基于跨域行为分析的内部威胁检测研究
发布时间:2020-05-09 16:35
【摘要】:由于近年来日益增多的内部攻击事件,内部威胁这一看似新颖却已长期存在的问题逐渐成为信息安全行业和政府关注的焦点。内部威胁比外部威胁更具危害性,内部攻击者通过恶意使用或滥用已经获取的信息系统相关访问权限,对信息系统的保密性、完整性和可用性造成严重损害。鉴于此,针对内部威胁检测的研究变得十分重要。现有的内部威胁检测方法主要集中在用户多域行为检测,此类方法通常融合用户各单域行为的检测结果。但其本质上仍然采用分析用户在单个检测域内行为的方式,没有同时分析用户在多个检测域内的行为变化;而单一的跨域行为分析检测方法没有考虑到由于系统条件或用户背景等属性的变化而导致的用户合理的行为变化所带来的误差,导致内部威胁检测的准确率不高。针对当前内部威胁检测研究的不足,本文对内部威胁检测进行研究,主要的研究内容和贡献如下:1.本文提出了一种新的内部威胁检测方法,该方法在分析用户跨域行为的基础之上结合用户背景等信息对内部攻击行为进行综合检测。不仅能同时分析用户多个检测域内的行为,还能对用户合理的行为变化进行有效容忍,从而提高内部威胁检测的准确率。实验中,使用本文方法分析用户在5个检测域中的行为数据和用户背景数据,实验结果表明本文方法优于典型的基于各单域检测结果的方法和单一的跨域行为分析检测方法。2.根据内部威胁检测结果对导致用户行为异常的特征的重要性进行度量,为企业和组织防范内部威胁或在新一轮的内部威胁检测过程中相应特征权重的分配提供参考依据。
【图文】:
图 4.1 最初选取的特征之间的 Pearson 相关系数分布实验中,根据各特征之间 Pearson 相关系数的计算结果共去除 12 个特征,最终保留了 30 个特征,,各检测域内最终选取的特征如表 4.4 所示。表 4.4 各检测域中最终选取的特征检测域 最终选取的特征 特征个数Logon#logon, #on_own_PC, #on_others_PC, #non-working_hours,#working_hours5File#doc_files, #pdf_files, #jpg_files, #txt_files, #zip_files, #exe_files,#file_open, #file_modify, #file_copy, #file_delete, #to_removable_media,#on_others_PC, #non-working_hours13HTTP #upload, #on_others_PC, #non_working_hours 3Device #on_others_PC, #non-working_hours, #working_hours 3Email#send, #view, #has_attach, #on_others_PC, #non-working_hours,#working_hours6
4.2.3 内部攻击行为检测根据上节在各检测域内最终选取的特征,实验中首先分别在相应检测域内获得其统计值用来描述用户在各检测域内的行为;接着以天为时间窗口合并用户各检测域内的行为描述,生成用户多域行为描述向量,其中如果用户在某个检测域中无行为数据,则应填充相应位数的零,使得所有用户的多域行为描述向量具有相同的长度。在整个实验过程中,共获得了 1394010 条多域行为描述向量,其中包含了 4000个用户在所有时间窗口内的多域行为描述向量。所有用户的多域行为描述向量共同构成了一个多域行为描述矩阵,其行数为 1394010,列数为最终选取特征的总个数30。图 4.2 展示了在构建用户多域行为描述的过程中代号为“AAC0668”的用户在前 20 个时间窗口内的多域行为描述向量。
【学位授予单位】:重庆邮电大学
【学位级别】:硕士
【学位授予年份】:2018
【分类号】:TP393.08
本文编号:2656422
【图文】:
图 4.1 最初选取的特征之间的 Pearson 相关系数分布实验中,根据各特征之间 Pearson 相关系数的计算结果共去除 12 个特征,最终保留了 30 个特征,,各检测域内最终选取的特征如表 4.4 所示。表 4.4 各检测域中最终选取的特征检测域 最终选取的特征 特征个数Logon#logon, #on_own_PC, #on_others_PC, #non-working_hours,#working_hours5File#doc_files, #pdf_files, #jpg_files, #txt_files, #zip_files, #exe_files,#file_open, #file_modify, #file_copy, #file_delete, #to_removable_media,#on_others_PC, #non-working_hours13HTTP #upload, #on_others_PC, #non_working_hours 3Device #on_others_PC, #non-working_hours, #working_hours 3Email#send, #view, #has_attach, #on_others_PC, #non-working_hours,#working_hours6
4.2.3 内部攻击行为检测根据上节在各检测域内最终选取的特征,实验中首先分别在相应检测域内获得其统计值用来描述用户在各检测域内的行为;接着以天为时间窗口合并用户各检测域内的行为描述,生成用户多域行为描述向量,其中如果用户在某个检测域中无行为数据,则应填充相应位数的零,使得所有用户的多域行为描述向量具有相同的长度。在整个实验过程中,共获得了 1394010 条多域行为描述向量,其中包含了 4000个用户在所有时间窗口内的多域行为描述向量。所有用户的多域行为描述向量共同构成了一个多域行为描述矩阵,其行数为 1394010,列数为最终选取特征的总个数30。图 4.2 展示了在构建用户多域行为描述的过程中代号为“AAC0668”的用户在前 20 个时间窗口内的多域行为描述向量。
【学位授予单位】:重庆邮电大学
【学位级别】:硕士
【学位授予年份】:2018
【分类号】:TP393.08
【参考文献】
相关期刊论文 前6条
1 乔少杰;金琨;韩楠;唐常杰;格桑多吉;Louis Alberto GUTIERREZ;;一种基于高斯混合模型的轨迹预测算法[J];软件学报;2015年05期
2 陈小军;方滨兴;谭庆丰;张浩亮;;基于概率攻击图的内部攻击意图推断算法研究[J];计算机学报;2014年01期
3 梁岩;鲍长春;夏丙寅;何玉文;周璇;李娜;;基于高斯混合模型的压缩域语音增强方法[J];电子学报;2012年10期
4 张红斌;裴庆祺;马建峰;;内部威胁云模型感知算法[J];计算机学报;2009年04期
5 李乐;章毓晋;;非负矩阵分解算法综述[J];电子学报;2008年04期
6 向日华,王润生;一种基于高斯混合模型的距离图像分割算法[J];软件学报;2003年07期
相关硕士学位论文 前2条
1 高鸿;内部网络威胁模型与检测技术[D];西安电子科技大学;2009年
2 翁勇南;信息安全中内部威胁者行为倾向研究[D];北京交通大学;2007年
本文编号:2656422
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2656422.html
