【技术实现步骤摘要】
一种内部威胁检测方法及装置
本专利技术涉及信息处理
,尤其涉及一种内部威胁检测方法及装置。
技术介绍
内部威胁是现代企业面临的重要问题,内部攻击具备高危性、隐蔽性、多元性等特点,不仅会带来巨大的财务损失,而且严重威胁了企业和个人的信息安全。而随着计算机技术的发展,现有技术中,以数据为主要依据的检测方法被广泛应用于内部威胁检测,例如朴素贝叶斯方法、隐含马尔科夫链模型和聚类算法均在内部威胁检测上得到了广泛应用。但是现有技术中的内部威胁检测方式主要依赖于单维度的数据信息,且缺少对于用户行为整体挖掘,因此如何更有效的进行内部威胁的检测已经成为业界亟待解决的问题。
技术实现思路
本专利技术实施例提供一种内部威胁检测方法及装置,用以解决上述
技术介绍
中提出的技术问题,或至少部分解决上述
技术介绍
中提出的技术问题。第一方面,本专利技术实施例提供一种内部威胁检测方法,包括:获取用户行为信息和用户标识信息;将所述用户行为信息输入预设用户行为分类模型,得到用户行为分类信息;根...
【技术保护点】
1.一种内部威胁检测方法,其特征在于,包括:/n获取用户行为信息和用户标识信息;/n将所述用户行为信息输入预设用户行为分类模型,得到用户行为分类信息;/n根据所述用户标识信息对所述用户行为分类信息进行分析,得到内部威胁检测结果;/n其中,所述预设用户行为分类模型是基于用户行为训练样本集训练得到。/n
【技术特征摘要】
1.一种内部威胁检测方法,其特征在于,包括:
获取用户行为信息和用户标识信息;
将所述用户行为信息输入预设用户行为分类模型,得到用户行为分类信息;
根据所述用户标识信息对所述用户行为分类信息进行分析,得到内部威胁检测结果;
其中,所述预设用户行为分类模型是基于用户行为训练样本集训练得到。
2.根据权利要求1所述内部威胁检测方法,其特征在于,在所述将所述用户行为信息输入预设用户行为分类模型,得到用户行为分类信息的步骤之前,所述方法还包括:
获取CERT数据集,对所述CERT数据集进行预处理,得到多个样本行为数据信息和每个样本行为数据信息所对应的用户标识信息,其中,每个样本行为数据信息均包括多个元素特征;
对所述多个元素特征进行编号并进行排序处理,得到时序样本行为数据信息;
根据所述用户标识信息对所述用户标识信息所对应的时序样本行为数据信息进行存储,得到用户行为训练样本集和用户行为测试样本集。
3.根据权利要求2所述内部威胁检测方法,其特征在于,所述多个元素特征包括:登录属性特征、文件操作属性特征、邮件操作属性特征、外接设备属性特征和网页操作属性特征。
4.根据权利要求2所述内部威胁检测方法,其特征在于,在所述根据所述用户标识信息对所述用户标识信息所对应的时序样本行为数据信息进行存储,得到用户行为训练样本集和用户行为测试样本集的步骤之后,所述方法还包括:
获取用户行为训练样本集;
将所述用户行为训练样本集中的每个时序行为样本数据信息和每个时序样本行为数据信息...
【专利技术属性】
技术研发人员:张东雪,文雨,郑阳,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。