《電子技術應用》
您所在的位置:首頁 > 測試測量 > 設計應用 > 基于用戶畫像的自適應內(nèi)部威脅檢測模型
基于用戶畫像的自適應內(nèi)部威脅檢測模型
網(wǎng)絡安全與數(shù)據(jù)治理 5期
李俊強1,,黃 洪1,,2,周子云1
(1.四川輕化工大學 計算機科學與工程學院,,四川 宜賓644005,; 2.企業(yè)信息化與物聯(lián)網(wǎng)測控技術四川省高校重點實驗室,,四川 宜賓644005)
摘要: 內(nèi)部威脅領域中,員工是內(nèi)部威脅事件發(fā)生的主要研究對象,。針對內(nèi)部威脅檢測系統(tǒng)中員工行為數(shù)據(jù)利用不全及檢測細粒度低的問題,,提出將用戶畫像作為內(nèi)部威脅檢測的基礎,實現(xiàn)了員工行為信息的全方位構建并提高了檢測的細粒度,。通過引入滑動窗口機制對每個員工的畫像模型進行自適應偏移,,使得內(nèi)部威脅檢測模型能夠實時檢測威脅員工。檢測模型在CERT4.2數(shù)據(jù)集中進行驗證,,取得較好結果,。
中圖分類號: TP309.2
文獻標識碼: A
DOI: 10.19358/j.issn.2097-1788.2022.05.007
引用格式: 李俊強,黃洪,,周子云. 基于用戶畫像的自適應內(nèi)部威脅檢測模型[J].網(wǎng)絡安全與數(shù)據(jù)治理,,2022,41(5):43-48.
An adaptive insider threat detection model based on user portrait
Li Junqiang1,,Huang Hong1,,2,Zhou Ziyun1
(1.School of Computer Science and Engineering,,Sichuan University of Science & Engineering,,Yibin 644005,China,; 2.Key Laboratory of Higher Education of Sichuan Province for Enterprise Informationalization and Internet of Things,, Yibin 644005,,China)
Abstract: In the field of internal threat, employees are the main research objects of internal threat events. To solve the problem of incomplete utilization of employee behavior data and low fine granularity in the insider threat detection system, this paper proposes to use user portrait as the basis of insider threat detection, it realizes the all-round construction of employee behavior information and improves the fine granularity of detection. The insider threat detection model can detect the threat employees in real time by introducing the sliding window mechanism to shift the portrait model of each employee adaptively. The detection model is validated in the CERT4.2 data set with good results.
Key words : insider threat detection;user portrait,;adaptive

0 引言

內(nèi)部威脅一直是網(wǎng)絡安全領域中一個難以攻破的難題,,對國家和企業(yè)都造成了很大的破壞和困擾。由Ponemon研究所和IBM Security聯(lián)合制作的《2021年數(shù)據(jù)泄露成本報告》[1]指出,,相比2020年,,2021年的數(shù)據(jù)泄漏平均成本上升了10%,并且泄漏的數(shù)據(jù)主要為客戶的個人身份信息,、客戶數(shù)據(jù),、公司的知識產(chǎn)權以及員工的個人身份信息。報告指出惡意內(nèi)部人員泄密造成的數(shù)據(jù)泄露事件的平均識別時間為231天,,平均遏制時間為75天,,在所有泄漏事件中排名第三,并且惡意內(nèi)部人員所造成的經(jīng)濟損失占總損失的8%,。為了有效檢測和識別企業(yè)內(nèi)部的威脅員工,,避免重要數(shù)據(jù)的泄漏和破壞,內(nèi)部威脅檢測系統(tǒng)的不斷迭代和完善迫在眉睫,。

用戶畫像是對用戶全體特征的概括和描述,,根據(jù)需要對用戶的特定信息和行為進行抽象的一種標簽化用戶模型。用戶畫像的構成一般由靜態(tài)屬性和動態(tài)屬性組成,。靜態(tài)屬性用于記錄用戶不會經(jīng)常發(fā)生變動的靜態(tài)特征,,動態(tài)屬性一般多用于記錄用戶的各種行為數(shù)據(jù)以及經(jīng)常變動的特征。雖然畫像技術主要用于個性化服務和精準營銷等商業(yè)領域,,但越來越多的學者將此技術用于其他領域[2-5],。用戶畫像對用戶使用簡化的標簽描述用戶所具有的特定特征,并實現(xiàn)對滿足該特征的用戶或用戶群體的精準定位,。具有特定特征需求在信息安全領域同樣適用,。國內(nèi)外已有部分學者率先將用戶畫像技術運用于入侵檢測技術和內(nèi)部威脅領域當中,并取得了一定的研究成果,。

在最近的調查中,,文獻[6]提出了一種基于多維特征的內(nèi)部威脅檢測混合模型,實驗結果表明,,ADAD和ATAD模型具有魯棒性,,混合模型明顯優(yōu)于兩個分離模型。趙剛和姚興仁[7]將用戶畫像技術用于入侵檢測技術中,,提出了基于用戶畫像的入侵檢測模型,實現(xiàn)入侵檢測粒度的細化,。張建平[8]提出一種基于流量與日志的分析方法,構建用戶關鍵行為的數(shù)據(jù)畫像,實現(xiàn)了專用網(wǎng)絡中用戶關鍵行為監(jiān)測的系統(tǒng),。郭淵博等[9]提出了一種行為特征自動提取和局部全細節(jié)行為畫像方法,,將局部描寫與全局預測相結合,提高了檢測準確率,。鐘雅等[10]將組織內(nèi)的用戶作為研究主體,將內(nèi)部威脅檢測與可視化相結合取得較好效果,。雖然用戶畫像技術在入侵檢測技術和內(nèi)部威脅領域中取得一定的研究進展與效果,,但大多數(shù)學者都只運用了用戶畫像技術中標簽化模型的特點,沒有將所有用戶的行為信息整合進行檢測,,缺少對每一個員工行為畫像的刻畫,,降低了檢測的細粒度。為了提高內(nèi)部威脅檢測粒度的細化程度,,本文將用戶畫像技術作為內(nèi)部威脅檢測的基礎,,并基于員工的動態(tài)行為信息構建內(nèi)部威脅實時檢測模型。




本文詳細內(nèi)容請下載:http://forexkbc.com/resource/share/2000005025




作者信息:

李俊強1,,黃  洪1,,2,周子云1

(1.四川輕化工大學 計算機科學與工程學院,,四川 宜賓644005,;

2.企業(yè)信息化與物聯(lián)網(wǎng)測控技術四川省高校重點實驗室,四川 宜賓644005)


微信圖片_20210517164139.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權禁止轉載,。