内部威胁检测方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术提供一种内部威胁检测方法、装置、电子设备及存储介质，其中方法包括：确定待检测序列；将所述待检测序列输入至检测模型中，得到所述检测模型输出的检测结果；所述检测模型是基于正常序列样本和恶意序列样本训练得到的；所述恶意序列样本是基于数据增强模块对真实恶意序列样本进行增强得到的；所述数据增强模块是应用真实恶意序列样本进行对抗训练得到的，通过数据增强模块对真实恶意序列样本进行增强，得到合成恶意序列，实现了训练检测模型的正常序列样本的数量和恶意序列样本的数据平衡，从而避免了在检测模型训练过程中正常序列样本过拟合和恶意序列样本欠拟合的问题，进而提高了检测模型的检测准确度。进而提高了检测模型的检测准确度。进而提高了检测模型的检测准确度。

【技术实现步骤摘要】
内部威胁检测方法、装置、电子设备及存储介质


[0001]本专利技术涉及计算机
，尤其涉及一种内部威胁检测方法、装置、电子设备及存储介质。

技术介绍

[0002]近年来，信息技术的飞速发展给社会带来了诸多便利，但也导致网络空间的攻击越来越多。组织的网络不仅受到外部攻击，还伴随着内部人员构成的威胁。由于内部人员拥有访问权限而且了解其组织的漏洞，所以与难以隐藏其足迹的外部攻击相比，内部威胁的微妙和动态特性使得检测非常困难。
[0003]目前，检测内部威胁的一种流行且有效的方法是分析用户访问组织资源的行为模式，通过检测模型对用户的行为模式进行分析得到结果。现有的检测模型是通过正常行为样本和恶意行为样本数量进行训练得到，但由于内部威胁的恶意行为样本数量远小于正常行为样本数量，导致训练得到的检测模型对用户行为模式的检测准确度较低。

技术实现思路

[0004]本专利技术提供一种内部威胁检测方法、装置、电子设备及存储介质，用以解决现有技术中因恶意样本数量远小于正常样本数量导致检测模型检测准确率低的缺陷。
[0005]本专利技术提供一种内部威胁检测方法，包括：
[0006]确定待检测序列；
[0007]将所述待检测序列输入至检测模型中，得到所述检测模型输出的检测结果；
[0008]所述检测模型是基于正常序列样本和恶意序列样本训练得到的；所述恶意序列样本是基于数据增强模块对真实恶意序列样本进行增强得到的；所述数据增强模块是应用所述真实恶意序列样本进行对抗训练得到的。
[0009]根据本专利技术提供的一种内部威胁检测方法，所述数据增强模块的训练步骤如下：
[0010]基于所述数据增强模块中的生成器对随机噪声序列进行数据增强，得到中间增强恶意序列；
[0011]基于所述数据增强模块中的排序器，应用预设参考序列，对所述中间增强恶意序列和所述真实恶意序列样本进行排序；
[0012]基于排序结果对所述生成器和所述排序器的参数进行调整，直到所述数据增强模块收敛。
[0013]根据本专利技术提供的一种内部威胁检测方法，所述基于排序结果对所述生成器和所述排序器的参数进行调整，直到所述数据增强模块收敛，包括：
[0014]在对所述排序器的参数进行调整时，固定所述生成器的参数，基于所述排序结果对所述排序器的参数进行调整；
[0015]在对所述生成器的参数进行调整时，固定所述排序器的参数，基于所述排序结果，以及应用蒙特卡洛树搜索方法计算所述中间增强恶意序列中部分生成序列的未来奖励值，
对所述生成器的参数进行调整；
[0016]所述生成器和所述排序器进行交替参数调整，直到所述数据增强模块收敛。
[0017]根据本专利技术提供的一种内部威胁检测方法，所述基于所述数据增强模块中的排序器，应用预设参考序列，对所述中间增强恶意序列和所述真实恶意序列样本进行排序，包括：
[0018]在所述排序器输入的恶意序列属于所述真实恶意序列样本的场景下，基于所述预设参考序列，确定所述恶意序列的排序分数和所述中间增强恶意序列的排序分数，并基于所述恶意序列的排序分数和所述中间增强恶意序列的排序分数进行排序；
[0019]在所述恶意序列属于所述中间增强恶意序列的场景下，基于所述预设参考序列，确定所述恶意序列的排序分数和所述真实恶意序列样本的排序分数，并基于所述恶意序列的排序分数和所述真实恶意序列样本的排序分数进行排序。
[0020]根据本专利技术提供的一种内部威胁检测方法，所述检测模型的训练步骤如下：
[0021]基于所述数据增强模块，对所述真实恶意序列样本进行增强，得到所述恶意序列样本；
[0022]基于所述正常序列样本和所述恶意序列样本，对所述检测模型的嵌入层进行训练，直至所述嵌入层收敛；所述嵌入层为语义提取网络；
[0023]将所述正常序列样本输入至所述嵌入层，得到嵌入层输出的正常样本语义特征，并将所述恶意序列样本输入至所述嵌入层，得到所述嵌入层输出的恶意样本语义特征；
[0024]基于所述正常样本语义特征和所述恶意样本语义特征，对所述检测模型的分类器进行训练，直至所述分类器收敛，得到所述检测模型。
[0025]根据本专利技术提供的一种内部威胁检测方法，所述待检测序列为用户行为序列，所述正常序列样本和所述真实恶意序列样本均包括多个用户行为序列；所述用户行为序列是基于如下步骤获取的：
[0026]基于提取日期和提取用户，从日志文件中提取用户行为模式数据集合；所述用户行为模式数据集合中任一数据包括：用户行为模式数据类型、发生时间和计算机类型；所述计算机类型包括所分配计算机和其他计算机；
[0027]基于所述任一数据中的发生时间所属的时间类型和所述任一数据中的计算机类型，确定所述任一数据的偏移量；所述时间类型包括工作时间和非工作时间；所述计算机类型包括所分配计算机和其他计算机；
[0028]基于所述任一数据中的用户行为模式数据类型，应用所述任一数据的偏移量，以及用户行为模式数据类型与用户行为索引之间的映射关系，对所述任一数据的用户行为模式数据编码；
[0029]基于所述用户行为模式数据集合中各数据的发生时间和用户行为模式数据编码，确定所述提取用户在所述提取日期的用户行为序列。
[0030]本专利技术还提供一种内部威胁检测装置，包括：
[0031]确定模块，用于确定待检测序列；
[0032]检测模块，用于将所述待检测序列输入至检测模型中，得到所述检测模型输出的检测结果；
[0033]所述检测模型是基于正常序列样本和恶意序列样本训练得到的；所述恶意序列样
本是基于数据增强模块对真实恶意序列样本进行增强得到的；所述数据增强模块是应用所述真实恶意序列样本进行对抗训练得到的。
[0034]本专利技术还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述内部威胁检测方法。
[0035]本专利技术还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述内部威胁检测方法。
[0036]本专利技术还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述内部威胁检测方法。
[0037]本专利技术提供的内部威胁检测方法、装置、电子设备及存储介质，通过数据增强模块对真实恶意序列样本进行增强，得到合成恶意序列，实现了训练检测模型的正常序列样本的数量和恶意序列样本的数据平衡，从而避免了在检测模型训练过程中正常序列样本过拟合和恶意序列样本欠拟合的问题，进而提高了检测模型的检测准确度。
附图说明
[0038]为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种内部威胁检测方法，其特征在于，包括：确定待检测序列；将所述待检测序列输入至检测模型中，得到所述检测模型输出的检测结果；所述检测模型是基于正常序列样本和恶意序列样本训练得到的；所述恶意序列样本是基于数据增强模块对真实恶意序列样本进行增强得到的；所述数据增强模块是应用所述真实恶意序列样本进行对抗训练得到的。2.根据权利要求1所述的内部威胁检测方法，其特征在于，所述数据增强模块的训练步骤如下：基于所述数据增强模块中的生成器对随机噪声序列进行数据增强，得到中间增强恶意序列；基于所述数据增强模块中的排序器，应用预设参考序列，对所述中间增强恶意序列和所述真实恶意序列样本进行排序；基于排序结果对所述生成器和所述排序器的参数进行调整，直到所述数据增强模块收敛。3.根据权利要求2所述的内部威胁检测方法，其特征在于，所述基于排序结果对所述生成器和所述排序器的参数进行调整，直到所述数据增强模块收敛，包括：在对所述排序器的参数进行调整时，固定所述生成器的参数，基于所述排序结果对所述排序器的参数进行调整；在对所述生成器的参数进行调整时，固定所述排序器的参数，基于所述排序结果，以及应用蒙特卡洛树搜索方法计算所述中间增强恶意序列中部分生成序列的未来奖励值，对所述生成器的参数进行调整；所述生成器和所述排序器进行交替参数调整，直到所述数据增强模块收敛。4.根据权利要求2所述的内部威胁检测方法，其特征在于，所述基于所述数据增强模块中的排序器，应用预设参考序列，对所述中间增强恶意序列和所述真实恶意序列样本进行排序，包括：在所述排序器输入的恶意序列属于所述真实恶意序列样本的场景下，基于所述预设参考序列，确定所述恶意序列的排序分数和所述中间增强恶意序列的排序分数，并基于所述恶意序列的排序分数和所述中间增强恶意序列的排序分数进行排序；在所述恶意序列属于所述中间增强恶意序列的场景下，基于所述预设参考序列，确定所述恶意序列的排序分数和所述真实恶意序列样本的排序分数，并基于所述恶意序列的排序分数和所述真实恶意序列样本的排序分数进行排序。5.根据权利要求1至4中任一所述的内部威胁检测方法，其特征在于，所述检测模型的训练步骤如下：基于所述数据增强模块，对所述真实恶意序列样本进行增强，得到所述恶意序列样本；基于所述正常序列样本和所述恶意序列样本，对所述检测模型的嵌入层进行训...

【专利技术属性】
技术研发人员：朱大立，黄贤金，李楠，刘继国，赵泓策，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：