一种基于用户分类和行为特征分析的内部威胁检测方法

本发明公开了一种基于用户分类和行为特征分析的内部威胁检测方法，将待处理日志文件按照不同用户分隔开，并将每个用户的日志文件按照时间和来源整理成便于后续操作处理的格式；对用户的日志文件内容进行风险识别，并提取用户的行为统计特征和用户行为序列化特征；基于提取出的用户行为统计特征和用户行为序列化特征对所有用户进行聚类，并对每一个用户类别进行类特征的提取；利用用户当前日志处理产生的特征与用户所属类别的特征，识别潜在的异常风险行为，检测出用户异常风险行为导致的内部威胁风险。上述方法大大降低了检测框架的部署和维护成本，能使用更低成本的检测技术进行内部威胁检测，并具备较高的检测率。