基于用户行为的内部威胁检测方法研究
发布时间:2020-12-12 01:02
在网络技术发展初期,各个企业、组织主要以防范来自安全边界外部的恶意行为作为主要的防御方针,使得在信息安全领域提出了大量应对外部威胁的检测手段和防御体系。尽管拥有这些比较成熟的防御方案,当今企业、组织甚至国家仍然面临着来自内部的安全威胁。由于内部攻击者熟悉内部系统架构,安全规则,使得他们能够比较容易地规避系统防御检测机制,导致内部攻击难以提前预警,事后难以溯源,同时内部威胁造成的损失不亚于甚至超过外部攻击,从而让内部威胁成为信息安全领域的热点研究问题。在已有的内部威胁检测研究中,基于单一数据源的检测方案容易被内部攻击者所规避,并且,针对不同数据源采用不同的建模方案,增加了内部威胁检测的实现难度。针对上述问题和研究背景,本文开展了对内部威胁中关于用户异常行为检测问题的研究,对应本文所做工作如下:(1)本文对已有的理论研究成果进行了调查,总结并归纳了内部威胁的种类、相关攻击检测模型以及各方研究人员使用的研究数据集,同时对本文的数据采集和预处理工作进行了阐述。(2)本文提出一种较为通用的内部威胁建模方法,该方法将用户交互行为拆解为若干个事件序列集合,接着运用马尔可夫聚类算法,将事件序列转换为点...
【文章来源】:北京交通大学北京市 211工程院校 教育部直属院校
【文章页数】:74 页
【学位级别】:硕士
【部分图文】:
内部威胁检测框架
(2)数据库级别内部威胁防御方法??该文中提出通过在出入内部系统的网络数据包中加入水印,并且在边界路由??器加入水印检查机制,当发现带有水印的数据包时,直接进行丢包处理同时向管??理员报警。另一种防御机制则是在组织系统内部通过虚拟机建立信任区与非信任??区(如图2-3所示),当数据需要从信任区流向非信任区时,数据需要加上加密??的可信证书,同时信任区边界网关需要检查流出数据是否带有可信证书,另外需??要对可信证书设置有效时间,当证书过期时,需要重新分配证书进行认证。???Secure?Channel???Web/Application???^??Server??[?^????—??1?Trusted?I????—?Data?*?\rl?j?_?乂,?_??Data??±??今?Security?J*? ̄? ̄? ̄?r?—??v? ̄ ̄??Server?AuthZ?Gateway?t?*?Border???J?Tokens?……“??…j?:?Router??Verifies?Data?……-??j?丁rusted?*??Credentials???_?j??r*?—??I.?_?_?_| ̄|—-—---"-J????Protected?Traffic?—?^Markod^???Non-rotocted?Traff.ce-mail,?wwwWorkstat.on??
?:K'---;'??TRAININO?PHASE??图2-2数据库级别的数据泄露检测框架[43】??Figure?2-2?Detection?framework?of?data?leak?on?database?[43】??(2)数据库级别内部威胁防御方法??该文中提出通过在出入内部系统的网络数据包中加入水印,并且在边界路由??器加入水印检查机制,当发现带有水印的数据包时,直接进行丢包处理同时向管??理员报警。另一种防御机制则是在组织系统内部通过虚拟机建立信任区与非信任??区(如图2-3所示),当数据需要从信任区流向非信任区时,数据需要加上加密??的可信证书,同时信任区边界网关需要检查流出数据是否带有可信证书,另外需??要对可信证书设置有效时间,当证书过期时,需要重新分配证书进行认证。???Secure?Channel???Web/Application???^??Server??[?^????—??1?Trusted?I????—?Data?*?\rl?j?_?乂
本文编号:2911558
【文章来源】:北京交通大学北京市 211工程院校 教育部直属院校
【文章页数】:74 页
【学位级别】:硕士
【部分图文】:
内部威胁检测框架
(2)数据库级别内部威胁防御方法??该文中提出通过在出入内部系统的网络数据包中加入水印,并且在边界路由??器加入水印检查机制,当发现带有水印的数据包时,直接进行丢包处理同时向管??理员报警。另一种防御机制则是在组织系统内部通过虚拟机建立信任区与非信任??区(如图2-3所示),当数据需要从信任区流向非信任区时,数据需要加上加密??的可信证书,同时信任区边界网关需要检查流出数据是否带有可信证书,另外需??要对可信证书设置有效时间,当证书过期时,需要重新分配证书进行认证。???Secure?Channel???Web/Application???^??Server??[?^????—??1?Trusted?I????—?Data?*?\rl?j?_?乂,?_??Data??±??今?Security?J*? ̄? ̄? ̄?r?—??v? ̄ ̄??Server?AuthZ?Gateway?t?*?Border???J?Tokens?……“??…j?:?Router??Verifies?Data?……-??j?丁rusted?*??Credentials???_?j??r*?—??I.?_?_?_| ̄|—-—---"-J????Protected?Traffic?—?^Markod^???Non-rotocted?Traff.ce-mail,?wwwWorkstat.on??
?:K'---;'??TRAININO?PHASE??图2-2数据库级别的数据泄露检测框架[43】??Figure?2-2?Detection?framework?of?data?leak?on?database?[43】??(2)数据库级别内部威胁防御方法??该文中提出通过在出入内部系统的网络数据包中加入水印,并且在边界路由??器加入水印检查机制,当发现带有水印的数据包时,直接进行丢包处理同时向管??理员报警。另一种防御机制则是在组织系统内部通过虚拟机建立信任区与非信任??区(如图2-3所示),当数据需要从信任区流向非信任区时,数据需要加上加密??的可信证书,同时信任区边界网关需要检查流出数据是否带有可信证书,另外需??要对可信证书设置有效时间,当证书过期时,需要重新分配证书进行认证。???Secure?Channel???Web/Application???^??Server??[?^????—??1?Trusted?I????—?Data?*?\rl?j?_?乂
本文编号:2911558
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2911558.html
