0 引言

內部威脅一直是網絡安全領域中一個難以攻破的難題，對國家和企業都造成了很大的破壞和困擾。由Ponemon研究所和IBM Security聯合制作的《2021年數據泄露成本報告》[1]指出，相比2020年，2021年的數據泄漏平均成本上升了10%，并且泄漏的數據主要為客戶的個人身份信息、客戶數據、公司的知識產權以及員工的個人身份信息。報告指出惡意內部人員泄密造成的數據泄露事件的平均識別時間為231天，平均遏制時間為75天，在所有泄漏事件中排名第三，并且惡意內部人員所造成的經濟損失占總損失的8%。為了有效檢測和識別企業內部的威脅員工，避免重要數據的泄漏和破壞，內部威脅檢測系統的不斷迭代和完善迫在眉睫。

用戶畫像是對用戶全體特征的概括和描述，根據需要對用戶的特定信息和行為進行抽象的一種標簽化用戶模型。用戶畫像的構成一般由靜態屬性和動態屬性組成。靜態屬性用于記錄用戶不會經常發生變動的靜態特征，動態屬性一般多用于記錄用戶的各種行為數據以及經常變動的特征。雖然畫像技術主要用于個性化服務和精準營銷等商業領域，但越來越多的學者將此技術用于其他領域[2-5]。用戶畫像對用戶使用簡化的標簽描述用戶所具有的特定特征，并實現對滿足該特征的用戶或用戶群體的精準定位。具有特定特征需求在信息安全領域同樣適用。國內外已有部分學者率先將用戶畫像技術運用于入侵檢測技術和內部威脅領域當中，并取得了一定的研究成果。

在最近的調查中，文獻[6]提出了一種基于多維特征的內部威脅檢測混合模型，實驗結果表明，ADAD和ATAD模型具有魯棒性，混合模型明顯優于兩個分離模型。趙剛和姚興仁[7]將用戶畫像技術用于入侵檢測技術中，提出了基于用戶畫像的入侵檢測模型,實現入侵檢測粒度的細化。張建平[8]提出一種基于流量與日志的分析方法，構建用戶關鍵行為的數據畫像,實現了專用網絡中用戶關鍵行為監測的系統。郭淵博等[9]提出了一種行為特征自動提取和局部全細節行為畫像方法，將局部描寫與全局預測相結合,提高了檢測準確率。鐘雅等[10]將組織內的用戶作為研究主體，將內部威脅檢測與可視化相結合取得較好效果。雖然用戶畫像技術在入侵檢測技術和內部威脅領域中取得一定的研究進展與效果，但大多數學者都只運用了用戶畫像技術中標簽化模型的特點，沒有將所有用戶的行為信息整合進行檢測，缺少對每一個員工行為畫像的刻畫，降低了檢測的細粒度。為了提高內部威脅檢測粒度的細化程度，本文將用戶畫像技術作為內部威脅檢測的基礎，并基于員工的動態行為信息構建內部威脅實時檢測模型。

本文詳細內容請下載：http://m.xxav2194.com/resource/share/2000005025

作者信息：

李俊強1，黃  洪1，2，周子云1

(1.四川輕化工大學 計算機科學與工程學院，四川 宜賓644005；

2.企業信息化與物聯網測控技術四川省高校重點實驗室，四川 宜賓644005)