CN107846389A - 基于用户主客观数据融合的内部威胁检测方法及系统 - Google Patents
基于用户主客观数据融合的内部威胁检测方法及系统 Download PDFInfo
- Publication number
- CN107846389A CN107846389A CN201610839816.2A CN201610839816A CN107846389A CN 107846389 A CN107846389 A CN 107846389A CN 201610839816 A CN201610839816 A CN 201610839816A CN 107846389 A CN107846389 A CN 107846389A
- Authority
- CN
- China
- Prior art keywords
- user
- data
- subjective
- intensity
- motive
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于用户主客观数据融合的内部威胁检测方法及系统,在原先仅审计用户系统与网络行为数据的基础上,提出了反映用户工作态度、生活压力等个体特征的主观要素数据,再从用户的主客观要素数据出发,提出了融合模式、预示模式两类数据融合模式,通过融合反映用户攻击动机强度的主观要素数据与反映用户系统与网络行为的客观要素数据,全面分析、检测内部威胁,有效降低单纯异常检测的高误报与漏报问题,同时基于内部威胁攻击链特征提出了建立各个攻击环节异常的内部威胁特征方法,提高内部威胁检测系统的实时更新能力。
Description
技术领域
本发明属于网络信息安全管理与控制技术领域,涉及一种基于用户主客观数据融合的内部威胁检测方法及系统。
背景技术
随着网络的发展,网络信息的安全越来越引起社会的重视,各种防病毒软件、防火墙、入侵检测等安全产品得到了广泛的应用。但是这些信息安全产品仅仅是为了防御外部的入侵和窃取,伴随人们对网络安全的认知和技术的发展,发现由于内部人员造成的泄密和入侵事件占了很大比例,如2013年的斯诺登“棱镜门”事件,就是一起典型的内部人员泄密的安全事例。所以应对内部威胁应该与抵御外部的入侵必须同样地受到重视,然而现实中尚无有效的内部威胁检测机制,因此亟需设计实用性内部威胁检测系统。
内部攻击(或称内部威胁)是由企业或组织中内部人发起,区别于传统网络入侵攻击的新型威胁。内部人位于传统网络安全边界内部,且具备安全防御与攻击目标的关键知识,因此内部人可以绕过现有安全防御机制,从企业或组织内部实施网络攻击,从而造成巨大损失。
由于内部威胁攻击者一般是企业或组织的员工(在职或离职)、承包商以及商业伙伴等,且具有组织的系统、网络以及数据的访问权,因此内部威胁通常具备极高的隐蔽性与危害性,基于防火墙、IDS等安全设备的传统纵深防御体系并不能有效应对内部威胁。
检测内部威胁的关键在于完善的内部安全审计,其核心是以用户为中心,记录其在系统与网络中的所有关键操作与行为,从而形成用户在内部网络中的行为轨迹。当前内部安全审计的重点是以下行为:
●文档审计:审计文档的写入、创建、复制、删除等操作;
●打印审计:审计用户发起的打印事件与文件内容等;
●登录审计:审计用户登录系统的行为,以及注销、重启、关闭系统的操作;
●进程审计:审计用户创建、关闭的进程;
●网络监控:审计WEB访问行为,包括访问目标IP/Port、页面请求等;
●设备审计:审计USB等可移动存储设备使用行为,如复制、删除的文件;
●邮件审计:审计用户邮件行为,如邮件头信息中的收/发件人、邮件标题、附件个数(类型)等;
多维度、细粒度的内部安全审计必然导致巨大的数据量,随之而来的急剧增长的检测复杂度为内部威胁检测提出了挑战。因此,结合大数据分析技术,针对内部安全审计日志的大数据安全研究正成为当今的热点之一。然而实际中的内部威胁检测系统因为其数据源刻画维度片面、检测系统架构单一等不足导致检测误报率较高,实用性较差,因此很有必要研发具有良好实用性的新型内部威胁检测机制。
现有内部威胁检测方法核心是基于用户的内部安全审计日志,运用异常检测方法建立内部威胁分类器,其主要步骤如图1:
●内部安全审计采集:部署内部安全审计系统,收采集用户的文档访问等内部系统与网络行为,格式化处理后传递给分类器构建模块;
●异常检测分类器:运用异常检测方法从接收的数据中学习用户行为模型,构建异常检测分类器;
●用户行为检测:异常检测分类器对特定时间窗口的用户行为日志进行检测,判断是否为内部威胁。
如上所述,现有内部威胁检测方法的核心在于通过异常检测算法构建用户行为模型,从而形成检测异常行为的分类器。然而该系统混淆了“异常”与“恶意”的界限,实际中用户恶意的行为也许不属于异常,异常行为也未必属于恶意。仅仅依靠采集的内部安全审计日志中用户系统与网络行为数据,并不足以细粒度区分“异常”与“恶意”的界限,因此基于现有数据维度的内部威胁检测方法不可避免地存在高误报与漏报缺陷。高误报导致报警质量偏低,一方面分析人员无法全面分析,另一方面导致系统可用性降低,结果检测系统形同虚设;高漏报则直接使得安全防御失效,致使企业或组织资产陷于高风险之中。高误报与高漏报是制约内部威胁检测系统实用性的主要关键因素。
发明内容
基于现有内部威胁检测方法高误报、高漏报的不足,本发明提出了一种基于用户主客观数据融合的内部威胁检测方法及系统,通过融合反映用户攻击动机强度的主观要素数据与反映用户系统与网络行为的客观要素数据,全面分析、检测内部威胁,有效降低单纯异常检测的高误报与漏报问题。
为了实现上述技术目的,本发明采用以下技术方案:
一种基于用户主客观数据融合的内部威胁检测方法,包括以下步骤:
1)采集反映用户攻击动机强度的主观数据与反映用户系统与网络行为的客观数据;
2)分别针对步骤1)采集的主观数据和客观数据进行预处理以学习主观分类器与异常分类器;
3)将异常分类器的用户异常行为检测结果融合主观分类器的用户攻击动机强度判断结果,检测出内部恶意用户;
4)分析检测出的内部恶意用户的系统与网络行为,提取出行为中的攻击链特征,存储到特征库;
5)基于特征库中的攻击链特征对已采集的用户内部安全审计数据(即通过内部安全审计系统采集的用户的文档访问等内部系统与网络行为数据)进行实时内部威胁检测。
进一步地,所述主观数据包括反映用户实际工作状况的绩效评定数据,反映用户的工作态度的出勤评定数据,反映用户行为倾向的言行评定数据以及反映用户的家庭生活状态的环境评定数据。
进一步地,步骤2)中,所述预处理包括对数据进行清洗、格式化、向量化,以及对涉及用户隐私保护的数据匿名化。
进一步地,步骤3)中,将异常分类器的用户异常行为检测结果融合主观分类器的用户攻击动机强度判断结果,检测出内部恶意用户的步骤具体包括:
3-1-1)针对采集的主观数据,每个用户根据预设的评分标准计算其得分总和,作为该用户的攻击动机强度评分;针对由客观数据生成的特征向量,学习建立异常分类器,检测出表现出异常行为的用户;
3-1-2)针对表现出异常行为的用户,分析其攻击动机强度评分,当评分达到预设阈值时,判断该用户为内部恶意用户。
进一步地,步骤3-1-1)中,基于一段时期内用户自身行为对比或用户与其它用户对比,检测出表现出异常行为的用户。
进一步地,步骤3)还包括基于用户攻击动机强度判断结果预示的高风险用户,调整异常分类器敏感度后,检测出异常程度较低的内部恶意用户,具体包括:
3-2-1)针对采集的主观数据,每个用户根据预设的评分标准计算其得分总和,作为该用户的攻击动机强度评分;根据预设阈值,确定攻击动机强度达到阈值之上的用户为高风险用户;
3-2-2)针对高风险用户的客观数据对应的特征向量,学习建立高敏感度的异常分类器,若检测出异常行为,则判定该用户为内部恶意用户,分配高优先级报警,并进行安全响应。
进一步地,步骤5)中,通过分析已采集的用户内部安全审计数据,当用户的主观数据和客观数据的特征与已知攻击链特征的匹配度达到预设阈值(单独设定,与前两个无关)时,则判定发生内部威胁。
本发明还提供了一种基于用户主客观数据融合的内部威胁检测系统,包括:
数据采集模块,用于采集反映用户攻击动机强度的主观数据与反映用户系统与网络行为的客观数据,并将采集到的数据传输到数据处理模块;
数据处理模块,用于对主观数据和客观数据进行数据预处理,并将预处理后的数据传输到学习模块;
学习模块,用于根据预处理里后的数据学习主观分类器及异常分类器;
融合模块,用于将异常分类器的用户异常行为检测结果与主观分类器的用户攻击动机强度判断结果进行融合,以检测内部恶意用户;
特征提取模块,用于根据检测到的内部恶意用户,分析其攻击链特征,存储到特征库;
特征下发模块,用于将特征库中的攻击链特征下发到实时检测模块;
实时检测模块,用于根据所得到的攻击链特征对已采集的原始数据进行实时检测。
进一步地,上述系统还包括预示模块,用于基于用户攻击动机强度判断结果预示高风险用户,并根据高风险用户的行为特征学习高敏感度的异常分类器,以检测内部恶意用户。
本发明的有益效果如下:
一、用户数据维度扩充:在原先仅审计用户系统与网络行为数据的基础上,提出了反映用户工作态度、生活压力等个体特征的主观要素数据,并且将主观要素数据分为绩效评定、出勤评定、言行评定以及环境评定四个核心方面,规范了用户主观要素数据的外延。
二、基于用户主客观要素融合的检测框架:从用户的主客观要素数据出发,提出了融合模式、预示模式两类数据融合模式;其中融合模式主要是攻击动机强度融合异常行为,重点是利用动机与异常的二元组合减小异常行为与恶意行为间的误差,从而降低误报率;预示模式主要是基于攻击动机强度预示风险,其核心是从攻击动机角度确定高风险用户,从而提高其异常行为的敏感度与警报优先级,最终减小误报率的同时提高高风险威胁的应急响应能力。
三、内部威胁特征模块设计:基于内部威胁攻击链特征提出了建立各个攻击环节异常的内部威胁特征方法,该方法可以用于从内部威胁案例中提取攻击特征,形成可以与用户内部安全审计行为直接匹配的威胁特征模式,从而提高内部威胁检测系统的实时更新能力。
综上所述,本发明提出的基于用户主客观数据融合的内部威胁检测方法及系统,通过刻画用户攻击动机与行为异常的关联分析,能够有效降低原有检测系统的误报率与漏报率,实现实际可部署的内部威胁检测系统。
附图说明
图1是现有技术中基于异常检测的内部威胁检测框架。
图2是本发明用户主观数据采集模块示意图。
图3是本发明融合检测方法流程图。
图4是本发明预示检测方法流程图。
图5是本发明内部威胁特征提取示例图。
图6是本发明基于用户主客观数据融合的内部威胁检测系统结构图。
具体实施方式
本发明基于内部威胁检测数据维度的丰富化,协同使用误用检测与异常检测两类分类器,从而设计出误报与漏报明显降低的新型内部威胁检测方法。本发明设计如下:
1.用户主观数据采集方法
内部威胁检测数据丰富化的核心是在已有用户客观数据的基础上,扩充表征用户个体特征的主观数据集。主观数据来源于用户在实际生活工作中的状态,而非信息系统中的行为痕迹。主观数据主要来源于人力资源管理部门的数据:
如图2所示,用户主观数据采集主要来自于以下四个领域:
●绩效评定:主要反映用户的实际工作状况,主要内容来自于通常的绩效评定内容,如用户的工作完成质量、完成时间等;
●出勤评定:主要反映用户的工作态度,如用户的出勤、缺勤次数;
●言行评定:主要反映从用户言行中可分析出的行为倾向,言行数据可以来自人力资源部门记录、同事举报、用户微博等社交媒体状态等;
●环境评定:主要反映用户的家庭生活状态,主要从经济状况、配偶状况、孩子教育状况、身体健康状况等能够反映其社会生活压力的因素进行评定。
基于四类数据源采集,主观数据采集方法还包括安全管理部门与人力资源部门的协同制度:(1)制定用户个人数据数字化规范,将信息转变为可供学习处理的特征向量;(2)制定隐私保护策略,在用户个人数据数字化的过程中,用户隐私数据匿名化,对外不能显示;(3)安全管理部门检测到内部威胁或可疑内部用户要及时通知人力资源部门,形成部门联动机制,共同采取应对措施。
2.基于用户主客观数据融合的内部威胁检测方法
在基于用户主客观数据融合的内部威胁检测方法中,主观数据用于反映用户发起攻击的动机强度;客观数据源于传统内部安全审计中用户在系统与网络中的行为痕迹,主要用于反映用户发起攻击的实际过程。
●融合检测方法:即将传统异常行为检测与攻击动机评价融合使用的内部威胁检测方法。传统内部威胁检测仅依靠用户的客观数据建立异常检测分类器,由于异常检测自身的不足使得实际应用中误报与漏报均较高。本发明为了修正“异常”与“恶意”间的误差,从用户的攻击动机角度对异常检测结果进行二次检测,最终由攻击动机与异常行为二元因素决定用户的恶意性。如图3所示,主要步骤是:
(1)从人力资源部门采集用户主观要素数据,并对数据进行清洗、格式化等预处理工作;
(2)从内部安全审计系统中获取用户的系统与网络行为记录,进行数据清洗、格式化等预处理工作,最终形成特征向量,输入到(4);
(3)针对采集的用户主观数据,从绩效、出勤、言行与环境四个维度对用户的攻击动机强度进行评定:缺勤、拖延工作等行为均采用负分表示,每个用户计算其四个维度的算术总和(存在正分与负分相互抵消的情况),作为该用户的攻击动机强度,输入(5);
(4)针对输入的用户客观行为特征向量,学习建立异常检测分类器,基于一段时期内用户自身行为对比或用户与其它用户对比,检测出表现出异常行为的用户,输入(5);
(5)针对表现出异常行为的用户,分析其攻击动机强度评分,当评分达到某个预设阈值时,判断该用户为内部恶意用户,报警响应。
示例:
以实验环境中部署的内部威胁检测系统为例,如在正常异常分类器检测内部恶意用户的情况下考虑引入用户主观因素分析:-1.分析某行为异常用户A的主观指示器,如缺勤分数(缺勤天数/统计总天数,如0.3)、绩效分数(工作未完成天数/统计总天数,如0.2)等,-2.计算多个主观指示器分数,得到多个小于等于1的值的算术和(攻击动机强度=0.2+0.3=0.5>=N*a=0.5,动机阈值为指示器类别数N(本例N=2)乘值a,0<a<1,本例中预定a=0.25),因此判定用户A为内部恶意用户,对其进行权限终止、账户禁用等进一步应对;-3.反之,若A的攻击动机强度小于0.5,则认为用户A无恶意。
●预示检测方法:即根据攻击动机强度预示高风险用户的内部威胁检测方法。攻击动机是内部攻击实施的先决条件,因此本发明设计通过分析用户的攻击动机强度来确定内部威胁的高风险用户(动机越强,风险越高),从而可以提高该用户的异常检测敏感度与警报等级,优先分配安全管理资源响应。通过提高异常检测敏感度,可以有效提高弱异常检测能力,降低检测系统的漏报率。如图4所示,主要步骤是:
(1)从人力资源部门采集用户主观要素数据,并对数据进行清洗、格式化等预处理工作;
(2)从内部安全审计系统中获取用户的系统与网络行为记录,进行数据清洗、格式化等预处理工作,最终形成特征向量,输入到(4);
(3)针对采集的用户主观数据,从绩效、出勤、言行与环境四个维度对用户的攻击动机强度进行评定:缺勤、拖延工作等行为均采用负分表示,每个用户计算其四个维度的算术总和,作为该用户的攻击动机强度;根据预设阈值,确定攻击动机强度达到预设阈值之上的用户为高风险用户,输入到(4);(4)针对输入的高风险用户的客观行为的特征向量,学习建立高敏感度的异常检测分类器,然后基于一段时期内用户自身行为对比或用户与其它用户对比,若检测出异常行为(包含在融合检测中忽略的微弱异常),则判定该用户为恶意用户,分配高优先级报警,并进行安全响应。
示例:
以实验环境中部署的内部威胁检测系统为例,-1.分析用户A的主观指示器,如缺勤分数(缺勤天数/统计总天数,如0.4)、绩效分数(工作未完成天数/统计总天数,如0.5)等,-2.计算多个主观指示器分数,得到多个小于等于1的值的算术和(攻击动机强度=0.4+0.3=0.9>=N*a=0.8,动机阈值为指示器类别数N(本例N=2)乘a,0<a<1,本例中预定a=0.4),因此判定用户A为高风险用户,提高检测用户A行为时的异常分类器敏感度,一旦检测到异常行为,即报警,根据需要对A进行权限终止、账户禁用等进一步应对;-3.反之,若A的攻击动机强度小于0.8,则认为用户A非高风险用户,异常检测分类器敏感度设置不变。
其中,上述融合检测方法和预示检测方法中的“预设阈值”可根据实际需要分别设定。
3.内部威胁特征分析方法
现有内部威胁检测方法无法利用最新的内部威胁案例信息,因此本发明设计内部威胁特征分析方法,以提高内部威胁检测方法实时更新的效率。内部威胁特征核心是基于攻击链的整体特征,而非某个环节的单点特征。下面以团伙协作的内部信息窃取攻击为例对内部威胁特征提取方法进行说明。
团伙协作的内部信息窃取的特征在于攻击者自身无法访问目标信息,因此必须招募具有访问权的其它内部人完成窃取信息目标。如图5所示,该类攻击特征提取如下:
●异常文件访问:主要基于文件访问行为检测异常的用户访问行为,该特征对应在攻击者尝试访问目标信息失败,或具有访问权的同伙无法异常访问目标信息过程中;
●异常邮件联系:主要基于邮件收发人建立用户邮件关系图,从中检测异常子图,该特征对应攻击者招募同伙的过程;
●异常数据传输:主要检测数据传输行为,如将数据拷贝到U盘等移动存储设备,或打印文件、上传网络等,该特征对应同伙间的数据传输以及数据传出企业或组织的过程;
●攻击动机强度指示器(用于构建检测分类器):工作绩效连续下降、工作态度不认真、家庭经济压力大等;
内部威胁特征分析方法能够从现有威胁案例中分析形成攻击链,然后提取针对每个环节的异常特征,当用户主客观数据中行为模式与已有威胁特征模式匹配到一定程度时(达到预设阈值),即可以判定发生内部威胁。
4基于用户主客观数据融合的内部威胁检测
综上所述,本发明将主观数据采集、主客观数据融合与特征库三个模块有机组合,形成具备高实用性的新型内部威胁检测系统,如图6:
图中箭头表示数据流方向,从左至右分别是:
●数据采集阶段:具体包括用户工作、生活状态的主观数据采集与系统与网络行为的客观数据采集两类;采集到的数据传输到数据处理模块;
●数据处理阶段:对用户主客观数据进行数据清洗、格式化、向量化,对涉及隐私的数据匿名化;
●学习阶段:该阶段分别针对用户主客观数据学习判断用户攻击动机强度的主观分类器与检测用户异常行为的异常分类器;
●融合模式:在用户异常行为检测的基础上,融合用户攻击动机强度判断,从而判断内部恶意用户;
●预示模式:基于用户攻击强度判断,确定高风险用户,提高其异常检测敏感度与报警优先级,及时发现应对其高风险威胁;
●特征提取阶段:根据检测到的内部威胁,分析其攻击链特征,存储到特征库;
●特征下发阶段:特征库将分析提取的威胁特征模式下发到实时检测模块;
●实时检测阶段:该模块根据所得到的威胁特征对原始数据进行实时检测,以提高发现内部威胁的能力。
Claims (10)
1.一种基于用户主客观数据融合的内部威胁检测方法,包括以下步骤:
1)采集反映用户攻击动机强度的主观数据与反映用户系统与网络行为的客观数据;
2)分别针对步骤1)采集的主观数据和客观数据进行预处理以学习主观分类器与异常分类器;
3)将异常分类器的用户异常行为检测结果融合主观分类器的用户攻击动机强度判断结果,检测出内部恶意用户;
4)分析检测出的内部恶意用户的系统与网络行为,提取出行为中的攻击链特征,存储到特征库;
5)基于特征库中的攻击链特征对已采集的用户内部安全审计数据进行实时内部威胁检测。
2.如权利要求1所述的基于用户主客观数据融合的内部威胁检测方法,其特征在于,所述主观数据包括反映用户实际工作状况的绩效评定数据,反映用户的工作态度的出勤评定数据,反映用户行为倾向的言行评定数据以及反映用户的家庭生活状态的环境评定数据。
3.如权利要求1所述的基于用户主客观数据融合的内部威胁检测方法,其特征在于,步骤2)中,所述预处理包括对数据进行清洗、格式化、向量化,以及对涉及用户隐私保护的数据匿名化。
4.如权利要求1所述的基于用户主客观数据融合的内部威胁检测方法,其特征在于,步骤3)中,将异常分类器的用户异常行为检测结果融合主观分类器的用户攻击动机强度判断结果,检测出内部恶意用户的步骤具体包括:
3-1-1)针对采集的主观数据,每个用户根据预设的评分标准计算其得分总和,作为该用户的攻击动机强度评分;针对由客观数据生成的特征向量,学习建立异常分类器,检测出表现出异常行为的用户;
3-1-2)针对表现出异常行为的用户,分析其攻击动机强度评分,当评分达到预设阈值时,判断该用户为内部恶意用户。
5.如权利要求4所述的基于用户主客观数据融合的内部威胁检测方法,其特征在于,步骤3-1-1)中,基于一段时期内用户自身行为对比或用户与其它用户对比,检测出表现出异常行为的用户。
6.如权利要求1所述的基于用户主客观数据融合的内部威胁检测方法,其特征在于,步骤3)还包括基于用户攻击动机强度判断结果预示的高风险用户,调整异常分类器敏感度后,检测出异常程度较低的内部恶意用户。
7.如权利要求6所述的基于用户主客观数据融合的内部威胁检测方法,其特征在于,基于用户攻击动机强度判断结果预示的高风险用户,调整异常分类器敏感度后,检测出异常程度较低的内部恶意用户的步骤具体包括:
3-2-1)针对采集的主观数据,每个用户根据预设的评分标准计算其得分总和,作为该用户的攻击动机强度评分;根据预设阈值,确定攻击动机强度达到阈值之上的用户为高风险用户;
3-2-2)针对高风险用户的客观数据对应的特征向量,学习建立高敏感度的异常分类器,若检测出异常行为,则判定该用户为内部恶意用户,分配高优先级报警,并进行安全响应。
8.如权利要求1所述的基于用户主客观数据融合的内部威胁检测方法,其特征在于,步骤5)中,通过分析已采集的用户内部安全审计数据,当用户的主观数据和客观数据的特征与已知攻击链特征的匹配度达到预设阈值时,则判定发生内部威胁。
9.一种基于用户主客观数据融合的内部威胁检测系统,包括:
数据采集模块,用于采集反映用户攻击动机强度的主观数据与反映用户系统与网络行为的客观数据,并将采集到的数据传输到数据处理模块;
数据处理模块,用于对主观数据和客观数据进行数据预处理,并将预处理后的数据传输到学习模块;
学习模块,用于根据预处理里后的数据学习主观分类器及异常分类器;
融合模块,用于将异常分类器的用户异常行为检测结果与主观分类器的用户攻击动机强度判断结果进行融合,以检测内部恶意用户;
特征提取模块,用于根据检测到的内部恶意用户,分析其攻击链特征,存储到特征库;
特征下发模块,用于将特征库中的攻击链特征下发到实时检测模块;
实时检测模块,用于根据所得到的攻击链特征对已采集的原始数据进行实时检测。
10.如权利要求9所述的基于用户主客观数据融合的内部威胁检测系统,其特征在于,还包括预示模块,用于基于用户攻击动机强度判断结果预示高风险用户,并根据高风险用户的行为特征学习高敏感度的异常分类器,以检测内部恶意用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610839816.2A CN107846389B (zh) | 2016-09-21 | 2016-09-21 | 基于用户主客观数据融合的内部威胁检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610839816.2A CN107846389B (zh) | 2016-09-21 | 2016-09-21 | 基于用户主客观数据融合的内部威胁检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107846389A true CN107846389A (zh) | 2018-03-27 |
| CN107846389B CN107846389B (zh) | 2020-11-20 |
Family
ID=61657591
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610839816.2A Active CN107846389B (zh) | 2016-09-21 | 2016-09-21 | 基于用户主客观数据融合的内部威胁检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107846389B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110138763A (zh) * | 2019-05-09 | 2019-08-16 | 中国科学院信息工程研究所 | 一种基于动态web浏览行为的内部威胁检测系统及方法 |
| CN110532485A (zh) * | 2019-07-11 | 2019-12-03 | 中国科学院信息工程研究所 | 基于多源数据融合的用户行为检测方法及装置 |
| CN110737890A (zh) * | 2019-10-25 | 2020-01-31 | 中国科学院信息工程研究所 | 一种基于异质时序事件嵌入学习的内部威胁检测系统及方法 |
| CN115022052A (zh) * | 2022-06-07 | 2022-09-06 | 山东省计算中心(国家超级计算济南中心) | 一种基于用户二元性分析的内部用户异常行为融合检测方法及系统 |
| CN115051854A (zh) * | 2022-06-13 | 2022-09-13 | 山东省计算中心(国家超级计算济南中心) | 一种基于动态更新机制的内部威胁融合检测方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102083087A (zh) * | 2011-01-25 | 2011-06-01 | 南京金思科技有限公司 | 一种主客观模型结合的话务量异常检测方法 |
| CN104715139A (zh) * | 2015-02-02 | 2015-06-17 | 张振声 | 一种特殊人员风险行为评估方法 |
-
2016
- 2016-09-21 CN CN201610839816.2A patent/CN107846389B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102083087A (zh) * | 2011-01-25 | 2011-06-01 | 南京金思科技有限公司 | 一种主客观模型结合的话务量异常检测方法 |
| CN104715139A (zh) * | 2015-02-02 | 2015-06-17 | 张振声 | 一种特殊人员风险行为评估方法 |
Non-Patent Citations (1)
| Title |
|---|
| 杨光等: "内部威胁检测研究", 《信息安全学报》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110138763A (zh) * | 2019-05-09 | 2019-08-16 | 中国科学院信息工程研究所 | 一种基于动态web浏览行为的内部威胁检测系统及方法 |
| CN110138763B (zh) * | 2019-05-09 | 2020-12-11 | 中国科学院信息工程研究所 | 一种基于动态web浏览行为的内部威胁检测系统及方法 |
| CN110532485A (zh) * | 2019-07-11 | 2019-12-03 | 中国科学院信息工程研究所 | 基于多源数据融合的用户行为检测方法及装置 |
| CN110532485B (zh) * | 2019-07-11 | 2022-06-03 | 中国科学院信息工程研究所 | 基于多源数据融合的用户行为检测方法及装置 |
| CN110737890A (zh) * | 2019-10-25 | 2020-01-31 | 中国科学院信息工程研究所 | 一种基于异质时序事件嵌入学习的内部威胁检测系统及方法 |
| CN115022052A (zh) * | 2022-06-07 | 2022-09-06 | 山东省计算中心(国家超级计算济南中心) | 一种基于用户二元性分析的内部用户异常行为融合检测方法及系统 |
| CN115051854A (zh) * | 2022-06-13 | 2022-09-13 | 山东省计算中心(国家超级计算济南中心) | 一种基于动态更新机制的内部威胁融合检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107846389B (zh) | 2020-11-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Moore | Detecting ransomware with honeypot techniques | |
| CN104283889B (zh) | 基于网络架构的电力系统内部apt攻击检测及预警系统 | |
| Sun et al. | Detecting anomalous user behavior using an extended isolation forest algorithm: an enterprise case study | |
| Salem et al. | A survey of insider attack detection research | |
| CN107846389A (zh) | 基于用户主客观数据融合的内部威胁检测方法及系统 | |
| CN104811447B (zh) | 一种基于攻击关联的安全检测方法和系统 | |
| CN108989294A (zh) | 一种准确识别网站访问的恶意用户的方法及系统 | |
| CN103986706A (zh) | 一种应对apt攻击的安全架构设计方法 | |
| Nadiammai et al. | A comprehensive analysis and study in intrusion detection system using data mining techniques | |
| Awad et al. | Data leakage detection using system call provenance | |
| Jiang et al. | Warder: Online insider threat detection system using multi-feature modeling and graph-based correlation | |
| Suo et al. | Research on the application of honeypot technology in intrusion detection system | |
| Golushko et al. | Application of advanced persistent threat actorstechniques aor evaluating defensive countermeasures | |
| Zhao et al. | Research of intrusion detection system based on neural networks | |
| Fagade et al. | Malicious insider threat detection: A conceptual model | |
| Mekonnen et al. | A privacy preserving context-aware insider threat prediction and prevention model predicated on the components of the fraud diamond | |
| Erskine et al. | Developing cyberspace data understanding: using CRISP-DM for host-based IDS feature mining | |
| Georgina et al. | Deception Based Techniques Against Ransomwares: a Systematic Review | |
| CN107341396A (zh) | 入侵检测方法、装置及服务器 | |
| Liu et al. | Improved detection of user malicious behavior through log mining based on IHMM | |
| Bharathi et al. | A novel approach to cyber hazard management intelligence system | |
| Teymourlouei et al. | Preventing Data Breaches: Utilizing Log Analysis and Machine Learning for Insider Attack Detection | |
| Reddy | Cyber Security & Artificial Intelligence | |
| Verma et al. | Internet Monitoring using Snort and Naïve Bayes Method using Internet of Things (IoT). | |
| Singh et al. | A Review on NIST, ISO 27001, HIPAA and MITRE ATT&CK Cybersecurity Frameworks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |