一种基于内部威胁的需求分析架构

本论文从企业目标或商业任务角度,提出了一个基于内部威胁的需求采集框架。该框架包含了一个内部威胁识别和估方法,以及抵御风险的需求启发方法。最后,描述了组织系统防御需求的收集方法。     

一种用于威胁检测的反目标攻击树模型

近年来,由于系统漏洞增多、网络入侵手段不断演化、黑客技术不断更新,导致网络攻击变得复杂多样化。然而,传统攻击树模型的质量高度依赖于分析师的知识和技能水平,主观性强,在表达攻击意图及攻击操作的关系上存在不足,很难实现攻击模型的自动构建。为了能够高质量地检测系统资产潜在的安全威胁,并支持自动化检测的实现,文中提出一种基于攻击者意图的反目标攻击树模型及其构建方法。该模型从攻击者的意图出发,通过对反目标元素的迭代分解来描述攻击者的攻击过程和攻击目标,并以攻击树的形式进行表达,从而高效地发现系统的安全问题。基于Datalog语言给出反目标攻击树模型分解策略的形式化描述并定义了推理规则,为反目标攻击树模型的自动构建以及攻击威胁的自动检测提供了支持。将所提方法应用到真实的攻击案例场景中进行分析,成功地检测出了被攻击系统的实际攻击场景和潜在安全风险,证明了所提方法的有效性。     

一种基于攻击图的高级持续威胁检测方法北大核心CSCD

针对传统入侵检测工具无法检测高级持续威胁(Advanced Persistent Threat,APT)攻击和威胁警报疲劳问题,文章提出一种基于攻击图的APT检测方法 ADBAG(APT Detection Based on Attack Graph),该方法根据网络拓扑、漏洞报告等信息生成攻击图,并利用攻击图对攻击者行为进行预先分析,有效解决了威胁警报疲劳问题。文章结合ATT&CK(Adversarial Tactics,Techniques and Common Knowledge)模型和APT攻击三相检测模型,设计了一种缺失路径匹配评分算法,从攻击全局角度分析和检测APT攻击。同时,设计了基于灰名单的多攻击实体关联方法,以保证生成的APT攻击证据链的准确性。在公开数据集上进行实验,实验结果表明,ADBAG可以有效检测APT攻击,并能够检测基于零日漏洞的APT攻击,进一步定位攻击影响范围。     

基于威胁树的第三方支付信息安全风险评估

基于对第三方支付流程和相关安全事件的分析,运用威胁树方法学,从信息安全评估的角度构建了第三方支付系统的威胁树分析模型,并运用德尔菲法选择典型的第三方支付系统进行了实例评估,最终得出第三方支付系统的最小威胁树,并基于此提出针对第三方支付系统的安全建议和对策,以期对第三方支付系统安全的改进和用户选择提供参考。     

基于内部威胁控制的安全网络系统探究

在当前的网络信息系统安全领域之中,基于安全发生源进行分类,主要包含内部与外部两种威胁。一般来说,网络信息安全最大威胁来源于外部,如黑客入侵、蠕虫干扰等。但是就大量实践表明,内部威胁对于信息系统安全带来的威胁更大,是信息系统安全风险的主要来源。所以,本文就内部威胁控制的安全网络系统进行探讨,希望可以让内部威胁无法发挥其作用,最终保护网络系统的安全性。     

网络信息系统的内部威胁模型研究

网络信息系统内部攻击构成了十分危险的安全威胁,这样的认识已逐渐被人们广泛接受。但是,对内部攻击的深入研究却相对比较少。该文从网络系统的使用者这一角度,而不是技术本身,阐述了内部攻击的图示模型,剖析了内部攻击的成因,并针对内部攻击的一些细节进行了详细的系统论述。     

基于Multi-Agent的Insider Threat预防检测模型

来自企业组织网络内部的合法用户引起的内部威胁(insider threat),给系统安全构成了极大的安全隐患,造成的危害与日俱增.传统的入侵检测工具是针对外部用户设计的,在解决Insider Threat问题上基本无能为力.为了有效地减少内部威胁,提出了一种基于Multi-Agents的预防检测模型,并给出了相关Agent的实现算法.它能够对用户的行为进行实时监测和风险评估,能够将在线用户的攻击进度实时报告给管理人员,通过一个量化手段辅助管理人员做出决策.另外,与其他模型有个显著的不同,该模型中本地规则库是针对不同内部用户动态生成的.     

内部威胁检测研究

近年来,以系统破坏、信息窃取以及电子欺诈为主的内部攻击因为隐蔽性强、破坏性大的特点对个人与企业,甚至国家安全造成了严重威胁。因此十分有必要关注内部威胁已有的研究成果与发展趋势。本文分析了内部威胁的特征,提出基于信任理论的形式化定义。同时将当前内部威胁研究热点归结为内部威胁模型研究、主观要素研究、客观要素研究及其它研究四个领域,分别介绍各个领域的研究状况,并对每个领域的研究进展进行归纳和分析。通过分析内部威胁已有案例以及当前研究进展,针对现有研究不足提出新型内部威胁检测系统,并展望未来的关键技术。     

Web威胁攻防战

不可否认。今天的Web攻击正呈进发之势。越来越多的用户,在网上随便走了一圈,就莫名其妙地出现了很多怪问题。其实,这些元凶都是Web攻击。那么,今天咱们就来历数一下Web攻击的罪源与对策!     

基于用户画像的自适应内部威胁检测模型

内部威胁领域中,员工是内部威胁事件发生的主要研究对象。针对内部威胁检测系统中员工行为数据利用不全及检测细粒度低的问题,提出将用户画像作为内部威胁检测的基础,实现了员工行为信息的全方位构建并提高了检测的细粒度。通过引入滑动窗口机制对每个员工的画像模型进行自适应偏移,使得内部威胁检测模型能够实时检测威胁员工。检测模型在CERT4.2数据集中进行验证,取得较好结果。     

内部威胁云模型感知算法

利用系统访问控制关系,定义了主体、客体两个偏序结构和二者间的映射关系,建立了分层映射内部威胁模型;利用此模型定义了表征系统内部威胁状态的内部威胁云模型,并设计了基于云模型的感知算法,实现了对系统内部威胁的评测感知.基于云模型的内部威胁感知算法,利用云模型从多角度将系统的定性、定量内部威胁特征融合分析、决策,克服了原有方法不能同时定量定性分析内部威胁的缺陷,提高了感知的准确性和客观性.实验结果表明,此算法能够实时、有效地感知系统的内部安全威胁.     

基于LSTM-Attention的内部威胁检测模型

信息被内部人员非法泄露、复制、篡改,会给政府、企业造成巨大的经济损失。为了防止信息被内部人员非法窃取,文章提出一种基于LSTM-Attention的内部威胁检测模型ITDBLA。首先,提取用户的行为序列、用户行为特征、角色行为特征和心理数据描述用户的日常活动;其次,使用长短期记忆网络和注意力机制学习用户的行为模式,并计算真实行为与预测行为之间的偏差;最后,使用多层感知机根据该偏差进行综合决策,从而识别异常行为。在CERT内部威胁数据集上进行实验,实验结果表明,ITDBLA模型的AUC分数达0.964,具有较强的学习用户活动模式和检测异常行为的能力。     

内部威胁发现检测方法研究综述

组织内部网络不仅面临着外部攻击者的威胁,同时也面临以破坏组织网络结构、内部信息资料窃取以及各种诈骗手段为主的内部威胁。内部威胁因为其多元化、伪装性强等特点,对组织机构内部造成了严重影响,因此对于内部威胁发现检测方法的研究变得非常有必要。本文首先对内部威胁进行了描述,重点针对内部威胁发现检测方法的现实意义进行了论述。同时将现有的内部威胁发现检测方法分为3类：基于异常行为的检测方法、基于审计日志异常的检测方法和其他检测方法,分别介绍了现有3类方法的研究现状,并对它们的研究进展进行了总结、归纳和分析。最后对内部威胁发现检测方法的未来研究方向进行了展望。     

Anomaly Detection Based on Discrete Wavelet Transformation for Insider Threat Classification

Unlike external attacks, insider threats arise from legitimate users who belong to the organization. These individuals may be a potential threat for hostile behavior depending on their motives. For insider detection, many intrusion detection systems learn and prevent known scenarios, but because malicious behavior has similar patterns to normal behavior, in reality, these systems can be evaded. Furthermore, because insider threats share a feature space similar to normal behavior, identifying them by detecting anomalies has limitations. This study proposes an improved anomaly detection methodology for insider threats that occur in cybersecurity in which a discrete wavelet transformation technique is applied to classify normal vs. malicious users. The discrete wavelet transformation technique easily discovers new patterns or decomposes synthesized data, making it possible to distinguish between shared characteristics. To verify the efficacy of the proposed methodology, experiments were conducted in which normal users and malicious users were classified based on insider threat scenarios provided in Carnegie Mellon University’s Computer Emergency Response Team (CERT) dataset. The experimental results indicate that the proposed methodology with discrete wavelet transformation reduced the false-positive rate by 82% to 98% compared to the case with no wavelet applied. Thus, the proposed methodology has high potential for application to similar feature spaces.     

基于Agent的内部威胁实时检测框架

针对企业信息系统中的内部威胁行为,特别是内部用户的资源滥用行为,提出了一种基于Agent的实时检测框架,通过比较用户身份权限和异常操作行为发现恶意内部威胁行为.该框架有数据采集模块、检测模块、审计模块和响应模块构成.从身份认证、访问控制、操作审计和漏洞检测四个方面对检测系统进行功能说明,并就关键技术给出了详细介绍.应用实例证明该检测框架实现了用户实名登录、行为检测与事后审计,从根本上防止了恶意内部人员获取非法数据并提供响应和干预能力,提高了信息系统的安全性.最后,总结了内部威胁检测技术发展趋势.     

面向内部威胁的最优安全策略算法研究

内部攻击行为具有很强的伪装性,这使得检测结果具有不确定性.攻击图模型经常用于描述攻击行为的多个攻击步骤之间的因果关系,但在计算最优安全策略时,很少考虑到当前观测事件所具有的不确定性,也没有从概率的角度刻画安全防护策略实施后对攻击成功概率带来的影响.在前人的概率攻击图模型研究基础上,首次提出了一种面向内部威胁的安全防护策略概率攻击图(measures probablitity attack graph, MPAG),在该模型中较为完备地讨论了内部攻击的3类不确定性,并引入安全防护措施节点及其对攻击成功的概率影响.在该模型基础上,最优安全防护策略计算被证明是一个NP难问题,一种贪心算法被提出解决该问题,该算法能在多项式时间内动态计算近似最优安全防护策略集合.最后给出一个真实的内部威胁网络环境的概率攻击图实例,说明该模型及相应的贪心算法能根据当前观测事件及其置信概率,计算满足一定代价限制条件的近似最优安全防护策略集合.