[发明专利]一种网络内部威胁的检测方法、系统及电子设备

权利要求书

1.一种网络内部威胁的检测方法，其特征在于，包括：

基于用户行为数据的不同特征，分别根据多域行为驱动和时间行为驱动，进行所述用户行为数据的多维度检测；

利用熵权法，将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合，确定网络内部威胁；

其中，根据时间行为驱动，进行所述用户行为数据的检测的步骤进一步包括：

利用马尔可夫算法，对用户行为进行建模，获取用户行为的马尔可夫模型；

利用建立的所述马尔可夫模型，对所述用户行为数据进行基于行为时间序列的异常检测；

其中，所述行为时间序列表示，将所述用户行为数据按时间先后进行排序形成的时间序列；

其中，所述利用马尔可夫算法，对用户行为进行建模，获取用户行为的马尔可夫模型的步骤进一步包括：

基于用户的所有行为，构成用户行为空间，并获取用户的一系列行为数据作为训练数据；

将用户行为看作一个随机量，基于所述训练数据，估计所述用户行为空间中每个用户行为从历史行为中生成的概率；

基于所述用户行为空间中所有用户行为对应的所述概率，构成概率转移矩阵；

基于所述概率转移矩阵，获取用户行为的所述马尔可夫模型；

其中，所述历史行为表示所述训练数据中，当前计算数据之前的行为数据对应的用户行为；

所述利用建立的所述马尔可夫模型，对所述用户行为数据进行基于行为时间序列的异常检测的步骤进一步包括：

按照设定时长，将所述用户行为数据切分成多个等时长的片段，构成多个行为时间序列；

基于所有所述行为时间序列和所述马尔可夫模型的概率转移矩阵，获取用户对应的所述基于时间行为驱动的异常分数值。

2.根据权利要求1所述的方法，其特征在于，根据多域行为驱动，进行所述用户行为数据的检测的步骤进一步包括：

基于所述用户行为数据的多域特征，利用孤立森林模型，对所述用户行为数据进行异常检测；

其中，所述孤立森林模型为预先通过对多个用户在所述多域的行为分别提取行为特征，并基于各个域对应的所述行为特征进行建模获取的。

3.根据权利要求2所述的方法，其特征在于，所述基于所述用户行为数据的多域特征，利用孤立森林模型，对所述用户行为数据进行异常检测的步骤进一步包括：

按照不同时间段，对所述用户行为数据的多域特征进行切分，获取不同时间段的子行为特征；

基于所述子行为特征，统计用户在不同时间段内每个域的行为次数，并对所述用户行为数据的多域特征进行降维处理；

基于降维处理后的多域特征，利用所述孤立森林模型，获取用户对应的所述基于多域行为驱动的异常分数值。

4.根据权利要求3所述的方法，其特征在于，所述基于所述子行为特征，统计用户在不同时间段内每个域的行为次数，并对所述用户行为数据的多域特征进行降维处理的步骤进一步包括：

对于每个域，基于所述子行为特征，统计用户在不同时间段内对应行为出现的最大次数，以及所述最大次数出现的次数；

基于所述最大次数和所述最大次数出现的次数，利用主成分分析法，对所述用户行为数据的多域特征进行降维处理。

5.根据权利要求1所述的方法，其特征在于，所述利用熵权法，将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合的步骤进一步包括：

基于用户的所述基于时间行为驱动的异常分数值，依次进行标准化处理和求信息熵运算，获取第一信息熵，并基于用户的所述基于多域行为驱动的异常分数值，依次进行标准化处理和求信息熵运算，获取第二信息熵；

基于所述第一信息熵和所述第二信息熵，计算所述基于时间行为驱动的异常分数值和所述基于多域行为驱动的异常分数值分别对应的权重系数；

基于所述基于时间行为驱动的异常分数值和所述基于多域行为驱动的异常分数值，以及所述权重系数，计算用户的综合异常分数；

基于设定异常阈值和用户的所述综合异常分数，确定网络内部威胁。