[发明专利]一种网络内部威胁的检测方法、系统及电子设备

说明书

本发明提供一种网络内部威胁的检测方法、系统及电子设备，所述方法包括：基于用户行为数据的不同特征，分别根据多域行为驱动和时间行为驱动，进行所述用户行为数据的多维度检测；利用熵权法，将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合，确定网络内部威胁。本发明能够有效提高运算过程的普适性，并有效降低运算的时间复杂度和空间复杂度，从而降低成本开销。

技术领域

本发明涉及网络信息安全技术领域，更具体地，涉及一种网络内部威胁的检测方法、系统及电子设备。

背景技术

在信息安全领域，由内部威胁所造成的损失远大于外部威胁攻击所造成的损失，且内部威胁更容易造成数据泄露问题。内部威胁和外部威胁相比，需要更多的时间来解决。

内部威胁所采用的恶意活动通常分以下阶段进行：破解者进入系统或网络；破解者为了了解易攻击处和可以花最小力气造成最大伤害的位置，而调查系统或网络的本质；建立工作区，在其中进行恶意活动；最后，实施实际的毁灭性动作。

现有的针对内部威胁的检测方法多延续入侵检测的思想，同等对待源于系统外部的攻击和内部人员的恶意行为，忽略了攻击方法上的区别对检测结果的影响。例如，通过结合实时入侵检测和数据挖掘技术，用学习代理挖掘数据、生成模式作为入侵检测的分类器，以此检测资源滥用的行为。或者，通过挖掘入侵事件之间的关联规则，非实时地检测内部人员的恶意行为。

此外，在使用较多的基于人工智能的检测方法中，大多需要标记数据训练分类器。而在实际应用中，因为内部威胁人员的隐蔽性和检测的困难性，导致难以获取标记数据。为此，现有技术中出现了各种对应解决方案，如：基于资源滥用行为的检测方法；采用统计学习方式，通过评估用户当前行为与过去行为的偏离程度判断行为是否异常；通过对用户的登录信息和访问过的文档进行分析，建立用户的计算模型并确定检测指标，如果分析结果与模型有偏差，则确定存在恶意的内部行为。

但是，在用户行为模式的构建上，大部分现有方法是在所有用户的行为中寻找一个基本用户画像，把每个用户和这个基本用户画像进行对比，如果差别较大，则被识别为威胁用户。这种建模方法基于多域行为驱动来进行，很难检测出蓄意恶意行为的用户。这类内部威胁人员将自己伪装成和周围用户一样，隐藏自己的威胁身份，很难被这种模型检测到。

另外，基于时间行为驱动的模型主要是根据用户以前的历史行为判断现在的行为是否具有恶意来进行检测，虽然能够检测出伪装的威胁者，但是无法进行长时间的建模，即长时间的用户行为实际上也会根据业务的需求或者岗位的调动而发生正常的变化，这就会引起威胁的误判。

发明内容

为了克服上述问题或者至少部分地解决上述问题，本发明提供一种网络内部威胁的检测方法、系统及电子设备，用以有效提高运算过程的普适性，并有效降低运算的时间复杂度和空间复杂度，从而降低成本开销。

第一方面，本发明提供一种网络内部威胁的检测方法，包括：基于用户行为数据的不同特征，分别根据多域行为驱动和时间行为驱动，进行所述用户行为数据的多维度检测；利用熵权法，将多维度检测的结果中基于多域行为驱动的异常分数值和基于时间行为驱动的异常分数值进行融合，确定网络内部威胁。

其中，根据时间行为驱动，进行所述用户行为数据的检测的步骤进一步包括：利用马尔可夫算法，对用户行为进行建模，获取用户行为的马尔可夫模型；利用建立的所述马尔可夫模型，对所述用户行为数据进行基于行为时间序列的异常检测；其中，所述行为时间序列表示，将所述用户行为数据按时间先后进行排序形成的时间序列。