基于用户行为表征技术的内部威胁检测方法及系统

本发明属于网络安全技术领域，具体涉及一种基于用户行为表征技术的内部威胁检测方法及系统，本发明根据用户唯一的ID值对来自不同日志的正常用户行为数据进行聚合，从中提取出用户行为特征，组织为窗口化的正常用户行为特征时间序列数据；构建由聚类增强模块和LSTM‑VAE模型组成的用户行为表征模型，使用正常用户行为特征时间序列数据进行用户行为表征模型训练并在训练过程中动态调整聚类中心；使用训练后的用户行为表征模型计算待检测的用户行为数据的异常分数，结合定义的阈值，判断用户行为是否存在威胁。本发明使用无监督学习的方法训练用户行为表征模型，不仅能有效应对数据不平衡问题，还能够有效识别用户异常行为。