内部威胁发现检测方法研究综述.docx
《内部威胁发现检测方法研究综述.docx》由会员分享,可在线阅读,更多相关《内部威胁发现检测方法研究综述.docx(18页珍藏版)》请在课桌文档上搜索。
1、内部威胁发现检测方法研究综述郭世泽,张磊,潘雨,陶蔚,白玮,郑奇斌,刘艺,潘志松(1.陆军工程大学指挥控制工程学院,南京210007;2.军事科学院战略评估咨询中心,北京100091;3.北京大数据先进技术研究院,北京100091;4.军事科学院国防科技创新研究院,北京100010)引言随着社会信息化程度越来越高,企事业单位等组织的内部网络不仅面临着外部攻击者攻击的风险,而且面临着来自内部攻击者的安全威胁。一般来说,内部攻击者一般是指组织机构内部人员,包括在职或离职员工、承包商以及商业合作伙伴等口-2。与外部攻击者不同,内部攻击者可以利用正常业务流程获得相关内部网络的信息,或者利用社交关系获取
2、网络管理员权限,从而对内部网络安全造成负面影响3,这些潜在的威胁统称为“内部威胁”。内部威胁从幕后到台前的关键事件是斯诺登的“棱镜门”事件,该事件表明内部威胁已经发展成为网络安全领域所面临的重要问题4。文献5的调研报告显示,只要价钱合理,20%的人愿意将自己的工作账号和密码卖给无关人员;美国计算机安全协会有报告指出,同样的攻击成本,内部威胁所造成的损失要远远高于外部攻击6;普华永道的报告显示,中国公司的网络安全事件中,由内部人员造成的网络安全事件占50%以71同时各大机构更频频爆出内部网络安全的事件,例如:巴林银行职工安全事件导致14亿美元的损失,最终导致银行破产;法国兴业银行内部网络安全事件
3、造成的72亿美元的损失8。这些事件都证明了内部威胁会对公司发展产生重大影响,因而发现检测内部威胁问题变得刻不容缓。内部威胁问题也引起了学术领域的广泛关注。中国计算机学会推荐A类会议CCS(ConferenceonComputerandCommunicationsSecurity)针对内部威胁的发现检测技术召开研讨会进行讨论。卡耐基梅隆大学的CERT(ComputerEmergencyResponseTeams)研究中心早在2000年就开始了对内部威胁检测方法的研究,取得了一系列的成果。根据CERT和文献9-14对内部威胁的定义,内部威胁和外部攻击的主要区别在于其攻击者主要来自内部,因此内部威胁
4、一般具有以下特征:(1)比外部威胁损失更大:外部威胁由于是黑盒攻击,不一定会产生严重影响。但内部威胁由于攻击者是组织内部人员,相当于整个网络的配置都暴露在攻击者面前,比如网络的配置弱点、核心服务和核心资产等,因此内部威胁造成的危害相比于外部威胁更大,会对组织的经济资产、业务运行及组织信誉造成更大的破坏。在2022年CERT发布的网络安全调查显示,不到30%的内部威胁可以造成将近50%的经济资产损失15,说明了内部威胁较普通的外部攻击危害更大。(2)具有极强的伪装性:由于攻击者来自内部,熟知内部网络的安全防护配置等情况,可以有效逃避已有的网络安全检测方法,所以内部威胁具有极强的隐蔽性。例如:内部
5、人员发动内部攻击一般不会经过防火墙、安全防护系统等设备,导致网络安全设备无法检测到内部攻击行为,因此安全设备对内部威胁防御能力较低;内部攻击可以发生在工作时间,导致攻击行为和正常工作行为较难区分,增大了攻击数据挖掘和攻击行为分析的难度;内部攻击者具有组织安全防御机制的相关知识,并且与网络管理员和工作人员具有相应的社交关系,发现难度较大,具有极强的伪装性。(3)攻击者和攻击方法的多样化:在大数据时代,组织内部核心资产与业务的信息化导致内部攻击难度降低,攻击元素日趋多样化。首先是攻击者的多元化,网络管理员、组织内职工、第三方职工、合作方和服务甲方等,都有可能成为内部威胁的攻击者;其次是攻击方法的多
6、样化,内部攻击者可以在内部网络中植入病毒,可以使用逻辑炸弹,可以利用自己的权限获得相关组织内部信息,也可以删除组织内部数据库或基础软件代码,还可以篡改相关信息进行诈骗等。攻击方法的多元化增加了内部威胁发现检测的复杂性,使得内部威胁检测问题面临更为严峻的挑战。对内部威胁的检测发现研究有助于识别内部威胁的发生条件和原因,以及了解和应对组织内部面临内部威胁的状况,从而提高整个网络的安全防御能力。因此,无论对于网络安全管理员还是其他人员,内部威胁研究都具有非常高的理论研究价值和实践价值,主要体现在以下两个方面:(1)对内部威胁进行研究可以有效防范其带来的危害。通过科学的方法分析系统中面临的内部威胁、研
7、究内部威胁的构成因素、量化内部威胁风险,可以有效对内部威胁进行发现和防御。(2)内部威胁的发现检测防御方法是网络安全建设的重要保障。传统的网络安全防御比较依赖于外部网络防御,对内部威胁的关注不多,但内部威胁是网络安全建设中的重要环节,只有有效识别内部威胁,才能在防御和控制内部威胁的基础上保障网络的整体安全。1内部威胁发现检测方法对内部威胁的发现检测是学术界多年来的一个热点问题。内部威胁发现检测方法主要通过发现内部用户的行为痕迹16,建立相应的内部用户行为模型以检测其是否为内部威胁。因此可以将当前内部威胁发现检测方法分为基于异常行为的发现检测方法与基于形式化建模的发现检测方法两类。1. 1基于异
8、常行为的发现检测方法基于异常行为的发现检测方法是基于大数据和人工智能技术的内部威胁发现检测方法,也是目前的主流方法17-191该方法主要基于数据驱动,通过大数据分析,对用户的行为进行特征提取并进行分类,判断该用户行为是否正常,进而从中找出可能的异常行为,判断其是否为内部威胁。这种分析的对象既可以基于端设备的文件访问、函数调用等用户行为,也可以基于流量信息、服务访问信息和文件访问信息等用户网络行为20。在用户的异常行为检测中,提取用户行为数据的传统方法主要包括朴素贝叶斯、主成分分析和隐马尔可夫模型等。近年来,随着深度学习和强化学习技术的不断发展,深度学习和强化学习的联合检测方法也逐渐受到更多的关
9、注。其中文献21提出一种通用的时序图分析框架来发现内部用户的异常行为,它将内部用户与系统的交互过程抽象为一系列的图,并通过图分类的不同来发现内部用户行为的异常,以此来判断是否存在内部威胁。文献22通过隐马尔可夫模型和单类支持向量机的联合模型来发现内部用户的异常行为和攻击行为。文献23提出了基于混合高斯模型的内部威胁发现检测方法,并在其中融合了相关专家的判断信息,进一步提高了发现准确率。文献24通过建立员工情绪档案,采用深度学习方法,提出了一种发现内部威胁早期潜在风险的方法,即通过员工情绪的异常变化来发现内部用户可能会发生的异常行为和攻击行为。文献25使用深度递归神经网络模型构建在线无监督学习方
10、法,用于实时监测和检测内部系统日志中的异常活动,可随时发现内部用户的异常行为和攻击行为。文献26提出一种基于行为序列的预测方法,通过该方法可以为用户的相关行为进行画像,从而判断内部用户是否存在内部威胁。文献27提出了基于多模型、多数据融合的内部威胁发现检测方案,从而发现内部用户的异常行为和攻击行为。根据模型中使用数据源的不同,异常行为发现方法分为基于审计日志异常的发现检测方法和基于用户命令异常的发现检测方法。1.1.1 基于审计日志异常的内部威胁发现检测方法基于审计日志的异常行为发现检测方法主要针对用户操作留下的审计日志进行审查,从而发现其中的异常行为和攻击行为,如登录网站、访问网络以及邮件收
11、发等记录,该方法可以对用户的行为进行较为全面的刻画。文献28提出一个不同类型数据融合的典型方法。他们从用户的工作组属性出发定义了不同类型数据之间的一致性,之后检验用户不同类型数据的一致性,并使用词频-逆文档模型融合用户对不同类型数据上一致性的评分。但该方法依赖于一个假设,即用户组属性必须一致,但一般实际情况与该假设恰恰相反。文献29针对现有内部威胁发现检测模型,将内部威胁的各个审计日志要素均纳入其中进行考虑。但是该模型概念性太强,没有实验依据,不具有指导意义。文献L30提出了一个发现检测系统,该系统主要从3个层次来选择特征集,提出了基于场景分析的内部威胁检测系统,但是该系统存在较多漏洞,仅针对
12、内部信息窃取进行了实验,其他内部威胁的发现方法并没有进行实验验证。文献31针对不同用户的角色行为特征进行提取分析,提出一种基于角色异常行为挖掘的发现检测方法。根据序列模式挖掘原理挖掘角色正常行为,使用KnuthMorrisPratt字符串匹配算法进行发现,判断角色行为是否存在异常。结果表明,该方法可有效对用户的异常行为进行检测,同时减少了挖掘时间,并且在异常行为检测精确度上有所提高。现有的基于审计日志异常的内部威胁发现检测方法的难点在于不同类型审计日志数据之间的结合方式。如果只是使用单一类型的审计日志数据,则对用户的网络行为反映不够全面,不具有代表性。而如果只对不同数据进行简单拼接,会造成部分
13、特征失效、模型训练复杂度过高以及模型过拟合等问题,因此相关研究成果不多,现有的研究成果较多集中于基于用户命令异常的内部威胁发现检测方法。1.1.2 基于用户命令异常的内部威胁发现检测方法文献32是基于用户命令异常检测方法的较早研究成果,它将用户的命令序列作为分析对象,分别计算相邻命令模式出现的概率,新命令与历史命令的匹配程度来判断是否属于异常。在此之后,机器学习算法开始广泛应用起来33,如利用朴素贝叶斯方法、期望最大化算法和支持向量机等。其中文献34提出基于隐马尔可夫模型的内部威胁检测方法,利用本地应用程序接口建立用户的正常行为轮廓库,当有内部用户不符合该库的行为即可认为存在内部威胁。文献35
14、将朴素贝叶斯方法运用到内部威胁发现检测中,基于网络分层的方法,提出以同时出现的非邻接命令来补充用户命令模型。文献36提出了评价检测系统,并且指出应当在不同会话层区分内部攻击者与普通用户的能力。文献37提出了一种监控内部用户系统命令,从用户的文件和用户的进程中分析出文件访问与进程调用的联系,但该方法检出率不能达到100%。文献38主要通过分析系统窗口主题信息,即打开一个窗口自动记录主题信息以及窗口进程等信息,从而刻画出用户窗口行为特征,从这些窗口行为特征来判断内部用户是否为攻击用户。文献39基于系统用户的统计数据建立异常行为检测方法,提取出约1500个系统属性特征,从提取的属性来分析用户的攻击行
15、为,从而能够准确地刻画出用户行为。基于用户命令异常的内部威胁发现检测方法主要从用户命令序列或系统命令调用序列作为数据集,运用机器学习建立分类器,但是由于数据源过于简单以及分类器过于简单,导致多数方法检测成功率并不高,检测效果并不是太好。总体来说,基于异常行为的内部威胁发现检测方法十分依赖于数据获取的准确性和全面性,需要大量现有的内部用户行为数据,因此常常受制于实际数据采集的困难,在小样本或无样本数据的情况下,通过对目标系统进行形式化建模的方法发现检测内部威胁同样受到业界的关注。1.2基于形式化建模的内部威胁发现检测方法基于形式化建模的内部威胁发现检测方法是指通过建立用户的正常行为模型,通过对比
16、用户的现有行为,检测出偏移该模型的异常行为1.401基于该思想,学术界很早就提出了攻击图、攻击树、Petri网和信息获取图等多种形式化的建模工具,这些工具能够有效地对内部网络信息进行建模,但是在表达能力、适用范围等方面存在不足1.41-431近年来,学术界不断扩展形式化工具的表达能力。文献44考虑了物理信息系统中物理域和信息域的交互关系,以构建相应的内部威胁发现模型。文献45将组织架构的形式化建模分析与社会学解释相结合,并基于高阶逻辑构建了内部威胁发现检测分析框架。文献46建立了基于本体的组织物理安全体系弱点发现方法,用于发现潜在的内部威胁。文献47通过最小化网络空间安全风险,提出了基于博弈论
17、的内部网络安全防护模型。文献48将物理空间信息与社会网络信息相关联进行建模来发现可能的内部威胁,实现了物理域信息和社会域信息的结合。文献49构建了组织内部的动机和机会模型,通过多域联合的方式来发现内部威胁。文献L50-511则构建了层次化的本体集,用于描述内部威胁的社会因素和组织因素,从顶层设计层面给出了组织行为和个人因素对内部威胁的影响。为提高模型的泛化性以及对用户行为正常行为变化的适应性,文献52提出了一种解决方法,在模型中同时部署了K个分类器,采用K-投票”的形式对用户行为进行判断,同时K个分类器实时更新。文献53提出了基于文件使用的内部威胁检测系统,该系统用于检测攻击者的攻击,从用户查
18、看文件系统以及访问文件的角度建立用户的行为模型,一旦有偏离该模型的异常行为即报警。文献54将文件目录作为用户任务的抽象,对内部用户的行为进行画像,通过与朴素贝叶斯方法与马尔可夫模型对比实验证明了其内部威胁发现检测系统要优于其他两种模型。文献55针对用户遍历文件系统时的文件时间序列关系,建立了文件目录图与用户访问图的行为模型,并且使用朴素贝叶斯分类器检测文件访问行为的突然变化。除了上述检测方法外,文献56基于一个枚举攻击方式全集的假设,即用户在做任何行为前需要说明其使用意图,任何偏离其使用意图的行为都被看作可能会发生内部威胁。但现实中不可能枚举所有的攻击方式,因此该方法可操作性不强,并且需要存储
19、用户意图集,增加了计算难度,降低了检测效率。文献57针对内部威胁,提出了基于文件内容的异常检测模型,该模型使用文本分割与朴素贝叶斯方法对文件内容分类,然后根据内部用户行为以及内部用户组群间的行为偏移来检测文件访问中的异常行为,实验证明了该模型在保护系统内部文件访问上具有一定的有效性,但是效果完全取决于所用数据库的丰富程度,也需要大量数据集的支持。基于形式化建模检测方法的另一个重要工作是基于图方法的内部威胁发现检测方法58-59。文献60在攻击树的基础上提出了关键挑战图,顶点代表着主机或服务器,边代表着实体间的通信,每个顶点上标注了相关的资源信息,如用户名密码等61。用户访问行程可建模为一个关键
20、挑战序列,一旦符合关键挑战序列即可能存在内部威胁,并且可以计算图中单独分支的内部攻击成本。文献62提出了基于图的检测发现算法,该算法的核心是刻画图的输入输出等变化状态。具体可以分4步:(1)获取相关的数据集,检测是否存在相关异常;(2)基于异常与相关内部用户创建图;(3)建立相关数据移动图;(4)学习用户频繁子图模式,以该模式作为正常模式,其余的即为异常模式,依此来发现内部威胁。但该方法检测效率不高,图计算在IoOo多个顶点就需耗费72h时间,实用性不强。文献63通过设置“设备-操作-属性”三元组对用户及对应的角色行为进行树结构抽象,目的是为了更加全面地刻画用户行为;同时还设计了一个3层内部威
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 内部 威胁 发现 检测 方法 研究 综述
链接地址:https://www.desk33.com/p-1012410.html