基于文件访问图的非监督伪装者检测方法及系统技术方案

本发明专利技术提供一种基于文件访问图的非监督伪装者检测方法，其步骤包括：将全部文件访问记录按时间顺序分割成多个文件块，每个文件块均包含多条文件访问记录；利用相似度评分函数计算所述文件块之间的相似度；构建无向边权重图，将所述文件块作为图中相互连接的各顶点，任意两顶点间的边权重为对应的两文件块间的相似度；利用聚类算法挖掘图中的聚类簇，并得到图中每个顶点与其所属聚类簇的相关度；将相关度低于一特定的阈值的异常顶点判定为伪装者。本发明专利技术还提供一种基于文件访问图的非监督伪装者检测系统。

【技术实现步骤摘要】
基于文件访问图的非监督伪装者检测方法及系统
本专利技术涉及信息安全领域，具体涉及一种基于文件访问图的非监督伪装者检测方法及系统。
技术介绍
信息是一种极其重要的资产，如何防止恶意内部人员窃取组织内部信息已经成为目前最严重的网络安全威胁。由于越来越多的信息存储于个人计算机，及时有效地检测一个人的计算机是否被非法访问是检测信息窃取的一个关键问题，这种检测方法被称为伪装者检测或内部威胁检测。伪装者是利用窃取的合法用户身份来执行恶意行为的一种攻击者。目前的伪装者检测方法主要研究unix命令、鼠标键盘使用、文件使用以及其他的经常被用户使用的计算机对象。Schonlau(SchonlauM.，DuMouchelW.，JuW.H.，KarrA.F.，TheusM.，VardlY.:Computerintrusion:Detectingmasquerades.In:Statisticalscience，pp.58-74(2001))首先构建了一个unix命令数据集，并且基于unix命令使用“uniqueness”方法建模用户行为和检测伪装者。然而，由于伪装者数据不是真实的攻击数据，这个unix命令数据集备受争议。Messerman(MessermanA.，T.，CamtepeS.A.，AlbayrakS.:Continuousandnonintrusiveidentityveri_cationinreal-timeenvironmentsbasedonfree-textkeystrokedynamics.In:InternationalJointConferenceonBiometrics，IEEEComputerSociety，pp.1-8(2011))从键盘按键被按下和弹起的次数来建模用户的鼠标动态行为。Garg(GargA.，RahalkarR.，UpadhyayaS.，KwiatP.:Pro_lingusersinGUIbasedsystemsformasqueradedetection.In:Proceedingsofthe2006IEEEWorkshoponInformationAssurance，pp.48-54(2006))建立了鼠标点击和移动的模式。然而，这些模型仅仅适用于预定义的环境，例如只与特定的一个应用程序交互。基于文件使用的伪装者检测方法已经吸引了越来越多的关注。大致可以分为监督和非监督方法。(J.B.，MonroyR.，TrejoL.A.，Medina-PérezM.A.:Temporalandspatiallocality:Anabstractionformasqueradedetection.In:IEEETransactionsonInformationForensicsandSecurity，vol.11，no.9，pp.2036-2051(2016))提取了文件访问的局部特征，并使用TreeBagger分类器检测伪装者。Song(SongY.，SalemM.B.，HershkopS.，StolfoS.J.:SystemleveluserbehaviorbiometricsusingFisherfeaturesandGaussianmixturemodels.In:SecurityandPrivacyWorkshops(SPW)，IEEE，vol.42，no.6，pp.52-59(2013))应用多变量高斯混合模型分类器建立用户行为，提取了一系列统计特征，例如文件访问次数。然而由于伪装者数据的缺乏，监督学习方法不太适用于真实情况。因此，越来越多的技术采用非监督学习方法。Senator(Senator，T.E.，Goldberg，H.G.，Memory，A.，Young，W.T.，Rees，B.，Pierce，R.，Huang，D.，Reardon，M.，Bader，D.A.，Chow，E.，Essa，I.，Jones，J.，Bettadapura，V.，Chau，D.H.，Green，O.，Kaya，O.，Zakrzewska，A.，Briscoe，E.，Mappus，R.I.L.，McColl，R.，Weiss，L.，Dietterich，T.G.，Fern，A.，Wong，W.K.，Das，S.，Emmott，A.，Irvine，J.，Lee，J.Y.，Koutra，D.，Faloutsos，C.，Corkill，D.，Friedland，L.，Gentzel，A.，Jensen，D.:Detectinginsiderthreatsinarealcorporatedatabaseofcomputerusageactivity.In:KDD2013:Proceedingsofthe19thACMSIGKDDInternationalConferenceonKnowledgeDiscoveryandDataMining，pp.1393-1401(2013))构建了文件访问的统计特征，例如文件拷贝到可移动设备的次数，并使用多个非监督检测算法检测恶意内部人员行为。Chen(ChenY.，MalinB.:Detectionofanomalousinsidersincollaborativeenvironmentsviarelationalanalysisofaccesslogs.In:Proceedingsofthe_rstACMconferenceonDataandapplicationsecurityandprivacy，pp.63-74(2011))提出一种合作环境中基于文件访问日志的用户行为的异常检测框架，然而，该方法并没有考虑文件之间的关系。上述已有的基于文件的非监督伪装者检测算法根据文件的统计特征建立用户行为，没有结合文件之间的关系。Gates(GatesC.，LiN.，XuZ.，ChariS.N.，MolloyI.，ParkY.:DetectingInsiderInformationtheftusingfeaturesfrom_leaccesslogs.In:EuropeanSymposiumonResearchinComputerSecurity，SpringerInternationalPublishing，pp.383-400(2014))利用文件访问日志，比较了当前访问的文件和历史访问的文件的相似关系。如果得到高相似度的文件之间的关系则认为是正常的行为，反之则为异常行为。然而该算法仅划分了当前和历史两个时间段的文件关系，是一个粗粒度的文件关系建模。
技术实现思路
本专利技术的目的是针对已有的基于文件的非监督伪装者检测方法没有细粒度刻画文件关系的问题，提出了一种基于文件访问图的非监督伪装者检测方法及系统，利用图结构建模文件关系，通过基于该图的聚类算法计算顶点和聚类簇的相关度，从而有效检测到伪装者。为达到上述目的，本专利技术采用的技术方案如下：一种基于文件访问图的非监督伪装者检测方法，步骤包括：将全部文件访问记录按时间顺序分割成多个文件块，每个文件块均包含多条文件访问记录；利用相似度评分函数计算所述文件块之间的相似度；构建无向边权重图，将所述文件块作为图中相互连接的各顶点本文档来自技高网...

【技术保护点】
一种基于文件访问图的非监督伪装者检测方法，其步骤包括：将全部文件访问记录按时间顺序分割成多个文件块，每个文件块均包含多条文件访问记录；利用相似度评分函数计算所述文件块之间的相似度；构建无向边权重图，将所述文件块作为图中相互连接的各顶点，任意两顶点间的边权重为对应的两文件块间的相似度；利用聚类算法挖掘图中的聚类簇，并得到图中每个顶点与其所属聚类簇的相关度；将相关度低于一特定的阈值的异常顶点判定为伪装者。

【技术特征摘要】
1.一种基于文件访问图的非监督伪装者检测方法，其步骤包括：将全部文件访问记录按时间顺序分割成多个文件块，每个文件块均包含多条文件访问记录；利用相似度评分函数计算所述文件块之间的相似度；构建无向边权重图，将所述文件块作为图中相互连接的各顶点，任意两顶点间的边权重为对应的两文件块间的相似度；利用聚类算法挖掘图中的聚类簇，并得到图中每个顶点与其所属聚类簇的相关度；将相关度低于一特定的阈值的异常顶点判定为伪装者。2.根据权利要求1所述的方法，其特征在于，所述相似度评分函数包括第一相似度评分函数、第二相似度评分函数；所述第一相似度评分函数公式为：sim1(Y，Z)＝1-aggi∈Y，j∈Zdistance(fi，fj)；其中，distance(fi，fj)为文件距离函数，用于计算两个文件fi和fj的距离；aggi∈Y，j∈Z为聚合函数，用于计算两个文件块Y和Z的距离；所述第二相似度评分函数公式为：其中，g(Y)和g(Z)表示在文件块Y和Z中不同文件夹的数量。3.根据权利要求2所述的方法，其特征在于，所述文件距离函数公式为：其中，4.根据权利要求2所述的方法，其特征在于，所述聚合函数的公式为：

【专利技术属性】
技术研发人员：于爱民，王佳荣，蔡利君，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11