基于业务过程挖掘的内部威胁检测系统

摘要

当前的入侵检测系统更多针对的是外部攻击者,但有时内部人员也会给机构或组织的信息安全带来巨大危害。现有的内部威胁检测方法通常未将人员行为和业务活动进行结合,威胁检测率有待提升。从内部威胁的实施方和威胁对系统业务的影响这2个方面着手,提出基于业务过程挖掘的内部威胁检测系统模型。首先通过对训练日志的挖掘建立系统业务活动的正常控制流模型和各业务执行者的正常行为轮廓,然后在系统运行过程中将执行者的实际操作行为与预建立的正常行为轮廓进行对比,并加以业务过程的控制流异常检测和性能异常检测,以发现内部威胁。对各种异常行为进行了定义并给出了相应的检测算法,并基于Pro M平台进行实验,结果证明了所设计系统的有效性。