文獻標識碼: A
DOI: 10.19358/j.issn.2097-1788.2022.05.007
引用格式: 李俊強,黃洪,,周子云. 基于用戶畫像的自適應內(nèi)部威脅檢測模型[J].網(wǎng)絡安全與數(shù)據(jù)治理,,2022,41(5):43-48.
0 引言
內(nèi)部威脅一直是網(wǎng)絡安全領域中一個難以攻破的難題,,對國家和企業(yè)都造成了很大的破壞和困擾。由Ponemon研究所和IBM Security聯(lián)合制作的《2021年數(shù)據(jù)泄露成本報告》[1]指出,,相比2020年,,2021年的數(shù)據(jù)泄漏平均成本上升了10%,并且泄漏的數(shù)據(jù)主要為客戶的個人身份信息,、客戶數(shù)據(jù),、公司的知識產(chǎn)權以及員工的個人身份信息。報告指出惡意內(nèi)部人員泄密造成的數(shù)據(jù)泄露事件的平均識別時間為231天,,平均遏制時間為75天,,在所有泄漏事件中排名第三,并且惡意內(nèi)部人員所造成的經(jīng)濟損失占總損失的8%,。為了有效檢測和識別企業(yè)內(nèi)部的威脅員工,,避免重要數(shù)據(jù)的泄漏和破壞,內(nèi)部威脅檢測系統(tǒng)的不斷迭代和完善迫在眉睫,。
用戶畫像是對用戶全體特征的概括和描述,,根據(jù)需要對用戶的特定信息和行為進行抽象的一種標簽化用戶模型。用戶畫像的構成一般由靜態(tài)屬性和動態(tài)屬性組成,。靜態(tài)屬性用于記錄用戶不會經(jīng)常發(fā)生變動的靜態(tài)特征,,動態(tài)屬性一般多用于記錄用戶的各種行為數(shù)據(jù)以及經(jīng)常變動的特征。雖然畫像技術主要用于個性化服務和精準營銷等商業(yè)領域,,但越來越多的學者將此技術用于其他領域[2-5],。用戶畫像對用戶使用簡化的標簽描述用戶所具有的特定特征,并實現(xiàn)對滿足該特征的用戶或用戶群體的精準定位,。具有特定特征需求在信息安全領域同樣適用,。國內(nèi)外已有部分學者率先將用戶畫像技術運用于入侵檢測技術和內(nèi)部威脅領域當中,并取得了一定的研究成果,。
在最近的調查中,,文獻[6]提出了一種基于多維特征的內(nèi)部威脅檢測混合模型,實驗結果表明,,ADAD和ATAD模型具有魯棒性,,混合模型明顯優(yōu)于兩個分離模型。趙剛和姚興仁[7]將用戶畫像技術用于入侵檢測技術中,,提出了基于用戶畫像的入侵檢測模型,實現(xiàn)入侵檢測粒度的細化,。張建平[8]提出一種基于流量與日志的分析方法,構建用戶關鍵行為的數(shù)據(jù)畫像,實現(xiàn)了專用網(wǎng)絡中用戶關鍵行為監(jiān)測的系統(tǒng),。郭淵博等[9]提出了一種行為特征自動提取和局部全細節(jié)行為畫像方法,,將局部描寫與全局預測相結合,提高了檢測準確率,。鐘雅等[10]將組織內(nèi)的用戶作為研究主體,將內(nèi)部威脅檢測與可視化相結合取得較好效果,。雖然用戶畫像技術在入侵檢測技術和內(nèi)部威脅領域中取得一定的研究進展與效果,,但大多數(shù)學者都只運用了用戶畫像技術中標簽化模型的特點,沒有將所有用戶的行為信息整合進行檢測,,缺少對每一個員工行為畫像的刻畫,,降低了檢測的細粒度。為了提高內(nèi)部威脅檢測粒度的細化程度,,本文將用戶畫像技術作為內(nèi)部威脅檢測的基礎,,并基于員工的動態(tài)行為信息構建內(nèi)部威脅實時檢測模型。
本文詳細內(nèi)容請下載:http://forexkbc.com/resource/share/2000005025
作者信息:
李俊強1,,黃 洪1,,2,周子云1
(1.四川輕化工大學 計算機科學與工程學院,,四川 宜賓644005,;
2.企業(yè)信息化與物聯(lián)網(wǎng)測控技術四川省高校重點實驗室,四川 宜賓644005)