内部威胁检测中用户行为模式画像方法研究

TP391; 行为画像技术利用无标注历史数据构建用户行为"常态",是检测企业内部威胁的有效手段.当前标签式画像方法依赖人工提取特征,多用简单统计方法处理数据,导致用户画像模型缺少细节、不够全面.提出了一种行为特征自动提取和局部全细节行为画像方法,以及一种行为序列划分和全局业务状态转移预测方法,能够较全面地刻画用户行为模式.构建了一个基于行为画像的内部威胁检测框架,将局部描写与全局预测相结合,提高了检测准确率.最后用CMU-CERT数据集进行了实验,AUC(area under curve)得分0.88,F1得分0.925,可有效应用于内部威胁检测过程中....

Full description

Saved in:
Bibliographic Details
Published in通信学报 Vol. 39; no. 12; pp. 141 - 150
Main Authors 郭渊博, 刘春辉, 孔菁, 王一丰
Format Journal Article
LanguageChinese
Published 中国人民解放军61213部队,山西 临汾 041000 25.12.2018
中国人民解放军战略支援部队信息工程大学密码工程学院,河南 郑州,450001%中国人民解放军战略支援部队信息工程大学密码工程学院,河南 郑州 450001
Subjects
行为序列
profiling extraction
behavior sequence
hidden Markov model
insider threat
内部威胁
隐马尔可夫模型
画像提取
Online AccessGet full text
ISSN1000-436X
DOI10.11959/j.issn.1000-436x.2018282

Cover

More Information
Summary:TP391; 行为画像技术利用无标注历史数据构建用户行为"常态",是检测企业内部威胁的有效手段.当前标签式画像方法依赖人工提取特征,多用简单统计方法处理数据,导致用户画像模型缺少细节、不够全面.提出了一种行为特征自动提取和局部全细节行为画像方法,以及一种行为序列划分和全局业务状态转移预测方法,能够较全面地刻画用户行为模式.构建了一个基于行为画像的内部威胁检测框架,将局部描写与全局预测相结合,提高了检测准确率.最后用CMU-CERT数据集进行了实验,AUC(area under curve)得分0.88,F1得分0.925,可有效应用于内部威胁检测过程中.
ISSN:1000-436X
DOI:10.11959/j.issn.1000-436x.2018282