(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111526630.9 (22)申请日 2021.12.15 (65)同一申请的已公布的文献号 申请公布号 CN 113919239 A (43)申请公布日 2022.01.11 (73)专利权人 军事科学院系统工程研究院网络 信息研究所 地址 100141 北京市丰台区大成路13号院 (72)发明人 杨林　李东阳　马琳茹　王晓磊　 张洪广　 (74)专利代理 机构 中国和平利用军工技 术协会 专利中心 1 1215 代理人 刘光德 (51)Int.Cl. G06F 30/27(2020.01)G06F 17/16(2006.01) G06K 9/62(2022.01) G06V 10/762(2022.01) G06V 10/774(2022.01) G06V 10/764(2022.01) (56)对比文件 CN 110737890 A,2020.01.31 CN 113474776 A,2021.10.01 US 2004015460 A1,2004.01.22 审查员 邹予婷 (54)发明名称 一种基于时空特征融合的内部威胁智能检 测方法和系统 (57)摘要 本发明提出一种基于时空特征融合的内部 威胁智能检测方法和系统。 方法利用用户行为的 时间特性和空间特性来确定所述用户行为的异 常程度， 具体包括： 步骤S1、 调用基础特征提取模 块， 提取所述用户行为的基础特征并对所述基础 特征进行编码； 步骤S2、 调用时间特性 分析模块， 构建用户行为混合矩阵以训练时间表征模型； 步 骤S3、 调用空间特性分析模块， 获取属于同一角 色的用户的经编码的基础特征以训练空间共用 组模型； 步骤S4、 调用异常整 合分析模块， 计算所 述用户行为的异常程度。 权利要求书2页 说明书9页 附图4页 CN 113919239 B 2022.02.11 CN 113919239 B 1.一种基于时空特征融合的内部威胁智能检测方法， 其特征在于， 所述方法利用用户 行为的时间特性和空间特性 来确定所述用户行为的异常程度， 具体包括： 步骤S1、 调用基础特征提取模块， 从依时间顺序采集的用户多源日志信息中提取所述 用户行为的基础特征， 并对所述基础特征进行编码， 经编码的基础特征作为时间特性分析 和空间特性分析的基础； 步骤S2、 调用时间特性分析模块， 通过拼接所述经编码的基础特征和所述经编码的基 础特征的时间度量指标来构建用户行为混合矩阵， 所述用户行为混合矩阵用于训练 时间表 征模型； 步骤S3、 调用空间特性分析模块， 获取属于同一角色的用户的经编码的基础特征， 以训 练空间共用组模型； 步骤S4、 调用异常整合分析模块， 利用分别由所述时间表征模型和所述空间共用组模 型获取的时间样本重建误差和空间样本重建误差， 来计算所述用户行为的异常程度， 所述 异常程度用于确定所述内部威胁。 2.根据权利要求1所述的一种基于时空特征融合的内部威胁智能检测方法， 其特征在 于， 在所述步骤S1 中， 对所述基础特征进 行编码包括， 将所述用户多源日志信息中文本类型 的日志信息以天为粒度转换为数值类型的频次特 征向量。 3.根据权利要求2所述的一种基于时空特征融合的内部威胁智能检测方法， 其特征在 于， 在所述步骤S2中， 根据滑动窗口机制获取窗口范围内的所述经编码的基础特征的测量 值集合， 基于所述测 量值集合， 利用如下公式来计算所述用户的当天行为特征在所述窗口 范围内的所述时间度量指标：    （1）    （2） 其中， 为第一时间度量指标， 为第二时间度量指标， 、 、 分别为所述基础特征 f在第d、 d‑T+j+1、d‑T+j日特定时间区间 l的频次测量值， j为 时间窗口遍历值， 为 在所述窗口范围内的历史测量值， T为滑动窗口长度， β为指 数加权平均系数， mean表示均值， std表示标准差 。 4.根据权利要求2所述的一种基于时空特征融合的内部威胁智能检测方法， 其特征在 于， 在所述步骤S2中， 将计算的所述时间度量指标拼接在所述经编码的基础特征的测量值 后面， 从而构建所述用户行为混合矩阵， 以所述用户行为混合矩阵为输入， 以深度自编 码器 为基础， 训练所述时间表征模型， 所述时间表征模型 的训练样本仅限于所述用户多源 日志 信息中的个人历史数据。 5.根据权利要求4所述的一种基于时空特征融合的内部威胁智能检测方法， 其特征在 于， 在所述步骤S 3中， 利用组织归属关系对所述经编码的基础特征进 行聚类， 以形成以角色 为唯一标识的数据集合， 从所述数据集合中获取所述属于同一角色的用户的经编 码的基础权　利　要　求　书 1/2 页 2 CN 113919239 B 2特征， 以所述属于同一角色的用户的经编码的基础特征为输入， 以所述深度自编码器为基 础， 训练所述空间共用组模型， 所述空间共用组模型 的训练样本为所述属于同一角色的用 户的历史数据。 6.根据权利要求5所述的一种基于时空特征融合的内部威胁智能检测方法， 其特征在 于， 在所述步骤S4中， 根据不同的应用场景设置不同的平衡系数， 所述平衡系数用于计算所 述用户行为的异常程度。 7.一种基于时空特征融合的内部威胁智能检测系统， 其特征在于， 所述系统利用用户 行为的时间特性和空间特性 来确定所述用户行为的异常程度， 具体包括： 基础特征提取模块， 被配置为， 从依时间顺序采集的用户多源日志信息中提取所述用 户行为的基础特征， 并对所述基础特征进行编码， 经编码的基础特征作为时间特性分析和 空间特性分析的基础； 时间特性分析模块， 被配置为， 通过拼接所述经编码的基础特征和所述经编码的基础 特征的时间度量指标来构建用户行为混合矩阵， 所述用户行为混合矩阵用于训练 时间表征 模型； 空间特性分析模块， 被配置为， 获取属于同一角色的用户的经编码的基础特征， 以训练 空间共用组模型； 异常整合分析模块， 被配置为， 利用分别由所述时间表征模型和所述空间共用组模型 获取的时间样本重建误差和空间样本重建误差， 来计算所述用户行为的异常程度， 所述异 常程度用于确定所述内部威胁。 8.一种电子设备， 其特征在于， 所述电子设备包括存储器和处理器， 所述存储器存储有 计算机程序， 所述处理器执行所述计算机程序时， 实现权利要求1至6中任一项所述的一种 基于时空特 征融合的内部威胁智能检测方法中的步骤。 9.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时， 实现权利要求1至6中任一项所述的一种基于时空 特征融合的内部威胁智能检测方法中的步骤。权　利　要　求　书 2/2 页 3 CN 113919239 B 3