[发明专利]一种基于门控循环单元的内部威胁检测方法和装置

权利要求书

1.一种基于门控循环单元的内部威胁检测方法，其特征在于，包括以下步骤：

解析用户审计日志以获取用户动作信息，将每个用户的动作按照时间先后顺序构建用户动作序列；

利用门控循环单元从用户动作序列中提取用户行为的时序特征；

将提取的时序特征输入逻辑回归分类器进行分类，判别其为正常或异常，从而实现内部威胁检测；

所述门控循环单元和所述逻辑回归分类器的训练过程包括：

首先，获得用户u在第j天内执行的动作序列s_u,j；

其次，将动作序列s_u,j进行嵌入并送到门控循环单元中，训练门控循环单元以构造特征提取器并获得高层的抽象特征向量；

最后，利用标注为正常或异常的特征向量来训练逻辑回归分类器；

使用最大池化来增加提供给分类阶段的固定长度特征的不变性，对于每个用户动作序列，选择最大隐藏状态输出为：

h_max(i)＝max(h₁(i),h₂(i),…,h_T(i))

其中，i∈(0,1,…,N-1)，N是隐藏层神经元的数量，h_T(i)是T时刻的隐藏状态；最大池化将变长的动作序列转换成固定长度的行为特征向量，经过最大池化后，能够捕获用户整个动作序列的信息，输入到逻辑回归分类器的特征向量h是最终的状态向量h_T和最大池化的输出h_max的连接[h_T,h_max]。

2.根据权利要求1所述的方法，其特征在于，所述用户审计日志为融合多域的用户审计日志，用以全面地刻画用户行为。

3.根据权利要求2所述的方法，其特征在于，所述融合多域的用户审计日志包含5种不同类型的活动：登录/注销、邮件收发、设备使用、文件使用和HTTP访问。

4.根据权利要求1所述的方法，其特征在于，所述构建用户动作序列，是基于一天的时间窗口集成用户各域的动作，以时间发生先后为顺序构建每个用户每天的动作序列。

5.根据权利要求1所述的方法，其特征在于，所述门控循环单元采用以下步骤提取用户行为的时序特征：

对用户动作序列中的每个动作进行特征提取，得到一系列代表用户动作的隐状态向量；

将获得的一系列代表用户动作的隐状态向量转换成固定大小的特征表示。

6.一种采用权利要求1～5中任一权利要求所述方法的基于门控循环单元的内部威胁检测装置，其特征在于，包括：

数据预处理模块，用于解析用户审计日志以获取用户动作信息，将每个用户的动作按照时间先后顺序构建用户动作序列；

特征提取模块，用于利用门控循环单元从用户动作序列中提取用户行为的时序特征；

分类模块，用于将提取的时序特征输入逻辑回归分类器进行分类，判别其为正常或异常，从而实现内部威胁检测。

7.一种电子装置，其特征在于，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行权利要求1～5中任一权利要求所述方法的指令。

8.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储计算机程序，所述计算机程序被计算机执行时，实现权利要求1～5中任一权利要求所述的方法。