一种基于动态web浏览行为的内部威胁检测系统及方法与流程

本发明涉及一种基于动态web浏览行为的内部威胁检测系统及方法，属于信息安全技术领域。

背景技术：

内部威胁是恶意的内部用户利用自己的特权访问组织的网络、系统和数据，并且破坏组织信息的机密性、完整性和可用性[1]。检测内部威胁是实现组织全面保护的首要任务。恶意的内部用户分为伪装者和背叛者[11]。伪装者通过窃取的证书登录合法用户的账号来执行恶意操作，而背叛者是利用自己的账号来执行恶意行为。无论伪装者或者背叛者，恶意或不寻常的行为都将偏离正常的行为模式。因此，大量的研究通过发展异常检测技术来阻止和检测内部威胁。根据采用的数据源，基于异常的内部威胁检测技术可以被分为两类：基于主机和基于网络。基于主机的方法广泛应用于伪装者检测，主要通过主机程序；例如unix命令、键盘和鼠标动态用来建模用户操作意图进而识别是否是正常用户。另一方面，基于网络的方法采用网络核心设备例如交换机、路由器和防火墙收集的网络流量，或者使用服务器例如代理、邮件和vpn服务器产生的日志来检测恶意的应用层的威胁。

传统的网络行为异常检测方法通过从网络流中提取一系列特征，例如ip协议、网络包的数量、连接时长和每个网络包的字节大小，输入监督或非监督机器学习算法[2-5]。然而此类方法多用于检测由僵尸网络、ddos和恶意软件引起的机器产生的异常，并不是针对用户操作产生的浏览行为异常。除此之外，为了阻止数据窃取或金融诈骗，基于图的算法应用于检测异常的邮件通信[6]。通过不同用户之间的邮件通信构成的邮件通信图中学习正常的通信模式(图子结构)，当一条测试的通信与正常模式不一致时，异常检测系统发出异常告警。然而，此类方法中个人用户的行为没有被独立的分析。进一步，一些方法结合分析了多种类型的网络日志[7-10]，这些方法通常从不同的网络日志(例如代理、vpn和dhcp日志)中抽取一系列的特征，然后输入机器学习或者深度学习框架。然而，此类方法需要依赖于领域专家的经验进行特征工程，并且当恶意的行为出现了未知的形式时，此类方法失效。

web浏览行为建模方法多用于用户个性化推荐系统，主要通过浏览的页面内容[13]或者输入的文本[14]来建立用户的兴趣爱好等模型。然而在网络安全和内部威胁领域，web浏览行为建模方法却很少被研究。仅有少量的工作建模web浏览行为进行用户识别。[15]通过页面访问频率和页面浏览时间建立4个用户模型，选择访问频率最高的n个域名来特征化用户向量。[16]通过基于support和基于lift的方法选择n个浏览模式来特征化用户向量。然而，以上两种方法通过固定的用户浏览模式建模用户行为，忽略了用户浏览行为的动态变化性。

组织或者企业内部，用户需要在线检索信息或者使用在线办公系统来完成工作任务，用户web浏览行为的高频性为内部威胁检测提供了途径。然而已有的少量的面向用户行为识别的web浏览行为分析方法忽略了用户浏览行为的动态变化性和相同工作组内用户行为的相对一致性，导致了用户行为异常检测的高误报率。

[1]costad.l.,albrethsenm.j.,collinsm.l.,etal.:aninsiderthreatindicatoron-tology.technicalreportcmu/sei.pittsburgh,pa:sei,tech.rep.,2016.

[2]gug.:botsni_er:detectingbotnetcommandandcontrolchannelsinnetworktraffic.annualnetworkanddistributedsystemsecuritysymposium.2008.

[3]strayerw.t.,walshr.,livadasc.,etal.:detectingbotnetswithtightcommandandcontrol.ieeeconferenceonlocalcomputernetworks.ieee,2006.

[4]strayerw.t.,lapselyd.,walshr.,etal.:botnetdetectionbasedonnetworkbehavior.botnetdetection.springer,2008,pp.1-24.

[5]al-bataineha.andwhiteg.:analysisanddetectionofmaliciousdataexfiltrationinwebtraffic.maliciousandunwantedsoftware(malware).ieee,2012.

[6]eberlew.,gravesj.,andholderl.:insiderthreatdetectionusingagraph-basedapproach.journalofappliedsecurityresearch,vol.6,no.1,pp.32{81,2010.

[7]yent.f.:beehive:large-scaleloganalysisfordetectingsuspiciousactivityinenterprisenetworks.annualcomputersecurityapplicationsconference.2013.

[8]tede.,goldbergh.g.,memorya.,etal.:detectinginsiderthreatsinarealcorporatedatabaseofcomputerusageactivity.19thacmsigkdd,2013.

[9]youngw.t.,goldbergh.g.,etal.:useofdomainknowledgetodetectinsiderthreatsincomputeractivities.securityandprivacyworkshops(spw).2013.

[10]tuora.:deeplearningforunsupervisedinsiderthreatdetectioninstructuredcybersecuritydatastreams.aiforcybersecurityworkshopataaai,2017.

[11]salemmb,hershkops,stolfosj.asurveyofinsiderattackdetectionresearch.2008.

[12]m.pavanandm.pelillo,“anewgraph-theoreticapproachtoclusteringandsegmentation,”proc.2003ieeecomput.soc.conf.comput.vis.patternrecognit.-cvpr’03,vol.1,pp.i-145-i-152,2003.

[13]hawalaha.,faslim.:dynamicuserpro_lesforwebpersonalisation.expertsystemswithapplications,vol.42,no.5,pp.2547-2569,2015.

[14]radinskyk.,svorek.,dumaiss.,etal.:modelingandpredictingbehavioraldynamicsontheweb.procoftheinternationalconferenceonworldwideweb.2012.

[15]yangy.:webuserbehavioralpro_lingforuseridentification.decisionsupportsystems,vol.49,no.3,pp.261-271,2010.

[16]fanx.,chowk.,xuf.,etal.:webuserpro_lingbasedonbrowsingbehavioranalysis.advancesindigitalforensicsx.springer,2014.

技术实现要素：

本发明技术解决问题：克服现有技术的不足，提供一种基于动态web浏览行为的内部威胁检测系统及方法，综合考虑用户web浏览行为的动态性和用户组行为的一致性，提高了该系统检测的准确率，降低了系统检测的误报率；此外，该系统通过图聚类算法自动发现组织或者企业内的用户组关系，提高了系统的智能性，减少了人工标注用户组的工作量。

本发明技术解决方案：一种基于动态web浏览行为的内部威胁检测系统，如图1所示，包括数据收集和异常检测，异常检测负责数据收集所传递数据的后端解析及分析工作，数据收集包括组织或者企业内用户主机web浏览数据的采集模块、数据预处理和存储模块。异常检测分析收集的用户浏览行为数据包括个人用户行为异常检测模块、用户组行为异常检测模块、信息融合和内部威胁检测结果输出模块。其中上述各模块实现如下：

web浏览数据采集模块：在组织或者企业内需要监控的、重要人员的主机上部署审计节点，用来采集主机的web浏览数据，采集通过浏览器访问的在线资源或系统；

数据预处理和存储模块：通过审计节点采集的web浏览原始数据发送到服务器，并将数据存储到服务器的数据库中，由于原始数据包含重复审计的冗余数据和数据字段不完整的不完整数据，需要对数据进行过滤，提取出有效的数据，并将预处理之后的有效数据再次存储到数据库中，以便异常检测进行数据分析；

个人用户行为异常检测模块：在组织或者企业内部，用户的工作任务和兴趣爱好随着时间的变化是动态改变的，通过从服务器的数据库中抽取个人web浏览数据，利用幂分布建立个人用户正常的行为改变模型，根据个人用户浏览行为的改变偏离幂分布的程度评估个人用户行为的异常程度，即异常得分；

用户组行为异常检测模块：由于在组织或者企业内部同一个用户组执行相似的工作任务或相同的项目，使得个人用户与该用户组中的其他用户的行为或行为的改变具有相对一致性，因此根据用户浏览行为与用户组中其他用户行为的偏离程度评估用户在用户组行为中的异常程度，即异常得分；同时该模块建立了组织或者企业内用户关系网络并利用图聚类方法实现了用户组关系的自动抽取，减少了人工标注用户组的工作量；

信息融合模块：由于组织或者企业内用户的行为既具有个人的动态变化性也具有用户组的行为相对一致性，因此利用权重的线性模型融合个人用户行为和用户组行为。通过结合个人用户行为的异常程度和用户组行为的异常程度来综合考虑用户行为的异常，能够提高检测的准确率和降低检测的误报率，对于最终融合的异常得分，通过设定的阈值判定并输出检测到的内部威胁。

所述web浏览数据采集模块实现步骤如下：

(1)在组织或者企业内需要监控的、重要人员的主机上部署审计节点；

(2)审计节点实时采集该主机上用户通过浏览器访问的在线资源或系统，审计的数据字段包括访问时间和域名；

(3)将审计的web浏览原始数据实时发送到服务器。

所述数据预处理和存储模块实现步骤如下：

(1)将审计节点实时发送的web浏览原始数据存储到服务器的数据库中；

(2)由于审计节点可能多次发送同一条浏览数据，因此对于重复的冗余数据进行过滤。对于相同访问时间点的浏览数据，只保留一条数据记录，删除其余的数据记录。

(3)删除原始数据中域名字段缺失的不完整数据；

(4)将每个用户的浏览数据按时间排序；

(5)将排序后的有效数据再次存储到数据库中，以便异常检测进行数据分析。

所述个人用户行为异常检测模块实现步骤如下：

(1)从数据库中提取待分析的个人用户的预处理之后的web浏览数据；

(2)预设定一天为一个时间段，将该用户所有时间段的浏览数据中的域名字段按时间先后编号，不同的域名对应不同的编号。

(3)由于工作任务和兴趣的改变，用户每天会浏览新的域名。新的域名指该时间段相较于之前的时间段新出现的域名。利用幂分布建模该用户正常浏览的域名变化分布，即新的域名和时间的关系函数；

(4)设定用户的浏览时间段用t表示，使用前k个时间段的域名，即1≤t≤k时间段的域名，通过最小二乘拟合幂分布函数，学习得到函数的参数；

(5)对于待检测的时间段t，t＞k，比较t时间段该用户浏览的域名编号偏离幂分布的程度来评估该用户行为改变异常；

(6)个人用户行为异常检测模块输出不同待检测时间段t的个人用户行为异常程度。

所述用户组行为异常检测模块实现步骤如下：

(1)从数据库中提取预处理之后的所有用户的web浏览数据；

(2)使用所有用户前k个时间段浏览的域名构建二分图，二分图的顶点为所有用户和浏览的域名，二分图的边连接了一个用户和一个域名，边上的权重为用户浏览域名的次数；

(3)利用邻接矩阵表示二分图，矩阵的元素为一个用户浏览一个域名的频率；

(4)根据邻接矩阵计算用户与用户之间的距离；

(5)将用户与用户之间的距离转化为用户与用户之间的相似度；

(6)构建组织或者企业内用户关系网络，网络的顶点为所有用户，网络的边连接了两个用户，边上权重为用户与用户之间的相似度；

(7)利用图聚类算法自动发现组织或者企业内的用户组关系，减少了人工标注用户组的工作量；

(8)由于在组织或者企业内部同一个用户组执行相似的工作任务或相同的项目，使得个人用户与该用户组中的其他用户的行为或行为的改变具有相对的一致性。使用所有用户前k个时间段浏览的域名，通过比较一个用户浏览的域名与所属的用户组中其他用户浏览的域名的差别，来量化该用户与用户组的正常的行为一致性；

(9)对于待检测的时间段t，t＞k，比较t时间段该用户浏览的域名与所属的用户组中其他用户浏览的域名的差别；

(10)比较待检测的时间段t时间段(t＞k)域名的差别与前k个时间段域名的差别，将t时间段差别的偏离程度来评估该用户在用户组行为中的异常程度；

(11)用户组行为异常检测模块输出不同待检测时间段t的用户行为异常程度。

所述信息融合模块实现步骤如下：

(1)对于待检测用户u，将个人用户行为异常检测模块输出的该用户的不同待检测时间段t的个人用户行为异常得分归一化；

(2)对于待检测用户u，将用户组行为异常检测模块输出的该用户的不同待检测时间段t的用户行为异常得分归一化；

(3)由于组织或者企业内用户的行为既具有个人的动态变化性也具有用户组的行为相对一致性，因此利用权重的线性模型融合归一化之后的个人用户行为的异常得分和用户组行为的异常得分，来综合考虑用户行为的异常；

(4)对于待检测用户u，将最终融合的不同待检测时间段t的异常得分与设定的阈值相比较，若大于阈值则该系统判定该用户u在时间段t行为异常，并输出检测到的该异常，即内部威胁。由于内部威胁检测同时考虑了个人用户行为和用户组行为两个方面，提高了该系统检测的准确率，降低系统检测的误报率。

本发明同时提供一种基于动态web浏览行为的内部威胁检测方法，包括：数据收集部分和异常检测部分，数据收集部分包括：组织或者企业内用户主机web浏览数据的采集步骤、数据预处理和存储步骤；异常检测部分分析收集的用户浏览行为数据；异常检测部分包括：个人用户行为异常检测步骤、用户组行为异常检测步骤、信息融合步骤、内部威胁检测结果输出步骤，其中：

web浏览数据采集步骤：在组织或者企业内需要监控的、重要人员的主机上部署审计节点，用来采集主机的web浏览数据，采集通过浏览器访问的在线资源或系统；

数据预处理和存储步骤：通过审计节点采集的web浏览原始数据发送到服务器，并将数据存储到服务器的数据库中，由于原始数据包含重复审计的冗余数据和数据字段不完整的不完整数据，需要对数据进行过滤，提取出有效的数据，并将预处理之后的有效数据再次存储到数据库中，以便异常检测进行数据分析；

个人用户行为异常检测步骤：在组织或者企业内部，用户的工作任务和兴趣爱好随着时间的变化是动态改变的，通过从服务器的数据库中抽取个人web浏览数据，利用幂分布建立个人用户正常的行为改变模型，根据个人用户浏览行为的改变偏离幂分布的程度评估个人用户行为的异常程度，即异常得分；

用户组行为异常检测步骤：由于在组织或者企业内部同一个用户组执行相似的工作任务或相同的项目，使得个人用户与该用户组中的其他用户的行为或行为的改变具有相对一致性，因此根据用户浏览行为与用户组中其他用户行为的偏离程度评估用户在用户组行为中的异常程度，即异常得分；同时该模块建立了组织或者企业内用户关系网络并利用图聚类方法实现了用户组关系的自动抽取，减少了人工标注用户组的工作量；

信息融合步骤：由于组织或者企业内用户的行为既具有个人的动态变化性也具有用户组的行为相对一致性，因此利用权重的线性模型融合个人用户行为和用户组行为；通过结合个人用户行为的异常程度和用户组行为的异常程度来综合考虑用户行为的异常，能够提高检测的准确率和降低检测的误报率，得到最终融合的的异常得分；

内部威胁检测结果输出步骤，对于最终融合的异常得分，通过设定的阈值判定并输出检测到的内部威胁。

本发明与现有技术相比的优点在于：由于web浏览行为直接或者间接地反映了一些恶意的网络活动，例如数据泄露、组织在线资源和信息系统的未授权访问，因此检测异常的web浏览行为是实现组织保护的重要任务。(1)本发明通过幂分布建立用户动态浏览行为模型，与现有基于静态的用户浏览行为分析方法相比，提供了更准确的个人用户浏览行为刻画方法。(2)本发明通过基于图的聚类方法自动发现用户组关系，减少了人工标注用户组的工作量。(3)本发明建立了用户组行为模型，与现有的用户浏览行为识别方法相比，提供了更全面的用户浏览行为刻画角度。(4)本发明通过结合个人用户行为和用户组行为来综合考虑用户行为的异常，能够提高检测的准确率和降低检测的误报率。

附图说明

图1为发明的系统框图；

图2为本发明中a，b，c，d分别为4个用户的域名访问行为；

图3为本发明中用户关系网络构建过程。

具体实施方式

下面结合附图及实施例对本发明进行详细说明。

如图1所示，本发明包括数据收集和异常检测，异常检测负责数据收集所传递数据的后端解析及分析工作，数据收集包括组织或者企业内用户主机web浏览数据的采集模块、数据预处理和存储模块。异常检测分析收集的用户浏览行为数据包括个人用户行为异常检测模块、用户组行为异常检测模块、信息融合和内部威胁检测结果输出模块。

(1)web浏览数据采集模块：在组织或者企业内需要监控的、重要人员的主机上部署审计节点，用来采集主机的web浏览数据，采集通过浏览器访问的在线资源或系统；

(2)数据预处理和存储模块：通过审计节点采集的web浏览原始数据发送到服务器，并将数据存储到服务器的数据库中，由于原始数据包含重复审计的冗余数据和数据字段不完整的不完整数据，需要对数据进行过滤，提取出有效的数据，并将预处理之后的有效数据再次存储到数据库中，以便异常检测进行数据分析；

(3)个人用户行为异常检测模块：在组织或者企业内部，用户的工作任务和兴趣爱好随着时间的变化是动态改变的，通过从服务器的数据库中抽取个人web浏览数据，利用幂分布建立个人用户正常的行为改变模型，根据个人用户浏览行为的改变偏离幂分布的程度评估个人用户行为的异常程度，即异常得分；

(4)用户组行为异常检测模块：由于在组织或者企业内部同一个用户组执行相似的工作任务或相同的项目，使得个人用户与该用户组中的其他用户的行为或行为的改变具有相对一致性，因此根据用户浏览行为与用户组中其他用户行为的偏离程度评估用户在用户组行为中的异常程度，即异常得分；同时该模块建立了组织或者企业内用户关系网络并利用图聚类方法实现了用户组关系的自动抽取，减少了人工标注用户组的工作量；

(5)信息融合模块：由于组织或者企业内用户的行为既具有个人的动态变化性也具有用户组的行为相对一致性，因此利用权重的线性模型融合个人用户行为和用户组行为。通过结合个人用户行为的异常程度和用户组行为的异常程度来综合考虑用户行为的异常，能够提高检测的准确率和降低检测的误报率，对于最终融合的异常得分，通过设定的阈值判定并输出检测到的内部威胁。

下面对上述5个模块分别进行详细说明。

步骤1:web浏览数据采集模块

(1)在组织或者企业内需要监控的、重要人员的主机上部署审计节点；

(2)审计节点实时采集该主机上用户通过浏览器访问的在线资源或系统，审计的数据字段包括：访问时间、主机编号、用户名、域名。

(3)将审计的web浏览原始数据实时发送到服务器。

步骤2:数据预处理和存储模块

(1)将审计节点实时发送的web浏览原始数据存储到服务器的数据库中；

(2)由于审计节点可能多次发送同一条浏览数据，因此对于重复的冗余数据进行过滤。对于相同时间点相同的浏览数据，只保留一条数据记录，删除其余的数据记录；

(3)原始数据中包含访问时间、主机编号、用户名、域名4个字段，删除原始数据中字段缺失的不完整数据；

(4)将相同主机编号下的相同用户名的浏览数据作为一个单独的用户的浏览数据，并将该用户的web浏览数据按时间排序；

(5)将排序后的有效数据再次存储到数据库中，以便异常检测进行数据分析。

步骤3:个人用户行为异常检测模块

(1)首先选择数据库中4个用户的预处理之后的web浏览数据；

(2)预设定一天为一个时间段，将每个用户所有时间段的浏览数据中的域名字段按时间先后编号，不同的域名对应不同的编号；

(3)可视化每个人每天访问的不同域名见图2。图中横坐标表示不同的时间段，纵坐标表示用户在相应时间段内访问的不同的域名，不同的域名用不同的域名编号，即域名序列号表示。根据图2可知用户每天会浏览新的域名。新的域名指该时间段相较于之前的时间段新出现的域名；

(4)由于工作任务和兴趣的改变，用户每天会浏览新的域名。本发明利用幂分布建模用户正常浏览的域名变化分布，即新的域名和时间的关系函数。设定用户的不同的浏览时间段用t表示，则上述可以形式化表示为在第t个时间段一个用户访问的域名分布函数：

f(t)＝αt^γ+b(1)

函数f(·)为个人用户访问的域名随时间变化情况的幂分布函数，给定一个时间段t代入函数，f(t)则表示该用户第t个时间段访问的域名(域名编号)分布，其中α、γ和b为幂分布函数的参数；

(5)使用该用户前k个时间段浏览的域名数据，即1≤t≤k时间段的域名数据，通过最小二乘拟合幂分布函数，获得函数参数α、γ和b的值。最小二乘形式化表示为：

其中y(t)表示第t个时间段该用户实际上访问的域名(域名编号)，f(t)为幂分布下第t个时间段该用户正常访问的域名(域名编号)；

(6)对于待检测的时间段t(t＞k)，比较t时间段该用户浏览的域名编号偏离幂分布的程度来评估该用户行为改变异常，即：

zt为第t个时间段个人用户行为异常得分(异常程度)。其中y(t)表示第t个时间段该用户实际上访问的域名(域名编号)，f(t)为幂分布下第t个时间段该用户正常访问的域名。若实际访问的域名与预测的域名的偏差越大，则用户的行为越异常。因为恶意的活动一般需要访问新的资源，若实际访问的域名接近预测的域名，或者实际访问的域名曾经访问过，则认为用户的行为是正常行为；

(7)个人用户行为异常检测模块输出不同待检测时间段t的个人用户行为异常程度(异常得分)。若该用户有n个时间段，则异常得分可表示为向量z＝(zt)1×(n-k),k＜t≤n。[k,n]为待检测的时间段区间；

(8)对于数据库中所有的用户进行个人用户行为异常检测，并输出相应用户的异常得分向量。

步骤4:用户组行为异常检测模块

由于在组织或者企业内部用户不是孤立的，同一个用户组执行相似的工作任务或相同的项目，使得个人用户与该用户组中的其他用户的行为或行为的改变具有相对一致性，因此根据用户行为与用户组行为的偏离程度评估用户行为的异常得分(异常程度)。

(1)从数据库中提取预处理之后的所有用户的web浏览数据；

(2)使用所有用户前k个时间段浏览的域名构建二分图，二分图构建见图3，二分图的顶点为所有用户和浏览的域名，其中用户集合为域名集合为若一个用户访问了一个域名则该用户与域名之间用边连接，边上的权重为用户浏览域名的次数；

(3)利用邻接矩阵b表示二分图，邻接矩阵b构建见图3，其中的矩阵元素为：

其中count(＜uj,rg,time,pc＞)表示在一个时间段t内，在主机编号pc的主机上用户uj访问域名rg的次数，访问时间time∈t。邻接矩阵b总结了在一个时间段内用户访问域名的频率；

(4)根据邻接矩阵b，计算用户之间的距离。所有两两用户之间的距离可以表示为对称矩阵d＝(dij)：

dij表示用户ui∈u和用户uj∈u之间的距离；

(5)利用高斯核将用户之间的距离转化为用户之间的相似度，所有两两用户之间的相似度可以表示为相似矩阵a＝(aij)：

aij为用户ui∈u和用户uj∈u之间的相似度，与用户之间的距离负相关。其中σ为用户之间的距离方差；

(6)构建组织或者企业内用户关系网络，关系网络构建见图3，网络的顶点为所有用户，网络的边连接了两个用户，边上权重为用户与用户之间的相似度。用户关系网络形式化的表示为g＝(u,o,λ)，其中为所有用户，为边集，为正权重函数。边权重为l×l的对称相似矩阵a＝(aij)；

(7)利用图聚类算法自动发现组织或者企业内的用户组关系，减少人工标注用户组的工作量。为了自动挖掘用户组，使用[12]中的图聚类算法。对于一个用户子集ui∈s和计算用户ui和用户uj之间的相对相似度：

进一步地，计算用户ui和用户s\{ui}之间的全局相似度：

按照以下两个条件将不同的用户归为一个用户组

1)对于所有的ui∈s

2)对于所有的

(8)由于在组织或者企业内部同一个用户组执行相似的工作任务或相同的项目，使得个人用户与该用户组中的其他用户的行为或行为的改变具有相对的一致性。使用所有用户前k个时间段浏览的域名，通过比较一个用户浏览的域名与所属的用户组中其他用户浏览的域名的差别，来量化该用户与用户组的正常的行为一致性。对于待检测的时间段t(t＞k)，比较t时间段该用户浏览的域名与所属的用户组中其他用户浏览的域名的差别。比较待检测的t时间段域名的差别与前k个时间段域名的差别，将t时间段差别的偏离程度来评估该用户在用户组行为中的异常程度(异常得分)，上述可以形式化的表示为：

zt′为第t个时间段用户组行为异常得分(异常程度)。其中s为步骤(7)得到的一个用户组，和为用户ui∈u和用户up∈u之间的距离，即步骤(4)中的用户与用户之间的距离，k表示前k个时间段；

(9)用户组行为异常检测模块输出不同待检测时间段t的用户行为异常程度(异常得分)。若该用户有n个时间段，则异常得分可表示为向量z′＝(z′t)1×(n-k),k＜t≤n。[k,n]为待检测的时间段区间。

步骤5:信息融合模块

(1)对于待检测用户u∈u，将个人用户行为异常检测模块输出的该用户的不同待检测时间段t的个人用户行为异常得分归一化

(2)对于待检测用户u∈u，将用户组行为异常检测模块输出的该用户的不同待检测时间段t的用户行为异常得分归一化：

(3)由于组织或者企业内用户的行为既具有个人的动态变化性也具有用户组的行为相对一致性，因此利用权重的线性模型融合归一化之后的个人用户行为的异常得分和用户组行为的异常得分，来综合考虑用户行为的异常。

ht＝(1-w)·at+w·at′

ht为第t个时间段用户行为的最终异常得分(异常程度)，即最终融合结果，其中w∈[0,1]为权重因子用来调节个人用户行为异常检测和用户组行为异常检测的权重。当w＝1时，只存在用户组行为异常检测，当w＝0时，只存在个人用户行为异常检测。

(4)若待检测用户u有n个时间段，则该用户在不同待检测时间段t的最终的异常得分表示为向量h＝(ht)1×(n-k),k＜t≤n。[k,n]为待检测的时间段区间。

(5)对于待检测用户u，将最终融合的不同待检测时间段t的异常得分，即h中的每一维元素，与设定的阈值相比较，若大于阈值则该系统判定该用户u在时间段t行为异常，并输出检测到的该异常，即内部威胁。预设定阈值为80％的待检测时间段异常得分分布区间的上限。例如，80％的待检测时间段异常得分分布区间为[0,0.85]，则设定阈值为0.85，即异常得分大于0.85的待检测时间段为异常。

(6)对于数据库中所有的用户通过信息融合进行异常检测，并输出检测到的所有异常。由于内部威胁检测同时考虑了个人用户行为和用户组行为两个方面，提高了该系统检测的准确率，降低了系统检测的误报率。

提供以上实施例仅仅是为了描述本发明的目的，而并非要限制本发明的范围。本发明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修改，均应涵盖在本发明的范围之内。