[发明专利]基于跨域行为分析的内部威胁检测方法

说明书

本发明涉及信息安全建设/网络安全技术领域，特别涉及一种基于跨域行为分析的内部威胁检测方法，包括：提取并统计各个检测域内的用户多域行为描述向量，并将所有用户的用户多域行为描述向量组成用户多域行为描述矩阵；从用户多域行为描述矩阵中提取用户跨域行为特征矩阵和基模式矩阵；分析用户跨域行为，确定嫌疑人并选取嫌疑人的对等用户组；通过分析嫌疑人和嫌疑人对等用户组的行为来最终确定内部攻击者；本发明在分析用户跨域行为特征的基础之上，并充分利用用户背景信息，解决了现有技术在内部威胁检测过程中，由于未考虑用户所处系统条件或者背景属性的变化所引起的用户行为的正常变化而造成的漏报或者误报，提高了威胁检测的准确率。

技术领域

本发明涉及信息安全建设/网络安全技术领域，特别涉及一种基于跨域行为分析的内部威胁检测方法。

背景技术

近期许多安全事故中，内部用户攻击已经成为主要原因之一。内部用户通常是企业或政府的雇员、承包商、商业合作方以及第三方服务提供方等。内部威胁危害较外部威胁更大，因为内部攻击者熟悉组织运作，甚至可接触组织的重要资产。另外，内部攻击者处于安全边界内部，可在一定程度上躲避传统外部安全设备的检测，并且其恶意行为数据通常隐藏在大量的正常数据中，增大了检测难度。存在于计算机系统中的各种用户审计日志是分析用户行为的关键，本发明中将用于内部威胁检测的各种用户审计日志称为检测域，如登录域、文件操作域等。

目前研究者提出了很多内部威胁检测方法，这些方法通常只分析用户在某个检测域内的行为模式，然后基于这个行为模式来识别恶意行为。又或者融合各检测域内的检测结果，如Maloof等人(Maloof M A,Stephens G D.elicit:A System for DetectingInsiders Who Violate Need-to-Know[C]//International Conference on RecentAdvances in Intrusion Detection.Springer-Verlag,2007:146-166.)提出的一种通过融合用户各单域行为检测结果来进行内部威胁检测的方法。然而，针对有技巧的内部攻击者，他们将攻击行为巧妙的分解为多个步骤，而且每个步骤都被伪装成正常行为，这样各域独立检测将不易发现其恶意行为。这类内部攻击被称为复合攻击，针对复合攻击的检测方法主要集中基于对主机和网络安全缺陷分析来计算复合攻击路径，如Chen等人(Chen X J,Fang B X,Tan Q F,et al.Inferring attack intent of malicious insider based onprobabilistic attack graph model[J].Chinese Journal of Computers,2014.)提出的基于概率攻击图的内部攻击意图推断方法。另外Wen等人(Yu W,Wang W P,Dan M.MiningUser Cross-Domain Behavior Patterns for Insider Threat Detection[J].ChineseJournal of Computers,2016.)提出了一种通过分析用户跨域行为来检测复合攻击的方法，但其仅仅分析了用户的行为数据，没有考虑系统条件或用户背景属性的变化所带来的用户行为模式的变化。

发明内容

为了提高威胁检测的准确率，本发明提出一种基于跨域行为分析的内部威胁检测方法，包括：

基于跨域行为分析的内部威胁检测方法，其特征在于，包括：

S1、提取并统计各个检测域内的用户行为特征，并根据用户行为特征来构建用户多域行为描述向量，并将所有用户的用户多域行为描述向量组成用户多域行为描述矩阵；

S2、从用户多域行为描述矩阵中提取用户跨域行为特征矩阵和基模式矩阵；

S3、根据用户跨域行为特征矩阵分析用户跨域行为，确定嫌疑人并选取嫌疑人的对等用户组；

S4、通过分析嫌疑人的行为和嫌疑人对等用户组的行为来最终确定内部攻击者。