一种基于动态更新机制的内部威胁融合检测方法及系统技术方案

本发明专利技术涉及一种基于动态更新机制的内部威胁融合检测方法及系统，本发明专利技术基于组织内部采集的用户主客观特征数据，采用SAE模型提取高层融合特征，并引入基于SAE模型的学习样本筛选算法与特征、分类器双层泛化训练模式，实现融合检测针对用户主客观特征关联模式迁移的自适应能力。最终，借助本发明专利技术具备动态更新机制的内部威胁融合检测方法，研究者/安全分析人员可以根据实际场景需求，定制化选择训练所需的基于机器学习模型的双类/单类分类器，借助SAE模型的学习样本筛选算法与双层泛化训练模式，提升本发明专利技术检测系统针对用户特征融合模式偏移的时间自适应性，从而充分发挥融合检测优势，有效提升现有内部威胁检测系统的准确性与可行性。性与可行性。性与可行性。

【技术实现步骤摘要】
一种基于动态更新机制的内部威胁融合检测方法及系统


[0001]本专利技术涉及一种基于动态更新机制的内部威胁融合检测方法及系统，属于信息安全建设/网络安全


技术介绍

[0002]随着网络的发展，网络信息的安全越来越引起社会的重视，尽管防病毒软件、防火墙、入侵检测等安全产品得到了广泛的应用，但是由内部人员造成的泄密和入侵威胁却日益严重，由于内部威胁攻击者一般是企业或组织的员工(在职或离职)、承包商以及商业伙伴等，且具有组织的系统、网络以及数据的访问权，因此，内部威胁通常具备极高的隐蔽性与危害性，导致基于防火墙、IDS等安全设备的传统纵深防御体系并不能有效应对内部威胁，因此，亟需设计实用性强的内部威胁检测系统。
[0003]内部威胁(Insider Threats)是由具有合法访问权的内部用户实施的网络攻击行为，由于攻击者具备内部安全防御系统与高价值信息的相关知识，加之往往在正常工作的间隙实施恶意攻击，因而内部威胁相对于传统外部黑客攻击具有更强的隐秘性和危害性，尤其可以对所属企业/组织造成巨大的经济或名誉损失。<br/>[0004]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于动态更新机制的内部威胁融合检测方法，其特征在于，包括：(1)采集用户主客观数据用户主客观数据包括用户主观数据、用户客观数据；用户客观数据是指用于描述用户操作信息系统过程中的可审计行为，是一组表达行为信息的数值化特征向量；用户主观数据是指用于描述用户个体攻击倾向相关的可观察、可记录且可量化的数据，是一组表达攻击倾向信息的数值化特征向量；(2)检测模式初始化A、选定与分割标记数据集，包括：
①
构建训练集与验证集：选定某连续时间段T，按日分别采集每个用户的主客观数据，并建构拼接得到任一用户u在d日的初始融合特征feat
u,d
＝{s_feat
u,d
+a_feat
u,d
}，其中，“+”表示主观特征s_feat
u,d
与客观特征a_feat
u,d
的顺序拼接；随后按时序将T分割为连续的T0和T1两个时间段，并同时对应划分T0和T1所属的用户单日初始融合特征，从而得到两个时段对应的用户初始特征集合FEATS0和FEATS1作为后续更新检测的训练集与验证集；
②
标记训练集与验证集：对T0和T1两个时间段的用户行为进行判定，标记正常[
‑
1]和异常[+1]；B、训练初始SAE模型；(3)基于SAE模型筛选学习样本基于SAE模型特有的重构误差指标，从新的未标记数据中筛选出样本用于单独标注，进而作为学习样本服务于后续动态更新机制；(4)更新SAE模型融合特征；(5)分类器泛化训练；(6)内部威胁融合检测：使用训练好的新分类器进行内部威胁融合检测，判定异常标记为[+1]则告警启动后续防御应对机制，判定正常则标记[
‑
1]不做处理；进一步优选的，采用人工分析判定或多种安全审计软件共同检测判定投票的方式，对T0和T1两个时间段的用户行为进行判定。2.根据权利要求1所述的一种基于动态更新机制的内部威胁融合检测方法，其特征在于，步骤B中，SAE模型是栈式自编码器；假定已确定一个SAE模型结构与层次，随机初始化相关节点参数；则将FEATS0与FEATS1的每个特征样本作为输入，以SAE模型编码前输入向量与解码后重构向量的最小平均重构误差作为训练指标，采用误差后向传播方法迭代确定适用于FEATS0与FEATS1的最优节点参数，从而得到反映初始阶段用户主客观数据关联模式的融合特征模型SAE
0,1
平均重构误差公式，如式(I)所示：式(I)中，||x
i
‑
z(x
i
)||2表示输入第i个样本x
i
与解码后样本z(x
i
)之间的欧几里得范数，z(x)表示输入样本x经过SAE模型编码再解码后重构的样本输出；
初始化后，得到初始融合特征模型SAE
0,1
及其平均重构误差ReEr
0,1
，还得到SAE
0,1
编码过程中的融合特征集合SA_FEATS
0,1
；进一步优选的，SAE模型包括两个隐藏层，每个隐藏层所含节点数目为输入数据维度的50％；进一步优选的，初始融合特征模型SAE
0,1
、平均重构误差ReEr
0,1
及融合特征集合SA_FEATS
0,1
的获取过程为：基于SAE模型的逐层非监督预训练后，确定下初始融合特征模型SAE
0,1
各隐藏层中各个节点权重与偏置参数，同时将对应的最小平均重构误差标记为ReEro
0,1
；此时，选取FEATS0和FEASTS1中每个原始特征样本，输入到SAE
0,1
中仅执行编码过程，得到最内层编码形式，共同组成SAE
0,1
对应的融合特征集合SA_FEATS
0,1
。3.根据权利要求2所述的一种基于动态更新机制的内部威胁融合检测方法，其特征在于，步骤(3)中，基于SAE模型特有的重构误差指标，从新的未标记数据中筛选出样本用于单独标注，进而作为学习样本服务于后续动态更新机制；包括：
③
选定T0和T1之后的任一时间段T
j
，采用步骤
①
的方法对所属用户按日采集、提取用户单日初始融合特征集合FEATS
j
；
④
应用初始融合特征模型SAE
0,1
对FEATS
j
中的用户单日初始融合特征进行编码并解码，得到对应的重构误差ReEro
j
；
⑤
计算FEATS
j
中每个用户单日初始融合特征在SAE
0,1
编码前与解码后的欧式距离，并按照由高到低排序得到序列Set_Dis
j
；
⑥
设定筛选学习样本的比例为α，补充设定迁移率β，用于表示相近时间段用户特征关联模式在SAE
0,1
上的变化程度；最终计算γ＝α
×
β作为FEATS
j
集合上使用融合特征模型SAE
0,1
的合适的学习样本筛选比例，并从Set_Dis
j
中由高到低筛选比例为γ的样本对应的初始融合特征，组成Set_Dis
j,γ
；
⑧
对筛选出的学习样本Set_Dis
j,γ
进行标注，标注正常标记[
‑
1]，判定异常...

【专利技术属性】
技术研发人员：杨光，付勇，赵大伟，王继志，吴钰，陈丽娟，
申请(专利权)人：山东省计算中心国家超级计算济南中心，
类型：发明
国别省市：