CMU-CERT內部威脅數據集 Insider Threat

• CMU-CERT簡介
• CMU-CERT版本
• CMU-CERT r1版本內容
• • logon.csv內容
  • decive.csv內容
  • HTTP.csv內容
  • LDAP and Administrative records
  • 勘誤
  • 一些已知的缺陷
• CMU-CERT網站

CMU-CERT簡介

首先解釋一下CMU-CERT是什么意思。

“CMU”是卡內基梅隆大學（Carnegie Mellon University）的簡稱，具體這個學校的情況，請大家自行去搜索。

“CERT”是卡內基梅隆大學的一個研究中心叫“CERT”，主要研究內部威脅。

所以大家應該懂了為什么叫 CMU-CERT了。

CMU-CERT版本

目前已經發布至r6.2版本

CMU-CERT r1版本內容

r1內容如下

logon.csv內容

• 字段:id，date,user，pc，activity(logon/logoff)
• 注銷需要先登錄
• 一些登錄在下班后進行
  -下班后的登錄和下班后的u盤使用是顯著的。
• 登錄先于其他PC活動
• 屏幕解鎖記錄為登錄。屏幕鎖定不被記錄。
• 任何特定用戶的日常習慣都會持續
  -開始時間(+少量差異)
  -工作日長度(+少量差異)
  -下班后工作:一些用戶會在下班后登錄，大多數不會
• 5天工作周:每日用戶登錄只發生在工作日。
  (用戶可以在周五晚上下班后登錄，直到周六早上才會注銷)
• 部分員工離開組織:從終止當天的默認開始時間開始，沒有新的登錄活動
• 1千名用戶，每人分配一臺電腦
• 一些用戶除了分配給他們的PC外，還使用了100臺共享機器。它們是在計算機實驗室的意義上共享的，而不是在Unix服務器或Windows終端服務器的意義上。
• 12名具有全局訪問權限的系統管理員(1000名用戶中的12名:工作角色= IT管理員)

decive.csv內容

• 字段:id，date，user，pc，activity(Connect/Disconnect)
• 有些用戶使用u盤
• 某些連接事件可能會遺漏斷開連接事件，因為用戶可以在移除驅動器之前將機器斷電
• 用戶要么是u盤用戶，要么不是。這是二進制的。用戶使用u盤的頻率并不顯著。

HTTP.csv內容

• 字段:id，date，user，pc, url
• 在每日登錄和每日注銷之間，每天最多訪問15個url
• 每天下班后最多訪問5個url
• 使用RTG (www.cs.cmu.edu/~christos/PUBLICATIONS/pkdd09_rtg.pdf)生成一些后期處理步驟。
• 警告:大多數域名是隨機生成的，所以有些可能指向惡意網站。如果參觀其中任何一個，請謹慎行事。

LDAP and Administrative records

• 18個LDAP.csv文件
  -字段:employee_name、user_id、email、Domain、Role
  -每個LDAP文件在月末列出活躍的員工(涵蓋的月份是LDAP文件名的一部分)。在月中離職/被終止的用戶將在前一個月被列出，但不在他/她被終止的當月列出。

勘誤

字段id在csv文件(login .csv, device.csv)中是唯一的，但可能不是全局唯一的。

一些已知的缺陷

• 用戶要么傾向于使用u盤，要么不使用。但對于u盤用戶來說，他們的使用頻率沒有顯著性或趨勢。
• 用戶行為不受星期幾的影響。
• 用戶從不在周末登錄，也不知道假期。

CMU-CERT網站

該網站是卡內基梅隆大學官網對CERT數據集的官方介紹
https://insights.sei.cmu.edu/blog/the-cert-insider-threat-database/

總結

以上是生活随笔為你收集整理的CMU-CERT内部威胁数据集 Insider Threat的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。