基于用戶行為和關(guān)系的內(nèi)部風(fēng)險(xiǎn)分析.pdf

1、現(xiàn)今，企業(yè)和組織的日常運(yùn)行和管理越來越依賴于業(yè)務(wù)操作系統(tǒng)、數(shù)據(jù)庫(kù)等系統(tǒng)，他們的知識(shí)產(chǎn)權(quán)和商業(yè)機(jī)密等也逐漸數(shù)字化和信息化，這些敏感信息一旦保護(hù)不當(dāng)，就會(huì)給企業(yè)和組織帶來災(zāi)難性損失。近年來，許多重大信息安全事件均是由內(nèi)部威脅所致，內(nèi)部威脅是指企業(yè)內(nèi)部擁有合法權(quán)限訪問系統(tǒng)和數(shù)據(jù)的員工或是商業(yè)合作伙伴等，越權(quán)或?yàn)E用權(quán)限從而破壞信息系統(tǒng)和數(shù)據(jù)的機(jī)密性、完整性和可用性的行為。因此，防范內(nèi)部威脅是企業(yè)信息安全管理中關(guān)鍵且緊迫的問題。
　　針對(duì)內(nèi)

2、部風(fēng)險(xiǎn)問題，企業(yè)或組織主要根據(jù)企業(yè)安全和業(yè)務(wù)需求定義安全策略，然后將安全策略封裝在信息系統(tǒng)中，并以權(quán)限的形式指派承擔(dān)相關(guān)職責(zé)的人員，部分敏感的任務(wù)還實(shí)施職責(zé)分離等安全原則，并對(duì)數(shù)據(jù)操作或系統(tǒng)操作的合規(guī)性進(jìn)行審計(jì)。但是，這些技術(shù)不能有效防范擁有合法權(quán)限的內(nèi)部用戶的異常行為，更不能檢測(cè)多入共謀行為。為此，本文提出了基于用戶行為和關(guān)系的異常檢測(cè)方法，分別從橫向的崗位職責(zé)關(guān)聯(lián)性和縱向的職責(zé)延續(xù)性角度，對(duì)用戶行為進(jìn)行建模和異常檢測(cè)，并結(jié)合用戶關(guān)系

3、對(duì)共謀行為進(jìn)行分析。主要貢獻(xiàn)如下:
　　針對(duì)合法用戶的異常行為檢測(cè)問題，提出了基于日志文件的用戶異常行為分析模型。首先獲取審計(jì)周期內(nèi)被審計(jì)用戶的行為記錄，構(gòu)建行為向量;根據(jù)相同崗位用戶行為的相關(guān)性，對(duì)審計(jì)用戶行為進(jìn)行離群性分析:對(duì)于明顯偏離的用戶，分析被審計(jì)用戶當(dāng)前行為和歷史行為的相似性，綜合基于歷史行為的異常變化分析，判斷該用戶在審計(jì)周期內(nèi)的行為是否異常。然后，針對(duì)行為異常的用戶，采用敏感活動(dòng)屏蔽方法進(jìn)一步分析具體活動(dòng)的異常度和

4、頻繁度，目的在于一方面方便管理人員對(duì)發(fā)生異常情況多的活動(dòng)采取必要的安全措施，另一方面用于動(dòng)態(tài)更新異常行為檢測(cè)模型，使其能夠根據(jù)企業(yè)需求及時(shí)更新和更有針對(duì)性。
　　提出了結(jié)合社會(huì)網(wǎng)絡(luò)信息的用戶共謀行為分析模型。通過分析共謀行為的兩個(gè)必要因素:用戶行為的異常性和一致性，提出了兩種典型的共謀問題和相應(yīng)的共謀風(fēng)險(xiǎn)分析方法。針對(duì)基于角色的訪問控制系統(tǒng)中內(nèi)部用戶合作參與敏感任務(wù)情況，根據(jù)日志文件中用戶的行為記錄，查找行為關(guān)聯(lián)性強(qiáng)的異常用戶;然