CN111967011B - 一种基于可解释的内部威胁评估方法 - Google Patents

一种基于可解释的内部威胁评估方法 Download PDF

Info

Publication number
CN111967011B
CN111967011B CN202010661920.3A CN202010661920A CN111967011B CN 111967011 B CN111967011 B CN 111967011B CN 202010661920 A CN202010661920 A CN 202010661920A CN 111967011 B CN111967011 B CN 111967011B
Authority
CN
China
Prior art keywords
data
interpretable
user behavior
model
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010661920.3A
Other languages
English (en)
Other versions
CN111967011A (zh
Inventor
陈爱国
赵太银
郑旭
罗光春
李思宁
孙迪克
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Electronic Science and Technology of China
Original Assignee
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Electronic Science and Technology of China filed Critical University of Electronic Science and Technology of China
Priority to CN202010661920.3A priority Critical patent/CN111967011B/zh
Publication of CN111967011A publication Critical patent/CN111967011A/zh
Application granted granted Critical
Publication of CN111967011B publication Critical patent/CN111967011B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/049Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Computational Linguistics (AREA)
  • Molecular Biology (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于可解释的内部威胁评估方法,其主旨在于解决神经网络在对待测数据进行威胁评估时对其结果无法解释的问题,本发明基于序列生成模型,通过简单的笛卡尔积、频率统计和邻接矩阵对异构数据进行了处理,从而生成了高数据利用率和行为覆盖率的用户行为序列,极大地降低了数据的冗余,提高了数据的处理速度。同时,基于可解释的威胁评估方法,能够对评估结果进行解释,从而辅助内部管理人员进行威胁复核,并以此作为评估模型更新的数据集,满足了评估模型的适应性更改,同时提高了威胁评估的检测精度。

Description

一种基于可解释的内部威胁评估方法
技术领域
本发明涉及异常检测领域,特别涉及一种基于可解释的内部威胁评估方法。
背景技术
近年来,随着信息技术的飞速发展,越来越多的政府机构和企业都在大力地推进信息化建设,而由此所带来的信息泄露、隐私侵犯和财产损失等问题也愈发的严重。企业和公司为了减轻网络安全所带来的经济损失,投入大量资金部署防火墙、杀毒软件、入侵检测系统等安全产品。但是,此类措施仅能抵御来自互联网的外部攻击,对于来自组织内部的攻击时便难以发挥作用。如何对内部威胁进行有效地处理已然成为一个亟待解决的难题。
为了能够从海量的异构数据中提取出威胁行为,找出数据间的区别与联系,异常检测作为一种新的方法出现在人们的视线中,并在内部威胁的检测中被广泛使用。
基于神经网络的检测模型在当前的异常检测中占据着举足轻重的地位,同时也得到了人们的广泛关注。神经网络通常用于处理序列数据,并具有良好的性能。
LSTM网络是1997年由Hochreiter等人提出的一种特殊的RNN网络,由于独特的设计结构,LSTM适合于处理和预测时间序列中间隔和延迟非常长的重要事件,至今仍然被广泛地应用于各种需要对序列进行处理的场景之中。但是,在对内部威胁的检测当中,不但需要对异常的行为序列进行检测,还需要对检测的结果进行进一步的解释,从而达到减少误报率,提升网络检测准确率的目的。因此,模型的可解释技术就显得至关重要。
模型的可解释技术,可以通过查看训练后的神经网络对哪些输入进行了学习,并基于该说明性反馈,移除“坏”的特征,再重新对模型进行训练,从而得到更为精确的模型。逐层相关性传播LRP是适用于结构化神经网络的模型解释技术,其中输入可以是图像、视频或文本。LRP通过特意设计的局部传播规则在神经网络中反向传播预测结果f(x)来运行,以计算每个特征对模型决策结果的影响权重。
现有的内部威胁检测,并没有对检测的结果进行解释,从而导致检测模型无法通过检测结果提升模型的检测精度。同时,检测模型也无法根据企业和公司工作内容的改变而适应性更改,导致检测模型仅能对一段时间内的内部威胁进行检测,而无法长期有效地进行检测。
将模型可解释技术与LSTM网络相结合,可以对检测结果进行合理地解释,从而形成具有相当价值的标记训练数据,为检测模型的精度提升提供数据支撑。同时,将模型的动态更新技术应用于内部威胁检测之中,可以提高检测模型的适应性,从而实现长期有效保护内部网络安全的目的。因此,基于可解释的内部威胁评估方法,可以有效地提升现有内部威胁检测系统的检测精度和适应性。
发明内容
为了能够更好的解决内部威胁检测模型在处理异构数据下的不可解释以及适应性不高的问题,本发明提出了一种基于可解释的内部威胁评估方法。它采用逐层相关性传播LRP对LSTM网络的检测结果进行反向计算,从而实现了对检测结果的解释。同时,利用模型动态更新技术,对评估模型进行动态更新,从而使得评估模型在具有较高检测精度的前提下具有更好的适应性。
本发明基于可解释的内部威胁评估方法,包括如下步骤:
S1:基于异构数据(包括异构的敏感数据日志和员工的详细信息数据)D={D1,D2,…,Dm}构造具有可读性属性的用户行为序列V=(v1,v2,…,vn),并由此作为下一阶段的输入,进行内部威胁的评估。具体的子流程如下:
S11:在内部网络各个属地中心中启动数据采集任务,分别从区块链节点中获取该节点的敏感数据日志,从属地中心本地数据库中获取员工的详细信息数据,通过属性抽取函数extraActive()对敏感数据日志中的行为进行抽取,并通过笛卡尔乘的方法生成具有可读性的用户行为序列属性;通过用户关系矩阵提取函数generateMatrix()对员工的详细信息数据进行处理,生成用于描述用户之间关系的邻接矩阵;
S12:根据用户行为序列属性和用于描述用户之间关系的邻接矩阵,利用频率统计的思想,通过数据转换算法为不同的异构数据生成行为子序列。最终,将各个异构数据生成的子序列进行合并,得到用户行为序列;
S13:现阶段由于缺乏数据,所以采用的是公开数据集,但是一旦该方法投入使用之后,就采用按照步骤S11提取异构数据,并按照步骤S12进行数据处理。这里,对卡内基梅隆大学(CMU)的内部威胁研究中心与ExactData,LLC合作,在美国国防部高级研究计划局的赞助下,以真实企业环境为背景生成的一组综合内部威胁测试数据集CERT-IT中的v4.2版本进行步骤S11和步骤S12的数据处理后,将得到的用户行为序列按预设比例进行训练集和测试集的划分,并通过训练集来训练检测模型。最后将测试集中的用户行为序列送入4层LSTM进行检测,得到内部威胁的检测结果,并将中间结果,模型参数与检测结果保存在数据库中,供下一阶段使用。
S2:基于内部威胁的检测结果,利用可解释算法对内部威胁的检测结果进行反向计算,从而产生可解释的评估结果。具体的子流程如下:
S21:对于4层LSTM的内部威胁的检测结果,通过基于LSTM的可解释算法对检测结果进行反向计算,从而得到输入用户行为序列各个属性编号对检测结果的相关性系数;
S22:对所有相关性系数进行排序,并根据数据库中的属性编码表生成与检测结果最为相关的前十项属性列表,即为可解释的内部威胁评估结果。
S3:根据可解释的内部威胁评估结果,结合系统管理人员对威胁行为的复核,产生最终的内部威胁数据集,并以此为训练集对评估模型进行训练,完成评估模型的适应性更新,提高评估的准确性。其中,评估模型是由检测模型和反向计算算法组合而成的综合模型。具体的子流程如下:
S31:系统管理员按照威胁定义,对评估结果进行复核,同时对每条相关联的用户行为序列进行标记;
S32:根据预先设定的检测模型更新周期,统计新周期内的已标记的用户行为序列;
S33:利用已标记的新周期内的用户行为序列为训练数据,训练新的检测模型,并淘汰最早周期的检测模型,完成检测模型的适应性更新。
本发明提供的一种基于可解释的内部威胁评估方法,能很好地解决内部威胁检测结果不可解释的问题。采用模型的动态更新技术,通过简单的数据划分和数据替换方式对训练数据进行切割,并对每个划分单独训练检测模型,极大地提高了评估模型的适应性和有效性。
附图说明
图1为本发明方法的框架图;
图2为本发明用户行为序列示例;
图3基于LSTM的可解释算法流程图;
图4为基于LSTM的可解释算法示意图;
图5为反向计算流程示意图;
图6为内部威胁评估模型动态更新算法流程图;
图7为内部威胁评估模型动态更新算法示意图;
图8为本发明评估结果示意图。
具体实施方式
下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
如上所述,本发明所提供的一种基于可解释的内部威胁评估方法,能很好地解决内部威胁检测结果不可解释的问题。采用模型的动态更新技术,通过简单的数据划分和数据替换方式对训练数据进行切割,并对每个划分单独训练检测模型,极大地提高了评估模型的适应性和有效性。
在执行算法之前,需要根据具体场景对一些参数进行初始化,如对LSTM网络的学习率、隐藏层维度以及迭代轮数等参数进行设置,训练数据Train_data和测试数据Test_data按行存储在数据库之中。这里我们以CMU-CERTv4.2数据集为例,该数据集模拟了一个组织1000名员工在17个月的日常活动并形成了不同活动的日志,在17个月的时间跨度中,1000个用户总共生成了32,770,227条日志行,其中包含有7323个由领域专家手动注入的威胁活动实例。经过对数据的预处理,总共生成286维的用户行为序列共计376968条,其中包含威胁序列1564条。具体的数据格式如表1所示,主要由用户行为Active、主题Topic和离散信息Disperse组成。在本例中学习率取0.01,隐藏层维度取256-128-64-32,迭代轮数取1000。
表1用户行为序列数据格式
Figure BDA0002578883200000041
参考图1,本发明的具体步骤包括:S1:基于异构数据D={D1,D2,...,Dm}构造具有可读性属性的用户行为序列V=(v1,v2,...,vn),并由此作为下一阶段的输入,进行内部威胁的评估;它的思想是:首先根据异构数据的不同类型,通过对数据集进行提取、结合、筛选等预处理,从而形成用户行为序列。并在此基础上通过二八原则,将数据集划分为训练集和测试集,并以月为单位将训练集和测试集分为17片,分别训练17个检测模型。S2:基于内部威胁的检测结果,利用可解释算法对检测结果进行反向计算,从而产生可解释的评估结果;S3:根据可解释的评估结果,结合系统管理人员对威胁行为的复核,产生最终的内部威胁数据集,并以此为训练集对评估模型进行训练,完成评估模型的适应性更新,提高评估的准确性。
S1:基于异构数据D={D1,D2,...,Dm}构造具有可读性属性的用户行为序列y=(v1,v2,...,vn),并由此作为下一阶段的输入,进行内部威胁的评估;具体的子流程如下:
S11:在内部网络各个属地中心中启动数据采集任务,分别从区块链节点中获取该节点的敏感数据日志,从属地中心本地数据库中获取员工的详细信息数据,通过属性抽取函数extraActive()对敏感数据日志中的行为进行抽取,并通过笛卡尔乘的方法生成并筛选具有可读性的用户行为序列属性;通过用户关系矩阵提取函数generateMatrix()对员工的详细信息数据进行处理,生成用于描述用户之间关系的邻接矩阵;
S12:根据用户行为序列属性和用于描述用户之间关系的邻接矩阵,利用频率统计的思想,通过数据转换算法为不同的异构数据生成行为子序列。其中,数据转换算法分别为离散信息转换算法(从原始数据中提取出用户的入职时间、在职时间、所属部门等离散信息)、可读性子序列生成算法(根据用户行为序列属性,进行频率统计)、主题子序列生成算法(从原始数据中提取出于主题相关内容,利用LDA进行主题分类)和可达性分析算法(从原始数据中提取出用户之间的关系矩阵和用户邮件行为)。最终,将各个异构日志生成的子序列进行合并,得到用户行为序列,形式如参考图2所示;
S13:对数据集进行划分,并分别训练检测模型。将用户行为序列送入训练好的检测模型的4层LSTM进行检测,得到检测结果,并将中间结果,模型参数与检测结果保存在数据库中,供下一阶段使用。
参考图3与图4,本发明的S2中基于LSTM的可解释算法,将S1中的检测结果,以及LSTM的模型参数和中间输出结果作为此阶段的输入,具体的子流程如下:
S21:反向计算
对于4层LSTM的检测结果,通过基于LSTM的可解释算法对检测结果利用公式
Figure BDA0002578883200000051
Figure BDA0002578883200000052
进行反向计算,其中Rj表示相关性,
Figure BDA0002578883200000053
表示第l+1层第k个节点的相关性分数,xi表示序列输入,wi表示神经网络不同层的权重,zj表示各层神经元的输出,m表示与当前节点相关的节点数,sign(x)表示符号函数,上标l和l+1表示层数,Rk→j表示将第l+1层各个节点的相关性分数传播到第l层的第J个神经元上,ε为一个极小的不为0的数,wk,j神经元k与神经元j之间的权重,当x>0时sign(x)=1,当x<0时sign(x)=-1,当x=0时sign(x)=0。从而得到输入用户行为序列各个属性编号对检测结果的相关性系数,具体流程如图5所示;
S22:属性对照
反向计算完成后,对所有相关性系数进行排序,并根据数据库中的属性编码表生成与检测结果最为相关的前十项属性列表,即为可解释的内部威胁评估结果。
参考图6与图7,本发明的S3根据可解释的评估结果,结合系统管理人员对威胁行为的复核,产生最终的内部威胁数据集,并以此为训练集对评估模型进行训练,完成评估模型的适应性更新,提高评估的准确性。在此阶段,需要对固定时间段内的检测结果及复核结果进行保存。当到达指定的时间跨度时,即本例中的一个月跨度,则将该跨度内的所有数据分为训练集和测试集,训练新的检测模型,并替换最早时间的检测模型,从而完成检测模型的动态更新。具体的子流程如下:
S31:结果复核
系统管理员按照威胁定义,对评估结果进行复核,其中,评估结果如图8所示,其中,第一列的编号表示该属性在用户行为序列中的位置;第二列表示当前属性的名称,即存在威胁的具体行为;第三列表示各个属性对于最终结果评估为威胁的相关性得分;最后一行则表示该条用户行为序列的编号以及对应的员工编号和产生日期。同时对每条相关联的用户行为序列进行标记;
S32:数据积累
根据预先设定的检测模型更新周期,统计新周期内的已标记的用户行为序列;
S33:动态更新
利用已标记的新周期内数据为训练数据,训练新的检测模型,并淘汰最早周期的检测模型,完成检测模型的适应性更新。最终使用新的检测模型对待测序列进行检测,从而得到检测结果。
综上所述,本发明提供了一种基于可解释的内部威胁评估方法,以上说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均有改变之处,综上所述,本说明书的内容不应该被理解为对本发明的限制。因此,在不偏离本发明的精神和范围的情况下,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附的权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

Claims (5)

1.一种基于可解释的内部威胁评估方法,其特征在于,该方法包括以下步骤:
S1:基于异构数据D={D1,D2,…,Dm}构造具有可读性属性的用户行为序列V=(v1,v2,…,vn),并由此作为下一阶段的输入,进行内部威胁的评估,其中,所述异构数据包括异构的敏感数据日志和员工的详细信息数据,具体的子流程如下:
S11:在内部网络各个属地中心中启动数据采集任务,分别从区块链节点中获取该节点的敏感数据日志,从属地中心本地数据库中获取员工的详细信息数据,通过属性抽取函数extra Active()对敏感数据日志中的行为进行抽取,并通过笛卡尔乘的方法生成具有可读性的用户行为序列属性;通过用户关系矩阵提取函数generateMatrix()对员工的详细信息数据进行处理,生成用于描述用户之间关系的邻接矩阵;
S12:根据用户行为序列属性和用于描述用户之间关系的邻接矩阵,利用频率统计的思想,通过数据转换算法为不同的异构数据生成行为子序列,最终,将各个异构数据生成的子序列进行合并,得到用户行为序列;
S13:现阶段由于缺乏数据,所以采用的是公开数据集,但是一旦该方法投入使用之后,就采用按照步骤S11提取异构数据,并按照步骤S12进行数据处理;这里,对卡内基梅隆大学(CMU)的内部威胁研究中心与ExactData,LLC合作,在美国国防部高级研究计划局的赞助下,以真实企业环境为背景生成的一组综合内部威胁测试数据集CERT-IT中的v4.2版本进行所述步骤S11和所述步骤S12的数据处理后,按预设比例将得到的用户行为序列进行训练集和测试集的划分,并以月为单位将训练集和测试集分为17片,每片训练集训练一个检测模型,最后将对应月的测试集中的用户行为序列送入该月对应的检测模型的4层LSTM进行检测,得到内部威胁的检测结果,并将中间结果,模型参数与检测结果保存在数据库中,供下一阶段使用;
S2:基于内部威胁的检测结果,利用可解释算法对内部威胁的检测结果进行反向计算,从而产生可解释的评估结果,具体的子流程如下:
S21:对于4层LSTM的内部威胁的检测结果,通过基于LSTM的可解释算法对检测结果进行反向计算,从而得到输入用户行为序列各个属性编号对检测结果的相关性系数;
S22:对所有相关性系数进行排序,并根据数据库中的属性编码表生成与检测结果最为相关的前十项属性列表,即为可解释的内部威胁评估结果;
S3:根据可解释的内部威胁评估结果,结合系统管理人员对威胁行为的复核,产生最终的内部威胁数据集,并以此为训练集对评估模型进行训练,完成评估模型的适应性更新,提高评估的准确性,其中,评估模型是由检测模型和反向计算算法组合而成的综合模型,具体的子流程如下:
S31:系统管理员按照威胁定义,对评估结果进行复核,同时对每条相关联的用户行为序列进行标记;
S32:根据预先设定的检测模型更新周期,统计新周期内的已标记的用户行为序列;
S33:利用已标记的新周期内的用户行为序列为训练数据,训练新的检测模型,并淘汰最早周期的检测模型,完成检测模型的适应性更新;
其中,所述步骤S21具体为,对于4层LSTM的检测结果,通过基于LSTM的可解释算法对检测结果利用公式
Figure FDA0003755843700000021
进行反向计算,其中Rj表示相关性分数,
Figure FDA0003755843700000022
表示第l+1层第k个节点的相关性分数,xi表示序列输入,wi表示神经网络不同层的权重,zj表示各层神经元的输出,m表示与当前节点相关的节点数,sign(x)表示符号函数,上标l和l+1表示神经网络层数,Rk→j表示将第l+1层各个节点的相关性分数传播到第l层的第j个神经元上,ε为一个极小的不为0的数,wk,j表示神经元k与神经元j之间的权重,当x>0时sign(x)=1,当x<0时sign(x)=-1,当x=0时sign(x)=0,从而得到输入用户行为序列各个属性编号对检测结果的相关性系数。
2.根据权利要求1所述的基于可解释的内部威胁评估方法,其特征在于,所述步骤S11中所述敏感数据日志的数据格式由用户行为Active、主题Topic和离散信息Disperse组成。
3.根据权利要求2所述的基于可解释的内部威胁评估方法,其特征在于,所述步骤S12中所述数据转换算法包括离散信息转换算法,用于从异构数据中提取出用户的入职时间、在职时间、所属部门在内的离散信息;可读性子序列生成算法,用于根据用户行为序列属性,进行频率统计;主题子序列生成算法,用于从异构数据中提取出于主题相关内容;利用LDA进行主题分类和可达性分析算法,用于从异构数据中提取出用户之间的关系矩阵和用户邮件行为。
4.根据权利要求3所述的基于可解释的内部威胁评估方法,其特征在于,所述步骤S13中所述预设比例为2:8,所述检测模型的学习率取0.01,4层LSTM的隐藏层维度分别取256,128,64,32,迭代轮数取1000。
5.根据权利要求4所述的基于可解释的内部威胁评估方法,其特征在于,所述步骤S32中检测模型更新周期为一个月。
CN202010661920.3A 2020-07-10 2020-07-10 一种基于可解释的内部威胁评估方法 Active CN111967011B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010661920.3A CN111967011B (zh) 2020-07-10 2020-07-10 一种基于可解释的内部威胁评估方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010661920.3A CN111967011B (zh) 2020-07-10 2020-07-10 一种基于可解释的内部威胁评估方法

Publications (2)

Publication Number Publication Date
CN111967011A CN111967011A (zh) 2020-11-20
CN111967011B true CN111967011B (zh) 2022-10-14

Family

ID=73362298

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010661920.3A Active CN111967011B (zh) 2020-07-10 2020-07-10 一种基于可解释的内部威胁评估方法

Country Status (1)

Country Link
CN (1) CN111967011B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112632564B (zh) * 2020-12-30 2024-04-05 绿盟科技集团股份有限公司 一种威胁评估方法及装置
CN116700206B (zh) * 2023-05-24 2023-12-05 浙江大学 基于多模态神经网络的工业控制系统异常检测方法及装置
CN116957049B (zh) * 2023-09-20 2023-12-15 南京邮电大学 基于对抗自编码器的无监督内部威胁检测方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108900546A (zh) * 2018-08-13 2018-11-27 杭州安恒信息技术股份有限公司 基于lstm的时间序列网络异常检测的方法与装置
CN110636066A (zh) * 2019-09-24 2019-12-31 中国民航大学 基于无监督生成推理的网络安全威胁态势评估方法
CN110999250A (zh) * 2017-06-22 2020-04-10 甲骨文国际公司 在计算机环境中监视特权用户和检测异常活动的技术

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2495679A1 (en) * 2011-03-04 2012-09-05 Accenture Global Services Limited System and method for performing threat assessments using situation awareness
US8793790B2 (en) * 2011-10-11 2014-07-29 Honeywell International Inc. System and method for insider threat detection
US9589245B2 (en) * 2014-04-07 2017-03-07 International Business Machines Corporation Insider threat prediction
CN105516127B (zh) * 2015-12-07 2019-01-25 中国科学院信息工程研究所 面向内部威胁检测的用户跨域行为模式挖掘方法
CN105407103B (zh) * 2015-12-19 2018-06-29 中国人民解放军信息工程大学 一种基于多粒度异常检测的网络威胁评估方法
CN108388969A (zh) * 2018-03-21 2018-08-10 北京理工大学 基于个人行为时序特征的内部威胁人物风险预测方法
CN110287439A (zh) * 2019-06-27 2019-09-27 电子科技大学 一种基于lstm的网络行为异常检测方法
CN110909348B (zh) * 2019-09-26 2022-06-10 中国科学院信息工程研究所 一种内部威胁检测方法及装置
CN110958220B (zh) * 2019-10-24 2020-12-29 中国科学院信息工程研究所 一种基于异构图嵌入的网络空间安全威胁检测方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110999250A (zh) * 2017-06-22 2020-04-10 甲骨文国际公司 在计算机环境中监视特权用户和检测异常活动的技术
CN108900546A (zh) * 2018-08-13 2018-11-27 杭州安恒信息技术股份有限公司 基于lstm的时间序列网络异常检测的方法与装置
CN110636066A (zh) * 2019-09-24 2019-12-31 中国民航大学 基于无监督生成推理的网络安全威胁态势评估方法

Also Published As

Publication number Publication date
CN111967011A (zh) 2020-11-20

Similar Documents

Publication Publication Date Title
CN111967011B (zh) 一种基于可解释的内部威胁评估方法
CN108052576A (zh) 一种事理知识图谱构建方法及系统
CN110880075A (zh) 一种员工离职倾向检测方法
CN107870957A (zh) 一种基于信息增益和bp神经网络的热门微博预测方法
CN107392022A (zh) 爬虫识别、处理方法及相关装置
Yin et al. A real-time dynamic concept adaptive learning algorithm for exploitability prediction
Adi et al. The best features selection method and relevance variable for web phishing classification
CN111126437A (zh) 基于加权动态网络表示学习的异常群体检测方法
Tu et al. Information integration via hierarchical and hybrid Bayesian networks
CN117273516A (zh) 一种基于注意力机制神经网络的绩效评估方法
CN115296933A (zh) 一种工业生产数据风险等级评估方法及系统
He et al. An effective double-layer detection system against social engineering attacks
CN107196942A (zh) 一种基于用户语言特征的内部威胁检测方法
CN117035055A (zh) 一种基于bfl和语义的设备rul预测方法及系统
CN114401135B (zh) 基于LSTM-Attention用户和实体行为分析技术的内部威胁检测方法
Tayebi et al. Organized crime structures in co-offending networks
Leng et al. A Prediction Model of Recidivism of Specific Populations Based on Big Data
Philips et al. Detecting activity-based communities using dynamic membership propagation
Karthika et al. Analyzing various social networking approaches for covert networks
Maeno et al. Stable deterministic crystallization for discovering hidden hubs
Baig et al. One-dependence estimators for accurate detection of anomalous network traffic
Slini et al. Correlation of air pollution and meteorological data using neural networks
Brown et al. Interactive analysis of computer crimes
CN112446542A (zh) 基于注意力神经网络的社交网络链路预测方法
Maeno Node discovery problem for a social network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant