內(nèi)部人員發(fā)起的惡意行為會(huì)對(duì)企業(yè)造成安全威脅,這一威脅存在界限模糊、樣本數(shù)據(jù)較少等檢測(cè)難點(diǎn)。文章提出一種 LSTM(Long Short Term Memory)回歸模型,通過(guò)對(duì)時(shí)間序列的回歸分析,輸出對(duì)用戶行為序列的預(yù)測(cè)。考慮到不同用戶間的差異性,根據(jù)用戶ID區(qū)別學(xué)習(xí)每個(gè)用戶的行為模式,使用更新的實(shí)時(shí)數(shù)據(jù)持續(xù)訓(xùn)練模型,在測(cè)試時(shí)將預(yù)測(cè)值與實(shí)際值的差異作為異常分?jǐn)?shù)。該方法不僅能夠?qū)崿F(xiàn)對(duì)用戶行為的預(yù)測(cè),還能夠依據(jù)學(xué)習(xí)到的正常行為模式檢測(cè)異常行為,解決內(nèi)部威脅正例樣本不足的問(wèn)題。

【文章頁(yè)數(shù)】：5 頁(yè)

【部分圖文】：

圖1內(nèi)部威脅檢測(cè)通用框架及流程

對(duì)于內(nèi)部威脅檢測(cè)而言,數(shù)據(jù)源通常為用戶在內(nèi)部網(wǎng)絡(luò)及設(shè)備中產(chǎn)生的各類日志數(shù)據(jù),如主機(jī)、路由器、服務(wù)器等�；谌罩緮�(shù)據(jù)分析用戶行為,及時(shí)發(fā)現(xiàn)異常,防止造成危害。檢測(cè)方案的通用框架及流程如圖1所示,主要步驟如下。1)數(shù)據(jù)準(zhǔn)備,在主機(jī)、服務(wù)器、路由器等設(shè)備上收集需要的日志數(shù)據(jù)。

圖2模型結(jié)構(gòu)

考慮到不同用戶間行為模式的差異性,將時(shí)間節(jié)點(diǎn)和用戶身份標(biāo)識(shí)作為特征,建立LSTM回歸模型,模型通過(guò)區(qū)分用戶身份標(biāo)識(shí),進(jìn)行不同的行為模式學(xué)習(xí)和檢測(cè)。以用戶日志作為內(nèi)部威脅檢測(cè)的數(shù)據(jù)源,區(qū)分不同的事件域,如系統(tǒng)訪問(wèn)記錄、文件訪問(wèn)記錄、網(wǎng)絡(luò)訪問(wèn)記錄等。日志數(shù)據(jù)隨著時(shí)間的增長(zhǎng)不斷產(chǎn)生,是....

圖4ROC曲線對(duì)比

圖3訓(xùn)練過(guò)程評(píng)估含有閾值設(shè)置的模型性能時(shí),通常使用ROC(ReceiverOperatingCharacteristic)曲線作為一種客觀指標(biāo),他能夠刻畫(huà)模型在選取不同閾值時(shí)的敏感度(FalsePositiveRate,FPR)和精確度(TruePositiveR....

圖3訓(xùn)練過(guò)程

將測(cè)試數(shù)據(jù)輸入訓(xùn)練好的模型,測(cè)試數(shù)據(jù)包括正常行為和異常行為,得到預(yù)測(cè)結(jié)果并計(jì)算異常分?jǐn)?shù),結(jié)果如圖4所示。當(dāng)閾值設(shè)置為1時(shí),模型測(cè)試的敏感度為20%;當(dāng)閾值設(shè)置為0.9時(shí),敏感度達(dá)到100%,此時(shí)漏檢率為0,同時(shí)誤檢率會(huì)相應(yīng)增高。內(nèi)部威脅事件在數(shù)量龐大的日志數(shù)據(jù)中只占非常小的比例,....

本文編號(hào)：3897511