一种基于用户二元性分析的内部用户异常行为融合检测方法及系统技术方案

本发明专利技术涉及一种基于用户二元性分析的内部用户异常行为融合检测方法及系统，包括：采集用户二元数据；基于用户元特征与用户行为特征，分别独立训练用户元特征分类器模型与用户异常行为分类器模型，分别进行用户元特征异常个体检测和用户异常行为检测；基于检测结果，建立用户二元性结果矩阵，并针对不同的情况分别予以分析处理：对于元特征异常且行为特征异常的用户，直接告警；对于元特征正常且行为特征正常的用户，判定为正常；对于元特征异常且行为特征正常的用户，适当调控行为偏移阈值；对于元特征正常且行为特征异常的用户，适当调控行为偏移阈值。本发明专利技术可以无遗漏地分析用户二元性分类器判定结果组合情境，针对性执行后续分析检测。续分析检测。续分析检测。

【技术实现步骤摘要】
一种基于用户二元性分析的内部用户异常行为融合检测方法及系统


[0001]本专利技术涉及一种基于用户二元性分析的内部用户异常行为融合检测方法及系统，属于信息安全建设/网络安全


技术介绍

[0002]当前，网络信息的安全越来越引起社会的重视，尽管防病毒软件、防火墙、入侵检测等安全产品得到了广泛的应用，但是，由于内部人员造成的泄密和入侵威胁却日益严重，由于内部威胁攻击者一般是企业或组织的员工(在职或离职)、承包商以及商业伙伴等，且具有组织的系统、网络以及数据的访问权，因此内部威胁通常具备极高的隐蔽性与危害性，导致基于防火墙、IDS等安全设备的传统纵深防御体系并不能有效应对内部威胁，因此，亟需设计实用性强的内部威胁检测系统。
[0003]已有内部威胁检测技术主要关注三个领域：第一，用户异常行为检测(即客观检测)假设攻击行为一定异于正常行为，因而主要通过建构用户在信息系统上的操作行为特征(如命令序列、文件访问及网络浏览等)，针对上述客观行为数据进行异常检测分析，即对用户正常行为建模，并识别出相对正常模型偏移较大的行为，作为异常告警。上述假设适用于大多数内部攻击场景，然而从本质上分析，异常行为显然不能等同于恶意行为，因而若单纯依靠异常行为检测方法，实际内部威胁检测中会出现不可避免的误判，比如用户偶然的异常登录操作会触发异常检测告警，却很可能表现为一次误报。第二，用户社会心理性因素检测(即主观检测)作为弥补上述不足的可行性方案逐渐引起人们的关注。一种代表性方法是从用户人格特征角度建模攻击动机，其核心是从用户文本数据中提取关键词频率并映射计算相应人格特征分数；另一种方法则立足用户社交应用数据中的情感分析，通过分析用户关注兴趣转移与评论态度倾向来刻画其所处焦虑与压力水平，如某个用户之前经常浏览娱乐体育主题新闻，而最近更多浏览新冠疫情态势相关新闻，由此反映出其内在的焦虑情绪。第三，用户主客观融合检测作为弥补上述两类检测技术不足的新解决方案逐渐引起人们关注，然而由于用户心理与行为特征间关联隐蔽复杂，导致难以直接用明确数学函数关系表达，因此已有技术仅仅止步于理论模型层次，尚未设计提出现实可行的融合技术方案。
[0004]当前内部威胁融合检测领域，主要面临的关键性问题和挑战是仅仅停留在理论模型层次，缺乏成熟可行的融合分析检测技术方案。其主要原因是：第一，融合技术方案设计门槛高：
①
跨学科局限：攻击动机研究需要较多心理学与社会学领域专业知识，对研究者提出了更高的跨学科背景要求，最终学科间差异阻碍了融合检测研究发展；
②
误判率高，例如，长期处于焦虑状态的个体，也很有可能仅仅表现为酗酒等不良习惯，因此，如果据此判定风险用户，必然导致高误判；量化攻击动机强度与触发攻击行为间存在复杂隐蔽的影响机制，难以通过直接划定攻击动机强度数值来确定用户是否会实施攻击行为；
③
融合检测核心评价指标是正类的召回率与负类的误报率，对异常检测而言，召回率与误报率一般是呈现正相关关系，即如果提升检测正类召回率(意味着更多异常样本被识别)，同时也会增
加负类误报率(更多正常行为被误判为异常)。因此现实中需要综合考虑召回率与误报率问题，进一步提高了融合检测技术方案的设计实现难度。第二，融合检测模型不完备，已有研究中首次提出了融合检测模型，但是仅仅涉及到两种情境，即
①
融合检测，从异常行为用户中追加攻击动机检测，若同时具有攻击动机异常，则告警；
②
预示检测，若用户检测有显著攻击动机，应适当调整其异常检测敏感度，提升召回率，但是仅能作为技术思路提供参考，未提供任何可供实现的技术方案。事实上，上述方案遗漏了其他重要情境，即
③
若用户无显著攻击动机，同样应适当调整其异常检测敏感度，以减少误报率。
[0005]如上所述，融合技术方案设计高门槛与已有融合模型的不完备性共同导致了内部威胁融合检测仅仅停留在理论模型阶段，缺乏成熟可行的融合技术方案以指导实际内部威胁检测应用；最终导致融合检测研究进展缓慢，无法适应国家社会各行业亟需加强内部威胁防御能力的迫切需求。因此如何借助量化攻击动机水平来辅助提升客观检测能力，是亟需研究的一个关键问题。

技术实现思路

[0006]为了改进现有内部威胁检测研究中内在动机与外在行为分析割裂的不足，本专利技术基于用户二元性特征分析提出完整可行的内部用户异常行为融合检测方法，从而切实提升现有内部威胁检测能力与实用性。
[0007]本专利技术还提供了基于用户二元性分析的内部用户异常行为融合检测系统。
[0008]为了实现上述目标，本专利技术的数据基础需要基于中小企业的应用场景，对目标场景用户群分别同时采集并建构其元特征与行为特征数据集合；进而提出一种基于上述二元性分析的用户异常行为检测方法：
①
基于用户元特征与行为特征分别独立训练机器学习模型分类器，实施用户元特征异常个体检测和用户异常行为检测；
②
基于用户元特征分类器与异常行为分类器结果，建立用户二元性结果矩阵，并针对不同的情况分别予以分析处理；
③
对于元特征异常用户的异常行为，直接告警；
④
对于元特征正常用户的正常行为，判定为正常不作处理；
⑤
对于元特征异常用户的正常行为，依据元特征异常程度适当调控行为偏移阈值，提升异常行为识别能力；
⑥
对于元特征正常用户的异常行为，依据元特征正常程度适当调控行为偏移阈值，降低异常检测的误报数量。
[0009]本专利技术的主要思路是：基于中小企业应用场景，同步采集用户二元性特征作为本专利技术后续分析检测的数据基础；进而提出一种借助量化元特征水平来适当调整行为检测分类边界阈值的二元性分析融合检测方法。
[0010]本专利技术基于用户二元性分析的内部用户异常行为融合检测方法，研究者/安全分析人员可以根据实际场景需求，定制化选择训练二元性特征分类器，充分发挥融合检测优势，通过深入分析用户二元性特征间的复杂本质关联，有效提升现有内部用户异常行为检测的准确性与实用性。
[0011]术语解释：
[0012]1、单类支持向量机OCSVM，One
‑
class SVM,是对传统支持向量机(Support Vector Machine)的扩展改进。传统应用场景中，训练数据同时分属多个类别，因此可以将多类别数据映射到高维度线性空间，并找到最合适的超平面作为类别分界，即得到所需的SVM分类器；然而实际中常常只能获得单类数据，如用户异常行为检测场景中，最容易获得的是用户
正常行为数据，攻击数据则相对较难获取，因此可以基于用户正常行为数据，训练映射到高维度空间中的一个适当超球面作为类别分界，凡是在超球面内部的认为是正常行为，球面外部的样本则认为是异常行为数据，如此得到一个OCSVM分类器。目前，针对SVM或OCSVM均有成熟可用的第三方可调用模块库(如sklearn模块库)。
[0013]2、基于sklearn库实现的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于用户二元性分析的内部用户异常行为融合检测方法，其特征在于，包括：采集用户二元数据，包括用户元数据和用户行为数据，用户元数据是指反映用户内部攻击倾向程度的个体特征数据；基于用户元特征与用户行为特征，分别独立训练机器学习模型分类器，包括用户元特征分类器模型与用户异常行为分类器模型，分别进行用户元特征异常个体检测和用户异常行为检测；基于用户元特征分类器与异常行为分类器的检测结果，建立用户二元性结果矩阵，并针对不同的情况分别予以分析处理：对于元特征异常且行为特征异常的用户，直接告警；对于元特征正常且行为特征正常的用户，判定为正常不作处理；对于元特征异常且行为特征正常的用户，依据元特征异常程度适当调控行为偏移阈值，提升异常行为识别能力；对于元特征正常且行为特征异常的用户，依据元特征正常程度适当调控行为偏移阈值，降低异常检测的误报数量。2.根据权利要求1所述的一种基于用户二元性分析的内部用户异常行为融合检测方法，其特征在于，用户元数据包括用户内在心理元数据与工作元数据；用户内在心理元数据是指目标用户的人格测评分数；工作元数据包括用户日常工作数据、用户出勤表现数据及用户组织关系维度数据；用户日常工作数据包括用户工作文本数据、用户工作评定数据及工作满意度数据；用户行为数据源于内部用户审计系统，按照行为类别分为五类：系统登录/登出、网络访问、邮件通讯、文档访问以及外接设备使用。3.根据权利要求1所述的一种基于用户二元性分析的内部用户异常行为融合检测方法，其特征在于，训练机器学习模型分类器之前，依次进行数据采集、数据特征提取、数据标记、训练特征聚合、归一化处理，具体包括如下：数据采集：选定无安全事件告警的某月假定为正常时间区段，标记为T0选定T0之后具有安全事件告警的某月为验证时间区段，标记为T1；选定T1之后的某月为检测时间区段，标记为T2；数据特征提取：从T0、T1与T2三个时间区段内，按日期采集每个用户元数据得到对应的{m_data
u0,d
}、{m_data
u1,d
}和{m_data
u2,d
}，m_data
u0,d
表示T0区段用户u在第d天采集到的元特征，m_data
u1,d
表示T1区段用户u在第d天采集到的元特征，m_data
u2,d
表示T2区段用户u在第d天采集到的元特征；数据标记：对T0区段内所有用户的元特征及行为特征标记为负类，表示正常；T1时间段内，若某用户某日触发安全事件，则标记该用户当日元特征与行为特征为正类，反之标记为负类；训练特征聚合：将T0区段的用户元特征集合看作是整体特征行向量M_Feat0,
M
，将T0区段的用户行为特征集合看作是整体特征行向量A_Feat0,
M
；其中M_Feat0,
M
＝{m_data
u0,d
}，A_Feat0,
M
＝{a_data
u0,d
}，d∈T0；将T1区段的用户元特征集合看作是整体特征行向量M_Feat1,
M
，将T1区段的用户行为特征集合看作是整体特征行向量A_Feat1,
M
；其中M_Feat1,
M
＝{m_data
u1,d
}，A_Feat1,
M
＝{a_data
u1,d
}，d∈T1；将T2区段的用户元特征集合看作是整体特征行向量M_Feat2,
M
，将T2区段的用户行为特征集合看作是整体特征行向量A_Feat2,
M
；其中M_Feat2,
M
＝{m_data
u2,d
}，A_Feat2,
M
＝{a_data
u2,d
}，d∈T2；
归一化处理：对M_Feat0,
M
和A_Feat0,
M
分别归一化处理得到M_Feat0,
MM
和A_Feat0,
MM
，以使得每列数值均控制在[0,1]范围内；对M_Feat1,
M
和A_Feat1,
M
分别归一化处理得到M_Feat1,
MM
和A_Feat1,
MM
，以使得每列数值均控制在[0,1]范围内；对M_Feat2,
M
和A_Feat2,
M
分别归一化处理得到M_Feat2,
MM
和A_Feat2,
MM
，以使得每列数值均控制在[0,1]范围内；进一步优选的，归一化处理中，归一化公式如式(I)所示：x
mm
＝(x
‑
X
max
)/(X
max
‑
X
min
)
ꢀꢀ
(I)其中，X
max
和X
min
分别表示序列{x}中的最大值与最小值，{x}是指M_Feat0,
M
、A_Feat0,
M
、M_Feat1,
M
、A_Feat1,
M
、M_Feat2,
M
、A_Feat2,
M
中每个列向量组成的数值序列；x
mm
最终统一将数值调整到[0,1]之间。4.根据权利要求1所述的一种基于用户二元性分析的内部用户异常行为融合检测方法，其特征在于，训练用户元特征分类器模型，包括：使用M_Feat0,
MM
训练一个单类分类器，对验证集M_Feat1,
MM
上对任一用户u的任一天d的元特征m_data
u1,d
进行检测；通过对比T1区段上所有用户元特征正常与否标记，以最优准确率为目标调整获得用户元特征分类器参数，最终确定适用于本次检测的用户元特征分类器模型M_Classifier2，准确率即为用户元特征分类器判定正类与负类正确的样本数占所有样本的百分比。5.根据权利要求1所述的一种基于用户二元性分析的内部用户异常行为融合检测方法，其特征在于，训练用户异常行为分类器模型，并进行用户异常行为检测，包括：针对训练集A_Feat0,
MM
，从用户日常审计行为数据中建构特征树，并执行独立的异常检测过程；并基于验证集A_Feat1,
MM
，以最优准确率为目标调整获得初始最佳行为偏移阈值K
A
及其它用户异常行为分类器模型参数；进一步优选的，单类分类器是指单类支持向量机OCSVM。6.根据权利要求1所述的一种基于用户二元性分析的内部用户异常行为融合检测方法，其特征在于，通过训练好的用户元特征分类器模型进行用户元特征异常个体检测，包括：针对目标区段T2上中的任一用户u的任一天d的元特征，...

【专利技术属性】
技术研发人员：杨光，付勇，赵大伟，王继志，吴钰，陈丽娟，
申请(专利权)人：山东省计算中心国家超级计算济南中心，
类型：发明
国别省市：