内部威胁检测中用户行为模式画像方法研究

作     者：郭渊博 刘春辉 孔菁 王一丰 GUO Yuanbo;LIU Chunhui;KONG Jing;WANG Yifeng

作者机构：中国人民解放军战略支援部队信息工程大学密码工程学院 中国人民解放军61213部队 

出 版 物：《通信学报》 (Journal on Communications)

年 卷 期：2018年第39卷第12期

页      面：141-150页

核心收录：

学科分类：081203[工学-计算机应用技术] 08[工学] 0835[工学-软件工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家自然科学基金资助项目(No.61602515 No.61501515) 

主　　题：行为序列 画像提取 内部威胁 隐马尔可夫模型 

摘      要：行为画像技术利用无标注历史数据构建用户行为常态,是检测企业内部威胁的有效手段。当前标签式画像方法依赖人工提取特征,多用简单统计方法处理数据,导致用户画像模型缺少细节、不够全面。提出了一种行为特征自动提取和局部全细节行为画像方法,以及一种行为序列划分和全局业务状态转移预测方法,能够较全面地刻画用户行为模式。构建了一个基于行为画像的内部威胁检测框架,将局部描写与全局预测相结合,提高了检测准确率。最后用CMU-CERT数据集进行了实验,AUC(area under curve)得分0.88,F1得分0.925,可有效应用于内部威胁检测过程中。