在網(wǎng)絡(luò)技術(shù)發(fā)展初期,各個(gè)企業(yè)、組織主要以防范來(lái)自安全邊界外部的惡意行為作為主要的防御方針,使得在信息安全領(lǐng)域提出了大量應(yīng)對(duì)外部威脅的檢測(cè)手段和防御體系。盡管擁有這些比較成熟的防御方案,當(dāng)今企業(yè)、組織甚至國(guó)家仍然面臨著來(lái)自內(nèi)部的安全威脅。由于內(nèi)部攻擊者熟悉內(nèi)部系統(tǒng)架構(gòu),安全規(guī)則,使得他們能夠比較容易地規(guī)避系統(tǒng)防御檢測(cè)機(jī)制,導(dǎo)致內(nèi)部攻擊難以提前預(yù)警,事后難以溯源,同時(shí)內(nèi)部威脅造成的損失不亞于甚至超過外部攻擊,從而讓內(nèi)部威脅成為信息安全領(lǐng)域的熱點(diǎn)研究問題。在已有的內(nèi)部威脅檢測(cè)研究中,基于單一數(shù)據(jù)源的檢測(cè)方案容易被內(nèi)部攻擊者所規(guī)避,并且,針對(duì)不同數(shù)據(jù)源采用不同的建模方案,增加了內(nèi)部威脅檢測(cè)的實(shí)現(xiàn)難度。針對(duì)上述問題和研究背景,本文開展了對(duì)內(nèi)部威脅中關(guān)于用戶異常行為檢測(cè)問題的研究,對(duì)應(yīng)本文所做工作如下:（1）本文對(duì)已有的理論研究成果進(jìn)行了調(diào)查,總結(jié)并歸納了內(nèi)部威脅的種類、相關(guān)攻擊檢測(cè)模型以及各方研究人員使用的研究數(shù)據(jù)集,同時(shí)對(duì)本文的數(shù)據(jù)采集和預(yù)處理工作進(jìn)行了闡述。（2）本文提出一種較為通用的內(nèi)部威脅建模方法,該方法將用戶交互行為拆解為若干個(gè)事件序列集合,接著運(yùn)用馬爾可夫聚類算法,將事件序列轉(zhuǎn)換為點(diǎn)... 

【文章來(lái)源】：北京交通大學(xué)北京市 211工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：74 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

內(nèi)部威脅檢測(cè)框架

（２）數(shù)據(jù)庫(kù)級(jí)別內(nèi)部威脅防御方法??該文中提出通過在出入內(nèi)部系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)包中加入水印，并且在邊界路由??器加入水印檢查機(jī)制，當(dāng)發(fā)現(xiàn)帶有水印的數(shù)據(jù)包時(shí)，直接進(jìn)行丟包處理同時(shí)向管??理員報(bào)警。另一種防御機(jī)制則是在組織系統(tǒng)內(nèi)部通過虛擬機(jī)建立信任區(qū)與非信任??區(qū)（如圖２－３所示），當(dāng)數(shù)據(jù)需要從信任區(qū)流向非信任區(qū)時(shí)，數(shù)據(jù)需要加上加密??的可信證書，同時(shí)信任區(qū)邊界網(wǎng)關(guān)需要檢查流出數(shù)據(jù)是否帶有可信證書，另外需??要對(duì)可信證書設(shè)置有效時(shí)間，當(dāng)證書過期時(shí)，需要重新分配證書進(jìn)行認(rèn)證。???Ｓｅｃｕｒｅ?Ｃｈａｎｎｅｌ???Ｗｅｂ／Ａｐｐｌｉｃａｔｉｏｎ???＾??Ｓｅｒｖｅｒ??［?＾????—??１?Ｔｒｕｓｔｅｄ?Ｉ????—?Ｄａｔａ?＊?＼ｒｌ?ｊ?＿?乂，?＿??Ｄａｔａ??±??今?Ｓｅｃｕｒｉｔｙ?Ｊ＊?￣?￣?￣?ｒ?—??ｖ?￣￣??Ｓｅｒｖｅｒ?ＡｕｔｈＺ?Ｇａｔｅｗａｙ?ｔ?＊?Ｂｏｒｄｅｒ???Ｊ?Ｔｏｋｅｎｓ?……“?？…ｊ?：?Ｒｏｕｔｅｒ??Ｖｅｒｉｆｉｅｓ?Ｄａｔａ?……－??ｊ?丁ｒｕｓｔｅｄ?＊??Ｃｒｅｄｅｎｔｉａｌｓ?？?＿?ｊ??ｒ＊?—??Ｉ．?＿?＿?＿｜￣｜—－—－－－＂－Ｊ????Ｐｒｏｔｅｃｔｅｄ?Ｔｒａｆｆｉｃ?—?＾Ｍａｒｋｏｄ＾???Ｎｏｎ－ｒｏｔｏｃｔｅｄ?Ｔｒａｆｆ．ｃｅ－ｍａｉｌ，?ｗｗｗＷｏｒｋｓｔａｔ．ｏｎ??

?：Ｋ＇－－－；＇??ＴＲＡＩＮＩＮＯ?ＰＨＡＳＥ??圖２－２數(shù)據(jù)庫(kù)級(jí)別的數(shù)據(jù)泄露檢測(cè)框架［４３】??Ｆｉｇｕｒｅ?２－２?Ｄｅｔｅｃｔｉｏｎ?ｆｒａｍｅｗｏｒｋ?ｏｆ?ｄａｔａ?ｌｅａｋ?ｏｎ?ｄａｔａｂａｓｅ?［４３】??（２）數(shù)據(jù)庫(kù)級(jí)別內(nèi)部威脅防御方法??該文中提出通過在出入內(nèi)部系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)包中加入水印，并且在邊界路由??器加入水印檢查機(jī)制，當(dāng)發(fā)現(xiàn)帶有水印的數(shù)據(jù)包時(shí)，直接進(jìn)行丟包處理同時(shí)向管??理員報(bào)警。另一種防御機(jī)制則是在組織系統(tǒng)內(nèi)部通過虛擬機(jī)建立信任區(qū)與非信任??區(qū)（如圖２－３所示），當(dāng)數(shù)據(jù)需要從信任區(qū)流向非信任區(qū)時(shí)，數(shù)據(jù)需要加上加密??的可信證書，同時(shí)信任區(qū)邊界網(wǎng)關(guān)需要檢查流出數(shù)據(jù)是否帶有可信證書，另外需??要對(duì)可信證書設(shè)置有效時(shí)間，當(dāng)證書過期時(shí)，需要重新分配證書進(jìn)行認(rèn)證。???Ｓｅｃｕｒｅ?Ｃｈａｎｎｅｌ???Ｗｅｂ／Ａｐｐｌｉｃａｔｉｏｎ???＾??Ｓｅｒｖｅｒ??［?＾????—??１?Ｔｒｕｓｔｅｄ?Ｉ????—?Ｄａｔａ?＊?＼ｒｌ?ｊ?＿?乂


本文編號(hào)：2911558