【技术实现步骤摘要】
基于深度学习的用户异常行为特性分析系统及使用方法
[0001]本专利技术涉及异常行为特性分析
,特别是一种基于深度学习的用户异常行为特性分析系统及使用方法。
技术介绍
[0002]数据泄露及间谍事件的频繁发生使得内部威胁日益成为网络安全领域不可忽视的现实挑战。由于内部威胁的发起者为熟知系统架构和安全措施的授权员工,其造成的破坏要远大于来自外部的恶意攻击。因此,面对诸如系统破坏、信息泄露等内部威胁带来的严峻挑战,亟需提出行之有效的内部威胁检测方案。
[0003]目前采用的检测分析方案大多是基于规则匹配或简单的机器学习算法,对于简单的机器学习算法,在特征提取方面,现有的用户行为表征方案往往会忽视时间信息而导致模型构建不够完善,在一定程度上限制了用户异常行为特性分析的提升;在模型构建方面,现有方案在建立行为对比基线时仅考虑了个人行为随时间的变化情况,而忽略了同行成员行为间存在的空间关联性,进而降低了用户异常行为特性分析的准确性。
技术实现思路
[0004]有鉴于此,本专利技术的目的在于提供一种基于深度...
【技术保护点】
【技术特征摘要】
1.基于深度学习的用户异常行为特性分析系统,其特征在于,包括特征提取模块、时间特性分析模块、空间特性分析模块以及整合异常分析模块;所述特征提取模块用于根据用户行为,从用户日志信息库中提取出所述用户对应的基础特征,经过标码的基础特征作为时间特性分析和空间特性分析的基础;所述时间特性分析模块用于拼接经标码的基础特征以及该基础特征的时间度量指标,实现用户行为混合集的构建,时间表征模型通过所述用户行为混合集得到训练;所述空间特性分析模块用于获取同一角色用户的经标码的基础特征,并对空间共用组模型实现训练;所述整合异常分析模块用于根据所述时间表征模型所获取的时间样本重建误差以及空间共用组模型所获取的空间样本重建误差,计算用户行为的异常程度。2.根据权利要求1所述的基于深度学习的用户异常行为特性分析系统,其特征在于,基础特征标码的具体方式包括:将所述用户的多源日志信息中属于文本类型的日志信息提取出来;按照以天为粒度的转换规则,将文本类型的日志信息转换为数值类型的频次特征项。3.根据权利要求1所述的基于深度学习的用户异常行为特性分析系统,其特征在于,用户的当天行为基础特征在窗口范围内的时间度量指标通过如下公式计算:户的当天行为基础特征在窗口范围内的时间度量指标通过如下公式计算:其中,w
f,l,d
为第一时间度量指标,v
f,l,d
为第一时间度量指标,g
f,l,d
、g
f,l,d
‑
T+j+1
、g
f,l,d
‑
T
+j
分别为所述基础特征f在第d、d
‑
T+j+1、d
‑
T+j日特定特定时间区域l的频次测量值,j为时间窗口遍历值,为g
f,l,d
在所述窗口范围内的历史测量值,T为滑动窗口长度,β为指数加权平均系数,mean表示均值,std表示标准差。4.根据权利要求1所述的基于深度学习的用户异常行为特性分析系统,其特征在于,所述用户行为混合集的训练方式具体为:将计算获得的所述时间度量指标拼接在经标码的基础特征的测量值后面,构建的所述用户行为混合集作为输入端,并以深度自标码器作为基...
【专利技术属性】
技术研发人员:张坤三,郭敬东,罗富财,刘俊,沈立翔,吴丽进,郭蔡伟,纪文,
申请(专利权)人:国网福建省电力有限公司漳州供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。