行为画像技术利用无标注历史数据构建用户行为“常态”,是检测企业内部威胁的有效手段。当前标签式画像方法依赖人工提取特征,多用简单统计方法处理数据,导致用户画像模型缺少细节、不够全面。提出了一种行为特征自动提取和局部全细节行为画像方法,以及一种行为序列划分和全局业务状态转移预测方法,能够较全面地刻画用户行为模式。构建了一个基于行为画像的内部威胁检测框架,将局部描写与全局预测相结合,提高了检测准确率。最后用CMU-CERT数据集进行了实验,AUC(area under curve)得分0.88,F1得分0.925,可有效应用于内部威胁检测过程中。
