[發(fā)明專利]基于跨域行為分析的內(nèi)部威脅檢測方法在審
| 申請?zhí)枺?/td> | 201810158573.5 | 申請日: | 2018-02-26 |
| 公開(公告)號(hào): | CN108063776A | 公開(公告)日: | 2018-05-22 |
| 發(fā)明(設(shè)計(jì))人: | 陳龍;王冬 | 申請(專利權(quán))人: | 重慶郵電大學(xué) |
| 主分類號(hào): | H04L29/06 | 分類號(hào): | H04L29/06 |
| 代理公司: | 重慶輝騰律師事務(wù)所 50215 | 代理人: | 王海軍 |
| 地址: | 400065 重*** | 國省代碼: | 重慶;50 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 行為 分析 內(nèi)部 威脅 檢測 方法 | ||
1.基于跨域行為分析的內(nèi)部威脅檢測方法,其特征在于,包括:
S1、提取并統(tǒng)計(jì)各個(gè)檢測域內(nèi)的用戶行為特征,并根據(jù)用戶行為特征來構(gòu)建用戶多域行為描述向量,并將所有用戶的用戶多域行為描述向量組成用戶多域行為描述矩陣;
S2、從用戶多域行為描述矩陣中提取用戶跨域行為特征矩陣和基模式矩陣;
S3、根據(jù)用戶跨域行為特征矩陣分析用戶跨域行為,確定嫌疑人并選取嫌疑人的對(duì)等用戶組;
S4、通過分析嫌疑人的行為和嫌疑人對(duì)等用戶組的行為來最終確定內(nèi)部攻擊者。
2.根據(jù)權(quán)利要求1所述的基于跨域行為分析的內(nèi)部威脅檢測方法,其特征在于,步驟S1包括:
S11、對(duì)各檢測域?qū)徲?jì)日志進(jìn)行預(yù)處理,根據(jù)處理結(jié)果提取用戶在各檢測域內(nèi)的用戶行為特征,并通過分析用戶行為特征間的相關(guān)性去除冗余的統(tǒng)計(jì)特征;
S12、選定多個(gè)時(shí)間窗口,逐一將每個(gè)時(shí)間窗口內(nèi)的用戶行為特征構(gòu)建成用戶多域行為描述向量,再將所有時(shí)間窗口生成的用戶多域行為描述向量組成用戶多域行為描述矩陣。
3.根據(jù)權(quán)利要求1所述的基于跨域行為分析的內(nèi)部威脅檢測方法,其特征在于,所述從用戶多域行為描述矩陣中提取用戶跨域行為特征矩陣和基模式矩陣包括:
使用非負(fù)矩陣分解技術(shù)分解用戶多域行為描述矩陣U
U
其中,用戶多域行為描述矩陣U
4.根據(jù)權(quán)利要求1所述的基于跨域行為分析的內(nèi)部威脅檢測方法,其特征在于,所述根據(jù)用戶跨域行為特征矩陣分析用戶跨域行為,確定嫌疑人并選取嫌疑人的對(duì)等用戶組包括:
使用高斯混合模型將用戶跨域行為特征矩陣的分布表示為多個(gè)高斯分布的線性組合,其中每一個(gè)高斯分布代表一種用戶行為模式;
使用k-均值聚類技術(shù)先行對(duì)用戶跨域行為特征進(jìn)行聚類,并將k-均值的聚類中心作為高斯混合模型的初始點(diǎn);
將規(guī)模較小的高斯分布中所包含的用戶跨域行為特征所對(duì)應(yīng)的用戶確定為嫌疑人;
選取與嫌疑人的背景信息相似的用戶作為嫌疑人的對(duì)等用戶組。
5.根據(jù)權(quán)利要求1所述的一種基于跨域行為分析的內(nèi)部威脅檢測方法,其特征在于,所述通過分析嫌疑人及其對(duì)等用戶組的行為來最終確定內(nèi)部攻擊者包括:
計(jì)算嫌疑人和嫌疑人的對(duì)等用戶組標(biāo)準(zhǔn)行為的偏離程度并和偏離程度閾值比較,若偏離程度大于等于偏離程度閾值,則認(rèn)為該嫌疑人的行為是內(nèi)部攻擊行為,該嫌疑人是內(nèi)部攻擊者;否則,則認(rèn)為該嫌疑人的行為是正常的行為變化。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于重慶郵電大學(xué),未經(jīng)重慶郵電大學(xué)許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810158573.5/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 上一篇:一種紡織布用染料機(jī)
- 下一篇:一種磁性書寫黑白板系統(tǒng)
