一种基于Transformer-DCN模型的内部威胁检测方法

本发明公开了一种基于Transformer‑DCN模型的内部威胁检测方法，涉及人工智能与网络安全领域，解决了现有检测中时序特征关联性不足和异常模式捕捉不充分的问题。包括以下步骤：通过多维度数据预处理提取用户行为的单日特征，构建多变量时间序列；将时序数据输入Transformer‑DCN模型进行检测，首先由嵌入层通过线性变换提升特征维度并融合位置编码，捕捉绝对时序信息；然后通过Transformer模块的多头自注意力机制分析全局依赖关系，检测上下文异常；同时利用可变形卷积(DCN)提取局部异常特征；最终由输出层融合全局特征和局部特征，通过线性层输出是否为威胁行为。本发明能够有效的提高内部威胁检测的精确度和完整度，达到降低组织和企业的网络安全风险的目的。