摘要
内部威胁对组织构成重大且常被低估的风险。传统的异常检测方法依赖于简单模式,缺乏时间感知能力,难以捕捉用户行为的细微特征,导致漏报率高且误报频发。本研究提出一种创新方法,利用深度学习模型捕捉用户行为中复杂的层次化模式,实现对恶意内部活动的早期识别。所提出的方案包含两种不同的架构:时序分布式深度学习架构(TD-CNN-LSTM)与上下文感知注意力机制架构(TD-CNN-Attention)。这两种架构通过融合卷积神经网络(CNN)与长短期记忆网络(LSTM)或注意力机制,从用户访问数据中同时提取空间特征与时间特征,从而在多时间尺度上捕捉行为的复杂模式。此外,该方法还整合了用户心理特征、组织背景等信息,构建了对用户行为及其上下文的全面视图。通过大规模实验评估,两种架构在准确率与F1分数方面均显著优于现有内部威胁检测方案。其中,基于注意力机制的模型尤其表现出色,展现出当前最先进的性能水平。本研究在内部威胁检测领域迈出了重要一步,为组织更好地保护其关键资产、应对不断变化的网络安全环境提供了有力支持。