公开(公告)号：CN110674498B

公开(公告)日：2022-06-03

申请号：CN201910770785.3

申请日：2019-08-20

Applicant: 中国科学院信息工程研究所

Inventor： 李梅梅 ,  刘美辰 ,  吕彬 ,  张琪 ,  刘鹏程 ,  王云涛

IPC: G06F21/56 ,  G06K9/62

Abstract: 本发明实施例提供一种基于多维度文件活动的内部威胁检测方法及系统。该方法包括：获取待检测的单个文件，基于单个文件的历史活动规律检测单个文件，得到单文件检测结果；获取文件社区模型，基于文件社区模型检测单个文件，得到文件社区检测结果；其中文件社区模型是基于包含单个文件的文件集合，采用最近邻算法得到的；基于熵权法将单文件检测结果和文件社区检测结果进行融合计算，得出具有潜在威胁文件检测结果。本发明实施例通过从数据角度对内部威胁进行维度检测，能够更全面和更精确的识别受威胁文件，相比传统的检测方法，覆盖率更高，识别结果有更高的鲁棒性。

公开(公告)号：CN110674498A

公开(公告)日：2020-01-10

申请号：CN201910770785.3

申请日：2019-08-20

Applicant: 中国科学院信息工程研究所

Inventor： 李梅梅 ,  刘美辰 ,  吕彬 ,  张琪 ,  刘鹏程 ,  王云涛

IPC: G06F21/56 ,  G06K9/62

Abstract: 本发明实施例提供一种基于多维度文件活动的内部威胁检测方法及系统。该方法包括：获取待检测的单个文件，基于单个文件的历史活动规律检测单个文件，得到单文件检测结果；获取文件社区模型，基于文件社区模型检测单个文件，得到文件社区检测结果；其中文件社区模型是基于包含单个文件的文件集合，采用最近邻算法得到的；基于熵权法将单文件检测结果和文件社区检测结果进行融合计算，得出具有潜在威胁文件检测结果。本发明实施例通过从数据角度对内部威胁进行维度检测，能够更全面和更精确的识别受威胁文件，相比传统的检测方法，覆盖率更高，识别结果有更高的鲁棒性。