本发明专利技术提供一种基于特征融合的内部威胁检测方法,涉及网络空间安全领域,本方法分别从多源日志中抽取用户行为的统计特征与结构特征,通过融合形成特征矩阵,再输入到Capsule胶囊神经网络中进行训练,得到基于特征融合的内部威胁检测模型,利用该模型对内部威胁的检测,提升组织内部网络的安全性。提升组织内部网络的安全性。提升组织内部网络的安全性。
【技术实现步骤摘要】
基于特征融合的内部威胁检测方法
[0001]本专利技术涉及网络空间安全领域,融合用户的统计特征与结构特征并利用基于深度学习的异常检测方法对内部威胁进行检测,以及时发现内网中潜在的威胁用户。
技术介绍
[0002]在外部网络威胁日益猖獗的情况下,内部威胁所带来的影响同样不容忽视,内部威胁一般指组织中对内部网络、系统或数据有访问权限的用户,滥用权限,违背组织的安全策略,对内部信息的机密性、完整性与可用性造成负面影响的恶意行为。根据2020年来自Cybersecurity Insiders的安全报告显示,三分之二的组织(68%)表示来自内部的威胁在过去的一年中愈发频繁,且有70%的组织在过去的一年中至少遭受了一次由内部人员引发的恶意行为。当前内部网络所带来的威胁日渐突出,成为当下亟待解决的问题,如何准确、及时地检测出内部威胁对于组织的稳定运行与健康发展是至关重要的。
[0003]内部威胁一词常与有意图实施数据窃取、系统破坏等给企业及组织造成损失的恶意员工联系到一起,实际上,员工的疏忽、合作伙伴的失误同样促成了很多安全漏洞与意外的数据泄露,给企业及组织造成不小的损失。除去因系统漏洞、权限分配不当等客观因素外,“人”是造成企业及组织损失的主体因素,而内部威胁通常由具有合法权限的特权用户实施,与外部威胁运用系统漏洞进行越权操作的行为不同,内部用户拥有合法身份,且对内部架构较为熟悉,导致其恶意行为较难被发现,从而对组织的安全造成巨大威胁。
[0004]现今针对内部威胁检测技术的研究根据所使用方法的不同可以分为基于规则的内部威胁检测、基于传统机器学习的内部威胁检测和基于深度学习的内部威胁检测。
[0005]基于规则的内部威胁检测通常对确定的威胁行为有着较高的准确率和较低的误报率,但难以检测不在知识库中的未知异常行为,无法适应新的内部攻击行为,不适用于当下复杂的网络环境。
[0006]基于传统机器学习的内部威胁检测一般首先对数据进行预处理,然后提取特征并对特征进行选择,使用选定的传统机器学习算法对训练数据进行训练,训练得到的模型将使用测试数据进行预测,最后将预测结果与真实值进行评估,但通常所选择的特征往往较为单一,特征种类过少,仅能学习到单方面的用户行为信息,未考虑到用户与用户之间的关联,使得整体检测的准确率偏低。
[0007]基于深度学习的内部威胁检测大多以用户行为序列作为数据输入,建立用户正常的行为模型,再通过用户行为序列的变化检测出用户行为的异常,继而判断用户是否存在异常,仅能学习到单方面的用户行为序列信息或单方面的用户行为统计信息,而缺少对用户自身属性与用户间关联信息的判断,相较于机器学习方法在检测的准确率上虽有所提升,但其误报率依然较高,在实际场景中存在一定的局限性。
[0008]综上所述,在现今内部威胁检测领域,普遍存在利用特征种类不完全、未考虑到用户之间的关联信息,从而导致检测准确率低、误报率较高的问题,使得内部威胁检测的效果往往不够理想。
技术实现思路
[0009]为解决上述问题,本专利技术提出一种基于特征融合的内部威胁检测方法,分别从多源日志中抽取用户行为的统计特征与结构特征,结合基于深度学习的异常检测方法,实现对内部威胁的检测,提升组织内部网络的安全性。
[0010]为达到上述目的,本专利技术采用具体技术方案是:
[0011]一种基于特征融合的内部威胁检测方法,包括以下步骤:
[0012]采集内部网络中的多源用户行为日志,以用户为单位进行解析,为每个用户形成单独的多源用户行为日志记录;
[0013]从每个用户所对应的多源用户行为日志记录中,统计用户的行为信息,提取用户行为的统计特征;
[0014]以用户的多源用户行为日志记录中的登录日志构建用户登陆行为关联图,通过对每个用户节点的邻居节点进行随机游走,生成若干个固定长度的随机游走序列,每个序列由游走的节点按前后顺序排列构成,针对序列中的每个节点提取用户行为的结构特征;
[0015]将上述提取的用户行为的统计特征与结构特征进行融合,形成特征矩阵;
[0016]将含有内部威胁标注的训练数据经过上述步骤处理,得到特征矩阵,将该特征矩阵输入至Capsule胶囊神经网络中进行训练,得到基于特征融合的内部威胁检测模型;在对内部网络中的威胁进行正式检测时,获取内部网络中的多源用户行为日志,经过上述步骤处理得到特征矩阵,将该特征矩阵输入到所述内部威胁检测模型中,检测出内部网络中的威胁。
[0017]进一步地,所述多源用户行为日志除了包括登录日志外,还包括移动设备使用记录、文件操作日志、电子邮件日志以及网页浏览记录。
[0018]进一步地,所述用户的行为信息包括基于频率的用户行为统计特征和基于内容的用户行为统计特征;所述基于频率的用户行为统计特征为不同类型用户行为的平均计数,所述基于内容的用户行为统计特征为基于用户行为操作所产生的内容。
[0019]进一步地,所述基于频率的用户行为统计特征包含用户登入登出次数、下班时间用户登入登出次数、用户登录的电脑数、设备的连接次数、下班时间设备的连接次数、设备连接的电脑数、不同文件的传输次数、文件传输总数、下班时间传输的文件数、可执行文件传输数、文件传输所涉及的电脑数、发出的电子邮件数、发往组织内部的电子邮件数、发往组织外部的电子邮件数、电子邮件平均大小、电子邮件附件数、电子邮件接收者数、下班时间发送邮件数、接收邮件使用的电脑数、网页浏览数、下班时间网页浏览数中的一种或多种;
[0020]所述基于内容的用户行为统计特征包含与情绪倾向相关的电子邮件数、与解密相关的网页浏览数、与工作招聘相关的网页浏览数、与黑客相关的网页浏览数、与云存储相关的网页浏览数、与社交相关的网页浏览数、与情绪倾向相关网页浏览数中的一种或多种。
[0021]进一步地,所述用户登陆行为关联图为同构图,由不同用户和不同用户之间的关联关系构成,表示为G=(V,E),其中V代表图中节点的集合,每个节点表示一个用户;E代表图中边的集合,每条边表示对应两用户之间存在的关联关系。
[0022]进一步地,针对序列中的每个节点提取用户行为的结构特征的方法为:由生成若干个固定长度的随机游走序列构成一节点序列集合S;针对每一个节点u,通过Skip
‑
gram模
型学习计算最大化在集合S上的损失函数f,得到一个节点嵌入向量,该节点嵌入向量即所述用户行为的结构特征。
[0023]进一步地,用户行为的统计特征与结构特征融合的方法为:将用户行为的统计特征与结构特征进行拼接,并使用Min
‑
Max归一化将特征数值均归一化至0
‑
1的范围内,转换为二维特征矩阵。
[0024]进一步地,Capsule胶囊神经网络中训练过程中,将重构误差损失与缓限度损失进行累加得到最终的损失函数,使用该最终的损失函数调整Capsule胶囊神经网络的参数,得到所述内部威胁检测模型;该重构误差损失为所述特征矩阵与重构中Sigmoid层的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于特征融合的内部威胁检测方法,其特征在于,包括以下步骤:采集内部网络中的多源用户行为日志,以用户为单位进行解析,为每个用户形成单独的多源用户行为日志记录;从每个用户所对应的多源用户行为日志记录中,统计用户的行为信息,提取用户行为的统计特征;以用户的多源用户行为日志记录中的登录日志构建用户登陆行为关联图,通过对每个用户节点的邻居节点进行随机游走,生成若干个固定长度的随机游走序列,每个序列由游走的节点按前后顺序排列构成,针对序列中的每个节点提取用户行为的结构特征;将上述提取的用户行为的统计特征与结构特征进行融合,形成特征矩阵;将含有内部威胁标注的训练数据经过上述步骤处理,得到特征矩阵,将该特征矩阵输入至Capsule胶囊神经网络中进行训练,得到基于特征融合的内部威胁检测模型;在对内部网络中的威胁进行正式检测时,获取内部网络中的多源用户行为日志,经过上述步骤处理得到特征矩阵,将该特征矩阵输入到所述内部威胁检测模型中,检测出内部网络中的威胁。2.如权利要求1所述的方法,其特征在于,所述多源用户行为日志除了包括登录日志外,还包括移动设备使用记录、文件操作日志、电子邮件日志以及网页浏览记录。3.如权利要求1所述的方法,其特征在于,所述用户的行为信息包括基于频率的用户行为统计特征和基于内容的用户行为统计特征;所述基于频率的用户行为统计特征为不同类型用户行为的平均计数,所述基于内容的用户行为统计特征为基于用户行为操作所产生的内容。4.如权利要求3所述的方法,其特征在于,所述基于频率的用户行为统计特征包含用户登入登出次数、下班时间用户登入登出次数、用户登录的电脑数、设备的连接次数、下班时间设备的连接次数、设备连接的电脑数、不同文件的传输次数、文件传输总数、下班时间传输的文件数、可执行文件传输数、文件传输所涉及的电脑数、发出的电子邮件数、发往组织内部的电子邮件数、发往组织外部的电子邮件数、电子邮件平均大小、电子邮件附件数、电子邮件接收者数、下班时间发送邮件...
【专利技术属性】
技术研发人员:卢志刚,肖海涛,刘玉岭,张辰,刘松,姜波,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。