基于用户画像技术的内部威胁检测框架研究
发布时间:2021-01-07 03:34
内部威胁是指组织内部的合法员工、具有信息访问权限的合作方或第三方,违背组织的安全策略,因恶意破坏或无意疏忽对组织或其内部资源的机密性、完整性和可用性造成损害的行为。随着互联网的普及,组织管理和业务开展对信息系统的依赖与日俱增,内部威胁隐患随之增加。调查表明,内部威胁造成的损失占组织总损失中的比重正逐年递增。及时高效地检测内部人员恶意行为,控制内部威胁造成的损害,具有重大现实意义。近年来,研究人员从网络流量、系统调用、员工心理、员工行为等多个层面、不同角度对内部威胁进行了研究,在理论框架、检测方法等方面取得了许多重要的成果,但由于缺乏真实的企业数据、人工标注数据成本高、特征提取依赖人工、检测误报率高等原因,该研究一直没有取得突破性进展。除系统漏洞、权限分配不当等客观因素造成的企业和组织损失外,“人”是构成内部威胁主体因素。把组织内的“人”作为研究主体,综合分析其心理、性格等内在特征,对其业务操作中的正常历史行为建模,为企业和组织检测员工恶意行为提供了方法和思路。用户画像技术是从海量用户数据中抽取用户信息全貌,详细刻画用户内在需求和行为偏好的一种方法。本文将用户画像技术应用到内部威胁检测中...
【文章来源】:战略支援部队信息工程大学河南省
【文章页数】:80 页
【学位级别】:硕士
【部分图文】:
图3.4日志形式
用户数的 0.7%。攻击者所在分组及其所占比例如 3.7 所示。图 3. 7 攻击者分组情况其中 1#分组中包含攻击者 17 人,占攻击者总数的 60.7%,占该组总用户数的 14.4%而 18#分组中包含攻击者 1 人,占该组总用户数的 0.26%。0#、2#、4#等 12 个分组中不包含攻击者。从图中可以看出,大多数攻击者相似度高,通过属性画像和相似度聚类,可以发现大量相似的恶意用户。将所有攻击者进行的破环行为按发生时间的先后顺序进行排列,结合攻击者所在用户组画出,如图 3.8。
战略支援部队信息工程大学硕士学位论文标图左上方的点为敏感性和特异性均较高的临界值。AUC(Area Under Curve)即 ROC 曲线下面的面积,AUC 越大模型效果越好。一般来说,AUC 接近 1 时,实验取得了较理想的效果,我们可以根据 AUC 的值与 0.5 相比,来评估一个分类模型的预测效果。如果 AUC的值达到 0.80,那说明分类器分类比较准确;如果 AUC 值在 0.60~0.80 之间,那分类器有优化空间,可以通过调节参数得到更好的性能;如果 AUC 值小于 0.60,那说明分类器模型效果比较差。4.3.4 实验结果及分析模型训练完成后,对用户 CMP2946 和 CDE1846 后面 410 天的所有活动进行了检测。检测过程中的每个活动域的异常得分如图 4.6 示。
本文编号:2961825
【文章来源】:战略支援部队信息工程大学河南省
【文章页数】:80 页
【学位级别】:硕士
【部分图文】:
图3.4日志形式
用户数的 0.7%。攻击者所在分组及其所占比例如 3.7 所示。图 3. 7 攻击者分组情况其中 1#分组中包含攻击者 17 人,占攻击者总数的 60.7%,占该组总用户数的 14.4%而 18#分组中包含攻击者 1 人,占该组总用户数的 0.26%。0#、2#、4#等 12 个分组中不包含攻击者。从图中可以看出,大多数攻击者相似度高,通过属性画像和相似度聚类,可以发现大量相似的恶意用户。将所有攻击者进行的破环行为按发生时间的先后顺序进行排列,结合攻击者所在用户组画出,如图 3.8。
战略支援部队信息工程大学硕士学位论文标图左上方的点为敏感性和特异性均较高的临界值。AUC(Area Under Curve)即 ROC 曲线下面的面积,AUC 越大模型效果越好。一般来说,AUC 接近 1 时,实验取得了较理想的效果,我们可以根据 AUC 的值与 0.5 相比,来评估一个分类模型的预测效果。如果 AUC的值达到 0.80,那说明分类器分类比较准确;如果 AUC 值在 0.60~0.80 之间,那分类器有优化空间,可以通过调节参数得到更好的性能;如果 AUC 值小于 0.60,那说明分类器模型效果比较差。4.3.4 实验结果及分析模型训练完成后,对用户 CMP2946 和 CDE1846 后面 410 天的所有活动进行了检测。检测过程中的每个活动域的异常得分如图 4.6 示。
本文编号:2961825
本文链接:https://www.wllwen.com/kejilunwen/sousuoyinqinglunwen/2961825.html
