本发明专利技术实施例提供一种内部威胁检测方法及装置,该方法包括:获取用户行为信息和用户标识信息;将用户行为信息输入预设用户行为分类模型,得到用户行为分类信息;根据用户标识信息对用户行为分类信息进行分析,得到内部威胁检测结果;其中,预设用户行为分类模型是基于用户行为训练样本集训练得到。用户行为训练样本集中包括多个维度的数据信息,确保了多个维度的数据分析。预设用户行为分类模型通过长短期记忆网络中的门控单元学习隐藏层,挖掘隐藏用户行为信息,实现整体上的挖掘用户的行为模式,然后判断每个用户标识信息对应的用户行为信息是否被正确分类到该用户标识信息,若分类的准确率低于预设阈值,则发出内部威胁预警。
An internal threat detection method and device
【技术实现步骤摘要】
一种内部威胁检测方法及装置
本专利技术涉及信息处理
,尤其涉及一种内部威胁检测方法及装置。
技术介绍
内部威胁是现代企业面临的重要问题,内部攻击具备高危性、隐蔽性、多元性等特点,不仅会带来巨大的财务损失,而且严重威胁了企业和个人的信息安全。而随着计算机技术的发展,现有技术中,以数据为主要依据的检测方法被广泛应用于内部威胁检测,例如朴素贝叶斯方法、隐含马尔科夫链模型和聚类算法均在内部威胁检测上得到了广泛应用。但是现有技术中的内部威胁检测方式主要依赖于单维度的数据信息,且缺少对于用户行为整体挖掘,因此如何更有效的进行内部威胁的检测已经成为业界亟待解决的问题。
技术实现思路
本专利技术实施例提供一种内部威胁检测方法及装置,用以解决上述
技术介绍
中提出的技术问题,或至少部分解决上述
技术介绍
中提出的技术问题。第一方面,本专利技术实施例提供一种内部威胁检测方法,包括:获取用户行为信息和用户标识信息;将所述用户行为信息输入预设用户行为分类模型,得到用户行为分类信息;根据所述用户标识信息对所述用户行为分类信息进行分析,得到内部威胁检测结果;其中,所述预设用户行为分类模型是基于用户行为训练样本集训练得到。更具体的,在所述将所述用户行为信息输入预设用户行为分类模型,得到用户行为分类信息的步骤之前,所述方法还包括:获取CERT数据集,对所述CERT数据集进行预处理,得到多个样本行为数据信息和每个样本行为数据信息所对应的用户标识信息,其中,每个样本行为数据信息均包括多个元素特征;对所述多个元素特征进行编号并进行排序处理,得到时序样本行为数据信息;根据所述用户标识信息对所述用户标识信息所对应的时序样本行为数据信息进行存储,得到用户行为训练样本集和用户行为测试样本集。更具体的,所述多个元素特征包括:登录属性特征、文件操作属性特征、邮件操作属性特征、外接设备属性特征和网页操作属性特征。更具体的,在所述根据所述用户标识信息对所述用户标识信息所对应时序样本行为数据信息进行存储,得到用户行为训练样本集和用户行为测试样本集的步骤之后,所述方法还包括:获取用户行为训练样本集;将所述用户行为训练样本集中的每个时序行为样本数据信息和每个时序样本行为数据信息所对应的用户标识信息作为一组训练样本,获取多组训练样本;对于多组训练样本,将所述训练样本输入预设长短期记忆网络,输出用户行为分类信息,当满足预设条件时,得到预设用户行为分类模型。更具体的,在所述得到预设用户行为分类模型的步骤之后,所述方法还包括:获取用户行为测试样本集;将所述用户行为测试样本集中每个排序行为样本数据信息和每个时序样本行为数据信息所对应的用户标识信息作为一个测试样本,获取多组测试样本;将所述多组测试样本输入预设用户行为分类模型,得到用户行为测试分类信息;根据所述用户标识信息对所述用户行为检测分类信息进行检测,得到检测结果。第二方面,本专利技术实施例提供内部威胁检测装置,包括:获取模块,用于获取用户行为信息和用户标识信息;分类模块,用于将所述用户行为信息输入预设用户行为分类模型,得到用户行为分类信息;检测模块,用于根据所述用户标识信息对所述用户行为分类信息进行分析,得到内部威胁检测结果;其中,所述预设用户行为分类模型是基于用户行为训练样本集训练得到。第三方面,本专利技术实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述内部威胁检测方法的步骤。第四方面,本专利技术实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述内部威胁检测方法的步骤。本专利技术实施例提供的一种内部威胁检测方法及装置,通过基于用户行为训练样本集训练得到预设用户行为分类模型,用户行为训练样本集中包括多个维度的数据信息,确保了多个维度的数据分析,该预设用户行为分类模型训练可以通过长短期记忆网络中的门控单元学习隐藏层,挖掘隐藏用户行为信息,实现整体上的挖掘用户的行为模式,然后对用户行为分类信息和用户标识信息判断,每个用户标识信息对应的用户行为信息是否被正确分类到该用户标识信息,若分类的准确率低于预设阈值,则发出内部威胁预警。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍。图1为本专利技术一实施例中所描述的内部威胁检测方法流程示意图;图2为本专利技术一实施例所描述的用户分类效果检测图;图3为本专利技术一实施例所描述的内部威胁检测装置结构示意图;图4为本专利技术一实施例所描述的电子设备结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。图1为本专利技术一实施例中所描述的内部威胁检测方法流程示意图,如图1所示,包括:步骤S1,获取用户行为信息和用户标识信息;步骤S2,将所述用户行为信息输入预设用户行为分类模型,得到用户行为分类信息;步骤S3,根据所述用户标识信息对所述用户行为分类信息进行分析,得到内部威胁检测结果;其中,所述预设用户行为分类模型是基于用户行为训练样本集训练得到。具体的,本专利技术实施例中所描述的用户行为信息是指系统用户在该系统上操作系统的行为信息,该用户行为信息可以包括多个维度的操作元素特征,例如登入/登出操作、文件操作、邮件操作、网站访问操作和外接设备操作。本专利技术实施例中所描述的用户标识信息是指系统用户在该系统内的唯一用户标识信息。本专利技术实施例所描述的预设用户行为分类模型具体是指基于用户行为训练样本集训练得到的长短期记忆网络模型(LongShort-TermMemory;LSTM)。本专利技术实施例中所描述的用户行为训练样本集是指CERT数据集进行预处理,得到多个样本行为数据信息和每个样本行为数据信息所对应的用户标识信息,然后再对该数据进行编号、排序处理,得到时序样本行为数据信息,将每个用户标识码信息对应的时序样本行为数据信息与用户标识码信息一同存储为CSV文件,得到多个CSV文件,即用户行为训练样本集和用户行为测试样本集。具体的,用户行为训练样本集中的每个时序行为样本数据信息和每个时序样本行为数据信息所对应的用户标识信息作为一组训练样本,获取多组训练样本;对于多组训练样本,将多组训练样本输入预设长短期记忆网络,输出用户行为分类信息,当满足预设条件时,得到预设用户行为分类模型。本专利技术实施例提供的一种内部威胁检测方法及装置,通过基于用户行为训练样本集训练得到预设用户行为分类模型,用户行为训练样本集中包括多个维度的数据信息,确保了多个本文档来自技高网...
【技术保护点】
1.一种内部威胁检测方法,其特征在于,包括:/n获取用户行为信息和用户标识信息;/n将所述用户行为信息输入预设用户行为分类模型,得到用户行为分类信息;/n根据所述用户标识信息对所述用户行为分类信息进行分析,得到内部威胁检测结果;/n其中,所述预设用户行为分类模型是基于用户行为训练样本集训练得到。/n
【技术特征摘要】
1.一种内部威胁检测方法,其特征在于,包括:
获取用户行为信息和用户标识信息;
将所述用户行为信息输入预设用户行为分类模型,得到用户行为分类信息;
根据所述用户标识信息对所述用户行为分类信息进行分析,得到内部威胁检测结果;
其中,所述预设用户行为分类模型是基于用户行为训练样本集训练得到。
2.根据权利要求1所述内部威胁检测方法,其特征在于,在所述将所述用户行为信息输入预设用户行为分类模型,得到用户行为分类信息的步骤之前,所述方法还包括:
获取CERT数据集,对所述CERT数据集进行预处理,得到多个样本行为数据信息和每个样本行为数据信息所对应的用户标识信息,其中,每个样本行为数据信息均包括多个元素特征;
对所述多个元素特征进行编号并进行排序处理,得到时序样本行为数据信息;
根据所述用户标识信息对所述用户标识信息所对应的时序样本行为数据信息进行存储,得到用户行为训练样本集和用户行为测试样本集。
3.根据权利要求2所述内部威胁检测方法,其特征在于,所述多个元素特征包括:登录属性特征、文件操作属性特征、邮件操作属性特征、外接设备属性特征和网页操作属性特征。
4.根据权利要求2所述内部威胁检测方法,其特征在于,在所述根据所述用户标识信息对所述用户标识信息所对应的时序样本行为数据信息进行存储,得到用户行为训练样本集和用户行为测试样本集的步骤之后,所述方法还包括:
获取用户行为训练样本集;
将所述用户行为训练样本集中的每个时序行为样本数据信息和每个时序样本行为数据信息...
【专利技术属性】
技术研发人员:张东雪,文雨,郑阳,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。