一种基于机器学习的内部威胁检测算法

网络空间的用户行为是不可预测的,恶意的内部攻击是对企业和政府机构最具破坏性的威胁之一。随着信息技术的迅猛发展,内网安全威胁越来越成为组织面临的重要挑战。现有的大多数入侵检测算法基于静态检测技术,难以检测隐蔽性高的内部攻击手段,同时也不具备灵活性和适应性,无法检测到网络流数据中用户行为的变化,因此在使用该类算法进行内网威胁分析时会出现误报率高、检测率低等问题。本文研究了一种基于机器学习的内部威胁检测算法,它包括数据收集、数据预处理以及数据分析3部分。其中数据分析阶段使用了逻辑回归(LR)、随机森林(RF)以及人工神经网络(ANN)来训练实验数据。实验表明,该算法可以从正常的和恶意的内部威胁中,以高精度检测到恶意内部威胁攻击以及恶意人员。本文提出的基于机器学习的内部威胁检测算法,可以辅助安全分析师分析内部威胁,提高内部威胁分析效率和精度,降低内部威胁分析成本,保护用户的资产安全。

基于多源数据的内部威胁检测技术综述

近年来,内部威胁事件呈上升趋势,内部网络安全面临巨大挑战,内部威胁检测技术作为一种有效手段开始被广泛关注和研究。该文从数据来源角度对内部威胁检测技术的发展进行分析和总结,对比不同来源数据的特点、在检测中发挥的作用以及针对该类型数据的检测方法。在此基础上,介绍当前被广泛研究的内部威胁数据集CERT-IT,并对基于该数据集的内部威胁检测方法进行分析比较,探讨内部威胁检测技术面临的挑战和未来的发展趋势。

基于异常检测的内部威胁识别系统开发

随着信息技术的快速发展,内部威胁已经成为许多组织面临的严重挑战。为了有效应对这一挑战,文中提出了一种基于异常检测的内部威胁识别系统。该系统利用先进的异常检测算法,结合了日志分析和行为模式识别的技术,能及时、准确地识别潜在的内部威胁行为。在实验中,使用了实际的数据集进行验证,并与传统的威胁检测方法进行了比较。实验结果表明,该系统在识别内部威胁方面具有明显优势,表现出了较高的准确性和效率。

基于操作注意力和数据增强的内部威胁检测

内部威胁是组织中出现重大安全隐患的主要原因之一,也是一个长期的挑战。通过分析现有的内部威胁数据,指出内部威胁检测最大的挑战在于数据不平衡、有标注的威胁样本少。内部威胁检测的经典数据集CMU-C R4.2共有322万条日志数据,其中标记出的恶意操作日志仅7 423条;日志中的大多数操作类型与恶意行为无关,如泄露企业数据这一恶意行为仅与两种类型操作高度相关,而其余的40多种类型操作的日志则可能对检测造成干扰。针对这一挑战,设计了一种基于操作注意力和数据增强的数据处理框架。该框架首先对操作进行异常评估,对低异常评分的操作进行掩码操作,使模型更好地关注与恶意行为相关的操作,可以被认为是一种操作的硬注意力机制。通过分析内部威胁数据集的特点,设计了3种规则对恶意样本进行数据增强,以增加样本的多样性和缓解正负样本严重不平衡的问题。将有监督的内部威胁检测视作一个时序分类问题,在长短期记忆卷积神经网络(LSTM-FCN)模型中加入残差连接以实现多粒度的检测,并使用精确率、召回率等指标实施评估,要优于现有的基线模型;另外,在ITD-Bert、TextCNN等多种经典模型上实施基于操作注意力和数据增强的数据处理框架,结果表明所提方法能够有效提升内部威胁检测模型的性能。

美国情报界内部威胁的发展态势、防范对策及其启示

[研究目的]总结归纳美国情报界内部威胁的演进历程、类型特征和产生原因,综合分析美国情报界内部威胁防护的经验做法,对我军和情报机关应对内部威胁、确保内部安全、赢得战略主动具有现实意义。[研究方法]运用网络调研法和系统分析法,梳理美国情报界有据可查的内部威胁案例,从情报政策规范、管理架构、技术应用和公民防线4个方面对美国情报界内部威胁防护措施进行剖析。[研究结论]自“维基解秘”和“棱镜门”事件爆发以来,美国情报界下大力气整治内部威胁,值得我国关注和借鉴。要立足世情、国情、党情、军情的深刻变化,对美国情报界内部威胁防范措施进行批判性审视和反思,进一步夯实内部威胁防护的政策制度保障、制定内部威胁防护的体系化反制措施。

云计算模式内部威胁综述

云计算模式的本质特征是数据所有权和管理权的分离,即用户将数据迁移到云上,失去了对数据的直接控制权,需要借助云计算平台实现对数据的管理.而云计算模式的引入带来了很多新的安全问题和挑战,如恶意的云管理员、可利用的安全漏洞和不当的访问接口等.尤其是当云管理员客观上具备偷窥和泄露用户数据和计算资源的能力时,如何保障用户数据的权益,成为一个极具挑战的问题.因此,内部威胁的研究和应对在云计算模式下变得尤为重要,也是近年来学术界和工业界共同关注的热点.为进一步深入研究云计算模式内部威胁问题及其应对,从具体方式方法上作系统的归纳和梳理,并促进国内在该方向上的研究,该文系统分析和总结了云计算模式下内部威胁的类型、特点,并针对真实的云平台构建和实施切实可行的内部威胁攻击实例,展示了云平台客观存在的可利用内部风险以及典型攻击方法.在此基础上,通过梳理相关研究工作,该文总结了三类应对云计算模式内部威胁的主要技术路线,即人员评价与行为分析、云管理权限划分和执行时验证和用户可控的数据加密.针对每一类技术路线,该文深入分析了其主要原理、关键技术、最新进展和产业实用性.最后给出了云计算模式下内部威胁的重要研究点和未来发展方向.

内部威胁云模型感知算法

利用系统访问控制关系,定义了主体、客体两个偏序结构和二者间的映射关系,建立了分层映射内部威胁模型;利用此模型定义了表征系统内部威胁状态的内部威胁云模型,并设计了基于云模型的感知算法,实现了对系统内部威胁的评测感知.基于云模型的内部威胁感知算法,利用云模型从多角度将系统的定性、定量内部威胁特征融合分析、决策,克服了原有方法不能同时定量定性分析内部威胁的缺陷,提高了感知的准确性和客观性.实验结果表明,此算法能够实时、有效地感知系统的内部安全威胁.

一种可扩展的内部威胁预测模型

企业组织所面临的威胁不仅来自外部,而且也来自内部.目前,内部威胁(InsiderThreat)已被认为是一个非常严重的安全问题.然而,攻击建模和威胁分析工具方面的研究仍处于摸索阶段.文中提出了一个新颖的InsiderThreat模型,依据用户使用意图的封装,定制生成该用户的最小攻击树.该模型能实时地对内部用户的行为进行检测和风险评估,通过一个量化手段来辅助管理人员作出决策.

面向内部威胁检测的用户跨域行为模式挖掘

内部用户行为分析是系统安全领域中一个重要的研究问题.近期的工作主要集中在用户单域行为的单一模式分析技术,同时依赖于领域知识和用户背景,不适用于多检测域场景.文中提出一种新的用户跨域行为模式分析方法.该方法能够分析用户行为的多元模式.此外,该方法是完全数据驱动的方法,不需要依赖相关领域知识和用户背景属性.最后作者基于文中的用户行为模式分析方法设计了一种面向内部攻击的检测方法.在实验中,作者使用文中方法分析了真实场景中的5种用户审计日志,实验结果验证了文中分析方法在多检测域场景中分析用户行为多元模式的有效性,同时文中检测方法优于两种已有方法:单域检测方法和基于单一行为模式的检测方法.

利用访问向量的内部威胁感知方法

利用系统访问控制关系,定义了层次化访问控制模型和访问向量,建立了信息系统资源内部威胁特征的量化方法,利用访问向量实现了信息系统访问行为的内部威胁特征量化,并以此为基础,建立了系统内部威胁实时感知方法,实现了对系统内部威胁的全面实时评估,克服了原有模型依赖于先验知识的不足,提高了量化的准确性和客观性.仿真实验结果表明,利用访问向量的内部威胁感知方法能够实时、有效地评估系统的内部安全威胁,为进一步实现内部威胁的态势感知建立了基础.

内部威胁检测研究

近年来,以系统破坏、信息窃取以及电子欺诈为主的内部攻击因为隐蔽性强、破坏性大的特点对个人与企业,甚至国家安全造成了严重威胁。因此十分有必要关注内部威胁已有的研究成果与发展趋势。本文分析了内部威胁的特征,提出基于信任理论的形式化定义。同时将当前内部威胁研究热点归结为内部威胁模型研究、主观要素研究、客观要素研究及其它研究四个领域,分别介绍各个领域的研究状况,并对每个领域的研究进展进行归纳和分析。通过分析内部威胁已有案例以及当前研究进展,针对现有研究不足提出新型内部威胁检测系统,并展望未来的关键技术。

一种实时内部威胁模型建立方法

利用系统访问控制关系,定义了主体、客体两个偏序结构和二者间的映射关系,建立了分层映射内部威胁模型.采用层次分析法从主客体两方面对分层映射模型的内部威胁特征进行分解量化,并利用二者间的映射关系实现了对系统内部威胁的全面实时评估.克服了原有模型不能同时定量定性分析内部威胁的缺陷,提高了量化的准确性和客观性.实验结果表明,分层映射内部威胁模型能够实时、有效地评估系统的内部安全威胁,为进一步实现内部威胁感知建立了基础.

基于贝叶斯网络的内部威胁预测研究

在内部网络带给企业办公便利的同时,内部网络所带来的威胁也日渐突出,由于企业中内部威胁具有危害性大、难以检测等特点,内部威胁亟需解决。因此,提出了基于贝叶斯网络攻击图的内部威胁预测模型。以内部用户实际操作过程中的行为为研究对象,以内部用户攻击过程中所占有的资源状态和所进行的操作序列攻击证据为节点,构建贝叶斯网络攻击图;以网络攻击图来描述攻击者在攻击过程中的不同攻击路径和攻击状态,并且利用贝叶斯网络推理算法计算内部威胁的危险概率。在贝叶斯网络攻击图中定义了元操作、原子攻击、攻击证据等概念,量化了节点变量、节点变量取值和条件概率分布。以改进的似然加权算法为基础,使贝叶斯网络的参数计算更加简便,内部威胁的预测更加精确。最后,通过仿真实验证明了该方法建模速度快、计算过程简单、计算结果精确,在预测内部威胁时的有效性和适用性。

基于隐马尔可夫模型的内部威胁检测方法

提出了一种基于隐马尔可夫模型的内部威胁检测方法。针对隐马尔可夫模型评估问题的解法在实际应用中存在利用滑动窗口将观测事件序列经过放大处理导致误报率偏高的缺陷,在Windows平台上设计并实现了一个基于系统调用的内部威胁检测原型系统,利用截获Windows Native API的方法,通过程序行为的正常轮廓库来检测程序异常行为模式。实验结果表明,新方法以程序的内在运行状态作为处理对象,正常轮廓库较小,克服了传统评估方法因P(O|)值太小而无法有效区分正常与异常的问题,检测性能更好。

面向内部威胁的中观信息系统内部控制管理研究

以"内部威胁"的防御为切入点,以"数据挖掘算法"为关键技术,以中观信息系统的审计决策与内控评价为研究目标,结合中观审计与信息系统审计的应用环境,构建"内部威胁"视角下"中观信息系统内控管理的模型",并在此基础上,力求建立适用于我国中观经济特色的信息系统内部控制管理体系。

信息系统内部威胁检测技术研究

针对企业信息系统中日益严重的内部威胁行为,特别是冒名登录、越权操作等行为,基于用户行为分析的技术,采用主客体混合的分层安全模型,建立了一种新的信息系统内部威胁检测框架.通过比较用户异常行为及主客体权限发现恶意内部威胁行为.应用正则表达式与混合加密算法保证检测准确性和日志安全性.从身份认证、访问控制、操作审计和行为阈值技术四个方面进行安全检测,对关键技术给出了详细介绍.实验证明该检测框架防止了内部人员破坏数据并提供响应和干预能力,提高了信息系统安全性.最后,展望了内部威胁检测技术发展趋势.

基于内部威胁的信息安全风险管理模型及防范措施

对信息系统进行风险管理是实现组织业务目标的重要保证。目前国内外的信息安全风险管理模型注重技术和管理相结合,重视外部威胁风险防范,对内部威胁重视程度不够,而内部威胁具有不易发现、破坏程度大、组织防范能力弱等特点,本文提出改进的突出内部威胁的信息安全风险管理模型,并提出构建组织信息安全文化、建立激励机制等措施防范,以组织内部威胁。

可抵御内部威胁的角色动态调整算法

业务流程、信息基础设施等的变化会造成当前角色定义出现偏差,使得组织易遭受内部威胁。基于定时、合理改变组织内部角色集合的防御思路,提出了一种角色动态调整算法(Role Dynamic Ajusting,RDA)。该算法定义了带有调整参数的目标函数,以平衡考虑用户权限实际使用数据以及系统管理员专家知识;基于启发式搜索策略和子集结对操作得到一组候选角色;使用启发式函数计算角色分值,按照角色分值的高低对候选角色集进行删选,得到符合角色质量要求的调整角色集;以降低角色冗余度为目标,使用调整角色集为系统用户重新分配角色,得到新的系统角色配置。基于某医院管理系统日志的实验结果表明,RDA算法可有效调节目标组织系统的角色集,为抵御内部威胁打下良好基础。

基于角色异常行为挖掘的内部威胁检测方法

为检测信息系统中日益增加的内部威胁,针对审计日志中角色行为特征进行分析处理,提出一种基于角色异常行为挖掘的内部威胁检测方法。根据序列模式挖掘原理挖掘角色正常行为,使用KMP算法进行模式匹配,判断角色当前行为是否存在异常。实验数据表明,该方法可有效实现对角色正常行为的挖掘和对角色异常行为的检测,减少模式挖掘时间,在异常行为检测精确度上有所提高。

防范网络内部威胁的动态安全模型的研究与设计

本文分析了外围安全环境、安全常规控制、技术控制和内部威胁之间的动态模型,揭示了内部信息安全各因素之间相互影响、相互制约的关系,并描述了内部信息安全控制的实现方法,对于防范内网威胁具有重要指导意义。