论文部分内容阅读
在网络技术繁荣发展的今天,通过电子邮件进行通信的方式由于具备便捷、高效、经济等特点,已成为各单位、组织以及个人重要的通信手段,起着不可替代的作用。与此同时,由于邮件系统中承载着大量重要信息,使得邮件和邮件系统的安全成为一个不容忽视的问题,该问题近年来引发了越来越多学者的关注。 经研究,造成电子邮件信息泄露的方式主要有两大类,一是利用病毒或木马等方式从外界对邮件或邮件系统发起攻击,窃取邮件内容;另一类重要途径是从邮件系统内部发起攻击而产生的泄密行为。经统计,第二种攻击方式对邮件信息的保密性造成的危害更大、涉及范围更广、且更难以防范。由于该种方式的攻击往往由具有合法身份的内部人员引发、或由攻击者非法取得内部人员的身份发起,且在安全边界以内,传统的防护设施如防火墙、入侵检测等设备的防护效果十分有限。因此如何有效地对这些内部威胁攻击进行分析、判断,从而对邮件信息进行保护,保障邮件系统及各单位的信息安全,是亟需解决的重要问题。 要想捕获具有合法用户身份的非法用户行为,目前较为有效的方式是对其行为进行监控,并根据行为记录进行用户行为分析(UBA,User Behavior Analysis),从行为模式上分析用户邮件行为的异常模式,从而判断被检测的行为是否存在潜在风险和异常。 由于邮件中的泄密行为往往发生在一些关键性的时间节点前后,比如员工离职前或更换部门之前,往往在时间轴上与过往行为存在差异,因此本文以基于时间序列的邮件用户行为模型建立及分析为题目,完成主要工作如下: 1、本文调研了大量关于时间序列异常检测的算法,如:基于窗口的方法、基于邻近相似性的方法、基于模型预测的方法、基于分割的方法,并对以上方法的原理和性能进行了分析与比较,重点研究了基于窗口的异常检测方法,并结合其他算法的优点对基于窗口的异常检测算法进行改进。 2、为了对邮件行为分析进行研究,本文选取了CERT数据集作为实验对象,并对原始邮件行为日志数据集进行了预处理,主要包括:获取可用于邮件泄密检测的原始数据,提取用于检测的邮件特征,对特征进行筛选,将多特征的时间序列进行降维,以及建立时间序列等。 3、针对邮件泄密中的异常行为问题,本文设计了一种基于窗口和模型预测相结合的异常检测算法。该算法能够挖掘先后发生的行为之间的关联性,并通过对比判别一段时间内的行为是否存在异常。经过实验对比,判断异常的准确性较高,可用于分析发掘合法用户身份的非法行为,及时预警。 4、根据以上研究成果,设计并实现了相关系统,将邮件行为异常检测方法的检测效果同处理数据进行展示,实现了检测结果的可视化。 本论文成果的主要应用在于,从信息泄密角度对用户的邮件行为进行分析及评判,从而为企业或组织中的安全管理人员提供内部用户行为异常的提示,对敏感信息进行保护。预期与其他类型的异常行为分析相结合,为用户多域行为分析提供多方位的线索,以便实现用户在系统内的所有行为进行全面分析,进行多方位的行为异常检测。