一种内部安全威胁检测方法、系统、设备及存储介质技术方案

本发明专利技术公开了一种内部安全威胁检测方法、系统、设备及存储介质，将用户的一系列交互行为与网络结构拓扑建模成用户行为交互图，并有效利用了网络日志流中多维度异构信息来增强节点的特征表示，并采取边缘增强的节点特征嵌入方法，结合了多头注意力机制提取节点的时序信息，利用扩散卷积学习用户交互图的空间关系，最大限度地实现了时序信息和空间信息的融合，实现了高精度的内部威胁检测，能够更好地保障局域网内部的安全。保障局域网内部的安全。保障局域网内部的安全。

【技术实现步骤摘要】
一种内部安全威胁检测方法、系统、设备及存储介质


[0001]本专利技术涉及计算机网络安全
，尤其涉及一种内部安全威胁检测方法、系统、设备及存储介质。

技术介绍

[0002]随着互联网体系设施规模的不断增长，其面临的网络安全威胁日渐突出。根据安全公司IntelMcAfee实验室2016年发布的《迈克菲实验室威胁报告：2016年12月》统计显示，企业43％的安全威胁来源于内部人员。通常，网络内部的攻击者拥有授权可以访问敏感数据，很容易扰乱系统稳定运行，甚至产生灾难性的经济和安全后果。卡耐基梅隆大学CERT研究中心将内部威胁(InsiderThreats)定义为由恶意或无意的内部人员实施的威胁，他们利用自身对组织的网络、系统和数据的高访问权限，影响着组织数据的机密性、完整性、可用性、信息系统的安全性。
[0003]内部威胁的发起者可能是正常用户中的背叛人员或者冒充成用户的伪装人员，也有可能是系统存在缺陷被黑客利用而渗透。无论威胁是被哪些人发起的，它们的行径都会被系统记录。内部威胁检测方法利用存储着所有用户活动的网络流量或网络日志等数据中本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种内部安全威胁检测方法，其特征在于，包括：利用用户行为日志序列，构建以主机为节点，用户在主机之间的行为作为节点连边的用户行为交互图；结合不同时间尺度对所述用户行为日志序列进行划分，获得不同时间尺度的节点连边对应的所有时序下的用户行为特征序列；对于当前时间尺度，将所述用户行为交互图中的每一节点，利用注意力机制聚合每一时序下与其所有邻居节点连边对应的用户行为特征序列，获得每一节点包含所有时序的边缘增强节点表征序列；每一节点包含所有时序的边缘增强节点表征序列均分别通过多头注意力机制提取用户行为的全局依赖关系，获得每一节点的时序特征，对每一节点的时序特征进行扩散卷积后进行聚合，获得用户行为交互图的时空表征；聚合所有时间尺度下的用户行为交互图的时空表征，并进行分类，获得用户行为日志序列为正常序列或恶意序列的分类结果。2.根据权利要求1所述的一种内部安全威胁检测方法，其特征在于，对于当前时间尺度，将所述用户行为交互图中的每一节点，利用注意力机制聚合每一时序下与其所有邻居节点连边对应的用户行为特征序列，获得每一节点的边缘增强节点表征序列包括：对于用户行为交互图中的节点v，在当前时间尺度划分下划分为L个时序，则共有L个用户行为特征序列，每一个用户行为特征序列都包含节点v与所有其邻居节点连边对应的用户行为特征；每一个用户行为特征序列均利用注意力机制聚合，获得节点v新的节点嵌入特征，并结合节点v自身的属性向量，获得每一个用户行为特征序列对应的边缘增强节点表征；综合L个用户行为特征序列对应的边缘增强节点表征，获得节点v包含所有时序的边缘增强节点表征序列。3.根据权利要求2所述的一种内部安全威胁检测方法，其特征在于，将第l个时序对应的用户行为特征序列中节点v与邻居节点u连边对应的用户行为特征记为E
vu
，u∈N
v
，N
v
表示节点v的邻居节点集合；E
vu
为P维的边缘特征张量，对其中的第p维的边缘特征归一化注意系数计算方式为：计算方式为：计算方式为：其中，l＝1,
…
,L，P为边缘特征张量的总维度，f(.)为生成重要性标量的函数，分别表示节点v与邻居节点u、节点v邻居节点s的经过重要性标量加权的向量，表示节点v与邻居s节点连边对应的用户行为特征E
vs
中的第p维的边缘特征，LeakyReLU为激活函数，N
v
表示节点v的邻居节点集合；h
′
v
、h
′
u
、h
′
s
分别表示节点v、邻居节点u、邻居节点s的原始节点嵌入特征，节点的原始节点嵌入特征均为随机化生成；基于注意机制聚合所有邻居节点的原始节点嵌入特征和相应的边缘特征，生成节点v的新的节点嵌入特征，表示为：
其中，||表示拼接操作，σ表示sigmoid激活函数，W
h
表示线性权重参数；将节点v的新的节点嵌入特征h
v
与其自身的属性向量K
v
拼接，得到节点v第l个时序的边缘增强节点表征：其中，节点自身的属性向量K
v
是将对应主机的属性转换得到的向量；综合节点v的L个时序的边缘增强节点表征，获得节点v包含所有时序的边缘增强节点表征序列4.根据权利要求1所述的一种内部安全威胁检测方法，其特征在于，所述每一节点包含所有时序的边缘增强节点表征序列均分别通过多头注意力机制提取用户行为的全局依赖关系，获得每一节点的时序特征包括：对于节点v，将其包含所有时序的边缘增强节点表征序列记为H
v
；在多头注意力机制中，利用M组投影矩阵将H
v
投影到M组不同的查询矩阵、键矩阵与值矩阵上，表示为：投影到M组不同的查询矩阵、键矩阵与值矩阵上，表示为：其中，head
m
表示第m组投影矩阵的注意力函数，与分别为第m组投影矩阵投影后的查询矩阵、键矩阵与值矩阵；d
k
为键矩阵的维度参数；W
O
表示多头注意力机制的参数；||表示拼接操作；T为矩阵转置符号；对多头注意力的结果MultiheadAttention(H
v
)进行线性变换，获得...

【专利技术属性】
技术研发人员：谈健，肖锋锐，刘丽哲，陈双武，杨坚，杨锋，
申请(专利权)人：中国科学技术大学，
类型：发明
国别省市：