基于用户画像的自适应内部威胁检测模型

内部威胁领域中,员工是内部威胁事件发生的主要研究对象。针对内部威胁检测系统中员工行为数据利用不全及检测细粒度低的问题,提出将用户画像作为内部威胁检测的基础,实现了员工行为信息的全方位构建并提高了检测的细粒度。通过引入滑动窗口机制对每个员工的画像模型进行自适应偏移,使得内部威胁检测模型能够实时检测威胁员工。检测模型在CERT4.2数据集中进行验证,取得较好结果。     

基于协同过滤和用户画像的流媒体推荐系统研究

随着电影、电视剧、综艺节目等产业的飞速发展,近年来新兴的OTT服务(Over-the-top media services)平台给用户提供高清的流媒体播放服务,例如:爱奇艺、腾讯视频、Netflix、Hulu等.事实上,随着新用户数增多、新增流媒体数量不断庞大,用户评分逐渐矩阵成为高维矩阵,而用户评分数又不到总数的1％,传统的流媒体推荐系统因为评分稀疏性逐渐显得乏力.文章介绍了一种基于协同过滤,同时结合用户画像的方法来优化推荐系统.对于新用户,系统利用用户画像进行建模,计算用户间的相似度;对于新的流媒体视频,系统利用平台内已有的应用分类标签来初始化未知评分,然后使用协同推荐算法来反馈用户的偏好.实验结果表明该系统卓有成效,同时也提升了平台的满意度.     

信息系统内部威胁检测技术研究

针对企业信息系统中日益严重的内部威胁行为,特别是冒名登录、越权操作等行为,基于用户行为分析的技术,采用主客体混合的分层安全模型,建立了一种新的信息系统内部威胁检测框架.通过比较用户异常行为及主客体权限发现恶意内部威胁行为.应用正则表达式与混合加密算法保证检测准确性和日志安全性.从身份认证、访问控制、操作审计和行为阈值技术四个方面进行安全检测,对关键技术给出了详细介绍.实验证明该检测框架防止了内部人员破坏数据并提供响应和干预能力,提高了信息系统安全性.最后,展望了内部威胁检测技术发展趋势.     

基于广告联盟的虚拟身份画像方法研究

目前,网络虚拟账号繁多,大多数账号无需实名认证便可使用,这样不利于网络空间的安全维护与监管。针对这一情况,提出一种以虚拟账号为属性的网络空间身份画像方法。该方法首先利用大数据预处理技术实现从无关联的http post数据提取网络虚拟账号;然后,基于广告联盟机制,利用页面标签技术中Cookie存储用户唯一ID,将虚拟身份进行关联绑定与关联分析,进而构建虚拟身份画像原型;最后通过相似度计算方法,完成相似画像原型的重组。实验结果表明,该方法能有效刻画网络空间身份。     

基于网络日志的用户行为检测和画像构建技术

针对现代互联网环境下,网络日志规模急速扩张,可挖掘内容极为丰富的现状,梳理国内基于网络日志的用户行为检测和用户画像领域的主要文献及工作。简要叙述上述两个领域的基本理论,并以公安工作、电子商务、医疗健康、旅游行业和图书馆业这五个行业中的案例来总结上述两个领域内的主要应用。对网络日志进行挖掘可以极大地提升用户体验,但也要正视其在隐私保护方面的缺失。     

浅谈企业内部网络安全威胁与防范

在企业内部网络安全防范时,由于对内部威胁认识不足,所采取的安全防范措施不当,导致了内部网络安全事故逐年上升。在制定企业网络安全防范策略时,首先需要对企业内部网络安全威胁有深刻地认识。本文分析了企业内部网络安全威胁的主要因素,介绍了目前企业内部网络安全防范的主要手段,重点探讨了企业内部网络安全防范的应对措施。     

内部威胁发现检测方法研究综述

组织内部网络不仅面临着外部攻击者的威胁,同时也面临以破坏组织网络结构、内部信息资料窃取以及各种诈骗手段为主的内部威胁。内部威胁因为其多元化、伪装性强等特点,对组织机构内部造成了严重影响,因此对于内部威胁发现检测方法的研究变得非常有必要。本文首先对内部威胁进行了描述,重点针对内部威胁发现检测方法的现实意义进行了论述。同时将现有的内部威胁发现检测方法分为3类：基于异常行为的检测方法、基于审计日志异常的检测方法和其他检测方法,分别介绍了现有3类方法的研究现状,并对它们的研究进展进行了总结、归纳和分析。最后对内部威胁发现检测方法的未来研究方向进行了展望。     

基于LSTM-Attention的内部威胁检测模型

信息被内部人员非法泄露、复制、篡改,会给政府、企业造成巨大的经济损失。为了防止信息被内部人员非法窃取,文章提出一种基于LSTM-Attention的内部威胁检测模型ITDBLA。首先,提取用户的行为序列、用户行为特征、角色行为特征和心理数据描述用户的日常活动;其次,使用长短期记忆网络和注意力机制学习用户的行为模式,并计算真实行为与预测行为之间的偏差;最后,使用多层感知机根据该偏差进行综合决策,从而识别异常行为。在CERT内部威胁数据集上进行实验,实验结果表明,ITDBLA模型的AUC分数达0.964,具有较强的学习用户活动模式和检测异常行为的能力。     

用户画像技术在产品营销中的应用

随着人工智能和大数据技术的不断发展,对信息的获取方式也在发生着变化,消费者希望用最少的时间成本获取尽量多的商品信息。如何在产品的营销过程中实现对目标用户的精准定位,基于用户画像技术的推荐系统就是目前所采用的有效方法之一。本文对互联网环境下在产品的推广和营销过程中如何利用用户画像技术,有针对性地选择推荐系统算法进行了探讨和研究。     

内部威胁检测研究

近年来,以系统破坏、信息窃取以及电子欺诈为主的内部攻击因为隐蔽性强、破坏性大的特点对个人与企业,甚至国家安全造成了严重威胁。因此十分有必要关注内部威胁已有的研究成果与发展趋势。本文分析了内部威胁的特征,提出基于信任理论的形式化定义。同时将当前内部威胁研究热点归结为内部威胁模型研究、主观要素研究、客观要素研究及其它研究四个领域,分别介绍各个领域的研究状况,并对每个领域的研究进展进行归纳和分析。通过分析内部威胁已有案例以及当前研究进展,针对现有研究不足提出新型内部威胁检测系统,并展望未来的关键技术。     

基于键盘行为进行用户识别的方法与应用

基于键盘行为的已有研究大多限制在实验环境下,并限定用户的输入为特定字符串,或只在有限实验参与者中进行识别,从而导致其无法应用在真实的环境中。为了克服已有研究的局限,解决真实环境中正负样本不均衡和负样本缺失的问题,对真实环境下一千万条用户击键行为进行分析,提出了一种基于键盘行为进行用户识别的方法。该方法使用击键持续时间和击键间隔时间描述用户的击键行为,通过实验选择马氏距离进行用户击键行为相似度的对比,并对未知击键行为进行预测。实验结果表明,该方法可获得80%的预测准确率。     

基于运行时验证的无人飞行系统安全威胁检测方法

无人飞行系统（Unmanned Aerial Systems,UAS）的软、硬件存在缺陷以及遇到外部恶意攻击,会给UAS的安全性带来极大威胁.由于UAS的运行环境复杂多变,很多因素在开发过程中难以准确预测,因此研究有效的运行时安全保证机制具有重要意义.本文提出一种基于运行时验证的UAS安全威胁检测方法.首先对UAS可能遇到的多种安全威胁进行分析并采用离散时间时序逻辑进行描述,提出相应的UAS-DL语言描述安全监控规约;然后基于交错自动机提出了自动生成安全威胁监控器的算法,并利用参数化方法实现对多UAS的安全监控.为了提高检测的准确性,进一步研究了将运行时验证和贝叶斯网络推断结合的方法.采用实际的UAS开发仿真平台Ardupilot进行了实验,并设计了将监控器独立部署在FPGA硬件上的方法,避免对UAS计算资源的过多占用.实验结果表明上述方法能够有效检测UAS的安全威胁.     

基于GAN-LSTM的APT攻击检测

高级持续性威胁(Advanced Persistent Threat,APT)带来的危害日趋严重。传统的APT检测方法针对的攻击模式比较单一,处理的APT攻击的时间跨度相对较短,没有完全体现出APT攻击的时间序列性,因此当攻击数据样本较少、攻击持续时间较长时准确率很低。为了解决这个问题,文中提出了基于生成式对抗网络(Generative Adversarial Netwokrs,GAN)和长短期记忆网络(Long Short-term Memory,LSTM)的APT攻击检测方法。一方面,基于GAN模拟生成攻击数据,为判别模型生成大量攻击样本,从而提升模型的准确率;另一方面,基于LSTM模型的记忆单元和门结构保证了APT攻击序列中存在相关性且时间间距较大的序列片段之间的特征记忆。利用Keras开源框架进行模型的构建与训练,以准确率、误报率、ROC曲线等技术指标,对攻击数据生成和APT攻击序列检测分别进行对比实验分析。通过生成式模型生成模拟攻击数据进而优化判别式模型,使得原有判别模型的准确率提升了2.84%,与基于循环神经网络(Recurrent Neural Network,RNN)的APT攻击序列检测方法相比,文中方法在检测准确率上提高了0.99个百分点。实验结果充分说明了基于GAN-LSTM的APT攻击检测算法可以通过引入生成式模型来提升样本容量,从而提高判别模型的准确率并减少误报率;同时,相较于其他时序结构,利用LSTM模型检测APT攻击序列有更好的准确率和更低的误报率,从而验证了所提方法的可行性和有效性。     

User expertise in contemporary information systems: Conceptualization,measurement and application

The development of user expertise is a strategic imperative for organizations in hyper-competitive markets. This paper conceptualizes opreationalises and validates user expertise in contemporary Information Systems (IS) as a formative, multidimensional index. Such a validated and widely accepted index would facilitate progression of past research on user competence and efficacy of IS to complex contemporary IS, while at the same time providing a benchmark for organizations to track their user expertise. The validation involved three separate studies, including exploratory and confirmatory phases, using data from 244 respondents.     

基于保密和安全考虑的数据库综合应用方案

在传统的C/S架构基础上综合系统设计、数据库和应用程序部署、用户权限管理,提出一种兼顾数据共享、交互、输入输出和数据保密性、安全性的综合解决方案,并分析了该方案的优缺点和适用范围。     

新型工业控制系统勒索蠕虫威胁与防御

工业控制系统（ICS）的大规模攻击对于电力生产、输配电、石油化工、水处理和传输等涉及国计民生的关键基础设施是一个巨大的威胁,目前提出的针对ICS的勒索蠕虫受限于工控网络隔离的特性,难以大规模传播。基于观察到的ICS实际开发场景,针对ICS高度隔离化的问题,提出一种基于新的攻击路径的勒索蠕虫威胁模型。此威胁模型首先将工程师站作为初次感染目标,然后以工程师站作为跳板,对处于内部网络的工业控制设备进行攻击,最后实现蠕虫式感染和勒索。基于此威胁模型,实现了ICSGhost——一种勒索蠕虫原型。在封闭的实验环境中,ICSGhost能够以预设的攻击路径对ICS进行蠕虫式感染;同时,针对该勒索蠕虫威胁,讨论了防御方案。实验结果表明此种威胁切实存在,并且由于其传播路径基于ICS实际的开发场景,较难检测和防范。     

主题兴趣度提取方法及其在用户兴趣模型中的应用研究

用户兴趣模型能够极大的提高用户利用互联网的效率。目前的兴趣模型表示方法大多只包含不同兴趣主题的内容信息,而没有对不同兴趣主题之间进行一定的重要程度区分。在传统的VSM(Vector Space Model)向量中引入了兴趣度因子,进一步提出了主题兴趣度的概念并对主题兴趣度的提取方法进行了详细描述。实验结果表明,通过该方法建立的兴趣模型,能够较好的区分用户的不同兴趣,更加符合实际。     

基于Shell命令和DTMC模型的用户行为异常检测新方法

提出一种新的基于离散时间Markov链模型的用户行为异常检测方法,主要用于以shell命令为审计数据的入侵检测系统。该方法在训练阶段充分考虑了用户行为复杂多变的特点和审计数据的短时相关性,将shell命令序列作为基本数据处理单元,依据其出现频率利用阶梯式的数据归并方法来确定Markov链的状态,同现有方法相比提高了用户行为轮廓描述的准确性和对用户行为变化的适应性,并且大幅度减少了状态个数,节约了存储成本。在检测阶段,针对检测实时性和准确度需求,通过计算状态序列的出现概率分析用户行为异常程度,并提供了基于固定窗长度和可变窗长度的两种均值滤噪处理及行为判决方案。实验表明,该方法具有很高的检测性能,其可操作性也优于同类方法。