内部人员发起的恶意行为会对企业造成安全威胁,这一威胁存在界限模糊、样本数据较少等检测难点。文章提出一种 LSTM(Long Short Term Memory)回归模型,通过对时间序列的回归分析,输出对用户行为序列的预测。考虑到不同用户间的差异性,...内部人员发起的恶意行为会对企业造成安全威胁,这一威胁存在界限模糊、样本数据较少等检测难点。文章提出一种 LSTM(Long Short Term Memory)回归模型,通过对时间序列的回归分析,输出对用户行为序列的预测。考虑到不同用户间的差异性,根据用户ID区别学习每个用户的行为模式,使用更新的实时数据持续训练模型,在测试时将预测值与实际值的差异作为异常分数。该方法不仅能够实现对用户行为的预测,还能够依据学习到的正常行为模式检测异常行为,解决内部威胁正例样本不足的问题。展开更多
文摘内部人员发起的恶意行为会对企业造成安全威胁,这一威胁存在界限模糊、样本数据较少等检测难点。文章提出一种 LSTM(Long Short Term Memory)回归模型,通过对时间序列的回归分析,输出对用户行为序列的预测。考虑到不同用户间的差异性,根据用户ID区别学习每个用户的行为模式,使用更新的实时数据持续训练模型,在测试时将预测值与实际值的差异作为异常分数。该方法不仅能够实现对用户行为的预测,还能够依据学习到的正常行为模式检测异常行为,解决内部威胁正例样本不足的问题。
