[发明专利]一种基于孪生网络的内部威胁的检测方法及系统

权利要求书

1.一种基于孪生网络的内部威胁的检测方法，其特征在于，包括：

步骤S1：获取内部威胁测试数据集进行预处理，将用户每天的行为活动表示为灰度图，构建样本集，将所述样本集划分为训练集、待检测样本集和标准样本集；

步骤S2：从所述训练集随机选取一个样本对(X₁,X₂)及其类别标签Y构成输入三元组(X₁,X₂,Y)，将所述三元组输入孪生网络模型，依次经过卷积层、池化层和全连接层，得到二维样本向量；计算两个所述二维样本向量的欧式距离，并根据预设阈值，以判定二者是否属于同一类别；将所述孪生网络模型输出类别与所述类别标签Y进行比对，构建对比损失函数计算损失并迭代训练模型，直到得到训练好的孪生网络模型；

步骤S3：分别从所述待检测样本集和所述标准样本集各取一个样本，输入所述训练好的孪生网络模型，判断二者是否属于同一类别，从而确定待检测样本的类别。

2.根据权利要求1所述的基于孪生网络的内部威胁的检测方法，其特征在于，所述步骤S1：获取内部威胁测试数据集进行预处理，将用户每天的行为活动表示为灰度图，构建样本集，将所述样本集划分为训练集、待检测样本集和标准样本集，具体包括：

步骤S11：获取内部威胁测试数据集，包括：用户登录日志、移动设备连接日志、文件访问日志、邮件通信日志以及网络浏览日志数据，以及每个所述用户所属职位、部门、工作期限和参与项目的LDAP数据；从上述日志数据中提取所述用户每天的日志数据构成一个活动集合，用于代表该用户一天的所有行为；

步骤S12：从所述活动集合提取该用户一天的活动信息，并按时间和活动类型编码构成活动矩阵；

步骤S13：将所述活动矩阵按照灰度图转化标准转化为灰度图，如公式(1)所示，构建得到样本集；其中，每张所述灰度图代表一个所述用户一天所有活动信息；

其中，I_i,j表示第i个用户在第j天的活动灰度图表示，表示该用户一天的活动编码矩阵，f表示矩阵转化灰度图函数；

步骤S14：按预设比例随机将样本集分成三份，分别为训练集、待检测样本集和标准样本集。

3.根据权利要求1所述的基于孪生网络的内部威胁的检测方法，其特征在于，所述步骤S2：从所述训练集随机选取一个样本对(X₁,X₂)及其类别标签Y构成输入三元组X₁,X₂,Y)，将所述三元组输入孪生网络模型，依次经过卷积层、池化层和全连接层，得到二维样本向量；计算两个所述二维样本向量的欧式距离，并根据预设阈值，以判定二者是否属于同一类别；将所述孪生网络模型输出类别与所述类别标签Y进行比对，构建对比损失函数计算损失并迭代训练模型，直到得到训练好的孪生网络模型，具体包括：

步骤S21：构建所述孪生网络模型，包括：卷积层、池化层和全连接层，输入所述三元组(X₁,X₂,Y)，输出为两个二维样本向量V，如公式(2)所示：

V＝CNN((I_i，j)(V∈R²) (2)

其中，V表示样本经过CNN卷积操作后得到的二维样本向量；

步骤S22：设定阈值m，计算两个所述二维样本向量之间的欧式距离，如果小于m，则判定所述样本对属于同一类别，否则属于不同类别；

步骤S23：构建对比损失函数，如公式(3)所示；若不同类别样本对的距离大于m，证明所述孪生网络模型可以区分类别差异，损失函数即为0，反之，则所述孪生网络模型无法区分类别差异，损失函数为β(m-D_W)，将其反馈到所述孪生网络模型中进行梯度迭代：

其中，L_S为相同类别样本的损失，L_D为不同类别样本的损失；W是要学习的共享参数；D_W是两个所述二维样本向量之间的欧式距离，P代表样本的特征维度；N代表样本数量，m是所述孪生网络模型训练过程中设置的阈值，β是设定的权重。