【技术实现步骤摘要】
一种基于可解释的内部威胁评估方法
本专利技术涉及异常检测领域,特别涉及一种基于可解释的内部威胁评估方法。
技术介绍
近年来,随着信息技术的飞速发展,越来越多的政府机构和企业都在大力地推进信息化建设,而由此所带来的信息泄露、隐私侵犯和财产损失等问题也愈发的严重。企业和公司为了减轻网络安全所带来的经济损失,投入大量资金部署防火墙、杀毒软件、入侵检测系统等安全产品。但是,此类措施仅能抵御来自互联网的外部攻击,对于来自组织内部的攻击时便难以发挥作用。如何对内部威胁进行有效地处理已然成为一个亟待解决的难题。为了能够从海量的异构数据中提取出威胁行为,找出数据间的区别与联系,异常检测作为一种新的方法出现在人们的视线中,并在内部威胁的检测中被广泛使用。基于神经网络的检测模型在当前的异常检测中占据着举足轻重的地位,同时也得到了人们的广泛关注。神经网络通常用于处理序列数据,并具有良好的性能。LSTM网络是1997年由Hochreiter等人提出的一种特殊的RNN网络,由于独特的设计结构,LSTM适合于处理和预测时间序列中...
【技术保护点】
1.一种基于可解释的内部威胁评估方法,其特征在于,该方法包括以下步骤:/nS1:基于异构数据D={D
【技术特征摘要】
1.一种基于可解释的内部威胁评估方法,其特征在于,该方法包括以下步骤:
S1:基于异构数据D={D1,D2,…,Dm}构造具有可读性属性的用户行为序列V=(v1,v2,…,vn),并由此作为下一阶段的输入,进行内部威胁的评估,其中,所述异构数据包括异构的敏感数据日志和员工的详细信息数据,具体的子流程如下:
S11:在内部网络各个属地中心中启动数据采集任务,分别从区块链节点中获取该节点的敏感数据日志,从属地中心本地数据库中获取员工的详细信息数据,通过属性抽取函数extraActive()对敏感数据日志中的行为进行抽取,并通过笛卡尔乘的方法生成具有可读性的用户行为序列属性;通过用户关系矩阵提取函数generateMatrix()对员工的详细信息数据进行处理,生成用于描述用户之间关系的邻接矩阵;
S12:根据用户行为序列属性和用于描述用户之间关系的邻接矩阵,利用频率统计的思想,通过数据转换算法为不同的异构数据生成行为子序列,最终,将各个异构数据生成的子序列进行合并,得到用户行为序列;
S13:对卡内基梅隆大学(CMU)的内部威胁研究中心与ExactData,LLC合作,在美国国防部高级研究计划局的赞助下,以真实企业环境为背景生成的一组综合内部威胁测试数据集CERT-IT中的v4.2版本进行所述步骤S11和所述步骤S12的数据处理后,按预设比例将得到的用户行为序列进行训练集和测试集的划分,并以月为单位将训练集和测试集分为17片,每片训练集训练一个检测模型,最后将对应月的测试集中的用户行为序列送入该月对应的检测模型的4层LSTM进行检测,得到内部威胁的检测结果,并将中间结果,模型参数与检测结果保存在数据库中,供下一阶段使用;
S2:基于内部威胁的检测结果,利用可解释算法对内部威胁的检测结果进行反向计算,从而产生可解释的评估结果。具体的子流程如下:
S21:对于4层LSTM的内部威胁的检测结果,通过基于LSTM的可解释算法对检测结果进行反向计算,从而得到输入用户行为序列各个属性编号对检测结果的相关性系数;
S22:对所有相关性系数进行排序,并根据数据库中的属性编码表生成与检测结果最为相关的前十项属性列表,即为可解释的内部威胁评估结果;
S3:根据可解释的内部威胁评估结果,结合系统管理人员对威胁行为的复核,产生最终的内部威胁数据集,并以此为训练集对评估模型进行训练,完成评估模型的适应性更新,提高评估的准确性,其中,评估模型是由检测模型...
【专利技术属性】
技术研发人员:陈爱国,赵太银,郑旭,罗光春,李思宁,孙迪克,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。