基于个人行为时序特征的内部威胁人物风险预测方法技术

本发明专利技术涉及基于时序特征的内部威胁人物风险预测方法，属于计算机与信息科学技术领域。本发明专利技术首先对人物的累计历史行为信息进行预处理和特征提取，包括对人物信息的量化采样、预加重和加窗，并将来自多域异构的人物数据提取为相应的数字特征；然后进行内部威胁人物预测模型合成训练，构建基于LSTM的内部威胁人物风险预测模型；最后使用基于LSTM的内部威胁人物风险预测模型进行风险预测评估以及预警。本发明专利技术相比其他常用方法有较高的准确率，为企业提供了一种量化内部威胁的依据，提供了一种分层的内部威胁人物预警模式。

Risk prediction method of insider threat based on temporal characteristics of personal behavior

The invention relates to a method for predicting the risk of internal threat characters based on time series characteristics, which belongs to the field of computer and information science and technology. Firstly, the cumulative historical behavior information of a person is pre-processed and extracted, including quantified sampling, pre-weighting and windowing of the person information, and the data from multi-domain and heterogeneous characters are extracted into corresponding digital features; then, the internal threat prediction model is synthesized and trained, and the LSTM-based internal structure is constructed. Threat Person Risk Prediction Model; Finally, the internal threat Person Risk Prediction Model based on LSTM is used for risk prediction, assessment and early warning. Compared with other common methods, the invention has higher accuracy, provides a basis for enterprises to quantify internal threats, and provides a hierarchical internal threat personage warning mode.

【技术实现步骤摘要】
基于个人行为时序特征的内部威胁人物风险预测方法
本专利技术涉及基于个人行为时序特征的内部威胁人物风险预测方法，属于计算机与信息科学

技术介绍
在组织或企业内部，往往需要对内部威胁人物进行实时监控和行为预测。通过充分利用人物的累计历史行为信息来预测人物行为，并对人物进行内部威胁评估，对危险人物进行预警。因此，本专利技术将提供一种内部威胁人物风险预测方法来对企业或组织内部的人物进行风险评估以及预警。内部威胁人物风险预测方法需要解决的基本问题是：通过人物累计的历史行为信息来预测人物行为，检测人物的非正常行为，并将预测结果进行量化，制定内部威胁等级划分标准，并对人物进行内部威胁评估，对评估结果为高危和中危的人物进行预警，降低组织或企业的信息安全风险。通常使用方法可归为两类：1.基于图挖掘技术的内部威胁人物预测方法基于图挖掘技术的内部威胁人物预测方法—GBAD，首次将内部威胁人物数据视为无限的数据流，并且提出可以将数据流分隔成一系列不连续的块，例如每个块可以包含一周的数据，其主要考虑三种图操作，分别是图的修改、插入和删除。虽然该方法同样基于时序特征，但是GBAD是将输入流划分为不同的块，每个块都是一个子图，其考虑的是之前几个块的信息对当前块的条件概率。而GBAD如果将每天的行为特征当作一个块则会造成模型训练缓慢，效果不佳。此外，GBAD并不能考虑所有的历史信息。因此GBAD的普适性较差，预测准确率较低。2.基于隐马尔科夫模型(HMM)和内部威胁人物资源滥用行为预测方法基于隐马尔科夫模型(HMM)和内部威胁人物资源滥用行为预测方法是一种以信息系统的文件作为模型的状态，以内部威胁人物的事务处理操作作为观察符号，能够提高命中率，降低误报率。并利用Malcov模型来表示人物的状态，并利用Malcov的转移概率矩阵统计人物在不同状态间的转移次数，以此为依据预测人物的不正常变化。但是Malcov模型和HMM并不适用于内部威胁场景。Malcov假设说明当前的状态只与前一个状态有关，与之前的状态无关。因此其并没有充分利用历史信息，当然理论上可以使用高阶Malcov来解决此类问题，但是带来的问题则是计算量和性能的损耗。综上所述，现有内部威胁人物风险预测方法难以充分的利用历史信息，无法较为准确的对内部威胁人物进行风险评估，所以本专利技术提出基于个人行为时序特征的内部威胁人物风险预测方法。
技术实现思路
本专利技术的目的是得到一种量化内部威胁的依据，提供了一种分层的内部威胁人物预警模型，提高了内部威胁人物风险预测模型的综合性能。本专利技术的设计原理为：首先对人物的累计历史行为信息进行预处理和特征提取，包括对人物信息的量化采样、预加重和加窗，并将来自多域异构的人物数据提取为相应的数字特征；然后进行内部威胁人物预测模型合成训练，构建基于个人行为时序特征与LSTM相结合的内部威胁人物风险预测模型；最后使用基于个人行为时序特征与LSTM相结合的内部威胁人物风险预测模型进行风险预测评估。本专利技术的技术方案是通过如下步骤实现的：步骤1，对人物信息进行预处理及特征提取。步骤1.1，对人物信息量化、采样、预加重和加窗。步骤1.2，从数据源中提取3种特征：人物的属性特征、人物的“计数”特征、人物的心理特征。步骤1.3，然后对提取到的特征进行进一步的特征提取和量化，获取更细粒度行为特征。步骤2，内部威胁风险预测模型合成训练。步骤2.1，利用80％的人物信息特征数据训练LSTM模型。步骤2.2，基于人物信息的训练数据，构建内部威胁人物风险预测原始模型。步骤3，LSTM模型风险预测评估。步骤3.1，使用基于个人行为时序特征的方法在测试集上进行内部威胁人物风险预测。步骤3.2，根据风险预测结果，依据人物威胁等级划分，对人物进行内部威胁风险评估，对评估结果为高危和中危的人物进行预警。有益效果相比于基于图挖掘技术的内部威胁人物预测方法，本专利技术可以以天为一个时间点进行处理，LSTM利用了之前所有的历史信息，因此其效果更好。相比于基于隐马尔科夫模型(HMM)和内部威胁人物资源滥用行为预测方法，本专利技术更适用于内部威胁场景，对历史信息利用地更充分，计算量和性能的损耗更小，具备良好的普适性。附图说明图1为内部威胁人物风险预测原理框架图。图2为测试实验中LSTM与其他方法准确率、召回率以及F值对比图。具体实施方式为了更好的说明本专利技术的目的和优点，下面结合实例对本专利技术方法的实施方式做进一步详细说明。具体流程为：步骤1，对人物信息进行预处理及特征提取。步骤1.1，首先对音频数据进行量化、采样；然后将人物数据中的空缺值、异常值进行甄别，对异常值进行剔除，对空缺值进行补全。步骤1.2，从CERT-IT(v6.2)数据源中提取3种特征：人物的属性特征、人物的心理特征、人物的“计数”特征。步骤1.3，对提取到的特征进行进一步的特征提取和量化，获取更细粒度行为特征。经过处理后的数据集为521天的人物数据，并剔除了周末的数据，因为周末的数据可能不符合工作日的行为规律。步骤2，内部威胁风险预测模型合成训练。步骤2.1，将第1天到第417天作为训练集，用来训练LSTM模型，将第418天到第521天作为测试集。在训练LSTM的过程中，调节其隐藏层的数量(从1到6)，调节其隐藏层的神经元数量(从20-500)，调节其时间步长(从3到40)，设定每次样本输入的batch为260，学习率设定为0.01，选用均方误差为损失函数，优化方法采用ADAM(一种梯度下降的变种)。步骤2.2，当得到t-1时刻隐藏层的输出ht-1，定义人物在t时刻为内部威胁人物的评分Tt＝-1000logPθ(xt|ht-1)。θ是模型的输出，其意义是下一时刻人物行为的观测向量xt的条件概率分布。xt是t时刻人物行为特征的观测向量，ht-1是t-1时刻隐藏层的输出向量，t-1之前的人物行为历史信息隐含在ht-1中。因此，根据ht-1和观测向量xt的条件概率Pθ(xt|ht-1)便有了明确的意义。Tt越小，说明人物行为没有发生异常变化，则认为人物发生内部威胁的概率低。Tt越大，说明人物行为发生异常变化不符合人物正常行为趋势，则认为人物发生内部威胁的概率高。步骤3，LSTM模型风险预测评估。步骤3.1，风险预估模型中的条件概率Pθ(xt|ht-1)Pθ(Y)(Vt|ht-1)可以表示为其中，θ(V),θ(Y)则是LSTM隐藏层的输出，θ(V),θ(Y)的计算公式如下：θ(V)＝o(V)t⊙tanh(c(V)t)θ(Y)＝o(Y)t⊙tanh(c(Y)t)其中训练的参数是权重矩阵W和偏执矩阵b，这两个参数对所有人物是共享的。通过LSTM得到条件概率分布，则可以进行条件概率的计算，通过条件概率分布可以计算其发生的条件概率，最终得出内部威胁风险预测概率，并将其转化为内部威胁人物评分。步骤3.2，根据内部威胁人物风险预测结果及威胁评分可以进行人物威胁等级划分。并根据划分结果，对人物进行内部威胁风险评估，对评估结果为高危和中危的人物进行预警。测试结果：实验使用基于个人行为时序特征的内部威胁人物风险预测模型对处理后的测试集进行预测，并和其他几种常用方法进行了对比，结果表明本专利技术相比其他模型效果更好，准确率为89.65％，召回率为90.75％，F值为本文档来自技高网...

【技术保护点】
1.基于个人行为时序特征的内部威胁人物风险预测方法，其特征在于所述方法包括如下步骤：步骤1，对人物信息进行预处理及特征提取，包括：对异常数据进行剔除，对空缺数据进行补全，将特征数值进行标准化处理，然后从数据中提取3种特征：人物的属性特征、人物的心理特征、人物的“计数”特征，最后再进行细粒度的特征提取与融合以获得特征向量；步骤2，利用LSTM算法构建内部威胁风险预测模型，对人物的特征数据进行训练，最终得出内部威胁风险预测概率，并将其转化为内部威胁人物评分；步骤3，根据内部威胁人物风险预测结果及威胁评分可以进行人物威胁等级划分，根据人物威胁等级划分标准，对人物进行内部威胁评估，对评估结果为高危和中危的人物进行预警。

【技术特征摘要】
1.基于个人行为时序特征的内部威胁人物风险预测方法，其特征在于所述方法包括如下步骤：步骤1，对人物信息进行预处理及特征提取，包括：对异常数据进行剔除，对空缺数据进行补全，将特征数值进行标准化处理，然后从数据中提取3种特征：人物的属性特征、人物的心理特征、人物的“计数”特征，最后再进行细粒度的特征提取与融合以获得特征向量；步骤2，利用LSTM算法构建内部威胁风险预测模型，对人物的特征数据进行训练，最终得出内部威胁风险预测概率，并将其转化为内部威胁人物评分；步骤3，根据内部威胁人物风险预测结果及威胁评分可以进行人物威胁等级划分，根据人物威胁等级划分标准，对人物进行内部威胁评估，对评估结果为高危和中危的人物进行预警。2.根据权利要求1所述的基于个人行为时序特征的内部威胁人物风险预测方法，其特征在于：步骤2中基于LSTM算法构建的内部...

【专利技术属性】
技术研发人员：罗森林，陈骋，潘丽敏，曲乐炜，张笈，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：北京,11