內部人員發(fā)起的惡意行為會對企業(yè)造成安全威脅,這一威脅存在界限模糊、樣本數據較少等檢測難點。文章提出一種 LSTM(Long Short Term Memory)回歸模型,通過對時間序列的回歸分析,輸出對用戶行為序列的預測�？紤]到不同用戶間的差異性,根據用戶ID區(qū)別學習每個用戶的行為模式,使用更新的實時數據持續(xù)訓練模型,在測試時將預測值與實際值的差異作為異常分數。該方法不僅能夠實現(xiàn)對用戶行為的預測,還能夠依據學習到的正常行為模式檢測異常行為,解決內部威脅正例樣本不足的問題。

【文章頁數】：5 頁

【部分圖文】：

圖1內部威脅檢測通用框架及流程

對于內部威脅檢測而言,數據源通常為用戶在內部網絡及設備中產生的各類日志數據,如主機、路由器、服務器等�；谌罩緮祿治鲇脩粜袨�,及時發(fā)現(xiàn)異常,防止造成危害。檢測方案的通用框架及流程如圖1所示,主要步驟如下。1)數據準備,在主機、服務器、路由器等設備上收集需要的日志數據。

圖2模型結構

考慮到不同用戶間行為模式的差異性,將時間節(jié)點和用戶身份標識作為特征,建立LSTM回歸模型,模型通過區(qū)分用戶身份標識,進行不同的行為模式學習和檢測。以用戶日志作為內部威脅檢測的數據源,區(qū)分不同的事件域,如系統(tǒng)訪問記錄、文件訪問記錄、網絡訪問記錄等。日志數據隨著時間的增長不斷產生,是....

圖4ROC曲線對比

圖3訓練過程評估含有閾值設置的模型性能時,通常使用ROC(ReceiverOperatingCharacteristic)曲線作為一種客觀指標,他能夠刻畫模型在選取不同閾值時的敏感度(FalsePositiveRate,FPR)和精確度(TruePositiveR....

圖3訓練過程

將測試數據輸入訓練好的模型,測試數據包括正常行為和異常行為,得到預測結果并計算異常分數,結果如圖4所示。當閾值設置為1時,模型測試的敏感度為20%;當閾值設置為0.9時,敏感度達到100%,此時漏檢率為0,同時誤檢率會相應增高。內部威脅事件在數量龐大的日志數據中只占非常小的比例,....

本文編號：3897511