10.7544/issn1000-1239.2021.20200902
一种无监督的窃密攻击及时发现方法
近年来,窃密攻击成为了最严重的网络安全威胁之一.除了恶意软件,人也可以成为窃密攻击的实施主体,尤其是组织或企业的内部人员.由人实施的窃密很少留下明显的异常痕迹,给真实场景中攻击的及时发现和窃密操作的分析还原带来了挑战.提出了一个方法,将每个用户视为独立的主体,通过对比用户当前行为事件与其历史正常行为的偏差检测异常,以会话为单元的检测实现了攻击发现的及时性,采用无监督算法避免了对大量带标签数据的依赖,更能适用于真实场景.对算法检测为异常的会话,进一步提出事件链构建方法,一方面还原具体窃密操作,另一方面通过与窃密攻击模式对比,更精确地判断攻击.在卡内基梅隆大学的CERT内部威胁数据集上进行了实验,结果达到99%以上的准确率,且可以做到无漏报、低误报,证明了方法的有效性和优越性.
窃密攻击发现、用户事件、内部威胁检测、无监督算法、聚类、事件链
58
TP391(计算技术、计算机技术)
国家自然科学基金;中国科学院青年创新促进会项目;中国科学院战略性先导科技专项;中国科学院重点实验室开放基金
2021-07-01(万方平台首次上网日期,不代表论文的发表时间)
共11页
995-1005
