通信学报 ›› 2018, Vol. 39 ›› Issue (12): 141-150.doi: 10.11959/j.issn.1000-436x.2018282

• 学术通信 • 上一篇    下一篇

内部威胁检测中用户行为模式画像方法研究

郭渊博1,刘春辉1,2,孔菁1,王一丰1   

  1. 1 中国人民解放军战略支援部队信息工程大学密码工程学院,河南 郑州 450001
    2 中国人民解放军61213部队,山西 临汾 041000
  • 修回日期:2018-07-26 出版日期:2018-12-01 发布日期:2019-01-21
  • 作者简介:郭渊博(1975?),男,陕西周至人,博士,中国人民解放军战略支援部队信息工程大学教授、博士生导师,主要研究方向为大数据安全、态势感知。|刘春辉(1990?),男,山东安丘人,解放军61213部队助理工程师,中国人民解放军战略支援部队信息工程大学硕士生,主要研究方向为网络安全、用户画像。|孔菁(1993?),女,辽宁营口人,中国人民解放军战略支援部队信息工程大学硕士生,主要研究方向为网络安全、异常检测。|王一丰(1994?),男,江苏泰兴人,中国人民解放军战略支援部队信息工程大学硕士生,主要研究方向为多步网络安全、深度学习。
  • 基金资助:
    国家自然科学基金资助项目(No.61602515);国家自然科学基金资助项目(No.61501515)

Study on user behavior profiling in insider threat detection

Yuanbo GUO1,Chunhui LIU1,2,Jing KONG1,Yifeng WANG1   

  1. 1 Cryptography Engineering Institute, Information Engineering University, Zhengzhou 450001, China
    2 Unit 61213 of The Chinese People's Liberation Army, Linfen 041000, China
  • Revised:2018-07-26 Online:2018-12-01 Published:2019-01-21
  • Supported by:
    The National Natural Science Foundation of China(No.61602515);The National Natural Science Foundation of China(No.61501515)

摘要:

行为画像技术利用无标注历史数据构建用户行为“常态”,是检测企业内部威胁的有效手段。当前标签式画像方法依赖人工提取特征,多用简单统计方法处理数据,导致用户画像模型缺少细节、不够全面。提出了一种行为特征自动提取和局部全细节行为画像方法,以及一种行为序列划分和全局业务状态转移预测方法,能够较全面地刻画用户行为模式。构建了一个基于行为画像的内部威胁检测框架,将局部描写与全局预测相结合,提高了检测准确率。最后用CMU-CERT数据集进行了实验,AUC(area under curve)得分0.88,F1得分0.925,可有效应用于内部威胁检测过程中。

关键词: 行为序列, 画像提取, 内部威胁, 隐马尔可夫模型

Abstract:

Behavior profiling technic using no-labeled historical data to build normal behavior model is an effective way to detect insider attackers. The state-of-the-art labeled profile methods extract features artificially and process data by simple statistical methods, whose incomplete behavior model lacks details. An automated feature extracting and full-detail behavior profiling method as well as a behavior sequence splitting and business state transition predicting way was proposed. Combining above two methods, an insider threats detection framework was established, which improved detection accuracy. Experimenting with CMU-CERT data set, AUC (area under curve) score was 0.88 and F1 score was 0.925. With the better performance, it can be used in detecting insider threats.

Key words: behavior sequence, profiling extraction, insider threat, hidden Markov model

中图分类号: 

No Suggested Reading articles found!