[发明专利]基于用户长短期行为表征的内部威胁检测方法及装置

权利要求书

1.一种基于用户长短期行为表征的内部威胁检测方法，其特征在于，包括以下步骤：

采集多种异构的用户活动日志数据，并且根据用户活动抽取原始日志数据，并将所述原始日志数据中的异构用户活动日志数据转化为预设格式的数据；

对所述原始日志数据对应的活动进行表征，以构建活动表征，并且按时间顺序生成用户活动表征序列，通过对活动序列建模为每个时刻生成该时刻的短期行为表征；以及

根据所述用户活动表征序列获取用户短期行为表征和用户长期行为表征，并基于所述用户短期行为表征和所述用户长期行为表征对用户长期行为模式建模，以利用建模得到的模型对内部危险进行异常预测。

2.根据权利要求1所述的方法，其特征在于，所述预设格式为三元组T，I，C形格式，其中，T代表活动发生的时间属性，I代表活动类型属性，C代表活动上下文属性。

3.根据权利要求2所述的方法，其特征在于，所述将所述原始日志数据中的异构用户活动日志数据转化为预设格式的数据，包括：

将日志时间作为活动数据的时间属性，抽取日志中的离散类型字段的属性值组合成为活动数据中的活动类型属性，抽取日志中的异构文本信息中的事实信息三元组组合成为活动数据中的活动上下文属性。

4.根据权利要求1所述的方法，其特征在于，所述对所述原始日志数据对应的活动进行表征，以构建活动表征，包括：

对所述时间属性、所述活动类型属性和所述活动上下文属性分别使用不同的网络结构进行表征，将所述时间属性转化为预设周期的偏置值利用三角函数表征，将所述活动类型属性组织为类型序列挖掘不同类型属性值之间共现分布特性并表征，将所述活动上下文属性中的事实信息三元组拼接成文本并进行文本表征，通过一个融合网络将三个属性表征融合成为活动表征。

5.根据权利要求1所述的方法，其特征在于，在根据所述用户活动表征序列获取所述用户短期行为表征和所述用户长期行为表征之前，还包括：

构建所述用户长期行为表征时，从组织人员架构文件和项目文件中抽取人员信息图，结合图表征技术，基于用户标识进行表征，得到所述用户长期行为表征。

6.根据权利要求1所述的方法，其特征在于，所述利用建模得到的模型对内部危险进行异常预测，进一步包括：

利用长短期表征用户相似度分类器，辅助所述异常检测分类器融合用户的用户短期行为表征和用户长期行为表征并构建正常活动和异常活动的决策边界。

7.一种基于用户长短期行为表征的内部威胁检测装置，其特征在于，包括：

抽取模块，用于采集多种异构的用户活动日志数据，并且根据用户活动抽取原始日志数据，并将所述原始日志数据中的异构用户活动日志数据转化为预设格式的数据；

生成模块，用于对所述原始日志数据对应的活动进行表征，以构建活动表征，并且按时间顺序生成用户活动表征序列，通过对活动序列建模为每个时刻生成该时刻的短期行为表征；以及

检测模块，用于根据所述用户活动表征序列获取用户短期行为表征和用户长期行为表征，并基于所述用户短期行为表征和所述用户长期行为表征对用户长期行为模式建模，以利用建模得到的模型对内部危险进行异常预测。

8.根据权利要求7所述的装置，其特征在于，还包括：

辅助模块，用于利用长短期表征用户相似度分类器，辅助所述异常检测分类器融合用户的用户短期行为表征和用户长期行为表征并构建正常活动和异常活动的决策边界。

9.一种电子设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序和学习模型，所述处理器执行所述程序和模型，以实现如权利要求1-6任一项所述的基于用户长短期行为表征的内部威胁检测方法。

10.一种计算机可读存储介质，其上存储有计算机程序和学习模型，其特征在于，该程序和模型被处理器执行，以用于实现如权利要求1-6任一项所述的基于用户长短期行为表征的内部威胁检测方法。