[发明专利]基于特征融合的内部威胁检测方法

说明书

本发明提供一种基于特征融合的内部威胁检测方法，涉及网络空间安全领域，本方法分别从多源日志中抽取用户行为的统计特征与结构特征，通过融合形成特征矩阵，再输入到Capsule胶囊神经网络中进行训练，得到基于特征融合的内部威胁检测模型，利用该模型对内部威胁的检测，提升组织内部网络的安全性。

技术领域

本发明涉及网络空间安全领域，融合用户的统计特征与结构特征并利用基于深度学习的异常检测方法对内部威胁进行检测，以及时发现内网中潜在的威胁用户。

背景技术

在外部网络威胁日益猖獗的情况下，内部威胁所带来的影响同样不容忽视，内部威胁一般指组织中对内部网络、系统或数据有访问权限的用户，滥用权限，违背组织的安全策略，对内部信息的机密性、完整性与可用性造成负面影响的恶意行为。根据2020年来自Cybersecurity Insiders的安全报告显示，三分之二的组织(68％)表示来自内部的威胁在过去的一年中愈发频繁，且有70％的组织在过去的一年中至少遭受了一次由内部人员引发的恶意行为。当前内部网络所带来的威胁日渐突出，成为当下亟待解决的问题，如何准确、及时地检测出内部威胁对于组织的稳定运行与健康发展是至关重要的。

内部威胁一词常与有意图实施数据窃取、系统破坏等给企业及组织造成损失的恶意员工联系到一起，实际上，员工的疏忽、合作伙伴的失误同样促成了很多安全漏洞与意外的数据泄露，给企业及组织造成不小的损失。除去因系统漏洞、权限分配不当等客观因素外，“人”是造成企业及组织损失的主体因素，而内部威胁通常由具有合法权限的特权用户实施，与外部威胁运用系统漏洞进行越权操作的行为不同，内部用户拥有合法身份，且对内部架构较为熟悉，导致其恶意行为较难被发现，从而对组织的安全造成巨大威胁。

现今针对内部威胁检测技术的研究根据所使用方法的不同可以分为基于规则的内部威胁检测、基于传统机器学习的内部威胁检测和基于深度学习的内部威胁检测。

基于规则的内部威胁检测通常对确定的威胁行为有着较高的准确率和较低的误报率，但难以检测不在知识库中的未知异常行为，无法适应新的内部攻击行为，不适用于当下复杂的网络环境。

基于传统机器学习的内部威胁检测一般首先对数据进行预处理，然后提取特征并对特征进行选择，使用选定的传统机器学习算法对训练数据进行训练，训练得到的模型将使用测试数据进行预测，最后将预测结果与真实值进行评估，但通常所选择的特征往往较为单一，特征种类过少，仅能学习到单方面的用户行为信息，未考虑到用户与用户之间的关联，使得整体检测的准确率偏低。

基于深度学习的内部威胁检测大多以用户行为序列作为数据输入，建立用户正常的行为模型，再通过用户行为序列的变化检测出用户行为的异常，继而判断用户是否存在异常，仅能学习到单方面的用户行为序列信息或单方面的用户行为统计信息，而缺少对用户自身属性与用户间关联信息的判断，相较于机器学习方法在检测的准确率上虽有所提升，但其误报率依然较高，在实际场景中存在一定的局限性。

综上所述，在现今内部威胁检测领域，普遍存在利用特征种类不完全、未考虑到用户之间的关联信息，从而导致检测准确率低、误报率较高的问题，使得内部威胁检测的效果往往不够理想。

发明内容

为解决上述问题，本发明提出一种基于特征融合的内部威胁检测方法，分别从多源日志中抽取用户行为的统计特征与结构特征，结合基于深度学习的异常检测方法，实现对内部威胁的检测，提升组织内部网络的安全性。

为达到上述目的，本发明采用具体技术方案是：

一种基于特征融合的内部威胁检测方法，包括以下步骤：

采集内部网络中的多源用户行为日志，以用户为单位进行解析，为每个用户形成单独的多源用户行为日志记录；

从每个用户所对应的多源用户行为日志记录中，统计用户的行为信息，提取用户行为的统计特征；