内部威胁检测中用户行为模式画像方法研究

doi:10.11959/j.issn.1000-436x.2018282

通信学报 ›› 2018, Vol. 39 ›› Issue (12): 141-150.doi: 10.11959/j.issn.1000-436x.2018282

内部威胁检测中用户行为模式画像方法研究

郭渊博¹,刘春辉^1,²,孔菁¹,王一丰¹

¹ 中国人民解放军战略支援部队信息工程大学密码工程学院，河南郑州 450001
² 中国人民解放军61213部队，山西临汾 041000

修回日期:2018-07-26 出版日期:2018-12-01 发布日期:2019-01-21
作者简介:郭渊博（1975?），男，陕西周至人，博士，中国人民解放军战略支援部队信息工程大学教授、博士生导师，主要研究方向为大数据安全、态势感知。|刘春辉（1990?），男，山东安丘人，解放军61213部队助理工程师，中国人民解放军战略支援部队信息工程大学硕士生，主要研究方向为网络安全、用户画像。|孔菁（1993?），女，辽宁营口人，中国人民解放军战略支援部队信息工程大学硕士生，主要研究方向为网络安全、异常检测。|王一丰（1994?），男，江苏泰兴人，中国人民解放军战略支援部队信息工程大学硕士生，主要研究方向为多步网络安全、深度学习。
基金资助:
国家自然科学基金资助项目(No.61602515);国家自然科学基金资助项目(No.61501515)

Study on user behavior profiling in insider threat detection

Yuanbo GUO¹,Chunhui LIU^1,²,Jing KONG¹,Yifeng WANG¹

¹ Cryptography Engineering Institute, Information Engineering University, Zhengzhou 450001, China
² Unit 61213 of The Chinese People's Liberation Army, Linfen 041000, China

Revised:2018-07-26 Online:2018-12-01 Published:2019-01-21
Supported by:
The National Natural Science Foundation of China(No.61602515);The National Natural Science Foundation of China(No.61501515)

摘要/Abstract

摘要：

行为画像技术利用无标注历史数据构建用户行为“常态”，是检测企业内部威胁的有效手段。当前标签式画像方法依赖人工提取特征，多用简单统计方法处理数据，导致用户画像模型缺少细节、不够全面。提出了一种行为特征自动提取和局部全细节行为画像方法，以及一种行为序列划分和全局业务状态转移预测方法，能够较全面地刻画用户行为模式。构建了一个基于行为画像的内部威胁检测框架，将局部描写与全局预测相结合，提高了检测准确率。最后用CMU-CERT数据集进行了实验，AUC（area under curve）得分0.88,F1得分0.925，可有效应用于内部威胁检测过程中。

关键词: 行为序列, 画像提取, 内部威胁, 隐马尔可夫模型

Abstract:

Behavior profiling technic using no-labeled historical data to build normal behavior model is an effective way to detect insider attackers. The state-of-the-art labeled profile methods extract features artificially and process data by simple statistical methods, whose incomplete behavior model lacks details. An automated feature extracting and full-detail behavior profiling method as well as a behavior sequence splitting and business state transition predicting way was proposed. Combining above two methods, an insider threats detection framework was established, which improved detection accuracy. Experimenting with CMU-CERT data set, AUC (area under curve) score was 0.88 and F1 score was 0.925. With the better performance, it can be used in detecting insider threats.

Key words: behavior sequence, profiling extraction, insider threat, hidden Markov model

中图分类号:

TP391

郭渊博,刘春辉,孔菁,王一丰. 内部威胁检测中用户行为模式画像方法研究[J]. 通信学报, 2018, 39(12): 141-150.

Yuanbo GUO,Chunhui LIU,Jing KONG,Yifeng WANG. Study on user behavior profiling in insider threat detection[J]. Journal on Communications, 2018, 39(12): 141-150.

图/表 12

图1

图2

图3

表1

图4

表2

表3

图5

图6

表4

图7

表5

参考文献 14

[1]	BAKER W , HYLENDER A , PAMULA C D , et al. 2017 data breach investigations report[R]. Verizon RISK Team, 2017: 49.
[2]	SCULZE H . Insider threat spotlight report 2018[R]. Crowd Research Partners, 2018.
[3]	杨光，马建刚，于爱民，等. 内部威胁检测研究[J]. 信息安全学报， 2016(3): 21-36.
	YANG G , MA J G , YU A M , et al. Survey of insider threat detection[J]. Journal of Cyber Security, 2016(3): 21-36.
[4]	NURSE J R C , BUCKLEY O , LEGG P A , et al. Understanding insider threat: A framework for characterizing attacks[C]// Security and Privacy Workshops (SPW), 2014: 214-228.
[5]	LEGG P A , BUCKLEY O , GOLDSMITH M , et al. Automated insider threat detection system using user and role-based profile assessment[J]. IEEE Systems Journal, 2015.
[6]	RASHID T , AGRAFIOTIS I , NURSE J R . A new take on detecting insider threats: exploring the use of hidden markov models[C]// The 2016 International Workshop on Managing Insider Security Threats. 2016: 47-56.
[7]	GAMACHCHI A , SUN L , BOZTAS S . Graph based framework for malicious insider threat detection[C]// The 50th Hawaii International Conference on System Science. 2017: 2638-2647.
[8]	GAVAI G , SRICHARAN K , GUNNING D , et al. Supervised and unsupervised methods to detect insider threat from enterprise social and online activity data[J]. JOWUA, 2015,6(4): 47-63.
[9]	PARVEEN P . Evolving insider threat detection using stream analytics and big data[M]. The University of Texas at Dallas, 2013.
[10]	LIU A , MARTIN C , HETHERINGTON T , et al. A comparison of system call feature representations for insider threat detection[C]// Information Assurance Workshop, Proceedings from the Sixth Annual IEEE SMC. 2005: 340-347.
[11]	AGRAFIOTIS I , LEGG P A , GOLDSMITH M , et al. Towards a user and role-based sequential behavioral analysis tool for insider threat detection[J]. J. Internet Serv. Inf. Secur., 2014,4(4): 127-137.
[12]	周敬才，胡华平，岳虹 . 基于 Lucene 全文检索系统的设计与实现[J]. 计算机工程与科学， 2015,37(2): 252-256.
	ZHOU J C , HU H P , YUE H . Design and implementation of Lucene-based full-text retrieval system[J]. Computer Engineering and Science, 2015,37(2): 252-256.
[13]	周志华 . 机器学习[M]. 北京: 清华大学出版社， 2016.
	ZHOU Z H . Machine Learning[M]. Beijing: Tsinghua university press, 2016.
[14]	EDDY S R . Hidden Markov models[J]. Current Opinion in Structural biology., 1996,6(3): 361-365.

类别	包含活动	数量
登录	登入（login）、登出（logoff）	3 530 286
外设	连接（connect）、断开（disconnect）	1 551 829
邮件	发送（send）、浏览（view）	10 994 958
网页	访问（visit）、上传（upload）、下载（download）	117 025 217
文件	读（read）、写（write）、删除（delete）、复制（copy）	2 014 884

用户ID	场景	涉及记录	天数/d	恶意活动
CMP2946	文件窃取	242	29	13 E-mail、70 device、159 http
CDE1846	身份盗用	134	9	70 E-mail、46 file、18 login

真实情况		预测结果
真实情况	正例		反例
正例	TP（真正例）		FP（假正例）
反例	TN（真反例）		FN（假反例）

阈值		CMP2946			CDE1846			整体
阈值	P	R	F1	P	R	F1	P	R	F1
10×10^–2	1.000	0.846	0.916	0.999	0.746	0.854	0.999	0.805	0.892
10×10^–3	1.000	0.878	0.935	0.998	0.796	0.886	0.999	0.845	0.916
10×10^–4	1.000	0.885	0.939	0.998	0.812	0.895	0.999	0.855	0.922
10×10^–5	1.000	0.887	0.940	0.998	0.816	0.898	0.999	0.858	0.923
10×10^–6	1.000	0.888	0.941	0.998	0.819	0.900	0.999	0.860	0.9224
10×10^–7	1.000	0.888	0.941	0.998	0.819	0.900	0.999	0.860	0.925

指标	本文结果	文献[6]	文献[7]
查准率P	0.999	0.420	—
查全率R	0.860	1.000	—
F1得分	0.925	0.591	—
AUC	0.880	—	0.830

内部威胁检测中用户行为模式画像方法研究

Study on user behavior profiling in insider threat detection

在线阅读

PDF下载

可视化

摘要/Abstract

引用本文

使用本文

图/表 12

参考文献 14

相关文章 10

Metrics

推荐阅读 0

[1]	钱榕, 许建婷, 张克君, 董宏宇, 邢方远. 隐马尔可夫模型的异质网络链接预测方法研究[J]. 通信学报, 2022, 43(5): 214-225.
[2]	龙华,杨明亮,邵玉斌. 基于特征流融合的带噪语音检测算法[J]. 通信学报, 2020, 41(4): 134-142.
[3]	朱泰铭,郭渊博,琚安康,马骏. 基于业务过程挖掘的内部威胁检测系统[J]. 通信学报, 2016, 37(Z1): 180-188.
[4]	罗建桢,余顺争,蔡君. 基于最大似然概率的协议关键词长度确定方法[J]. 通信学报, 2016, 37(6): 119-128.
[5]	王昌海,张建忠,徐敬东,许昱玮. 基于HMM的动作识别结果可信度计算方法[J]. 通信学报, 2016, 37(5): 143-151.
[6]	杨晓峰,孙明明,胡雪蕾,杨静宇. 基于改进隐马尔可夫模型的网络攻击检测方法[J]. 通信学报, 2010, 31(3): 95-101.
[7]	裴庆祺,赵鹏,张红斌,王超,尹浩. 内部威胁身份鉴别系统的研究[J]. 通信学报, 2009, 30(11A): 121-126.
[8]	邬书跃,田新广. 基于隐马尔可夫模型的用户行为异常检测新方法[J]. 通信学报, 2007, 28(4): 38-43.
[9]	王春桃,倪江群,黄继武,张荣跃,罗锡璋. 基于内容自适应的优化DWT-HMM顽健图像水印算法[J]. 通信学报, 2007, 28(2): 80-87.
[10]	殷玮玮,吴乐南. 基于HMM的信源—信道迭代联合译码[J]. 通信学报, 2006, 27(7): 61-65.