两步内部用户威胁活动识别和分析策略

作者:范艺璇; 阚秀*; 曹乐; 王夏霖
来源:小型微型计算机系统, 2023, 44(06): 1266-1273.
DOI:10.20009/j.cnki.21-1106/tp.2021-0789

摘要

由于内部人员具有访问组织内部资源的权限,其行为出现漏洞或故意威胁所产生的影响对组织而言可能是巨大的损失.因此,内部人员威胁行为研究对保障系统安全具有重要价值.针对大量内部威胁行为的具体识别,本文提出了一种两步用户威胁行为活动分析识别策略.首先,利用粒子群优化(Particle Swarm Optimization, PSO)算法优化具有噪声的基于密度的聚类方法(Density-Based Spatial Clustering of Applications with Noise, DBSCAN)来实现对偏离正常模式的离群点的精准查找.第2步,建立多特征权重联合评估策略,基于上一步的离群点分析结果,采用多指标评价方法实现对用户威胁行为的识别.实验结果表明,所提PSO-DBSCAN算法能更好地缩减初步离群点,并在特征约简后行为活动识别准确率最高达到99.58%,对威胁活动的识别具有有效性.

全文