文獻標識碼: A
DOI: 10.19358/j.issn.2097-1788.2022.05.007
引用格式: 李俊強,,黃洪,,周子云. 基于用戶畫像的自適應(yīng)內(nèi)部威脅檢測模型[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2022,,41(5):43-48.
0 引言
內(nèi)部威脅一直是網(wǎng)絡(luò)安全領(lǐng)域中一個難以攻破的難題,,對國家和企業(yè)都造成了很大的破壞和困擾,。由Ponemon研究所和IBM Security聯(lián)合制作的《2021年數(shù)據(jù)泄露成本報告》[1]指出,相比2020年,,2021年的數(shù)據(jù)泄漏平均成本上升了10%,,并且泄漏的數(shù)據(jù)主要為客戶的個人身份信息、客戶數(shù)據(jù),、公司的知識產(chǎn)權(quán)以及員工的個人身份信息,。報告指出惡意內(nèi)部人員泄密造成的數(shù)據(jù)泄露事件的平均識別時間為231天,平均遏制時間為75天,,在所有泄漏事件中排名第三,,并且惡意內(nèi)部人員所造成的經(jīng)濟損失占總損失的8%。為了有效檢測和識別企業(yè)內(nèi)部的威脅員工,,避免重要數(shù)據(jù)的泄漏和破壞,,內(nèi)部威脅檢測系統(tǒng)的不斷迭代和完善迫在眉睫。
用戶畫像是對用戶全體特征的概括和描述,,根據(jù)需要對用戶的特定信息和行為進行抽象的一種標簽化用戶模型,。用戶畫像的構(gòu)成一般由靜態(tài)屬性和動態(tài)屬性組成。靜態(tài)屬性用于記錄用戶不會經(jīng)常發(fā)生變動的靜態(tài)特征,,動態(tài)屬性一般多用于記錄用戶的各種行為數(shù)據(jù)以及經(jīng)常變動的特征,。雖然畫像技術(shù)主要用于個性化服務(wù)和精準營銷等商業(yè)領(lǐng)域,但越來越多的學(xué)者將此技術(shù)用于其他領(lǐng)域[2-5],。用戶畫像對用戶使用簡化的標簽描述用戶所具有的特定特征,,并實現(xiàn)對滿足該特征的用戶或用戶群體的精準定位。具有特定特征需求在信息安全領(lǐng)域同樣適用,。國內(nèi)外已有部分學(xué)者率先將用戶畫像技術(shù)運用于入侵檢測技術(shù)和內(nèi)部威脅領(lǐng)域當中,,并取得了一定的研究成果。
在最近的調(diào)查中,,文獻[6]提出了一種基于多維特征的內(nèi)部威脅檢測混合模型,,實驗結(jié)果表明,ADAD和ATAD模型具有魯棒性,,混合模型明顯優(yōu)于兩個分離模型,。趙剛和姚興仁[7]將用戶畫像技術(shù)用于入侵檢測技術(shù)中,提出了基于用戶畫像的入侵檢測模型,實現(xiàn)入侵檢測粒度的細化。張建平[8]提出一種基于流量與日志的分析方法,,構(gòu)建用戶關(guān)鍵行為的數(shù)據(jù)畫像,實現(xiàn)了專用網(wǎng)絡(luò)中用戶關(guān)鍵行為監(jiān)測的系統(tǒng),。郭淵博等[9]提出了一種行為特征自動提取和局部全細節(jié)行為畫像方法,將局部描寫與全局預(yù)測相結(jié)合,提高了檢測準確率,。鐘雅等[10]將組織內(nèi)的用戶作為研究主體,,將內(nèi)部威脅檢測與可視化相結(jié)合取得較好效果。雖然用戶畫像技術(shù)在入侵檢測技術(shù)和內(nèi)部威脅領(lǐng)域中取得一定的研究進展與效果,,但大多數(shù)學(xué)者都只運用了用戶畫像技術(shù)中標簽化模型的特點,,沒有將所有用戶的行為信息整合進行檢測,缺少對每一個員工行為畫像的刻畫,,降低了檢測的細粒度,。為了提高內(nèi)部威脅檢測粒度的細化程度,本文將用戶畫像技術(shù)作為內(nèi)部威脅檢測的基礎(chǔ),,并基于員工的動態(tài)行為信息構(gòu)建內(nèi)部威脅實時檢測模型,。
本文詳細內(nèi)容請下載:http://forexkbc.com/resource/share/2000005025
作者信息:
李俊強1,黃 洪1,,2,,周子云1
(1.四川輕化工大學(xué) 計算機科學(xué)與工程學(xué)院,四川 宜賓644005,;
2.企業(yè)信息化與物聯(lián)網(wǎng)測控技術(shù)四川省高校重點實驗室,,四川 宜賓644005)