本發明公開了一種基于用戶主客觀數據融合的內部威脅檢測方法及系統，在原先僅審計用戶系統與網絡行為數據的基礎上，提出了反映用戶工作態度、生活壓力等個體特征的主觀要素數據，再從用戶的主客觀要素數據出發，提出了融合模式、預示模式兩類數據融合模式,通過融合反映用戶攻擊動機強度的主觀要素數據與反映用戶系統與網絡行為的客觀要素數據，全面分析、檢測內部威脅，有效降低單純異常檢測的高誤報與漏報問題，同時基于內部威脅攻擊鏈特征提出了建立各個攻擊環節異常的內部威脅特征方法，提高內部威脅檢測系統的實時更新能力。

技術領域

本發明屬于網絡信息安全管理與控制技術領域，涉及一種基于用戶主客觀數據融合的內部威脅檢測方法及系統。

背景技術

隨著網絡的發展，網絡信息的安全越來越引起社會的重視，各種防病毒軟件、防火墻、入侵檢測等安全產品得到了廣泛的應用。但是這些信息安全產品僅僅是為了防御外部的入侵和竊取，伴隨人們對網絡安全的認知和技術的發展，發現由于內部人員造成的泄密和入侵事件占了很大比例，如2013年的斯諾登“棱鏡門”事件，就是一起典型的內部人員泄密的安全事例。所以應對內部威脅應該與抵御外部的入侵必須同樣地受到重視，然而現實中尚無有效的內部威脅檢測機制，因此亟需設計實用性內部威脅檢測系統。

內部攻擊(或稱內部威脅)是由企業或組織中內部人發起，區別于傳統網絡入侵攻擊的新型威脅。內部人位于傳統網絡安全邊界內部，且具備安全防御與攻擊目標的關鍵知識，因此內部人可以繞過現有安全防御機制，從企業或組織內部實施網絡攻擊，從而造成巨大損失。

由于內部威脅攻擊者一般是企業或組織的員工(在職或離職)、承包商以及商業伙伴等，且具有組織的系統、網絡以及數據的訪問權，因此內部威脅通常具備極高的隱蔽性與危害性，基于防火墻、IDS等安全設備的傳統縱深防御體系并不能有效應對內部威脅。

檢測內部威脅的關鍵在于完善的內部安全審計，其核心是以用戶為中心，記錄其在系統與網絡中的所有關鍵操作與行為，從而形成用戶在內部網絡中的行為軌跡。當前內部安全審計的重點是以下行為：

●文檔審計：審計文檔的寫入、創建、復制、刪除等操作；

●打印審計：審計用戶發起的打印事件與文件內容等；

●登錄審計：審計用戶登錄系統的行為，以及注銷、重啟、關閉系統的操作；

●進程審計：審計用戶創建、關閉的進程；

●網絡監控：審計WEB訪問行為，包括訪問目標IP/Port、頁面請求等；

●設備審計：審計USB等可移動存儲設備使用行為，如復制、刪除的文件；

●郵件審計：審計用戶郵件行為，如郵件頭信息中的收/發件人、郵件標題、附件個數(類型)等；

多維度、細粒度的內部安全審計必然導致巨大的數據量，隨之而來的急劇增長的檢測復雜度為內部威脅檢測提出了挑戰。因此，結合大數據分析技術，針對內部安全審計日志的大數據安全研究正成為當今的熱點之一。然而實際中的內部威脅檢測系統因為其數據源刻畫維度片面、檢測系統架構單一等不足導致檢測誤報率較高，實用性較差，因此很有必要研發具有良好實用性的新型內部威脅檢測機制。

現有內部威脅檢測方法核心是基于用戶的內部安全審計日志，運用異常檢測方法建立內部威脅分類器，其主要步驟如圖1：

●內部安全審計采集：部署內部安全審計系統，收采集用戶的文檔訪問等內部系統與網絡行為，格式化處理后傳遞給分類器構建模塊；

●異常檢測分類器：運用異常檢測方法從接收的數據中學習用戶行為模型，構建異常檢測分類器；

●用戶行為檢測：異常檢測分類器對特定時間窗口的用戶行為日志進行檢測，判斷是否為內部威脅。