本發(fā)明涉及信息安全建設(shè)/網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種基于跨域行為分析的內(nèi)部威脅檢測(cè)方法，包括：提取并統(tǒng)計(jì)各個(gè)檢測(cè)域內(nèi)的用戶多域行為描述向量，并將所有用戶的用戶多域行為描述向量組成用戶多域行為描述矩陣；從用戶多域行為描述矩陣中提取用戶跨域行為特征矩陣和基模式矩陣；分析用戶跨域行為，確定嫌疑人并選取嫌疑人的對(duì)等用戶組；通過(guò)分析嫌疑人和嫌疑人對(duì)等用戶組的行為來(lái)最終確定內(nèi)部攻擊者；本發(fā)明在分析用戶跨域行為特征的基礎(chǔ)之上，并充分利用用戶背景信息，解決了現(xiàn)有技術(shù)在內(nèi)部威脅檢測(cè)過(guò)程中，由于未考慮用戶所處系統(tǒng)條件或者背景屬性的變化所引起的用戶行為的正常變化而造成的漏報(bào)或者誤報(bào)，提高了威脅檢測(cè)的準(zhǔn)確率。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全建設(shè)/網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種基于跨域行為分析的內(nèi)部威脅檢測(cè)方法。

背景技術(shù)

近期許多安全事故中，內(nèi)部用戶攻擊已經(jīng)成為主要原因之一。內(nèi)部用戶通常是企業(yè)或政府的雇員、承包商、商業(yè)合作方以及第三方服務(wù)提供方等。內(nèi)部威脅危害較外部威脅更大，因?yàn)閮?nèi)部攻擊者熟悉組織運(yùn)作，甚至可接觸組織的重要資產(chǎn)。另外，內(nèi)部攻擊者處于安全邊界內(nèi)部，可在一定程度上躲避傳統(tǒng)外部安全設(shè)備的檢測(cè)，并且其惡意行為數(shù)據(jù)通常隱藏在大量的正常數(shù)據(jù)中，增大了檢測(cè)難度。存在于計(jì)算機(jī)系統(tǒng)中的各種用戶審計(jì)日志是分析用戶行為的關(guān)鍵，本發(fā)明中將用于內(nèi)部威脅檢測(cè)的各種用戶審計(jì)日志稱為檢測(cè)域，如登錄域、文件操作域等。

目前研究者提出了很多內(nèi)部威脅檢測(cè)方法，這些方法通常只分析用戶在某個(gè)檢測(cè)域內(nèi)的行為模式，然后基于這個(gè)行為模式來(lái)識(shí)別惡意行為。又或者融合各檢測(cè)域內(nèi)的檢測(cè)結(jié)果，如Maloof等人(Maloof M A,Stephens G D.elicit:A System for DetectingInsiders Who Violate Need-to-Know[C]//International Conference on RecentAdvances in Intrusion Detection.Springer-Verlag,2007:146-166.)提出的一種通過(guò)融合用戶各單域行為檢測(cè)結(jié)果來(lái)進(jìn)行內(nèi)部威脅檢測(cè)的方法。然而，針對(duì)有技巧的內(nèi)部攻擊者，他們將攻擊行為巧妙的分解為多個(gè)步驟，而且每個(gè)步驟都被偽裝成正常行為，這樣各域獨(dú)立檢測(cè)將不易發(fā)現(xiàn)其惡意行為。這類內(nèi)部攻擊被稱為復(fù)合攻擊，針對(duì)復(fù)合攻擊的檢測(cè)方法主要集中基于對(duì)主機(jī)和網(wǎng)絡(luò)安全缺陷分析來(lái)計(jì)算復(fù)合攻擊路徑，如Chen等人(Chen X J,Fang B X,Tan Q F,et al.Inferring attack intent of malicious insider based onprobabilistic attack graph model[J].Chinese Journal of Computers,2014.)提出的基于概率攻擊圖的內(nèi)部攻擊意圖推斷方法。另外Wen等人(Yu W,Wang W P,Dan M.MiningUser Cross-Domain Behavior Patterns for Insider Threat Detection[J].ChineseJournal of Computers,2016.)提出了一種通過(guò)分析用戶跨域行為來(lái)檢測(cè)復(fù)合攻擊的方法，但其僅僅分析了用戶的行為數(shù)據(jù)，沒(méi)有考慮系統(tǒng)條件或用戶背景屬性的變化所帶來(lái)的用戶行為模式的變化。

發(fā)明內(nèi)容

為了提高威脅檢測(cè)的準(zhǔn)確率，本發(fā)明提出一種基于跨域行為分析的內(nèi)部威脅檢測(cè)方法，包括：

基于跨域行為分析的內(nèi)部威脅檢測(cè)方法，其特征在于，包括：

S1、提取并統(tǒng)計(jì)各個(gè)檢測(cè)域內(nèi)的用戶行為特征，并根據(jù)用戶行為特征來(lái)構(gòu)建用戶多域行為描述向量，并將所有用戶的用戶多域行為描述向量組成用戶多域行為描述矩陣；

S2、從用戶多域行為描述矩陣中提取用戶跨域行為特征矩陣和基模式矩陣；

S3、根據(jù)用戶跨域行為特征矩陣分析用戶跨域行為，確定嫌疑人并選取嫌疑人的對(duì)等用戶組；

S4、通過(guò)分析嫌疑人的行為和嫌疑人對(duì)等用戶組的行為來(lái)最終確定內(nèi)部攻擊者。