本发明专利技术实施例提供一种基于多维度文件活动的内部威胁检测方法及系统。该方法包括:获取待检测的单个文件,基于单个文件的历史活动规律检测单个文件,得到单文件检测结果;获取文件社区模型,基于文件社区模型检测单个文件,得到文件社区检测结果;其中文件社区模型是基于包含单个文件的文件集合,采用最近邻算法得到的;基于熵权法将单文件检测结果和文件社区检测结果进行融合计算,得出具有潜在威胁文件检测结果。本发明专利技术实施例通过从数据角度对内部威胁进行维度检测,能够更全面和更精确的识别受威胁文件,相比传统的检测方法,覆盖率更高,识别结果有更高的鲁棒性。
An internal threat detection method and system based on multi-dimensional file activity
【技术实现步骤摘要】
一种基于多维度文件活动的内部威胁检测方法及系统
本专利技术涉及网络信息安全
,尤其涉及一种基于多维度文件活动的内部威胁检测方法及系统。
技术介绍
内部威胁是内部人员对组织进行的恶意攻击的威胁。这些包括物理性的破坏活动,盗窃机密数据以及欺诈行为。由内部威胁所造成的损失远大于外部威胁攻击所造成的损失。而知识窃取是一类重要的内部威胁手段,危害程度巨大。从计算机安全应急响应组(ComputerEmergencyResponseTeam,以下简称CERT)数据库显示的数据来看,IT公司、电信公司、生物科技公司以及某些军工单位是信息窃取高发行业,导致的经济损失都在一亿美元以上。目前,研究人员已经提出了不同的模型来预防或检测攻击的存在。目前已有的针对知识窃取类内部威胁的检测方法所采用的技术多种多样,他们大多数都是通过审计与分析用户对于文件或者数据的访问行为,建立用户行为基线。据此检测用户的偏离行为,从而给出警报。具体方法可以分为两个方面:1)面向用户的:通过监测用户行为来发现可疑的趋势,例如键盘监控、屏幕监控等。CERT提出的对即将离职的员工进行针对知识产权的增强监控,在“一个月时间窗口”内采取高于组织安全基线的检测模式以发现恶意的内部行为。Loannis等人提出用攻击树来描述攻击模式,抽取每种攻击类型的攻击步骤组成攻击链,再将攻击目标相同的攻击链合成攻击树。定义每个步骤对应的异常,通过检测异常进而推断攻击的发生。2)面向数据的:从知识窃取的客体——文件出发,进行威胁检测。Zhang等人从用户遍历文件系统以及文件目录的角度建立行为模型;J.B.等人针对用户遍历文件系统时的文件顺序表示文件访问行为;Alex等人基于文件内容建立群组,根据个体用户自身行为以及组群间行为偏移检测文件访问中的异常行为。然而这些并非真正意义上数据自身行为,仍然是用户对于文件的行为。现有技术存在如下缺陷:1)已有的数据级别的内部威胁检测的场景刻画维度比较单一,现有的解决方案仅仅考虑单个资源或者命令,例如:时间中的统计异常;用户访问目录;2)威胁场景刻画能力弱,比如某些保密单位,内部攻击者潜伏时间长,CERT提出的“一个月时间窗口理论”并不能适用于此类场景;3)面向内部人员的检测,一旦发生误判代价十分巨大。假阳性(将正常用户判断为内部攻击者)会对员工的心理造成伤害;假阴性(将内部攻击者判断为正常用户)会造成严重后果且范围巨大的知识产权窃取;4)已有的面向数据的检测还停留在用户对文件的活动上,本质上还是用户的行为。综上所述,知识窃取类内部威胁检测不能单一的看作一个检测内部异常用户的问题,需要从数据的角度出发,提出一个精确有效的针对文件客体本身的知识窃取类内部威胁检测方法。
技术实现思路
本专利技术实施例提供一种基于多维度文件活动的内部威胁检测方法及系统,用以解决现有技术中用于检测内部威胁的场景比较单一,对于威胁的描述能力比较薄弱,容易局限于检测文件本身,造成误判的概率较高的缺陷。第一方面,本专利技术实施例提供一种基于多维度文件活动的内部威胁检测方法,包括:获取待检测的单个文件,基于所述单个文件的历史活动规律检测所述单个文件,得到单文件检测结果;获取文件社区模型,基于所述文件社区模型检测具有所述单个文件,得到文件社区检测结果;其中文件社区模型是基于包含所述单个文件的文件集合,采用最近邻算法得到的;基于熵权法将所述单文件检测结果和所述文件社区检测结果进行融合计算,得出具有潜在威胁文件检测结果。优选的,所述获取待检测的单个文件,基于所述单个文件的历史活动规律检测所述单个文件,得到单文件检测结果,具体包括:对所述单个文件的当前活动进行特征提取,得到单个文件特征提取结果;将所述单个文件的历史活动特性表示为历史活动集合,将所述历史活动集合与所述单个文件特征提取结果进行偏差比较,得到第一异常分数值,若所述第一异常分数值大于第一预设阈值,则确定所述单文件检测结果为异常文件。优选的,所述对所述单个文件的当前活动进行特征提取,得到单个文件特征提取结果,具体包括:将文件活动的频率划分成若干个预设级别,采用所述若干个预设级别来表示所述单个文件的当前活动的频率,得到所述单个文件的频率表示结果,将所述频率表示结果放入所述单个文件特征提取结果中;其中,所述文件活动包括文件操作活动和文件流转活动;将所述文件操作活动和所述文件流转活动的属性放入所述文件特征提取结果中。优选的,所述获取文件社区模型,基于所述文件社区模型检测所述单个文件,得到文件社区检测结果,具体包括:获取包含所述单个文件的文件集合,采用最近邻算法对所述文件集合进行计算,得到所述文件社区模型;计算所述文件社区模型中的所述单个文件与所述文件社区模型中的邻居文件的第二异常分数值,若所述第二异常分数值大于第二预设阈值,则确定所述文件社区检测结果为异常文件。优选的,所述采用最近邻算法对所述文件集合进行计算,得到所述文件社区模型,具体包括:采用相似矩阵表示所述文件集合中的文件之间的相似性度量;基于奇异值将所述相似矩阵进行分解,得到协方差矩阵;将所述协方差矩阵投影到预设特征空间,得到生成矩阵,所述生成矩阵表示文件社区结构;采用最近邻算法对所述生成矩阵进行计算,得到所述单个文件的邻居文件集合,所述邻居文件集合和所述单个文件构成所述文件社区模型。优选的,所述基于熵权法将所述单文件检测结果和所述文件社区检测结果进行融合计算,得到具有潜在威胁文件检测结果,具体包括:将所述第一异常分数值和所述第二异常分数值分别进行标准化处理,得到第一标准化指标和第二标准化指标;分别计算所述第一标准化指标和所述第二标准化指标的信息熵,得到第一信息熵和第二信息熵;基于所述第一信息熵计算所述第一异常分数值的第一权重值,基于所述第二信息熵计算所述第二异常分数值的第二权重值;基于所述第一权重值和所述第二权重值,将所述第一异常分数值和所述第二异常分数值进行加权求和,得到融合异常分数值,若所述融合异常分数值大于第三阈值,则确定所述具有潜在威胁文件检测结果为具有潜在威胁的文件。优选的,所述历史活动特性包括频繁访问类型、频繁访问权限、最小访问权限、频繁访问用户、流转部门和访问频率。第二方面,本专利技术实施例提供一种基于多维度文件活动的内部威胁检测系统,包括:单文件检测模块,用于获取待检测的单个文件,基于所述单个文件的历史活动规律检测所述单个文件,得到单文件检测结果;文件社区检测模块,用于获取文件社区模型,基于所述文件社区模型检测所述单个文件,得到文件社区检测结果;其中文件社区模型是基于包含所述单个文件的文件集合,采用最近邻算法得到的;融合计算模块,用于基于熵权法将所述单文件检测结果和所述文件社区检测结果进行融合计算,得出具有潜在威胁文件检测结果。第三方面,本专利技术实施例提供一种电子设备,包括:存储器本文档来自技高网...
【技术保护点】
1.一种基于多维度文件活动的内部威胁检测方法,其特征在于,包括:/n获取待检测的单个文件,基于所述单个文件的历史活动规律检测所述单个文件,得到单文件检测结果;/n获取文件社区模型,基于所述文件社区模型检测所述单个文件,得到文件社区检测结果;其中文件社区模型是基于包含所述单个文件的文件集合,采用最近邻算法得到的;/n基于熵权法将所述单文件检测结果和所述文件社区检测结果进行融合计算,得出具有潜在威胁文件检测结果。/n
【技术特征摘要】
1.一种基于多维度文件活动的内部威胁检测方法,其特征在于,包括:
获取待检测的单个文件,基于所述单个文件的历史活动规律检测所述单个文件,得到单文件检测结果;
获取文件社区模型,基于所述文件社区模型检测所述单个文件,得到文件社区检测结果;其中文件社区模型是基于包含所述单个文件的文件集合,采用最近邻算法得到的;
基于熵权法将所述单文件检测结果和所述文件社区检测结果进行融合计算,得出具有潜在威胁文件检测结果。
2.根据权利要求1所述的一种基于多维度文件活动的内部威胁检测方法,其特征在于,所述获取待检测的单个文件,基于所述单个文件的历史活动规律检测所述单个文件,得到单文件检测结果,具体包括:
对所述单个文件的当前活动进行特征提取,得到单个文件特征提取结果;
将所述单个文件的历史活动特性表示为历史活动集合,将所述历史活动集合与所述单个文件特征提取结果进行偏差比较,得到第一异常分数值,若所述第一异常分数值大于第一预设阈值,则确定所述单文件检测结果为异常文件。
3.根据权利要求2所述的一种基于多维度文件活动的内部威胁检测方法,其特征在于,所述对所述单个文件的当前活动进行特征提取,得到单个文件特征提取结果,具体包括:
将文件活动的频率划分成若干个预设级别,采用所述若干个预设级别来表示所述单个文件的当前活动的频率,得到所述单个文件的频率表示结果,将所述频率表示结果放入所述单个文件特征提取结果中;其中,所述文件活动包括文件操作活动和文件流转活动;
将所述文件操作活动和所述文件流转活动的属性放入所述文件特征提取结果中。
4.根据权利要求2所述的一种基于多维度文件活动的内部威胁检测方法,其特征在于,所述获取文件社区模型,基于所述文件社区模型检测所述单个文件,得到文件社区检测结果,具体包括:
获取包含所述单个文件的文件集合,采用最近邻算法对所述文件集合进行计算,得到所述文件社区模型;
计算所述文件社区模型中的所述单个文件与所述文件社区模型中的邻居文件的第二异常分数值,若所述第二异常分数值大于第二预设阈值,则确定所述文件社区检测结果为异常文件。
5.根据权利要求4所述的一种基于多维度文件活动的内部威胁检测方法,其特征在于,所述采用最近邻算法对所述文件集合进行计算,得到所述文件社区模型,具体包括:
采用相似矩阵表示所述文件集合中的文件之间的相似性度量;
基于奇异值将所...
【专利技术属性】
技术研发人员:李梅梅,刘美辰,吕彬,张琪,刘鹏程,王云涛,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。