立异常侦测模型。 9.一种计算机存储介质， 其特征在于， 所述计算机存储介质上存储有计算机可执行指 令， 所述计算机可执行指 令被执行时根据若干类关键日志样本数据以及机器学习训练模型 建立异常侦测模型。 10.一种持续免疫安全系统的用户实体行为分析 方法， 其特 征在于， 所述方法包括： 用户通过输入 模块输入所需应对的风险场景； 数据采集模块(2)获取所述输入模块所输入的风险场景， 并根据所述风险场景采集用 户相对应的数据信息； 用户实体行为分析模块(3)根据输入模块(1)所输入的风险场景以及所述数据采集模 块(2)所采集(2)的与所述风险场景相关的数据信息进 行分析， 以利用用户实体行为分析技 术对用户和/或信息系统做用户画像， 并基于所形成的用户画像判断用户和/或信息系统是 否存在异常活动和/或异常进程。权　利　要　求　书 2/2 页 3 CN 113918938 A 3