吳良秋

摘? 要： 網(wǎng)絡(luò)安全的一個嚴(yán)峻考驗是內(nèi)部威脅，如信息泄露，其危害遠(yuǎn)遠(yuǎn)大于外部攻擊。文章概述了內(nèi)部威脅的產(chǎn)生及特點，介紹了內(nèi)部威脅的相關(guān)檢測技術(shù)在國內(nèi)外研究的現(xiàn)狀，列舉了當(dāng)前用于內(nèi)部威脅的主流檢測模型，并從數(shù)據(jù)量、數(shù)據(jù)特征、攻擊種類、公布時間、優(yōu)缺點和應(yīng)用領(lǐng)域等六個方面，簡單對比了國內(nèi)外專家在內(nèi)部威脅檢測領(lǐng)域所選用的數(shù)據(jù)集，最后分別從人工智能和云平臺方面展望了內(nèi)部威脅檢測領(lǐng)域的研究方向。

關(guān)鍵詞： 內(nèi)部威脅; 檢測模型; 信息泄露; 網(wǎng)絡(luò)安全

中圖分類號：TP311? ? ? ? ? 文獻標(biāo)志碼：A? ? ? 文章編號：1006-8228（2019）06-41-05

Abstract： A severe test of network security is insider threat， such as information leakage， its harm is far greater than outsider attack. This paper summarizes the generation and characteristics of insider threat， introduces the current research status of insider threat detection technology at home and abroad， and makes a simple comparison between domestic and foreign experts in the field of insider threat detection from six aspects of the amount of data， data characteristics， the types of attacks， timing， advantages， disadvantages and application fields. Finally， puts forward? the research directions in the field of insider threat detection from the aspects of artificial intelligence and cloud platform respectively.

Key words： insider threat; detection model; information leakage; network security

0 引言

隨著大數(shù)據(jù)、云計算蓬勃發(fā)展，計算機相關(guān)產(chǎn)品在我們生活中扮演著重要角色，我們在享受的同時，信息安全成了不可忽視的安全隱患，數(shù)據(jù)的非法獲取成了互聯(lián)網(wǎng)環(huán)境下的巨大威脅，特別是內(nèi)部威脅，具有一定的透明性，發(fā)生在安全邊界之內(nèi)，相對于外部攻擊更隱蔽，對整個網(wǎng)絡(luò)安全環(huán)境提出了嚴(yán)峻挑戰(zhàn)。

美國防部海量數(shù)據(jù)庫[1]監(jiān)測、分析和識別單位雇員的行為是否給國防部帶來危險;2013年斯諾登事件中內(nèi)部人員通過私人渠道公開內(nèi)部數(shù)據(jù)引起媒體廣泛關(guān)注;2017年3月，Dun&Bradstreet（鄧白氏）的52GB數(shù)據(jù)庫遭到泄露，這個數(shù)據(jù)庫中包括了美國一些大型企業(yè)和政府組織（包括AT&T，沃爾瑪、Wells Fargo，美國郵政甚至美國國防部）的3300多萬員工的信息和聯(lián)系方式等;2014年1月，韓國信用局內(nèi)部員工竊取了2000萬銀行和信用卡用戶的個人數(shù)據(jù)，造成韓國歷史上最嚴(yán)重的數(shù)據(jù)泄露事件，但這只是內(nèi)部威脅安全的冰山一角。SailPoint的調(diào)查顯示，被調(diào)查者中20%的人表示只要價錢合適會出賣自己的工作賬號和密碼。即時內(nèi)部威脅檢測系統(tǒng)（ITDS）是一項昂貴而復(fù)雜的工程，但是情報界，國防部，公司都在研究相關(guān)檢測模型。

截止2016年4月公安部部署打擊整治網(wǎng)絡(luò)侵犯公民個人信息犯罪專項行動以來，全國公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門已經(jīng)查破刑事案件1200余起，抓獲犯罪嫌疑人3300余人，其中銀行、教育、電信、快遞、證券、電商網(wǎng)站等行業(yè)內(nèi)部人員270余人[2]。

國內(nèi)外內(nèi)部威脅事件不斷發(fā)生，內(nèi)部威脅應(yīng)對形式嚴(yán)峻，需要社會各界的高度重視，首要工作是分析內(nèi)部威脅的特征，從而研究可能的應(yīng)對方案。

1 內(nèi)部威脅的產(chǎn)生

1.1 相關(guān)術(shù)語

內(nèi)部威脅，一般存在于某一個企業(yè)或組織的內(nèi)部，內(nèi)部的人員與外界共同完成對團隊信息的盜竊和交易。

定義1 內(nèi)部威脅攻擊者一般是指企業(yè)或組織的員工（在職或離職）、承包商以及商業(yè)伙伴等，其應(yīng)當(dāng)具有組織的系統(tǒng)、網(wǎng)絡(luò)以及數(shù)據(jù)的訪問權(quán)。

內(nèi)部人外延是指與企業(yè)或組織具有某種社會關(guān)系的個體，如在職員工，離職員工，值得注意的是承包商與商業(yè)伙伴擴展了內(nèi)部人的范圍，即“合伙人”也是潛在的內(nèi)部攻擊者;內(nèi)涵則是具有系統(tǒng)訪問權(quán)。

定義2 內(nèi)部威脅是指內(nèi)部威脅攻擊者利用合法獲得的訪問權(quán)對組織信息系統(tǒng)中信息的機密性、完整性以及可用性造成負(fù)面影響的行為。

內(nèi)部威脅的結(jié)果是對數(shù)據(jù)安全造成了破壞，如機密性（如數(shù)據(jù)竊?。?、完整性（如數(shù)據(jù)篡改）以及可用性（如系統(tǒng)攻擊）等。

企業(yè)或者組織信息化程度已經(jīng)深入日常管理，盡管企業(yè)或組織努力保護自身數(shù)據(jù)，但身份盜竊、數(shù)據(jù)庫泄露和被盜密碼問題仍然是企業(yè)組織面臨的主要挑戰(zhàn)。如今，組織面臨的最大挑戰(zhàn)之一是內(nèi)部人士的系統(tǒng)濫用，他們的行為深深植根于不遵守監(jiān)管標(biāo)準(zhǔn)。已經(jīng)確定，信息安全防御中最薄弱的環(huán)節(jié)是人，這意味著最嚴(yán)重的威脅來自內(nèi)部人員。

因此，內(nèi)部威脅產(chǎn)生，主要有兩方面原因：①主體原因，即攻擊者有攻擊的能力，行為完成一次攻擊;②客體原因，一次攻擊能成功都是因為被攻擊對象存在漏洞或者缺乏監(jiān)管。

1.2 內(nèi)部威脅的分類

內(nèi)部威脅[3]有三種主要的分類：偶然的、惡意的和非惡意的。

偶然的威脅通常是由錯誤引起的。例如，由于粗心大意、對政策的漠視、缺乏培訓(xùn)和對正確的事情的認(rèn)識，員工可能不會遵循操作流程。惡意的威脅是指故意破壞組織或使攻擊者受益。例如，信息技術(shù)（IT）管理員因心懷不滿而破壞IT系統(tǒng)，使組織陷入停頓。在許多事件中，當(dāng)前和以前的管理員都是因各種動機故意造成系統(tǒng)問題。非惡意的威脅是人們故意采取的行動，而不打算破壞組織。在非惡意威脅中，其動機是提高生產(chǎn)力，而錯誤的發(fā)生是由于缺乏培訓(xùn)或?qū)φ?、程序和風(fēng)險的認(rèn)識。

1.3 內(nèi)部威脅特征

⑴ 高危性 內(nèi)部威脅危害較外部威脅更大， 因為攻擊者具有組織知識，可以接觸核心資產(chǎn)（如知識產(chǎn)權(quán)等）， 從而對組織經(jīng)濟資產(chǎn)、業(yè)務(wù)運行及組織信譽進行破壞以造成巨大損失。如2014年的美國CERT發(fā)布的網(wǎng)絡(luò)安全調(diào)查顯示僅占28%的內(nèi)部攻擊卻造成了46%的損失。

⑵ 隱蔽性 由于攻擊者來自安全邊界內(nèi)部， 所以內(nèi)部威脅具有極強的偽裝性，可以逃避現(xiàn)有安全機制的檢測。

⑶ 透明性 攻擊者來自安全邊界內(nèi)部，因此攻擊者可以躲避防火墻等外部安全設(shè)備的檢測，導(dǎo)致多數(shù)內(nèi)部攻擊對于外部安全設(shè)備具有透明性.

⑷ 復(fù)雜性 ①內(nèi)外勾結(jié)：越來越多的內(nèi)部威脅動機與外部對手關(guān)聯(lián)，并且得到外部的資金等幫助;③合伙人：商業(yè)合作伙伴引發(fā)的內(nèi)部威脅事件日益增多，監(jiān)控對象群體擴大;③企業(yè)兼并：當(dāng)企業(yè)發(fā)生兼并、重組時最容易發(fā)生內(nèi)部威脅，而此時內(nèi)部檢測難度較大;④文化差異：不同行為人的文化背景會影響其同類威脅時的行為特征。

2 內(nèi)部威脅模型

學(xué)界曾經(jīng)對內(nèi)部威脅提出過諸多的行為模型，希望可以從中提取出行為模式，這部分主要的工作開始于早期提出的SKRAM模型與CMO模型，兩個模型都從內(nèi)部攻擊者的角度入手，分析攻擊者成功實施一次攻擊所需要具備的要素，其中的主觀要素包括動機、職業(yè)角色具備的資源訪問權(quán)限以及技能素養(yǎng)，客觀要素則包括目標(biāo)的內(nèi)部缺陷的訪問控制策略以及缺乏有效的安全監(jiān)管等。

根據(jù)內(nèi)部威脅產(chǎn)生的原因，內(nèi)部威脅的模型也可分為兩類：基于主體和基于客體。其中基于主體模型主要代表有CMO模型和SKRAM模型，這也是最早的內(nèi)部威脅模型。

2.1 基于主體的模型

CMO模型[4]是最早用于內(nèi)部攻擊的通用模型，這都是單純從攻擊者的主觀方面建立的模型，沒有考慮到客觀因素，如由于資源所有者內(nèi)部缺陷的訪問控制策略及其缺乏切實有效的安全監(jiān)管。攻擊者成功實施一次攻擊主觀方面所需要具備的要素即：①能力（Capability），進行內(nèi)部攻擊的能力，包括文化層次，技術(shù)水平等能力;②動機（Motive），內(nèi)部攻擊的動機，有因為工作不滿，換取利益等;②機會（Opportunity），不是每個人都有機會攻擊，有攻擊的能力，也有動機，但是還得有合適的機會把動機轉(zhuǎn)化人實際行動。

SKRAM模型[5]是Parker等人在早期的CMO模型基礎(chǔ)上進行的改進，即需要具備的要素有：①技能（Skills），也即是內(nèi)部攻擊者的能力;②知識（Knowledge），包括內(nèi)部攻擊者的知識水平，文化素養(yǎng);③資源（Resources），職業(yè)角色具備的資源訪問權(quán)限;④Authority;⑤動機（Motives）。

Jason等人[6]提出內(nèi)部人員成為了具有攻擊動機的內(nèi)部攻擊者，主觀要素是用戶的自身屬性，主要影響、反映內(nèi)部人的當(dāng)前心理狀態(tài)，這些要素主要包括三類：一類是包括內(nèi)部人的人格特征等內(nèi)在心理特征，另一類包括精神病史或違法犯罪史等檔案信息以及現(xiàn)實中可以表征心理狀態(tài)變化的諸多行為，最后一類則是內(nèi)部人在組織中的職位、能力等組織屬性。

2.2 基于客體的模型

CRBM模型[7]（Role-Based Access Control）是基于角色訪問控制。通過擴展基于角色的訪問控制模型來克服內(nèi)部威脅的局限性，引入了CRBM（復(fù)合基于角色的監(jiān)視）方法。CRBM繼承了RBAC的優(yōu)點，將角色結(jié)構(gòu)映射為三個：組織角色（Organization Role，OR）、應(yīng)用程序角色（Application Role，AR）和操作系統(tǒng)角色（Operating System Role，OSR）。

李殿偉等人[8]將訪問控制與數(shù)據(jù)挖掘相結(jié)合，設(shè)計了一種基于角色行為模式挖掘的內(nèi)部威脅檢測模型，提出了一種基于用戶角色行為準(zhǔn)則、行為習(xí)慣與實際操作行為匹配的內(nèi)部威脅預(yù)警方法。文雨等人[9]提出一種新的用戶跨域行為模式分析方法。該方法能夠分析用戶行為的多元模式，不需要依賴相關(guān)領(lǐng)域知識和用戶背景屬性，針對用戶行為模式分析方法設(shè)計了一種面向內(nèi)部攻擊的檢測方法，并在真實場景中的5種用戶審計日志，實驗結(jié)果驗證了其分析方法在多檢測域場景中分析用戶行為多元模式的有效性，同時檢測方法優(yōu)于兩種已有方法：單域檢測方法和基于單一行為模式的檢測方法。

2.3 基于人工智能的模型

傳統(tǒng)的內(nèi)部威脅檢測模型主要是基于異常檢測、基于角色等相關(guān)技術(shù)，隨著人工智能的興起，利用機器學(xué)習(xí)等相關(guān)算法來建立內(nèi)部威脅模型占據(jù)主要地位。這種模型，建立網(wǎng)絡(luò)用戶的正常行為輪廓，并利用不同的機器學(xué)習(xí)算法進行訓(xùn)練，實現(xiàn)了檢測準(zhǔn)確率高的優(yōu)點，但是效率較低。

Szymanski[10]等人使用遞歸數(shù)據(jù)挖掘來描述用戶簽名和監(jiān)視會話中的結(jié)構(gòu)和高級符號，使用一個類SVM來測量這兩種特征的相似性。郭曉明[11]等提出一種基于樸素貝葉斯理論的內(nèi)部威脅檢測模型。通過分析多用戶對系統(tǒng)的命令操作行為特征，對多用戶命令樣本進行訓(xùn)練，構(gòu)建樸素貝葉斯分類器。Yaseen等人[12]研究了關(guān)系數(shù)據(jù)庫系統(tǒng)中的內(nèi)部威脅。介紹知識圖譜（KG），展示內(nèi)部人員知識庫和內(nèi)部人員對數(shù)據(jù)項的信息量;引入約束和依賴圖（CDG），顯示內(nèi)部人員獲取未經(jīng)授權(quán)知識的路徑;使用威脅預(yù)測圖（TPG），顯示內(nèi)部人員每個數(shù)據(jù)項的威脅預(yù)測價值（TPV），當(dāng)內(nèi)部威脅發(fā)生時，TPV被用來提高警報級別。梁禮[13]等人提出基于實時告警的層次化網(wǎng)絡(luò)安全風(fēng)險評估方法，包含服務(wù)、主機和網(wǎng)絡(luò)三級的網(wǎng)絡(luò)分層風(fēng)險評估模型，通過加權(quán)的方式計算網(wǎng)絡(luò)各層的安全風(fēng)險值。分別以實驗室網(wǎng)絡(luò)環(huán)境及校園網(wǎng)環(huán)境為實例驗證了方法的準(zhǔn)確性和有效性。

2.4 基于交叉學(xué)科的模型

隨著內(nèi)部威脅的不斷發(fā)展，內(nèi)部威脅的研究領(lǐng)域不斷擴展，基于心理學(xué)、社會學(xué)等方面也出現(xiàn)新的研究思路。

Tesleem Fagade等人[14]提出了信息安全如何嵌入到組織安全文化中。組織文化被描述為在人、過程和政策之間保持聯(lián)系的共同價值觀、行為、態(tài)度和實踐。建議將安全管理與治理結(jié)合到組織行為和行動文化中，這是最有效的。習(xí)慣性行為傳播，通常需要共同努力打破常規(guī)。如果組織想要養(yǎng)成安全行為的習(xí)慣，那么也許一個與組織安全文化的方向一致的長期目標(biāo)是一種更好的方法，而不是專注于快速認(rèn)證狀態(tài)，然后假設(shè)所有的技術(shù)和人工過程都是安全的。組織安全文化被定義為被接受和鼓勵的假設(shè)、態(tài)度和感知，目的是保護信息資產(chǎn)，從而使信息安全的屬性和習(xí)慣得以實現(xiàn)。

匡蕾[15]采用了基于蜜罐技術(shù)的檢測模型;B.A.Alahmadi[16]等人對用戶的網(wǎng)絡(luò)行為建立關(guān)聯(lián)，從而檢測出潛在的內(nèi)部威脅。首先從用戶瀏覽的網(wǎng)頁中提取出文本信息，建立向量;其次建立詞向量與語言獲得和詞匯計數(shù)，然后通過建立的Word-LIWC關(guān)系矩陣與已有的 LIWC-OCEAN 關(guān)系矩陣結(jié)合得到詞向量的關(guān)系矩陣。OCEAN代表大五人格：開 放 性（Openness）、盡責(zé)性（Conscientiousness）、外傾性（Extraversion）、宜人性（Agreeableness）、情緒穩(wěn)定性（Neuroticism）;計算用戶瀏覽的新網(wǎng)頁中的詞向量OCEAN值與日常值的歐氏距離，根據(jù)距離的大小判定行為的異常。

3 內(nèi)部威脅常用數(shù)據(jù)集

目前有很多公開的數(shù)據(jù)集，如：KDD99數(shù)據(jù)集，SEA數(shù)據(jù)集、WUIL數(shù)據(jù)集和CERT-IT數(shù)據(jù)集，表1對主要數(shù)據(jù)集進行了對比。

⑴ KDD99數(shù)據(jù)集：KDD99[17]（Data Mining and Knowledge Discovery），記錄4，898，431條數(shù)據(jù)，每條數(shù)據(jù)記錄包含41個特征，22種攻擊，主要分為以下四類攻擊：拒絕服務(wù)攻擊（denial of service，DoS）、遠(yuǎn)程到本地的攻擊（remote to local，R2L）用戶到遠(yuǎn)程的攻擊（user to remote，U2R）和探測攻擊（probing）。

Putchala[18]將GRU應(yīng)用于物聯(lián)網(wǎng)領(lǐng)域的入侵檢測，在KDD99數(shù)據(jù)集上進行實驗，得到的準(zhǔn)確率高于99%?；诰矸e神經(jīng)網(wǎng)絡(luò)的入侵檢測算法在KDD99的實驗下，比經(jīng)典BP神經(jīng)網(wǎng)絡(luò)和SVM算法有提高。

⑵ SEA數(shù)據(jù)集：SEA數(shù)據(jù)集涵蓋70多個UNIX系統(tǒng)用戶的行為日志，這些數(shù)據(jù)來自于UNIX系統(tǒng)acct機制記錄的用戶使用的命令。SEA數(shù)據(jù)集中每個用戶都采集了15000條命令，從用戶集合中隨機抽取50個用戶作為正常用戶，剩余用戶的命令塊中隨機插入模擬命令作為內(nèi)部偽裝者攻擊數(shù)據(jù)。

⑶ WUIL數(shù)據(jù)集：WUIL數(shù)據(jù)集通過借助Windows的審計工具，他們實驗記錄20個用戶的打開文件/目錄的行為，每條記錄包含事件ID、事件時間以及事件對象及其路徑信息（如文件名與文件路徑）。

⑷ CERT-IT數(shù)據(jù)集：CERT-IT（Insider Threat）數(shù)據(jù)集[19]來源于卡耐基梅隆大學(xué)（Carnegie Mellon University）的內(nèi)部威脅中心，該中心由美國國防部高級研究計劃局（DARPA）贊助，與ExactData公司合作從真實企業(yè)環(huán)境中采集數(shù)據(jù)構(gòu)造了一個內(nèi)部威脅測試集。該中心迄今為止最富有成效的內(nèi)部威脅研究中心，其不僅建立了2001年至今的700多例內(nèi)部威脅數(shù)據(jù)庫，還基于豐富的案例分析不同內(nèi)部威脅的特征，提出了系統(tǒng)破壞、知識產(chǎn)權(quán)竊取與電子欺詐三類基本的攻擊類型，由此組合形成復(fù)合攻擊以及商業(yè)間諜攻擊;此外CERT還建立了內(nèi)部威脅評估與管理系統(tǒng)MERIT用于培訓(xùn)安全人員識別、處理內(nèi)部威脅。CERT完整數(shù)據(jù)集有80G，全部以csv格式記錄用戶行為，包括文件訪問權(quán)限、文件各種屬性以及用戶對文件的增刪改查、Email收發(fā)、移動存儲設(shè)備、打印機等硬件設(shè)備使用記錄、HTTP訪問及系統(tǒng)登錄、工作崗位及工作部門等信息。CERT數(shù)據(jù)集提供了用戶全面的行為觀測數(shù)據(jù)以刻畫用戶行為模型。

⑸ Masquerading User Data數(shù)據(jù)集：Masquerading User Data[20]，模擬真是用戶入侵系統(tǒng)。整個數(shù)據(jù)集由50個文件組成，每個文件對應(yīng)一個用戶。該文件包含100行和50列，每一列對應(yīng)于50個用戶中的一個。每一行對應(yīng)一組100個命令，從命令5001開始，以命令15000結(jié)束。文件中的條目是0或1。0代表相應(yīng)的100個命令沒有受到感染。狀態(tài)1代表它們被感染了。

⑹ 其他數(shù)據(jù)集：Mldata[21]數(shù)據(jù)集包含了869個公開的數(shù)據(jù)集，主要是基于機器學(xué)習(xí)的數(shù)據(jù)，包含視頻流和鍵值集群和服務(wù)度量的Linux內(nèi)核統(tǒng)計數(shù)據(jù)、HDF5等。

4 展望

隨著網(wǎng)絡(luò)系統(tǒng)不斷龐大，互聯(lián)網(wǎng)技術(shù)不斷更新，防范網(wǎng)絡(luò)攻擊需要綜合網(wǎng)絡(luò)測量、網(wǎng)絡(luò)行為分析、網(wǎng)絡(luò)流量異常檢測及相關(guān)檢測模型在處理數(shù)據(jù)時的最新研究成果，并且還需要有能力分析國內(nèi)外各種最新網(wǎng)絡(luò)態(tài)勢。內(nèi)部威脅的傳統(tǒng)檢測方法在模型的特征抽取和模版匹配有一定的局限性，隨著人工智能、云計算、大數(shù)據(jù)等新技術(shù)的成熟，這些前沿技術(shù)在特征抽取和模式匹配時，檢測效率和準(zhǔn)確率有較大提升，目前內(nèi)部威脅熱門研究方向包括：

4.1 人工智能方向

人工智能已經(jīng)日趨成熟，各行各業(yè)都在融合人工智能、機器學(xué)習(xí)等相關(guān)算法技術(shù)，在內(nèi)部威脅檢測領(lǐng)域也是一個熱點。

利用當(dāng)前互聯(lián)網(wǎng)領(lǐng)域前沿的數(shù)據(jù)分析技術(shù)、克隆技術(shù)、神經(jīng)網(wǎng)絡(luò)算法、人工智能算法等，在數(shù)據(jù)采集、身份認(rèn)證、日志管理、漏洞檢測、操作審計環(huán)節(jié)上改進，從而大力提高檢測的質(zhì)量和效率。

4.2 云平臺方向

隨著云計算的興起，云計算面臨著很多安全問題和挑戰(zhàn)，特別是具有某些特權(quán)的云平臺的內(nèi)部管理人員，類似郭東峰[22]、張磊等[23]基于云計算平臺的內(nèi)部威脅的研究也是是近年來學(xué)術(shù)界和工業(yè)界共同關(guān)注的熱點話題。

云平臺的資源訪問入口管控，資源使用痕跡，數(shù)據(jù)加密方法等云安全防護關(guān)鍵技術(shù)也是未來研究方向。

參考文獻（References）：

[1] 崔翀.美國國防部擬建立大規(guī)模數(shù)據(jù)庫監(jiān)控潛在“內(nèi)部威脅”[J].保密科學(xué)技術(shù)，2016.6.

[2] 菏澤警方偵破販賣個人信息案 銀行、快遞業(yè)出了“內(nèi)鬼”[EB/OL].http：//heze.dzwww.com/top/201609/t20160926_14955704.htm，2016.9.26.

[3] Seymour Bosworth， Michel E. Kabay， Eric Whyne.The?Insider Threat[M].https：//doi.org/10.1002/978111885-1678.ch13.12，2015.9.

[4] Wood B.，"An Insider threat model for adversary simulation，"SRI International ， Research on Mitigating the Insider Threat to Information Systems，2000.2：1-3

[5] Parker D.B.，“Fighting Computer Crime： A New?Framework for Protecting Information，” John Wiley & Sons， Inc.1998.

[6] Jason R.C. Nurse， Oliver Buckley， Philipp A.Legg， MichaelGoldsmith， Sadie Creese， Gordon R.T. Wright and Monica Whitty， “Understanding Insider Threat： A Framework for Characterising Attacks， IEEE Symposium on Workshop on Research for Insider Threat Held As Part of the IEEE Computer Society Security & Privacy Workshops，2014：215-228

[7] Park J S， Ho S M. Composite Role-Based Monitoring?（CRBM） for Countering Insider Threats[C]//Symposium on Intelligence and Security Informatics，2004：201-213

[8] 李殿偉，何明亮，袁方.基于角色行為模式挖掘的內(nèi)部威脅檢測研究[J].信息網(wǎng)絡(luò)安全，2017.3：27-32

[9] 文雨，王偉平，孟丹.面向內(nèi)部威脅檢測的用戶跨域行為模式挖掘[J].計算機學(xué)報，2016.39（8）：1555-1569

[10] Szymanski B K， Zhang Y. Recursive data mining formasquerade detection and author identification[C]// Information Assurance Workshop， 2004. Proceedings From the Fifth IEEE Smc. IEEE，2004：424-431

[11] 郭曉明，孫丹.基于樸素貝葉斯理論的內(nèi)部威脅檢測方法[J].計算機與現(xiàn)代化，2017.7：101-106

[12] Yaseen， Q. & Panda， B. Int. J. Inf. Secur. （2012）11：269.https：//doi.org/10.1007/s10207-012-0165-6.

[13] 梁禮，楊君剛，朱廣良等.基于實時告警的層次化網(wǎng)絡(luò)安全風(fēng)險評估方法[J].計算機工程與設(shè)計，2013.7：2315-2323

[14] Fagade T.， Tryfonas T. （2016） Security by Compliance？A Study of Insider Threat Implications for Nigerian Banks. In： Tryfonas T. （eds） Human Aspects of Information Security， Privacy， and Trust. HAS 2016. Lecture Notes in Computer Science， vol 9750. Springer， Cham.

[15] 匡蕾.基于蜜罐技術(shù)的內(nèi)部威脅檢測模型的設(shè)計與實現(xiàn)[D].重慶大學(xué)，2014.

[16] B.A.Alahmadi， P.A..Legg， J.R.C.Nurse， “Using Internet?Activity Profiling for Insider-Threat Detection，”12th International Workshop on Security in Information Systems（WOSIS 2015），2015.

[17] Information and Computer Science University ofCalifornia， Irvine[EB/OL].https：//kdd.ics.uci.edu

[18] Gao Ni， Gao Ling， Gao Quanli， et al. An intrusion?detection model based on deep belief networks[C] Int Conf on Advanced Cloud and Big Data.NJ：IEEE，2014：247-252

[19] Carnegie Mellon University Software Engineering Institute[EB/OL].https：//www.sei.cmu.edu

[20] Matthias Schonlau.Masquerading user data[EB/OL].http：//www.schonlau.net

[21] http：//mldata.org

[22] 郭東峰.基于分層特征云計算模型的電網(wǎng)內(nèi)部威脅檢測[J].計算機測量與控制，2013.21（2）：55-57

[23] 張磊，陳興蜀，劉亮等.Virt-RSBAC：一種防御云計算內(nèi)部威脅的框架[J].工程科學(xué)與技術(shù)，2014.46（6）：114-121