【技术实现步骤摘要】
基于文件访问记录时空分析的伪装者检测方法及系统
本专利技术涉及计算机信息
,具体涉及一种基于文件访问记录时空分析的伪装者检测方法及系统
技术介绍
组织中关键位置的计算机存储着重要数据,为了防止这些重要数据被窃取和破坏,不同的身份认证机制被使用来判断是否授权用户访问计算机。这些身份认证机制对于计算机账号安全管理是关键的和必要的,例如访问控制。然而,仅仅在登陆开始识别用户的身份认证机制对于身份窃取和欺骗是脆弱的。攻击者可能通过非法途径获取的密码、指纹模型、3D面具轻易地破坏和欺骗目前存在的流行的身份认证机制,例如密码输入、指纹识别、面部识别。相比于传统的身份认证机制,基于人机交互的行为特征的方法有如下优点:1)每个人具有各自的行为特征,该行为特征难以窃取和模仿;2)在用户登录期间,该方法提供了连续的身份认证而不仅仅只在登陆的开始认证。因此,基于用户行为特征的连续身份认证吸引了越来越多的研究兴趣并成为了计算机安全领域新的热点。该方法的其中一个应用场景是内部伪装者检测,尽管伪装者使用合法用户的计算机账号在登陆开始通过了认证,在登陆期间一旦该伪装者的行为与合法用户的行...
【技术保护点】
1.一种基于文件访问记录时空分析的伪装者检测方法,其步骤包括:通过用户主机收集用户文件访问原始数据,过滤掉无效数据,得到用户的文件访问记录,该文件访问记录包括文件访问记录产生时间、文件操作类型、文件操作方向、文件路径;将用户的一时间段内连续的多个文件访问记录构成一文件访问子活动;将一用户的所有文件访问子活动映射为一文件访问网络,每一文件访问子活动含有的文件路径集合作为文件访问网络的一个顶点,根据两顶点中的文件路径之间的关系计算文件访问网络的边权重,对文件访问网络进行聚类得到用户活动类,进而得到关于文件路径和用户活动类的紧密度;将文件操作类型和文件操作方向结合为文件操作,按照...
【技术特征摘要】
1.一种基于文件访问记录时空分析的伪装者检测方法,其步骤包括:通过用户主机收集用户文件访问原始数据,过滤掉无效数据,得到用户的文件访问记录,该文件访问记录包括文件访问记录产生时间、文件操作类型、文件操作方向、文件路径;将用户的一时间段内连续的多个文件访问记录构成一文件访问子活动;将一用户的所有文件访问子活动映射为一文件访问网络,每一文件访问子活动含有的文件路径集合作为文件访问网络的一个顶点,根据两顶点中的文件路径之间的关系计算文件访问网络的边权重,对文件访问网络进行聚类得到用户活动类,进而得到关于文件路径和用户活动类的紧密度;将文件操作类型和文件操作方向结合为文件操作,按照时间顺序得到文件操作序列,将文件操作序列的测试序列和特征子序列的相似度的平均值作为测试序列的发生概率;基于所述紧密度和发生概率得到异常评分,将异常评分高于一阈值的文件访问子活动判定为伪装者。2.根据权利要求1所述的方法,其特征在于,所述过滤掉无效数据的方法为:针对用户文件访问原始数据,过滤掉数据字段不完整的数据;根据数据字段中的进程路径字段过滤掉后台进程文件访问行为数据,筛选出用户访问行为数据;根据数据字段中用户ID字段分别提取出每个用户的用户的文件访问记录。3.根据权利要求1所述的方法,其特征在于,所述文件访问网络用无向边权重图表示,边权重表示为对称相似矩阵。4.根据权利要求1所述的方法,其特征在于,利用文件路径关系评估函数...
【专利技术属性】
技术研发人员:于爱民,王佳荣,蔡利君,孟丹,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。