基于用戶行為和關系的內部風險分析.pdf

1、現(xiàn)今，企業(yè)和組織的日常運行和管理越來越依賴于業(yè)務操作系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)，他們的知識產(chǎn)權和商業(yè)機密等也逐漸數(shù)字化和信息化，這些敏感信息一旦保護不當，就會給企業(yè)和組織帶來災難性損失。近年來，許多重大信息安全事件均是由內部威脅所致，內部威脅是指企業(yè)內部擁有合法權限訪問系統(tǒng)和數(shù)據(jù)的員工或是商業(yè)合作伙伴等，越權或濫用權限從而破壞信息系統(tǒng)和數(shù)據(jù)的機密性、完整性和可用性的行為。因此，防范內部威脅是企業(yè)信息安全管理中關鍵且緊迫的問題。
　　針對內

2、部風險問題，企業(yè)或組織主要根據(jù)企業(yè)安全和業(yè)務需求定義安全策略，然后將安全策略封裝在信息系統(tǒng)中，并以權限的形式指派承擔相關職責的人員，部分敏感的任務還實施職責分離等安全原則，并對數(shù)據(jù)操作或系統(tǒng)操作的合規(guī)性進行審計。但是，這些技術不能有效防范擁有合法權限的內部用戶的異常行為，更不能檢測多入共謀行為。為此，本文提出了基于用戶行為和關系的異常檢測方法，分別從橫向的崗位職責關聯(lián)性和縱向的職責延續(xù)性角度，對用戶行為進行建模和異常檢測，并結合用戶關系

3、對共謀行為進行分析。主要貢獻如下:
　　針對合法用戶的異常行為檢測問題，提出了基于日志文件的用戶異常行為分析模型。首先獲取審計周期內被審計用戶的行為記錄，構建行為向量;根據(jù)相同崗位用戶行為的相關性，對審計用戶行為進行離群性分析:對于明顯偏離的用戶，分析被審計用戶當前行為和歷史行為的相似性，綜合基于歷史行為的異常變化分析，判斷該用戶在審計周期內的行為是否異常。然后，針對行為異常的用戶，采用敏感活動屏蔽方法進一步分析具體活動的異常度和

4、頻繁度，目的在于一方面方便管理人員對發(fā)生異常情況多的活動采取必要的安全措施，另一方面用于動態(tài)更新異常行為檢測模型，使其能夠根據(jù)企業(yè)需求及時更新和更有針對性。
　　提出了結合社會網(wǎng)絡信息的用戶共謀行為分析模型。通過分析共謀行為的兩個必要因素:用戶行為的異常性和一致性，提出了兩種典型的共謀問題和相應的共謀風險分析方法。針對基于角色的訪問控制系統(tǒng)中內部用戶合作參與敏感任務情況，根據(jù)日志文件中用戶的行為記錄，查找行為關聯(lián)性強的異常用戶;然