基于文件访问行为的内部威胁异常检测模型研究

发布时间：2017-09-04 00:05

  本文关键词：基于文件访问行为的内部威胁异常检测模型研究

  更多相关文章： 内部威胁 文件内容 访问记录 异常检测 文本分类 个体 社团

【摘要】：随着信息技术的快速增长,信息系统给企业以及单位都带来了巨大的便利。与此同时,来自信息系统内部的威胁事件也越来越多。目前,网络安全防护方面针对外部威胁所做的工作已有很多,但他们在解决内部威胁这一方面却显得比较无力。内部威胁事件所带来的惨痛代价让人们开始关注针对内部威胁的解决方案。 目前针对内部威胁的检测还处于理论研究阶段。本文调研了内部威胁的研究现状,总结了目前国内外针对内部威胁的理论研究成果。在研究的过程中,提出了一种对内部威胁的定义,并且总结出了内部威胁具有高危、潜伏和伪装的这三种特点。文件作为信息的载体,在内部网络环境中扮演着重要的角色,需要对它加以防护。针对内部威胁的这些特点,本文提出从文件这一角度来开展防护措施,并做了相关的调研。过去的研究往往通过建立个人行为模式或者社团行为模式检测内部威胁,但都有各自的缺点。个体行为异常检测忽略了个人兴趣转移的情况,社团行为异常检测又忽略了用户的个性特征。本文提出了基于文件访问行为的个体行为和社团行为相结合的内部威胁异常检测模型,并且分析了这一模型的工作流程。首先使用文本分类方法对文件内容进行主题分类,然后建立用户主题关系矩阵和社团主题关系矩阵,并提出了一种综合模型将用户当前行为与其历史行为的偏差和与其所属团体的行为偏差综合考虑,检测内部威胁异常。最后设计并实施了仿真实验,实验结果表明,此模型可以有效地检测内部信息系统中的文件访问异常情况。
【关键词】：内部威胁 文件内容 访问记录 异常检测 文本分类 个体 社团
【学位授予单位】：北京交通大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 致谢5-6
• 摘要6-7
• ABSTRACT7-10
• 1 绪论10-18
• 1.1 引言10-12
• 1.1.1 研究背景10-11
• 1.1.2 研究的目的及意义11-12
• 1.2 内部威胁研究的发展现状12-15
• 1.3 本文主要工作及组织结构15-18
• 1.3.1 主要工作及贡献15-16
• 1.3.2 本文组织结构16-18
• 2 内部威胁检测相关方法研究18-25
• 2.1 内部威胁概述18-20
• 2.1.1 内部威胁的定义18
• 2.1.2 内部威胁特点18-19
• 2.1.3 内部威胁的表现方式19-20
• 2.2 内部威胁的分类20-21
• 2.3 内部威胁相关检测模型21-24
• 2.4 本章小结24-25
• 3 文件访问行为检测关键技术研究25-38
• 3.1 文件访问行为检测概述25
• 3.2 文本分类研究25-37
• 3.2.1 文本分类的特点26-27
• 3.2.2 文本的表示27-28
• 3.2.3 文本分词算法28-31
• 3.2.4 文本特征提取算法31-33
• 3.2.5 文本特征权重算法33-34
• 3.2.6 文本分类算法34-37
• 3.3 本章小结37-38
• 4 模型的实现与验证38-49
• 4.1 数据预处理39-41
• 4.2 行为模式分析41-43
• 4.2.1 单用户行为模式41-42
• 4.2.2 社团行为模式42-43
• 4.3 异常检测模型43-44
• 4.3.1 单用户模型异常检测43-44
• 4.3.2 用户社区模型异常检测44
• 4.3.3 个人行为与社团行为结合的异常检测模型44
• 4.4 实验44-48
• 4.4.1 文本分类45
• 4.4.2 单用户行为模式检测实验45-46
• 4.4.3 社区行为模式检测实验46-47
• 4.4.4 个人行为与社团行为结合的模型检测实验47-48
• 4.5 本章小结48-49
• 5 总结与展望49-51
• 5.1 全文工作总结49-50
• 5.2 对未来的展望50-51
• 参考文献51-54
• 作者简历54-56
• 学位论文数据集56

【参考文献】

中国期刊全文数据库 前3条

1 王超;郭渊博;马建峰;裴庆祺;徐栋;;基于隐马尔可夫模型的资源滥用行为检测方法研究[J];电子学报;2010年06期

2 傅赛香,袁鼎荣,黄柏雄,钟智;基于统计的无词典分词方法[J];广西科学院学报;2002年04期

3 王辉;刘淑芬;;一种可扩展的内部威胁预测模型[J];计算机学报;2006年08期

，

本文编号：788126