0 引言

內(nèi)部威脅一直是網(wǎng)絡(luò)安全領(lǐng)域中一個(gè)難以攻破的難題,，對國家和企業(yè)都造成了很大的破壞和困擾。由Ponemon研究所和IBM Security聯(lián)合制作的《2021年數(shù)據(jù)泄露成本報(bào)告》[1]指出,，相比2020年,，2021年的數(shù)據(jù)泄漏平均成本上升了10%，并且泄漏的數(shù)據(jù)主要為客戶的個(gè)人身份信息,、客戶數(shù)據(jù),、公司的知識(shí)產(chǎn)權(quán)以及員工的個(gè)人身份信息。報(bào)告指出惡意內(nèi)部人員泄密造成的數(shù)據(jù)泄露事件的平均識(shí)別時(shí)間為231天,，平均遏制時(shí)間為75天,，在所有泄漏事件中排名第三，并且惡意內(nèi)部人員所造成的經(jīng)濟(jì)損失占總損失的8%,。為了有效檢測和識(shí)別企業(yè)內(nèi)部的威脅員工,，避免重要數(shù)據(jù)的泄漏和破壞，內(nèi)部威脅檢測系統(tǒng)的不斷迭代和完善迫在眉睫,。

用戶畫像是對用戶全體特征的概括和描述,，根據(jù)需要對用戶的特定信息和行為進(jìn)行抽象的一種標(biāo)簽化用戶模型。用戶畫像的構(gòu)成一般由靜態(tài)屬性和動(dòng)態(tài)屬性組成。靜態(tài)屬性用于記錄用戶不會(huì)經(jīng)常發(fā)生變動(dòng)的靜態(tài)特征,，動(dòng)態(tài)屬性一般多用于記錄用戶的各種行為數(shù)據(jù)以及經(jīng)常變動(dòng)的特征,。雖然畫像技術(shù)主要用于個(gè)性化服務(wù)和精準(zhǔn)營銷等商業(yè)領(lǐng)域，但越來越多的學(xué)者將此技術(shù)用于其他領(lǐng)域[2-5],。用戶畫像對用戶使用簡化的標(biāo)簽描述用戶所具有的特定特征,，并實(shí)現(xiàn)對滿足該特征的用戶或用戶群體的精準(zhǔn)定位。具有特定特征需求在信息安全領(lǐng)域同樣適用,。國內(nèi)外已有部分學(xué)者率先將用戶畫像技術(shù)運(yùn)用于入侵檢測技術(shù)和內(nèi)部威脅領(lǐng)域當(dāng)中,，并取得了一定的研究成果。

在最近的調(diào)查中,，文獻(xiàn)[6]提出了一種基于多維特征的內(nèi)部威脅檢測混合模型,，實(shí)驗(yàn)結(jié)果表明，ADAD和ATAD模型具有魯棒性,，混合模型明顯優(yōu)于兩個(gè)分離模型,。趙剛和姚興仁[7]將用戶畫像技術(shù)用于入侵檢測技術(shù)中，提出了基于用戶畫像的入侵檢測模型,實(shí)現(xiàn)入侵檢測粒度的細(xì)化,。張建平[8]提出一種基于流量與日志的分析方法,，構(gòu)建用戶關(guān)鍵行為的數(shù)據(jù)畫像,實(shí)現(xiàn)了專用網(wǎng)絡(luò)中用戶關(guān)鍵行為監(jiān)測的系統(tǒng)。郭淵博等[9]提出了一種行為特征自動(dòng)提取和局部全細(xì)節(jié)行為畫像方法,，將局部描寫與全局預(yù)測相結(jié)合,提高了檢測準(zhǔn)確率,。鐘雅等[10]將組織內(nèi)的用戶作為研究主體，將內(nèi)部威脅檢測與可視化相結(jié)合取得較好效果,。雖然用戶畫像技術(shù)在入侵檢測技術(shù)和內(nèi)部威脅領(lǐng)域中取得一定的研究進(jìn)展與效果,，但大多數(shù)學(xué)者都只運(yùn)用了用戶畫像技術(shù)中標(biāo)簽化模型的特點(diǎn)，沒有將所有用戶的行為信息整合進(jìn)行檢測,，缺少對每一個(gè)員工行為畫像的刻畫，降低了檢測的細(xì)粒度,。為了提高內(nèi)部威脅檢測粒度的細(xì)化程度,，本文將用戶畫像技術(shù)作為內(nèi)部威脅檢測的基礎(chǔ)，并基于員工的動(dòng)態(tài)行為信息構(gòu)建內(nèi)部威脅實(shí)時(shí)檢測模型,。

本文詳細(xì)內(nèi)容請下載：http://forexkbc.com/resource/share/2000005025

作者信息：

李俊強(qiáng)1,，黃  洪1，2,，周子云1

(1.四川輕化工大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院,，四川 宜賓644005；

2.企業(yè)信息化與物聯(lián)網(wǎng)測控技術(shù)四川省高校重點(diǎn)實(shí)驗(yàn)室,，四川 宜賓644005)