內(nèi)部人員發(fā)起的惡意行為會對企業(yè)造成安全威脅,這一威脅存在界限模糊、樣本數(shù)據(jù)較少等檢測難點。文章提出一種 LSTM(Long Short Term Memory)回歸模型,通過對時間序列的回歸分析,輸出對用戶行為序列的預(yù)測�？紤]到不同用戶間的差異性,根據(jù)用戶ID區(qū)別學(xué)習(xí)每個用戶的行為模式,使用更新的實時數(shù)據(jù)持續(xù)訓(xùn)練模型,在測試時將預(yù)測值與實際值的差異作為異常分數(shù)。該方法不僅能夠?qū)崿F(xiàn)對用戶行為的預(yù)測,還能夠依據(jù)學(xué)習(xí)到的正常行為模式檢測異常行為,解決內(nèi)部威脅正例樣本不足的問題。

【文章頁數(shù)】：5 頁

【部分圖文】：

圖1內(nèi)部威脅檢測通用框架及流程

對于內(nèi)部威脅檢測而言,數(shù)據(jù)源通常為用戶在內(nèi)部網(wǎng)絡(luò)及設(shè)備中產(chǎn)生的各類日志數(shù)據(jù),如主機、路由器、服務(wù)器等�；谌罩緮�(shù)據(jù)分析用戶行為,及時發(fā)現(xiàn)異常,防止造成危害。檢測方案的通用框架及流程如圖1所示,主要步驟如下。1)數(shù)據(jù)準備,在主機、服務(wù)器、路由器等設(shè)備上收集需要的日志數(shù)據(jù)。

圖2模型結(jié)構(gòu)

考慮到不同用戶間行為模式的差異性,將時間節(jié)點和用戶身份標識作為特征,建立LSTM回歸模型,模型通過區(qū)分用戶身份標識,進行不同的行為模式學(xué)習(xí)和檢測。以用戶日志作為內(nèi)部威脅檢測的數(shù)據(jù)源,區(qū)分不同的事件域,如系統(tǒng)訪問記錄、文件訪問記錄、網(wǎng)絡(luò)訪問記錄等。日志數(shù)據(jù)隨著時間的增長不斷產(chǎn)生,是....

圖4ROC曲線對比

圖3訓(xùn)練過程評估含有閾值設(shè)置的模型性能時,通常使用ROC(ReceiverOperatingCharacteristic)曲線作為一種客觀指標,他能夠刻畫模型在選取不同閾值時的敏感度(FalsePositiveRate,FPR)和精確度(TruePositiveR....

圖3訓(xùn)練過程

將測試數(shù)據(jù)輸入訓(xùn)練好的模型,測試數(shù)據(jù)包括正常行為和異常行為,得到預(yù)測結(jié)果并計算異常分數(shù),結(jié)果如圖4所示。當閾值設(shè)置為1時,模型測試的敏感度為20%;當閾值設(shè)置為0.9時,敏感度達到100%,此時漏檢率為0,同時誤檢率會相應(yīng)增高。內(nèi)部威脅事件在數(shù)量龐大的日志數(shù)據(jù)中只占非常小的比例,....

本文編號：3897511