内部威胁检测方法-祁佳俊.pdfVIP

BeijingForestStudio

ThenameoftheDepartment

北京理工大学信息系统及安全对抗实验中心

部门名称

内部威胁检测方法

硕士研究生祁佳俊

2021年10月24日

内容提要

•背景简介

•基本概念

•算法原理

•优劣分析

•应用总结

•参考文献

2

预期收获

•预期收获

–1.了解内部威胁检测整体架构及主要理论

–2.了解内部威胁的基本概念

–3.理解数据粒度级别的内部威胁检测方法

–4.了解内部威胁检测的实际应用及研究方向

3

背景简介

•案件1：2013年6月斯诺登“棱镜门（PRISM）”事件轰动全球。作为参与

美国涉密安全工作的一名承包商雇员，斯诺登利用其职务便利获得了对关键性

系统的访问权，随后从美国国家安全局拷贝了数十万份机密文件，并将这些资

料提供媒体记者进行发表。结果揭露了美国国家安全局与联邦调查局于2007

年就启动的一个美国有史以来最大规模的秘密监控项目。

4

背景简介

•案件2：迄今为止，特斯拉涉嫌破坏工厂的行为无疑已经窃取了2018年的内

部威胁亮点。消息是由首席执行官埃隆·马斯克(ElonMusk)泄露的一封公

司电子邮件引起的，他声称一位值得信赖的内部人士故意破坏控制汽车公司制

造流程的软件系统。现在，该员工声称他实际上是在举报有问题的制造政策，

反驳了这种说法。无论哪种方式，安全专家都在问为什么没有更好的控制措施

来防止内部人员如此恶劣地滥用他的特权。

细作、内鬼

insider（内部人）

信息系统领域

5

基本概念

基本概念

基本概念

•insider(内部人)定义：企业或组织的员工(在职或离职)，以及承包商、商业

伙伴等“合伙人”，其应当具有组织的系统、网络以及数据的访问权。

•insiderthreat(内部威胁)定义：由恶意或无意的内部人员实施的，利用其

对组织的网络、系统和数据的授权访问权限，对组织的信息或信息系统的机密

性、完整性、可用性，以及劳动力的身体健康造成的威胁或负面影响。

7

基本概念

•内部威胁具有以下特征：

–1.透明性：攻击者来自安全边界内部，因此攻击者可以躲避防火墙等外部安全设

备的检测，导致多数内部攻击对于外部安全设备具有透明性；

–2.隐蔽性：内部攻击者的恶意行为通常发生在正常工作的间隙，导致恶意行为嵌

入在大量的正常行为数据中，提高了数据挖掘分析的难度；同时内部攻击者具有

一定的组织安全防御知识，因此可以采取措施逃避安全检测。所以内部攻击者对

于安全检测具有一定的隐蔽性；

–3.高危性：内部威胁往往比外部威胁造成更严重的后果，主要因为攻击者自身具

有组织的相关