文献标识码:A
DOI:10.19358/j.issn.2097-1788.2022.05.007
引用格式: 李俊强,黄洪,周子云. 基于用户画像的自适应内部威胁检测模型[J].网络安全与数据治理,2022,41(5):43-48.
0 引言
内部威胁一直是网络安全领域中一个难以攻破的难题,对国家和企业都造成了很大的破坏和困扰。由Ponemon研究所和IBM Security联合制作的《2021年数据泄露成本报告》[1]指出,相比2020年,2021年的数据泄漏平均成本上升了10%,并且泄漏的数据主要为客户的个人身份信息、客户数据、公司的知识产权以及员工的个人身份信息。报告指出恶意内部人员泄密造成的数据泄露事件的平均识别时间为231天,平均遏制时间为75天,在所有泄漏事件中排名第三,并且恶意内部人员所造成的经济损失占总损失的8%。为了有效检测和识别企业内部的威胁员工,避免重要数据的泄漏和破坏,内部威胁检测系统的不断迭代和完善迫在眉睫。
用户画像是对用户全体特征的概括和描述,根据需要对用户的特定信息和行为进行抽象的一种标签化用户模型。用户画像的构成一般由静态属性和动态属性组成。静态属性用于记录用户不会经常发生变动的静态特征,动态属性一般多用于记录用户的各种行为数据以及经常变动的特征。虽然画像技术主要用于个性化服务和精准营销等商业领域,但越来越多的学者将此技术用于其他领域[2-5]。用户画像对用户使用简化的标签描述用户所具有的特定特征,并实现对满足该特征的用户或用户群体的精准定位。具有特定特征需求在信息安全领域同样适用。国内外已有部分学者率先将用户画像技术运用于入侵检测技术和内部威胁领域当中,并取得了一定的研究成果。
在最近的调查中,文献[6]提出了一种基于多维特征的内部威胁检测混合模型,实验结果表明,ADAD和ATAD模型具有鲁棒性,混合模型明显优于两个分离模型。赵刚和姚兴仁[7]将用户画像技术用于入侵检测技术中,提出了基于用户画像的入侵检测模型,实现入侵检测粒度的细化。张建平[8]提出一种基于流量与日志的分析方法,构建用户关键行为的数据画像,实现了专用网络中用户关键行为监测的系统。郭渊博等[9]提出了一种行为特征自动提取和局部全细节行为画像方法,将局部描写与全局预测相结合,提高了检测准确率。钟雅等[10]将组织内的用户作为研究主体,将内部威胁检测与可视化相结合取得较好效果。虽然用户画像技术在入侵检测技术和内部威胁领域中取得一定的研究进展与效果,但大多数学者都只运用了用户画像技术中标签化模型的特点,没有将所有用户的行为信息整合进行检测,缺少对每一个员工行为画像的刻画,降低了检测的细粒度。为了提高内部威胁检测粒度的细化程度,本文将用户画像技术作为内部威胁检测的基础,并基于员工的动态行为信息构建内部威胁实时检测模型。
本文详细内容请下载:https://www.chinaaet.com/resource/share/2000005025
作者信息:
李俊强1,黄 洪1,2,周子云1
(1.四川轻化工大学 计算机科学与工程学院,四川 宜宾644005;
2.企业信息化与物联网测控技术四川省高校重点实验室,四川 宜宾644005)
