基于深度学习的用户异常行为特性分析系统及使用方法与流程

本发明涉及异常行为特性分析，特别是一种基于深度学习的用户异常行为特性分析系统及使用方法。

背景技术：

1、数据泄露及间谍事件的频繁发生使得内部威胁日益成为网络安全领域不可忽视的现实挑战。由于内部威胁的发起者为熟知系统架构和安全措施的授权员工，其造成的破坏要远大于来自外部的恶意攻击。因此，面对诸如系统破坏、信息泄露等内部威胁带来的严峻挑战，亟需提出行之有效的内部威胁检测方案。

2、目前采用的检测分析方案大多是基于规则匹配或简单的机器学习算法，对于简单的机器学习算法，在特征提取方面，现有的用户行为表征方案往往会忽视时间信息而导致模型构建不够完善，在一定程度上限制了用户异常行为特性分析的提升；在模型构建方面，现有方案在建立行为对比基线时仅考虑了个人行为随时间的变化情况，而忽略了同行成员行为间存在的空间关联性，进而降低了用户异常行为特性分析的准确性。

技术实现思路

1、有鉴于此，本发明的目的在于提供一种基于深度学习的用户异常行为特性分析系统及使用方法，可有效利用用户行为日志中存在的时间特性和空间特性，实现用户行为历史基线和同行基线的同步建立，进而提升内部威胁检测方案的性能。

2、为实现上述目的，本发明采用如下技术方案：一种基于深度学习的用户异常行为特性分析系统，包括特征提取模块、时间特性分析模块、空间特性分析模块以及整合异常分析模块；

3、所述特征提取模块用于根据用户行为，从用户日志信息库中提取出所述用户对应的基础特征，经过标码的基础特征作为时间特性分析和空间特性分析的基础；

4、所述时间特性分析模块用于拼接经标码的基础特征以及该基础特征的时间度量指标，实现用户行为混合集的构建，时间表征模型通过所述用户行为混合集得到训练；

5、所述空间特性分析模块用于获取同一角色用户的经标码的基础特征，并对空间共用组模型实现训练；

6、所述整合异常分析模块用于根据所述时间表征模型所获取的时间样本重建误差以及空间共用组模型所获取的空间样本重建误差，计算用户行为的异常程度。

7、在一较佳的实施例中，基础特征标码的具体方式包括：

8、将所述用户的多源日志信息中属于文本类型的日志信息提取出来；

9、按照以天为粒度的转换规则，将文本类型的日志信息转换为数值类型的频次特征项。

10、在一较佳的实施例中，用户的当天行为基础特征在窗口范围内的时间度量指标通过如下公式计算：

11、

12、

13、其中，wf,l,d为第一时间度量指标，vf,l,d为第一时间度量指标，gf,l,d、gf,l,d-t+j+1、gf,l,d-t+j分别为所述基础特征f在第d、d-t+j+1、d-t+j日特定特定时间区域l的频次测量值，j为时间窗口遍历值，为gf,l,d在所述窗口范围内的历史测量值，t为滑动窗口长度，β为指数加权平均系数，mean表示均值，std表示标准差。

14、在一较佳的实施例中，所述用户行为混合集的训练方式具体为：

15、将计算获得的所述时间度量指标拼接在经标码的基础特征的测量值后面，构建的所述用户行为混合集作为输入端，并以深度自标码器作为基础端，实现对所述时间表征模型的训练。

16、在一较佳的实施例中，所述空间共用组模型的训练方式具体为：

17、聚类所述经标码的基础特征形成以角色为唯一标识的数据集，获取数据集中属于同一角色用户经标码的基础特征，以该基础特征作为输入端，并以深度自标码器作为基础端，实现对所述空间共用组模型的训练。

18、在一较佳的实施例中，所述特征提取模块具体被配置为，依照时间顺序，对所述用户多源日志信息中的基础特征进行提取，并对提取获得的基础特征进行标码，以该经标码的基础特征为基础进行时间特性分析和空间特性分析。

19、在一较佳的实施例中，所述时间特性分析模块具体被配置为，将所述经标码的基础特征和该基础特征对应的时间度量指标拼接在一起，并构建用户行为混合集，所述时间表征模型通过用户行为混合集进行训练。

20、在一较佳的实施例中，所述空间特性分析模块具体被配置为，获取属于同一角色用户的经标码的基础特征，用于对所述空间共用组模型进行训练。

21、在一较佳的实施例中，所述整合异常分析模块具体被配置为，利用所述时间表征模型获取的时间样本重建误差和所述空间共用组模型获取的空间样本重建误差，计算所述用户行为的异常程度以确定内部威胁。

22、本发明还提供了一种基于深度学习的用户异常行为特性分析系统的使用方法，采用了上述的基于深度学习的用户异常行为特性分析系统；包括如下步骤：

23、步骤一：调用特征提取模块，根据用户行为，从用户日志信息库中提取出所述用户对应的基础特征，经过标码的基础特征作为时间特性分析和空间特性分析的基础；

24、步骤二：调用时间特性分析模块，拼接经标码的基础特征以及该基础特征的时间度量指标，实现用户行为混合集的构建，时间表征模型通过所述用户行为混合集得到训练；

25、步骤三：调用空间特性分析模块，获取同一角色用户的经标码的基础特征，并对空间共用组模型实现训练；

26、步骤四：调用整合异常分析模块，根据所述时间表征模型所获取的时间样本重建误差以及空间共用组模型所获取的空间样本重建误差，计算用户行为的异常程度。

27、与现有技术相比，本发明具有以下有益效果：

28、1.本发明提出了流程上更为简洁但性能上更为优越的时间和空间特性提取方法，降低了内部威胁智能检测方案的计算和存储开销。

29、2.本发明提出了一种新型的用户行为时空特征融合方案，能够实现检测过程中历史基线和同行基线的同步建立，从而提升了恶意用户的检测准确率，为内部威胁的智能化、实时化检测提供了重要的参考。

技术特征：

1.基于深度学习的用户异常行为特性分析系统，其特征在于，包括特征提取模块、时间特性分析模块、空间特性分析模块以及整合异常分析模块；

2.根据权利要求1所述的基于深度学习的用户异常行为特性分析系统，其特征在于，基础特征标码的具体方式包括：

3.根据权利要求1所述的基于深度学习的用户异常行为特性分析系统，其特征在于，用户的当天行为基础特征在窗口范围内的时间度量指标通过如下公式计算：

4.根据权利要求1所述的基于深度学习的用户异常行为特性分析系统，其特征在于，所述用户行为混合集的训练方式具体为：

5.根据权利要求1所述的基于深度学习的用户异常行为特性分析系统，其特征在于，所述空间共用组模型的训练方式具体为：

6.根据权利要求1所述的基于深度学习的用户异常行为特性分析系统，其特征在于，所述特征提取模块具体被配置为，依照时间顺序，对所述用户多源日志信息中的基础特征进行提取，并对提取获得的基础特征进行标码，以该经标码的基础特征为基础进行时间特性分析和空间特性分析。

7.根据权利要求1所述的基于深度学习的用户异常行为特性分析系统，其特征在于，所述时间特性分析模块具体被配置为，将所述经标码的基础特征和该基础特征对应的时间度量指标拼接在一起，并构建用户行为混合集，所述时间表征模型通过用户行为混合集进行训练。

8.根据权利要求1所述的基于深度学习的用户异常行为特性分析系统，其特征在于，所述空间特性分析模块具体被配置为，获取属于同一角色用户的经标码的基础特征，用于对所述空间共用组模型进行训练。

9.根据权利要求1所述的基于深度学习的用户异常行为特性分析系统，其特征在于，所述整合异常分析模块具体被配置为，利用所述时间表征模型获取的时间样本重建误差和所述空间共用组模型获取的空间样本重建误差，计算所述用户行为的异常程度以确定内部威胁。

10.基于深度学习的用户异常行为特性分析系统的使用方法，其特征在于采用了上述权利要求1至9中任意一项所述的基于深度学习的用户异常行为特性分析系统；包括如下步骤：

技术总结
本发明提供了一种基于深度学习的用户异常行为特性分析系统及使用方法，包括特征提取模块、时间特性分析模块、空间特性分析模块以及整合异常分析模块；所述特征提取模块用于根据用户行为；所述时间特性分析模块用于拼接经标码的基础特征以及该基础特征的时间度量指标；所述空间特性分析模块用于获取同一角色用户的经标码的基础特征，并对空间共用组模型实现训练；所述整合异常分析模块用于根据所述时间表征模型所获取的时间样本重建误差以及空间共用组模型所获取的空间样本重建误差；应用本技术方案可实现用户行为历史基线和同行基线的同步建立，进而提升内部威胁检测方案的性能。

技术研发人员：张坤三,郭敬东,罗富财,刘俊,沈立翔,吴丽进,郭蔡伟,纪文
受保护的技术使用者：国网福建省电力有限公司
技术研发日：
技术公布日：2024/1/13