本發(fā)明提供一種基于文件訪問(wèn)圖的非監(jiān)督偽裝者檢測(cè)方法，其步驟包括：將全部文件訪問(wèn)記錄按時(shí)間順序分割成多個(gè)文件塊，每個(gè)文件塊均包含多條文件訪問(wèn)記錄；利用相似度評(píng)分函數(shù)計(jì)算所述文件塊之間的相似度；構(gòu)建無(wú)向邊權(quán)重圖，將所述文件塊作為圖中相互連接的各頂點(diǎn)，任意兩頂點(diǎn)間的邊權(quán)重為對(duì)應(yīng)的兩文件塊間的相似度；利用聚類(lèi)算法挖掘圖中的聚類(lèi)簇，并得到圖中每個(gè)頂點(diǎn)與其所屬聚類(lèi)簇的相關(guān)度；將相關(guān)度低于一特定的閾值的異常頂點(diǎn)判定為偽裝者。本發(fā)明還提供一種基于文件訪問(wèn)圖的非監(jiān)督偽裝者檢測(cè)系統(tǒng)。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全領(lǐng)域，具體涉及一種基于文件訪問(wèn)圖的非監(jiān)督偽裝者檢測(cè)方法及系統(tǒng)。

背景技術(shù)

信息是一種極其重要的資產(chǎn)，如何防止惡意內(nèi)部人員竊取組織內(nèi)部信息已經(jīng)成為目前最嚴(yán)重的網(wǎng)絡(luò)安全威脅。由于越來(lái)越多的信息存儲(chǔ)于個(gè)人計(jì)算機(jī)，及時(shí)有效地檢測(cè)一個(gè)人的計(jì)算機(jī)是否被非法訪問(wèn)是檢測(cè)信息竊取的一個(gè)關(guān)鍵問(wèn)題，這種檢測(cè)方法被稱(chēng)為偽裝者檢測(cè)或內(nèi)部威脅檢測(cè)。偽裝者是利用竊取的合法用戶(hù)身份來(lái)執(zhí)行惡意行為的一種攻擊者。

目前的偽裝者檢測(cè)方法主要研究unix命令、鼠標(biāo)鍵盤(pán)使用、文件使用以及其他的經(jīng)常被用戶(hù)使用的計(jì)算機(jī)對(duì)象。

Schonlau(Schonlau M.，DuMouchel W.，Ju W.H.，Karr A.F.，Theus M.，VardlY.:Computerintrusion:Detecting masquerades.In:Statistical science，pp.58-74(2001))首先構(gòu)建了一個(gè)unix命令數(shù)據(jù)集，并且基于unix命令使用“uniqueness”方法建模用戶(hù)行為和檢測(cè)偽裝者。然而，由于偽裝者數(shù)據(jù)不是真實(shí)的攻擊數(shù)據(jù)，這個(gè)unix命令數(shù)據(jù)集備受爭(zhēng)議。

Messerman(Messerman A.，T.，Camtepe S.A.，Albayrak S.:Continuousand nonintrusiveidentityveri_cation in real-time environments based on free-text keystrokedynamics.In:International Joint Conference on Biometrics，IEEEComputer Society，pp.1-8(2011))從鍵盤(pán)按鍵被按下和彈起的次數(shù)來(lái)建模用戶(hù)的鼠標(biāo)動(dòng)態(tài)行為。Garg(Garg A.，Rahalkar R.，Upadhyaya S.，Kwiat P.:Pro_ling users in GUIbased systemsfor masquerade detection.In:Proceedings of the 2006 IEEEWorkshop onInformation Assurance，pp.48-54(2006))建立了鼠標(biāo)點(diǎn)擊和移動(dòng)的模式。然而，這些模型僅僅適用于預(yù)定義的環(huán)境，例如只與特定的一個(gè)應(yīng)用程序交互。

基于文件使用的偽裝者檢測(cè)方法已經(jīng)吸引了越來(lái)越多的關(guān)注。大致可以分為監(jiān)督和非監(jiān)督方法。( J.B.，Monroy R.，Trejo L.A.，Medina-Pérez M.A.:Temporal and spatiallocality:An abstraction for masquerade detection.In:IEEETransactions onInformation Forensics and Security，vol.11，no.9，pp.2036-2051(2016))提取了文件訪問(wèn)的局部特征，并使用TreeBagger分類(lèi)器檢測(cè)偽裝者。Song(SongY.，Salem M.B.，Hershkop S.，Stolfo S.J.:System level user behaviorbiometricsusing Fisher features and Gaussian mixture models.In:Security andPrivacyWorkshops(SPW)，IEEE，vol.42，no.6，pp.52-59(2013))應(yīng)用多變量高斯混合模型分類(lèi)器建立用戶(hù)行為，提取了一系列統(tǒng)計(jì)特征，例如文件訪問(wèn)次數(shù)。然而由于偽裝者數(shù)據(jù)的缺乏，監(jiān)督學(xué)習(xí)方法不太適用于真實(shí)情況。