内部威胁检测的多域信息融合.pptx

恶意内部人员对信息安全构成重大威胁，但检测恶意内部人员的能力非常有限。众所周知，内部威胁检测是一个难题，存在许多研究挑战。在本文中，报告了我们从大量工作实践数据中检测恶意内部人员的成果。我们提出了检测两种类型的内部活动的新方法：（1）混合异常，恶意内部人员尝试表现得与他们不属于的人群类似。（2）异常变化异常，恶意内部人员表现出行为变化与同类人的行为变化不同。我们的第一个贡献集中在检测混入的恶意内部人员。我们通过检查各种活动领域，并检测这些领域的行为不一致性，提出了一种新方法。我们的第二个贡献是用于检测具有异常行为变化的内部人员的方法。该提出的方法的关键优势在于它避免标记可能被传统的时间异常检测