摘要

内部威胁对组织构成重大且常被低估的风险。传统的异常检测方法依赖于简单模式，缺乏时间感知能力，难以捕捉用户行为的细微特征，导致漏报率高且误报频发。本研究提出一种创新方法，利用深度学习模型捕捉用户行为中复杂的层次化模式，实现对恶意内部活动的早期识别。所提出的方案包含两种不同的架构：时序分布式深度学习架构（TD-CNN-LSTM）与上下文感知注意力机制架构（TD-CNN-Attention）。这两种架构通过融合卷积神经网络（CNN）与长短期记忆网络（LSTM）或注意力机制，从用户访问数据中同时提取空间特征与时间特征，从而在多时间尺度上捕捉行为的复杂模式。此外，该方法还整合了用户心理特征、组织背景等信息，构建了对用户行为及其上下文的全面视图。通过大规模实验评估，两种架构在准确率与F1分数方面均显著优于现有内部威胁检测方案。其中，基于注意力机制的模型尤其表现出色，展现出当前最先进的性能水平。本研究在内部威胁检测领域迈出了重要一步，为组织更好地保护其关键资产、应对不断变化的网络安全环境提供了有力支持。