一种内部安全威胁检测方法、系统、设备及存储介质

1.本发明涉及计算机网络安全技术领域，尤其涉及一种内部安全威胁检测方法、系统、设备及存储介质。


背景技术：

2.随着互联网体系设施规模的不断增长，其面临的网络安全威胁日渐突出。根据安全公司intelmcafee实验室2016年发布的《迈克菲实验室威胁报告：2016年12月》统计显示，企业43％的安全威胁来源于内部人员。通常，网络内部的攻击者拥有授权可以访问敏感数据，很容易扰乱系统稳定运行，甚至产生灾难性的经济和安全后果。卡耐基梅隆大学cert研究中心将内部威胁(insiderthreats)定义为由恶意或无意的内部人员实施的威胁，他们利用自身对组织的网络、系统和数据的高访问权限，影响着组织数据的机密性、完整性、可用性、信息系统的安全性。
3.内部威胁的发起者可能是正常用户中的背叛人员或者冒充成用户的伪装人员，也有可能是系统存在缺陷被黑客利用而渗透。无论威胁是被哪些人发起的，它们的行径都会被系统记录。内部威胁检测方法利用存储着所有用户活动的网络流量或网络日志等数据中筛选出可疑对象并做出应对决策。现有的内部威胁检测方法主要分为基于规则匹配方法、基于统计学习的方法以及基于图的方法三类：基于规则匹配的方法使用人工定义的规则检测数据泄露，需要检测者具有较多的专家知识，并且无法应对经验之外的攻击；基于统计学习的方法需要人工设计特征工程，从原始的日志流中提取多维度连续或离散特征，再利用诸如支持向量机、马尔可夫或者深度学习模型等完成检测，扩展性不强；基于图的方法从图网络中学习正常模式，使用最小描述长度(minimisingdescription length)来检测测试图中的异常模式。这些方法有的会由于数据信息不均衡，检测结果不理想；有些在固定的检测模式下，由于现实生活中人的行为模式可能会有很大变化，某些正常活动可能会被误检测为异常而产生较高的假阳性。
4.根据内部威胁人员的攻击特点，若将用户在局域网主机上的通信活动作为结点自身信息，局域网主机间的交互连接作为边缘信息，则攻击人员的行为可以抽象成图模型，因而基于图的方法在欺诈检测、社交网络分析、入侵检测和复杂网络的抗毁性等异常检测中得到广泛使用，这些方法可以分为静态图模型检测和图时间序列中检测这两种方法。在静态图模型检测中，检测可以根据子图与其它区域的特征的差异性判断异常，或者是根据表征图的全局特征在图的集合中检测异常图；在图时间序列检测中，则可以根据节点信息的变化构建结点活动模式，并检测出异常活动。然而，已有的研究表明，内部威胁的攻击链往往非常复杂，隐蔽性极高，持续时间也很长，现有的图方法虽然可以很好地模型化网络数据蕴含地信息，但并不能很好地同时刻画用户-系统的时空关系，导致检测准确率不高。


技术实现要素：

5.本发明的目的是提供一种内部安全威胁检测方法、系统、设备及存储介质，充分考
虑了用户时序操作上下文相互作用以及不同节点操作之间的相互影响，实现了高精度的内部威胁检测。
6.本发明的目的是通过以下技术方案实现的：
7.一种内部安全威胁检测方法，包括：
8.利用用户行为日志序列，构建以主机为节点，用户在主机之间的行为作为节点连边的用户行为交互图；
9.结合不同时间尺度对所述用户行为日志序列进行划分，获得不同时间尺度的节点连边对应的所有时序下的用户行为特征序列；对于当前时间尺度，将所述用户行为交互图中的每一节点，利用注意力机制聚合每一时序下与其所有邻居节点连边对应的用户行为特征序列，获得每一节点包含所有时序的边缘增强节点表征序列；每一节点包含所有时序的边缘增强节点表征序列均分别通过多头注意力机制提取用户行为的全局依赖关系，获得每一节点的时序特征，对每一节点的时序特征进行扩散卷积后进行聚合，获得用户行为交互图的时空表征；
10.聚合所有时间尺度下的用户行为交互图的时空表征，并进行分类，获得用户行为日志序列为正常序列或恶意序列的分类结果。
11.一种内部安全威胁检测系统，包括：
12.用户行为交互图构建单元，用于利用用户行为日志序列，构建以主机为节点，用户在主机之间的行为作为节点连边的用户行为交互图；
13.用户行为交互图的时空表征计算单元，用于结合不同时间尺度对所述用户行为日志序列进行划分，获得不同时间尺度下节点连边对应的用户行为特征序列；对于当前时间尺度，将所述用户行为交互图中的每一节点，利用注意力机制聚合与所有其邻居节点连边对应的用户行为特征序列，获得每一节点的边缘增强节点表征序列；每一节点的边缘增强节点表征序列分别通过多头注意力机制提取用户行为的全局依赖关系，获得每一节点的时序特征，对每一节点的时序特征进行扩散卷积后进行聚合，获得用户行为交互图的时空表征；
14.时空表征聚合与分类单元，用于聚合所有时间尺度下的用户行为交互图的时空表征，并进行分类，获得用户行为日志序列为正常序列或恶意序列的分类结果。
15.一种处理设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序；
16.其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现前述的方法。
17.一种可读存储介质，存储有计算机程序，当计算机程序被处理器执行时实现前述的方法。
18.由上述本发明提供的技术方案可以看出，将用户的一系列交互行为与网络结构拓扑建模成用户行为交互图，并有效利用了网络日志流中多维度异构信息来增强节点的特征表示，并采取边缘增强的节点特征嵌入方法，结合了多头注意力机制提取节点的时序信息，利用扩散卷积学习用户交互图的空间关系，最大限度地实现了时序信息和空间信息的融合，实现了高精度的内部威胁检测，能够更好地保障局域网内部的安全。
附图说明
19.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。
20.图1为本发明实施例提供的一种内部安全威胁检测方法的框架图；
21.图2为本发明实施例提供的用户行为交互图的示意图；
22.图3为本发明实施例提供的多通道特征聚合的示意图；
23.图4为本发明实施例提供的用户多时间尺度行为聚合及分类检测的示意图；
24.图5为本发明实施例提供的一种内部安全威胁检测系统的示意图；
25.图6为本发明实施例提供的一种防御场景示例的示意图；
26.图7为本发明实施例提供的一种处理设备的示意图。
具体实施方式
27.下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。
28.首先对本文中可能使用的术语进行如下说明：
29.术语“包括”、“包含”、“含有”、“具有”或其它类似语义的描述，应被解释为非排它性的包括。例如：包括某技术特征要素(如原料、组分、成分、载体、剂型、材料、尺寸、零件、部件、机构、装置、步骤、工序、方法、反应条件、加工条件、参数、算法、信号、数据、产品或制品等)，应被解释为不仅包括明确列出的某技术特征要素，还可以包括未明确列出的本领域公知的其它技术特征要素。
30.下面对本发明所提供的一种内部安全威胁检测方法、系统、设备及存储介质进行详细描述。本发明实施例中未作详细描述的内容属于本领域专业技术人员公知的现有技术。本发明实施例中未注明具体条件者，按照本领域常规条件或制造商建议的条件进行。本发明实施例中所用试剂或仪器未注明生产厂商者，均为可以通过市售购买获得的常规产品。
31.实施例一
32.目前，内部威胁的对安全设备的透明性和行为的隐蔽性，使得内部威胁的检测方法存在诸多挑战：1)日志数量巨大，且存在大量异构信息，不方便处理，即正常行为和恶意行为存在数据量上的不平衡性；2)攻击行为很难被捕捉，且攻击者可以利用先验知识来伪装和躲避检测；3)用户的行为同时具备时间和空间特征，如何选择正确的特征维度根据用户信息建立高精度的行为模型。基于以上考虑，本发明将用户的行为日志作为数据来源，根据用户之间的交互信息构建行为交互图，采用神经网络方法建立行为评价模型，实现对内部威胁的检测。
33.本发明将针对来自网络内用户的主机登录日志进行内部检测。主机登录日志记录了用户登录的时间、ip、类型、身份、关联部门等信息，可以反映用户的行为模式。同时，本发
明提出时空图神经网络(spatial-temporal graph neural network)的内部威胁检测方案，将基于图的检测方法与神经网络结合起来，利用网络的主机拓扑信息(即空间特征)和日志内用户的时序信息，捕捉用户的行为状态变化，从不同尺度发掘用户行为的时空关系，构建用户行为交互图，并从中检测会对系统造成威胁的恶意行为。图1展示本发明的整体框架，其主要包括如下步骤：
34.步骤1、利用用户行为日志序列，构建以主机为节点，用户在主机之间的行为作为节点连边的用户行为交互图。
35.用户行为交互图描述了用户在内部网络(例如，企业或学校的内部网络)的拓扑结构中进行的一系列通信和交互行为。用户行为交互图具有特征的节点(顶点)表示内部局域网络中对应的主机及其属性(如进程日志或告警记录的数量)，边表示用户在不同主机之间发生的行为事件(如远程登录或dns查询)。
36.步骤2、结合不同时间尺度对所述用户行为日志序列进行划分，获得不同时间尺度的节点连边对应的所有时序下的用户行为特征序列；对于当前时间尺度，将所述用户行为交互图中的每一节点，利用注意力机制聚合每一时序下与其所有邻居节点连边对应的用户行为特征序列，获得每一节点包含所有时序的边缘增强节点表征序列；每一节点包含所有时序的边缘增强节点表征序列均分别通过多头注意力机制提取用户行为的全局依赖关系，获得每一节点的时序特征，对每一节点的时序特征进行扩散卷积后进行聚合，获得用户行为交互图的时空表征。
37.用户的行为交互图中保留了来自数据源(用户行为日志序列)的内部网络的结构信息和其他重要细节。对于同一个局域网，主机节点是相对统一的，但用户在不同主机之间的交互不同，包括身份验证、网络流、dns查找等，如图2所示。这些行为事件包含了用户日常工作行为的重要信息。因此，需要进一步利用行为交互图中的多维边缘特征来获取交互信息。
38.本步骤中，首先按照不同时间尺度用户行为日志序列进行划分，例如，按照每一小时、每一天、每一周、每一月等时间尺度进行划分。之后，对于每一时间尺度的所有时序下的用户行为特征进行处理包括：1)对每一节点，注意力机制聚合每一时序下与其所有邻居节点连边对应的用户行为特征序列，获得包含所有时序的边缘增强节点表征序列。2)通过多头注意力机制提取用户行为的全局依赖关系，获得每一节点的时序特征。3)对每一节点的时序特征进行扩散卷积后进行聚合。下面针对以上三部分处理的优选实施方案进行介绍。
39.1)对每一节点，注意力机制聚合每一时序下与其所有邻居节点连边对应的用户行为特征序列，获得包含所有时序的边缘增强节点表征序列，主要步骤包括：
40.a)对于用户行为交互图中的节点v，在当前时间尺度划分下划分为l个时序，则共有l个用户行为特征序列，每一个用户行为特征序列都包含节点v与所有其邻居节点连边对应的用户行为特征。
41.b)每一个用户行为特征序列均利用注意力机制聚合，获得节点v新的节点嵌入特征，并结合节点v自身的属性向量，获得每一个用户行为特征序列对应的边缘增强节点表征。
42.c)综合l个用户行为特征序列对应的边缘增强节点表征，获得节点v包含所有时序的边缘增强节点表征序列。
43.上述方式可称为边缘增强的特征嵌入方法，下面针对具体的处理方式进行介绍，介绍时以单个时序为例。
44.将第l个时序对应的用户行为特征序列中节点v与邻居节点u连边对应的用户行为特征记为e
vu
，u∈nv，nv表示节点v的邻居节点集合。
45.e
vu
为p维的边缘特征张量，表示e
vu
的第p维的边缘特征，本发明实施例中，对于具有多种行为活动的用户，将p维边缘特征视为p通道信号，每个通道信号可以分别引导一个独立的操作。归一化注意系数计算方式为：
[0046][0047][0048][0049]
其中，l＝1,
…
,l，p为边缘特征张量的总维度，f(.)为生成重要性标量的函数，分别表示节点v与邻居节点u、节点v邻居节点s的经过重要性标量加权的向量，表示节点v与邻居s节点连边对应的用户行为特征e
vs
中的第p维的边缘特征，leakyrelu为激活函数，nv表示节点v的邻居节点集合；h
′v、h
′u、h
′s分别表示节点v、邻居节点u、邻居节点s的原始节点嵌入特征，所有节点的原始节点嵌入特征均为随机化生成。
[0050]
上述生成重要性标量的函数f(.)可以定义为：
[0051]
f(h
′v,h
′u)＝wf(h
′v||h
′u)
[0052]
其中，wf表示计算重要性标量的线性权重参数。
[0053]
所有的p维的边缘特征都采用以上方式进行处理，再基于注意机制聚合所有邻居节点的原始节点嵌入特征和相应的边缘特征，生成节点v的新的节点嵌入特征，表示为：
[0054][0055]
其中，||表示拼接操作，σ表示sigmoid激活函数，wh表示线性权重参数。
[0056]
图3展示了以上处理过程的示例，该示例中p＝3，如之前所述，对于具有多种行为活动的用户，将p维边缘特征被视为p通道信号，每个通道信号可以分别引导一个独立的操作，若两个节点存在某一个通道相连，则可以认为这两个节点为邻居节点。
[0057]
最后，将节点v的新的节点嵌入特征hv与其自身的属性向量kv拼接，得到节点v第l个时序的边缘增强节点表征：
[0058][0059]
其中，节点自身的属性向量kv是将对应主机的属性转换得到的向量，如之前所述，主机的属性可以是如进程日志或告警记录的数量等等与主机相关的信息。其余时序也是参照上述方式进行处理，最终综合节点v的l个时序的边缘增强节点表征，获得节点v包含所有时序的边缘增强节点表征序列
[0060]
显然，对于其他节点也是采用以上方式获取所有时序的边缘增强节点表征序列。
[0061]
本发明提出的上述边缘增强的特征嵌入方法，可以将所有不同通道的边缘特征所产生的结果和节点本身的属性特征通过拼接操作组合。通过这种方法，可以将p维边缘特征无缝地聚合到节点表征中，有助于捕获整个目标网络的结构和语义信息。
[0062]
2)通过多头注意力机制提取用户行为的全局依赖关系，获得每一节点的时序特征。
[0063]
上述边缘增强的特征嵌入方法可以帮助捕获用户交互节点的局部时序信息。然而，在用户恶意行为检测问题中，时序信息可能不仅仅是顺序依赖的。例如，对于攻击者来说，攻击持续时间短则仅持续几分钟，长则持续数个月。在这种情况下，攻击的时序事件需要结合局域网内的全局时序信息来完成检测。因此，获取全局的时序信息对恶意行为检测具有重要意义。因此，在边缘增强特征嵌入之后，本发明采用多头注意力机制来直接捕获全局依赖关系。
[0064]
与边缘增强的特征嵌入类似，多头注意力机制也作用于每一个节点。对于当前时间尺度下，节点v包含所有时序的边缘增强节点表征序列为注意力函数的输入包括查询矩阵键矩阵和值矩阵即查询矩阵q与键矩阵k的维度参数相同，均为dk，值矩阵v的维度参数为dv。通过注意力机制将节点v的边缘增强节点表征序列hv分别投影至查询矩阵q、键矩阵k与值矩阵v上，表示为：
[0065]qv
＝hvwq,kv＝hvwk,vv＝hvwv[0066]
其中，wq、wk与wv是所有节点共享的待学习的三个投影矩阵，qv、kv与vv是投影后的查询矩阵、键矩阵与值矩阵。
[0067]
注意力函数表示为：
[0068][0069]
其中，t为矩阵转置符号，dk为键矩阵k的维度参数。
[0070]
以上介绍的是单一的注意力机制，与单一的注意力机制相比，多头注意力机制可以聚合来自不同表示子空间的信息，从而增强模型的表示能力。在多头注意力机制中，利用m组投影矩阵将hv投影到m组不同的查询矩阵、键矩阵与值矩阵上，多头注意力的结果是每个单头注意力输出的拼接，表示为：
[0071][0072][0073]
其中，headm表示第m组投影矩阵的注意力函数，与分别为第m组投影矩阵投影后的查询矩阵、键矩阵与值矩阵；dk为键矩阵的维度参数；wo表示多头注意力机制的参数；||表示拼接操作；t为矩阵转置符号。
[0074]
对多头注意力的结果multiheadattention(hv)进行线性变换，获得节点v的时序特征mv。
[0075]
同样的，对于其他节点也是采用以上方式获得时序特征。
[0076]
3)对每一节点的时序特征进行扩散卷积后进行聚合。
[0077]
除了考虑用户在不同节点上行为演化模式的全局依赖性外，本发明还进一步将节点间的空间拓扑关系纳入预测框架。一方面，攻击者通过被攻破的账户进行横向移动有一个共同的特点：攻击者的访问模式不包括被攻破的账户经常访问的系统/主机。这种不常见访问/行为轨迹可能是凭证被盗或授权用户将要采取危险行动的迹象。另一方面，对于数据服务器这类拥有大量重要数据的关键主机，往往被攻击者选择为攻击的目标。用户对于这类网络中的节点往往包含者更为关键的信息。
[0078]
本发明借鉴发展了li等人在2018年提出的扩散图卷积网络结构来学习用户交互图中的空间依赖。相对于主要针对于无向图的普通图卷积，扩散卷积的主要优势在于它可以处理有向图上的卷积，并且可以和时间预测模型结合起来，目前已经在交通预测领域取得了比之前更好的效果。
[0079]
本步骤中，利用扩散图神经网络模型对每一节点的时序特征进行扩散卷积操作，并进行维度映射，获得节点的扩散卷积表征；将所有节点的扩散卷积表征聚合，获得用户行为交互图的时空表征。具体来说：
[0080]
对于用户行为交互图g，定义a表示由节点交互事件加权的邻接矩阵，定义do＝a
·
i为出度对角矩阵，di＝a
t
·
i为入度对角矩阵，i表示单位矩阵，t为矩阵转置符号。
[0081]
本领域技术人员可以理解，a是用户行为交互图的邻接矩阵，矩阵大小为|ng|
×
|ng|，|ng|表示节点集合ng中的节点数目，矩阵的第i行第j列表示从节点i到节点j的连接关系，数值大小表示连接的强度，强度与节点i到节点j的发生的行为数量相关。
[0082]
对于用户行为交互图g中的节点v，通过扩散图神经网络模型执行节点的扩散卷积操作，生成新的特征表示：
[0083][0084]
其中，f
′
表示扩散卷积函数，mv表示节点v的时序特征，表示节点v的时序特征mv的第d
′
个维度，d
′
＝{1,
…
,d}，d表示节点v的时序特征mv的总维度，扩散卷积的卷积核参数θ＝{θ
k,1
，θ
k,2
}，扩散卷积的卷积核参数θ
k,1
，，表示实数集，k代表扩散步骤。
[0085]
本发明构建了一个扩散卷积层，将d维特征映射到b维输出，获得节点的扩散卷积表征，参数映射过程表示为：
[0086][0087]
其中，θ
b,d
′
表示将原始的d
′
维度映射到b维度的卷积核参数，为通过扩散卷积层映射后得到的第b维输出，b＝{1,
…
,b}；节点v的扩散卷积表征记为λs。
[0088]
同样的，对于其他节点也是采用上述方式获得节点的扩散卷积表征。
[0089]
由于本发明的任务是做图分类，而非节点分类。因此在得到所有节点的扩散卷积表征后，通过聚合函数，将所有节点的扩散卷积表征聚合，获得用户行为交互图的时空表征λ，表示为：
[0090]
[0091]
其中，ng表示用户行为交互图g的节点集合，aggregate表示聚合函数(可以为均值函数或者注意力函数)。
[0092]
以上是以单个尺度为例介绍，单个尺度下获得用户行为交互图的时空表征的方式，其他时间尺度也是采用相同的计算方式，故不做赘述。
[0093]
步骤3、聚合所有时间尺度下的用户行为交互图的时空表征，并进行分类，获得用户行为日志序列为正常序列或恶意序列的分类结果。
[0094]
在许多情况下，用户操作可能随时间变化，并且需要考虑多个上下文，以便处理关于可疑行为的警报。此外，网络攻击的持续时间极不稳定，通常与攻击者自身的状态有关。例如分布式拒绝服务攻击可能仅仅持续几个小时，即将离职的员工可能仅仅在离职前的几分钟内疯狂外传机密数据，长期潜伏的高级持续性威胁则有可能存在长达几个月之久。因此仅仅采用一种时间尺度的特征表示往往不能应对网络中存在的所有威胁，而如果同时训练多个时间尺度模型则会造成非常大的计算开销和人力资源，本发明中不同时间尺度模型的结构是一致的，但是参数存在区别。
[0095]
本发明通过引入一个门机制来聚合所有时间尺度下的用户行为交互图的时空表征，具体来说，利用门控聚合机制对j个时间尺度下的用户行为交互图的时空表进行基于参数矩阵的求和操作，获得用户行为交互图的整体时空表征λ
totality
，将第j个时间尺度下的用户行为交互图的时空表征记为λj(也就是通过前述方式计算的单个尺度下的λ)，j＝1,
…
,j，表示j时间尺度的种类数目，聚合过程表示为：
[0096][0097]
其中，符号表示哈达玛积，wj表示第j个时间尺度的线性参数矩阵。
[0098]
如之前所述，可以按照每一小时(h)、每一天(d)、每一周(w)、每一月(m)等时间尺度进行划分，即j＝4，可以定义λj，j＝{h,d,w,m}。如图4所示，展示了每一时间尺度下的处理过程，其中的时序图神经网络表示执行前述步骤2的网络。通过聚合所有尺度下的用户行为交互图的时空表征获得用户行为日志序列为正常序列或恶意序列的分类结果，正常序列或恶意序列也就表明了相应用户为正常用户或是恶意用户。
[0099]
总体来说，本发明实施例上述方案，不需要设计精细化的特征工程，也不是采取启发式的算法求解局部最优，而是通过将用户在局域网中的一系列交互行为建模成时序图的形式，把局域网网络结构拓扑与用户时序行为相结合，并有效利用了网络日志流中多维度异构信息来增强节点的特征表示，最后引入了时序图神经网络来处理。本发明解决了内部威胁检测中通常忽略网络拓扑结构的问题，并且充分考虑了用户时序操作上下文相互作用以及不同节点操作之间的相互影响，实现了高精度的内部威胁检测。本发明采取一种边缘增强的节点特征嵌入方法，结合了多头注意力机制提取单节点的时序信息，利用扩散卷积学习用户交互图的空间关系，最大限度地实现了时序信息和空间信息的融合，并开发了一种策略来结合用户以往的行为模式和当前的行为模式(即前文基于多头注意力机制获得节点时序表征)，以便更好地保障局域网内部的安全。综上所述，本发明提供了一种在实际环境下适用性更好的基于时序图神经网络的内部安全威胁恶意检测方法。
[0100]
实施例二
[0101]
本发明还提供一种内部安全威胁检测系统，其主要基于前述实施例一提供的方法
实现，如图5所示，该系统主要包括：
[0102]
用户行为交互图构建单元，用于利用用户行为日志序列，构建以主机为节点，用户在主机之间的行为作为节点连边的用户行为交互图；
[0103]
用户行为交互图的时空表征计算单元，用于结合不同时间尺度对所述用户行为日志序列进行划分，获得不同时间尺度下节点连边对应的用户行为特征序列；对于当前时间尺度，将所述用户行为交互图中的每一节点，利用注意力机制聚合与所有其邻居节点连边对应的用户行为特征序列，获得每一节点的边缘增强节点表征序列；每一节点的边缘增强节点表征序列分别通过多头注意力机制提取用户行为的全局依赖关系，获得每一节点的时序特征，对每一节点的时序特征进行扩散卷积后进行聚合，获得用户行为交互图的时空表征；
[0104]
时空表征聚合与分类单元，用于聚合所有时间尺度下的用户行为交互图的时空表征，并进行分类，获得用户行为日志序列为正常序列或恶意序列的分类结果。
[0105]
所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将系统的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。
[0106]
随着网络技术的不断发展以及广泛应用，企业网作为最广泛的应用网络，承受着越来越多的攻击。企业网既要抵御来自外网的木马病毒渗透，又要提防来自内部员工的威胁。随着企业信息安全机制的建立建全，单纯想从外部渗透进入目标系统的攻击门槛不断提高；同时内部威胁的逐渐增多，也开始在各大安全报告中被频繁提及，引起了国外研究者的高度重视。本发明提出的系统可以很好地部署在企业内部局域网络中，对内部员工实现实时行为监控，及时发现恶意活动，保证企业数据系统安全，减少从而导致的诸如核心技术泄露、客户信息窃取等恶性事件。如图6所示，展示了一种防御场景的示例。
[0107]
在具体应用中，前述实施例一提供的方法可以部署在企业局域网内的安全防范系统中，可以专门用于国内敏感部门、企业的内部威胁检测。该系统通常部署在需要被保护的局域网之中，主要是对该企业或部门内部员工的一系列网络交互行为以及终端系统审计日志进行智能分析和判断。结构上可以由三部分组成：终端日志收集组件(负责收集用户行为日志)，边缘网关监控组件和中央控制面板(部署上述系统，可实现前述方法)。如果被监视的某个用户的行为经过检测威胁程度较大，如具有某种特征或者不同于日常活动的登录轨迹，安全检测系统就会采取相应措施。
[0108]
实施例三
[0109]
本发明还提供一种处理设备，如图7所示，其主要包括：一个或多个处理器；存储器，用于存储一个或多个程序；其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现前述实施例提供的方法。
[0110]
进一步的，所述处理设备还包括至少一个输入设备与至少一个输出设备；在所述处理设备中，处理器、存储器、输入设备、输出设备之间通过总线连接。
[0111]
本发明实施例中，所述存储器、输入设备与输出设备的具体类型不做限定；例如：
[0112]
输入设备可以为触摸屏、图像采集设备、物理按键或者鼠标等；
[0113]
输出设备可以为显示终端；
[0114]
存储器可以为随机存取存储器(random access memory，ram)，也可为非不稳定的存储器(non-volatile memory)，例如磁盘存储器。
[0115]
实施例四
[0116]
本发明还提供一种可读存储介质，存储有计算机程序，当计算机程序被处理器执行时实现前述实施例提供的方法。
[0117]
本发明实施例中可读存储介质作为计算机可读存储介质，可以设置于前述处理设备中，例如，作为处理设备中的存储器。此外，所述可读存储介质也可以是u盘、移动硬盘、只读存储器(read-only memory，rom)、磁碟或者光盘等各种可以存储程序代码的介质。
[0118]
以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。