內(nèi)部威脅是指組織內(nèi)部的合法員工、具有信息訪問(wèn)權(quán)限的合作方或第三方,違背組織的安全策略,因惡意破壞或無(wú)意疏忽對(duì)組織或其內(nèi)部資源的機(jī)密性、完整性和可用性造成損害的行為。隨著互聯(lián)網(wǎng)的普及,組織管理和業(yè)務(wù)開(kāi)展對(duì)信息系統(tǒng)的依賴與日俱增,內(nèi)部威脅隱患隨之增加。調(diào)查表明,內(nèi)部威脅造成的損失占組織總損失中的比重正逐年遞增。及時(shí)高效地檢測(cè)內(nèi)部人員惡意行為,控制內(nèi)部威脅造成的損害,具有重大現(xiàn)實(shí)意義。近年來(lái),研究人員從網(wǎng)絡(luò)流量、系統(tǒng)調(diào)用、員工心理、員工行為等多個(gè)層面、不同角度對(duì)內(nèi)部威脅進(jìn)行了研究,在理論框架、檢測(cè)方法等方面取得了許多重要的成果,但由于缺乏真實(shí)的企業(yè)數(shù)據(jù)、人工標(biāo)注數(shù)據(jù)成本高、特征提取依賴人工、檢測(cè)誤報(bào)率高等原因,該研究一直沒(méi)有取得突破性進(jìn)展。除系統(tǒng)漏洞、權(quán)限分配不當(dāng)?shù)瓤陀^因素造成的企業(yè)和組織損失外,“人”是構(gòu)成內(nèi)部威脅主體因素。把組織內(nèi)的“人”作為研究主體,綜合分析其心理、性格等內(nèi)在特征,對(duì)其業(yè)務(wù)操作中的正常歷史行為建模,為企業(yè)和組織檢測(cè)員工惡意行為提供了方法和思路。用戶畫(huà)像技術(shù)是從海量用戶數(shù)據(jù)中抽取用戶信息全貌,詳細(xì)刻畫(huà)用戶內(nèi)在需求和行為偏好的一種方法。本文將用戶畫(huà)像技術(shù)應(yīng)用到內(nèi)部威脅檢測(cè)中... 

【文章來(lái)源】：戰(zhàn)略支援部隊(duì)信息工程大學(xué)河南省

【文章頁(yè)數(shù)】：80 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

圖3.4日志形式

用戶數(shù)的 0.7%。攻擊者所在分組及其所占比例如 3.7 所示。圖 3. 7 攻擊者分組情況其中 1#分組中包含攻擊者 17 人，占攻擊者總數(shù)的 60.7%，占該組總用戶數(shù)的 14.4%而 18#分組中包含攻擊者 1 人，占該組總用戶數(shù)的 0.26%。0#、2#、4#等 12 個(gè)分組中不包含攻擊者。從圖中可以看出，大多數(shù)攻擊者相似度高，通過(guò)屬性畫(huà)像和相似度聚類，可以發(fā)現(xiàn)大量相似的惡意用戶。將所有攻擊者進(jìn)行的破環(huán)行為按發(fā)生時(shí)間的先后順序進(jìn)行排列，結(jié)合攻擊者所在用戶組畫(huà)出，如圖 3.8。

戰(zhàn)略支援部隊(duì)信息工程大學(xué)碩士學(xué)位論文標(biāo)圖左上方的點(diǎn)為敏感性和特異性均較高的臨界值。AUC(Area Under Curve)即 ROC 曲線下面的面積，AUC 越大模型效果越好。一般來(lái)說(shuō)，AUC 接近 1 時(shí)，實(shí)驗(yàn)取得了較理想的效果，我們可以根據(jù) AUC 的值與 0.5 相比，來(lái)評(píng)估一個(gè)分類模型的預(yù)測(cè)效果。如果 AUC的值達(dá)到 0.80，那說(shuō)明分類器分類比較準(zhǔn)確；如果 AUC 值在 0.60～0.80 之間，那分類器有優(yōu)化空間，可以通過(guò)調(diào)節(jié)參數(shù)得到更好的性能；如果 AUC 值小于 0.60，那說(shuō)明分類器模型效果比較差。4.3.4 實(shí)驗(yàn)結(jié)果及分析模型訓(xùn)練完成后，對(duì)用戶 CMP2946 和 CDE1846 后面 410 天的所有活動(dòng)進(jìn)行了檢測(cè)。檢測(cè)過(guò)程中的每個(gè)活動(dòng)域的異常得分如圖 4.6 示。


本文編號(hào)：2961825