【技术实现步骤摘要】
一种基于多维度文件活动的内部威胁检测方法及系统
本专利技术涉及网络信息安全
,尤其涉及一种基于多维度文件活动的内部威胁检测方法及系统。
技术介绍
内部威胁是内部人员对组织进行的恶意攻击的威胁。这些包括物理性的破坏活动,盗窃机密数据以及欺诈行为。由内部威胁所造成的损失远大于外部威胁攻击所造成的损失。而知识窃取是一类重要的内部威胁手段,危害程度巨大。从计算机安全应急响应组(ComputerEmergencyResponseTeam,以下简称CERT)数据库显示的数据来看,IT公司、电信公司、生物科技公司以及某些军工单位是信息窃取高发行业,导致的经济损失都在一亿美元以上。目前,研究人员已经提出了不同的模型来预防或检测攻击的存在。目前已有的针对知识窃取类内部威胁的检测方法所采用的技术多种多样,他们大多数都是通过审计与分析用户对于文件或者数据的访问行为,建立用户行为基线。据此检测用户的偏离行为,从而给出警报。具体方法可以分为两个方面:1)面向用户的:通过监测用户行为来发现可疑的趋势,例如键盘监控、屏幕监控等。CE...
【技术保护点】
1.一种基于多维度文件活动的内部威胁检测方法,其特征在于,包括:/n获取待检测的单个文件,基于所述单个文件的历史活动规律检测所述单个文件,得到单文件检测结果;/n获取文件社区模型,基于所述文件社区模型检测所述单个文件,得到文件社区检测结果;其中文件社区模型是基于包含所述单个文件的文件集合,采用最近邻算法得到的;/n基于熵权法将所述单文件检测结果和所述文件社区检测结果进行融合计算,得出具有潜在威胁文件检测结果。/n
【技术特征摘要】
1.一种基于多维度文件活动的内部威胁检测方法,其特征在于,包括:
获取待检测的单个文件,基于所述单个文件的历史活动规律检测所述单个文件,得到单文件检测结果;
获取文件社区模型,基于所述文件社区模型检测所述单个文件,得到文件社区检测结果;其中文件社区模型是基于包含所述单个文件的文件集合,采用最近邻算法得到的;
基于熵权法将所述单文件检测结果和所述文件社区检测结果进行融合计算,得出具有潜在威胁文件检测结果。
2.根据权利要求1所述的一种基于多维度文件活动的内部威胁检测方法,其特征在于,所述获取待检测的单个文件,基于所述单个文件的历史活动规律检测所述单个文件,得到单文件检测结果,具体包括:
对所述单个文件的当前活动进行特征提取,得到单个文件特征提取结果;
将所述单个文件的历史活动特性表示为历史活动集合,将所述历史活动集合与所述单个文件特征提取结果进行偏差比较,得到第一异常分数值,若所述第一异常分数值大于第一预设阈值,则确定所述单文件检测结果为异常文件。
3.根据权利要求2所述的一种基于多维度文件活动的内部威胁检测方法,其特征在于,所述对所述单个文件的当前活动进行特征提取,得到单个文件特征提取结果,具体包括:
将文件活动的频率划分成若干个预设级别,采用所述若干个预设级别来表示所述单个文件的当前活动的频率,得到所述单个文件的频率表示结果,将所述频率表示结果放入所述单个文件特征提取结果中;其中,所述文件活动包括文件操作活动和文件流转活动;
将所述文件操作活动和所述文件流转活动的属性放入所述文件特征提取结果中。
4.根据权利要求2所述的一种基于多维度文件活动的内部威胁检测方法,其特征在于,所述获取文件社区模型,基于所述文件社区模型检测所述单个文件,得到文件社区检测结果,具体包括:
获取包含所述单个文件的文件集合,采用最近邻算法对所述文件集合进行计算,得到所述文件社区模型;
计算所述文件社区模型中的所述单个文件与所述文件社区模型中的邻居文件的第二异常分数值,若所述第二异常分数值大于第二预设阈值,则确定所述文件社区检测结果为异常文件。
5.根据权利要求4所述的一种基于多维度文件活动的内部威胁检测方法,其特征在于,所述采用最近邻算法对所述文件集合进行计算,得到所述文件社区模型,具体包括:
采用相似矩阵表示所述文件集合中的文件之间的相似性度量;
基于奇异值将所...
【专利技术属性】
技术研发人员:李梅梅,刘美辰,吕彬,张琪,刘鹏程,王云涛,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。