CN108616545B

CN108616545B - 一种网络内部威胁的检测方法、系统及电子设备

Info

Publication number: CN108616545B
Application number: CN201810668279.9A
Authority: CN
Inventors: 王妍; 吕遒健; 王丹; 吴峥嵘; 吕彬; 李宁
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2018-06-26
Filing date: 2018-06-26
Publication date: 2021-06-29
Anticipated expiration: 2038-06-26
Also published as: CN108616545A

Abstract

本发明提供一种网络内部威胁的检测方法、系统及电子设备，所述方法包括：基于用户行为数据的不同特征，分别根据多域行为驱动和时间行为驱动，进行所述用户行为数据的多维度检测；利用熵权法，将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合，确定网络内部威胁。本发明能够有效提高运算过程的普适性，并有效降低运算的时间复杂度和空间复杂度，从而降低成本开销。

Description

一种网络内部威胁的检测方法、系统及电子设备

技术领域

本发明涉及网络信息安全技术领域，更具体地，涉及一种网络内部威胁的检测方法、系统及电子设备。

背景技术

在信息安全领域，由内部威胁所造成的损失远大于外部威胁攻击所造成的损失，且内部威胁更容易造成数据泄露问题。内部威胁和外部威胁相比，需要更多的时间来解决。

内部威胁所采用的恶意活动通常分以下阶段进行：破解者进入系统或网络；破解者为了了解易攻击处和可以花最小力气造成最大伤害的位置，而调查系统或网络的本质；建立工作区，在其中进行恶意活动；最后，实施实际的毁灭性动作。

现有的针对内部威胁的检测方法多延续入侵检测的思想，同等对待源于系统外部的攻击和内部人员的恶意行为，忽略了攻击方法上的区别对检测结果的影响。例如，通过结合实时入侵检测和数据挖掘技术，用学习代理挖掘数据、生成模式作为入侵检测的分类器，以此检测资源滥用的行为。或者，通过挖掘入侵事件之间的关联规则，非实时地检测内部人员的恶意行为。

此外，在使用较多的基于人工智能的检测方法中，大多需要标记数据训练分类器。而在实际应用中，因为内部威胁人员的隐蔽性和检测的困难性，导致难以获取标记数据。为此，现有技术中出现了各种对应解决方案，如：基于资源滥用行为的检测方法；采用统计学习方式，通过评估用户当前行为与过去行为的偏离程度判断行为是否异常；通过对用户的登录信息和访问过的文档进行分析，建立用户的计算模型并确定检测指标，如果分析结果与模型有偏差，则确定存在恶意的内部行为。

但是，在用户行为模式的构建上，大部分现有方法是在所有用户的行为中寻找一个基本用户画像，把每个用户和这个基本用户画像进行对比，如果差别较大，则被识别为威胁用户。这种建模方法基于多域行为驱动来进行，很难检测出蓄意恶意行为的用户。这类内部威胁人员将自己伪装成和周围用户一样，隐藏自己的威胁身份，很难被这种模型检测到。

另外，基于时间行为驱动的模型主要是根据用户以前的历史行为判断现在的行为是否具有恶意来进行检测，虽然能够检测出伪装的威胁者，但是无法进行长时间的建模，即长时间的用户行为实际上也会根据业务的需求或者岗位的调动而发生正常的变化，这就会引起威胁的误判。

发明内容

为了克服上述问题或者至少部分地解决上述问题，本发明提供一种网络内部威胁的检测方法、系统及电子设备，用以有效提高运算过程的普适性，并有效降低运算的时间复杂度和空间复杂度，从而降低成本开销。

第一方面，本发明提供一种网络内部威胁的检测方法，包括：基于用户行为数据的不同特征，分别根据多域行为驱动和时间行为驱动，进行所述用户行为数据的多维度检测；利用熵权法，将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合，确定网络内部威胁。

其中，根据时间行为驱动，进行所述用户行为数据的检测的步骤进一步包括：利用马尔可夫算法，对用户行为进行建模，获取用户行为的马尔可夫模型；利用建立的所述马尔可夫模型，对所述用户行为数据进行基于行为时间序列的异常检测；其中，所述行为时间序列表示，将所述用户行为数据按时间先后进行排序形成的时间序列。

其中，所述利用马尔可夫算法，对用户行为进行建模，获取用户行为的马尔可夫模型的步骤进一步包括：基于用户的所有行为，构成用户行为空间，并获取用户的一系列行为数据作为训练数据；将用户行为看作一个随机量，基于所述训练数据，估计所述用户行为空间中每个用户行为从历史行为中生成的概率；基于所述用户行为空间中所有用户行为对应的所述概率，构成概率转移矩阵；基于所述概率转移矩阵，获取用户行为的所述马尔可夫模型；其中，所述历史行为表示所述训练数据中，当前计算数据之前的行为数据对应的用户行为。

其中，所述利用建立的所述马尔可夫模型，对所述用户行为数据进行基于行为时间序列的异常检测的步骤进一步包括：按照设定时长，将所述用户行为数据切分成多个等时长的片段，构成多个行为时间序列；基于所有所述行为时间序列和所述马尔可夫模型的概率转移矩阵，获取用户对应的所述基于时间行为驱动的异常分数值。

其中，根据多域行为驱动，进行所述用户行为数据的检测的步骤进一步包括：基于所述用户行为数据的多域特征，利用孤立森林模型，对所述用户行为数据进行异常检测；其中，所述孤立森林模型为预先通过对多个用户在所述多域的行为分别提取行为特征，并基于各个域对应的所述行为特征进行建模获取的。

其中，所述基于所述用户行为数据的多域特征，利用孤立森林模型，对所述用户行为数据进行异常检测的步骤进一步包括：按照不同时间段，对所述用户行为数据的多域特征进行切分，获取不同时间段的子行为特征；基于所述子行为特征，统计用户在不同时间段内每个域的行为次数，并对所述用户行为数据的多域特征进行降维处理；基于降维处理后的多域特征，利用所述孤立森林模型，获取用户对应的所述基于多域行为驱动的异常分数值。

其中，所述基于所述子行为特征，统计用户在不同时间段内每个域的行为次数，并对所述用户行为数据的多域特征进行降维处理的步骤进一步包括：对于每个域，基于所述子行为特征，统计用户在不同时间段内对应行为出现的最大次数，以及所述最大次数出现的次数；基于所述最大次数和所述最大次数出现的次数，利用主成分分析法，对所述用户行为数据的多域特征进行降维处理。

其中，所述利用熵权法，将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合的步骤进一步包括：基于用户的所述基于时间行为驱动的异常分数值，依次进行标准化处理和求信息熵运算，获取第一信息熵，并基于用户的所述基于多域行为驱动的异常分数值，依次进行标准化处理和求信息熵运算，获取第二信息熵；基于所述第一信息熵和所述第二信息熵，计算所述基于时间行为驱动的异常分数值和所述基于多域行为驱动的异常分数值分别对应的权重系数；基于所述基于时间行为驱动的异常分数值和所述基于多域行为驱动的异常分数值，以及所述权重系数，计算用户的综合异常分数；基于设定异常阈值和用户的所述综合异常分数，确定网络内部威胁。

第二方面，本发明提供一种网络内部威胁的检测系统，包括：多域异常行为检测模块，用于基于用户行为数据的不同特征，根据多域行为驱动，进行所述用户行为数据的检测；时间序列异常检测模块，用于基于所述用户行为数据的不同特征，根据时间行为驱动，进行所述用户行为数据的检测；信息融合模块，用于根据对所述用户行为数据的多域行为驱动检测结果和时间行为驱动检测结果，利用熵权法，将检测结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合，确定网络内部威胁。

第三方面，本发明提供一种电子设备，包括：至少一个存储器、至少一个处理器、通信接口和总线；所述存储器、所述处理器和所述通信接口通过所述总线完成相互间的通信，所述通信接口用于所述电子设备与用户行为数据获取单元之间的信息传输；所述存储器中存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现如上所述的网络内部威胁的检测方法。

本发明提供的一种网络内部威胁的检测方法、系统及电子设备，通过从多域行为驱动和时间行为驱动两个维度对内部威胁进行多维度的检测，并通过无监督的熵权法对多维度的检测结果进行融合，能够从不同的维度全面的对用户行为进行建模，从而更全面和更准确的识别内部威胁人员，减少误判率。同时，能有效提高运算过程的普适性，并有效降低运算的时间复杂度和空间复杂度。相比传统的检测方法，覆盖率更高，识别结果有更高的鲁棒性，并能降低成本开销。

附图说明

图1为本发明实施例一种网络内部威胁的检测方法的流程图；

图2为本发明实施例另一种网络内部威胁的检测方法的流程图；

图3为根据本发明实施例一种网络内部威胁的检测方法中时间序列异常检测的流程图；

图4为根据本发明实施例一种网络内部威胁的检测方法中多域异常检测的流程图；

图5为本发明实施例一种网络内部威胁的检测系统的结构示意图；

图6为本发明实施例一种电子设备的结构框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

在进行网络威胁检测时，网络内部威胁检测不能仅仅看作一个单一的数据或者时间行为驱动的问题，应该把这两方面结合起来。基于这种思路，本发明实施例提出一个精确有效的并且非监督的内部威胁检测方法，结合多域行为驱动和时间行为驱动的优点，从不同的维度对用户的行为进行建模，并分别对每个模型进行改进，使得检测精确率更高，误判率更小。

作为本发明实施例的一个方面，本实施例提供一种网络内部威胁的检测方法，参考图1，为本发明实施例一种网络内部威胁的检测方法的流程图，包括：

S1，基于用户行为数据的不同特征，分别根据多域行为驱动和时间行为驱动，进行用户行为数据的多维度检测。

可以理解的是，对于网络内部的全部用户或者某确定的被测试用户，根据其行为数据可提取不同的行为特征，即用户行为数据的不同特征。然后，根据该行为特征，分别从多域行为驱动维度和时间行为驱动维度，对用户行为数据分别进行检测，并分别得到对应维度的检测结果。则可以理解的是，多维度检测的结果中，包括基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值。

其中，多域行为驱动表示，在横向角度的多个用户行为类别上，对用户不同类别的行为进行分析和检测。每个用户行为类别可看作一个用户行为的域，多个行为类别构成多个行为域，即多域。通过检测与周围的同事行为不一致的行为的用户，确定内部威胁用户。

相应的，时间行为驱动表示，对于某确定的用户，在时间的纵向角度上，对其不同时间不同类型的行为数据进行分析和检测。通过检测和自己历史行为规律有较大出入的行为的用户，，确定内部威胁用户。

在其中一个实施例中，该方法的操作对象是用户在计算机上的活动，例如开机行为、浏览网页行为及发送邮件行为等。通过系统的日志取得用户在系统上的操作，即用户行为数据，然后对这些操作进行分析。

S2，利用熵权法，将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合，确定网络内部威胁。

可以理解的是，根据在上述步骤中进行多维度检测得到的检测结果，确定其中进行多域行为驱动维度和时间行为驱动维度检测分别获取的基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值。然后，利用熵权法，将这两个维度的异常分数值进行数据融合，并根据该融合的结果，确定对应用户的威胁状态，并进一步确定网络内部威胁。

可以理解的是，确定内部威胁即是确定网络的内部用户中，具体哪个或哪些用户对网络的进行了恶意活动，即对网络具有威胁属性。

进一步的，具体而言，本实施例的处理流程可参考图2，为本发明实施例另一种网络内部威胁的检测方法的流程图。

首先，需要对用户行为数据进行行为特征的提取，获取用户行为数据的不同特征，即不同行为特征。

其次，根据提取的行为特征，针对用户的行为，分别利用多域异常检测模块和时间序列异常检测模块对应进行基于多域行为驱动的异常检测和基于时间行为驱动的异常检测，并分别得到基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值。

最后，将两种驱动下得到的异常分数值进行信息融合，得到用户对应的最终威胁状态，并进一步根据各用户对应的最终威胁状态，确定网络内部威胁。

本发明实施例提供的一种网络内部威胁的检测方法，通过从多域行为驱动和时间行为驱动两个维度对内部威胁进行多维度的检测，并通过无监督的熵权法对多维度的检测结果进行融合，能够从不同的维度全面的对用户行为进行建模，从而更全面和更准确的识别内部威胁人员，减少误判率。

同时，本发明实施例的方法是一种无监督的方法，不需要标签数据训练分类器，具有更高的普适性，同时具有较低的时间复杂度和空间复杂度，实施起来更为容易，可减少成本开销，在工业领域具有良好的应用前景。相比传统的检测方法，覆盖率更高，识别结果有更高的鲁棒性。

其中可选的，根据时间行为驱动，进行用户行为数据的检测的步骤进一步包括：

利用马尔可夫算法，对用户行为进行建模，获取用户行为的马尔可夫模型；

利用建立的马尔可夫模型，对用户行为数据进行基于行为时间序列的异常检测；

其中，行为时间序列表示，将用户行为数据按时间先后进行排序形成的时间序列。

可以理解的是，本实施例在马尔可夫算法的基础上，提出一个改进的马尔可夫模型来对用户行为进行建模。在该模型中，用户行为数据被按照时间构成不同的行为时间序列，并将用户行为数据分成两部分。

其中，一部分作为训练数据，用来建立用户行为的马尔可夫模型，另一部分作为测试数据，对建立的模型进行测试。在模型建立完成的基础上，利用该模型以及用户行为所对应的行为时间序列，进行该用户的行为异常检测，即对用户行为数据进行异常检测。

其中，在一个实施例中，利用马尔可夫算法，对用户行为进行建模，获取用户行为的马尔可夫模型的步骤进一步包括：

基于用户的所有行为，构成用户行为空间，并获取用户的一系列行为数据作为训练数据；

将用户行为看作一个随机量，基于训练数据，估计用户行为空间中每个用户行为从历史行为中生成的概率；

基于用户行为空间中所有用户行为对应的概率，构成概率转移矩阵；

基于概率转移矩阵，获取用户行为的马尔可夫模型；

其中，历史行为表示训练数据中，当前计算数据之前的行为数据对应的用户行为。

可以理解为，如图3所示，为根据本发明实施例一种网络内部威胁的检测方法中时间序列异常检测的流程图。将用户训练数据的一系列行为作为一个时间序列，对每个用户建立一个马尔可夫模链。

具体而言，用户每天在计算机上的行为都是不一样的，将用户的行为看作一个序列B＝(a₁,a₂,…,a_n)，a_i表示行为a在时间i发生。通过统计用户中计算机上的所有行为类别，构成用户所有行为的集合A，作为用户行为空间。

根据历史记录获取用户的一系列行为数据，构成模型的训练数据。另外，定义子串B(i,j)＝a_i,a_i+1,...,a_j，满足条件1≤i≤j≤n，并定义上下文c＝B(n,n)。其中c＝B(n-k+1,n)表示k阶马尔科夫，k表示当前行为依赖于当前行为前的k个行为。本发明实施例中，k为1，表示当前行为值仅与其前一个行为有关。

把用户的行为看作一个随机量X，对用户行为空间A中的每一个a_i∈A,i∈{1,2,…,n})，定义P(X_i＝a_i|...)表示a_i在一定条件下发生的概率，则用户行为空间A中所有行为的概率组成一个概率转移矩阵M。

利用当前上下文c，从当前历史行为B中生成估计值

则下一个行为转换所得的转换概率为：

式中，N(s’,s)表示数据子串s’在s中出现的次数。

本发明实施例提供的一种网络内部威胁的检测方法，从时间序列的角度出发，对用户的长期行为进行建模，避免了检测不到的刻意伪装或者试图掩饰自己异常行为的威胁用户。此外，在特征提取的同时，采用了时间窗口的方法，降低了因为一次偶然的异常操作而影响用户异常分数的情况，减少了威胁检测误判率。

其中，根据上述实施例，利用建立的马尔可夫模型，对用户行为数据进行基于行为时间序列的异常检测的步骤进一步包括：

按照设定时长，将用户行为数据切分成多个等时长的片段，构成多个行为时间序列；

基于所有行为时间序列和马尔可夫模型的概率转移矩阵，获取用户对应的基于时间行为驱动的异常分数值。

可以理解的是，本实施例将待测试用户的用户行为数据按照等长时间段，切分成D个相同时间长度的片段，每个片段的长度为N，则每个片段构成一个行为时间序列。

可以定义任一个用户在第i个等长时段的行为序列为：B_i＝a_i1,a_i2,...,a_iN，则结合上述实施例得到的概率转移矩阵M，可计算每个用户的异常得分，即基于时间行为驱动的异常分数值RATAD：

式中，a_nd表示用户行为数据中第d个等时长片段的第n个用户行为，P(a_dn)表示概率转移矩阵M中第d个等时长片段的第n个用户行为对于的状态转换概率。

其中，在一个实施例中，在得到所有用户的基于时间行为驱动的异常分数值之后，根据这些异常分数值设定一个阈值。如果某个用户的异常分数大于该阈值，则认为其为潜在威胁用户。

其中可选的，根据多域行为驱动，进行用户行为数据的检测的步骤进一步包括：基于用户行为数据的多域特征，利用孤立森林模型，对用户行为数据进行异常检测；其中，孤立森林模型为预先通过对多个用户在多域的行为分别提取行为特征，并基于各个域对应的行为特征进行建模获取的。

可以理解为，如图4所示，为根据本发明实施例一种网络内部威胁的检测方法中多域异常检测的流程图，图中从多个用户的行为的多个域对用户行为进行行为特征提取，并根据提取的行为特征对这些用户的行为进行建模。然后，根据行为的时间不同，将用户行为分成了不同时段的子行为特征。最后基于用户行为数据的这些多域特征，依次利用主成分分析法和孤立森林法，在上述的多个域进行对应用户异常行为的检测。

其中，从多个域对用户的行为进行建模时，首先对于用户行为的多个域，获取包括待测试用户在内的多个用户在每个域的行为特征，然后基于这些用户的行为特征，采用孤立森林法进行建模，得到孤立森林模型。

其中孤立森林法是一种基于Ensemble的快速异常检测方法，具有线性时间复杂度和高精准度，是符合大数据处理要求的最新式的算法。异常可以表示为容易被孤立的离群点，可以理解为分布稀疏且离密度高的群体较远的点。孤立森林法可以假设为是用一个随机超平面来切割数据空间，由于切割是随机的，所以需要用蒙特卡洛方法来得到一个收敛值，即反复从头开始切，然后平均每次切的结果。孤立森林由t个孤立树iTree组成，每个iTree是一个二叉树结构，其一般实现步骤如下：

步骤1，从训练数据中随机选择Ψ个点样本点作为subsample，放入树的根节点；

步骤2，随机指定一个维度，在当前节点数据中随机产生一个切割点p，切割点产生于当前节点数据中指定维度的最大值和最小值之间；

步骤3，以此切割点生成一个超平面，然后将当前节点数据空间划分为2个子空间：把指定维度里小于p的数据放在当前节点的左子节点，把大于等于p的数据放在当前节点的右子节点；

步骤4，在子节点中递归步骤2和3，不断构造新的子节点，直到子节点中只有一个数据(无法再继续切割)或子节点已到达限定高度。

获得t个iTree之后，孤立森林训练结束。然后用生成的iForest来评估测试数据。对于一个训练数据x，令其遍历每一棵iTree，然后计算x最终落在每个树第几层(x在树的高度)。最后得出x在每棵树的高度平均值。值得注意的是，如果x落在一个节点中含多个训练数据，可以使用一个公式来修正x的高度计算。

具体在本发明实施例中，训练数据x是每个用户的用户行为数据。

获得每个测试数据的average path length后，我们可以设置一个阈值(边界值)，average path length低于此阈值的测试数据即为异常。

其中可选的，根据上述实施例中的多域包括开机、关机、浏览网页、插拔优盘和拷贝文件中的至少两个。

例如，将用户的行为分为五个域，分别是开机、关机、浏览网页、插拔优盘和拷贝文件。分别统计每个域用户的行为次数，然后使用孤立森林算法来进行内部威胁的检测。

其中，对于开机/关机行为，正常用户都是在上班时间开机进行工作，下班时间关机。但是有些用户在非工作时间进行开关机操作，这种行为是可疑的，将其作为异常行为的一个特征。

其中，对于插拔优盘行为，注意到类似于优盘的可移动设备是偷窃信息的最主要方法，通过跟踪优盘的插拔行为，可以得到一些信息流向的信息，从而发现威胁人员的异常操作。

其中，对于文件拷贝行为，很多公司重要的信息都是以文件的方式存储，如果一段时间存在大量的文件拷贝行为，那应该怀疑该行为的动机，将这个行为作为内部威胁检测的特征。

本发明实施例提供的一种网络内部威胁的检测方法，从多个域对用户的行为进行建模，并根据行为的时间不同分成不同的行为特征，相比于现有单域检测，本发明的方法能够获得用户更多的信息，使得更具体的刻画用户的行为画像，更详细的对用户进行建模，从而提高识别的准确率。

其中可选的，基于用户行为数据的多域特征，利用孤立森林模型，对用户行为数据进行异常检测的步骤进一步包括：

按照不同时间段，对用户行为数据的多域特征进行切分，获取不同时间段的子行为特征；

基于子行为特征，统计用户在不同时间段内每个域的行为次数，并对用户行为数据的多域特征进行降维处理；

基于降维处理后的多域特征，利用孤立森林模型，获取用户对应的基于多域行为驱动的异常分数值。

可以理解的是，本实施例为了给用户的行为建模，将用户行为数据按照时间段切分成不同的特征行为。即，在不同分时间段分别获取该分时间段的子行为特征。时间分段例如，可以将一天的24小时进行分段如下，(0:00-06:00)、(06:00-12:00)、(12:00-18:00)和(18:00-24:00)。则对于任一分时间段，分别获取该分时间段内用户在所有域的行为特征，即子行为特征。

然后，在根据上述步骤获得用户在每个时间段每个域的子行为特征后，针对不同时间段，根据这些子行为特征，对用户在每个域的行为次数进行统计。之后，根据统计所得用户的行为次数，利用预先建立的孤立森林模型，获取任一用户的异常分数值，即该用户对应的基于多域行为驱动的异常分数值。

其中，在一个实施例中，基于子行为特征，统计用户在不同时间段内每个域的行为次数，并对用户行为数据的多域特征进行降维处理的步骤进一步包括：

对于每个域，基于子行为特征，统计用户在不同时间段内对应行为出现的最大次数，以及该最大次数出现的次数；

基于最大次数和最大次数出现的次数，利用主成分分析法，对用户行为数据的多域特征进行降维处理。

可以理解为，在根据上述实施例得到用户在每个时间段每个域的子行为特征后，对于每一个行为域，统计用户在每个时间段内对该行为域所对应行为执行的次数，并根据对每个时间段内该行为次数的统计，确定在所有时间段中各时间段该行为被执行的最大次数(max)，以及该最大次数在所有时间段中出现的次数(mode)。

例如，对于行为域为登录域的情况，分别统计用户在每个时间段内登录操作的总次数。之后，根据每个时间段对应的登录操作的总次数，确定一个最大值，即在所有不同时间段内，登录操作出现的最大次数。

可以理解的是，对于多个时间段，该最大次数可能在不同时间段均会出现。例如，对于上述登录域，用户在多个不同的时间段，执行登录操作的次数可能相同，且该次数也是所有时间段对应操作次数的最大值，最大次数出现的次数同样能反应用户的行为特性，因此，还需对上述最大次数出现的次数进行统计。

之后，采用主成分分析法(PCA)，对这些用户特征进行降维处理，达到消除噪声获取关键特征的效果。

最后，由于内部威胁问题本身的复杂性，很难正确的判断一个内部威胁者的身份，本发明实施例采用孤立森林(Isolation Forest)来进行检测。孤立森林是一个基于Ensemble的快速异常检测方法，具有线性时间复杂度和高精准度。该算法具有较低的复杂度，并且在实际应用中能够达到较好的效果。

将上述得到的行为特征作为孤立森林模型的输入，为每个用户输出一个异常分数值RADAD，即基于多域行为驱动的异常分数值。其中，如果某个用户的基于多域行为驱动的异常分数值超过了设定阈值，则该用户被判定是潜在内部威胁人员。

其中，根据上述实施例，利用熵权法，将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合的步骤进一步包括：

基于用户的基于时间行为驱动的异常分数值，依次进行标准化处理和求信息熵运算，获取第一信息熵，并基于用户的基于多域行为驱动的异常分数值，依次进行标准化处理和求信息熵运算，获取第二信息熵；

基于第一信息熵和第二信息熵，计算基于时间行为驱动的异常分数值和基于多域行为驱动的异常分数值分别对应的权重系数；

根据基于时间行为驱动的异常分数值和基于多域行为驱动的异常分数值，以及权重系数，计算用户的综合异常分数；

基于设定异常阈值和用户的综合异常分数，确定网络内部威胁。

可以理解的是，本实施例采用熵权法来对上述两项检测得到的异常分数进行融合，以达到更高的精确率。其中熵权法表示，按照信息论基本原理的解释，信息是系统有序程度的一个度量，熵是系统无序程度的一个度量。如果指标的信息熵越小，该指标提供的信息量越大，在综合评价中所起作用理当越大，权重就应该越高。具体在本发明实施例中，通过分别对基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值计算信息熵，根据其分别对应的信息熵，确定其提供信息量的大小，进而确定其在进行数据融合时分别对应的权重。

具体而言，首先将上述基于时间行为驱动的异常分数值和基于多域行为驱动的异常分数值分别进行标准化处理。具体的，对于给定的S个指标U₁,U₂,…,U_s,...,U_S，本实施例中S＝2，指标U₁、U₂分别为RATAD和RADAD，假设有E个用户，则U_s＝{u_s1,u_s2,…,u_se…,u_sE}。设对各个指标进行标准化处理后的值为V₁,V₂,…,V_s…,V_S。其中：

本实施例中S取2时，V₁表示标准化处理后的基于时间行为驱动的异常分数值，V₁表示标准化处理后的基于多域行为驱动的异常分数值。

之后，获取标准化后的各指标数据的信息熵。其中，信息熵计算如下：

式中，p_se表示第e个用户的第s个指标的标准化分数值占所有用户的标准化分数值的比率，V_se表示第e个用户的第s个指标的标准化分数值，E表示总的用户数，S表示待融合指标数，本实施例中取2。

然后，根据上述信息熵的计算公式，计算出各个指标的信息熵为H₁,H₂,…,H_s…,H_S。本实施例中，根据基于时间行为驱动的异常分数值计算得到的是H₁，为第一信息熵，根据基于多域行为驱动的异常分数值计算得到的是H₂，为第二信息熵。

通过各指标信息熵，即第一信息熵和第二信息熵，计算各指标的权重：

本实施例中S取2，则根据上式计算得到W₁为基于时间行为驱动的异常分数值对应的权重系数，W₂为基于多域行为驱动的异常分数值对应的权重系数。

最后，基于各个指标的权重和各指标值，即本发明实施例的基于时间行为驱动的异常分数值RATAD和基于多域行为驱动的异常分数值RADAD，获取用户最后的异常分数如下：

式中，u_se表示第e个用户的第s个指标获得的分数，W_s表示表示第s个指标的权重。

在得到最终的异常分数R_e后，设定一个阈值，如果任一用户的最终异常分数大于该阈值，则认为该用户是威胁用户，小于该阈值则认为该用户是正常用户。

作为本发明实施例的另一个方面，本实施例根据上述实施例提供一种网络内部威胁的检测系统，参考图5，为本发明实施例一种网络内部威胁的检测系统的结构示意图，包括：多域异常行为检测模块1、时间序列异常检测模块2和信息融合模块3。

其中，多域异常行为检测模块1用于基于用户行为数据的不同特征，根据多域行为驱动，进行用户行为数据的检测；时间序列异常检测模块2用于基于用户行为数据的不同特征，根据时间行为驱动，进行用户行为数据的检测；信息融合模块3用于根据对用户行为数据的多域行为驱动检测结果和时间行为驱动检测结果，利用熵权法，将检测结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合，确定网络内部威胁。

可以理解的是，该系统用于在上述各方法实施例中实现对网络内部威胁的检测。因此，在上述各实施例中的网络内部威胁的检测方法中的描述和定义，可以用于本发明实施例中各个执行模块的理解。

可以理解的是，本发明实施例中可以通过硬件处理器(hardware processor)来实现相关功能模块。

本发明实施例提供的一种网络内部威胁的检测系统，通过设置相应的功能单元，从多域行为驱动和时间行为驱动两个维度对内部威胁进行多维度的检测，并通过无监督的熵权法对多维度的检测结果进行融合，能够从不同的维度全面的对用户行为进行建模，从而更全面和更准确的识别内部威胁人员，减少误判率。同时，能有效提高运算过程的普适性，并有效降低运算的时间复杂度和空间复杂度。相比传统的检测方法，覆盖率更高，识别结果有更高的鲁棒性，并能降低成本开销。

作为本发明实施例的又一个方面，本实施例根据上述实施例提供一种电子设备，参考图6，为本发明实施例一种电子设备的结构框图，包括：至少一个存储器601、至少一个处理器602、通信接口603和总线604。

其中，存储器601、处理器602和通信接口603通过总线604完成相互间的通信，通信接口603用于电子设备与用户行为数据获取单元之间的信息传输；存储器601中存储有可在处理器602上运行的计算机程序，处理器602执行所述计算机程序时，实现如上述实施例所述的网络内部威胁的检测方法。

可以理解为，所述的电子设备中至少包含存储器601、处理器602、通信接口603和总线604，且存储器601、处理器602和通信接口603通过总线604形成相互之间的通信连接，并可完成相互间的通信。

通信接口603实现该电子设备与用户行为数据获取单元之间的通信连接，并可完成相互间信息传输，如通过通信接口603实现对用户行为数据的获取等。

电子设备运行时，处理器602调用存储器601中的程序指令，以执行上述各方法实施例所提供的方法，例如包括：基于用户行为数据的不同特征，分别根据多域行为驱动和时间行为驱动，进行所述用户行为数据的多维度检测；以及采用改进的马尔可夫算法，对用户行为进行建模，并基于所建立的模型，对所述用户行为数据进行基于行为时间序列的异常检测等。

本发明另一个实施例中，提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行如上述实施例所述的网络内部威胁的检测方法。

可以理解为，上述的存储器601中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。或者，实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所描述的电子设备的实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，既可以位于一个地方，或者也可以分布到不同网络单元上。可以根据实际需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上实施方式的描述，本领域的技术人员可以清楚地了解，各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如U盘、移动硬盘、ROM、RAM、磁碟或者光盘等，包括若干指令，用以使得一台计算机设备(如个人计算机，服务器，或者网络设备等)执行上述各方法实施例或者方法实施例的某些部分所述的方法。

本发明实施例提供的一种电子设备和一种非暂态计算机可读存储介质，通过从多域行为驱动和时间行为驱动两个维度对内部威胁进行多维度的检测，并通过无监督的熵权法对多维度的检测结果进行融合，能够从不同的维度全面的对用户行为进行建模，从而更全面和更准确的识别内部威胁人员，减少误判率。同时，能有效提高运算过程的普适性，并有效降低运算的时间复杂度和空间复杂度。相比传统的检测方法，覆盖率更高，识别结果有更高的鲁棒性，并能降低成本开销。

另外，本领域内的技术人员应当理解的是，在本发明的申请文件中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本发明的说明书中，说明了大量具体细节。然而应当理解的是，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。类似地，应当理解，为了精简本发明公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。

然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种网络内部威胁的检测方法，其特征在于，包括：

基于用户行为数据的不同特征，分别根据多域行为驱动和时间行为驱动，进行所述用户行为数据的多维度检测；

利用熵权法，将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合，确定网络内部威胁；

其中，根据时间行为驱动，进行所述用户行为数据的检测的步骤进一步包括：

利用建立的所述马尔可夫模型，对所述用户行为数据进行基于行为时间序列的异常检测；

其中，所述行为时间序列表示，将所述用户行为数据按时间先后进行排序形成的时间序列；

其中，所述利用马尔可夫算法，对用户行为进行建模，获取用户行为的马尔可夫模型的步骤进一步包括：

将用户行为看作一个随机量，基于所述训练数据，估计所述用户行为空间中每个用户行为从历史行为中生成的概率；

基于所述用户行为空间中所有用户行为对应的所述概率，构成概率转移矩阵；

基于所述概率转移矩阵，获取用户行为的所述马尔可夫模型；

其中，所述历史行为表示所述训练数据中，当前计算数据之前的行为数据对应的用户行为；

所述利用建立的所述马尔可夫模型，对所述用户行为数据进行基于行为时间序列的异常检测的步骤进一步包括：

按照设定时长，将所述用户行为数据切分成多个等时长的片段，构成多个行为时间序列；

基于所有所述行为时间序列和所述马尔可夫模型的概率转移矩阵，获取用户对应的所述基于时间行为驱动的异常分数值。

2.根据权利要求1所述的方法，其特征在于，根据多域行为驱动，进行所述用户行为数据的检测的步骤进一步包括：

基于所述用户行为数据的多域特征，利用孤立森林模型，对所述用户行为数据进行异常检测；

其中，所述孤立森林模型为预先通过对多个用户在所述多域的行为分别提取行为特征，并基于各个域对应的所述行为特征进行建模获取的。

3.根据权利要求2所述的方法，其特征在于，所述基于所述用户行为数据的多域特征，利用孤立森林模型，对所述用户行为数据进行异常检测的步骤进一步包括：

按照不同时间段，对所述用户行为数据的多域特征进行切分，获取不同时间段的子行为特征；

基于所述子行为特征，统计用户在不同时间段内每个域的行为次数，并对所述用户行为数据的多域特征进行降维处理；

基于降维处理后的多域特征，利用所述孤立森林模型，获取用户对应的所述基于多域行为驱动的异常分数值。

4.根据权利要求3所述的方法，其特征在于，所述基于所述子行为特征，统计用户在不同时间段内每个域的行为次数，并对所述用户行为数据的多域特征进行降维处理的步骤进一步包括：

对于每个域，基于所述子行为特征，统计用户在不同时间段内对应行为出现的最大次数，以及所述最大次数出现的次数；

基于所述最大次数和所述最大次数出现的次数，利用主成分分析法，对所述用户行为数据的多域特征进行降维处理。

5.根据权利要求1所述的方法，其特征在于，所述利用熵权法，将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合的步骤进一步包括：

基于用户的所述基于时间行为驱动的异常分数值，依次进行标准化处理和求信息熵运算，获取第一信息熵，并基于用户的所述基于多域行为驱动的异常分数值，依次进行标准化处理和求信息熵运算，获取第二信息熵；

基于所述第一信息熵和所述第二信息熵，计算所述基于时间行为驱动的异常分数值和所述基于多域行为驱动的异常分数值分别对应的权重系数；

基于所述基于时间行为驱动的异常分数值和所述基于多域行为驱动的异常分数值，以及所述权重系数，计算用户的综合异常分数；

基于设定异常阈值和用户的所述综合异常分数，确定网络内部威胁。

6.一种网络内部威胁的检测系统，其特征在于，包括：

多域异常行为检测模块，用于基于用户行为数据的不同特征，根据多域行为驱动，进行所述用户行为数据的检测；

时间序列异常检测模块，用于基于所述用户行为数据的不同特征，根据时间行为驱动，进行所述用户行为数据的检测；

信息融合模块，用于根据对所述用户行为数据的多域行为驱动检测结果和时间行为驱动检测结果，利用熵权法，将检测结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合，确定网络内部威胁；

所述多域异常行为检测模块，还包括：利用马尔可夫算法，对用户行为进行建模，获取用户行为的马尔可夫模型；

7.一种电子设备，其特征在于，包括：至少一个存储器、至少一个处理器、通信接口和总线；

所述存储器、所述处理器和所述通信接口通过所述总线完成相互间的通信，所述通信接口用于所述电子设备与用户行为数据获取单元之间的信息传输；

所述存储器中存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现如权利要求1至5中任一所述的方法。