《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 測(cè)試測(cè)量 > 設(shè)計(jì)應(yīng)用 > 基于用戶畫(huà)像的自適應(yīng)內(nèi)部威脅檢測(cè)模型
基于用戶畫(huà)像的自適應(yīng)內(nèi)部威脅檢測(cè)模型
網(wǎng)絡(luò)安全與數(shù)據(jù)治理 5期
李俊強(qiáng)1,黃 洪1,2,周子云1
(1.四川輕化工大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院,四川 宜賓644005; 2.企業(yè)信息化與物聯(lián)網(wǎng)測(cè)控技術(shù)四川省高校重點(diǎn)實(shí)驗(yàn)室,四川 宜賓644005)
摘要: 內(nèi)部威脅領(lǐng)域中,員工是內(nèi)部威脅事件發(fā)生的主要研究對(duì)象。針對(duì)內(nèi)部威脅檢測(cè)系統(tǒng)中員工行為數(shù)據(jù)利用不全及檢測(cè)細(xì)粒度低的問(wèn)題,提出將用戶畫(huà)像作為內(nèi)部威脅檢測(cè)的基礎(chǔ),實(shí)現(xiàn)了員工行為信息的全方位構(gòu)建并提高了檢測(cè)的細(xì)粒度。通過(guò)引入滑動(dòng)窗口機(jī)制對(duì)每個(gè)員工的畫(huà)像模型進(jìn)行自適應(yīng)偏移,使得內(nèi)部威脅檢測(cè)模型能夠?qū)崟r(shí)檢測(cè)威脅員工。檢測(cè)模型在CERT4.2數(shù)據(jù)集中進(jìn)行驗(yàn)證,取得較好結(jié)果。
中圖分類(lèi)號(hào): TP309.2
文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2097-1788.2022.05.007
引用格式: 李俊強(qiáng),黃洪,周子云. 基于用戶畫(huà)像的自適應(yīng)內(nèi)部威脅檢測(cè)模型[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2022,41(5):43-48.
An adaptive insider threat detection model based on user portrait
Li Junqiang1,Huang Hong1,2,Zhou Ziyun1
(1.School of Computer Science and Engineering,Sichuan University of Science & Engineering,Yibin 644005,China; 2.Key Laboratory of Higher Education of Sichuan Province for Enterprise Informationalization and Internet of Things, Yibin 644005,China)
Abstract: In the field of internal threat, employees are the main research objects of internal threat events. To solve the problem of incomplete utilization of employee behavior data and low fine granularity in the insider threat detection system, this paper proposes to use user portrait as the basis of insider threat detection, it realizes the all-round construction of employee behavior information and improves the fine granularity of detection. The insider threat detection model can detect the threat employees in real time by introducing the sliding window mechanism to shift the portrait model of each employee adaptively. The detection model is validated in the CERT4.2 data set with good results.
Key words : insider threat detection;user portrait;adaptive

0 引言

內(nèi)部威脅一直是網(wǎng)絡(luò)安全領(lǐng)域中一個(gè)難以攻破的難題,對(duì)國(guó)家和企業(yè)都造成了很大的破壞和困擾。由Ponemon研究所和IBM Security聯(lián)合制作的《2021年數(shù)據(jù)泄露成本報(bào)告》[1]指出,相比2020年,2021年的數(shù)據(jù)泄漏平均成本上升了10%,并且泄漏的數(shù)據(jù)主要為客戶的個(gè)人身份信息、客戶數(shù)據(jù)、公司的知識(shí)產(chǎn)權(quán)以及員工的個(gè)人身份信息。報(bào)告指出惡意內(nèi)部人員泄密造成的數(shù)據(jù)泄露事件的平均識(shí)別時(shí)間為231天,平均遏制時(shí)間為75天,在所有泄漏事件中排名第三,并且惡意內(nèi)部人員所造成的經(jīng)濟(jì)損失占總損失的8%。為了有效檢測(cè)和識(shí)別企業(yè)內(nèi)部的威脅員工,避免重要數(shù)據(jù)的泄漏和破壞,內(nèi)部威脅檢測(cè)系統(tǒng)的不斷迭代和完善迫在眉睫。

用戶畫(huà)像是對(duì)用戶全體特征的概括和描述,根據(jù)需要對(duì)用戶的特定信息和行為進(jìn)行抽象的一種標(biāo)簽化用戶模型。用戶畫(huà)像的構(gòu)成一般由靜態(tài)屬性和動(dòng)態(tài)屬性組成。靜態(tài)屬性用于記錄用戶不會(huì)經(jīng)常發(fā)生變動(dòng)的靜態(tài)特征,動(dòng)態(tài)屬性一般多用于記錄用戶的各種行為數(shù)據(jù)以及經(jīng)常變動(dòng)的特征。雖然畫(huà)像技術(shù)主要用于個(gè)性化服務(wù)和精準(zhǔn)營(yíng)銷(xiāo)等商業(yè)領(lǐng)域,但越來(lái)越多的學(xué)者將此技術(shù)用于其他領(lǐng)域[2-5]。用戶畫(huà)像對(duì)用戶使用簡(jiǎn)化的標(biāo)簽描述用戶所具有的特定特征,并實(shí)現(xiàn)對(duì)滿足該特征的用戶或用戶群體的精準(zhǔn)定位。具有特定特征需求在信息安全領(lǐng)域同樣適用。國(guó)內(nèi)外已有部分學(xué)者率先將用戶畫(huà)像技術(shù)運(yùn)用于入侵檢測(cè)技術(shù)和內(nèi)部威脅領(lǐng)域當(dāng)中,并取得了一定的研究成果。

在最近的調(diào)查中,文獻(xiàn)[6]提出了一種基于多維特征的內(nèi)部威脅檢測(cè)混合模型,實(shí)驗(yàn)結(jié)果表明,ADAD和ATAD模型具有魯棒性,混合模型明顯優(yōu)于兩個(gè)分離模型。趙剛和姚興仁[7]將用戶畫(huà)像技術(shù)用于入侵檢測(cè)技術(shù)中,提出了基于用戶畫(huà)像的入侵檢測(cè)模型,實(shí)現(xiàn)入侵檢測(cè)粒度的細(xì)化。張建平[8]提出一種基于流量與日志的分析方法,構(gòu)建用戶關(guān)鍵行為的數(shù)據(jù)畫(huà)像,實(shí)現(xiàn)了專(zhuān)用網(wǎng)絡(luò)中用戶關(guān)鍵行為監(jiān)測(cè)的系統(tǒng)。郭淵博等[9]提出了一種行為特征自動(dòng)提取和局部全細(xì)節(jié)行為畫(huà)像方法,將局部描寫(xiě)與全局預(yù)測(cè)相結(jié)合,提高了檢測(cè)準(zhǔn)確率。鐘雅等[10]將組織內(nèi)的用戶作為研究主體,將內(nèi)部威脅檢測(cè)與可視化相結(jié)合取得較好效果。雖然用戶畫(huà)像技術(shù)在入侵檢測(cè)技術(shù)和內(nèi)部威脅領(lǐng)域中取得一定的研究進(jìn)展與效果,但大多數(shù)學(xué)者都只運(yùn)用了用戶畫(huà)像技術(shù)中標(biāo)簽化模型的特點(diǎn),沒(méi)有將所有用戶的行為信息整合進(jìn)行檢測(cè),缺少對(duì)每一個(gè)員工行為畫(huà)像的刻畫(huà),降低了檢測(cè)的細(xì)粒度。為了提高內(nèi)部威脅檢測(cè)粒度的細(xì)化程度,本文將用戶畫(huà)像技術(shù)作為內(nèi)部威脅檢測(cè)的基礎(chǔ),并基于員工的動(dòng)態(tài)行為信息構(gòu)建內(nèi)部威脅實(shí)時(shí)檢測(cè)模型。




本文詳細(xì)內(nèi)容請(qǐng)下載:http://theprogrammingfactory.com/resource/share/2000005025




作者信息:

李俊強(qiáng)1,黃  洪1,2,周子云1

(1.四川輕化工大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院,四川 宜賓644005;

2.企業(yè)信息化與物聯(lián)網(wǎng)測(cè)控技術(shù)四川省高校重點(diǎn)實(shí)驗(yàn)室,四川 宜賓644005)


微信圖片_20210517164139.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。