基于LSTM回归模型的内部威胁检测方法

发布时间：2024-02-14 01:15

　　内部人员发起的恶意行为会对企业造成安全威胁,这一威胁存在界限模糊、样本数据较少等检测难点。文章提出一种 LSTM(Long Short Term Memory)回归模型,通过对时间序列的回归分析,输出对用户行为序列的预测。考虑到不同用户间的差异性,根据用户ID区别学习每个用户的行为模式,使用更新的实时数据持续训练模型,在测试时将预测值与实际值的差异作为异常分数。该方法不仅能够实现对用户行为的预测,还能够依据学习到的正常行为模式检测异常行为,解决内部威胁正例样本不足的问题。

【文章页数】：5 页

【部分图文】：

图1内部威胁检测通用框架及流程

对于内部威胁检测而言,数据源通常为用户在内部网络及设备中产生的各类日志数据,如主机、路由器、服务器等。基于日志数据分析用户行为,及时发现异常,防止造成危害。检测方案的通用框架及流程如图1所示,主要步骤如下。1)数据准备,在主机、服务器、路由器等设备上收集需要的日志数据。

图2模型结构

考虑到不同用户间行为模式的差异性,将时间节点和用户身份标识作为特征,建立LSTM回归模型,模型通过区分用户身份标识,进行不同的行为模式学习和检测。以用户日志作为内部威胁检测的数据源,区分不同的事件域,如系统访问记录、文件访问记录、网络访问记录等。日志数据随着时间的增长不断产生,是....

图4ROC曲线对比

图3训练过程评估含有阈值设置的模型性能时,通常使用ROC(ReceiverOperatingCharacteristic)曲线作为一种客观指标,他能够刻画模型在选取不同阈值时的敏感度(FalsePositiveRate,FPR)和精确度(TruePositiveR....

图3训练过程

将测试数据输入训练好的模型,测试数据包括正常行为和异常行为,得到预测结果并计算异常分数,结果如图4所示。当阈值设置为1时,模型测试的敏感度为20%;当阈值设置为0.9时,敏感度达到100%,此时漏检率为0,同时误检率会相应增高。内部威胁事件在数量庞大的日志数据中只占非常小的比例,....

本文编号：3897511