[发明专利]一种基于时空特征融合的内部威胁智能检测方法和系统有效
| 申请号: | 202111526630.9 | 申请日: | 2021-12-15 |
| 公开(公告)号: | CN113919239B | 公开(公告)日: | 2022-02-11 |
| 发明(设计)人: | 杨林;李东阳;马琳茹;王晓磊;张洪广 | 申请(专利权)人: | 军事科学院系统工程研究院网络信息研究所 |
| 主分类号: | G06F30/27 | 分类号: | G06F30/27;G06F17/16;G06K9/62;G06V10/762;G06V10/774;G06V10/764 |
| 代理公司: | 中国和平利用军工技术协会专利中心 11215 | 代理人: | 刘光德 |
| 地址: | 100141 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 时空 特征 融合 内部 威胁 智能 检测 方法 系统 | ||
1.一种基于时空特征融合的内部威胁智能检测方法,其特征在于,所述方法利用用户行为的时间特性和空间特性来确定所述用户行为的异常程度,具体包括:
步骤S1、调用基础特征提取模块,从依时间顺序采集的用户多源日志信息中提取所述用户行为的基础特征,并对所述基础特征进行编码,经编码的基础特征作为时间特性分析和空间特性分析的基础;
步骤S2、调用时间特性分析模块,通过拼接所述经编码的基础特征和所述经编码的基础特征的时间度量指标来构建用户行为混合矩阵,所述用户行为混合矩阵用于训练时间表征模型;
步骤S3、调用空间特性分析模块,获取属于同一角色的用户的经编码的基础特征,以训练空间共用组模型;
步骤S4、调用异常整合分析模块,利用分别由所述时间表征模型和所述空间共用组模型获取的时间样本重建误差和空间样本重建误差,来计算所述用户行为的异常程度,所述异常程度用于确定所述内部威胁。
2.根据权利要求1所述的一种基于时空特征融合的内部威胁智能检测方法,其特征在于,在所述步骤S1中,对所述基础特征进行编码包括,将所述用户多源日志信息中文本类型的日志信息以天为粒度转换为数值类型的频次特征向量。
3.根据权利要求2所述的一种基于时空特征融合的内部威胁智能检测方法,其特征在于,在所述步骤S2中,根据滑动窗口机制获取窗口范围内的所述经编码的基础特征的测量值集合,基于所述测量值集合,利用如下公式来计算所述用户的当天行为特征在所述窗口范围内的所述时间度量指标:
(1)
(2)
其中,为第一时间度量指标,为第二时间度量指标,、、分别为所述基础特征
4.根据权利要求2所述的一种基于时空特征融合的内部威胁智能检测方法,其特征在于,在所述步骤S2中,将计算的所述时间度量指标拼接在所述经编码的基础特征的测量值后面,从而构建所述用户行为混合矩阵,以所述用户行为混合矩阵为输入,以深度自编码器为基础,训练所述时间表征模型,所述时间表征模型的训练样本仅限于所述用户多源日志信息中的个人历史数据。
5.根据权利要求4所述的一种基于时空特征融合的内部威胁智能检测方法,其特征在于,在所述步骤S3中,利用组织归属关系对所述经编码的基础特征进行聚类,以形成以角色为唯一标识的数据集合,从所述数据集合中获取所述属于同一角色的用户的经编码的基础特征,以所述属于同一角色的用户的经编码的基础特征为输入,以所述深度自编码器为基础,训练所述空间共用组模型,所述空间共用组模型的训练样本为所述属于同一角色的用户的历史数据。
6.根据权利要求5所述的一种基于时空特征融合的内部威胁智能检测方法,其特征在于,在所述步骤S4中,根据不同的应用场景设置不同的平衡系数,所述平衡系数用于计算所述用户行为的异常程度。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于军事科学院系统工程研究院网络信息研究所,未经军事科学院系统工程研究院网络信息研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111526630.9/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种平面高压变压器
- 下一篇:抗α-突触核蛋白的单克隆抗体的制备及其应用
