[发明专利]基于用户主客观数据融合的内部威胁检测方法及系统

说明书

本发明公开了一种基于用户主客观数据融合的内部威胁检测方法及系统，在原先仅审计用户系统与网络行为数据的基础上，提出了反映用户工作态度、生活压力等个体特征的主观要素数据，再从用户的主客观要素数据出发，提出了融合模式、预示模式两类数据融合模式,通过融合反映用户攻击动机强度的主观要素数据与反映用户系统与网络行为的客观要素数据，全面分析、检测内部威胁，有效降低单纯异常检测的高误报与漏报问题，同时基于内部威胁攻击链特征提出了建立各个攻击环节异常的内部威胁特征方法，提高内部威胁检测系统的实时更新能力。

技术领域

本发明属于网络信息安全管理与控制技术领域，涉及一种基于用户主客观数据融合的内部威胁检测方法及系统。

背景技术

随着网络的发展，网络信息的安全越来越引起社会的重视，各种防病毒软件、防火墙、入侵检测等安全产品得到了广泛的应用。但是这些信息安全产品仅仅是为了防御外部的入侵和窃取，伴随人们对网络安全的认知和技术的发展，发现由于内部人员造成的泄密和入侵事件占了很大比例，如2013年的斯诺登“棱镜门”事件，就是一起典型的内部人员泄密的安全事例。所以应对内部威胁应该与抵御外部的入侵必须同样地受到重视，然而现实中尚无有效的内部威胁检测机制，因此亟需设计实用性内部威胁检测系统。

内部攻击(或称内部威胁)是由企业或组织中内部人发起，区别于传统网络入侵攻击的新型威胁。内部人位于传统网络安全边界内部，且具备安全防御与攻击目标的关键知识，因此内部人可以绕过现有安全防御机制，从企业或组织内部实施网络攻击，从而造成巨大损失。

由于内部威胁攻击者一般是企业或组织的员工(在职或离职)、承包商以及商业伙伴等，且具有组织的系统、网络以及数据的访问权，因此内部威胁通常具备极高的隐蔽性与危害性，基于防火墙、IDS等安全设备的传统纵深防御体系并不能有效应对内部威胁。

检测内部威胁的关键在于完善的内部安全审计，其核心是以用户为中心，记录其在系统与网络中的所有关键操作与行为，从而形成用户在内部网络中的行为轨迹。当前内部安全审计的重点是以下行为：

●文档审计：审计文档的写入、创建、复制、删除等操作；

●打印审计：审计用户发起的打印事件与文件内容等；

●登录审计：审计用户登录系统的行为，以及注销、重启、关闭系统的操作；

●进程审计：审计用户创建、关闭的进程；

●网络监控：审计WEB访问行为，包括访问目标IP/Port、页面请求等；

●设备审计：审计USB等可移动存储设备使用行为，如复制、删除的文件；

●邮件审计：审计用户邮件行为，如邮件头信息中的收/发件人、邮件标题、附件个数(类型)等；

多维度、细粒度的内部安全审计必然导致巨大的数据量，随之而来的急剧增长的检测复杂度为内部威胁检测提出了挑战。因此，结合大数据分析技术，针对内部安全审计日志的大数据安全研究正成为当今的热点之一。然而实际中的内部威胁检测系统因为其数据源刻画维度片面、检测系统架构单一等不足导致检测误报率较高，实用性较差，因此很有必要研发具有良好实用性的新型内部威胁检测机制。

现有内部威胁检测方法核心是基于用户的内部安全审计日志，运用异常检测方法建立内部威胁分类器，其主要步骤如图1：

●内部安全审计采集：部署内部安全审计系统，收采集用户的文档访问等内部系统与网络行为，格式化处理后传递给分类器构建模块；

●异常检测分类器：运用异常检测方法从接收的数据中学习用户行为模型，构建异常检测分类器；

●用户行为检测：异常检测分类器对特定时间窗口的用户行为日志进行检测，判断是否为内部威胁。