賴建華 唐敏

摘 要：為了應(yīng)對(duì)高級(jí)持續(xù)性威脅（APT）攻擊造成的威脅，解決傳統(tǒng)基于規(guī)則的分析方法對(duì)用戶異常行為檢測(cè)的誤報(bào)與漏報(bào)問題，提高用戶異常行為檢測(cè)效果，通過采集用戶行為日志生成用戶操作行為矩陣，并通過模型定義方式對(duì)用戶行為進(jìn)行相似度分析。采用容忍度測(cè)算、突變測(cè)算、差值測(cè)算與峰值測(cè)算方法，分析與發(fā)現(xiàn)用戶異常訪問?；谟脩舢嬒竦漠惓Ｐ袨榉治龇椒ńY(jié)合了用戶操作行為特征及角色定義，利用用戶行為日志歷史信息勾勒出用戶行為畫像，使系統(tǒng)能準(zhǔn)確、實(shí)時(shí)地判斷用戶行為異常，提高了對(duì)異常行為的實(shí)時(shí)檢測(cè)與快速響應(yīng)能力。

關(guān)鍵詞：異常行為分析;高級(jí)持續(xù)性威脅攻擊;行為矩陣;用戶畫像

DOI：10. 11907/rjdk. 182544 開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

中圖分類號(hào)：TP309文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-7800（2019）008-0181-05

Research and Application of User Abnormal Behavior Analysis Method

LAI JIAN-hua1，2， TANG Min3

（1. Fujian Institute of Science and Technology Information;2. Fujian Key Laboratory of Information Network;

3. Fujian Straits Information Co. Ltd，F(xiàn)uzhou 350003， China）

Abstract： In order to deal with the threat caused by high-level persistent threat attack， the traditional rule-based analysis method is used to solve the false alarm and missed alarm of user abnormal behavior detection， and improve the detection effect of user abnormal behavior. User behavior matrix is generated by collecting user behavior log， and similarity analysis of user behavior is done by model definition. Tolerance measure method， mutation measure method， difference measure method and peak value measure method are collected. Users' abnormal access is analyzed and found by common use. The abnormal behavior analysis method based on user portrait is combined with user operation behavior characteristics and role definition， and the user behavior portrait is outlined by using user behavior log history information. The system can judge user behavior abnormality in real-time and improve the ability of real-time detection and rapid response to abnormal behavior.

Key Words： abnormal behavior analysis; high-level persistent threat attack; behavior matrix; user portrait

基金項(xiàng)目：福建省科技計(jì)劃項(xiàng)目（2017R1008-1，2018R1008-9）

作者簡(jiǎn)介：賴建華（1974-），男，碩士，福建省科學(xué)技術(shù)信息研究所高級(jí)工程師，研究方向?yàn)榫W(wǎng)絡(luò)與信息安全、軟件工程;唐敏（1976-），男，碩士，福建省海峽信息技術(shù)有限公司工程師，研究方向?yàn)榘踩芾砼c分析、資產(chǎn)情報(bào)。

0 引言

近年來，高級(jí)持續(xù)性威脅（APT）攻擊已成為政府及各級(jí)企事業(yè)組織面臨的主要安全威脅。APT攻擊檢測(cè)防御技術(shù)能夠主動(dòng)檢測(cè)APT攻擊行為，防止惡意入侵及異常行為造成的破壞與損失。傳統(tǒng)基于流量特征庫的APT攻擊檢測(cè)與防御方法對(duì)于已知威脅，如已知漏洞或病毒木馬程序的攻擊比較有效，但對(duì)于攻擊特征未知、技術(shù)復(fù)雜、持續(xù)時(shí)間長(zhǎng)的APT攻擊則無法進(jìn)行有效檢測(cè)與定位[1]。國(guó)內(nèi)外在構(gòu)建APT檢測(cè)模型與APT防御系統(tǒng)方面取得了一定進(jìn)展。在國(guó)外，F(xiàn)ireEye研發(fā)了一種基于終端異常行為檢測(cè)的APT防御系統(tǒng)，將用于樣本分析的沙箱技術(shù)前置到用戶環(huán)境監(jiān)測(cè)設(shè)備中，但其檢測(cè)過程建立在捕獲惡意代碼基礎(chǔ)上，因此存在被繞過的可能;RSA[2]提出一種基于網(wǎng)絡(luò)異常行為監(jiān)測(cè)的原型Beehive，通過對(duì)企業(yè)網(wǎng)絡(luò)環(huán)境中各類日志的采集與分析進(jìn)行異常檢測(cè)，但是檢測(cè)結(jié)果的有效性仍需要人工鑒定與確認(rèn)。在國(guó)內(nèi)，根據(jù)用戶異常行為識(shí)別已知或未知安全威脅一直是研究熱點(diǎn)，并取得了一定成果[3-6]，如董彬[7]提出一種基于Netflow的異常行為檢測(cè)框架，能夠?qū)θ湎x、DDOS攻擊、網(wǎng)絡(luò)掃描等行為進(jìn)行檢測(cè)，并提出基于Hadoop平臺(tái)的系統(tǒng)框架，但其側(cè)重于對(duì)大規(guī)模異常的監(jiān)測(cè)，而對(duì)APT攻擊這類注重自身隱蔽性、網(wǎng)絡(luò)流量特征不顯著的攻擊行為檢測(cè)能力有限;孫建坡[8]提出一種基于攻擊鏈的描述模型，能夠?qū)暨^程與結(jié)果進(jìn)行建模，但對(duì)于如何進(jìn)行攻擊行為檢測(cè)并未給出具體算法描述。構(gòu)建APT威脅檢測(cè)模型需要考慮數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、行為識(shí)別、告警響應(yīng)等多個(gè)環(huán)節(jié)。隨著大數(shù)據(jù)時(shí)代的到來，APT檢測(cè)與防御設(shè)備受到數(shù)據(jù)量龐大、人工處理能力不足及特征庫有限等因素影響，無法跟上時(shí)代發(fā)展步伐，必須從入侵行為角度，采用基于異常行為識(shí)別的檢測(cè)方法，才能更加快速、精確地檢測(cè)與定位APT入侵行為和攻擊者。

從APT入侵者視角，攻擊及用戶異常行為可分為：偵查目標(biāo)、制作工具、傳送工具、觸發(fā)工具、控制目標(biāo)、執(zhí)行活動(dòng)與保留據(jù)點(diǎn)7個(gè)階段[9]。每個(gè)活動(dòng)階段一般會(huì)在網(wǎng)絡(luò)及目標(biāo)系統(tǒng)內(nèi)形成活動(dòng)記錄，包括：流量日志、系統(tǒng)運(yùn)行日志、配置變動(dòng)記錄以及人員操作行為日志等。這些記錄日志包含了用戶登錄行為記錄、接口調(diào)用信息、數(shù)據(jù)增刪改查信息、權(quán)限及數(shù)據(jù)結(jié)構(gòu)修改記錄，隱含著越權(quán)訪問、數(shù)據(jù)竊取以及主機(jī)失陷等入侵及異常行為的蛛絲馬跡。通過對(duì)操作行為數(shù)據(jù)的分析，可以挖掘出潛在的用戶異常行為。傳統(tǒng)APT入侵檢測(cè)系統(tǒng)對(duì)異常行為的檢測(cè)采用基于規(guī)則的分析方法，通過配置行為分析規(guī)則，定義異常行為的時(shí)間、地點(diǎn)、人員、訪問方式等，也即5W1H分析方法[10]。該方法對(duì)常規(guī)的行為定義與檢測(cè)是有效的，但由于異常行為場(chǎng)景很多，不能完全通過行為的若干要素進(jìn)行簡(jiǎn)單定義與排查，否則容易出現(xiàn)誤報(bào)和漏報(bào)情況。因此，需要對(duì)歷史行為數(shù)據(jù)進(jìn)行建模，并采用相關(guān)算法對(duì)用戶行為進(jìn)行預(yù)測(cè)及異常檢測(cè)，才能有效發(fā)現(xiàn)入侵及異常行為。

針對(duì)當(dāng)前APT防御形勢(shì)的要求，本文提出一種基于用戶畫像的異常行為分析方法。用戶畫像可以將定性和定量方法很好地結(jié)合在一起[11]，其中定性方法是指對(duì)用戶使用習(xí)慣、行為特點(diǎn)進(jìn)行抽象與概括[12]，定量分析是指通過對(duì)特征作精細(xì)化的統(tǒng)計(jì)分析計(jì)算，獲得對(duì)用戶異常行為的精準(zhǔn)識(shí)別[13]。該方案結(jié)合了用戶操作行為特征及角色定義，利用用戶日志歷史信息勾勒出用戶行為畫像，使系統(tǒng)能夠準(zhǔn)確、實(shí)時(shí)地判斷用戶行為異常，從而提高對(duì)異常行為的實(shí)時(shí)檢測(cè)與快速響應(yīng)能力。

1 用戶異常行為分析流程

本文設(shè)計(jì)的用戶異常行為分析方法流程如圖1所示，共分為5個(gè)階段，分別為：日志采集、模型定義、行為刻畫、異常分析及安全告警。

圖1 用戶異常行為分析流程

1.1 日志采集

日志采集通過各種協(xié)議方法采集用戶異常行為分析所需的用戶訪問日志、業(yè)務(wù)操作日志、系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫訪問記錄及流量日志等。

不同類型的日志數(shù)據(jù)格式不完全相同，不同途徑獲取的數(shù)據(jù)也存在重復(fù)、相互關(guān)聯(lián)，甚至相互矛盾的情況。本文在數(shù)據(jù)采集后進(jìn)行還原操作，并進(jìn)行一系列預(yù)處理，包括提取、清洗、關(guān)聯(lián)、比對(duì)與標(biāo)識(shí)等操作。其中數(shù)據(jù)關(guān)聯(lián)是指將海量信息與用戶帳號(hào)、自然人等相關(guān)聯(lián)，以方便信息溯源。最后將采集到的海量異構(gòu)數(shù)據(jù)變換為一種適合后續(xù)數(shù)據(jù)分析的形式。

由于行為日志具有明顯的大數(shù)據(jù)特征[14]，本文采用基于HDFS的分布式索引數(shù)據(jù)存儲(chǔ)，從而保證了數(shù)據(jù)的高可靠性，并能快速進(jìn)行檢索。

1.2 模型定義

本文從實(shí)際業(yè)務(wù)系統(tǒng)數(shù)據(jù)中提取相關(guān)數(shù)據(jù)構(gòu)建數(shù)據(jù)集，根據(jù)挖掘出的系統(tǒng)用戶信息，設(shè)計(jì)并構(gòu)建了用戶模型。該模型將用戶屬性分為：基本屬性、職位屬性、業(yè)務(wù)屬性、時(shí)間屬性以及空間屬性5類，這5類屬性共同構(gòu)建用戶完整信息。屬性模型定義如下：①基本屬性。表示用戶固有、靜態(tài)的屬性狀態(tài)[15]，如：用戶性別、年齡、愛好等基本屬性特征;②職位屬性。表示用戶職位級(jí)別的屬性信息，用于識(shí)別相同職位等級(jí)人員的異常訪問行為;③業(yè)務(wù)屬性。表示用戶在業(yè)務(wù)功能使用方面的屬性信息[16]，系統(tǒng)中不同角色能夠使用的業(yè)務(wù)功能不同，根據(jù)用戶業(yè)務(wù)功能設(shè)計(jì)不同標(biāo)簽，如：超級(jí)用戶、操作用戶、審計(jì)用戶以及配置用戶等，每個(gè)業(yè)務(wù)屬性對(duì)應(yīng)不同的功能模塊集合;④時(shí)間屬性。對(duì)用戶訪問行為在時(shí)間上進(jìn)行分段建模，分段建立數(shù)據(jù)訪問與業(yè)務(wù)處理模型，用于識(shí)別特定時(shí)間段發(fā)生的異常行為，或訪問的異常時(shí)間段;⑤空間屬性。根據(jù)用戶訪問區(qū)域進(jìn)行區(qū)分與建模，用于識(shí)別與用戶具有相同訪問區(qū)域的異常訪問行為，或異常訪問區(qū)域。

1.3 行為刻畫

用戶除基本屬性外，也應(yīng)具有相應(yīng)行為，類似于編程語言的屬性和方法。本文從七大維度進(jìn)行描述，包括：用戶會(huì)話、訪問業(yè)務(wù)系統(tǒng)、操作內(nèi)容、操作內(nèi)容差異性、一天訪問行為、一周訪問行為、每天連續(xù)操作時(shí)間等構(gòu)建用戶行為標(biāo)簽，如表1所示。行為標(biāo)簽是指用戶對(duì)系統(tǒng)的時(shí)序化操作行為，即行為序列[17]。

1.4 異常分析

以上步驟已提取了用戶行為數(shù)據(jù)，形成用戶行為模型，接下來的異常分析通過預(yù)先建立一系列模型、策略，將用戶待檢測(cè)的行為序列模式與已知特征序列進(jìn)行匹配。若能正常匹配，說明待測(cè)用戶行為正常;若存在無法匹配或部分無法匹配的情況，則說明待測(cè)行為存在異常，該行為稱為異常行為。

在異常分析環(huán)節(jié)，本文在基礎(chǔ)屬性條件配置基礎(chǔ)上引入統(tǒng)計(jì)算法，通過對(duì)不同條件之間的測(cè)算進(jìn)行分析運(yùn)算。系統(tǒng)采用的統(tǒng)計(jì)算法包括：容忍度測(cè)算、突變測(cè)算、差值測(cè)算、峰值測(cè)算等。

1.5 安全告警

安全告警是實(shí)現(xiàn)從數(shù)據(jù)采集、異常分析到最終響應(yīng)的主動(dòng)防御體系的關(guān)鍵環(huán)節(jié)[18]。通過上述分析過程形成檢測(cè)分析結(jié)果，并在滿足一定條件時(shí)進(jìn)行安全告警。生成的告警信息包括：告警名稱、告警對(duì)象（通常為某個(gè)業(yè)務(wù)系統(tǒng)對(duì)象）、告警內(nèi)容、告警等級(jí)、告警發(fā)生時(shí)間以及告警證據(jù)鏈等內(nèi)容。本文根據(jù)告警等級(jí)、告警對(duì)象責(zé)任人信息等條件，通過響應(yīng)機(jī)制，利用郵件、短信、微信等方式自動(dòng)通知管理人員，實(shí)現(xiàn)對(duì)消息的及時(shí)推送。

2 用戶異常行為分析方法

用戶異常行為分析步驟通常包括：畫像數(shù)據(jù)獲取、相似度計(jì)算、畫像聚類以及畫像生成。對(duì)于異常行為分析而言，畫像數(shù)據(jù)獲取階段即采集用戶行為日志，在相似度計(jì)算階段根據(jù)職位、時(shí)間以及空間模型計(jì)算同類用戶行為之間的相似度，系統(tǒng)根據(jù)相似度進(jìn)行聚類，而遠(yuǎn)離大規(guī)模聚類的對(duì)象則認(rèn)為表現(xiàn)異常，進(jìn)入告警環(huán)節(jié)。

本文提出的用戶異常行為分析方法的主要優(yōu)勢(shì)在于其結(jié)合了多種分析方法與用戶行為畫像定位能力，能夠準(zhǔn)確定位異常用戶。即：用戶所有行為都與用戶賬號(hào)關(guān)聯(lián)，用戶賬號(hào)與自然人唯一關(guān)聯(lián)，用戶所有行為都有行為記錄。當(dāng)匹配到異常行為時(shí)，可以迅速關(guān)聯(lián)到用戶賬號(hào)，從而定位到自然人（入侵者）。同時(shí)，通過業(yè)務(wù)屬性標(biāo)簽，可以關(guān)聯(lián)到出現(xiàn)異常的具體業(yè)務(wù)功能。

2.1 相似度方法

基于相似度的方法[19]是一種可用于實(shí)時(shí)異常行為識(shí)別的分析方法。系統(tǒng)采用歐氏距離法對(duì)用戶在單位時(shí)間內(nèi)的操作行為習(xí)性進(jìn)行相似運(yùn)算。歐氏距離也稱為歐幾里得距離，是一種多維空間的距離計(jì)算方法[20]。

歐氏距離法通過以下步驟對(duì)用戶行為進(jìn)行相似度計(jì)算：

（1）系統(tǒng)根據(jù)畫像模型為不同職位、時(shí)間、空間類別的用戶生成操作習(xí)性矩陣。

（2）計(jì)算用戶操作習(xí)性矩陣不同屬性之間的相似度，相似度的值在0～1之間。屬性包括1.3章提到的七大維度。對(duì)于行為習(xí)性矩陣的每個(gè)屬性，都定義一個(gè)與之相對(duì)應(yīng)的相似度計(jì)算函數(shù)。該函數(shù)返回一個(gè)0～1之間的相似度計(jì)算值。

（3）采集到新的行為日志時(shí)，會(huì)與已有用戶操作習(xí)性矩陣的屬性值進(jìn)行比較，計(jì)算其之間的相似度。行為日志之間相似度定義為不同屬性相似度的加權(quán)平均值，具體公式如下：

[SIM（X，Y）=Ej*SIM（Xj，Yj）Ej]? （1）

其中，X表示已有用戶行為屬性，Y表示新的用戶行為記錄，j表示用戶行為習(xí)性的屬性索引值，[Ej]表示屬性j的相似度期望，[Xj]、[Yj]表示用戶行為屬性X與用戶行為記錄Y中屬性j的值。

（4）最后，計(jì)算用戶行為習(xí)性的相似度，并結(jié)合異常度量加權(quán)，對(duì)超過閾值的用戶行為生成安全告警。

2.2 容忍度測(cè)算

容忍度測(cè)算[21]是根據(jù)兩個(gè)不同分析維度條件之間的比例關(guān)系，從中發(fā)現(xiàn)同一用戶或同一源地址發(fā)起各類行為占比操作是否超標(biāo)的情況。例如：某天用戶對(duì)數(shù)據(jù)庫的導(dǎo)出操作次數(shù)是否占該用戶當(dāng)天對(duì)所有數(shù)據(jù)庫操作次數(shù)的一半以上。按容忍度測(cè)算規(guī)則中配置的開始時(shí)間與周期決定本次分析事件的時(shí)間區(qū)間，即開始時(shí)間減去周期，再到開始時(shí)間為止為本次分析的事件區(qū)間。容忍度測(cè)算流程如圖2所示。

在容忍度測(cè)算流程中，從事件區(qū)間與日志類型組合依次查找事件條件1和事件條件2的數(shù)據(jù)，并將兩個(gè)數(shù)據(jù)按關(guān)注點(diǎn)進(jìn)行匯總計(jì)數(shù)，提取兩次匯總中相關(guān)的關(guān)注點(diǎn)，通過關(guān)注點(diǎn)循環(huán)計(jì)算兩個(gè)事件總數(shù)占比，對(duì)占比超過閾值的情況進(jìn)行告警。

圖2 容忍度測(cè)算流程

2.3 突變測(cè)算

突變測(cè)算是對(duì)同一日志屬性下不同時(shí)間段之間的數(shù)量變化進(jìn)行測(cè)算，并對(duì)變化明顯的情況進(jìn)行告警。例如：一個(gè)目標(biāo)地址當(dāng)前事件量為前一小時(shí)的5倍。

突變測(cè)算流程如圖3所示，根據(jù)事件條件分別讀取當(dāng)前時(shí)間減去時(shí)間差，再到當(dāng)前時(shí)間的事件量，以及當(dāng)前時(shí)間減去兩個(gè)時(shí)間差，再到當(dāng)前時(shí)間減去時(shí)間差的事件量。通過關(guān)注點(diǎn)將兩個(gè)時(shí)段中關(guān)注點(diǎn)的事件量相除，如果結(jié)果大于規(guī)則給定的閾值，則對(duì)相關(guān)關(guān)注點(diǎn)進(jìn)行安全告警。

圖3 突變測(cè)算流程

2.4 差值測(cè)算

差值測(cè)算是對(duì)同一關(guān)注點(diǎn)下不同時(shí)間的同一日志屬性矢量差進(jìn)行分析，矢量差超過規(guī)則閾值則產(chǎn)生告警。例如同一用戶登出和登錄時(shí)間矢量差在3天以上，將進(jìn)行告警。

差值測(cè)算流程如圖4所示，根據(jù)規(guī)則中配置的時(shí)間啟動(dòng)，獲取前一周期中所有滿足條件2與條件1的數(shù)據(jù)。將條件2與條件1同一關(guān)注點(diǎn)下相關(guān)屬性矢量差與規(guī)則閾值進(jìn)行對(duì)比，若超過閾值則進(jìn)行告警。

圖4 突變測(cè)算流程

2.5 峰值測(cè)算

峰值測(cè)算是指對(duì)同一日志屬性按關(guān)注點(diǎn)進(jìn)行排序，對(duì)從高到低的TopN進(jìn)行告警。峰值測(cè)算流程如圖5所示，根據(jù)規(guī)則中配置的時(shí)間進(jìn)行啟動(dòng)，獲取前一周期中所有滿足條件的數(shù)據(jù)，并按關(guān)注點(diǎn)從大到小進(jìn)行排序，對(duì)于前n位（n為規(guī)則中配置的top值）取值大于規(guī)則閾值的情況進(jìn)行告警。

圖5 峰值測(cè)算流程

3 實(shí)驗(yàn)與分析

本文實(shí)驗(yàn)測(cè)試選用某4A堡壘機(jī)一個(gè)月的用戶操作日志作為測(cè)試數(shù)據(jù)集，合計(jì)記錄數(shù)據(jù)2 190 518條。在一個(gè)月時(shí)間內(nèi)，模擬了各類異常行為150次，包括：違規(guī)時(shí)間數(shù)據(jù)訪問、違規(guī)終端業(yè)務(wù)訪問、暴力登錄嘗試、木馬違規(guī)刷數(shù)據(jù)、越權(quán)操作指令、違規(guī)金庫操作等異常行為類型。將測(cè)試數(shù)據(jù)集作為輸入，并啟用不同分析方法引擎進(jìn)行檢測(cè)。根據(jù)檢測(cè)出的異常行為數(shù)量，得出各種測(cè)試方法的準(zhǔn)確率、誤判率與漏判率。采用N（t）代表實(shí)際異常行為總數(shù)，N（d）代表正確檢測(cè)出的異常行為數(shù)量，N（n）代表錯(cuò)誤檢測(cè)出的異常行為數(shù)量。

根據(jù)上述計(jì)算方法，得到實(shí)驗(yàn)結(jié)果如表2所示。

表2 用戶異常行為分析實(shí)驗(yàn)結(jié)果

實(shí)驗(yàn)結(jié)果表明，在單獨(dú)使用突變測(cè)算、差值測(cè)算與峰值測(cè)算方法的情況下，檢測(cè)準(zhǔn)確率不高，存在一定的誤報(bào)和漏報(bào)情況，而在綜合場(chǎng)景下，當(dāng)各種分析方法都對(duì)行為進(jìn)行確定性的告警匹配時(shí)，可得到較高的準(zhǔn)確率與較低的誤報(bào)率。

4 結(jié)語

本文提出的基于用戶行為刻畫的異常行為分析方法，通過采集用戶行為日志生成用戶操作行為矩陣，并通過模型定義方式對(duì)用戶行為進(jìn)行相似度分析、容忍度測(cè)算、突變測(cè)算、差值測(cè)算、峰值測(cè)算，從而及時(shí)發(fā)現(xiàn)用戶異常訪問，提高了對(duì)異常行為的實(shí)時(shí)檢測(cè)及響應(yīng)能力。本系統(tǒng)已應(yīng)用于實(shí)際項(xiàng)目中，幫助用戶分析堡壘機(jī)、操作審計(jì)系統(tǒng)等應(yīng)用中的操作行為日志，并成功發(fā)現(xiàn)了其中采用木馬程序盜刷數(shù)據(jù)、違規(guī)越權(quán)操作等違規(guī)行為。未來將繼續(xù)對(duì)分析算法進(jìn)行擴(kuò)展，采用密度分析等分類方法對(duì)用戶異常行為進(jìn)行檢測(cè)，通過多個(gè)分析維度進(jìn)行分析，以提高分析可靠性。同時(shí)還可將該方法應(yīng)用于網(wǎng)絡(luò)流量異常分析，以識(shí)別異常流量行為。

參考文獻(xiàn)：

[1] 周濤. 基于統(tǒng)計(jì)學(xué)習(xí)的網(wǎng)絡(luò)異常行為檢測(cè)技術(shù)[J]. 大數(shù)據(jù)，2015 （4）：38-47.

[2] YEN T F，OPREA A，ONARLIOGLU K，et al. Beehive： large-scale log analysis for detecting suspicious activity in enterprise networks[C]. Proceedings of the 29th Annual Computer Security Applications Conference， 2013：199-208.

[3] 江瀚，郭威，鄧韻東. 一種基于等級(jí)保護(hù)的高級(jí)持續(xù)性威脅防護(hù)模型研究[J]. 電子測(cè)試，2015（21）：17-20.

[4] 陳強(qiáng). 高級(jí)持續(xù)性威脅攻擊及預(yù)防的探索[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（7）：63-64.

[5] 武宗濤，趙進(jìn)，葉忠. 基于基線的APT檢測(cè)分析平臺(tái)研究與設(shè)計(jì)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（9）：35-37.

[6] 管磊，胡光俊，王專. 基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究[J]. 信息網(wǎng)絡(luò)安全，2016（9）：45-50.

[7] 董彬. 基于hadoop的APT建模與流量預(yù)處理技術(shù)研究與實(shí)現(xiàn)[D]. 長(zhǎng)沙：國(guó)防科學(xué)技術(shù)大學(xué)，2015.

[8] 孫建坡. 基于攻擊鏈的威脅感知系統(tǒng)[J]. 郵電設(shè)計(jì)技術(shù)，2016（1）：74-77.

[9] 徐遠(yuǎn)澤，張文科，尹一樺，等. APT攻擊及其防御研究[J].通信技術(shù)，？2015，48（6）：740-745.

[10] 常松麗，陳立潮，潘理虎. 基于信息生命周期的多主體交互模型及形式化[J].計(jì)算機(jī)仿真，2012，29？（11）：158-161.

[11] 王洋，丁志剛，鄭樹泉，等. 一種用戶畫像系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用與軟件，2018（3）：8-14.

[12] 張哲. 基于微博數(shù)據(jù)的用戶畫像系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 武漢：華中科技大學(xué)，2015.

[13] 張麗娟. 基于大數(shù)據(jù)分析的用戶畫像助力精準(zhǔn)營(yíng)銷研究[J]. 電信技術(shù)，2017，8（1）：61-62.

[14] 張慷. 手機(jī)用戶畫像在大數(shù)據(jù)平臺(tái)的實(shí)現(xiàn)方案[J]. 信息通信，2014（2）：266-267.

[15] 陳志明，胡震云. UGC網(wǎng)站用戶畫像研究[J]. 計(jì)算機(jī)系統(tǒng)應(yīng)用，2017，26（1）：24-30.

[16] 王冬羽. 基于移動(dòng)互聯(lián)網(wǎng)行為分析的用戶畫像系統(tǒng)設(shè)計(jì)[D]. 成都：成都理工大學(xué)，2017.

[17] 唐夢(mèng)楠. 網(wǎng)絡(luò)入侵事件檢測(cè)及攻擊行為預(yù)測(cè)的方法研究[D]. 西安：西安電子科技大學(xué)，2014.

[18] 顧立強(qiáng). 主動(dòng)防御技術(shù)體系分析及在網(wǎng)絡(luò)安全中的應(yīng)用[J]. 通訊世界，2017（14）：26-27.

[19] 金倩倩，陳春霖，于曉文，等. 基于相似度分析的電力信息內(nèi)網(wǎng)用戶行為異常預(yù)警方法[J]. 計(jì)算機(jī)系統(tǒng)應(yīng)用，2017（12）：220-226.

[20] 吳迪. 基于曲線相似性分析的竊電用戶判斷[J]. 中國(guó)電力，2017，50（2）：181-184.

[21] 王曉芳，謝仲文，李彤，等. 一種帶租戶演化容忍度的SaaS服務(wù)演化一致性判定方法[J]. 計(jì)算機(jī)科學(xué)，2018，45（5）：147-155.

（責(zé)任編輯：黃 ?。?/p>