基于行为与注意力机制的异常行为检测方法及系统技术方案

本申请提供了一种基于行为与注意力机制的异常行为检测方法、系统及计算机介质，获取用户行为，并提取行为序列特征以及行为统计特征；融合行为序列特征以及行为统计特征，得到行为融合特征；将行为融合特征输入注意力机制的LSTM网络进行训练，得到异常行为检测模型；将待检测用户行为输入异常行为检测模型，得到异常行为检测结果。本申请使用用户历史行为与注意力机制相结合的技术手段来实现对不同用户行为模式的识别，最终实现更高精度和准确性的检测模型来降低一部分组织或企业因内部用户异常行为而造成的威胁以及损失。户异常行为而造成的威胁以及损失。户异常行为而造成的威胁以及损失。

【技术实现步骤摘要】
基于行为与注意力机制的异常行为检测方法及系统


[0001]本申请属于网络安全
，具体地，涉及一种基于行为与注意力机制的异常行为检测方法及系统。

技术介绍

[0002]内部威胁是由组织或企业的内部员工利用被授予的访问权限和对内部系统的熟悉进行敏感数据盗窃和破坏内部系统的网络攻击，其造成的不良后果使得企业或组织受到财产的损失及声誉方面的负面影响。根据2020年内部威胁损失:全球报告(Cost of Insider Threats:Global Report)显示自2016年以来，每家公司因内部威胁而造成的损失增加了近78％[1]。因为内部威胁攻击者通常不是一开始就会进行恶意活动，他们在大多数时间是以一定的行为习惯进行正常活动，之后由于一些原因导致其进行内部威胁攻击，而这些攻击行为往往与其正常的行为习惯有明显差异，所以现有的内部威胁检测研究借鉴异常检测的方法对用户的正常行为模式建模来进行内部威胁检测。然而现有主流的内部威胁检测方法普遍无法同时实现细粒度的检测和对不同用户行为模式的建模分析，导致其存在检测的精度不高或准确性不足等问题。
[0003]目前，人员内部威胁使得企业或组织受到财产的损失及声誉方面的负面影响。因此，基于对人员的用户行为分析是内部威胁检测的主流方式。关于用户行为的内部威胁检测的研究大致分为两类：基于机器学习的内部威胁检测和基于深度学习的内部威胁检测。但是因为缺乏细粒度检测以及无法有效捕获个体用户的行为模式，导致检测的精度和准确性不足。

技术实现思路

[0004]本专利技术提出了一种基于行为与注意力机制的异常行为检测方法及系统，旨在解决目前通过异常行为检测内部威胁时，无法同时实现行为细粒度的检测和对不同用户行为建模分析的问题。
[0005]根据本申请实施例的第一个方面，提供了一种基于行为与注意力机制的异常行为检测方法，具体包括以下步骤：
[0006]获取用户行为，并提取行为序列特征以及行为统计特征；
[0007]融合行为序列特征以及行为统计特征，得到行为融合特征；
[0008]将行为融合特征输入注意力机制的LSTM网络进行训练，得到异常行为检测模型；
[0009]将待检测用户行为输入异常行为检测模型，得到异常行为检测结果。
[0010]在本申请一些实施方式中，融合行为序列特征以及行为统计特征，得到行为融合特征，具体包括：
[0011]将用户的不同行为进行数字编号，根据用户行为得到基于时间进行排列的行为编号序列，即行为序列特征；
[0012]将多个行为序列特征补长或者截短，得到标准长度数值的多个行为序列特征；
[0013]对应用户的行为编号序列，统计每一个行为编号对应用户行为次数，得到对应的行为统计序列，即行为统计特征；
[0014]将行为统计特征的每一个统计数值n采用1/e^(
‑
n)代替，得到新的行为统计特征；
[0015]将行为序列特征的每一个行为编号后拼接一个新的行为统计特征，得到行为融合特征。
[0016]在本申请一些实施方式中，将多个行为序列特征补长或者截短，得到标准长度数值的多个行为序列特征，具体包括：
[0017]将行为序列特征的长度与标定长度进行比较；
[0018]用编号0补充小于标定长度的行为序列；编号0代表无意义；
[0019]或者，截掉大于标定长度的行为序列特征的行为序列编号。
[0020]在本申请一些实施方式中，将行为融合特征输入注意力机制的LSTM网络进行训练，得到异常行为检测模型，具体包括：
[0021]将行为融合特征依次输入基于用户历史行为的注意力层、基于Bi
‑
LSTM的行为特征演化层以及全连接层分类器；
[0022]通过全连接层分类器进行异常行为检测。
[0023]在本申请一些实施方式中，将将行为融合特征依次输入基于用户历史行为的注意力层、基于Bi
‑
LSTM的行为特征演化层以及全连接层分类器之前，还包括：
[0024]将行为序列特征输入基于LSTM的行为特征提取层中进一步进行特征提取。
[0025]在本申请一些实施方式中，LSTM的描述方程为：
[0026]i
t
＝σ(W
i
e
t
+W
i
h
t
‑1+b
i
)；
[0027]f
t
＝σ(W
f
e
t
+W
f
h
t
‑1+b
f
)；
[0028]o
t
＝σ(W
o
e
t
+W
o
h
t
‑1+b
o
)；
[0029]g
t
＝tanh(W
g
e
t
+W
g
h
t
‑1+b
g
)；
[0030]c
t
＝f
t
⊙
c
t
‑1+i
t
⊙
g
t
；
[0031]h
t
＝o
t
⊙
tanh(c
t
)；
[0032]其中，e
t
是时刻t的输入行为序列中x
t
的嵌入表示；f
t
是遗忘门，其作用是表示c
t
‑1中的哪些特征信息被c
t
接收；i
t
是输入门，其作用是控制g
t
哪些特征信息被用于更新c
t
；g
t
是由输入e
t
和上一个时间步的隐层状态输出h
t
‑1计算得到；o
t
是输出门；h
t
是t时刻的隐层状态输出；W、b分别表示权重矩阵和偏置值，随机初始化并在训练时期进行学习调整。
[0033]根据本申请实施例的第二个方面，提供了一种基于行为与注意力机制的异常行为检测系统，其特征在于，具体包括：
[0034]特征提取单元：用于获取用户行为，并提取行为序列特征以及行为统计特征；
[0035]特征融合单元：用于融合行为序列特征以及行为统计特征，得到行为融合特征；
[0036]模型训练单元：用于将行为融合特征输入注意力机制的LSTM网络进行训练，得到异常行为检测模型；
[0037]异常行为检测单元：用于将待检测用户行为输入异常行为检测模型，得到异常行为检测结果。
[0038]在本申请一些实施方式中，特征融合单元具体用于：
[0039]将用户的不同行为进行数字编号，根据用户行为得到基于时间进行排列的行为编
号序本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于行为与注意力机制的异常行为检测方法，其特征在于，包括以下步骤：获取用户行为，并提取行为序列特征以及行为统计特征；融合所述序列特征以及统计特征，得到行为融合特征；将所述行为融合特征输入注意力机制的LSTM网络进行训练，得到异常行为检测模型；将待检测用户行为输入所述异常行为检测模型，得到异常行为检测结果。2.根据权利要求1所述的异常行为检测方法，其特征在于，所述融合所述序列特征以及统计特征，得到行为融合特征，具体包括：将用户的不同行为进行数字编号，根据用户行为得到基于时间进行排列的行为编号序列，即行为序列特征；将所述多个行为序列特征补长或者截短，得到标准长度数值的多个行为序列特征；对应所述用户的行为编号序列，统计每一个行为编号对应用户行为次数，得到对应的行为统计序列，即行为统计特征；将所述行为统计特征的每一个统计数值n采用1/e^(
‑
n)代替，得到新的行为统计特征；将所述行为序列特征的每一个行为编号后拼接一个新的行为统计特征，得到行为融合特征。3.根据权利要求2所述的异常行为检测方法，其特征在于，所述将所述多个行为序列特征补长或者截短，得到标准长度数值的多个行为序列特征，具体包括：将所述行为序列特征的长度与标定长度进行比较；用编号0补充小于标定长度的行为序列；所述编号0代表无意义；或者，截掉大于标定长度的行为序列特征的行为序列编号。4.根据权利要求1所述的异常行为检测方法，其特征在于，所述将所述行为融合特征输入注意力机制的LSTM网络进行训练，得到异常行为检测模型，具体包括：将所述行为融合特征依次输入基于用户历史行为的注意力层、基于Bi
‑
LSTM的行为特征演化层以及全连接层分类器；通过全连接层分类器进行异常行为检测。5.根据权利要求4所述的异常行为检测方法，其特征在于，所述将所述将所述行为融合特征依次输入基于用户历史行为的注意力层、基于Bi
‑
LSTM的行为特征演化层以及全连接层分类器之前，还包括：将行为序列特征输入基于LSTM的行为特征提取层中进一步进行特征提取。6.根据权利要求5所述的异常行为检测方法，其特征在于，所述LSTM的描述方程为：i
t
＝σ(W
i
e
t
+W
i
h
t
‑1+b
i
)；f
t
＝σ(W
f
e
t
+W
f
h
t
‑1+b
f
)；o
t
＝σ(W
o
e
t
+W
o
h
t
‑1+b
o
)；g
t
＝tanh(W
g
...

【专利技术属性】
技术研发人员：吴旭，吴京宸，孙利娟，何惟禹，杨金翠，张勇东，方滨兴，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：