《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 測試測量 > 設(shè)計應(yīng)用 > 基于用戶畫像的自適應(yīng)內(nèi)部威脅檢測模型
基于用戶畫像的自適應(yīng)內(nèi)部威脅檢測模型
網(wǎng)絡(luò)安全與數(shù)據(jù)治理 5期
李俊強(qiáng)1,黃 洪1,2,周子云1
(1.四川輕化工大學(xué) 計算機(jī)科學(xué)與工程學(xué)院,四川 宜賓644005; 2.企業(yè)信息化與物聯(lián)網(wǎng)測控技術(shù)四川省高校重點(diǎn)實驗室,四川 宜賓644005)
摘要: 內(nèi)部威脅領(lǐng)域中,員工是內(nèi)部威脅事件發(fā)生的主要研究對象。針對內(nèi)部威脅檢測系統(tǒng)中員工行為數(shù)據(jù)利用不全及檢測細(xì)粒度低的問題,提出將用戶畫像作為內(nèi)部威脅檢測的基礎(chǔ),實現(xiàn)了員工行為信息的全方位構(gòu)建并提高了檢測的細(xì)粒度。通過引入滑動窗口機(jī)制對每個員工的畫像模型進(jìn)行自適應(yīng)偏移,使得內(nèi)部威脅檢測模型能夠?qū)崟r檢測威脅員工。檢測模型在CERT4.2數(shù)據(jù)集中進(jìn)行驗證,取得較好結(jié)果。
中圖分類號: TP309.2
文獻(xiàn)標(biāo)識碼: A
DOI: 10.19358/j.issn.2097-1788.2022.05.007
引用格式: 李俊強(qiáng),黃洪,周子云. 基于用戶畫像的自適應(yīng)內(nèi)部威脅檢測模型[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2022,41(5):43-48.
An adaptive insider threat detection model based on user portrait
Li Junqiang1,Huang Hong1,2,Zhou Ziyun1
(1.School of Computer Science and Engineering,Sichuan University of Science & Engineering,Yibin 644005,China; 2.Key Laboratory of Higher Education of Sichuan Province for Enterprise Informationalization and Internet of Things, Yibin 644005,China)
Abstract: In the field of internal threat, employees are the main research objects of internal threat events. To solve the problem of incomplete utilization of employee behavior data and low fine granularity in the insider threat detection system, this paper proposes to use user portrait as the basis of insider threat detection, it realizes the all-round construction of employee behavior information and improves the fine granularity of detection. The insider threat detection model can detect the threat employees in real time by introducing the sliding window mechanism to shift the portrait model of each employee adaptively. The detection model is validated in the CERT4.2 data set with good results.
Key words : insider threat detection;user portrait;adaptive

0 引言

內(nèi)部威脅一直是網(wǎng)絡(luò)安全領(lǐng)域中一個難以攻破的難題,對國家和企業(yè)都造成了很大的破壞和困擾。由Ponemon研究所和IBM Security聯(lián)合制作的《2021年數(shù)據(jù)泄露成本報告》[1]指出,相比2020年,2021年的數(shù)據(jù)泄漏平均成本上升了10%,并且泄漏的數(shù)據(jù)主要為客戶的個人身份信息、客戶數(shù)據(jù)、公司的知識產(chǎn)權(quán)以及員工的個人身份信息。報告指出惡意內(nèi)部人員泄密造成的數(shù)據(jù)泄露事件的平均識別時間為231天,平均遏制時間為75天,在所有泄漏事件中排名第三,并且惡意內(nèi)部人員所造成的經(jīng)濟(jì)損失占總損失的8%。為了有效檢測和識別企業(yè)內(nèi)部的威脅員工,避免重要數(shù)據(jù)的泄漏和破壞,內(nèi)部威脅檢測系統(tǒng)的不斷迭代和完善迫在眉睫。

用戶畫像是對用戶全體特征的概括和描述,根據(jù)需要對用戶的特定信息和行為進(jìn)行抽象的一種標(biāo)簽化用戶模型。用戶畫像的構(gòu)成一般由靜態(tài)屬性和動態(tài)屬性組成。靜態(tài)屬性用于記錄用戶不會經(jīng)常發(fā)生變動的靜態(tài)特征,動態(tài)屬性一般多用于記錄用戶的各種行為數(shù)據(jù)以及經(jīng)常變動的特征。雖然畫像技術(shù)主要用于個性化服務(wù)和精準(zhǔn)營銷等商業(yè)領(lǐng)域,但越來越多的學(xué)者將此技術(shù)用于其他領(lǐng)域[2-5]。用戶畫像對用戶使用簡化的標(biāo)簽描述用戶所具有的特定特征,并實現(xiàn)對滿足該特征的用戶或用戶群體的精準(zhǔn)定位。具有特定特征需求在信息安全領(lǐng)域同樣適用。國內(nèi)外已有部分學(xué)者率先將用戶畫像技術(shù)運(yùn)用于入侵檢測技術(shù)和內(nèi)部威脅領(lǐng)域當(dāng)中,并取得了一定的研究成果。

在最近的調(diào)查中,文獻(xiàn)[6]提出了一種基于多維特征的內(nèi)部威脅檢測混合模型,實驗結(jié)果表明,ADAD和ATAD模型具有魯棒性,混合模型明顯優(yōu)于兩個分離模型。趙剛和姚興仁[7]將用戶畫像技術(shù)用于入侵檢測技術(shù)中,提出了基于用戶畫像的入侵檢測模型,實現(xiàn)入侵檢測粒度的細(xì)化。張建平[8]提出一種基于流量與日志的分析方法,構(gòu)建用戶關(guān)鍵行為的數(shù)據(jù)畫像,實現(xiàn)了專用網(wǎng)絡(luò)中用戶關(guān)鍵行為監(jiān)測的系統(tǒng)。郭淵博等[9]提出了一種行為特征自動提取和局部全細(xì)節(jié)行為畫像方法,將局部描寫與全局預(yù)測相結(jié)合,提高了檢測準(zhǔn)確率。鐘雅等[10]將組織內(nèi)的用戶作為研究主體,將內(nèi)部威脅檢測與可視化相結(jié)合取得較好效果。雖然用戶畫像技術(shù)在入侵檢測技術(shù)和內(nèi)部威脅領(lǐng)域中取得一定的研究進(jìn)展與效果,但大多數(shù)學(xué)者都只運(yùn)用了用戶畫像技術(shù)中標(biāo)簽化模型的特點(diǎn),沒有將所有用戶的行為信息整合進(jìn)行檢測,缺少對每一個員工行為畫像的刻畫,降低了檢測的細(xì)粒度。為了提高內(nèi)部威脅檢測粒度的細(xì)化程度,本文將用戶畫像技術(shù)作為內(nèi)部威脅檢測的基礎(chǔ),并基于員工的動態(tài)行為信息構(gòu)建內(nèi)部威脅實時檢測模型。




本文詳細(xì)內(nèi)容請下載:http://ihrv.cn/resource/share/2000005025




作者信息:

李俊強(qiáng)1,黃  洪1,2,周子云1

(1.四川輕化工大學(xué) 計算機(jī)科學(xué)與工程學(xué)院,四川 宜賓644005;

2.企業(yè)信息化與物聯(lián)網(wǎng)測控技術(shù)四川省高校重點(diǎn)實驗室,四川 宜賓644005)


微信圖片_20210517164139.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。