基于多源数据的内部威胁检测技术综述

近年来,内部威胁事件呈上升趋势,内部网络安全面临巨大挑战,内部威胁检测技术作为一种有效手段开始被广泛关注和研究。该文从数据来源角度对内部威胁检测技术的发展进行分析和总结,对比不同来源数据的特点、在检测中发挥的作用以及针对该类型数据的检测方法。在此基础上,介绍当前被广泛研究的内部威胁数据集CERT-IT,并对基于该数据集的内部威胁检测方法进行分析比较,探讨内部威胁检测技术面临的挑战和未来的发展趋势。

基于操作注意力和数据增强的内部威胁检测

内部威胁是组织中出现重大安全隐患的主要原因之一,也是一个长期的挑战。通过分析现有的内部威胁数据,指出内部威胁检测最大的挑战在于数据不平衡、有标注的威胁样本少。内部威胁检测的经典数据集CMU-C R4.2共有322万条日志数据,其中标记出的恶意操作日志仅7 423条;日志中的大多数操作类型与恶意行为无关,如泄露企业数据这一恶意行为仅与两种类型操作高度相关,而其余的40多种类型操作的日志则可能对检测造成干扰。针对这一挑战,设计了一种基于操作注意力和数据增强的数据处理框架。该框架首先对操作进行异常评估,对低异常评分的操作进行掩码操作,使模型更好地关注与恶意行为相关的操作,可以被认为是一种操作的硬注意力机制。通过分析内部威胁数据集的特点,设计了3种规则对恶意样本进行数据增强,以增加样本的多样性和缓解正负样本严重不平衡的问题。将有监督的内部威胁检测视作一个时序分类问题,在长短期记忆卷积神经网络(LSTM-FCN)模型中加入残差连接以实现多粒度的检测,并使用精确率、召回率等指标实施评估,要优于现有的基线模型;另外,在ITD-Bert、TextCNN等多种经典模型上实施基于操作注意力和数据增强的数据处理框架,结果表明所提方法能够有效提升内部威胁检测模型的性能。

一种小样本下的内部威胁检测方法研究

极少量的内部威胁通常被淹没在大量的正常数据中,对检测造成了很大困难.传统的异常检测方法在此很难发挥作用.本文针对小样本的环境设计了一种内部威胁检测框架.该文先使用经验学习中的一些技巧来生成足量的样本,然后提出一种基于深度学习的内部威胁检测方法.所提出的分类模型结合卷积神经网络和递归神经网络模型,采用视频行为识别的架构来进行特定内部威胁的检测和关联.最终通过用CMU-CERT数据集的实验也验证了该文方法的有效性,并且该方法特别是在检测共谋攻击方面中取得了很好的效果,其分类正确率达到了82%.

基于LSTM-Attention的内部威胁检测模型

信息被内部人员非法泄露、复制、篡改,会给政府、企业造成巨大的经济损失。为了防止信息被内部人员非法窃取,文章提出一种基于LSTM-Attention的内部威胁检测模型ITDBLA。首先,提取用户的行为序列、用户行为特征、角色行为特征和心理数据描述用户的日常活动;其次,使用长短期记忆网络和注意力机制学习用户的行为模式,并计算真实行为与预测行为之间的偏差;最后,使用多层感知机根据该偏差进行综合决策,从而识别异常行为。在CERT内部威胁数据集上进行实验,实验结果表明,ITDBLA模型的AUC分数达0.964,具有较强的学习用户活动模式和检测异常行为的能力。

基于LSTM回归模型的内部威胁检测方法

内部人员发起的恶意行为会对企业造成安全威胁,这一威胁存在界限模糊、样本数据较少等检测难点。文章提出一种 LSTM(Long Short Term Memory)回归模型,通过对时间序列的回归分析,输出对用户行为序列的预测。考虑到不同用户间的差异性,根据用户ID区别学习每个用户的行为模式,使用更新的实时数据持续训练模型,在测试时将预测值与实际值的差异作为异常分数。该方法不仅能够实现对用户行为的预测,还能够依据学习到的正常行为模式检测异常行为,解决内部威胁正例样本不足的问题。

基于用户行为日志的内部威胁检测综述

内部人员威胁会对企业和组织造成重大损失,内部威胁检测对于维护企业信息安全是必要的。概述了基于用户行为日志的内部威胁检测的一般思路和难点,介绍了常见的用户行为日志数据集和预处理方法,分析了内部威胁检测机制的评估指标和常见的内部威胁检测技术,最后给出未来的内部威胁检测研究的发展方向。

基于自动编码器的内部威胁检测技术

为提高数据处理效率和检测准确率,提出一种基于树结构分析的数据分析方法和基于自动编码器的内部威胁检测方法。针对体量大、结构复杂的多源数据,采用树结构方法对用户行为进行分析,形成行为特征向量。在此基础上,采用自动编码器方法进行异常检测。自动编码器方法适用于高维数据,能够通过拟合数据与输入数据的重构误差检测特征向量间的差异性,得到异常分数,判断异常用户。实验数据表明,该方法可以有效识别异常用户。

基于用户画像的自适应内部威胁检测模型

内部威胁领域中,员工是内部威胁事件发生的主要研究对象。针对内部威胁检测系统中员工行为数据利用不全及检测细粒度低的问题,提出将用户画像作为内部威胁检测的基础,实现了员工行为信息的全方位构建并提高了检测的细粒度。通过引入滑动窗口机制对每个员工的画像模型进行自适应偏移,使得内部威胁检测模型能够实时检测威胁员工。检测模型在CERT4.2数据集中进行验证,取得较好结果。

基于G-SMOTE和Biased-SVM的内部威胁用户检测

针对目前内部威胁用户检测召回率低及数据类别不平衡的问题,提出一种基于Geometric SMOTE(G-SMOTE)和Biased-SVM的内部威胁用户检测方法.该方法对用户行为进行特征提取,利用G-SMOTE算法在每个威胁用户样本中心定义一个几何区域用于生成威胁用户样本,保证了训练集中的正常用户、威胁用户的类别平衡;使用Biased-SVM算法设置不同的惩罚因子影响类别权重,提高了模型对于威胁用户的关注.将该方法在CERT 4.2数据集上进行实验,与SMOTE-RF、SVM算法相比,召回率R分别提高了5.7%和25.1%,F_(1)值分别提高了2.1%和14%.结果表明,该方法明显提高了威胁用户检测的召回率,有效地改善了内部威胁用户检测中类别不平衡的问题.

基于门禁日志挖掘的内部威胁异常行为分析

门禁系统是保护重要场所安全的重要手段,可以有效防止未授权用户的进入。然而,近年来大量案例表明重要场所的威胁主要来自于具有合法权限的内部人员。针对这个问题,提出基于门禁日志数据挖掘的内部威胁异常行为分析方法。该方法首先利用PrefixSpan算法对正常行为序列进行提取,之后计算待检测序列的序列异常度分数,并根据决策者设定的阈值来找出异常序列。通过真实门禁数据中的实验,验证了本方法可以降低精确匹配在数据较少时带来的高误报率,实现对内部人员异常行为的有效发现,为加强重要场所安全保护提供了新的途径。

基于隐马尔可夫模型的资源滥用行为检测方法研究

针对信息系统中内部人员的资源滥用行为,已有的检测方法要么不能有效检测新的资源滥用行为,要么需要获得资源滥用行为的先验知识,因而这些检测方法在应用中严重受限.本文提出了一种基于隐马尔可夫模型(HMM)的内部人员资源滥用行为检测方法.该模型以信息系统的敏感文件夹作为模型的状态,以用户的事务处理操作作为观测符号,采用Baum-Welch算法确定模型参数;基于该模型建立内部人员访问行为的HMM模型,并用于资源滥用行为检测.仿真结果表明了该检测方法的有效性.

面向5G MEC基于行为的用户异常检测方案

5G边缘计算靠近用户侧提供服务,而边缘侧汇聚着用户的敏感信息,用户非法接入或合法用户自身的恶意行为威胁到整个边缘网络的安全。将机器学习算法应用于边缘计算架构,提出一种基于行为的用户异常检测方案。对用户行为进行建模,采用独热编码和互信息进行数据预处理和特征选择,并利用极限梯度提升算法训练一个多分类器分类识别进入园区的用户,根据识别结果与用户身份是否一致来判定用户是否异常。在此基础上,通过孤立森林算法对授权用户历史行为数据进行模型训练,从而检测可信任用户的行为是否异常,实现对小型固定园区内未授权用户的识别以及对授权用户异常行为的检测。实验结果表明,该方案可满足边缘计算场景的时间复杂度要求,并且能够有效区分不同用户,分类准确率达到0.953,而对异常行为样本的误报率仅为0.01。

一种无监督的窃密攻击及时发现方法

近年来,窃密攻击成为了最严重的网络安全威胁之一.除了恶意软件,人也可以成为窃密攻击的实施主体,尤其是组织或企业的内部人员.由人实施的窃密很少留下明显的异常痕迹,给真实场景中攻击的及时发现和窃密操作的分析还原带来了挑战.提出了一个方法,将每个用户视为独立的主体,通过对比用户当前行为事件与其历史正常行为的偏差检测异常,以会话为单元的检测实现了攻击发现的及时性,采用无监督算法避免了对大量带标签数据的依赖,更能适用于真实场景.对算法检测为异常的会话,进一步提出事件链构建方法,一方面还原具体窃密操作,另一方面通过与窃密攻击模式对比,更精确地判断攻击.在卡内基梅隆大学的CERT内部威胁数据集上进行了实验,结果达到99%以上的准确率,且可以做到无漏报、低误报,证明了方法的有效性和优越性.