一种识别内部用户攻击行为的持续学习方法与流程

本发明涉及内部威胁检测和持续学习领域。

背景技术：

1、随着网络技术的迅猛发展，全球信息社会呈现出日益紧密的联系和深度的依赖。云计算、物联网、大数据等前沿技术的广泛应用，使得企业和个人在网络空间中获得了前所未有的便捷和效益。然而，与此同时，网络犯罪和安全威胁也在不断演化，对网络安全提出了更高的挑战。

2、在这个背景下，关注网络安全中的内部威胁[1]问题成为当务之急。内部威胁指的是内部用户对系统、数据和资源进行恶意或非法活动的潜在威胁。在先前内部威胁研究[2-4]中，基于学习的模型都是在“封闭世界”的假设前提下部署，期望真实生产环境中数据的分布与训练数据的分布大致匹配。然而,部署威胁检测模型的环境通常会随时间动态变化。这种变化可能既有内部用户无意识的行为产生的威胁，也包括攻击者行为的恶意突变。因此，真实数据的分布偏离了原始训练数据，这可能会导致模型出现严重故障[5]。而传统的内部威胁研究[6-7]更多是针对历史数据构建用户行为特征，然后建立检测模型检测已知的内部威胁，而如何应对随着时间变化所产生的新型威胁是急需解决的问题。

技术实现思路

1、在企事业单位中部署用于检测异常行为的深度学习异常检测模型往往都是根据已有的数据进行训练的，遵循“封闭世界”理论，检测模型只能识别已知威胁。为了能够使检测模型能够随着时间推移具备检测未知威胁的持续学习能力，本发明提出一种识别内部用户攻击行为的持续学习方法。通过引入编码器进行特征降维并结合基于距离解释的异常检测方法对未知威胁进行识别。

2、为了实验上述方案，步骤如下：

3、步骤1、构建用户行为特征；

4、步骤2、训练编码器进行特征降维；

5、步骤3、提出基于距离的解释方法识别异常样本。

6、有益效果：

7、本发明一种识别内部用户攻击行为的持续学习方法，不仅解决了内部威胁领域传统的异常检测模型无法识别未知威胁的问题；其次，发明了通过编码器进行特征降维的方式解决了高维空间中距离失衡的问题，并提出在低维空间中基于距离解释的异常检测方法，用以识别未知威胁，使模型具备持续学习的能力。

技术特征：

1.一种识别内部用户攻击行为的持续学习方法，其特征在于，包括以下步骤

2.根据权利要求1所述的识别内部用户攻击行为的持续学习方法，其特征在于，所述步骤1构建用户行为特征，包括以下步骤，2.1对cert数据集按照用户名进行行为提取；2.2按照时间信息进行排序，构建行为序列；2.3对行为进行原子化表示，按照如下方式进行行为映射{lgon：1，logoff：2，connect：3，disconnect：4，file：5，email：6，http：7}，构建用户行为特征向量x。

3.根据权利要求1所述的识别内部用户攻击行为的持续学习方法，其特征在于，所述步骤2训练编码器进行特征降维，包括以下步骤，3.1构建损失函数loss，使模型学习不同类别威胁之间的不相似性；3.2构建编码器解码器结构并训练，其中编码器和解码器部分都是由多个mlp层构成，编码器用于用户行为特征向量的特征降维，解码器用于重建用户行为特征向量

4.根据权利要求3所述的识别内部用户攻击行为的持续学习方法，其特征在于，损失函数loss由两部分组成，一部分是重建损失，一部分是各个类别之间差异性构成的损失，表示如下：

5.根据权利要求1所述的识别内部用户攻击行为的持续学习方法，其特征在于，所述步骤3提出基于距离的解释方法识别异常样本，包括以下步骤，5.1构建训练集z，它由各个类别的样本组成z＝{z1,z2,…,zn}，对于第i个类别训练数据为zi＝{x1,x2,…,xn}；5.2通过编码器进行特征降维zi＝{x1,x2,…,xn}，然后计算类别i的质心ci，计算方式为降维后每一维特征的均值，即5.3对于测试样本x，通过编码器降维后特征表示为x，然后计算其与各个类别的质心c的距离大小d，然后按照半径大小ρ判断此样本是否为异常样本。

技术总结
本发明提供了一种在内部威胁场景中识别内部用户攻击行为的持续学习方法，旨在解决随着时间推移，由历史数据构建的模型难以识别未知威胁的问题。在验证方法过程中，本发明采用公开的CERT数据集，以行为映射的方式构建用户行为特征；然后，通过编码器实现特征降维，解决了在高维空间中样本分布稀疏且难以通过学习距离度量识别异常样本的问题；通过构建损失函数对编码器和解码器进行训练来学习正常样本和各类异常样本之间的不相似性。最后，使用基于距离的解释方法用于识别异常样本，实现内部威胁场景下用户攻击行为检测模型具备一定持续学习能力，增强网络安全防护能力。

技术研发人员：崔磊,钱正浩,黄敬志,唐亮亮,沈伍强,郭志达,萧名谦
受保护的技术使用者：广东电网有限责任公司信息中心
技术研发日：
技术公布日：2024/4/17