摘要

针对目前内部威胁用户检测召回率低及数据类别不平衡的问题,提出一种基于Geometric SMOTE(G-SMOTE)和Biased-SVM的内部威胁用户检测方法.该方法对用户行为进行特征提取,利用G-SMOTE算法在每个威胁用户样本中心定义一个几何区域用于生成威胁用户样本,保证了训练集中的正常用户、威胁用户的类别平衡;使用Biased-SVM算法设置不同的惩罚因子影响类别权重,提高了模型对于威胁用户的关注.将该方法在CERT 4.2数据集上进行实验,与SMOTE-RF、 SVM算法相比,召回率R分别提高了5.7%和25.1%,F1值分别提高了2.1%和14%.结果表明,该方法明显提高了威胁用户检测的召回率,有效地改善了内部威胁用户检测中类别不平衡的问题.