你好,欢迎来到博今文化,中国最权威的职称论文投稿平台!

网络学 计算机网络内部要挟模型研讨

博今文化 / 2020-06-03

  摘    要: 网络平安的一个严峻考验是内部要挟, 如信息泄露, 其危害远远大于外部攻击。文章概述了内部要挟的产生及特性, 引见了内部要挟的相关检测技术在国内外研讨的现状, 罗列了当前用于内部要挟的主流检测模型, 并从数据量、数据特征、攻击品种、发布时间、优缺陷和应用范畴等六个方面, 简单比照了国内外专家在内部要挟检测范畴所选用的数据集, 最后分别从人工智能和云平台方面瞻望了内部要挟检测范畴的研讨方向。

  关键词: 内部要挟; 检测模型; 信息泄露; 网络平安;

  0、 引言

  随着大数据、云计算蓬勃开展, 计算机相关产品在我们生活中扮演着重要角色, 我们在享用的同时, 信息平安成了不可无视的平安隐患, 数据的非法获取成了互联网环境下的宏大要挟, 特别是内部要挟, 具有一定的透明性, 发作在平安边境之内, 相关于外部攻击更荫蔽, 对整个网络平安环境提出了严峻应战。

  美国防部海量数据库监测、剖析和辨认单位雇员的行为能否给国防部带来风险;2013年斯诺登事情中内部人员经过私人渠道公开内部数据惹起媒体普遍关注;2017年3月, Dun&Bradstreet (邓白氏) 的52GB数据库遭到泄露, 这个数据库中包括了美国一些大型企业和政府组织 (包括AT&T, 沃尔玛、Wells Fargo, 美国邮政以至美国国防部) 的3300多万员工的信息和联络方式等;2014年1月, 韩国信誉局内部员工窃取了2000万银行和信誉卡用户的个人数据, 形成韩国历史上最严重的数据泄露事情, 但这只是内部要挟平安的冰山一角。SailPoint的调查显现, 被调查者中20%的人表示只需价钱适宜会出卖本人的工作账号和密码。即时内部要挟检测系统 (ITDS) 是一项昂贵而复杂的工程, 但是情报界, 国防部, 公司都在研讨相关检测模型。

  截止2016年4月公安部部署打击整治网络进犯公民个人信息立功专项行动以来, 全国公安机关网络平安捍卫部门曾经查破刑事案件1200余起, 抓获立功嫌疑人3300余人, 其中银行、教育、电信、快递、证券、电商网站等行业内部人员270余人。

  国内外内部要挟事情不时发作, 内部要挟应对方式严峻, 需求社会各界的高度注重, 首要工作是剖析内部要挟的特征, 从而研讨可能的应对计划。

  1、 内部要挟的产生

  1.1、 相关术语

  内部要挟, 普通存在于某一个企业或组织的内部, 内部的人员与外界共同完成对团队信息的偷盗和买卖。

  定义1内部要挟攻击者普通是指企业或组织的员工 (在职或离任) 、承包商以及商业同伴等, 其应当具有组织的系统、网络以及数据的访问权。

  内部人外延是指与企业或组织具有某种社会关系的个体, 如在职员工, 离任员工, 值得留意的是承包商与商业同伴扩展了内部人的范围, 即“合伙人”也是潜在的内部攻击者;内涵则是具有系统访问权。

  定义2内部要挟是指内部要挟攻击者应用合法取得的访问权对组织信息系统中信息的秘密性、完好性以及可用性形成负面影响的行为。

  内部要挟的结果是对数据平安形成了毁坏, 如秘密性 (如数据窃取) 、完好性 (如数据窜改) 以及可用性 (如系统攻击) 等。

  企业或者组织信息化水平曾经深化日常管理, 虽然企业或组织努力维护本身数据, 但身份偷盗、数据库泄露和被盗密码问题依然是企业组织面临的主要应战。往常, 组织面临的最大应战之一是内部人士的系统滥用, 他们的行为深深植根于不恪守监管规范。曾经肯定, 信息平安防御中最单薄的环节是人, 这意味着最严重的要挟来自内部人员。

  因而, 内部要挟产生, 主要有两方面缘由: (1) 主体缘由, 即攻击者有攻击的才能, 行为完成一次攻击; (2) 客体缘由, 一次攻击能胜利都是由于被攻击对象存在破绽或者缺乏监管。

  1.2、 内部要挟的分类

  内部要挟[3]有三种主要的分类:偶尔的、歹意的和非歹意的。

  偶尔的要挟通常是由错误惹起的。例如, 由于粗枝大叶、对政策的漠视、缺乏培训和对正确的事情的认识, 员工可能不会遵照操作流程。歹意的要挟是指成心毁坏组织或使攻击者受益。例如, 信息技术 (IT) 管理员因心胸不满而毁坏IT系统, 使组织堕入停顿。在许多事情中, 当前和以前的管理员都是因各种动机成心形成系统问题。非歹意的要挟是人们成心采取的行动, 而不打算毁坏组织。在非歹意要挟中, 其动机是进步消费力, 而错误的发作是由于缺乏培训或对政策、程序微风险的认识。

  1.3、 内部要挟特征

  ⑴高危性内部要挟危害较外部要挟更大, 由于攻击者具有组织学问, 能够接触中心资产 (如学问产权等) , 从而对组织经济资产、业务运转及组织信誉停止毁坏以形成宏大损失。如2014年的美国CERT发布的网络平安调查显现仅占28%的内部攻击却形成了46%的损失。

  ⑵荫蔽性由于攻击者来自平安边境内部, 所以内部要挟具有极强的假装性, 能够逃避现有平安机制的检测。

  ⑶透明性攻击者来自平安边境内部, 因而攻击者能够规避防火墙等外部平安设备的检测, 招致多数内部攻击关于外部平安设备具有透明性.

  ⑷复杂性 (1) 内外勾搭:越来越多的内部要挟动机与外部对手关联, 并且得到外部的资金等协助; (3) 合伙人:商业协作同伴引发的内部要挟事情日益增加, 监控对象群体扩展; (3) 企业兼并:当企业发作兼并、重组时最容易发作内部要挟, 而此时内部检测难度较大; (4) 文化差别:不同行为人的文化背景会影响其同类要挟时的行为特征。

  2 、内部要挟模型

  学界曾经对内部要挟提出过诸多的行为模型, 希望能够从中提取出行为形式, 这局部主要的工作开端于早期提出的SKRAM模型与CMO模型, 两个模型都从内部攻击者的角度动手, 剖析攻击者胜利施行一次攻击所需求具备的要素, 其中的客观要素包括动机、职业角色具备的资源访问权限以及技艺素养, 客观要素则包括目的的内部缺陷的访问控制战略以及缺乏有效的平安监管等。

  依据内部要挟产生的缘由, 内部要挟的模型也可分为两类:基于主体和基于客体。其中基于主体模型主要代表有CMO模型和SKRAM模型, 这也是最早的内部要挟模型。

  2.1、 基于主体的模型

  CMO模型是最早用于内部攻击的通用模型, 这都是单纯从攻击者的客观方面树立的模型, 没有思索到客观要素, 如由于资源一切者内部缺陷的访问控制战略及其缺乏实在有效的平安监管。攻击者胜利施行一次攻击客观方面所需求具备的要素即: (1) 才能 (Capability) , 停止内部攻击的才能, 包括文化层次, 技术程度等才能; (2) 动机 (Motive) , 内部攻击的动机, 有由于工作不满, 换取利益等; (2) 时机 (Opportunity) , 不是每个人都有时机攻击, 有攻击的才能, 也有动机, 但是还得有适宜的时机把动机转化人实践行动。

  SKRAM模型是Parker等人在早期的CMO模型根底上停止的改良, 即需求具备的要素有: (1) 技艺 (Skills) , 也即是内部攻击者的才能; (2) 学问 (Knowledge) , 包括内部攻击者的学问程度, 文化素养; (3) 资源 (Resources) , 职业角色具备的资源访问权限; (4) Authority; (5) 动机 (Motives) 。

  Jason等人提出内部人员成为了具有攻击动机的内部攻击者, 客观要素是用户的本身属性, 主要影响、反映内部人的当前心理状态, 这些要素主要包括三类:一类是包括内部人的人格特征等内在心理特征, 另一类包括肉体病史或违法立功史等档案信息以及理想中能够表征心理状态变化的诸多行为, 最后一类则是内部人在组织中的职位、才能等组织属性。

  2.2 、基于客体的模型

  CRBM模型(Role-Based Access Control) 是基于角色访问控制。经过扩展基于角色的访问控制模型来克制内部要挟的局限性, 引入了CRBM (复合基于角色的监视) 办法。CRBM继承了RBAC的优点, 将角色构造映射为三个:组织角色 (Organization Role, OR) 、应用程序角色 (Application Role, AR) 和操作系统角色 (Operating System Role, OSR) 。

  李殿伟等人将访问控制与数据发掘相分离, 设计了一种基于角色行为形式发掘的内部要挟检测模型, 提出了一种基于用户角色行为原则、行为习气与实践操作行为匹配的内部要挟预警办法。文雨等人提出一种新的用户跨域行为形式剖析办法。该办法可以剖析用户行为的多元形式, 不需求依赖相关范畴学问和用户背景属性, 针对用户行为形式剖析办法设计了一种面向内部攻击的检测办法, 并在真实场景中的5种用户审计日志, 实验结果考证了其剖析办法在多检测域场景中剖析用户行为多元形式的有效性, 同时检测办法优于两种已有办法:单域检测办法和基于单一行为形式的检测办法。

  2.3 、基于人工智能的模型

  传统的内部要挟检测模型主要是基于异常检测、基于角色等相关技术, 随着人工智能的兴起, 应用机器学习等相关算法来树立内部要挟模型占领主要位置。这种模型, 树立网络用户的正常行为轮廓, 并应用不同的机器学习算法停止锻炼, 完成了检测精确率高的优点, 但是效率较低。

  Szymanski等人运用递归数据发掘来描绘用户签名和监视会话中的构造和高级符号, 运用一个类SVM来丈量这两种特征的类似性。郭晓明等提出一种基于朴素贝叶斯理论的内部要挟检测模型。经过剖析多用户对系统的命令操作行为特征, 对多用户命令样本停止锻炼, 构建朴素贝叶斯分类器。Yaseen等人研讨了关系数据库系统中的内部要挟。引见学问图谱 (KG) , 展现内部人员学问库和内部人员对数据项的信息量;引入约束和依赖图 (CDG) , 显现内部人员获取未经受权学问的途径;运用要挟预测图 (TPG) , 显现内部人员每个数据项的要挟预测价值 (TPV) , 当内部要挟发作时, TPV被用来进步警报级别。梁礼等人提出基于实时告警的层次化网络平安风险评价办法, 包含效劳、主机和网络三级的网络分层风险评价模型, 经过加权的方式计算网络各层的平安风险值。分别以实验室网络环境及校园网环境为实例考证了办法的精确性和有效性。

  2.4、 基于穿插学科的模型

  随着内部要挟的不时开展, 内部要挟的研讨范畴不时扩展, 基于心理学、社会学等方面也呈现新的研讨思绪。

  Tesleem Fagade等人提出了信息平安如何嵌入到组织平安文化中。组织文化被描绘为在人、过程和政策之间坚持联络的共同价值观、行为、态度和理论。倡议将平安管理与管理分离到组织行为和行动文化中, 这是最有效的。习气性行为传播, 通常需求共同努力突破常规。假如组织想要养成平安行为的习气, 那么或许一个与组织平安文化的方向分歧的长期目的是一种更好的办法, 而不是专注于快速认证状态, 然后假定一切的技术和人工过程都是平安的。组织平安文化被定义为被承受和鼓舞的假定、态度和感知, 目的是维护信息资产, 从而使信息平安的属性和习气得以完成。

  匡蕾采用了基于蜜罐技术的检测模型;B.A.Alahmadi等人对用户的网络行为树立关联, 从而检测出潜在的内部要挟。首先从用户阅读的网页中提取出文本信息, 树立向量;其次树立词向量与言语取得和词汇计数, 然后经过树立的Word-LIWC关系矩阵与已有的LIWC-OCEAN关系矩阵分离得到词向量的关系矩阵。OCEAN代表大五人格:开放性 (Openness) 、尽责性 (Conscientiousness) 、外倾性 (Extraversion) 、宜人性 (Agreeableness) 、心情稳定性 (Neuroticism) ;计算用户阅读的新网页中的词向量OCEAN值与日常值的欧氏间隔, 依据间隔的大小断定行为的异常。

  3 、内部要挟常用数据集

  目前有很多公开的数据集, 如:KDD99数据集, SEA数据集、WUIL数据集和CERT-IT数据集, 表1对主要数据集停止了比照。

  ⑴KDD99数据集:KDD99 (Data Mining and Knowledge Discovery) , 记载4, 898, 431条数据, 每条数据记载包含41个特征, 22种攻击, 主要分为以下四类攻击:回绝效劳攻击 (denial of service, DoS) 、远程到本地的攻击 (remote to local, R2L) 用户到远程的攻击 (user to remote, U2R) 和探测攻击 (probing) 。

  Putchala将GRU应用于物联网范畴的入侵检测, 在KDD99数据集上停止实验, 得到的精确率高于99%。基于卷积神经网络的入侵检测算法在KDD99的实验下, 比经典BP神经网络和SVM算法有进步。

  ⑵SEA数据集:SEA数据集涵盖70多个UNIX系统用户的行为日志, 这些数据来自于UNIX系统acct机制记载的用户运用的命令。SEA数据集中每个用户都采集了15000条命令, 从用户汇合中随机抽取50个用户作为正常用户, 剩余用户的命令块中随机插入模仿命令作为内部假装者攻击数据。

  ⑶WUIL数据集:WUIL数据集经过借助Windows的审计工具, 他们实验记载20个用户的翻开文件/目录的行为, 每条记载包含事情ID、事情时间以及事情对象及其途径信息 (如文件名与文件途径) 。

  ⑷CERT-IT数据集:CERT-IT (Insider Threat) 数据集来源于卡耐基梅隆大学 (Carnegie Mellon University) 的内部要挟中心, 该中心由美国国防部高级研讨方案局 (DARPA) 资助, 与ExactData公司协作从真实企业环境中采集数据结构了一个内部要挟测试集。该中心迄今为止最富有效果的内部要挟研讨中心, 其不只树立了2001年至今的700多例内部要挟数据库, 还基于丰厚的案例剖析不同内部要挟的特征, 提出了系统毁坏、学问产权窃取与电子狡诈三类根本的攻击类型, 由此组合构成复合攻击以及商业特务攻击;此外CERT还树立了内部要挟评价与管理系统MERIT用于培训平安人员辨认、处置内部要挟。CERT完好数据集有80G, 全部以csv格式记载用户行为, 包括文件访问权限、文件各种属性以及用户对文件的增删改查、Email收发、挪动存储设备、打印机等硬件设备运用记载、HTTP访问及系统登录、工作岗位及工作部门等信息。CERT数据集提供了用户全面的行为观测数据以描写用户行为模型。

  ⑸Masquerading User Data数据集:Masquerading User Data, 模仿真是用户入侵系统。整个数据集由50个文件组成, 每个文件对应一个用户。该文件包含100行和50列, 每一列对应于50个用户中的一个。每一行对应一组100个命令, 从命令5001开端, 以命令15000完毕。文件中的条目是0或1。0代表相应的100个命令没有遭到感染。状态1代表它们被感染了。

  ⑹其他数据集:Mldata数据集包含了869个公开的数据集, 主要是基于机器学习的数据, 包含视频流和键值集群和效劳度量的Linux内核统计数据、HDF5等。

  表1 常用数据集比拟
表1 常用数据集比拟

  4、 瞻望

  随着网络系统不时庞大, 互联网技术不时更新, 防备网络攻击需求综合网络丈量、网络行为剖析、网络流量异常检测及相关检测模型在处置数据时的最新研讨成果, 并且还需求有才能剖析国内外各种最新网络态势。内部要挟的传统检测办法在模型的特征抽取和模版匹配有一定的局限性, 随着人工智能、云计算、大数据等新技术的成熟, 这些前沿技术在特征抽取和形式匹配时, 检测效率和精确率有较大提升, 目前内部要挟抢手研讨方向包括:

  4.1、 人工智能方向

  人工智能曾经日趋成熟, 各行各业都在交融人工智能、机器学习等相关算法技术, 在内部要挟检测范畴也是一个热点。

  应用当前互联网范畴前沿的数据剖析技术、克隆技术、神经网络算法、人工智能算法等, 在数据采集、身份认证、日志管理、破绽检测、操作审计环节上改良, 从而鼎力进步检测的质量和效率。

  4.2、 云平台方向

  随着云计算的兴起, 云计算面临着很多平安问题和应战, 特别是具有某些特权的云平台的内部管理人员, 相似郭东峰、张磊等基于云计算平台的内部要挟的研讨也是是近年来学术界和工业界共同关注的热点话题。

  云平台的资源访问入口管控, 资源运用痕迹, 数据加密办法等云平安防护关键技术也是将来研讨方向。