一种基于角色的内部威胁检测方法.pdfVIP

一种基于角色的内部威胁检测方法‘ 孙诚，姚丹霖 国防科学技术大学计算机学院410073 sunchen9123@sina．com 摘要：相比于来自因特网的威胁，信息系统的内部威胁有很多不同之处并且处理起来更为困难。本文首 先给出了内部威胁的定义以及一些显著的特点。在借鉴基于角色的访问控制RBAC思想的同时。提出 了一种基于角色的内部威胁检测方法。该方法能够将与角色正常行为不相符的内部人员不当行为检测 出来。 关键词：信息安全，威胁检测，内部威胁，基于角色 ARole-BasedforInsiderThreatDetection Approach SUN DanLin Cheng，YAO Schoolof ScienceNational ofDefense 410073 Computer University Technology sunchen9123@sina．tom thethreat threattoinformationhasalotofdifferencesand ben如佗 throughInternet．insider systems Abstract：Comp蒯with may to ofinsiderthreat difficultdealwith．At definition is characteristics first，the glven，and∞腓remarkablea阳presented．Then，a role—based ofwhich detectinsiderthreat，theidea approachisproposedto beaware andincorrect a弛notallowablein of． approach，insidersmaliciousbehavio璐，which roles，can corresponding words：informationdetection，insiderthreat，role—based Key security，threat 1 引言 网络的普遍使用给企业组织带来巨大便利的同时，也给信息安全带来了前所未有的威胁。随着对信息 威胁的研究深入，内部威胁这一看似新颖实际上却已长期存在的问题逐渐引起了人们的重视。美国CERT 组织的调查显示，内部威胁出现在了社会上各个不同类型的企业组织，通常都带来相当大的损失，并且出现 频率呈逐年上升的趋势…。在美国CSI组织公布的“计算机犯罪和安全调查2007”中，内部人员随意连接网 络超过了病毒事件一跃成为企业组织面临的最普遍的安全问题悼J。内部威胁的危害性促使我们必须正视 这个问题，并且积极地寻求应对方法。 本文首先分析总结了内部威胁的概念和特点，然后提出了一种基于角色的内部威胁检测模型。通过建 立起角色的行为规范和行为习惯，综合运用误用检测和模式检测的手段，能够发现大规模信息系统中实时 出现和长期隐藏的内部威胁。 2内部威胁 2．1 内部威胁的概念 目前内部威胁还没有一个统一的定义。一般而言，内部威胁是信息系统的内部人员(合法用户)利用对