【技术实现步骤摘要】
本专利技术涉及一种基于光标隐藏场景的攻击检测方法及系统,属于内部威胁检测领域。
技术介绍
随着信息化技术和计算机网络在全球商业、社会、政府、军事等各领域中的普及,内部威胁变得越来越严重,已经受到了各方的高度重视。组织往往能检测并控制尝试获取敏感信息的外界攻击,减轻或避免外部人员偷取组织机密的威胁。但是恶意的内部用户因为处于组织内部并可利用合理的权限通过正规的流程实施犯罪,因此很难被检测和防范。同时,内部人员对组织内部的网络拓扑结构和安全机制更加熟悉,可以带来比外部攻击更加严重的后果。身份窃取是内部威胁中最常见的一种方法。在这种方法中,恶意用户通过窃用他人权限进入内部系统或者通过各种手段进入他人计算机获取企业信息。针对这种攻击手段,现阶段较为有效的预防和检测手段就是身份认证技术。现有的身份认证技术可以分为三类。第一类是基于用户已有信息的认证方法,如密码和PIN码检测,其在防范恶意用户登录时可以起到良好的作用。但是缺点是攻击者可以通过各种渠道获得用户账户信息(如弱密码的暴力破解和系统漏洞利用等方式),一旦恶意用户利用窃取的账户登录进系统,这种认证方法就失去了作用。第二类是基于用户拥有物品的检测方法,如ID卡或令牌,这种方法中的身份凭证既不便携带又容易丢失,也无法改善第一类方法不能提供实时认证的缺点。所以,人们开始尝试第三类方法,即基于生物特征的身份认证技术。这类技术具体又可以分为两类:
【技术保护点】
一种基于光标隐藏场景的攻击检测方法,其特征在于,具体包括以下步骤:步骤1:监测操作模块监测用户操作行为,发现可疑行为时,发送触发指令到光标隐藏模块;步骤2:光标隐藏模块根据触发指令的控制,采用创建透明窗体置顶的方法实现光标隐藏,使用户进入光标隐藏场景;步骤3:数据采集模块记录用户在光标隐藏场景下对光标行为数据;步骤4:判断模块判断当前数据采集模块记录的操作数据是否达到预设值,或者光标隐藏场景时间值是否达到预设时间值;如果是,执行下一步;否则,执行步骤3;步骤5:特征提取模块对数据采集模块传输的操作数据进行特征提取,提取得到光标隐藏场景下的光标特征值,生成光标特征向量;步骤6:分类模块通过对光标特征向量和保存在数据文件中的特征模型文件进行比较,使用svm分类算法,对光标特征向量进行分类;步骤7:根据光标特征向量的分类结果,可判定用户为正常用户或恶意用户。
【技术特征摘要】
1.一种基于光标隐藏场景的攻击检测方法,其特征在于,具体包括以
下步骤:
步骤1:监测操作模块监测用户操作行为,发现可疑行为时,发送触发
指令到光标隐藏模块;
步骤2:光标隐藏模块根据触发指令的控制,采用创建透明窗体置顶的
方法实现光标隐藏,使用户进入光标隐藏场景;
步骤3:数据采集模块记录用户在光标隐藏场景下对光标行为数据;
步骤4:判断模块判断当前数据采集模块记录的操作数据是否达到预设
值,或者光标隐藏场景时间值是否达到预设时间值;如果是,执行下一步;
否则,执行步骤3;
步骤5:特征提取模块对数据采集模块传输的操作数据进行特征提取,
提取得到光标隐藏场景下的光标特征值,生成光标特征向量;
步骤6:分类模块通过对光标特征向量和保存在数据文件中的特征模型
文件进行比较,使用svm分类算法,对光标特征向量进行分类;
步骤7:根据光标特征向量的分类结果,可判定用户为正常用户或恶意
用户。
2.根据权利要求1所述的一种基于光标隐藏场景的攻击检测方法,其特
征在于,所述步骤3中数据采集模块在记录用户在光标隐藏场景下对光标的
操作数据的同时,还记录用户当前运行的进程信息。
3.根据权利要求2所述的一种基于光标隐藏场景的攻击检测方法,其特
征在于,还包括步骤8:判断当前用户是否为恶意用户,如果是,执行步骤
9;否则,执行步骤1;
步骤9:进行数字取证获取当前运行的进程信息,对进程信息进行分析
\t和取证,并开启主动防御功能,中断用户所有操作,结束。
4.根据权利要求3所述的一种基于光标隐藏场景的攻击检测方法,其特
征在于,所述步骤1包括以下两种情况:
监测操作模块采用现有的异常检测软件,在检测到有可疑情况时,发送
触发指令到光标隐藏模块;
或者,监测操作模块监测特定的程序是否启动或特定文件是否打开,如
果是,即发送触发指令到光标隐藏模块。
5.根据权利要求1-4任一项所述的一种基于光标隐藏场景的攻击检测方
法,其特征在于,所述步骤5中特征提取模块对操作数据提取的光标特征值
包括光标隐藏场景下的光标不同移动方向的移动距离、移动速度和移动频率
特征值,生成光标特征向量。
6.根据权利要求1所述的一种基于光标隐藏场景的攻击检测方法,其特
征在于,所述步骤6中的特征模型文件的构建方法包括以下步骤:
步骤6.1:数据采集模块对正常用户在光标隐藏场景下的光标移动行为
数据进行采集;
步骤6.2:对采集到的行为数据进行特征提取,提取光标在不同方向的
移动距离、移动速度和移动频率特征值,构建行为特征模型文件。
7.一种基...
【专利技术属性】
技术研发人员:陈小军,时金桥,魏梓丞,蒲以国,祈成,龚国成,徐菲,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。