内部威胁检测中用户行为模式画像方法研究

郭渊博; 刘春辉; 孔菁; 王一丰

doi:10.11959/j.issn.1000-436x.2018282

您当前的位置：

首页 >

文章列表页 >

内部威胁检测中用户行为模式画像方法研究

学术通信 | 更新时间：2024-06-05

- 内部威胁检测中用户行为模式画像方法研究
- Study on user behavior profiling in insider threat detection
- 通信学报 2018年39卷第12期页码：141-150
- 作者机构：
  
  1. 中国人民解放军战略支援部队信息工程大学密码工程学院，河南郑州 450001
  2. 中国人民解放军61213部队，山西临汾 041000
- 作者简介：
  
  [ "郭渊博（1975−），男，陕西周至人，博士，中国人民解放军战略支援部队信息工程大学教授、博士生导师，主要研究方向为大数据安全、态势感知。" ]
  [ "刘春辉（1990−），男，山东安丘人，解放军61213部队助理工程师，中国人民解放军战略支援部队信息工程大学硕士生，主要研究方向为网络安全、用户画像。" ]
  [ "孔菁（1993−），女，辽宁营口人，中国人民解放军战略支援部队信息工程大学硕士生，主要研究方向为网络安全、异常检测。" ]
  [ "王一丰（1994−），男，江苏泰兴人，中国人民解放军战略支援部队信息工程大学硕士生，主要研究方向为多步网络安全、深度学习。" ]
- 基金信息：
  
  国家自然科学基金资助项目(No.61602515);国家自然科学基金资助项目(No.61501515)
- DOI：10.11959/j.issn.1000-436x.2018282
  中图分类号： TP391
- 网络出版日期：2018-12，
  
  纸质出版日期：2018-12-25
- 稿件说明：
移动端阅览
郭渊博, 刘春辉, 孔菁, 等. 内部威胁检测中用户行为模式画像方法研究[J]. 通信学报, 2018,39(12):141-150.

Yuanbo GUO, Chunhui LIU, Jing KONG, et al. Study on user behavior profiling in insider threat detection[J]. Journal on communications, 2018, 39(12): 141-150.
郭渊博, 刘春辉, 孔菁, 等. 内部威胁检测中用户行为模式画像方法研究[J]. 通信学报, 2018,39(12):141-150. DOI： 10.11959/j.issn.1000-436x.2018282.

Yuanbo GUO, Chunhui LIU, Jing KONG, et al. Study on user behavior profiling in insider threat detection[J]. Journal on communications, 2018, 39(12): 141-150. DOI： 10.11959/j.issn.1000-436x.2018282.

摘要

行为画像技术利用无标注历史数据构建用户行为“常态”，是检测企业内部威胁的有效手段。当前标签式画像方法依赖人工提取特征，多用简单统计方法处理数据，导致用户画像模型缺少细节、不够全面。提出了一种行为特征自动提取和局部全细节行为画像方法，以及一种行为序列划分和全局业务状态转移预测方法，能够较全面地刻画用户行为模式。构建了一个基于行为画像的内部威胁检测框架，将局部描写与全局预测相结合，提高了检测准确率。最后用CMU-CERT数据集进行了实验，AUC（area under curve）得分0.88

F1得分0.925，可有效应用于内部威胁检测过程中。

Abstract

Behavior profiling technic using no-labeled historical data to build normal behavior model is an effective way to detect insider attackers. The state-of-the-art labeled profile methods extract features artificially and process data by simple statistical methods

whose incomplete behavior model lacks details. An automated feature extracting and full-detail behavior profiling method as well as a behavior sequence splitting and business state transition predicting way was proposed. Combining above two methods

an insider threats detection framework was established

which improved detection accuracy. Experimenting with CMU-CERT data set

AUC (area under curve) score was 0.88 and F1 score was 0.925. With the better performance

it can be used in detecting insider threats.

关键词

Keywords

references

BAKER W , HYLENDER A , PAMULA C D , et al . 2017 data breach investigations report [R ] . Verizon RISK Team , 2017 : 49 .

SCULZE H . Insider threat spotlight report 2018 [R ] . Crowd Research Partners , 2018 .

杨光，马建刚，于爱民，等 . 内部威胁检测研究 [J ] . 信息安全学报， 2016 ( 3 ): 21 - 36 .

YANG G , MA J G , YU A M , et al . Survey of insider threat detection [J ] . Journal of Cyber Security , 2016 ( 3 ): 21 - 36 .

NURSE J R C , BUCKLEY O , LEGG P A , et al . Understanding insider threat: A framework for characterizing attacks [C ] // Security and Privacy Workshops (SPW) , 2014 : 214 - 228 .

LEGG P A , BUCKLEY O , GOLDSMITH M , et al . Automated insider threat detection system using user and role-based profile assessment [J ] . IEEE Systems Journal , 2015 .

RASHID T , AGRAFIOTIS I , NURSE J R . A new take on detecting insider threats: exploring the use of hidden markov models [C ] // The 2016 International Workshop on Managing Insider Security Threats . 2016 : 47 - 56 .

GAMACHCHI A , SUN L , BOZTAS S . Graph based framework for malicious insider threat detection [C ] // The 50th Hawaii International Conference on System Science . 2017 : 2638 - 2647 .

GAVAI G , SRICHARAN K , GUNNING D , et al . Supervised and unsupervised methods to detect insider threat from enterprise social and online activity data [J ] . JOWUA , 2015 , 6 ( 4 ): 47 - 63 .

PARVEEN P . Evolving insider threat detection using stream analytics and big data [M ] . The University of Texas at Dallas , 2013 .

LIU A , MARTIN C , HETHERINGTON T , et al . A comparison of system call feature representations for insider threat detection [C ] // Information Assurance Workshop, Proceedings from the Sixth Annual IEEE SMC . 2005 : 340 - 347 .

AGRAFIOTIS I , LEGG P A , GOLDSMITH M , et al . Towards a user and role-based sequential behavioral analysis tool for insider threat detection [J ] . J. Internet Serv. Inf. Secur ., 2014 , 4 ( 4 ): 127 - 137 .

周敬才，胡华平，岳虹 . 基于 Lucene 全文检索系统的设计与实现 [J ] . 计算机工程与科学， 2015 , 37 ( 2 ): 252 - 256 .

ZHOU J C , HU H P , YUE H . Design and implementation of Lucene-based full-text retrieval system [J ] . Computer Engineering and Science , 2015 , 37 ( 2 ): 252 - 256 .

周志华 . 机器学习 [M ] . 北京 : 清华大学出版社， 2016 .

ZHOU Z H . Machine Learning [M ] . Beijing : Tsinghua university press , 2016 .

EDDY S R . Hidden Markov models [J ] . Current Opinion in Structural biology ., 1996 , 6 ( 3 ): 361 - 365 .

浏览量

1188

下载量

CSCD

文章被引用时，请邮件提醒。

提交

工具集

关联资源

隐马尔可夫模型的异质网络链接预测方法研究

基于特征流融合的带噪语音检测算法

基于业务过程挖掘的内部威胁检测系统

基于最大似然概率的协议关键词长度确定方法

基于HMM的动作识别结果可信度计算方法