內(nèi)部威脅是指組織內(nèi)部的合法員工、具有信息訪問權(quán)限的合作方或第三方,違背組織的安全策略,因惡意破壞或無意疏忽對組織或其內(nèi)部資源的機密性、完整性和可用性造成損害的行為。隨著互聯(lián)網(wǎng)的普及,組織管理和業(yè)務(wù)開展對信息系統(tǒng)的依賴與日俱增,內(nèi)部威脅隱患隨之增加。調(diào)查表明,內(nèi)部威脅造成的損失占組織總損失中的比重正逐年遞增。及時高效地檢測內(nèi)部人員惡意行為,控制內(nèi)部威脅造成的損害,具有重大現(xiàn)實意義。近年來,研究人員從網(wǎng)絡(luò)流量、系統(tǒng)調(diào)用、員工心理、員工行為等多個層面、不同角度對內(nèi)部威脅進行了研究,在理論框架、檢測方法等方面取得了許多重要的成果,但由于缺乏真實的企業(yè)數(shù)據(jù)、人工標注數(shù)據(jù)成本高、特征提取依賴人工、檢測誤報率高等原因,該研究一直沒有取得突破性進展。除系統(tǒng)漏洞、權(quán)限分配不當?shù)瓤陀^因素造成的企業(yè)和組織損失外,“人”是構(gòu)成內(nèi)部威脅主體因素。把組織內(nèi)的“人”作為研究主體,綜合分析其心理、性格等內(nèi)在特征,對其業(yè)務(wù)操作中的正常歷史行為建模,為企業(yè)和組織檢測員工惡意行為提供了方法和思路。用戶畫像技術(shù)是從海量用戶數(shù)據(jù)中抽取用戶信息全貌,詳細刻畫用戶內(nèi)在需求和行為偏好的一種方法。本文將用戶畫像技術(shù)應(yīng)用到內(nèi)部威脅檢測中... 

【文章來源】：戰(zhàn)略支援部隊信息工程大學(xué)河南省

【文章頁數(shù)】：80 頁

【學(xué)位級別】：碩士

【部分圖文】：

圖3.4日志形式

用戶數(shù)的 0.7%。攻擊者所在分組及其所占比例如 3.7 所示。圖 3. 7 攻擊者分組情況其中 1#分組中包含攻擊者 17 人，占攻擊者總數(shù)的 60.7%，占該組總用戶數(shù)的 14.4%而 18#分組中包含攻擊者 1 人，占該組總用戶數(shù)的 0.26%。0#、2#、4#等 12 個分組中不包含攻擊者。從圖中可以看出，大多數(shù)攻擊者相似度高，通過屬性畫像和相似度聚類，可以發(fā)現(xiàn)大量相似的惡意用戶。將所有攻擊者進行的破環(huán)行為按發(fā)生時間的先后順序進行排列，結(jié)合攻擊者所在用戶組畫出，如圖 3.8。

戰(zhàn)略支援部隊信息工程大學(xué)碩士學(xué)位論文標圖左上方的點為敏感性和特異性均較高的臨界值。AUC(Area Under Curve)即 ROC 曲線下面的面積，AUC 越大模型效果越好。一般來說，AUC 接近 1 時，實驗取得了較理想的效果，我們可以根據(jù) AUC 的值與 0.5 相比，來評估一個分類模型的預(yù)測效果。如果 AUC的值達到 0.80，那說明分類器分類比較準確；如果 AUC 值在 0.60～0.80 之間，那分類器有優(yōu)化空間，可以通過調(diào)節(jié)參數(shù)得到更好的性能；如果 AUC 值小于 0.60，那說明分類器模型效果比較差。4.3.4 實驗結(jié)果及分析模型訓(xùn)練完成后，對用戶 CMP2946 和 CDE1846 后面 410 天的所有活動進行了檢測。檢測過程中的每個活動域的異常得分如圖 4.6 示。


本文編號：2961825