| 一种无监督的窃密攻击及时发现方法 |
| |
| 引用本文: | 冯云, 刘宝旭, 张金莉, 汪旭童, 刘潮歌, 申明喆, 刘奇旭. 一种无监督的窃密攻击及时发现方法[J]. 计算机研究与发展, 2021, 58(5): 995-1005. DOI: 10.7544/issn1000-1239.2021.20200902 |
| |
| 作者姓名: | 冯云 刘宝旭 张金莉 汪旭童 刘潮歌 申明喆 刘奇旭 |
| |
| 作者单位: | (中国科学院信息工程研究所 北京 100093) (中国科学院大学网络空间安全学院 北京 100049) (fengyun@iie.ac.cn) |
| |
| 基金项目: | 国家自然科学基金项目(61902396);中国科学院青年创新促进会(2019163);中国科学院战略性先导科技专项项目(XDC02040100);中国科学院网络测评技术重点实验室资助;网络安全防护技术北京市重点实验室资助。 |
| |
| 摘 要: | 近年来,窃密攻击成为了最严重的网络安全威胁之一.除了恶意软件,人也可以成为窃密攻击的实施主体,尤其是组织或企业的内部人员.由人实施的窃密很少留下明显的异常痕迹,给真实场景中攻击的及时发现和窃密操作的分析还原带来了挑战.提出了一个方法,将每个用户视为独立的主体,通过对比用户当前行为事件与其历史正常行为的偏差检测异常,以会话为单元的检测实现了攻击发现的及时性,采用无监督算法避免了对大量带标签数据的依赖,更能适用于真实场景.对算法检测为异常的会话,进一步提出事件链构建方法,一方面还原具体窃密操作,另一方面通过与窃密攻击模式对比,更精确地判断攻击.在卡内基梅隆大学的CERT内部威胁数据集上进行了实验,结果达到99%以上的准确率,且可以做到无漏报、低误报,证明了方法的有效性和优越性.
|
| 关 键 词: | 窃密攻击发现 用户事件 内部威胁检测 无监督算法 聚类 事件链 |
| 本文献已被 维普 万方数据 等数据库收录! |
| 点击此处可从《计算机研究与发展》浏览原始摘要信息 |
|
点击此处可从《计算机研究与发展》下载免费的PDF全文 |
|
