随着互联网技术的快速发展,内部威胁已成为破坏企业信息系统安全的重要隐患。内部威胁,指的是具有合法访问权限的个人对组织构成的伤害。当前检测内部威胁的方法主要分为浅层机器学习方法和深度学习方法。传统的浅层机器学习算法需要复杂的特征工程,并且在内部威胁检测的应用中也存在局限性。例如,隐马尔科夫不适合处理较长的行为序列,图聚类算法在处理海量数据时需要大量的内存消耗以及单类支持向量机在处理高维数据时效率较低等问题。因此,传统机器学习算法的局限性导致检测率的提升逐渐到达瓶颈。近几年,深度神经网络的发展给内部威胁检测问题带来了新思路。深度学习技术能够提取多层次的特征,充分揭示特征之间的内在联系。内部威胁检测的关键是建立用户的正常行为模型,继而发现与正常行为偏离的异常行为。用户行为可以看作长期的时间序列数据,长短时记忆网络展示了在简化特征工程的情况下学习长期序列模式的能力,因此可以发现内部用户行为中的隐含行为特征,大大提高检测率。然而目前的用户行为建模方法仍停留在单步时间序列预测,忽视了用户行为的随机性,往往容易造成误报。一些学者使用深度学习提取特征之后再应用浅层分类方法进行检测,这种混合检测方法不利于神经网络和分类器的参数优化。此外,一些内部威胁检测方法忽视了内部威胁检测的特殊性,没有充分利用公司不同角色的行为相似性。基于此,本文提出基于多步时间序列预测的用户行为建模方法,结合单类分类器进行联合训练实现深度单类分类器。并进一步结合用户元数据针对角色属性训练多个超球面,通过优化复合损失函数,进一步提高检测率。具体来说,可以分为以下三个方面的研究工作:(1)针对单步时间序列预测存在的误报问题,本文提出基于多步预测的行为建模方法,使用神经网络作为特征提取器,对用户长期行为特征建模。多步预测指的是根据当前的输入预测多个时间点的行为,即从一定数量的时间点计算预测误差,在训练过程中同时进行优化。此外,由于用户日常行为中浏览器访问行为占了绝大多数,本文针对用户行为类型的不均衡问题,提出基于批次的不均衡数据训练方法,在用户行为建模过程的每一个批次中修改每种类型行为的权值,使其在训练过程中占有相同的分量,实现对用户行为的全面刻画。实验结果显示,用户行为多步预测的准确率可以达到94%以上。(2)针对高维数据存在的稀疏性问题和混合检测方式的参数优化问题,本文在用户行为建模的基础上增加了池化降维的方法,并且提出联合训练深度单类分类器的方法,用于解决本课题的异常检测任务。在训练过程中,仿照卷积神经网络,通过添加池化层对不同位置的特征进行聚合统计达到降维的目的,解决了高维数据的稀疏性问题;由于神经网络和单类分类器的联合训练是以交替学习的方式动态更新这两部分的参数,充分利用了深度学习的优势,比分别单独训练的召回率提升了近13%。(3)针对内部威胁数据集的角色相关性,本文进一步提出基于角色的深度单类检测方法,结合用户元数据训练多个超球面,在网络的训练过程中既根据当前用户行为预测所属角色,同时又要使所有数据点向自己所属角色超球面尽可能的靠近。通过优化复合损失函数,进一步提升了约8%的召回率。在CERT内部用户行为数据集上的实验结果表明,基于长短时记忆网络的深度单类分类算法可用于识别内部威胁事件,在可接受的误报率范围内,召回率能达到92%,明显好于单类支持向量机和孤立森林算法。