本发明专利技术提供一种网络内部威胁的检测方法、系统及电子设备,所述方法包括:基于用户行为数据的不同特征,分别根据多域行为驱动和时间行为驱动,进行所述用户行为数据的多维度检测;利用熵权法,将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合,确定网络内部威胁。本发明专利技术能够有效提高运算过程的普适性,并有效降低运算的时间复杂度和空间复杂度,从而降低成本开销。
【技术实现步骤摘要】
一种网络内部威胁的检测方法、系统及电子设备
本专利技术涉及网络信息安全
,更具体地,涉及一种网络内部威胁的检测方法、系统及电子设备。
技术介绍
在信息安全领域,由内部威胁所造成的损失远大于外部威胁攻击所造成的损失,且内部威胁更容易造成数据泄露问题。内部威胁和外部威胁相比,需要更多的时间来解决。内部威胁所采用的恶意活动通常分以下阶段进行:破解者进入系统或网络;破解者为了了解易攻击处和可以花最小力气造成最大伤害的位置,而调查系统或网络的本质;建立工作区,在其中进行恶意活动;最后,实施实际的毁灭性动作。现有的针对内部威胁的检测方法多延续入侵检测的思想,同等对待源于系统外部的攻击和内部人员的恶意行为,忽略了攻击方法上的区别对检测结果的影响。例如,通过结合实时入侵检测和数据挖掘技术,用学习代理挖掘数据、生成模式作为入侵检测的分类器,以此检测资源滥用的行为。或者,通过挖掘入侵事件之间的关联规则,非实时地检测内部人员的恶意行为。此外,在使用较多的基于人工智能的检测方法中,大多需要标记数据训练分类器。而在实际应用中,因为内部威胁人员的隐蔽性和检测的困难性,导致难以获取标记数据。为此,现有技术中出现了各种对应解决方案,如:基于资源滥用行为的检测方法;采用统计学习方式,通过评估用户当前行为与过去行为的偏离程度判断行为是否异常;通过对用户的登录信息和访问过的文档进行分析,建立用户的计算模型并确定检测指标,如果分析结果与模型有偏差,则确定存在恶意的内部行为。但是,在用户行为模式的构建上,大部分现有方法是在所有用户的行为中寻找一个基本用户画像,把每个用户和这个基本用户画像进行对比,如果差别较大,则被识别为威胁用户。这种建模方法基于多域行为驱动来进行,很难检测出蓄意恶意行为的用户。这类内部威胁人员将自己伪装成和周围用户一样,隐藏自己的威胁身份,很难被这种模型检测到。另外,基于时间行为驱动的模型主要是根据用户以前的历史行为判断现在的行为是否具有恶意来进行检测,虽然能够检测出伪装的威胁者,但是无法进行长时间的建模,即长时间的用户行为实际上也会根据业务的需求或者岗位的调动而发生正常的变化,这就会引起威胁的误判。
技术实现思路
为了克服上述问题或者至少部分地解决上述问题,本专利技术提供一种网络内部威胁的检测方法、系统及电子设备,用以有效提高运算过程的普适性,并有效降低运算的时间复杂度和空间复杂度,从而降低成本开销。第一方面,本专利技术提供一种网络内部威胁的检测方法,包括:基于用户行为数据的不同特征,分别根据多域行为驱动和时间行为驱动,进行所述用户行为数据的多维度检测;利用熵权法,将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合,确定网络内部威胁。其中,根据时间行为驱动,进行所述用户行为数据的检测的步骤进一步包括:利用马尔可夫算法,对用户行为进行建模,获取用户行为的马尔可夫模型;利用建立的所述马尔可夫模型,对所述用户行为数据进行基于行为时间序列的异常检测;其中,所述行为时间序列表示,将所述用户行为数据按时间先后进行排序形成的时间序列。其中,所述利用马尔可夫算法,对用户行为进行建模,获取用户行为的马尔可夫模型的步骤进一步包括:基于用户的所有行为,构成用户行为空间,并获取用户的一系列行为数据作为训练数据;将用户行为看作一个随机量,基于所述训练数据,估计所述用户行为空间中每个用户行为从历史行为中生成的概率;基于所述用户行为空间中所有用户行为对应的所述概率,构成概率转移矩阵;基于所述概率转移矩阵,获取用户行为的所述马尔可夫模型;其中,所述历史行为表示所述训练数据中,当前计算数据之前的行为数据对应的用户行为。其中,所述利用建立的所述马尔可夫模型,对所述用户行为数据进行基于行为时间序列的异常检测的步骤进一步包括:按照设定时长,将所述用户行为数据切分成多个等时长的片段,构成多个行为时间序列;基于所有所述行为时间序列和所述马尔可夫模型的概率转移矩阵,获取用户对应的所述基于时间行为驱动的异常分数值。其中,根据多域行为驱动,进行所述用户行为数据的检测的步骤进一步包括:基于所述用户行为数据的多域特征,利用孤立森林模型,对所述用户行为数据进行异常检测;其中,所述孤立森林模型为预先通过对多个用户在所述多域的行为分别提取行为特征,并基于各个域对应的所述行为特征进行建模获取的。其中,所述基于所述用户行为数据的多域特征,利用孤立森林模型,对所述用户行为数据进行异常检测的步骤进一步包括:按照不同时间段,对所述用户行为数据的多域特征进行切分,获取不同时间段的子行为特征;基于所述子行为特征,统计用户在不同时间段内每个域的行为次数,并对所述用户行为数据的多域特征进行降维处理;基于降维处理后的多域特征,利用所述孤立森林模型,获取用户对应的所述基于多域行为驱动的异常分数值。其中,所述基于所述子行为特征,统计用户在不同时间段内每个域的行为次数,并对所述用户行为数据的多域特征进行降维处理的步骤进一步包括:对于每个域,基于所述子行为特征,统计用户在不同时间段内对应行为出现的最大次数,以及所述最大次数出现的次数;基于所述最大次数和所述最大次数出现的次数,利用主成分分析法,对所述用户行为数据的多域特征进行降维处理。其中,所述利用熵权法,将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合的步骤进一步包括:基于用户的所述基于时间行为驱动的异常分数值,依次进行标准化处理和求信息熵运算,获取第一信息熵,并基于用户的所述基于多域行为驱动的异常分数值,依次进行标准化处理和求信息熵运算,获取第二信息熵;基于所述第一信息熵和所述第二信息熵,计算所述基于时间行为驱动的异常分数值和所述基于多域行为驱动的异常分数值分别对应的权重系数;基于所述基于时间行为驱动的异常分数值和所述基于多域行为驱动的异常分数值,以及所述权重系数,计算用户的综合异常分数;基于设定异常阈值和用户的所述综合异常分数,确定网络内部威胁。第二方面,本专利技术提供一种网络内部威胁的检测系统,包括:多域异常行为检测模块,用于基于用户行为数据的不同特征,根据多域行为驱动,进行所述用户行为数据的检测;时间序列异常检测模块,用于基于所述用户行为数据的不同特征,根据时间行为驱动,进行所述用户行为数据的检测;信息融合模块,用于根据对所述用户行为数据的多域行为驱动检测结果和时间行为驱动检测结果,利用熵权法,将检测结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合,确定网络内部威胁。第三方面,本专利技术提供一种电子设备,包括:至少一个存储器、至少一个处理器、通信接口和总线;所述存储器、所述处理器和所述通信接口通过所述总线完成相互间的通信,所述通信接口用于所述电子设备与用户行为数据获取单元之间的信息传输;所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如上所述的网络内部威胁的检测方法。本专利技术提供的一种网络内部威胁的检测方法、系统及电子设备,通过从多域行为驱动和时间行为驱动两个维度对内部威胁进行多维度的检测,并通过无监督的熵权法对多维度的检测结果进行融合,能够从不同的维度全面的对用户行为进行建模,从而更全面和更准确的识别内部威胁人员,减少本文档来自技高网...
【技术保护点】
1.一种网络内部威胁的检测方法,其特征在于,包括:基于用户行为数据的不同特征,分别根据多域行为驱动和时间行为驱动,进行所述用户行为数据的多维度检测;利用熵权法,将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合,确定网络内部威胁。
【技术特征摘要】
1.一种网络内部威胁的检测方法,其特征在于,包括:基于用户行为数据的不同特征,分别根据多域行为驱动和时间行为驱动,进行所述用户行为数据的多维度检测;利用熵权法,将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合,确定网络内部威胁。2.根据权利要求1所述的方法,其特征在于,根据时间行为驱动,进行所述用户行为数据的检测的步骤进一步包括:利用马尔可夫算法,对用户行为进行建模,获取用户行为的马尔可夫模型;利用建立的所述马尔可夫模型,对所述用户行为数据进行基于行为时间序列的异常检测;其中,所述行为时间序列表示,将所述用户行为数据按时间先后进行排序形成的时间序列。3.根据权利要求2所述的方法,其特征在于,所述利用马尔可夫算法,对用户行为进行建模,获取用户行为的马尔可夫模型的步骤进一步包括:基于用户的所有行为,构成用户行为空间,并获取用户的一系列行为数据作为训练数据;将用户行为看作一个随机量,基于所述训练数据,估计所述用户行为空间中每个用户行为从历史行为中生成的概率;基于所述用户行为空间中所有用户行为对应的所述概率,构成概率转移矩阵;基于所述概率转移矩阵,获取用户行为的所述马尔可夫模型;其中,所述历史行为表示所述训练数据中,当前计算数据之前的行为数据对应的用户行为。4.根据权利要求3所述的方法,其特征在于,所述利用建立的所述马尔可夫模型,对所述用户行为数据进行基于行为时间序列的异常检测的步骤进一步包括:按照设定时长,将所述用户行为数据切分成多个等时长的片段,构成多个行为时间序列;基于所有所述行为时间序列和所述马尔可夫模型的概率转移矩阵,获取用户对应的所述基于时间行为驱动的异常分数值。5.根据权利要求1所述的方法,其特征在于,根据多域行为驱动,进行所述用户行为数据的检测的步骤进一步包括:基于所述用户行为数据的多域特征,利用孤立森林模型,对所述用户行为数据进行异常检测;其中,所述孤立森林模型为预先通过对多个用户在所述多域的行为分别提取行为特征,并基于各个域对应的所述行为特征进行建模获取的。6.根据权利要求5所述的方法,其特征在于,所述基于所述用户行为数据的多域特征,利用孤立森林模型,对所述用户行为数据进行异常检测的步骤进一步包括:按照不同时间段,对所述用户行为数据的多域特征进行切分,获取不同时间段的子行为特征;基于所述子行为特征,统计用...
【专利技术属性】
技术研发人员:王妍,吕遒健,王丹,吴峥嵘,吕彬,李宁,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。