CN110138763A - 一种基于动态web浏览行为的内部威胁检测***及方法 - Google Patents

一种基于动态web浏览行为的内部威胁检测***及方法 Download PDF

Info

Publication number
CN110138763A
CN110138763A CN201910384493.6A CN201910384493A CN110138763A CN 110138763 A CN110138763 A CN 110138763A CN 201910384493 A CN201910384493 A CN 201910384493A CN 110138763 A CN110138763 A CN 110138763A
Authority
CN
China
Prior art keywords
user
behavior
data
browsing
user group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910384493.6A
Other languages
English (en)
Other versions
CN110138763B (zh
Inventor
于爱民
王佳荣
蔡利君
孟丹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201910384493.6A priority Critical patent/CN110138763B/zh
Publication of CN110138763A publication Critical patent/CN110138763A/zh
Application granted granted Critical
Publication of CN110138763B publication Critical patent/CN110138763B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种基于动态web浏览行为的内部威胁检测***及方法,由5个模块组成:组织或者企业内用户主机web浏览数据的采集模块、数据预处理和存储模块、个人用户行为异常检测模块、用户组行为异常检测模块、信息融合和内部威胁检测结果输出模块。该***通过对组织或者企业内用户web浏览数据的收集、数据的过滤和去噪、个人用户web浏览行为动态性建模和异常检测、用户组行为相对一致性建模和异常检测、信息融合和检测结果输出5个过程实现,使该***具有较高的内部威胁检测率和较低的误报率。此外,该***通过图聚类算法自动发现组织或者企业内的用户组关系,提高了***的智能性,减少了人工标注用户组的工作量。

Description

一种基于动态web浏览行为的内部威胁检测***及方法
技术领域
本发明涉及一种基于动态web浏览行为的内部威胁检测***及方法,属于信息安全 技术领域。
背景技术
内部威胁是恶意的内部用户利用自己的特权访问组织的网络、***和数据,并且破 坏组织信息的机密性、完整性和可用性[1]。检测内部威胁是实现组织全面保护的首要任 务。恶意的内部用户分为伪装者和背叛者[11]。伪装者通过窃取的证书登录合法用户的账号来执行恶意操作,而背叛者是利用自己的账号来执行恶意行为。无论伪装者或者背 叛者,恶意或不寻常的行为都将偏离正常的行为模式。因此,大量的研究通过发展异常 检测技术来阻止和检测内部威胁。根据采用的数据源,基于异常的内部威胁检测技术可 以被分为两类:基于主机和基于网络。基于主机的方法广泛应用于伪装者检测,主要通 过主机程序;例如UNIX命令、键盘和鼠标动态用来建模用户操作意图进而识别是否是 正常用户。另一方面,基于网络的方法采用网络核心设备例如交换机、路由器和防火墙 收集的网络流量,或者使用服务器例如代理、邮件和VPN服务器产生的日志来检测恶 意的应用层的威胁。
传统的网络行为异常检测方法通过从网络流中提取一系列特征,例如IP协议、网络包的数量、连接时长和每个网络包的字节大小,输入监督或非监督机器学习算法[2-5]。然而此类方法多用于检测由僵尸网络、DDOS和恶意软件引起的机器产生的异常,并不 是针对用户操作产生的浏览行为异常。除此之外,为了阻止数据窃取或金融诈骗,基于 图的算法应用于检测异常的邮件通信[6]。通过不同用户之间的邮件通信构成的邮件通信 图中学习正常的通信模式(图子结构),当一条测试的通信与正常模式不一致时,异常 检测***发出异常告警。然而,此类方法中个人用户的行为没有被独立的分析。进一步, 一些方法结合分析了多种类型的网络日志[7-10],这些方法通常从不同的网络日志(例 如代理、VPN和DHCP日志)中抽取一系列的特征,然后输入机器学习或者深度学习框 架。然而,此类方法需要依赖于领域专家的经验进行特征工程,并且当恶意的行为出现 了未知的形式时,此类方法失效。
Web浏览行为建模方法多用于用户个性化推荐***,主要通过浏览的页面内容[13] 或者输入的文本[14]来建立用户的兴趣爱好等模型。然而在网络安全和内部威胁领域, web浏览行为建模方法却很少被研究。仅有少量的工作建模web浏览行为进行用户识别。 [15]通过页面访问频率和页面浏览时间建立4个用户模型,选择访问频率最高的N个域名来特征化用户向量。[16]通过基于support和基于lift的方法选择N个浏览模式来特 征化用户向量。然而,以上两种方法通过固定的用户浏览模式建模用户行为,忽略了用 户浏览行为的动态变化性。
组织或者企业内部,用户需要在线检索信息或者使用在线办公***来完成工作任务, 用户web浏览行为的高频性为内部威胁检测提供了途径。然而已有的少量的面向用户行 为识别的web浏览行为分析方法忽略了用户浏览行为的动态变化性和相同工作组内用户行为的相对一致性,导致了用户行为异常检测的高误报率。
[1]Costa D.L.,Albrethsen M.J.,Collins M.L.,et al.:An insider threatindicator on-tology. TECHNICAL REPORT CMU/SEI.Pittsburgh,PA:SEI,Tech.Rep.,2016.
[2]Gu G.:Botsni_er:Detecting botnet command and control channels innetwork traffic. Annual Network and Distributed System SecuritySymposium.2008.
[3]Strayer W.T.,Walsh R.,Livadas C.,et al.:Detecting botnets withtight command and control.IEEE Conference on Local Computer Networks.IEEE,2006.
[4]Strayer W.T.,Lapsely D.,Walsh R.,et al.:Botnet detection based onnetwork behavior. Botnet Detection.Springer,2008,pp.1-24.
[5]Al-Bataineh A.and White G.:Analysis and detection of maliciousdata exfiltration in web traffic.Malicious and Unwanted Software(MALWARE).IEEE,2012.
[6]Eberle W.,Graves J.,and Holder L.:Insider threat detection using agraph-based approach.Journal of Applied Security Research,vol.6,no.1,pp.32{81,2010.
[7]Yen T.F.:Beehive:Large-scale log analysis for detecting suspiciousactivity in enterprise networks.Annual Computer Security ApplicationsConference.2013.
[8]Ted E.,Goldberg H.G.,Memory A.,et al.:Detecting insider threats ina real corporate database of computer usage activity.19th ACM SIGKDD,2013.
[9]Young W.T.,Goldberg H.G.,et al.:Use of domain knowledge to detectinsider threats in computer activities.Security and Privacy Workshops(SPW).2013.
[10]Tuor A.:Deep learning for unsupervised insider threat detectionin structured cybersecurity data streams.AI for Cybersecurity Workshop atAAAI,2017.
[11]Salem M B,Hershkop S,Stolfo S J.A Survey of Insider AttackDetection Research. 2008.
[12]M.Pavan and M.Pelillo,“A new graph-theoretic approach toclustering and segmentation,”Proc.2003IEEE Comput.Soc.Conf.Comput.Vis.PatternRecognit.-CVPR’03, vol.1,pp.I-145-I-152,2003.
[13]Hawalah A.,Fasli M.:Dynamic user pro_les for webpersonalisation.Expert Systems with Applications,vol.42,no.5,pp.2547-2569,2015.
[14]Radinsky K.,Svore K.,Dumais S.,et al.:Modeling and predictingbehavioral dynamics on the web.Proc of the International Conference on WorldWide Web.2012.
[15]Yang Y.:Web user behavioral pro_ling for useridentification.Decision Support Systems, vol.49,no.3,pp.261-271,2010.
[16]Fan X.,Chow K.,Xu F.,et al.:Web User Pro_ling Based on BrowsingBehavior Analysis. Advances in Digital Forensics X.Springer,2014.
发明内容
本发明技术解决问题:克服现有技术的不足,提供一种基于动态web浏览行为的内部威胁检测***及方法,综合考虑用户web浏览行为的动态性和用户组行为的一致性, 提高了该***检测的准确率,降低了***检测的误报率;此外,该***通过图聚类算法 自动发现组织或者企业内的用户组关系,提高了***的智能性,减少了人工标注用户组 的工作量。
本发明技术解决方案:一种基于动态web浏览行为的内部威胁检测***,如图1所示,包括数据收集和异常检测,异常检测负责数据收集所传递数据的后端解析及分析工作,数据收集包括组织或者企业内用户主机web浏览数据的采集模块、数据预处理和存 储模块。异常检测分析收集的用户浏览行为数据包括个人用户行为异常检测模块、用户 组行为异常检测模块、信息融合和内部威胁检测结果输出模块。其中上述各模块实现如 下:
Web浏览数据采集模块:在组织或者企业内需要监控的、重要人员的主机上部署审计节点,用来采集主机的web浏览数据,采集通过浏览器访问的在线资源或***;
数据预处理和存储模块:通过审计节点采集的web浏览原始数据发送到服务器,并将数据存储到服务器的数据库中,由于原始数据包含重复审计的冗余数据和数据字段不完整的不完整数据,需要对数据进行过滤,提取出有效的数据,并将预处理之后的有效 数据再次存储到数据库中,以便异常检测进行数据分析;
个人用户行为异常检测模块:在组织或者企业内部,用户的工作任务和兴趣爱好随 着时间的变化是动态改变的,通过从服务器的数据库中抽取个人web浏览数据,利用幂分布建立个人用户正常的行为改变模型,根据个人用户浏览行为的改变偏离幂分布的程度评估个人用户行为的异常程度,即异常得分;
用户组行为异常检测模块:由于在组织或者企业内部同一个用户组执行相似的工作 任务或相同的项目,使得个人用户与该用户组中的其他用户的行为或行为的改变具有相 对一致性,因此根据用户浏览行为与用户组中其他用户行为的偏离程度评估用户在用户 组行为中的异常程度,即异常得分;同时该模块建立了组织或者企业内用户关系网络并利用图聚类方法实现了用户组关系的自动抽取,减少了人工标注用户组的工作量;
信息融合模块:由于组织或者企业内用户的行为既具有个人的动态变化性也具有用 户组的行为相对一致性,因此利用权重的线性模型融合个人用户行为和用户组行为。通过结合个人用户行为的异常程度和用户组行为的异常程度来综合考虑用户行为的异常,能够提高检测的准确率和降低检测的误报率,对于最终融合的异常得分,通过设定的阈 值判定并输出检测到的内部威胁。
所述Web浏览数据采集模块实现步骤如下:
(1)在组织或者企业内需要监控的、重要人员的主机上部署审计节点;
(2)审计节点实时采集该主机上用户通过浏览器访问的在线资源或***,审计的数据字段包括访问时间和域名;
(3)将审计的web浏览原始数据实时发送到服务器。
所述数据预处理和存储模块实现步骤如下:
(1)将审计节点实时发送的web浏览原始数据存储到服务器的数据库中;
(2)由于审计节点可能多次发送同一条浏览数据,因此对于重复的冗余数据进行过滤。对于相同访问时间点的浏览数据,只保留一条数据记录,删除其余的数据记录。
(3)删除原始数据中域名字段缺失的不完整数据;
(4)将每个用户的浏览数据按时间排序;
(5)将排序后的有效数据再次存储到数据库中,以便异常检测进行数据分析。
所述个人用户行为异常检测模块实现步骤如下:
(1)从数据库中提取待分析的个人用户的预处理之后的web浏览数据;
(2)预设定一天为一个时间段,将该用户所有时间段的浏览数据中的域名字段按时间先后编号,不同的域名对应不同的编号。
(3)由于工作任务和兴趣的改变,用户每天会浏览新的域名。新的域名指该时间段相较于之前的时间段新出现的域名。利用幂分布建模该用户正常浏览的域名变化分布,即新的域名和时间的关系函数;
(4)设定用户的浏览时间段用t表示,使用前k个时间段的域名,即1≤t≤k时间 段的域名,通过最小二乘拟合幂分布函数,学习得到函数的参数;
(5)对于待检测的时间段t,t>k,比较t时间段该用户浏览的域名编号偏离幂分布的程度来评估该用户行为改变异常;
(6)个人用户行为异常检测模块输出不同待检测时间段t的个人用户行为异常程度。
所述用户组行为异常检测模块实现步骤如下:
(1)从数据库中提取预处理之后的所有用户的web浏览数据;
(2)使用所有用户前k个时间段浏览的域名构建二分图,二分图的顶点为所有用户和浏览的域名,二分图的边连接了一个用户和一个域名,边上的权重为用户浏览域名 的次数;
(3)利用邻接矩阵表示二分图,矩阵的元素为一个用户浏览一个域名的频率;
(4)根据邻接矩阵计算用户与用户之间的距离;
(5)将用户与用户之间的距离转化为用户与用户之间的相似度;
(6)构建组织或者企业内用户关系网络,网络的顶点为所有用户,网络的边连接了两个用户,边上权重为用户与用户之间的相似度;
(7)利用图聚类算法自动发现组织或者企业内的用户组关系,减少了人工标注用户组的工作量;
(8)由于在组织或者企业内部同一个用户组执行相似的工作任务或相同的项目,使得个人用户与该用户组中的其他用户的行为或行为的改变具有相对的一致性。使用所有用户前k个时间段浏览的域名,通过比较一个用户浏览的域名与所属的用户组中其他 用户浏览的域名的差别,来量化该用户与用户组的正常的行为一致性;
(9)对于待检测的时间段t,t>k,比较t时间段该用户浏览的域名与所属的用户组中其他用户浏览的域名的差别;
(10)比较待检测的时间段t时间段(t>k)域名的差别与前k个时间段域名的差别,将t时间段差别的偏离程度来评估该用户在用户组行为中的异常程度;
(11)用户组行为异常检测模块输出不同待检测时间段t的用户行为异常程度。
所述信息融合模块实现步骤如下:
(1)对于待检测用户u,将个人用户行为异常检测模块输出的该用户的不同待检测时间段t的个人用户行为异常得分归一化;
(2)对于待检测用户u,将用户组行为异常检测模块输出的该用户的不同待检测时间段t的用户行为异常得分归一化;
(3)由于组织或者企业内用户的行为既具有个人的动态变化性也具有用户组的行为相对一致性,因此利用权重的线性模型融合归一化之后的个人用户行为的异常得分和用户组行为的异常得分,来综合考虑用户行为的异常;
(4)对于待检测用户u,将最终融合的不同待检测时间段t的异常得分与设定的阈值相比较,若大于阈值则该***判定该用户u在时间段t行为异常,并输出检测到的该 异常,即内部威胁。由于内部威胁检测同时考虑了个人用户行为和用户组行为两个方面, 提高了该***检测的准确率,降低***检测的误报率。
本发明同时提供一种基于动态web浏览行为的内部威胁检测方法,包括:数据收集部分和异常检测部分,数据收集部分包括:组织或者企业内用户主机web浏览数据的采 集步骤、数据预处理和存储步骤;异常检测部分分析收集的用户浏览行为数据;异常检 测部分包括:个人用户行为异常检测步骤、用户组行为异常检测步骤、信息融合步骤、 内部威胁检测结果输出步骤,其中:
Web浏览数据采集步骤:在组织或者企业内需要监控的、重要人员的主机上部署审计节点,用来采集主机的web浏览数据,采集通过浏览器访问的在线资源或***;
数据预处理和存储步骤:通过审计节点采集的web浏览原始数据发送到服务器,并将数据存储到服务器的数据库中,由于原始数据包含重复审计的冗余数据和数据字段不完整的不完整数据,需要对数据进行过滤,提取出有效的数据,并将预处理之后的有效 数据再次存储到数据库中,以便异常检测进行数据分析;
个人用户行为异常检测步骤:在组织或者企业内部,用户的工作任务和兴趣爱好随 着时间的变化是动态改变的,通过从服务器的数据库中抽取个人web浏览数据,利用幂分布建立个人用户正常的行为改变模型,根据个人用户浏览行为的改变偏离幂分布的程度评估个人用户行为的异常程度,即异常得分;
用户组行为异常检测步骤:由于在组织或者企业内部同一个用户组执行相似的工作 任务或相同的项目,使得个人用户与该用户组中的其他用户的行为或行为的改变具有相 对一致性,因此根据用户浏览行为与用户组中其他用户行为的偏离程度评估用户在用户 组行为中的异常程度,即异常得分;同时该模块建立了组织或者企业内用户关系网络并利用图聚类方法实现了用户组关系的自动抽取,减少了人工标注用户组的工作量;
信息融合步骤:由于组织或者企业内用户的行为既具有个人的动态变化性也具有用 户组的行为相对一致性,因此利用权重的线性模型融合个人用户行为和用户组行为;通过结合个人用户行为的异常程度和用户组行为的异常程度来综合考虑用户行为的异常,能够提高检测的准确率和降低检测的误报率,得到最终融合的的异常得分;
内部威胁检测结果输出步骤,对于最终融合的异常得分,通过设定的阈值判定并输 出检测到的内部威胁。
本发明与现有技术相比的优点在于:由于web浏览行为直接或者间接地反映了一些 恶意的网络活动,例如数据泄露、组织在线资源和信息***的未授权访问,因此检测异常的web浏览行为是实现组织保护的重要任务。(1)本发明通过幂分布建立用户动态 浏览行为模型,与现有基于静态的用户浏览行为分析方法相比,提供了更准确的个人用 户浏览行为刻画方法。(2)本发明通过基于图的聚类方法自动发现用户组关系,减少 了人工标注用户组的工作量。(3)本发明建立了用户组行为模型,与现有的用户浏览 行为识别方法相比,提供了更全面的用户浏览行为刻画角度。(4)本发明通过结合个 人用户行为和用户组行为来综合考虑用户行为的异常,能够提高检测的准确率和降低检 测的误报率。
附图说明
图1为发明的***框图;
图2为本发明中a,b,c,d分别为4个用户的域名访问行为;
图3为本发明中用户关系网络构建过程。
具体实施方式
下面结合附图及实施例对本发明进行详细说明。
如图1所示,本发明包括数据收集和异常检测,异常检测负责数据收集所传递数据的后端解析及分析工作,数据收集包括组织或者企业内用户主机web浏览数据的采集模块、数据预处理和存储模块。异常检测分析收集的用户浏览行为数据包括个人用户行为 异常检测模块、用户组行为异常检测模块、信息融合和内部威胁检测结果输出模块。
(1)Web浏览数据采集模块:在组织或者企业内需要监控的、重要人员的主机上 部署审计节点,用来采集主机的web浏览数据,采集通过浏览器访问的在线资源或***;
(2)数据预处理和存储模块:通过审计节点采集的web浏览原始数据发送到服务器,并将数据存储到服务器的数据库中,由于原始数据包含重复审计的冗余数据和数据 字段不完整的不完整数据,需要对数据进行过滤,提取出有效的数据,并将预处理之后 的有效数据再次存储到数据库中,以便异常检测进行数据分析;
(3)个人用户行为异常检测模块:在组织或者企业内部,用户的工作任务和兴趣爱好随着时间的变化是动态改变的,通过从服务器的数据库中抽取个人web浏览数据, 利用幂分布建立个人用户正常的行为改变模型,根据个人用户浏览行为的改变偏离幂分 布的程度评估个人用户行为的异常程度,即异常得分;
(4)用户组行为异常检测模块:由于在组织或者企业内部同一个用户组执行相似的工作任务或相同的项目,使得个人用户与该用户组中的其他用户的行为或行为的改变具有相对一致性,因此根据用户浏览行为与用户组中其他用户行为的偏离程度评估用户在用户组行为中的异常程度,即异常得分;同时该模块建立了组织或者企业内用户关系 网络并利用图聚类方法实现了用户组关系的自动抽取,减少了人工标注用户组的工作量;
(5)信息融合模块:由于组织或者企业内用户的行为既具有个人的动态变化性也具有用户组的行为相对一致性,因此利用权重的线性模型融合个人用户行为和用户组行为。通过结合个人用户行为的异常程度和用户组行为的异常程度来综合考虑用户行为的异常,能够提高检测的准确率和降低检测的误报率,对于最终融合的异常得分,通过设 定的阈值判定并输出检测到的内部威胁。
下面对上述5个模块分别进行详细说明。
步骤1:Web浏览数据采集模块
(1)在组织或者企业内需要监控的、重要人员的主机上部署审计节点;
(2)审计节点实时采集该主机上用户通过浏览器访问的在线资源或***,审计的数据字段包括:访问时间、主机编号、用户名、域名。
(3)将审计的web浏览原始数据实时发送到服务器。
步骤2:数据预处理和存储模块
(1)将审计节点实时发送的web浏览原始数据存储到服务器的数据库中;
(2)由于审计节点可能多次发送同一条浏览数据,因此对于重复的冗余数据进行过滤。对于相同时间点相同的浏览数据,只保留一条数据记录,删除其余的数据记录;
(3)原始数据中包含访问时间、主机编号、用户名、域名4个字段,删除原始数 据中字段缺失的不完整数据;
(4)将相同主机编号下的相同用户名的浏览数据作为一个单独的用户的浏览数据, 并将该用户的web浏览数据按时间排序;
(5)将排序后的有效数据再次存储到数据库中,以便异常检测进行数据分析。
步骤3:个人用户行为异常检测模块
(1)首先选择数据库中4个用户的预处理之后的web浏览数据;
(2)预设定一天为一个时间段,将每个用户所有时间段的浏览数据中的域名字段按时间先后编号,不同的域名对应不同的编号;
(3)可视化每个人每天访问的不同域名见图2。图中横坐标表示不同的时间段,纵坐标表示用户在相应时间段内访问的不同的域名,不同的域名用不同的域名编号,即域 名序列号表示。根据图2可知用户每天会浏览新的域名。新的域名指该时间段相较于之 前的时间段新出现的域名;
(4)由于工作任务和兴趣的改变,用户每天会浏览新的域名。本发明利用幂分布建模用户正常浏览的域名变化分布,即新的域名和时间的关系函数。设定用户的不同的 浏览时间段用t表示,则上述可以形式化表示为在第t个时间段一个用户访问的域名分 布函数:
f(t)=αtγ+b (1)
函数f(·)为个人用户访问的域名随时间变化情况的幂分布函数,给定一个时间段t 代入函数,f(t)则表示该用户第t个时间段访问的域名(域名编号)分布,其中α、γ和 b为幂分布函数的参数;
(5)使用该用户前k个时间段浏览的域名数据,即1≤t≤k时间段的域名数据,通过最小二乘拟合幂分布函数,获得函数参数α、γ和b的值。最小二乘形式化表示为:
其中y(t)表示第t个时间段该用户实际上访问的域名(域名编号),f(t)为幂分布下第t个时间段该用户正常访问的域名(域名编号);
(6)对于待检测的时间段t(t>k),比较t时间段该用户浏览的域名编号偏离幂 分布的程度来评估该用户行为改变异常,即:
zt为第t个时间段个人用户行为异常得分(异常程度)。其中y(t)表示第t个时间段该用户实际上访问的域名(域名编号),f(t)为幂分布下第t个时间段该用户正常访问 的域名。若实际访问的域名与预测的域名的偏差越大,则用户的行为越异常。因为恶意 的活动一般需要访问新的资源,若实际访问的域名接近预测的域名,或者实际访问的域 名曾经访问过,则认为用户的行为是正常行为;
(7)个人用户行为异常检测模块输出不同待检测时间段t的个人用户行为异常程度 (异常得分)。若该用户有n个时间段,则异常得分可表示为向量Z=(zt)1×(n-k),k<t≤n。[k,n] 为待检测的时间段区间;
(8)对于数据库中所有的用户进行个人用户行为异常检测,并输出相应用户的异常得分向量。
步骤4:用户组行为异常检测模块
由于在组织或者企业内部用户不是孤立的,同一个用户组执行相似的工作任务或相 同的项目,使得个人用户与该用户组中的其他用户的行为或行为的改变具有相对一致性, 因此根据用户行为与用户组行为的偏离程度评估用户行为的异常得分(异常程度)。
(1)从数据库中提取预处理之后的所有用户的web浏览数据;
(2)使用所有用户前k个时间段浏览的域名构建二分图,二分图构建见图3,二分图的顶点为所有用户和浏览的域名,其中用户集合为域名集合为若一个用户访问了一个域名则该用户与域名之间用边连接,边上的权重为用户浏览域名 的次数;
(3)利用邻接矩阵B表示二分图,邻接矩阵B构建见图3,其中的矩阵元素为:
其中count(<uj,rg,time,pc>)表示在一个时间段t内,在主机编号pc的主机上用户uj访问域名rg的次数,访问时间time∈t。邻接矩阵B总结了在一个时间段内用户访问域名的频率;
(4)根据邻接矩阵B,计算用户之间的距离。所有两两用户之间的距离可以表示 为对称矩阵D=(dij):
dij表示用户ui∈U和用户uj∈U之间的距离;
(5)利用高斯核将用户之间的距离转化为用户之间的相似度,所有两两用户之间的相似度可以表示为相似矩阵A=(aij):
aij为用户ui∈U和用户uj∈U之间的相似度,与用户之间的距离负相关。其中σ为用户 之间的距离方差;
(6)构建组织或者企业内用户关系网络,关系网络构建见图3,网络的顶点为所有用户,网络的边连接了两个用户,边上权重为用户与用户之间的相似度。用户关系网络 形式化的表示为G=(U,O,λ),其中为所有用户,为边集,为正 权重函数。边权重为l×l的对称相似矩阵A=(aij);
(7)利用图聚类算法自动发现组织或者企业内的用户组关系,减少人工标注用户组的工作量。为了自动挖掘用户组,使用[12]中的图聚类算法。对于一个用户子集 ui∈S和计算用户ui和用户uj之间的相对相似度:
进一步地,计算用户ui和用户S\{ui}之间的全局相似度:
按照以下两个条件将不同的用户归为一个用户组
1)对于所有的ui∈S
2)对于所有的
(8)由于在组织或者企业内部同一个用户组执行相似的工作任务或相同的项目,使得个人用户与该用户组中的其他用户的行为或行为的改变具有相对的一致性。使用所有用户前k个时间段浏览的域名,通过比较一个用户浏览的域名与所属的用户组中其他 用户浏览的域名的差别,来量化该用户与用户组的正常的行为一致性。对于待检测的时 间段t(t>k),比较t时间段该用户浏览的域名与所属的用户组中其他用户浏览的域 名的差别。比较待检测的t时间段域名的差别与前k个时间段域名的差别,将t时间段 差别的偏离程度来评估该用户在用户组行为中的异常程度(异常得分),上述可以形式 化的表示为:
zt′为第t个时间段用户组行为异常得分(异常程度)。其中s为步骤(7)得到的 一个用户组,为用户ui∈U和用户up∈U之间的距离,即步骤(4)中的用 户与用户之间的距离,k表示前k个时间段;
(9)用户组行为异常检测模块输出不同待检测时间段t的用户行为异常程度(异常得分)。若该用户有n个时间段,则异常得分可表示为向量Z′=(z′t)1×(n-k),k<t≤n。[k,n]为 待检测的时间段区间。
步骤5:信息融合模块
(1)对于待检测用户u∈U,将个人用户行为异常检测模块输出的该用户的不同 待检测时间段t的个人用户行为异常得分归一化
(2)对于待检测用户u∈U,将用户组行为异常检测模块输出的该用户的不同待 检测时间段t的用户行为异常得分归一化:
(3)由于组织或者企业内用户的行为既具有个人的动态变化性也具有用户组的行为相对一致性,因此利用权重的线性模型融合归一化之后的个人用户行为的异常得分和用户组行为的异常得分,来综合考虑用户行为的异常。
ht=(1-w)·at+w·at
ht为第t个时间段用户行为的最终异常得分(异常程度),即最终融合结果,其中 w∈[0,1]为权重因子用来调节个人用户行为异常检测和用户组行为异常检测的权重。当 w=1时,只存在用户组行为异常检测,当w=0时,只存在个人用户行为异常检测。
(4)若待检测用户u有n个时间段,则该用户在不同待检测时间段t的最终的异常得分表示为向量H=(ht)1×(n-k),k<t≤n。[k,n]为待检测的时间段区间。
(5)对于待检测用户u,将最终融合的不同待检测时间段t的异常得分,即H中的 每一维元素,与设定的阈值相比较,若大于阈值则该***判定该用户u在时间段t行为 异常,并输出检测到的该异常,即内部威胁。预设定阈值为80%的待检测时间段异常得 分分布区间的上限。例如,80%的待检测时间段异常得分分布区间为[0,0.85],则设定 阈值为0.85,即异常得分大于0.85的待检测时间段为异常。
(6)对于数据库中所有的用户通过信息融合进行异常检测,并输出检测到的所有异常。由于内部威胁检测同时考虑了个人用户行为和用户组行为两个方面,提高了该系 统检测的准确率,降低了***检测的误报率。
提供以上实施例仅仅是为了描述本发明的目的,而并非要限制本发明的范围。本发 明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修 改,均应涵盖在本发明的范围之内。

Claims (7)

1.一种基于动态web浏览行为的内部威胁检测***,其特征在于:所述***包括:数据收集部分和异常检测部分,数据收集部分包括:组织或者企业内用户主机web浏览数据的采集模块、数据预处理和存储模块;异常检测部分分析收集的用户浏览行为数据;异常检测部分包括:个人用户行为异常检测模块、用户组行为异常检测模块、信息融合模块、内部威胁检测结果输出模块,其中:
Web浏览数据采集模块:在组织或者企业内需要监控的、重要人员的主机上部署审计节点,用来采集主机的web浏览数据,采集通过浏览器访问的在线资源或***;
数据预处理和存储模块:通过审计节点采集的web浏览原始数据发送到服务器,并将数据存储到服务器的数据库中,由于原始数据包含重复审计的冗余数据和数据字段不完整的不完整数据,需要对数据进行过滤,提取出有效的数据,并将预处理之后的有效数据再次存储到数据库中,以便异常检测进行数据分析;
个人用户行为异常检测模块:在组织或者企业内部,用户的工作任务和兴趣爱好随着时间的变化是动态改变的,通过从服务器的数据库中抽取个人web浏览数据,利用幂分布建立个人用户正常的行为改变模型,根据个人用户浏览行为的改变偏离幂分布的程度评估个人用户行为的异常程度,即异常得分;
用户组行为异常检测模块:由于在组织或者企业内部同一个用户组执行相似的工作任务或相同的项目,使得个人用户与该用户组中的其他用户的行为或行为的改变具有相对一致性,因此根据用户浏览行为与用户组中其他用户行为的偏离程度评估用户在用户组行为中的异常程度,即异常得分;同时该模块建立了组织或者企业内用户关系网络并利用图聚类方法实现了用户组关系的自动抽取,减少了人工标注用户组的工作量;
信息融合模块:组织或者企业内用户的行为既具有个人的动态变化性也具有用户组的行为相对一致性,利用权重的线性模型融合个人用户行为和用户组行为,通过结合个人用户行为的异常程度和用户组行为的异常程度来综合考虑用户行为的异常,能够提高检测的准确率和降低检测的误报率,得到最终融合的的异常得分;
内部威胁检测结果输出模块,对于最终融合的异常得分,通过设定的阈值判定并输出检测到的内部威胁。
2.根据权利要求1所述的一种基于动态web浏览行为的内部威胁检测***,其特征在于:所述Web浏览数据采集模块实现步骤如下:
(1)在组织或者企业内需要监控的、重要人员的主机上部署审计节点;
(2)审计节点实时采集该主机上用户通过浏览器访问的在线资源或***,审计的数据字段包括访问时间和域名;
(3)将审计的web浏览原始数据实时发送到服务器。
3.根据权利要求1所述的一种基于动态web浏览行为的内部威胁检测***,其特征在于:所述数据预处理和存储模块实现步骤如下:
(1)将审计节点实时发送的web浏览原始数据存储到服务器的数据库中;
(2)由于审计节点可能多次发送同一条浏览数据,因此对于重复的冗余数据进行过滤,对于相同访问时间点的浏览数据,只保留一条数据记录,删除其余的数据记录;
(3)删除原始数据中域名字段缺失的不完整数据;
(4)将每个用户的浏览数据按时间排序;
(5)将排序后的有效数据再次存储到数据库中,以便异常检测进行数据分析。
4.根据权利要求1所述的一种基于动态web浏览行为的内部威胁检测***,其特征在于:所述个人用户行为异常检测模块实现步骤如下:
(1)从数据库中提取待分析的个人用户的预处理之后的web浏览数据;
(2)预设定一天为一个时间段,将该用户所有时间段的浏览数据中的域名字段按时间先后编号,不同的域名对应不同的编号;
(3)由于工作任务和兴趣的改变,用户每天会浏览新的域名,新的域名指该时间段相较于之前的时间段新出现的域名,利用幂分布建模该用户正常浏览的域名变化分布,即新的域名和时间的关系函数;
(4)设定用户的浏览时间段用t表示,使用前k个时间段的域名,即1≤t≤k时间段的域名,通过最小二乘拟合幂分布函数,学习得到函数的参数;
(5)对于待检测的时间段t,t>k,比较t时间段该用户浏览的域名编号偏离幂分布的程度来评估该用户行为改变异常;
(6)个人用户行为异常检测模块输出不同待检测时间段t的个人用户行为异常程度。
5.根据权利要求1所述的一种基于动态web浏览行为的内部威胁检测***,其特征在于:所述用户组行为异常检测模块实现步骤如下:
(1)从数据库中提取预处理之后的所有用户的web浏览数据;
(2)使用所有用户前k个时间段浏览的域名构建二分图,二分图的顶点为所有用户和浏览的域名,二分图的边连接了一个用户和一个域名,边上的权重为用户浏览域名的次数;
(3)利用邻接矩阵表示二分图,矩阵的元素为一个用户浏览一个域名的频率;
(4)根据邻接矩阵计算用户与用户之间的距离;
(5)将用户与用户之间的距离转化为用户与用户之间的相似度;
(6)构建组织或者企业内用户关系网络,网络的顶点为所有用户,网络的边连接了两个用户,边上权重为用户与用户之间的相似度;
(7)利用图聚类算法自动发现组织或者企业内的用户组关系,减少了人工标注用户组的工作量;
(8)在组织或者企业内部同一个用户组执行相似的工作任务或相同的项目,使得个人用户与该用户组中的其他用户的行为或行为的改变具有相对的一致性,使用所有用户前k个时间段浏览的域名,通过比较一个用户浏览的域名与所属的用户组中其他用户浏览的域名的差别,来量化该用户与用户组的正常的行为一致性;
(9)对于待检测的时间段t,t>k,比较t时间段该用户浏览的域名与所属的用户组中其他用户浏览的域名的差别;
(10)比较待检测的时间段t时间段域名的差别与前k个时间段域名的差别,将t时间段差别的偏离程度来评估该用户在用户组行为中的异常程度;
(11)用户组行为异常检测模块输出不同待检测时间段t的用户行为异常程度。
6.根据权利要求1所述的一种基于动态web浏览行为的内部威胁检测***,其特征在于:所述信息融合模块实现步骤如下:
(1)对于待检测用户u,将个人用户行为异常检测模块输出的该用户的不同待检测时间段t的个人用户行为异常得分归一化;
(2)对于待检测用户u,将用户组行为异常检测模块输出的该用户的不同待检测时间段t的用户行为异常得分归一化;
(3)由于组织或者企业内用户的行为既具有个人的动态变化性也具有用户组的行为相对一致性,因此利用权重的线性模型融合归一化之后的个人用户行为的异常得分和用户组行为的异常得分,来综合考虑用户行为的异常;
(4)对于待检测用户u,将最终融合的不同待检测时间段t的异常得分与设定的阈值相比较,若大于阈值则该***判定该用户u在时间段t行为异常,并输出检测到的该异常,即内部威胁。
7.一种基于动态web浏览行为的内部威胁检测方法,其特征在于,包括:数据收集部分和异常检测部分,数据收集部分包括:组织或者企业内用户主机web浏览数据的采集步骤、数据预处理和存储步骤;异常检测部分分析收集的用户浏览行为数据;异常检测部分包括:个人用户行为异常检测步骤、用户组行为异常检测步骤、信息融合步骤、内部威胁检测结果输出步骤,其中:
Web浏览数据采集步骤:在组织或者企业内需要监控的、重要人员的主机上部署审计节点,用来采集主机的web浏览数据,采集通过浏览器访问的在线资源或***;
数据预处理和存储步骤:通过审计节点采集的web浏览原始数据发送到服务器,并将数据存储到服务器的数据库中,由于原始数据包含重复审计的冗余数据和数据字段不完整的不完整数据,需要对数据进行过滤,提取出有效的数据,并将预处理之后的有效数据再次存储到数据库中,以便异常检测进行数据分析;
个人用户行为异常检测步骤:在组织或者企业内部,用户的工作任务和兴趣爱好随着时间的变化是动态改变的,通过从服务器的数据库中抽取个人web浏览数据,利用幂分布建立个人用户正常的行为改变模型,根据个人用户浏览行为的改变偏离幂分布的程度评估个人用户行为的异常程度,即异常得分;
用户组行为异常检测步骤:由于在组织或者企业内部同一个用户组执行相似的工作任务或相同的项目,使得个人用户与该用户组中的其他用户的行为或行为的改变具有相对一致性,因此根据用户浏览行为与用户组中其他用户行为的偏离程度评估用户在用户组行为中的异常程度,即异常得分;同时该模块建立了组织或者企业内用户关系网络并利用图聚类方法实现了用户组关系的自动抽取,减少了人工标注用户组的工作量;
信息融合步骤:由于组织或者企业内用户的行为既具有个人的动态变化性也具有用户组的行为相对一致性,因此利用权重的线性模型融合个人用户行为和用户组行为;通过结合个人用户行为的异常程度和用户组行为的异常程度来综合考虑用户行为的异常,能够提高检测的准确率和降低检测的误报率,得到最终融合的的异常得分;
内部威胁检测结果输出步骤,对于最终融合的异常得分,通过设定的阈值判定并输出检测到的内部威胁。
CN201910384493.6A 2019-05-09 2019-05-09 一种基于动态web浏览行为的内部威胁检测***及方法 Active CN110138763B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910384493.6A CN110138763B (zh) 2019-05-09 2019-05-09 一种基于动态web浏览行为的内部威胁检测***及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910384493.6A CN110138763B (zh) 2019-05-09 2019-05-09 一种基于动态web浏览行为的内部威胁检测***及方法

Publications (2)

Publication Number Publication Date
CN110138763A true CN110138763A (zh) 2019-08-16
CN110138763B CN110138763B (zh) 2020-12-11

Family

ID=67576843

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910384493.6A Active CN110138763B (zh) 2019-05-09 2019-05-09 一种基于动态web浏览行为的内部威胁检测***及方法

Country Status (1)

Country Link
CN (1) CN110138763B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110493264A (zh) * 2019-09-18 2019-11-22 北京工业大学 一种基于内网实体关系与行为链的内部威胁发现方法
CN111131314A (zh) * 2019-12-31 2020-05-08 奇安信科技集团股份有限公司 网络行为的检测方法、装置、计算机设备和存储介质
CN111177714A (zh) * 2019-12-19 2020-05-19 未鲲(上海)科技服务有限公司 异常行为检测方法、装置、计算机设备和存储介质
CN111865941A (zh) * 2020-07-03 2020-10-30 北京天空卫士网络安全技术有限公司 一种异常行为识别方法和装置
WO2021077642A1 (zh) * 2019-10-24 2021-04-29 中国科学院信息工程研究所 一种基于异构图嵌入的网络空间安全威胁检测方法及***
CN114826712A (zh) * 2022-04-15 2022-07-29 中国农业银行股份有限公司 一种恶意域名检测方法、装置及电子设备
CN117668844A (zh) * 2024-01-30 2024-03-08 浙江御安信息技术有限公司 基于信息安全的威胁文件检测***

Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160261621A1 (en) * 2015-03-02 2016-09-08 Verizon Patent And Licensing Inc. Network threat detection and management system based on user behavior information
US20170230391A1 (en) * 2016-02-09 2017-08-10 Darktrace Limited Cyber security
CN107579956A (zh) * 2017-08-07 2018-01-12 北京奇安信科技有限公司 一种用户行为的检测方法和装置
CN107846389A (zh) * 2016-09-21 2018-03-27 中国科学院信息工程研究所 基于用户主客观数据融合的内部威胁检测方法及***
CN108063776A (zh) * 2018-02-26 2018-05-22 重庆邮电大学 基于跨域行为分析的内部威胁检测方法
US20180219890A1 (en) * 2017-02-01 2018-08-02 Cisco Technology, Inc. Identifying a security threat to a web-based resource
CN108388969A (zh) * 2018-03-21 2018-08-10 北京理工大学 基于个人行为时序特征的内部威胁人物风险预测方法
CN108616545A (zh) * 2018-06-26 2018-10-02 中国科学院信息工程研究所 一种网络内部威胁的检测方法、***及电子设备
CN108881194A (zh) * 2018-06-07 2018-11-23 郑州信大先进技术研究院 企业内部用户异常行为检测方法和装置
US20180359270A1 (en) * 2017-06-12 2018-12-13 International Business Machines Corporation Clustering for Detection of Anomalous Behavior and Insider Threat
US20180375883A1 (en) * 2017-06-21 2018-12-27 Symantec Corporation Automatically detecting insider threats using user collaboration patterns
CN109120592A (zh) * 2018-07-09 2019-01-01 四川大学 一种基于用户行为的Web异常检测***
US20190028504A1 (en) * 2017-07-18 2019-01-24 Imperva, Inc. Insider threat detection utilizing user group data object access analysis
US20190044963A1 (en) * 2017-08-02 2019-02-07 Code 42 Software, Inc. User behavior analytics for insider threat detection
CN109636688A (zh) * 2018-12-11 2019-04-16 武汉文都创新教育研究院(有限合伙) 一种基于大数据的学生行为分析***

Patent Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160261621A1 (en) * 2015-03-02 2016-09-08 Verizon Patent And Licensing Inc. Network threat detection and management system based on user behavior information
US20170230391A1 (en) * 2016-02-09 2017-08-10 Darktrace Limited Cyber security
CN107846389A (zh) * 2016-09-21 2018-03-27 中国科学院信息工程研究所 基于用户主客观数据融合的内部威胁检测方法及***
US20180219890A1 (en) * 2017-02-01 2018-08-02 Cisco Technology, Inc. Identifying a security threat to a web-based resource
US20180359270A1 (en) * 2017-06-12 2018-12-13 International Business Machines Corporation Clustering for Detection of Anomalous Behavior and Insider Threat
US20180375883A1 (en) * 2017-06-21 2018-12-27 Symantec Corporation Automatically detecting insider threats using user collaboration patterns
US20190028504A1 (en) * 2017-07-18 2019-01-24 Imperva, Inc. Insider threat detection utilizing user group data object access analysis
US20190044963A1 (en) * 2017-08-02 2019-02-07 Code 42 Software, Inc. User behavior analytics for insider threat detection
CN107579956A (zh) * 2017-08-07 2018-01-12 北京奇安信科技有限公司 一种用户行为的检测方法和装置
CN108063776A (zh) * 2018-02-26 2018-05-22 重庆邮电大学 基于跨域行为分析的内部威胁检测方法
CN108388969A (zh) * 2018-03-21 2018-08-10 北京理工大学 基于个人行为时序特征的内部威胁人物风险预测方法
CN108881194A (zh) * 2018-06-07 2018-11-23 郑州信大先进技术研究院 企业内部用户异常行为检测方法和装置
CN108616545A (zh) * 2018-06-26 2018-10-02 中国科学院信息工程研究所 一种网络内部威胁的检测方法、***及电子设备
CN109120592A (zh) * 2018-07-09 2019-01-01 四川大学 一种基于用户行为的Web异常检测***
CN109636688A (zh) * 2018-12-11 2019-04-16 武汉文都创新教育研究院(有限合伙) 一种基于大数据的学生行为分析***

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
杨秀璋等: "《Python 网络数据爬取及分析从入门到精通 分析篇》", 30 June 2018, 北京航空航天大学出版社 *
米雪等: "基于网页浏览行为的分析", 《上海理工大学学报》 *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110493264A (zh) * 2019-09-18 2019-11-22 北京工业大学 一种基于内网实体关系与行为链的内部威胁发现方法
CN110493264B (zh) * 2019-09-18 2021-12-24 北京工业大学 一种基于内网实体关系与行为链的内部威胁发现方法
WO2021077642A1 (zh) * 2019-10-24 2021-04-29 中国科学院信息工程研究所 一种基于异构图嵌入的网络空间安全威胁检测方法及***
CN111177714A (zh) * 2019-12-19 2020-05-19 未鲲(上海)科技服务有限公司 异常行为检测方法、装置、计算机设备和存储介质
CN111177714B (zh) * 2019-12-19 2022-07-08 未鲲(上海)科技服务有限公司 异常行为检测方法、装置、计算机设备和存储介质
CN111131314A (zh) * 2019-12-31 2020-05-08 奇安信科技集团股份有限公司 网络行为的检测方法、装置、计算机设备和存储介质
CN111131314B (zh) * 2019-12-31 2022-04-12 奇安信科技集团股份有限公司 网络行为的检测方法、装置、计算机设备和存储介质
CN111865941A (zh) * 2020-07-03 2020-10-30 北京天空卫士网络安全技术有限公司 一种异常行为识别方法和装置
CN114826712A (zh) * 2022-04-15 2022-07-29 中国农业银行股份有限公司 一种恶意域名检测方法、装置及电子设备
CN114826712B (zh) * 2022-04-15 2024-06-14 中国农业银行股份有限公司 一种恶意域名检测方法、装置及电子设备
CN117668844A (zh) * 2024-01-30 2024-03-08 浙江御安信息技术有限公司 基于信息安全的威胁文件检测***
CN117668844B (zh) * 2024-01-30 2024-05-28 浙江御安信息技术有限公司 基于信息安全的威胁文件检测***

Also Published As

Publication number Publication date
CN110138763B (zh) 2020-12-11

Similar Documents

Publication Publication Date Title
CN110138763A (zh) 一种基于动态web浏览行为的内部威胁检测***及方法
Wang et al. Deep structure learning for fraud detection
CN110351307A (zh) 基于集成学习的异常用户检测方法及***
Mazzawi et al. Anomaly detection in large databases using behavioral patterning
Koutsouvelis et al. Detection of insider threats using artificial intelligence and visualisation
Elovici et al. Using data mining techniques for detecting terror-related activities on the web
Anderson et al. The use of information retrieval techniques for intrusion detection
EP3794481A1 (en) Creation and verification of behavioral baselines for the detection of cybersecurity anomalies using machine learning techniques
Jiang et al. An insider threat detection method based on user behavior analysis
Oh et al. Advanced insider threat detection model to apply periodic work atmosphere
Lv et al. Towards a user and role-based behavior analysis method for insider threat detection
Camiña et al. Towards building a masquerade detection method based on user file system navigation
Chimphlee et al. A rough-fuzzy hybrid algorithm for computer intrusion detection
Yang et al. [Retracted] Computer User Behavior Anomaly Detection Based on K‐Means Algorithm
Zhu et al. Bs-net: A behavior sequence network for insider threat detection
Qi et al. Privacy preserving via interval covering based subclass division and manifold learning based bi-directional obfuscation for effort estimation
Grushka-Cohen et al. Sampling high throughput data for anomaly detection of data-base activity
Yue et al. An unsupervised-learning based method for detecting groups of malicious Web crawlers in Internet
Phua et al. On the approximate communal fraud scoring of credit applications
Ahmad et al. Hybrid intrusion detection method to increase anomaly detection by using data mining techniques
Adeyiga et al. Profiling Internet Users’ Activities using Fuzzy C-Means Algorithm
Caruso et al. A data mining methodology for anomaly detection in network data
Tinguriya et al. Detecting terror-related activities on the web using neural network
Hosseinpour et al. Notice of Violation of IEEE Publication Principles: Detecting Terror-Related Activities on the Web with Using Data Mining Techniques
Mendes et al. Bi-level Clustering in Telecommunication Fraud.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant