發(fā)布時間：2020-12-12 01:02

　　在網(wǎng)絡技術發(fā)展初期,各個企業(yè)、組織主要以防范來自安全邊界外部的惡意行為作為主要的防御方針,使得在信息安全領域提出了大量應對外部威脅的檢測手段和防御體系。盡管擁有這些比較成熟的防御方案,當今企業(yè)、組織甚至國家仍然面臨著來自內部的安全威脅。由于內部攻擊者熟悉內部系統(tǒng)架構,安全規(guī)則,使得他們能夠比較容易地規(guī)避系統(tǒng)防御檢測機制,導致內部攻擊難以提前預警,事后難以溯源,同時內部威脅造成的損失不亞于甚至超過外部攻擊,從而讓內部威脅成為信息安全領域的熱點研究問題。在已有的內部威脅檢測研究中,基于單一數(shù)據(jù)源的檢測方案容易被內部攻擊者所規(guī)避,并且,針對不同數(shù)據(jù)源采用不同的建模方案,增加了內部威脅檢測的實現(xiàn)難度。針對上述問題和研究背景,本文開展了對內部威脅中關于用戶異常行為檢測問題的研究,對應本文所做工作如下:（1）本文對已有的理論研究成果進行了調查,總結并歸納了內部威脅的種類、相關攻擊檢測模型以及各方研究人員使用的研究數(shù)據(jù)集,同時對本文的數(shù)據(jù)采集和預處理工作進行了闡述。（2）本文提出一種較為通用的內部威脅建模方法,該方法將用戶交互行為拆解為若干個事件序列集合,接著運用馬爾可夫聚類算法,將事件序列轉換為點... 

【文章來源】：北京交通大學北京市 211工程院校 教育部直屬院校

【文章頁數(shù)】：74 頁

【學位級別】：碩士

【部分圖文】：

內部威脅檢測框架

（２）數(shù)據(jù)庫級別內部威脅防御方法??該文中提出通過在出入內部系統(tǒng)的網(wǎng)絡數(shù)據(jù)包中加入水印，并且在邊界路由??器加入水印檢查機制，當發(fā)現(xiàn)帶有水印的數(shù)據(jù)包時，直接進行丟包處理同時向管??理員報警。另一種防御機制則是在組織系統(tǒng)內部通過虛擬機建立信任區(qū)與非信任??區(qū)（如圖２－３所示），當數(shù)據(jù)需要從信任區(qū)流向非信任區(qū)時，數(shù)據(jù)需要加上加密??的可信證書，同時信任區(qū)邊界網(wǎng)關需要檢查流出數(shù)據(jù)是否帶有可信證書，另外需??要對可信證書設置有效時間，當證書過期時，需要重新分配證書進行認證。???Ｓｅｃｕｒｅ?Ｃｈａｎｎｅｌ???Ｗｅｂ／Ａｐｐｌｉｃａｔｉｏｎ???＾??Ｓｅｒｖｅｒ??［?＾????—??１?Ｔｒｕｓｔｅｄ?Ｉ????—?Ｄａｔａ?＊?＼ｒｌ?ｊ?＿?乂，?＿??Ｄａｔａ??±??今?Ｓｅｃｕｒｉｔｙ?Ｊ＊?￣?￣?￣?ｒ?—??ｖ?￣￣??Ｓｅｒｖｅｒ?ＡｕｔｈＺ?Ｇａｔｅｗａｙ?ｔ?＊?Ｂｏｒｄｅｒ???Ｊ?Ｔｏｋｅｎｓ?……“?？…ｊ?：?Ｒｏｕｔｅｒ??Ｖｅｒｉｆｉｅｓ?Ｄａｔａ?……－??ｊ?�。颍酰螅簦澹�?＊??Ｃｒｅｄｅｎｔｉａｌｓ?？?＿?ｊ??ｒ＊?—??Ｉ．?＿?＿?＿｜￣｜—－—－－－＂－Ｊ????Ｐｒｏｔｅｃｔｅｄ?Ｔｒａｆｆｉｃ?—?＾Ｍａｒｋｏｄ＾???Ｎｏｎ－ｒｏｔｏｃｔｅｄ?Ｔｒａｆｆ．ｃｅ－ｍａｉｌ，?ｗｗｗＷｏｒｋｓｔａｔ．ｏｎ??

?：Ｋ＇－－－；＇??ＴＲＡＩＮＩＮＯ?ＰＨＡＳＥ??圖２－２數(shù)據(jù)庫級別的數(shù)據(jù)泄露檢測框架［４３】??Ｆｉｇｕｒｅ?２－２?Ｄｅｔｅｃｔｉｏｎ?ｆｒａｍｅｗｏｒｋ?ｏｆ?ｄａｔａ?ｌｅａｋ?ｏｎ?ｄａｔａｂａｓｅ?［４３】??（２）數(shù)據(jù)庫級別內部威脅防御方法??該文中提出通過在出入內部系統(tǒng)的網(wǎng)絡數(shù)據(jù)包中加入水印，并且在邊界路由??器加入水印檢查機制，當發(fā)現(xiàn)帶有水印的數(shù)據(jù)包時，直接進行丟包處理同時向管??理員報警。另一種防御機制則是在組織系統(tǒng)內部通過虛擬機建立信任區(qū)與非信任??區(qū)（如圖２－３所示），當數(shù)據(jù)需要從信任區(qū)流向非信任區(qū)時，數(shù)據(jù)需要加上加密??的可信證書，同時信任區(qū)邊界網(wǎng)關需要檢查流出數(shù)據(jù)是否帶有可信證書，另外需??要對可信證書設置有效時間，當證書過期時，需要重新分配證書進行認證。???Ｓｅｃｕｒｅ?Ｃｈａｎｎｅｌ???Ｗｅｂ／Ａｐｐｌｉｃａｔｉｏｎ???＾??Ｓｅｒｖｅｒ??［?＾????—??１?Ｔｒｕｓｔｅｄ?Ｉ????—?Ｄａｔａ?＊?＼ｒｌ?ｊ?＿?乂


本文編號：2911558