[发明专利]基于特征融合的内部威胁检测方法

权利要求书

1.一种基于特征融合的内部威胁检测方法，其特征在于，包括以下步骤：

采集内部网络中的多源用户行为日志，以用户为单位进行解析，为每个用户形成单独的多源用户行为日志记录；

从每个用户所对应的多源用户行为日志记录中，统计用户的行为信息，提取用户行为的统计特征；

以用户的多源用户行为日志记录中的登录日志构建用户登陆行为关联图，通过对每个用户节点的邻居节点进行随机游走，生成若干个固定长度的随机游走序列，每个序列由游走的节点按前后顺序排列构成，针对序列中的每个节点提取用户行为的结构特征；

将上述提取的用户行为的统计特征与结构特征进行融合，形成特征矩阵；

将含有内部威胁标注的训练数据经过上述步骤处理，得到特征矩阵，将该特征矩阵输入至Capsule胶囊神经网络中进行训练，得到基于特征融合的内部威胁检测模型；在对内部网络中的威胁进行正式检测时，获取内部网络中的多源用户行为日志，经过上述步骤处理得到特征矩阵，将该特征矩阵输入到所述内部威胁检测模型中，检测出内部网络中的威胁。

2.如权利要求1所述的方法，其特征在于，所述多源用户行为日志除了包括登录日志外，还包括移动设备使用记录、文件操作日志、电子邮件日志以及网页浏览记录。

3.如权利要求1所述的方法，其特征在于，所述用户的行为信息包括基于频率的用户行为统计特征和基于内容的用户行为统计特征；所述基于频率的用户行为统计特征为不同类型用户行为的平均计数，所述基于内容的用户行为统计特征为基于用户行为操作所产生的内容。

4.如权利要求3所述的方法，其特征在于，所述基于频率的用户行为统计特征包含用户登入登出次数、下班时间用户登入登出次数、用户登录的电脑数、设备的连接次数、下班时间设备的连接次数、设备连接的电脑数、不同文件的传输次数、文件传输总数、下班时间传输的文件数、可执行文件传输数、文件传输所涉及的电脑数、发出的电子邮件数、发往组织内部的电子邮件数、发往组织外部的电子邮件数、电子邮件平均大小、电子邮件附件数、电子邮件接收者数、下班时间发送邮件数、接收邮件使用的电脑数、网页浏览数、下班时间网页浏览数中的一种或多种；

所述基于内容的用户行为统计特征包含与情绪倾向相关的电子邮件数、与解密相关的网页浏览数、与工作招聘相关的网页浏览数、与黑客相关的网页浏览数、与云存储相关的网页浏览数、与社交相关的网页浏览数、与情绪倾向相关网页浏览数中的一种或多种。

5.如权利要求1所述的方法，其特征在于，所述用户登陆行为关联图为同构图，由不同用户和不同用户之间的关联关系构成，表示为G＝(V,E)，其中V代表图中节点的集合，每个节点表示一个用户；E代表图中边的集合，每条边表示对应两用户之间存在的关联关系，该关联关系包括两个用户登陆过同一个设备。

6.如权利要求1所述的方法，其特征在于，针对序列中的每个节点提取用户行为的结构特征的方法为：由生成若干个固定长度的随机游走序列构成一节点序列集合S；针对每一个节点u，通过Skip-gram模型学习计算最大化在集合S上的损失函数f，得到一个节点嵌入向量，该节点嵌入向量即所述用户行为的结构特征。

7.如权利要求1所述的方法，其特征在于，用户行为的统计特征与结构特征融合的方法为：将用户行为的统计特征与结构特征进行拼接，并使用Min-Max归一化将特征数值均归一化至0-1的范围内，转换为二维特征矩阵。

8.如权利要求1所述的方法，其特征在于，Capsule胶囊神经网络中训练过程中，将重构误差损失与缓限度损失进行累加得到最终的损失函数，使用该最终的损失函数调整Capsule胶囊神经网络的参数，得到所述内部威胁检测模型；该重构误差损失为所述特征矩阵与重构中Sigmoid层的输出之间的欧氏距离，该重构中Sigmoid层的输出通过从Capsule胶囊神经网络的DigitCaps数字胶囊层来重构数字的解码结构，用掩蔽的方法将正确的数字胶囊的激活向量保留下来，然后用该激活向量进行重构得到。