導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇卷積神經(jīng)網(wǎng)絡(luò)的優(yōu)缺點(diǎn)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：ROS；表面缺陷；圖像采集；神經(jīng)網(wǎng)絡(luò)；模型訓(xùn)練

飛機(jī)蒙皮是包圍在飛機(jī)骨架結(jié)構(gòu)外且用粘接劑或鉚釘固定于骨架上，形成飛機(jī)氣動(dòng)力外形的維形構(gòu)件，在飛機(jī)正常工作狀態(tài)下扮演著重要的角色，一旦飛機(jī)蒙皮出現(xiàn)缺陷等問(wèn)題，需要及時(shí)的反饋出來(lái)并且維修。傳統(tǒng)的飛機(jī)表面缺陷檢測(cè)方式大多數(shù)是由人工來(lái)完成，會(huì)存在效率低、成本高等缺點(diǎn)，甚至?xí)霈F(xiàn)檢測(cè)失誤的情況。本文就針對(duì)鋁合金表面缺陷檢測(cè)方面，提出一種基于ROS的飛機(jī)表面缺陷檢測(cè)系統(tǒng)，采用移動(dòng)機(jī)器人底盤(pán)定位和導(dǎo)航技術(shù)，結(jié)合深度學(xué)習(xí)、圖像處理等技術(shù)檢測(cè)出存在缺陷的位置并標(biāo)記出來(lái)，通過(guò)機(jī)器代替?zhèn)鹘y(tǒng)人工的方式，旨在提高檢測(cè)效率和檢測(cè)精度，為飛機(jī)表面缺陷檢測(cè)提供一種方式。

1系統(tǒng)的總體設(shè)計(jì)

飛機(jī)表面缺陷檢測(cè)系統(tǒng)主要由檢測(cè)模塊、ROS機(jī)器人模塊、圖像處理模塊三大部分組成，系統(tǒng)的總體結(jié)構(gòu)框圖如圖1所示。系統(tǒng)的具體工作原理為：在某一區(qū)域范圍內(nèi)，檢測(cè)模塊以樹(shù)莓派為核心控制器，通過(guò)檢測(cè)模塊中的圖像采集系統(tǒng)對(duì)鋁合金材料表面進(jìn)行圖像采集，將采集到的圖像通過(guò)TCP通信傳輸?shù)綀D像處理模塊上[4]。圖像處理模塊利用深度學(xué)習(xí)中設(shè)計(jì)的卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)訓(xùn)練，得到檢測(cè)模型，將檢測(cè)模型應(yīng)用到圖像預(yù)處理上。此時(shí)，OpenCV對(duì)檢測(cè)模塊得到的圖像進(jìn)行圖像處理[5]，最終得到缺陷出現(xiàn)的位置。當(dāng)前區(qū)域檢測(cè)完畢后，通過(guò)ROS機(jī)器人模塊的定位和導(dǎo)航功能，驅(qū)動(dòng)運(yùn)動(dòng)執(zhí)行機(jī)構(gòu)工作，并移動(dòng)到相鄰下一塊檢測(cè)區(qū)域，直到所有位置都檢測(cè)完畢。上述工作原理可實(shí)現(xiàn)飛機(jī)表面缺陷檢測(cè)系統(tǒng)，下文將對(duì)其包括的三大模塊進(jìn)行說(shuō)明介紹。

2檢測(cè)模塊設(shè)計(jì)

如圖2所示，系統(tǒng)的檢測(cè)模塊主要是包括樹(shù)莓派和攝像頭，其中樹(shù)莓派作為檢測(cè)模塊的處理器，搭建的有Ubuntu系統(tǒng)，是系統(tǒng)實(shí)現(xiàn)的重要組成部分。樹(shù)莓派可以提供普通計(jì)算機(jī)的功能，并且功耗低?？芍苯釉跇?shù)莓派上安裝Keil進(jìn)行開(kāi)發(fā)，具有很好的開(kāi)發(fā)效果，運(yùn)行穩(wěn)定。本次飛機(jī)表面缺陷檢測(cè)系統(tǒng)實(shí)現(xiàn)了樹(shù)莓派將攝像頭拍攝的圖片發(fā)送到圖像處理模塊上，同時(shí)也搭載ROS系統(tǒng)實(shí)現(xiàn)了移動(dòng)底盤(pán)的定位和導(dǎo)航功能。

3ROS機(jī)器人模塊設(shè)計(jì)

ROS隨著機(jī)器人技術(shù)發(fā)展愈發(fā)受到關(guān)注，采用分布式框架結(jié)構(gòu)來(lái)處理文件，這種方式允許開(kāi)發(fā)者單獨(dú)設(shè)計(jì)和開(kāi)發(fā)可執(zhí)行文件。ROS還以功能包的形式封裝功能模塊，方便移植和用戶之間的共享。下面將介紹其建圖和導(dǎo)航功能的實(shí)現(xiàn)。

3.1建圖設(shè)計(jì)

本文在ROS系統(tǒng)中使用Gmapping算法軟件包實(shí)現(xiàn)建圖[7]，在ROS系統(tǒng)中設(shè)計(jì)了建圖過(guò)程中各節(jié)點(diǎn)及節(jié)點(diǎn)間的話題訂閱/的關(guān)系如圖3所示。在圖3建圖節(jié)點(diǎn)話題關(guān)系圖上，其中橢圓形里代表節(jié)點(diǎn)，矩形基于ROS的飛機(jī)表面缺陷檢測(cè)系統(tǒng)胡浩鵬（紐約大學(xué)NewYorkUniversity紐約10003）框里代表的是主題，節(jié)點(diǎn)指向主題代表著該節(jié)點(diǎn)了主題消息，主題指向節(jié)點(diǎn)代表著該節(jié)點(diǎn)訂閱了主題消息。在建圖過(guò)程中，主要涉及激光雷達(dá)節(jié)點(diǎn)、鍵盤(pán)控制節(jié)點(diǎn)、底盤(pán)節(jié)點(diǎn)、Gmapping節(jié)點(diǎn)和地圖服務(wù)節(jié)點(diǎn)。

3.2導(dǎo)航設(shè)計(jì)

ROS提供的Navigation導(dǎo)航框架結(jié)構(gòu)如圖4所示，顯然MOVE_BASE導(dǎo)航功能包中包括全局路徑規(guī)劃和局部路徑規(guī)劃兩部分，即在已構(gòu)建好的地圖的基礎(chǔ)上，通過(guò)配置全局和局部代價(jià)地圖，從而支持和引導(dǎo)路徑規(guī)劃的實(shí)施。為了保證導(dǎo)航效果的準(zhǔn)確，通過(guò)AMCL定位功能包進(jìn)行護(hù)理床的位置定位[8]。獲取目標(biāo)點(diǎn)的位置后，MOVE_BASE功能包結(jié)合傳感器信息，在路徑規(guī)劃的作用下，控制指令，控制護(hù)理床完成相應(yīng)的運(yùn)動(dòng)。

4圖像處理模塊設(shè)計(jì)

圖像處理模塊設(shè)計(jì)主要分為圖像預(yù)處理、模型訓(xùn)練和卷積神經(jīng)網(wǎng)絡(luò)三大部分，通過(guò)TCP通信協(xié)議進(jìn)行通信，TCP通信是一種面向連接的通信，可完成客戶端（樹(shù)莓派）和服務(wù)端（PC）的信息傳遞[9]。下面主要對(duì)卷積神經(jīng)網(wǎng)絡(luò)部分進(jìn)行介紹。

4.1卷積神經(jīng)網(wǎng)絡(luò)訓(xùn)練流程

通過(guò)相機(jī)采集到的缺陷和問(wèn)題圖像作為訓(xùn)練樣本，這部分是檢測(cè)飛機(jī)表面缺陷的關(guān)鍵一步，然后對(duì)訓(xùn)練樣本進(jìn)行訓(xùn)練，具體步驟如下所示。（1）訓(xùn)練標(biāo)記數(shù)據(jù)：首先使用圖像預(yù)處理中標(biāo)記好的道路故障提取出來(lái)，通過(guò)卷積神經(jīng)網(wǎng)絡(luò)對(duì)標(biāo)記框內(nèi)的目標(biāo)數(shù)據(jù)進(jìn)行訓(xùn)練；（2）提取特征數(shù)據(jù)：將道路故障的類(lèi)型統(tǒng)計(jì)并歸納；（3）誤差反饋學(xué)習(xí)：對(duì)測(cè)試樣本進(jìn)行誤差反饋學(xué)習(xí)，并進(jìn)行測(cè)試；（4）優(yōu)化訓(xùn)練數(shù)據(jù)：將得到的測(cè)試結(jié)果與設(shè)定的故障分類(lèi)結(jié)果進(jìn)行誤差對(duì)比，不斷優(yōu)化訓(xùn)練集，最終得到理想的訓(xùn)練數(shù)據(jù)。

4.2缺陷檢測(cè)流程

缺陷檢測(cè)流程如圖5所示，首先輸入缺陷原始圖像，通過(guò)特征提取網(wǎng)絡(luò)，將處理后的圖像使用檢測(cè)器進(jìn)行檢測(cè)，其中檢測(cè)器里為卷積神經(jīng)網(wǎng)絡(luò)訓(xùn)練后得到的模型，最終缺陷檢測(cè)后得到的識(shí)別后的圖像，并反饋出來(lái)。

4.3實(shí)驗(yàn)測(cè)試

鋁合金表面缺陷主要有碰傷、刮花、凸粉、臟點(diǎn)等常見(jiàn)的缺陷，下面將以這四種為主要對(duì)象進(jìn)行檢測(cè)訓(xùn)練，各自訓(xùn)練集數(shù)量為1000張。通過(guò)卷積神經(jīng)網(wǎng)絡(luò)對(duì)缺陷的特征進(jìn)行提取和分類(lèi)，最終實(shí)現(xiàn)了缺陷的檢測(cè)。本次實(shí)驗(yàn)測(cè)試的樣本為200張，每種缺陷50張，均采集自鋁合金材料表面且與訓(xùn)練樣本一致，實(shí)驗(yàn)結(jié)果如表1所示。由表1可知，檢測(cè)臟點(diǎn)的準(zhǔn)確率高達(dá)98%，刮花和凸粉的準(zhǔn)確率也達(dá)到94%，但碰傷的準(zhǔn)確率相對(duì)較低，只有88%。可能造成的原因是：①硬件原因?qū)е虏杉膱D像清晰度比較低；②碰傷缺陷不明顯，無(wú)人機(jī)難以識(shí)別；③訓(xùn)練的數(shù)據(jù)集較少，特征學(xué)習(xí)誤差大；但最后結(jié)果是滿足了設(shè)計(jì)需求，還需進(jìn)一步改進(jìn)。

5總結(jié)與展望

篇2

關(guān)鍵詞：內(nèi)部威脅；檢測(cè)模型；信息泄露；網(wǎng)絡(luò)安全；

作者：吳良秋

0、引言

隨著大數(shù)據(jù)、云計(jì)算蓬勃發(fā)展，計(jì)算機(jī)相關(guān)產(chǎn)品在我們生活中扮演著重要角色，我們?cè)谙硎艿耐瑫r(shí)，信息安全成了不可忽視的安全隱患，數(shù)據(jù)的非法獲取成了互聯(lián)網(wǎng)環(huán)境下的巨大威脅，特別是內(nèi)部威脅，具有一定的透明性，發(fā)生在安全邊界之內(nèi)，相對(duì)于外部攻擊更隱蔽，對(duì)整個(gè)網(wǎng)絡(luò)安全環(huán)境提出了嚴(yán)峻挑戰(zhàn)。

美國(guó)防部海量數(shù)據(jù)庫(kù)[1]監(jiān)測(cè)、分析和識(shí)別單位雇員的行為是否給國(guó)防部帶來(lái)危險(xiǎn)；2013年斯諾登事件中內(nèi)部人員通過(guò)私人渠道公開(kāi)內(nèi)部數(shù)據(jù)引起媒體廣泛關(guān)注；2017年3月，Dun&Bradstreet(鄧白氏)的52GB數(shù)據(jù)庫(kù)遭到泄露，這個(gè)數(shù)據(jù)庫(kù)中包括了美國(guó)一些大型企業(yè)和政府組織(包括AT&T，沃爾瑪、WellsFargo，美國(guó)郵政甚至美國(guó)國(guó)防部)的3300多萬(wàn)員工的信息和聯(lián)系方式等；2014年1月，韓國(guó)信用局內(nèi)部員工竊取了2000萬(wàn)銀行和信用卡用戶的個(gè)人數(shù)據(jù)，造成韓國(guó)歷史上最嚴(yán)重的數(shù)據(jù)泄露事件，但這只是內(nèi)部威脅安全的冰山一角。SailPoint的調(diào)查顯示，被調(diào)查者中20%的人表示只要價(jià)錢(qián)合適會(huì)出賣(mài)自己的工作賬號(hào)和密碼。即時(shí)內(nèi)部威脅檢測(cè)系統(tǒng)(ITDS)是一項(xiàng)昂貴而復(fù)雜的工程，但是情報(bào)界，國(guó)防部，公司都在研究相關(guān)檢測(cè)模型。

截止2016年4月公安部部署打擊整治網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪專(zhuān)項(xiàng)行動(dòng)以來(lái)，全國(guó)公安機(jī)關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門(mén)已經(jīng)查破刑事案件1200余起，抓獲犯罪嫌疑人3300余人，其中銀行、教育、電信、快遞、證券、電商網(wǎng)站等行業(yè)內(nèi)部人員270余人[2]。

國(guó)內(nèi)外內(nèi)部威脅事件不斷發(fā)生，內(nèi)部威脅應(yīng)對(duì)形式嚴(yán)峻，需要社會(huì)各界的高度重視，首要工作是分析內(nèi)部威脅的特征，從而研究可能的應(yīng)對(duì)方案。

1、內(nèi)部威脅的產(chǎn)生

1.1、相關(guān)術(shù)語(yǔ)

內(nèi)部威脅，一般存在于某一個(gè)企業(yè)或組織的內(nèi)部，內(nèi)部的人員與外界共同完成對(duì)團(tuán)隊(duì)信息的盜竊和交易。

定義1內(nèi)部威脅攻擊者一般是指企業(yè)或組織的員工(在職或離職)、承包商以及商業(yè)伙伴等，其應(yīng)當(dāng)具有組織的系統(tǒng)、網(wǎng)絡(luò)以及數(shù)據(jù)的訪問(wèn)權(quán)。

內(nèi)部人外延是指與企業(yè)或組織具有某種社會(huì)關(guān)系的個(gè)體，如在職員工，離職員工，值得注意的是承包商與商業(yè)伙伴擴(kuò)展了內(nèi)部人的范圍，即“合伙人”也是潛在的內(nèi)部攻擊者；內(nèi)涵則是具有系統(tǒng)訪問(wèn)權(quán)。

定義2內(nèi)部威脅是指內(nèi)部威脅攻擊者利用合法獲得的訪問(wèn)權(quán)對(duì)組織信息系統(tǒng)中信息的機(jī)密性、完整性以及可用性造成負(fù)面影響的行為。

內(nèi)部威脅的結(jié)果是對(duì)數(shù)據(jù)安全造成了破壞，如機(jī)密性(如數(shù)據(jù)竊取)、完整性(如數(shù)據(jù)篡改)以及可用性(如系統(tǒng)攻擊)等。

企業(yè)或者組織信息化程度已經(jīng)深入日常管理，盡管企業(yè)或組織努力保護(hù)自身數(shù)據(jù)，但身份盜竊、數(shù)據(jù)庫(kù)泄露和被盜密碼問(wèn)題仍然是企業(yè)組織面臨的主要挑戰(zhàn)。如今，組織面臨的最大挑戰(zhàn)之一是內(nèi)部人士的系統(tǒng)濫用，他們的行為深深植根于不遵守監(jiān)管標(biāo)準(zhǔn)。已經(jīng)確定，信息安全防御中最薄弱的環(huán)節(jié)是人，這意味著最嚴(yán)重的威脅來(lái)自內(nèi)部人員。

因此，內(nèi)部威脅產(chǎn)生，主要有兩方面原因：(1)主體原因，即攻擊者有攻擊的能力，行為完成一次攻擊；(2)客體原因，一次攻擊能成功都是因?yàn)楸还魧?duì)象存在漏洞或者缺乏監(jiān)管。

1.2、內(nèi)部威脅的分類(lèi)

內(nèi)部威脅[3]有三種主要的分類(lèi)：偶然的、惡意的和非惡意的。

偶然的威脅通常是由錯(cuò)誤引起的。例如，由于粗心大意、對(duì)政策的漠視、缺乏培訓(xùn)和對(duì)正確的事情的認(rèn)識(shí)，員工可能不會(huì)遵循操作流程。惡意的威脅是指故意破壞組織或使攻擊者受益。例如，信息技術(shù)(IT)管理員因心懷不滿而破壞IT系統(tǒng)，使組織陷入停頓。在許多事件中，當(dāng)前和以前的管理員都是因各種動(dòng)機(jī)故意造成系統(tǒng)問(wèn)題。非惡意的威脅是人們故意采取的行動(dòng)，而不打算破壞組織。在非惡意威脅中，其動(dòng)機(jī)是提高生產(chǎn)力，而錯(cuò)誤的發(fā)生是由于缺乏培訓(xùn)或?qū)φ?、程序和風(fēng)險(xiǎn)的認(rèn)識(shí)。

1.3、內(nèi)部威脅特征

⑴高危性內(nèi)部威脅危害較外部威脅更大，因?yàn)楣粽呔哂薪M織知識(shí)，可以接觸核心資產(chǎn)(如知識(shí)產(chǎn)權(quán)等)，從而對(duì)組織經(jīng)濟(jì)資產(chǎn)、業(yè)務(wù)運(yùn)行及組織信譽(yù)進(jìn)行破壞以造成巨大損失。如2014年的美國(guó)CERT的網(wǎng)絡(luò)安全調(diào)查顯示僅占28%的內(nèi)部攻擊卻造成了46%的損失。

⑵隱蔽性由于攻擊者來(lái)自安全邊界內(nèi)部，所以內(nèi)部威脅具有極強(qiáng)的偽裝性，可以逃避現(xiàn)有安全機(jī)制的檢測(cè)。

⑶透明性攻擊者來(lái)自安全邊界內(nèi)部，因此攻擊者可以躲避防火墻等外部安全設(shè)備的檢測(cè)，導(dǎo)致多數(shù)內(nèi)部攻擊對(duì)于外部安全設(shè)備具有透明性.

⑷復(fù)雜性(1)內(nèi)外勾結(jié)：越來(lái)越多的內(nèi)部威脅動(dòng)機(jī)與外部對(duì)手關(guān)聯(lián)，并且得到外部的資金等幫助；(3)合伙人：商業(yè)合作伙伴引發(fā)的內(nèi)部威脅事件日益增多，監(jiān)控對(duì)象群體擴(kuò)大；(3)企業(yè)兼并：當(dāng)企業(yè)發(fā)生兼并、重組時(shí)最容易發(fā)生內(nèi)部威脅，而此時(shí)內(nèi)部檢測(cè)難度較大；(4)文化差異：不同行為人的文化背景會(huì)影響其同類(lèi)威脅時(shí)的行為特征。

2、內(nèi)部威脅模型

學(xué)界曾經(jīng)對(duì)內(nèi)部威脅提出過(guò)諸多的行為模型，希望可以從中提取出行為模式，這部分主要的工作開(kāi)始于早期提出的SKRAM模型與CMO模型，兩個(gè)模型都從內(nèi)部攻擊者的角度入手，分析攻擊者成功實(shí)施一次攻擊所需要具備的要素，其中的主觀要素包括動(dòng)機(jī)、職業(yè)角色具備的資源訪問(wèn)權(quán)限以及技能素養(yǎng)，客觀要素則包括目標(biāo)的內(nèi)部缺陷的訪問(wèn)控制策略以及缺乏有效的安全監(jiān)管等。

根據(jù)內(nèi)部威脅產(chǎn)生的原因，內(nèi)部威脅的模型也可分為兩類(lèi)：基于主體和基于客體。其中基于主體模型主要代表有CMO模型和SKRAM模型，這也是最早的內(nèi)部威脅模型。

2.1、基于主體的模型

CMO模型[4]是最早用于內(nèi)部攻擊的通用模型，這都是單純從攻擊者的主觀方面建立的模型，沒(méi)有考慮到客觀因素，如由于資源所有者內(nèi)部缺陷的訪問(wèn)控制策略及其缺乏切實(shí)有效的安全監(jiān)管。攻擊者成功實(shí)施一次攻擊主觀方面所需要具備的要素即：(1)能力(Capability)，進(jìn)行內(nèi)部攻擊的能力，包括文化層次，技術(shù)水平等能力；(2)動(dòng)機(jī)(Motive)，內(nèi)部攻擊的動(dòng)機(jī)，有因?yàn)楣ぷ鞑粷M，換取利益等；(2)機(jī)會(huì)(Opportunity)，不是每個(gè)人都有機(jī)會(huì)攻擊，有攻擊的能力，也有動(dòng)機(jī)，但是還得有合適的機(jī)會(huì)把動(dòng)機(jī)轉(zhuǎn)化人實(shí)際行動(dòng)。

SKRAM模型[5]是Parker等人在早期的CMO模型基礎(chǔ)上進(jìn)行的改進(jìn)，即需要具備的要素有：(1)技能(Skills)，也即是內(nèi)部攻擊者的能力；(2)知識(shí)(Knowledge)，包括內(nèi)部攻擊者的知識(shí)水平，文化素養(yǎng)；(3)資源(Resources)，職業(yè)角色具備的資源訪問(wèn)權(quán)限；(4)Authority；(5)動(dòng)機(jī)(Motives)。

Jason等人[6]提出內(nèi)部人員成為了具有攻擊動(dòng)機(jī)的內(nèi)部攻擊者，主觀要素是用戶的自身屬性，主要影響、反映內(nèi)部人的當(dāng)前心理狀態(tài)，這些要素主要包括三類(lèi)：一類(lèi)是包括內(nèi)部人的人格特征等內(nèi)在心理特征，另一類(lèi)包括精神病史或違法犯罪史等檔案信息以及現(xiàn)實(shí)中可以表征心理狀態(tài)變化的諸多行為，最后一類(lèi)則是內(nèi)部人在組織中的職位、能力等組織屬性。

2.2、基于客體的模型

CRBM模型[7](Role-BasedAccessControl)是基于角色訪問(wèn)控制。通過(guò)擴(kuò)展基于角色的訪問(wèn)控制模型來(lái)克服內(nèi)部威脅的局限性，引入了CRBM(復(fù)合基于角色的監(jiān)視)方法。CRBM繼承了RBAC的優(yōu)點(diǎn)，將角色結(jié)構(gòu)映射為三個(gè)：組織角色(OrganizationRole，OR)、應(yīng)用程序角色(ApplicationRole，AR)和操作系統(tǒng)角色(OperatingSystemRole，OSR)。

李殿偉等人[8]將訪問(wèn)控制與數(shù)據(jù)挖掘相結(jié)合，設(shè)計(jì)了一種基于角色行為模式挖掘的內(nèi)部威脅檢測(cè)模型，提出了一種基于用戶角色行為準(zhǔn)則、行為習(xí)慣與實(shí)際操作行為匹配的內(nèi)部威脅預(yù)警方法。文雨等人[9]提出一種新的用戶跨域行為模式分析方法。該方法能夠分析用戶行為的多元模式，不需要依賴(lài)相關(guān)領(lǐng)域知識(shí)和用戶背景屬性，針對(duì)用戶行為模式分析方法設(shè)計(jì)了一種面向內(nèi)部攻擊的檢測(cè)方法，并在真實(shí)場(chǎng)景中的5種用戶審計(jì)日志，實(shí)驗(yàn)結(jié)果驗(yàn)證了其分析方法在多檢測(cè)域場(chǎng)景中分析用戶行為多元模式的有效性，同時(shí)檢測(cè)方法優(yōu)于兩種已有方法：?jiǎn)斡驒z測(cè)方法和基于單一行為模式的檢測(cè)方法。

2.3、基于人工智能的模型

傳統(tǒng)的內(nèi)部威脅檢測(cè)模型主要是基于異常檢測(cè)、基于角色等相關(guān)技術(shù)，隨著人工智能的興起，利用機(jī)器學(xué)習(xí)等相關(guān)算法來(lái)建立內(nèi)部威脅模型占據(jù)主要地位。這種模型，建立網(wǎng)絡(luò)用戶的正常行為輪廓，并利用不同的機(jī)器學(xué)習(xí)算法進(jìn)行訓(xùn)練，實(shí)現(xiàn)了檢測(cè)準(zhǔn)確率高的優(yōu)點(diǎn)，但是效率較低。

Szymanski[10]等人使用遞歸數(shù)據(jù)挖掘來(lái)描述用戶簽名和監(jiān)視會(huì)話中的結(jié)構(gòu)和高級(jí)符號(hào)，使用一個(gè)類(lèi)SVM來(lái)測(cè)量這兩種特征的相似性。郭曉明[11]等提出一種基于樸素貝葉斯理論的內(nèi)部威脅檢測(cè)模型。通過(guò)分析多用戶對(duì)系統(tǒng)的命令操作行為特征，對(duì)多用戶命令樣本進(jìn)行訓(xùn)練，構(gòu)建樸素貝葉斯分類(lèi)器。Yaseen等人[12]研究了關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)中的內(nèi)部威脅。介紹知識(shí)圖譜(KG)，展示內(nèi)部人員知識(shí)庫(kù)和內(nèi)部人員對(duì)數(shù)據(jù)項(xiàng)的信息量；引入約束和依賴(lài)圖(CDG)，顯示內(nèi)部人員獲取未經(jīng)授權(quán)知識(shí)的路徑；使用威脅預(yù)測(cè)圖(TPG)，顯示內(nèi)部人員每個(gè)數(shù)據(jù)項(xiàng)的威脅預(yù)測(cè)價(jià)值(TPV)，當(dāng)內(nèi)部威脅發(fā)生時(shí)，TPV被用來(lái)提高警報(bào)級(jí)別。梁禮[13]等人提出基于實(shí)時(shí)告警的層次化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法，包含服務(wù)、主機(jī)和網(wǎng)絡(luò)三級(jí)的網(wǎng)絡(luò)分層風(fēng)險(xiǎn)評(píng)估模型，通過(guò)加權(quán)的方式計(jì)算網(wǎng)絡(luò)各層的安全風(fēng)險(xiǎn)值。分別以實(shí)驗(yàn)室網(wǎng)絡(luò)環(huán)境及校園網(wǎng)環(huán)境為實(shí)例驗(yàn)證了方法的準(zhǔn)確性和有效性。

2.4、基于交叉學(xué)科的模型

隨著內(nèi)部威脅的不斷發(fā)展，內(nèi)部威脅的研究領(lǐng)域不斷擴(kuò)展，基于心理學(xué)、社會(huì)學(xué)等方面也出現(xiàn)新的研究思路。

TesleemFagade等人[14]提出了信息安全如何嵌入到組織安全文化中。組織文化被描述為在人、過(guò)程和政策之間保持聯(lián)系的共同價(jià)值觀、行為、態(tài)度和實(shí)踐。建議將安全管理與治理結(jié)合到組織行為和行動(dòng)文化中，這是最有效的。習(xí)慣性行為傳播，通常需要共同努力打破常規(guī)。如果組織想要養(yǎng)成安全行為的習(xí)慣，那么也許一個(gè)與組織安全文化的方向一致的長(zhǎng)期目標(biāo)是一種更好的方法，而不是專(zhuān)注于快速認(rèn)證狀態(tài)，然后假設(shè)所有的技術(shù)和人工過(guò)程都是安全的。組織安全文化被定義為被接受和鼓勵(lì)的假設(shè)、態(tài)度和感知，目的是保護(hù)信息資產(chǎn)，從而使信息安全的屬性和習(xí)慣得以實(shí)現(xiàn)。

匡蕾[15]采用了基于蜜罐技術(shù)的檢測(cè)模型；B.A.Alahmadi[16]等人對(duì)用戶的網(wǎng)絡(luò)行為建立關(guān)聯(lián)，從而檢測(cè)出潛在的內(nèi)部威脅。首先從用戶瀏覽的網(wǎng)頁(yè)中提取出文本信息，建立向量；其次建立詞向量與語(yǔ)言獲得和詞匯計(jì)數(shù)，然后通過(guò)建立的Word-LIWC關(guān)系矩陣與已有的LIWC-OCEAN關(guān)系矩陣結(jié)合得到詞向量的關(guān)系矩陣。OCEAN代表大五人格：開(kāi)放性(Openness)、盡責(zé)性(Conscientiousness)、外傾性(Extraversion)、宜人性(Agreeableness)、情緒穩(wěn)定性(Neuroticism)；計(jì)算用戶瀏覽的新網(wǎng)頁(yè)中的詞向量OCEAN值與日常值的歐氏距離，根據(jù)距離的大小判定行為的異常。

3、內(nèi)部威脅常用數(shù)據(jù)集

目前有很多公開(kāi)的數(shù)據(jù)集，如：KDD99數(shù)據(jù)集，SEA數(shù)據(jù)集、WUIL數(shù)據(jù)集和CERT-IT數(shù)據(jù)集，表1對(duì)主要數(shù)據(jù)集進(jìn)行了對(duì)比。

⑴KDD99數(shù)據(jù)集：KDD99[17](DataMiningandKnowledgeDiscovery)，記錄4，898，431條數(shù)據(jù)，每條數(shù)據(jù)記錄包含41個(gè)特征，22種攻擊，主要分為以下四類(lèi)攻擊：拒絕服務(wù)攻擊(denialofservice，DoS)、遠(yuǎn)程到本地的攻擊(remotetolocal，R2L)用戶到遠(yuǎn)程的攻擊(usertoremote，U2R)和探測(cè)攻擊(probing)。

Putchala[18]將GRU應(yīng)用于物聯(lián)網(wǎng)領(lǐng)域的入侵檢測(cè)，在KDD99數(shù)據(jù)集上進(jìn)行實(shí)驗(yàn)，得到的準(zhǔn)確率高于99%。基于卷積神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)算法在KDD99的實(shí)驗(yàn)下，比經(jīng)典BP神經(jīng)網(wǎng)絡(luò)和SVM算法有提高。

⑵SEA數(shù)據(jù)集：SEA數(shù)據(jù)集涵蓋70多個(gè)UNIX系統(tǒng)用戶的行為日志，這些數(shù)據(jù)來(lái)自于UNIX系統(tǒng)acct機(jī)制記錄的用戶使用的命令。SEA數(shù)據(jù)集中每個(gè)用戶都采集了15000條命令，從用戶集合中隨機(jī)抽取50個(gè)用戶作為正常用戶，剩余用戶的命令塊中隨機(jī)插入模擬命令作為內(nèi)部偽裝者攻擊數(shù)據(jù)。

⑶WUIL數(shù)據(jù)集：WUIL數(shù)據(jù)集通過(guò)借助Windows的審計(jì)工具，他們實(shí)驗(yàn)記錄20個(gè)用戶的打開(kāi)文件/目錄的行為，每條記錄包含事件ID、事件時(shí)間以及事件對(duì)象及其路徑信息(如文件名與文件路徑)。

⑷CERT-IT數(shù)據(jù)集：CERT-IT(InsiderThreat)數(shù)據(jù)集[19]來(lái)源于卡耐基梅隆大學(xué)(CarnegieMellonUniversity)的內(nèi)部威脅中心，該中心由美國(guó)國(guó)防部高級(jí)研究計(jì)劃局(DARPA)贊助，與ExactData公司合作從真實(shí)企業(yè)環(huán)境中采集數(shù)據(jù)構(gòu)造了一個(gè)內(nèi)部威脅測(cè)試集。該中心迄今為止最富有成效的內(nèi)部威脅研究中心，其不僅建立了2001年至今的700多例內(nèi)部威脅數(shù)據(jù)庫(kù)，還基于豐富的案例分析不同內(nèi)部威脅的特征，提出了系統(tǒng)破壞、知識(shí)產(chǎn)權(quán)竊取與電子欺詐三類(lèi)基本的攻擊類(lèi)型，由此組合形成復(fù)合攻擊以及商業(yè)間諜攻擊；此外CERT還建立了內(nèi)部威脅評(píng)估與管理系統(tǒng)MERIT用于培訓(xùn)安全人員識(shí)別、處理內(nèi)部威脅。CERT完整數(shù)據(jù)集有80G，全部以csv格式記錄用戶行為，包括文件訪問(wèn)權(quán)限、文件各種屬性以及用戶對(duì)文件的增刪改查、Email收發(fā)、移動(dòng)存儲(chǔ)設(shè)備、打印機(jī)等硬件設(shè)備使用記錄、HTTP訪問(wèn)及系統(tǒng)登錄、工作崗位及工作部門(mén)等信息。CERT數(shù)據(jù)集提供了用戶全面的行為觀測(cè)數(shù)據(jù)以刻畫(huà)用戶行為模型。

⑸MasqueradingUserData數(shù)據(jù)集：MasqueradingUserData[20]，模擬真是用戶入侵系統(tǒng)。整個(gè)數(shù)據(jù)集由50個(gè)文件組成，每個(gè)文件對(duì)應(yīng)一個(gè)用戶。該文件包含100行和50列，每一列對(duì)應(yīng)于50個(gè)用戶中的一個(gè)。每一行對(duì)應(yīng)一組100個(gè)命令，從命令5001開(kāi)始，以命令15000結(jié)束。文件中的條目是0或1。0代表相應(yīng)的100個(gè)命令沒(méi)有受到感染。狀態(tài)1代表它們被感染了。

⑹其他數(shù)據(jù)集：Mldata[21]數(shù)據(jù)集包含了869個(gè)公開(kāi)的數(shù)據(jù)集，主要是基于機(jī)器學(xué)習(xí)的數(shù)據(jù)，包含視頻流和鍵值集群和服務(wù)度量的Linux內(nèi)核統(tǒng)計(jì)數(shù)據(jù)、HDF5等。

表1常用數(shù)據(jù)集比較

表1常用數(shù)據(jù)集比較

4、展望

隨著網(wǎng)絡(luò)系統(tǒng)不斷龐大，互聯(lián)網(wǎng)技術(shù)不斷更新，防范網(wǎng)絡(luò)攻擊需要綜合網(wǎng)絡(luò)測(cè)量、網(wǎng)絡(luò)行為分析、網(wǎng)絡(luò)流量異常檢測(cè)及相關(guān)檢測(cè)模型在處理數(shù)據(jù)時(shí)的最新研究成果，并且還需要有能力分析國(guó)內(nèi)外各種最新網(wǎng)絡(luò)態(tài)勢(shì)。內(nèi)部威脅的傳統(tǒng)檢測(cè)方法在模型的特征抽取和模版匹配有一定的局限性，隨著人工智能、云計(jì)算、大數(shù)據(jù)等新技術(shù)的成熟，這些前沿技術(shù)在特征抽取和模式匹配時(shí)，檢測(cè)效率和準(zhǔn)確率有較大提升，目前內(nèi)部威脅熱門(mén)研究方向包括：

4.1、人工智能方向

人工智能已經(jīng)日趨成熟，各行各業(yè)都在融合人工智能、機(jī)器學(xué)習(xí)等相關(guān)算法技術(shù)，在內(nèi)部威脅檢測(cè)領(lǐng)域也是一個(gè)熱點(diǎn)。

利用當(dāng)前互聯(lián)網(wǎng)領(lǐng)域前沿的數(shù)據(jù)分析技術(shù)、克隆技術(shù)、神經(jīng)網(wǎng)絡(luò)算法、人工智能算法等，在數(shù)據(jù)采集、身份認(rèn)證、日志管理、漏洞檢測(cè)、操作審計(jì)環(huán)節(jié)上改進(jìn)，從而大力提高檢測(cè)的質(zhì)量和效率。

4.2、云平臺(tái)方向