[发明专利]一种内部用户异常行为检测方法、系统及计算机存储介质

说明书

本发明提出一种内部用户异常行为检测方法，包括采集用户在Linux系统中的操作命令；对采集到的所述操作命令做预处理，得到有固定行数的矩阵；根据所述预处理后的数据生成词汇表；根据所述词汇表将操作命令由英文格式转换为有序的数值形式；按一定比例将采集到的样本数据划分为训练集和测试集；使用LSTM算法对所述训练集进行训练，得到训练模型；使用所述训练模型对测试集进行验证得到输出数据；使用双峰法对所述输出数据进行分析并确定判决阈值；通过所述判决阈值判断用户是否存在异常操作行为。本发明利用长短期记忆网络与双峰法结合，能够更加准确区分不同类型数据，全面的提升模型检测用户异常行为能力，提升用户异常行为检测的查全率，查准率。

技术领域

本发明涉及一种异常检测方法，具体涉及一种基于LSTM+2Peak的内部用户异常行为检测方法。

背景技术

随着互联网的普及和网络技术的发展，网络规模不断增大，网络安全问题也日益突出。通常网络安全防御主要针对外部攻击，而对内部用户对网络造成的威胁关注较少。由于内部人员可以接触到公司或组织的核心资产或业务，具有职务或权限的便利性，一旦内部人员发起攻击，将对公司或组织造成更大的威胁。由于内部威胁具有高危性、隐蔽性和多元性，所以对内部用户异常行为检测带来了挑战。组织或机构通常将服务部署在Linux系统中，内部人员通过直接或远程操作管理相关服务，但近年来，曝出多起企业、组织内部人员因恶意或疏忽操作造成服务瘫痪、数据丢失、病毒植入等事件，给企业或组织造成了恶劣的社会影响和严重的经济损失，因此，对于检测内部用户在Linux系统中的操作命令是否存在异常至关重要。现有的网络安全态势评估阶段用户异常行为评估查准率，查全率低，模型较为复杂，且效果不高。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种内部用户异常行为检测方法、系统及计算机存储介质。

为实现上述目的及其他相关目的，本发明提供一种内部用户异常行为检测方法，该方法包括：

采集用户在Linux系统中的操作命令；

对采集到的所述操作命令做预处理，得到有固定行数的命令矩阵；

根据所述预处理后的数据生成词汇表；

根据所述词汇表将操作命令由英文格式转换为有序的数值形式；

按一定比例将采集到的样本数据划分为训练集和测试集；

使用LSTM算法对所述训练集进行训练，得到训练模型；

使用所述训练模型对测试集进行验证得到输出数据；

使用双峰法对所述输出数据进行分析并确定判决阈值；

通过所述判决阈值判断用户是否存在异常操作行为。

可选地，所述使用双峰法对所述输出数据进行分析并确定判决阈值，具体包括：

读入训练模型输出数据，统计输出数据个数n以及每个输出数据对应的值Y_i，1≤i≤n；

统计0～1范围内的数值的个数，画出对应输出数据直方图；

根据所述直方图选取最高双峰之间的谷底对应的数值作为阈值ω。

可选地，所述通过所述判决阈值判断用户是否存在异常操作行为，具体为：

遍历原始输出数据，根据选取的阈值对所述输出数据进行分类，若所述输出数据大于或等于阈值ω的输出值划为正常操作，输出设定Y_end设置为0，若所述输出数据小于阈值ω划为异常操作，输出设定Y_end设置为1。

可选地，所述训练模型包括输入层、嵌入层、LSTM层、全连接层和回归层。

可选地，所述训练模型包括：