[发明专利]基于跨域行为分析的内部威胁检测方法

权利要求书

1.基于跨域行为分析的内部威胁检测方法，其特征在于，包括：

S1、提取并统计各个检测域内的用户行为特征，并根据用户行为特征来构建用户多域行为描述向量，并将所有用户的用户多域行为描述向量组成用户多域行为描述矩阵；

S2、从用户多域行为描述矩阵中提取用户跨域行为特征矩阵和基模式矩阵；

S3、根据用户跨域行为特征矩阵分析用户跨域行为，确定嫌疑人并选取嫌疑人的对等用户组；

S4、通过分析嫌疑人的行为和嫌疑人对等用户组的行为来最终确定内部攻击者。

2.根据权利要求1所述的基于跨域行为分析的内部威胁检测方法，其特征在于，步骤S1包括：

S11、对各检测域审计日志进行预处理，根据处理结果提取用户在各检测域内的用户行为特征，并通过分析用户行为特征间的相关性去除冗余的统计特征；

S12、选定多个时间窗口，逐一将每个时间窗口内的用户行为特征构建成用户多域行为描述向量，再将所有时间窗口生成的用户多域行为描述向量组成用户多域行为描述矩阵。

3.根据权利要求1所述的基于跨域行为分析的内部威胁检测方法，其特征在于，所述从用户多域行为描述矩阵中提取用户跨域行为特征矩阵和基模式矩阵包括：

使用非负矩阵分解技术分解用户多域行为描述矩阵Um×n，得到用户跨域行为特征矩阵Wm×k和基模式矩阵Hm×k，具体表示为：

Um×n＝Wm×k·Hk×n；

其中，用户多域行为描述矩阵Um×n的每一行表示一个用户的在时间窗口τ中的多域行为描述向量，m表示所有用户多域行为描述向量的规模，n表示用户多域描述向量的长度，k表示基模式的数量。

4.根据权利要求1所述的基于跨域行为分析的内部威胁检测方法，其特征在于，所述根据用户跨域行为特征矩阵分析用户跨域行为，确定嫌疑人并选取嫌疑人的对等用户组包括：

使用高斯混合模型将用户跨域行为特征矩阵的分布表示为多个高斯分布的线性组合，其中每一个高斯分布代表一种用户行为模式；

使用k-均值聚类技术先行对用户跨域行为特征进行聚类，并将k-均值的聚类中心作为高斯混合模型的初始点；

将规模较小的高斯分布中所包含的用户跨域行为特征所对应的用户确定为嫌疑人；

选取与嫌疑人的背景信息相似的用户作为嫌疑人的对等用户组。

5.根据权利要求1所述的一种基于跨域行为分析的内部威胁检测方法，其特征在于，所述通过分析嫌疑人及其对等用户组的行为来最终确定内部攻击者包括：

计算嫌疑人和嫌疑人的对等用户组标准行为的偏离程度并和偏离程度阈值比较，若偏离程度大于等于偏离程度阈值，则认为该嫌疑人的行为是内部攻击行为，该嫌疑人是内部攻击者；否则，则认为该嫌疑人的行为是正常的行为变化。