本發明公開了一種基于用戶語言特征的內部威脅檢測方法，它首先分析用戶的語言數據，提取語言特征并建立能夠表征用戶人格心理特征的數值化特征向量，然后構建分類器并進行分類器訓練來識別異常人格心理特征的用戶，最后分析異常人格心理特征用戶的特征向量偏移度來篩選出誤報用戶，并將剩余的用戶作為內部潛在惡意用戶上報給安全管理員進行分析應對。本發明充分考慮了內部攻擊中攻擊者自身的心理特點，從人格角度進行了心理建模，并以此構建出異常檢測分類器，彌補了現有檢測方法只關注攻擊過程忽視攻擊主體的不足，從而可以細粒度地區分“異常”與“惡意”，能夠全面分析檢測內部威脅，有效降低傳統內部威脅檢測方法的高誤報與漏報問題。

技術領域

本發明涉及一種基于用戶語言特征的內部威脅檢測方法，屬于信息安全建設/網絡安全技術領域。

背景技術

隨著網絡的發展，網絡信息的安全越來越引起社會的重視，各種防病毒軟件、防火墻、入侵檢測等安全產品得到了廣泛的應用。但是這些信息安全產品僅僅是為了防御外部的入侵和竊取，伴隨人們對網絡安全的認知和技術的發展，發現由于內部人員造成的泄密和入侵事件占了很大比例，如2013年的斯諾登“棱鏡門”事件，就是一起典型的內部人員泄密的安全事例。所以應對內部威脅應該與抵御外部的入侵必須同樣地受到重視，然而現實中尚無有效的內部威脅檢測機制。

由于內部威脅攻擊者一般是企業或組織的員工(在職或離職)、承包商以及商業伙伴等，且具有組織的系統、網絡以及數據的訪問權，因此內部威脅通常具備極高的隱蔽性與危害性，基于防火墻、IDS等安全設備的傳統縱深防御體系并不能有效應對內部威脅。

檢測內部威脅的關鍵在于完善的內部安全審計，其核心是以用戶為中心，記錄其在系統與網絡中的所有關鍵操作與行為，從而形成用戶在內部網絡中的行為軌跡。當前內部安全審計的重點是以下行為：

文檔審計：審計文檔的寫入、創建、復制、刪除等操作；

打印審計：審計用戶發起的打印事件與文件內容等；

登錄審計：審計用戶登錄系統的行為，以及注銷、重啟、關閉系統的操作；

進程審計：審計用戶創建、關閉的進程；

網絡監控：審計WEB訪問行為，包括訪問目標IP/Port、頁面請求等；

設備審計：審計USB等可移動存儲設備使用行為，如復制、刪除的文件；

郵件審計：審計用戶郵件行為，如郵件頭信息中的收/發件人、郵件標題、部分正文以及附件個數(類型)等。

多維度、細粒度的內部安全審計必然導致巨大的數據量，隨之而來的急劇增長的檢測復雜度為內部威脅檢測提出了挑戰。因此，結合大數據分析技術來建模用戶行為，尤其是針對內部安全審計日志的大數據安全研究已經成為當今研究熱點。然而實際中的內部威脅檢測系統因為其數據源刻畫維度片面、檢測系統架構單一等不足導致檢測誤報率較高，實用性較差，因此很有必要設計具有良好實用性的內部威脅檢測系統。

現有內部威脅檢測系統設計研發的重點是運用異常檢測方法，基于用戶的內部安全審計日志建立內部威脅分類器，其主要步驟如下：

內部安全審計采集：部署內部安全審計系統，收采集用戶的文檔訪問等內部系統與網絡行為，格式化處理后傳遞給分類器構建模塊；

異常檢測分類器：運用異常檢測方法從接收的數據中學習用戶行為模型，構建異常檢測分類器；

用戶行為檢測：異常檢測分類器對特定時間窗口的用戶行為日志進行檢測，判斷是否為內部威脅；