內(nèi)部威脅檢測研究

2016-02-23 05:36:31馬建剛于愛民

信息安全學(xué)報(bào) 2016年3期

楊光, 馬建剛, 于愛民, 孟丹

1中國科學(xué)院信息工程研究所北京中國 1000932中國科學(xué)院大學(xué) 北京中國 1000933山東省計(jì)算中心(國家超級計(jì)算濟(jì)南中心)山東濟(jì)南250101

內(nèi)部威脅檢測研究

楊光1,2,3, 馬建剛1, 于愛民1, 孟丹1

近年來, 以系統(tǒng)破壞、信息竊取以及電子欺詐為主的內(nèi)部攻擊因?yàn)殡[蔽性強(qiáng)、破壞性大的特點(diǎn)對個(gè)人與企業(yè), 甚至國家安全造成了嚴(yán)重威脅。因此十分有必要關(guān)注內(nèi)部威脅已有的研究成果與發(fā)展趨勢。本文分析了內(nèi)部威脅的特征, 提出基于信任理論的形式化定義。同時(shí)將當(dāng)前內(nèi)部威脅研究熱點(diǎn)歸結(jié)為內(nèi)部威脅模型研究、主觀要素研究、客觀要素研究及其它研究四個(gè)領(lǐng)域, 分別介紹各個(gè)領(lǐng)域的研究狀況, 并對每個(gè)領(lǐng)域的研究進(jìn)展進(jìn)行歸納和分析。通過分析內(nèi)部威脅已有案例以及當(dāng)前研究進(jìn)展,針對現(xiàn)有研究不足提出新型內(nèi)部威脅檢測系統(tǒng), 并展望未來的關(guān)鍵技術(shù)。

內(nèi)部威脅; 內(nèi)部審計(jì); 異常檢測; 網(wǎng)絡(luò)安全; 系統(tǒng)破壞; 信息竊取; 電子欺詐; 綜述

1 引言

2013年6月轟動(dòng)全球的斯諾登“棱鏡門(PRISM)”事件將內(nèi)部威脅帶入了大眾視野[1]。作為參與安全工作的一名承包商雇員, 斯諾登利用職務(wù)便利從美國國家安全局拷貝了數(shù)十萬份機(jī)密文件, 結(jié)果揭露了美國國家安全局與聯(lián)邦調(diào)查局于2007年啟動(dòng)的美國有史以來最大規(guī)模秘密監(jiān)控項(xiàng)目。上述兩個(gè)案例為世界各國敲響了內(nèi)部威脅的警鐘。

內(nèi)部威脅的實(shí)施者通常是企業(yè)或政府的雇員(在職或離職)、承包商、商業(yè)合作方以及第三方服務(wù)提供方等。內(nèi)部威脅可以對個(gè)人造成傷害, 對組織造成經(jīng)濟(jì)損失、業(yè)務(wù)運(yùn)行中斷、聲譽(yù)受損, 嚴(yán)重時(shí)甚至?xí)：野踩?。?nèi)部威脅并不屬于新型攻擊, 2006年美國計(jì)算機(jī)安全學(xué)會(huì)(CSI)就發(fā)布報(bào)告稱因惡意濫用權(quán)限造成的內(nèi)部威脅已經(jīng)超過了傳統(tǒng)的病毒/木馬攻擊, 成為了組織面臨的主要威脅[2]。2012年的全球欺詐調(diào)查顯示60%的欺詐案件由內(nèi)部人發(fā)起[3]。2014年內(nèi)部威脅對許多知名企業(yè)造成了難以置信的破壞:如韓國信用局因?yàn)槠溆?jì)算機(jī)承包商濫用訪問權(quán)限造成2700萬條信用卡信息被盜; 美國石油天然氣公司EnerVest則因?yàn)榻夤偷膯T工報(bào)復(fù), 所有網(wǎng)絡(luò)服務(wù)器都被恢復(fù)成出廠設(shè)置, 導(dǎo)致企業(yè)30天的全面通信與業(yè)務(wù)操作中斷以及數(shù)十萬美元恢復(fù)費(fèi)用等[4]。

內(nèi)部威脅不同于外部威脅, 其攻擊者主要來自安全邊界內(nèi)部, 一般具有以下特征:

1. 高危性: 內(nèi)部威脅危害較外部威脅更大, 因?yàn)楣粽呔哂薪M織知識, 可以接觸核心資產(chǎn)(如知識產(chǎn)權(quán)等), 從而對組織經(jīng)濟(jì)資產(chǎn)、業(yè)務(wù)運(yùn)行及組織信譽(yù)進(jìn)行破壞以造成巨大損失。如2014年美國CERT發(fā)布的網(wǎng)絡(luò)安全調(diào)查顯示28%的內(nèi)部攻擊卻造成了46%的損失[5]。

2. 隱蔽性: 由于攻擊者來自安全邊界內(nèi)部, 所以內(nèi)部威脅具有極強(qiáng)的偽裝性可以逃避現(xiàn)有安全機(jī)制的檢測。(1)透明性: 內(nèi)部攻擊一般不會(huì)經(jīng)過防火墻等設(shè)備, 因此可以一定程度躲避傳統(tǒng)外部安全設(shè)備的檢測, 導(dǎo)致多數(shù)內(nèi)部攻擊對于外部安全設(shè)備具有透明性; (2)偽裝性: 內(nèi)部攻擊往往發(fā)生在工作時(shí)間,導(dǎo)致惡意行為嵌入在大量正常數(shù)據(jù)中, 提高了數(shù)據(jù)挖掘分析的難度; 同時(shí)內(nèi)部攻擊者具有組織安全防御機(jī)制的相關(guān)知識, 因此可以采取措施規(guī)避安全檢測,即內(nèi)部攻擊對于內(nèi)部安全檢測具有一定的隱蔽性;

3. 多元性: 互聯(lián)網(wǎng)時(shí)代組織核心資產(chǎn)與業(yè)務(wù)的信息化導(dǎo)致內(nèi)部攻擊門檻降低, 攻擊元素日趨多元: (1)攻擊主體多元化: 由最初的計(jì)算機(jī)登錄用戶, 擴(kuò)展到當(dāng)前的雇員、承包商、合作方以及服務(wù)提供方等; (2)攻擊手段多元化: 既可以埋放邏輯炸彈癱瘓組織系統(tǒng), 也可以利用權(quán)限竊取知識產(chǎn)權(quán)信息, 還可以利用職務(wù)便利篡改信息進(jìn)行電子欺詐。攻擊元素多元性急劇增加了檢測復(fù)雜度, 為應(yīng)對內(nèi)部威脅提出了更嚴(yán)峻挑戰(zhàn)。

因?yàn)榫哂懈呶Ｐ?、隱蔽性以及多元性的特點(diǎn), 所以內(nèi)部威脅很早就引起了國際上的關(guān)注。最早的研究可以追溯到1969年, 為了應(yīng)對計(jì)算機(jī)系統(tǒng)中內(nèi)部用戶的權(quán)限濫用問題, B.W.Lampson從主體、客體和訪問矩陣的形式化表示中對計(jì)算機(jī)系統(tǒng)中的訪問控制問題進(jìn)行了抽象; 1973年提出的Bell-LaPadula機(jī)密性安全模型(簡稱BLP模型)是一種適用于軍事安全策略的計(jì)算機(jī)操作系統(tǒng)安全模型, 是最早也是使用最多的計(jì)算機(jī)多級安全模型之一; 1983年公布的第一個(gè)計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn)TCSEC中明確定義了用戶訪問控制要求[6]。

之后內(nèi)部威脅研究逐漸系統(tǒng)化, 2008年Malek[7]等人將內(nèi)部攻擊者分成背叛者(Traitors)與偽裝者(Masqueraders), 對內(nèi)部攻擊者的分類有助于研究者針對攻擊者研究相應(yīng)的解決方案, 但是當(dāng)時(shí)的研究卻受到案例數(shù)量不足的限制。2001年美國特勤局與卡耐基梅隆大學(xué)聯(lián)合建立的CERT內(nèi)部威脅中心解決了案例不足問題。該中心收集2001年至今的700多個(gè)欺詐、竊取與破壞的內(nèi)部威脅案例, 研究者在數(shù)據(jù)庫中分析內(nèi)部攻擊者的行為特征與攻擊模式, 研究應(yīng)對內(nèi)部威脅的方法[8]。2011年美國國防部提出建立名為ADAMS(Anomaly Detection at Multiple Scales)的軍方內(nèi)部威脅檢測系統(tǒng), 從系統(tǒng)架構(gòu)、檢測實(shí)現(xiàn)等多方面提出了具體的要求[9]。ADAMS項(xiàng)目實(shí)施的第三年, 美國SAIC公司聯(lián)合卡耐基梅隆大學(xué)在內(nèi)的四所高校聯(lián)合開發(fā)了ADAMS系統(tǒng)的現(xiàn)實(shí)版本PRODIGAL系統(tǒng), 并且在實(shí)際的企業(yè)數(shù)據(jù)上進(jìn)行了運(yùn)行測試, 取得了較好的結(jié)果[10]。

我國內(nèi)部威脅形式相當(dāng)嚴(yán)峻, 普華永道信息安全調(diào)查顯示, 2015年中國大陸及香港企業(yè)檢測到的安全事件高達(dá)1245次, 較上一年大幅增加了517%,其中單由現(xiàn)有及離任雇員導(dǎo)致的內(nèi)部威脅事件就占到總數(shù)的50%[11]。

現(xiàn)有安全研究應(yīng)對內(nèi)部威脅具有相當(dāng)?shù)木窒扌?。?nèi)部威脅的隱蔽性使得傳統(tǒng)外部安全設(shè)備與內(nèi)部安全檢測方法作用有限, 同時(shí)多元性增加了傳統(tǒng)訪問控制等系統(tǒng)安全機(jī)制的實(shí)際應(yīng)用難度, 而已有的內(nèi)部威脅檢測系統(tǒng)更多偏向于實(shí)驗(yàn)環(huán)境, 缺乏現(xiàn)實(shí)可用版本。因此, 本文認(rèn)為十分有必要系統(tǒng)分析當(dāng)前內(nèi)部威脅研究進(jìn)展, 提取出內(nèi)部威脅核心特征,從而設(shè)計(jì)新型內(nèi)部威脅檢測系統(tǒng), 應(yīng)對日益嚴(yán)峻的威脅挑戰(zhàn)。

本文首先比較已有的內(nèi)部威脅定義, 分析其不足并提出基于“信任-承諾”關(guān)系的形式化定義; 然后基于該定義將當(dāng)前內(nèi)部威脅分成系統(tǒng)破壞、信息竊取以及電子欺詐三個(gè)基本類別; 將內(nèi)部威脅研究分成內(nèi)部威脅模型研究、主觀要素研究、客觀要素研究、其它相關(guān)研究四個(gè)領(lǐng)域; 最后針對現(xiàn)有研究不足提出新型內(nèi)部威脅檢測模型, 并展望關(guān)鍵技術(shù)方向。

2 內(nèi)部威脅定義與分類

2.1 內(nèi)部威脅定義

2.1.1 內(nèi)部威脅定義的發(fā)展

基于研究的內(nèi)部威脅案例, 研究者從不同角度定義內(nèi)部威脅, 這些定義大部分從內(nèi)部人(Insider)出發(fā), 進(jìn)一步定義內(nèi)部威脅(Insider Threat)。

關(guān)于內(nèi)部人最早的定義出現(xiàn)在文獻(xiàn)[12,13]中,分別從計(jì)算機(jī)與網(wǎng)絡(luò)的授權(quán)使用和具備系統(tǒng)信息知識的角度來刻畫內(nèi)部人的特征。文獻(xiàn)[14]則第一次提出“安全邊界”的概念, 指出內(nèi)部人就是在安全邊界內(nèi)部執(zhí)行操作的人, 但是這里的“安全邊界”特指防火墻和局域網(wǎng)內(nèi)部。2004年文獻(xiàn)[15]分析了之前的定義, 指出內(nèi)部人應(yīng)當(dāng)同時(shí)具有系統(tǒng)與服務(wù)器訪問權(quán)限以及內(nèi)部知識, 文獻(xiàn)[16]則從網(wǎng)絡(luò)拓?fù)涞慕嵌忍岢鼍W(wǎng)絡(luò)節(jié)點(diǎn)具有關(guān)鍵資料以及完全控制權(quán)兩個(gè)屬性,以此定義內(nèi)部人應(yīng)當(dāng)具有該節(jié)點(diǎn)的完全控制權(quán)。Probst等人[17]則從信息資產(chǎn)的角度提出內(nèi)部人應(yīng)當(dāng)具有該資產(chǎn)的合法訪問權(quán)、使用權(quán)或決定權(quán)?？梢钥闯錾鲜鑫鍌€(gè)定義基本是從數(shù)據(jù)訪問的角度定義內(nèi)部人特征, 其核心是某種程度的訪問權(quán)以及具有某種程度的內(nèi)部知識。

不同于上述定義, Malek等人將內(nèi)部人細(xì)致地分成了背叛者(Traitor)與偽裝者(Masqueraders)[8]。M. Bishop等人[18]則從安全策略角度出發(fā), 定義了語言策略、可行策略、配置策略以及運(yùn)行安裝策略四個(gè)安全策略層級, 從不同層級安全策略對應(yīng)行為集合的關(guān)系上定義內(nèi)部人與內(nèi)部威脅。2012年CERT內(nèi)部威脅研究團(tuán)隊(duì)發(fā)布了針對內(nèi)部威脅的第一份指導(dǎo)文檔[8], 該文檔從數(shù)據(jù)角度, 通過明確威脅主體內(nèi)涵與外延, 定義了內(nèi)部人是企業(yè)或組織的員工(在職或離職)、承包商以及商業(yè)伙伴等, 并應(yīng)當(dāng)具有系統(tǒng)、網(wǎng)絡(luò)以及數(shù)據(jù)的訪問權(quán); 內(nèi)部威脅是內(nèi)部人利用合法獲得的訪問權(quán)對信息系統(tǒng)中信息的機(jī)密性、完整性以及可用性造成負(fù)面影響。基于豐富的內(nèi)部威脅案例, CERT定義明確了內(nèi)部威脅中的主體與客體,涵蓋了已有的定義, 在實(shí)際中具有很好的適用性。

2.1.2 基于“信任--承諾”的內(nèi)部威脅定義

以上定義具有兩點(diǎn)不足: 一是側(cè)重系統(tǒng)與網(wǎng)絡(luò)數(shù)據(jù)某個(gè)方面來描述內(nèi)部威脅, 缺乏全面性; 二是從社會(huì)關(guān)系與數(shù)據(jù)角度具體指明內(nèi)部威脅主體、客體的外延, 導(dǎo)致其定義不夠深刻, 缺乏時(shí)間上的適應(yīng)性, 無法描述新的內(nèi)部威脅場景。為了克服以上不足, 我們深刻分析內(nèi)部人的本質(zhì), 提出內(nèi)部威脅領(lǐng)域的信任理論。

定義1: 內(nèi)部人(Insider)是指通過向企業(yè)/組織等授信主體做出承諾而獲得其授信成為的受信客體,受信客體能夠合法獲得企業(yè)/組織物理資源與虛擬資源的訪問權(quán)。

這里通過“信任--承諾”的對應(yīng)關(guān)系來定義內(nèi)部人, 其中的“承諾”代表授信主體對受信客體的行為要求, 基本的原則是正確行使受信獲得的組織資源的訪問權(quán), 維護(hù)授信主體的合法利益。而企業(yè)的資源細(xì)化為物理資源與虛擬資源, 物理資源包括企業(yè)/組織中的實(shí)際設(shè)備, 如打印機(jī)等; 而虛擬資源則用來描述企業(yè)/組織信息系統(tǒng)中的資源, 如知識產(chǎn)權(quán)、組織信息、客戶數(shù)據(jù)等。

定義2: 內(nèi)部威脅(Insider Threat)是指內(nèi)部人利用獲得的信任做出對授信組織合法利益不利的行為,這些利益包括企業(yè)的經(jīng)濟(jì)利益、業(yè)務(wù)運(yùn)行、對外服務(wù)以及授信主體聲譽(yù)等。

為了更加準(zhǔn)確地描述上述定義, 我們給出定義的形式化描述。

定義3: 內(nèi)部威脅是指受信客體違背對授信主體的承諾, 做出不利于授信主體合法利益的行為, 具體可表示為威脅函數(shù)δ: SM×B× O→ N( ST)。上述威脅函數(shù)δ中各元素定義如下:

主體集合SM表示能夠發(fā)起內(nèi)部威脅行為的具有動(dòng)機(jī)M的受信實(shí)體, 如雇員、承包商等, 記為SM= {Si| i = 1, 2, 3 ..., n}, 其中n表示受信客體集合的規(guī)模。類似地, 客體集合O表示被動(dòng)的內(nèi)部威脅行為承擔(dān)者, 即授信主體的物理資源或虛擬資源, 如虛擬的信息資產(chǎn)與物理的打印設(shè)備等, 記為O = {Oj| j= 1, 2, 3 ..., n}, 其中n表示具體資源類別數(shù)量。

受信客體動(dòng)機(jī)集合M用于表示受信客體發(fā)起內(nèi)部威脅的原因或目標(biāo), 常見的如報(bào)復(fù)組織、獲取經(jīng)濟(jì)利益等。M是三元組(A, I, T)的函數(shù), 記為M=θ(A, I, T)。其中A表示自身的屬性, 主要涉及受信客體在授信主體中的職位/角色、掌握的技能、人格特征, 個(gè)人檔案等因素, 記為A = {Ai| i = 1, 2, 3 ... , n}, 其中n表示受信客體自身屬性的類別數(shù)量。T表示受信客體因?yàn)楂@得的信任而具有的授信主體中資源的訪問權(quán)限, 常見訪問權(quán)限有r(只讀)、w(只寫)、a(追加)、d(刪除)、e(執(zhí)行)與c(控制)等。事件集合I用于表示對受信客體做出內(nèi)部威脅行為具有重要影響的事件,如針對受信客體的降職、解雇、職權(quán)削弱以及內(nèi)部謠言等, 記為I = {Ij| j = 1, 2, 3 ... n}, 其中n表示具體的事件類型數(shù)量。

行為集合B用于表示受信客體針對客體集合O采取的行為, 常見的如竊取信息、破壞系統(tǒng)、濫用權(quán)限欺詐等。

影響函數(shù)N用于表示受信客體SM對授信主體ST狀態(tài)的負(fù)面影響, 值域主要包括授信主體的經(jīng)濟(jì)利益、業(yè)務(wù)運(yùn)行、對外服務(wù)以及主體聲譽(yù)等方面的合法利益遭受的負(fù)面影響。

基于“信任-承諾”理論的定義立足于內(nèi)部人的受信本質(zhì), 通過背信行為的具體化表現(xiàn)來定義內(nèi)部威脅, 從而客服了基于社會(huì)關(guān)系與數(shù)據(jù)角度定義的局限性, 更深刻地刻畫了內(nèi)部威脅特征。

2.2 內(nèi)部威脅的分類

基于“信任-承諾”的內(nèi)部威脅定義, 本文按照用戶訪問特定客體的最小權(quán)限與用戶行為對授信主體的影響將當(dāng)前的內(nèi)部威脅分成三個(gè)基本的類型: 信息系統(tǒng)破壞、信息竊取以及電子欺詐。其中用戶訪問特定客體的最小權(quán)限指執(zhí)行用戶任務(wù)所需最小訪問權(quán)限, 如內(nèi)部竊密行為最小權(quán)限是特定數(shù)據(jù)對象的r權(quán)限, 至于讀取數(shù)據(jù)后郵件發(fā)送、即時(shí)通訊傳輸、移動(dòng)存儲(chǔ)設(shè)備拷貝以及智能手機(jī)拍照等多種處理方式的非必要權(quán)限不是內(nèi)部竊密行為最小權(quán)限。其余內(nèi)部威脅大多可以歸結(jié)為上述攻擊類型的組合[8],因此我們重點(diǎn)分析三種基本內(nèi)部威脅類型。

2.2.1 信息系統(tǒng)破壞

定義4: 若受信內(nèi)部人SM利用對授信主體對象的最小訪問權(quán)限Tm=(w, e, d), 做出影響授信主體信息系統(tǒng)正常運(yùn)行的行為, 則該行為屬于信息系統(tǒng)破壞威脅(Information System Sabotage)。

定義4中信息系統(tǒng)破壞威脅的最小權(quán)限中, 只寫權(quán)限w與刪除權(quán)限d允許內(nèi)部人安置邏輯炸彈、改變系統(tǒng)配置或刪除關(guān)鍵數(shù)據(jù), 執(zhí)行權(quán)e允許觸發(fā)邏輯炸彈或執(zhí)行惡意計(jì)劃任務(wù), 典型案例如在系統(tǒng)中放置邏輯炸彈造成關(guān)鍵數(shù)據(jù)丟失以及系統(tǒng)運(yùn)行中斷等[8]。此類威脅一般會(huì)對企業(yè)造成嚴(yán)重影響, 如企業(yè)有可能遭受直接的經(jīng)濟(jì)損失、業(yè)務(wù)中斷等; 如發(fā)生在國計(jì)民生部門, 還會(huì)威脅國家安全。信息系統(tǒng)破壞威脅具有以三個(gè)下特征:

1. 攻擊者特征: 因?yàn)樾枰谙到y(tǒng)、服務(wù)器等技術(shù)設(shè)備上進(jìn)行入侵破解或放置邏輯炸彈等操作, 所以攻擊者應(yīng)具有數(shù)據(jù)寫入與執(zhí)行權(quán)限, 通常具備較高的技術(shù)能力, 一般是系統(tǒng)管理員、數(shù)據(jù)庫管理員以及程序員等技術(shù)人員。

2. 動(dòng)機(jī)與目標(biāo): 攻擊動(dòng)機(jī)常是因?yàn)閷ζ髽I(yè)/組織某種期望或訴求不能滿足, 從而因不滿報(bào)復(fù)。通常攻擊者期望有: 更好的工資/福利待遇、職位晉升、企業(yè)/組織網(wǎng)絡(luò)的自由訪問權(quán)等。

3. 攻擊方式: 威脅的主要目標(biāo)是破壞目標(biāo)系統(tǒng)的正常運(yùn)行, 因此常見的攻擊方式有遠(yuǎn)程入侵目標(biāo)服務(wù)器、刪除目標(biāo)的關(guān)鍵數(shù)據(jù)及其備份、放置邏輯炸彈造成系統(tǒng)服務(wù)中斷等。

攻擊動(dòng)機(jī)可以追隨到兩個(gè)因素, 一個(gè)是自身的個(gè)人特征, 這些特征可以幫助我們解釋在遇到同樣境遇的時(shí)候, 為什么其他人沒有實(shí)施內(nèi)部攻擊; 另一個(gè)因素則是觸發(fā)事件, 此類事件促使不滿的攻擊者付諸行動(dòng)。個(gè)人特征一般包括攻擊者日常的行為表現(xiàn), 如與同事發(fā)生沖突、恃強(qiáng)凌弱恐嚇同事、嚴(yán)重的人格沖突以及違法犯罪記錄等; 而觸發(fā)事件往往成為促使不滿的內(nèi)部人實(shí)施攻擊的導(dǎo)火索, 通常包括: 降職、不受重視、輪換崗位、與上級領(lǐng)導(dǎo)沖突等。

2.2.2 信息竊取

定義5: 若受信內(nèi)部人SM利用對授信主體信息資產(chǎn)的最小訪問權(quán)限Tm=(r), 做出損害授信主體經(jīng)濟(jì)利益的行為, 則該行為屬于信息竊取威脅(Information Theft)。

這里的信息資產(chǎn)一般包括授信主體的知識產(chǎn)權(quán)數(shù)據(jù)、組織信息以及客戶數(shù)據(jù)等, 如軟件源代碼、商業(yè)計(jì)劃書、核心產(chǎn)品技術(shù)資料、客戶信息以及商業(yè)產(chǎn)品設(shè)計(jì)數(shù)據(jù)等。信息竊取威脅泄露了企業(yè)/組織的商業(yè)秘密和機(jī)密信息, 帶來經(jīng)濟(jì)利益損失的同時(shí)危及到了的企業(yè)的核心利益; 嚴(yán)重時(shí)可能威脅國家安全。根據(jù)攻擊者的數(shù)量, 可以將此類內(nèi)部威脅分為個(gè)體或群體信息竊取, 關(guān)鍵區(qū)別在于后者無法獨(dú)立竊取信息, 必須通過收買、欺騙等方式獲得其他人的配合。此類威脅的特征如下:

1. 攻擊者特征: 此類威脅主要來源于能接觸到信息資產(chǎn)的內(nèi)部人員, 一般是具有核心數(shù)據(jù)訪問權(quán)的在職雇員, 如科學(xué)研究人員、技術(shù)工程人員、程序員以及銷售人員等;

2. 動(dòng)機(jī)與目標(biāo): 大多數(shù)攻擊者通過竊取的高價(jià)值信息跳槽到新單位就職, 或者自己創(chuàng)業(yè)。因此此類威脅常見目標(biāo)是通過竊取信息謀求更好的發(fā)展機(jī)會(huì);

3. 攻擊方式: 信息竊取主要是利用自己和同謀者的合法數(shù)據(jù)訪問權(quán)限, 通過秘密拷貝到可移動(dòng)設(shè)備或發(fā)送郵件附件的方式將高價(jià)值信息帶出企業(yè)/組織;

信息竊取威脅的攻擊模型如圖1:

上圖由左至右表示了信息竊取攻擊的一般過程:出于對組織“付出-回報(bào)”的不滿或競爭公司提出跳槽等外部因素等原因, 內(nèi)部攻擊者開始計(jì)劃竊取內(nèi)部的信息資產(chǎn); 計(jì)劃階段攻擊者將根據(jù)自己對目標(biāo)信息的訪問權(quán)選擇單獨(dú)行動(dòng)或招募其他內(nèi)部人員協(xié)助; 隨后攻擊者運(yùn)用自己的訪問權(quán)竊取目標(biāo)信息,或招募具有目標(biāo)訪問權(quán)的同謀者竊取目標(biāo)信息。

2.2.3 電子欺詐

定義6: 若受信內(nèi)部人SM利用對授信主體對象的最小訪問權(quán)限Tm=(w, d, a), 篡改授信主體信息數(shù)據(jù), 損害授信主體聲譽(yù)的行為, 則該行為屬于電子欺詐威脅 (Electronic Fraud)。

這里所說的數(shù)據(jù)篡改不涉及程序或系統(tǒng)的數(shù)據(jù)修改。此類威脅不僅會(huì)直接損害授信主體聲譽(yù)(如信用卡詐騙等), 同時(shí)還導(dǎo)致個(gè)人隱私信息大量泄露,造成更多的安全隱患。

與前兩類威脅不同, 欺詐威脅攻擊者通常是企業(yè)/組織中職位較低的人員, 而非技術(shù)人員和專家,如前臺(tái)接待人員、行政助理等。攻擊動(dòng)機(jī)多數(shù)受經(jīng)濟(jì)利益驅(qū)動(dòng)。Cressey等人[19]提出了一個(gè)描述欺詐犯罪的行為模型, 從動(dòng)機(jī)、機(jī)會(huì)與合理化三個(gè)角度刻畫欺詐行為?！皠?dòng)機(jī)”用于描述內(nèi)部人實(shí)施欺詐攻擊的原因, 大多是經(jīng)濟(jì)因素, 如支付醫(yī)療費(fèi)用、房貸壓力等,此外也包括家人/朋友需要經(jīng)濟(jì)幫助, 以及被信用卡詐騙團(tuán)伙收買提供內(nèi)部客戶數(shù)據(jù)等原因。“合理化”用于描述攻擊者說服自己, 克服自己的愧疚進(jìn)行數(shù)據(jù)篡改、身份竊取的過程, 理由通常是自己被迫無奈, 或者企業(yè)/組織虧欠自己等。動(dòng)機(jī)與合理化兩個(gè)因素共同構(gòu)成了內(nèi)部欺詐行為的主觀條件?！皺C(jī)會(huì)”用于描述內(nèi)部人實(shí)施欺詐行為的客觀條件, 如有漏洞的內(nèi)部訪問控制機(jī)制, 松散的管理監(jiān)管以及職務(wù)便利等。

圖1 信息竊取攻擊模型

3 內(nèi)部威脅研究

本文將當(dāng)前內(nèi)部威脅研究主要分為四個(gè)領(lǐng)域:模型研究、主觀要素研究、客觀要素研究及其他相關(guān)研究。模型研究是內(nèi)部威脅研究的前提, 主客觀要素研究分別描述本文定義3中的攻擊者SM與行為B兩類核心內(nèi)部威脅特征。

3.1 內(nèi)部威脅模型研究

內(nèi)部威脅安全模型可以幫助我們分析內(nèi)部威脅的行為模式與特征, 從而針對性地提出應(yīng)對方案, 所以建立安全模型是內(nèi)部威脅研究的基礎(chǔ)。這部分重要的工作早期開始于SKRAM模型[20]與CMO模型[21], 兩個(gè)模型都從攻擊者角度分析實(shí)施一次攻擊所需要具備的主客觀要素。由于實(shí)際從主體角度研究相對困難, 多數(shù)工作從客體角度建立安全模型。Jason等人[22]基于已有的研究工作, 將內(nèi)部威脅的主客觀要素融合, 提出了一個(gè)新型的內(nèi)部威脅框架, 并且針對CERT內(nèi)部威脅數(shù)據(jù)庫中的實(shí)際案例進(jìn)行了驗(yàn)證。他們所提出的模型可以簡要地用圖2表示:

上圖中反映了內(nèi)部威脅行為模式: 具有個(gè)體特征的內(nèi)部人在特殊事件的觸發(fā)下, 成為了具有攻擊動(dòng)機(jī)的內(nèi)部攻擊者, 隨后在現(xiàn)實(shí)與虛擬維度中表現(xiàn)出惡意的行為, 對目標(biāo)資產(chǎn)安全構(gòu)成威脅。圖中全面反映了內(nèi)部威脅主客觀要素的相互作用, 主觀要素是用戶的自身屬性, 主要影響、反映內(nèi)部人的當(dāng)前心理狀態(tài), 這些要素主要包括三類: 一類是包括內(nèi)部人的人格特征等內(nèi)在心理特征, 另一類包括精神病史或違法犯罪歷史等檔案信息以及現(xiàn)實(shí)中可以表征心理狀態(tài)變化的諸多行為, 最后一類則是內(nèi)部人在組織中的職位、能力等組織屬性。其中可以表征心理狀態(tài)變化的行為在文獻(xiàn)[23]中進(jìn)行了總結(jié), 如內(nèi)部人的個(gè)人特征(健康狀況、家庭條件等)、工作特征(出勤率、工作任務(wù)按時(shí)完成率等)以及人際特征(與同事爭吵、反對上級決定等)共計(jì)12類行為, 均可以作為判斷用戶心理狀態(tài)的重要指示器?？陀^要素主要從信息系統(tǒng)中內(nèi)部人的行為表現(xiàn)中體現(xiàn), 包括其在信息系統(tǒng)中的所有操作行為。具體包括運(yùn)行的計(jì)算機(jī)命令、文件訪問記錄、USB等設(shè)備使用記錄、HTTP上網(wǎng)日志、系統(tǒng)登錄/登出、郵件收發(fā)等審計(jì)日志信息。

3.2 內(nèi)部威脅主觀要素研究

早期SKRAM模型[20]與CMO模型[21]提出后, 大量研究力圖從心理學(xué)和社會(huì)學(xué)的角度解釋內(nèi)部威脅的動(dòng)機(jī)因素。因此我們從心理學(xué)領(lǐng)域與社會(huì)學(xué)領(lǐng)域兩個(gè)領(lǐng)域分析主觀要素研究。

圖2 內(nèi)部威脅模型

3.2.1 心理學(xué)領(lǐng)域分析

心理學(xué)領(lǐng)域研究一般使用側(cè)寫的方法從用戶的主機(jī)/網(wǎng)絡(luò)行為表現(xiàn)中推斷出其心理狀態(tài), 從而分析出其人格等特征。文獻(xiàn)[24]第一次建立了心理學(xué)與內(nèi)部威脅間明確的聯(lián)系, FBI的調(diào)查報(bào)告證實(shí)自戀人格用戶很有可能造成內(nèi)部威脅[25]?，F(xiàn)實(shí)中用戶的人格需要從其行為中推斷, 文獻(xiàn)[26]第一次從社交媒體應(yīng)用的角度推斷用戶的人格特征以檢測可疑的內(nèi)部威脅者。

之后在使用社交媒體應(yīng)用表征用戶人格特征領(lǐng)域開展了大量工作, Oliver等人[27]將心理學(xué)側(cè)寫的方法與結(jié)構(gòu)化異常檢測集合, 異常檢測用于從個(gè)體間的相似性以及正常模式中發(fā)現(xiàn)結(jié)構(gòu)化異常節(jié)點(diǎn);而心理學(xué)側(cè)寫則通過用戶的社交言行發(fā)現(xiàn)心理狀態(tài)上的異常, 作為高級的篩選器對結(jié)構(gòu)化異常的個(gè)體進(jìn)行第二次分類。文中從網(wǎng)游服務(wù)器中爬取用戶的游戲數(shù)據(jù), 利用提出的檢測系統(tǒng)檢測背叛公會(huì)的用戶。實(shí)驗(yàn)證明結(jié)合了兩者結(jié)合的檢測系統(tǒng)有效降低了誤報(bào)率。

Miltiadis等人[28]抓取推特用戶的狀態(tài)數(shù)據(jù)以檢測具有自戀人格的用戶。他們從推特上爬取用戶的昵稱、ID、自我介紹、關(guān)注的用戶數(shù)以及被關(guān)注的次數(shù)等信息, 繪制出推特中用戶社交網(wǎng)絡(luò)。重點(diǎn)從用戶的普通程度、Klout分?jǐn)?shù)以及影響的用戶組個(gè)數(shù)的角度檢測出異常的用戶; 隨后判斷該用戶與其所在組的適合度, 當(dāng)其與所在組的其他用戶偏移較大時(shí),判斷具有自戀人格傾向。文獻(xiàn)[29]從YouTube上抓取用戶對視頻的評論, 從用戶的評論、用戶所觀看的視頻列表以及視頻文件本身的類別特征判斷出用戶對政府等執(zhí)法部門的態(tài)度。Christopher等人[30]從用戶郵件行為的角度, 分析用戶郵件內(nèi)容關(guān)鍵詞頻率與行為間的關(guān)聯(lián)。最終提出的自動(dòng)語言分析系統(tǒng), 可以根據(jù)用戶常用詞頻率的變化關(guān)聯(lián)分析出用戶心理因素的變化, 繪制出反映用戶神經(jīng)質(zhì)程度與職業(yè)忠誠度的曲線, 進(jìn)而檢測出潛在的內(nèi)部威脅用戶。

文獻(xiàn)[31]從用戶的書面語言表達(dá)行為中, 研究關(guān)鍵詞計(jì)數(shù)特征以識別內(nèi)部團(tuán)隊(duì)中的欺騙者。為了證明其方法的有效性, 開發(fā)了一個(gè)在線游戲系統(tǒng), 通過捕捉游戲中團(tuán)隊(duì)間用戶交流的信息識別出具有欺騙行為用戶的團(tuán)隊(duì)的語言特征。Bushra等人[32]對用戶的網(wǎng)絡(luò)瀏覽行為進(jìn)行側(cè)寫, 建立網(wǎng)絡(luò)瀏覽行為與人格特征變化之間的關(guān)聯(lián), 從而檢測出潛在的內(nèi)部威脅。具體的方法是: (1)從用戶瀏覽的網(wǎng)頁中提取出純碎的文本信息, 建立詞向量; (2)建立詞向量與語言獲得和詞匯計(jì)數(shù)(Linguistic inquiry and word count, LIWC)特征間的關(guān)系矩陣; (3)通過建立的Word-LIWC關(guān)系矩陣與已有的LIWC-OCEAN關(guān)系矩陣結(jié)合得到詞向量-OCEAN關(guān)系矩陣, OCEAN代表大五人格, 分別是Openness (開放性)、Conscientiousness (盡責(zé)性)、Extraversion (外傾性)、Agreeableness (宜人性)、Neuroticism (情緒穩(wěn)定性); (4)利用主成分分析等方法對關(guān)系矩陣降維; (5)應(yīng)用非監(jiān)督機(jī)器學(xué)習(xí)算法進(jìn)行聚類(實(shí)驗(yàn)使用的K均值聚類)。實(shí)際應(yīng)用檢測時(shí), 計(jì)算用戶瀏覽的新網(wǎng)頁中的詞向量OCEAN值與日常值的歐氏距離, 根據(jù)距離的大小判定行為的異常。

3.2.2 社會(huì)學(xué)領(lǐng)域分析

內(nèi)部威脅領(lǐng)域中較早的社會(huì)學(xué)領(lǐng)域分析可以追溯到到文獻(xiàn)[33]的工作, 他們從社會(huì)學(xué)與犯罪學(xué)領(lǐng)域提出了解釋內(nèi)部攻擊者行為幾種理論: (1)威懾理論:核心在提高攻擊者實(shí)施攻擊的成本, 如指定強(qiáng)安全訪問策略、實(shí)時(shí)檢測等; (2)社會(huì)聯(lián)結(jié)理論: 從內(nèi)部攻擊者的社會(huì)關(guān)系出發(fā), 若其周圍許多人有違法犯罪的行為, 那么該內(nèi)部人則比一般人要更具有潛在威脅; (3)計(jì)劃行為理論: 將內(nèi)部人的行為與動(dòng)機(jī)分離,內(nèi)部人是否實(shí)施攻擊取決于該行為如何被社會(huì)看待; (4)情景犯罪預(yù)防理論: 內(nèi)部威脅的構(gòu)成需要同時(shí)具有動(dòng)機(jī)和機(jī)會(huì)雙重因素, 因此預(yù)防內(nèi)部威脅只需要去除內(nèi)部人動(dòng)機(jī)或攻擊機(jī)會(huì)中的一個(gè)因素即可。上述理論第一次從社會(huì)學(xué)的角度分析內(nèi)部攻擊者的行為動(dòng)機(jī), 為分析內(nèi)部威脅攻擊者的環(huán)境因素提供了幫助。

文獻(xiàn)[34]從社會(huì)分類的角度分析內(nèi)部威脅, 他們將組織中的所有人員分成信息人員、安全員與惡意攻擊者三類, 然后借助信號檢測理論(Signal detection theory, SDT)從心理活動(dòng)中學(xué)習(xí)出可疑程度與真實(shí)威脅概率的鐘形曲線。運(yùn)用社會(huì)學(xué)的威懾理論有效降低了內(nèi)部攻擊發(fā)生的頻率。文獻(xiàn)[35]從組織的角度分析導(dǎo)致員工不滿的原因, 分別從權(quán)力分配、程序公平的角度提出了“組織化公平”的概念, 從組織資源分配不公平的角度來解釋員工不滿。

文獻(xiàn)[36]將計(jì)算機(jī)審計(jì)與心理數(shù)據(jù)結(jié)合使用貝葉斯網(wǎng)絡(luò)檢測內(nèi)部威脅。他們的重要貢獻(xiàn)是總結(jié)了常見的可以用作內(nèi)部威脅預(yù)測的指示器, 如員工的不滿行為、受到批評、對抗上級、自戀人格、曠工/缺勤等12個(gè)具體的心理行為指示器。在此基礎(chǔ)上,他們對檢測系統(tǒng)進(jìn)行了實(shí)驗(yàn), 不過由于使用的是模擬數(shù)據(jù)因此可靠性仍待檢驗(yàn), 另外文中并沒有給出詳細(xì)的數(shù)據(jù)格式, 無法判斷指示器的建立方式。文獻(xiàn)[37]分析了檢測內(nèi)部威脅的挑戰(zhàn), 提出損耗函數(shù)度量檢測威脅系統(tǒng)的功能損耗, 損耗函數(shù)考慮了內(nèi)部威脅發(fā)生的概率、威脅阻止失敗的可能性以及由此造成的損失。他們的研究表明從效能角度, 單純依靠內(nèi)部威脅檢測不如同時(shí)考慮綜合消除攻擊動(dòng)機(jī)的方法更高效。文獻(xiàn)[38]聚焦于安全人員與決策層的學(xué)習(xí)過程,研究如何提高安全人員與決策層從以往的內(nèi)部威脅案例中學(xué)習(xí)的經(jīng)驗(yàn)和知識的能力。Florian等人[39]努力從形式化建模與社會(huì)學(xué)解釋結(jié)合的角度對內(nèi)部威脅進(jìn)行建模。他們證明了高階邏輯證明輔助系統(tǒng)和社會(huì)學(xué)模型可以用于構(gòu)建內(nèi)部威脅模型。

3.3 內(nèi)部威脅客觀要素研究

內(nèi)部威脅客觀要素主要來自內(nèi)部系統(tǒng)與網(wǎng)絡(luò)審計(jì)發(fā)現(xiàn)的用戶行為痕跡, 通過這些信息可以建立用戶的行為模型以檢測內(nèi)部威脅, 其中的關(guān)鍵問題用戶行為痕跡采集與用戶行為模型分析。因此本文將當(dāng)前內(nèi)部威脅客觀要素研究歸為分析數(shù)據(jù)集構(gòu)建與異常檢測方法研究兩方面。

3.3.1 分析數(shù)據(jù)集構(gòu)建

內(nèi)部威脅研究的前提是獲得表征內(nèi)部人行為的數(shù)據(jù)集, 然而實(shí)際中分析研究的數(shù)據(jù)集卻因?yàn)橹饕苁潞笕∽C推動(dòng)和涉及企業(yè)/組織秘密等原因相對匱乏。因此研究者選擇在模擬環(huán)境中構(gòu)造內(nèi)部威脅發(fā)生場景, 收集實(shí)驗(yàn)數(shù)據(jù)作為公開的內(nèi)部威脅分析數(shù)據(jù)集供其他研究者使用。接下來我們對現(xiàn)有公開的重要數(shù)據(jù)集作簡要介紹。

(1) KDD99數(shù)據(jù)集: 源自1998年美國國防部高級規(guī)劃署(DARPA)的一個(gè)入侵檢測評估項(xiàng)目的審計(jì)數(shù)據(jù), 分別從主機(jī)和網(wǎng)絡(luò)兩個(gè)維度收集了約9周的系統(tǒng)審計(jì)與網(wǎng)絡(luò)連接數(shù)據(jù)[40]。其中系統(tǒng)審計(jì)數(shù)據(jù)依據(jù)基本安全模型(BSM)的形式組織數(shù)據(jù), 記錄包括用戶信息、進(jìn)程信息等。網(wǎng)絡(luò)連接數(shù)據(jù)主要使用Tcpdump記錄, 其中7周收集到的數(shù)據(jù)用于訓(xùn)練集,約包含500萬條網(wǎng)絡(luò)連接記錄; 剩下的2周時(shí)間收集到的數(shù)據(jù)用于測試, 大約包含200萬條網(wǎng)絡(luò)連接記

錄[40]。

KDD99中的數(shù)據(jù)記錄采用41個(gè)特征的向量描述, 從而細(xì)粒度地刻畫了模擬的拒絕服務(wù)(DOS)、探測(Probe)、用戶提權(quán)(U2R)、遠(yuǎn)程連接(R2L)四種入侵行為, 成為了安全研究人員廣為使用的數(shù)據(jù)集,如Pallabi[41]使用KDD99的系統(tǒng)審計(jì)數(shù)據(jù)刻畫用戶行為以檢測內(nèi)部威脅。KDD99數(shù)據(jù)集的不足是產(chǎn)生時(shí)間較早, 并且并非專用于內(nèi)部威脅檢測, 因此與實(shí)際的內(nèi)部威脅數(shù)據(jù)相差較大, 基于此的研究也越來越少。

(2) SEA數(shù)據(jù)集: 2001年Schonlau等人[42]第一次提出了偽裝者內(nèi)部攻擊形式, 隨后構(gòu)造了一個(gè)檢測偽裝者攻擊的數(shù)據(jù)集SEA[43], 該數(shù)據(jù)被廣泛用于內(nèi)部偽裝者的檢測研究。

SEA數(shù)據(jù)集記錄了UNIX系統(tǒng)下70個(gè)用戶的日志信息, 每個(gè)用戶均記錄了15000條命令(不含命令參數(shù)), 所有用戶中隨機(jī)抽取了50個(gè)用戶作為正常用戶, 剩余的20個(gè)用戶的命令中會(huì)隨機(jī)插入一些模擬的攻擊行為命令。每個(gè)用戶的命令數(shù)據(jù)分成100條命令長度的數(shù)據(jù)塊, 前50個(gè)數(shù)據(jù)塊為該用戶的正常數(shù)據(jù), 可以作為分類器的訓(xùn)練集使用; 而后100個(gè)數(shù)據(jù)塊中則可能插入了惡意的行為數(shù)據(jù), 可以作為測試集使用。SEA數(shù)據(jù)集不足之處是SEA中的數(shù)據(jù)集將100條命令長度的數(shù)據(jù)塊看作一個(gè)會(huì)話(Session),只是模擬了連續(xù)會(huì)話關(guān)聯(lián)的攻擊行為; 此外由于缺乏用戶的職業(yè)角色信息、數(shù)據(jù)跨度較大、只能記錄執(zhí)行完成的命令以及攻擊數(shù)據(jù)人為模擬等因素, 數(shù)據(jù)集在實(shí)際使用時(shí)存在一定的限制。

(3) WUIL數(shù)據(jù)集與SEA數(shù)據(jù)集不同, 2014年Camina等人[44]從Windows系統(tǒng)用戶的文件訪問行為角度刻畫用戶行為。他們借助Windows中審計(jì)工具記錄20個(gè)不同用戶瀏覽文件和目錄的行為, 每條信息包含記錄ID、訪問時(shí)間以及文件對象及其路徑信息。為了研究用戶知識背景與計(jì)算機(jī)技能對行為的影響, WUIL數(shù)據(jù)集的20個(gè)用戶來自不同的職業(yè), 如學(xué)生、高級管理人員、部門秘書等。

WUIL數(shù)據(jù)集相比SEA數(shù)據(jù)集最大的改進(jìn)在于攻擊行為來源于真實(shí)偽裝者的操作, 他們模擬了用戶登錄系統(tǒng)后離開的場景, 偽裝者得以未授權(quán)使用用戶的登錄憑證進(jìn)行惡意操作。他們根據(jù)偽裝者的攻擊能力分成了基礎(chǔ)、中級、高級三個(gè)層次, 每個(gè)層次對應(yīng)著不同的技術(shù)基礎(chǔ)與計(jì)劃。WUIL數(shù)據(jù)集提供了從文件瀏覽角度刻畫用戶行為的可能性, 可以作為現(xiàn)有用戶行為建模方法的有益補(bǔ)充。

(4) CERT數(shù)據(jù)集[45]: 來源于卡耐基梅隆大學(xué)的CERT內(nèi)部威脅中心, 該中心由美國國防部高級研究計(jì)劃局(DARPA)贊助, 與ExactData公司合作模擬了一個(gè)內(nèi)部威脅檢測測試集。該數(shù)據(jù)。集模擬了惡意參與者的行為數(shù)據(jù)以及背景數(shù)據(jù)。

CERT數(shù)據(jù)集中涉及多個(gè)維度的用戶行為數(shù)據(jù),如文件訪問、郵件收發(fā)、設(shè)備使用、HTTP訪問以及登錄系統(tǒng)等行為, 還包括了用戶的崗位以及工作組信息。CERT數(shù)據(jù)集提供了用戶全面的行為觀測數(shù)據(jù)以刻畫用戶行為模型。CERT數(shù)據(jù)集中模擬了系統(tǒng)破壞、知識產(chǎn)權(quán)竊取、欺詐等主要內(nèi)部威脅類型, 從關(guān)系圖模型、資產(chǎn)圖模型、行為模型、通訊模型、話題模型、心理學(xué)模型、誘餌模型以及威脅場景來關(guān)聯(lián)構(gòu)造攻擊數(shù)據(jù), 以達(dá)到最佳的真實(shí)度。

數(shù)據(jù)研究最主要的問題是惡意數(shù)據(jù)多來源于人工模擬, 無法真實(shí)反映攻擊行為; 此外數(shù)據(jù)域各有側(cè)重, 缺乏內(nèi)部攻擊者行為的全面反映, 最終影響內(nèi)部威脅檢測研究的實(shí)際準(zhǔn)確性。

3.3.2 異常檢測研究

異常檢測是指通過建立用戶正常行為模型, 對比檢測出偏移該模型的異常行為。異常檢測中的核心問題建立用戶正常行為模型, 根據(jù)模型構(gòu)建中使用數(shù)據(jù)源的不同, 本文將異常檢測研究分為用戶命令檢測、審計(jì)日志檢測、外設(shè)使用檢測以及網(wǎng)絡(luò)使用檢測四個(gè)類別。

(1) 用戶命令檢測

最早的基于用戶命令的異常檢測研究可以追溯到文獻(xiàn)[46,47], 他們都將Unix系統(tǒng)圖用戶的命令序列作為分析對象, 分別計(jì)算相鄰命令模式出現(xiàn)的概率與新命令與歷史記錄的匹配程度來判斷是否屬于異常。之后內(nèi)部威脅檢測中開始引入機(jī)器學(xué)習(xí)算法,如利用樸素貝葉斯方法[48]、EM算法[49]、SVM(支持向量機(jī))[50]等。其中Maxion等人[48]將原本用于文本分類任務(wù)的樸素貝葉斯方法引入到內(nèi)部威脅檢測中,分析了錯(cuò)誤產(chǎn)生的數(shù)據(jù)集原因。Oka等人[49]注意到刻畫用戶的行為需要將隱含的關(guān)聯(lián)數(shù)據(jù)也納入考慮,他們基于網(wǎng)絡(luò)分層方法提取出同時(shí)出現(xiàn)的非鄰接命令以補(bǔ)充用戶行為模型。文獻(xiàn)[50]提出評價(jià)內(nèi)部威脅檢測系統(tǒng), 應(yīng)當(dāng)測試該系統(tǒng)在不同會(huì)話層區(qū)分攻擊者與普通用戶的能力。

Windows系統(tǒng)方面主要基于系統(tǒng)API與進(jìn)程表信息分析。其中代表性的工作如Nguyen等人[51]提出監(jiān)控用戶系統(tǒng)調(diào)用, 從用戶、文件與進(jìn)程彼此關(guān)聯(lián)中分析, 建立文件訪問與進(jìn)程調(diào)用的聯(lián)系, 不足是僅能檢測緩沖區(qū)溢出, 并且只有92%的檢出率。Shavlik等人[52]基于Windows 2000系統(tǒng)用戶的統(tǒng)計(jì)數(shù)據(jù)建立異常檢測模型, 提取出1500個(gè)Windows系統(tǒng)屬性特征以準(zhǔn)確地刻畫用戶行為。Goldrng等人[53]分析系統(tǒng)窗口主題信息, 打開一個(gè)新窗口時(shí), 自動(dòng)記錄窗口標(biāo)題、主題條信息以及窗口進(jìn)程等信息, 從而刻畫用戶窗口行為特征。文獻(xiàn)[54]提出基于隱馬爾可夫模型的內(nèi)部威脅檢測方法, 利用捕獲的Windows Native API建立程序正常行為輪廓庫。

基于用戶命令行為的異常檢測主要從用戶命令序列或系統(tǒng)調(diào)用序列角度運(yùn)用機(jī)器學(xué)習(xí)的方法建立分類器, 但是由于依靠的數(shù)據(jù)源過于單一以及分類器過于簡單導(dǎo)致多數(shù)方法檢測率不高, 并且部分研究還只是停留在概念模型的階段。

(2) 審計(jì)日志檢測

審計(jì)日志檢測主要涉及命令外的其他用戶操作,如系統(tǒng)登錄/登出、文件訪問、設(shè)備使用(如打印機(jī)、USB等)、HTTP訪問以及郵件收發(fā)等記錄, 是用戶系統(tǒng)/網(wǎng)絡(luò)行為較為全面的反映。Patcha與Park[55]認(rèn)為由于數(shù)據(jù)關(guān)系復(fù)雜、攻擊建模困難以及用戶行為動(dòng)態(tài)變化三個(gè)原因, 內(nèi)部威脅檢測相對于入侵檢測更具挑戰(zhàn)性。

數(shù)據(jù)關(guān)系研究方面, 不同類型審計(jì)數(shù)據(jù)之間結(jié)合方式是重要的研究問題。簡單拼接不同數(shù)據(jù)域的信息, 會(huì)造成部分特征失效、模型訓(xùn)練復(fù)雜度過高以及模型過擬合等問題。Hoda等人[56]提出一個(gè)多源數(shù)據(jù)融合的典型方法。他們從用戶的工作組屬性出發(fā)定義了域間一致性, 之后檢驗(yàn)用戶的域間一致性,使用TF/IDF框架思想融合用戶在不同數(shù)據(jù)域上一致性的評分。不足是該模型嚴(yán)重依賴用戶組屬性一致的假設(shè), 而該假設(shè)與用戶的實(shí)際情況并不完全相符。

內(nèi)部威脅攻擊建模方面, Jason等人[22]針對已有案例提出內(nèi)部威脅概念模型, 將內(nèi)部威脅的主客觀要素均納入其中。但是該模型概念性太強(qiáng), 不適合實(shí)際內(nèi)部威脅檢測。Ted等人[11]建立了內(nèi)部威脅檢測系統(tǒng)PRODIGAL。該系統(tǒng)的主要?jiǎng)?chuàng)新體現(xiàn)在: 1. 提出從指示器、異常模型以及場景三個(gè)層次來選擇特征集; 2. 提出異常檢測語言(ADL)作為內(nèi)部威脅檢測的控制流描述工具; 3. 基于ADL工具建立針對場景的復(fù)雜內(nèi)部威脅檢測機(jī)制。他們的重要貢獻(xiàn)是提出了基于場景分析的內(nèi)部威脅檢測系統(tǒng), 并且借助ADL描述了異常檢測的高級應(yīng)用方法, 不足是提出的系統(tǒng)仍不完善, 僅僅針對信息竊取威脅進(jìn)行了實(shí)驗(yàn), 其它威脅的檢測效果仍待檢驗(yàn)。

用戶行為建模方面, 檢測系統(tǒng)誤報(bào)率高的一個(gè)重要原因是分類器缺乏對用戶行為正常變化的適應(yīng)性。Pallabi[25]提出了一種解決方案, 系統(tǒng)中同時(shí)部署K個(gè)實(shí)時(shí)更新的分類器, 采用“K-投票”的形式對用戶行為進(jìn)行判斷; K個(gè)分類器實(shí)時(shí)更新, 此外他們還使用Hadoop分布式框架提高系統(tǒng)學(xué)習(xí)的效率。不足是文中并未針對真正的內(nèi)部威脅數(shù)據(jù)實(shí)驗(yàn), 因此其真實(shí)的效果仍待考證。

除了上述研究, 一個(gè)重要工作是Benito等人[58,59]提出的基于文件使用的內(nèi)部威脅檢測系統(tǒng)。他們的系統(tǒng)用于偽裝者攻擊, 從用戶遍歷文件系統(tǒng)以及訪問文件目錄的角度建立行為模型。文獻(xiàn)[57]針對用戶遍歷文件系統(tǒng)時(shí)的文件順序, 建立了文件目錄圖與用戶訪問圖存儲(chǔ)表示文件訪問行為, 然后使用樸素貝葉斯分類器檢測文件訪問行為的突然變化。文獻(xiàn)[58]擴(kuò)展了之前的工作, 將文件目錄作為用戶“任務(wù)”的抽象, 進(jìn)行類似文獻(xiàn)[59]中的行為刻畫, 最終通過樸素貝葉斯與Markov模型對比分析, 證明了其檢測系統(tǒng)的有效性。文獻(xiàn)[60]針對內(nèi)部信息竊取威脅, 提出基于文件內(nèi)容的異常檢測模型; 該模型首先使用文本分割與樸素貝葉斯方法對組織中文件內(nèi)容分類,然后提出根據(jù)個(gè)體用戶自身行為以及組群間行為偏移檢測文件訪問中的異常行為; 實(shí)驗(yàn)證明了該系統(tǒng)在保護(hù)系統(tǒng)內(nèi)部文件訪問的作用, 不足是檢測效果完全取決于所用詞匯庫的豐富程度

除了分析文件訪問行為, 文獻(xiàn)[61]建立的RUU數(shù)據(jù)集力圖從用戶的搜索模式中刻畫其行為。Liu等人[60]從用戶層角度檢測內(nèi)部威脅, 如注冊表修改、進(jìn)程創(chuàng)建/銷毀等; 系統(tǒng)層的優(yōu)勢是不僅可以全面捕獲信息, 還提高了安全性。Ray等人[61]假設(shè)可以枚舉攻擊方式全集, 用戶在使用系統(tǒng)前必須說明使用意圖,任何偏離其聲明意圖的行為都被看作攻擊觸發(fā)警報(bào);不足是一方面枚舉攻擊方式全集不現(xiàn)實(shí), ; 另一方面是存儲(chǔ)分析用戶意圖集, 增加系統(tǒng)負(fù)擔(dān)降低了檢測效率。

另一個(gè)重要工作是基于圖方法的異常檢測應(yīng)用。文獻(xiàn)[62]在攻擊樹的基礎(chǔ)上提出了關(guān)鍵挑戰(zhàn)圖(KGG)。圖頂點(diǎn)表示主機(jī)或服務(wù)器, 邊關(guān)系表示實(shí)體間通信, 每個(gè)頂點(diǎn)標(biāo)注其上的資源信息, 如密碼、數(shù)據(jù)等。用戶訪問行程一個(gè)關(guān)鍵挑戰(zhàn)序列, 可以計(jì)算單獨(dú)分支的內(nèi)部攻擊成本。Eberle等人[63]的圖檢測算法核心是刻畫圖的輸入、修改和刪除等變化。具體分四步: (1)獲取業(yè)務(wù)數(shù)據(jù)集, 檢測識別異常; (2)基于異常與相關(guān)用戶創(chuàng)建圖; (3)建立數(shù)據(jù)移動(dòng)圖; (4)學(xué)習(xí)到用戶頻繁子圖與常見子圖作為正常模式。不足是檢測效率過低, 在VAST數(shù)據(jù)集上實(shí)驗(yàn)表明1000多個(gè)頂點(diǎn)的圖計(jì)算耗費(fèi)了3天時(shí)間。

Ioannis等人[64]融合了攻擊樹與行為樹提出了活動(dòng)樹模型, 記錄用戶的工作流模式; 從分支長度、對應(yīng)節(jié)點(diǎn)相似性等方面判斷新行為與已有工作流模式的相似性。Philip等人[65]基于(設(shè)備-操作-屬性)三元組對用戶及對應(yīng)的角色行為進(jìn)行樹結(jié)構(gòu)抽象, 更加全面地刻畫用戶行為; 他們還設(shè)計(jì)了一個(gè)三層內(nèi)部威脅評估系統(tǒng), 分成策略違反、閾值檢測以及模式偏移三個(gè)層次, 每層檢測到異常都會(huì)觸發(fā)警報(bào), 通過結(jié)果反饋實(shí)時(shí)更新檢測模型。

王輝等人[66]在攻擊圖中補(bǔ)充用戶意圖信息, 基于意圖信息構(gòu)建用戶的合法元操作集合, 然后生成用戶最小攻擊樹; 通過實(shí)時(shí)監(jiān)控用戶行為在最小攻擊樹中的進(jìn)度判斷用戶的內(nèi)部威脅等級。之后的工作[67]針對內(nèi)部用戶操作行為與占有的資源狀態(tài)等信息構(gòu)建了內(nèi)部貝葉斯網(wǎng)絡(luò)攻擊圖, 通過計(jì)算不同攻擊路徑的危險(xiǎn)概率從而檢測該路徑下用戶行為的異常程度

(3) I/O外設(shè)使用檢測

I/O設(shè)備檢測主要研究用戶使用計(jì)算機(jī)外設(shè)的行為模式, 主要以研究鼠標(biāo)與鍵盤使用為代表。從用戶使用鼠標(biāo)的角度, 文獻(xiàn)[68]采集18個(gè)用戶使用IE瀏覽器時(shí)的鼠標(biāo)操作, 構(gòu)建鼠標(biāo)行為數(shù)據(jù)集, 該數(shù)據(jù)集涉及鼠標(biāo)使用時(shí)的光標(biāo)移動(dòng)坐標(biāo)、移動(dòng)距離、角度以及移動(dòng)時(shí)間等特征。文獻(xiàn)[69]定義了“5×5”光標(biāo)矩陣標(biāo), 重點(diǎn)對鼠標(biāo)移動(dòng)、點(diǎn)擊以及推拽三類基本使用方式記錄了坐標(biāo)、速度等特征。上述工作不足是實(shí)驗(yàn)用戶數(shù)過少, 代表性不強(qiáng); 惡意數(shù)據(jù)采用模擬數(shù)據(jù), 不能反映真實(shí)的攻擊狀況。

從鍵盤使用研究有兩種方法, 一種是靜態(tài)文本監(jiān)測, 即研究用戶輸入同一段文本的行為。如文獻(xiàn)[70]中從用戶輸入口令中分析用戶輸入方式的變化;從包含51個(gè)用戶的數(shù)據(jù)集中提取了31個(gè)不同的鍵盤輸入特征。另一個(gè)是動(dòng)態(tài)文本監(jiān)測, 即研究用戶隨意輸入文本的行為, 如文獻(xiàn)[71]分析55個(gè)用戶的郵件信息, 主要記錄擊鍵行為與時(shí)間戳。此類研究的不足之處在于監(jiān)控文本輸入通常缺乏良好的用戶交互性, 并且設(shè)計(jì)一個(gè)特定的應(yīng)用檢測用戶輸入并不現(xiàn)實(shí)。

3.4 相關(guān)研究

除了上述主客觀要素兩方面的研究, 內(nèi)部威脅研究也體現(xiàn)在其他諸多領(lǐng)域。如在傳統(tǒng)的蜜罐研究領(lǐng)域可以見到大量研究工作。代表性研究如Spitzner[72,73]針對密標(biāo)的使用方式提出了諸多改進(jìn),一方面針對內(nèi)部網(wǎng)絡(luò)嗅探行為檢測, 提出在網(wǎng)絡(luò)內(nèi)大量散步密標(biāo)的方法; 一方面提出在郵箱中嵌入有密標(biāo)的偽郵件, 當(dāng)偽郵件中密標(biāo)被攻擊者使用時(shí)就會(huì)觸發(fā)警報(bào)。Bowen等人[74]提出了HMAC驗(yàn)證、陷阱主機(jī)以及燈塔誘餌三種密標(biāo)文件設(shè)置方法, 巧妙地在攻擊者使用密標(biāo)時(shí)獲取其信息。Kandias等人[75]結(jié)合心理學(xué)知識預(yù)測內(nèi)部威脅, 一方面從設(shè)置的誘餌主機(jī)中監(jiān)測用戶的行為軌跡, 分析其異常程度;同時(shí)借助心理計(jì)量測驗(yàn)檢測股每個(gè)用戶的惡意行為傾向以及所處壓力水平; Kandias等人注意了心理學(xué)知識使用, 但僅依靠心理計(jì)量測驗(yàn)過于簡單, 并不能完整反映用戶的真實(shí)心理狀態(tài)?；诿酃迿z測內(nèi)部威脅的共同問題是警報(bào)并不足以說明是惡意威脅,也許僅僅是異常。

檢測系統(tǒng)設(shè)計(jì)領(lǐng)域, Mark等人[76]針對分析比較現(xiàn)有內(nèi)部威脅項(xiàng)目, 提出內(nèi)部威脅檢測系統(tǒng)中應(yīng)具有管理員、分析員、工程師、執(zhí)法員四種實(shí)際的系統(tǒng)角色。陸軍等人[77]提出內(nèi)部威脅檢測系統(tǒng)應(yīng)當(dāng)基于多Agent的管理機(jī)制, 通過安全數(shù)據(jù)收集代理與安全管理代理的分工合作形成樹形動(dòng)態(tài)的管理機(jī)制。Amos等人[23]建立的內(nèi)部威脅監(jiān)測系統(tǒng)BAIT中使用了引導(dǎo)算法, 該引導(dǎo)算法用于從大量非標(biāo)記數(shù)據(jù)集中自動(dòng)標(biāo)記出數(shù)據(jù)的類別。他們基于SVM與樸素貝葉斯兩種經(jīng)典學(xué)習(xí)算法構(gòu)造了七種引導(dǎo)算法實(shí)現(xiàn)數(shù)據(jù)集的自動(dòng)標(biāo)記。內(nèi)部威脅客體角度研究方面, 陳亞輝[78]根據(jù)內(nèi)部威脅目標(biāo)的關(guān)鍵資產(chǎn)重要性權(quán)重與受威脅程度, 使用特定函數(shù)計(jì)算威脅指數(shù), 然后利用客體對象重要性因子進(jìn)行威脅指數(shù)加權(quán), 從而評估當(dāng)前系統(tǒng)內(nèi)部威脅態(tài)勢。陳小軍等人[79]提出更為全面的內(nèi)部威脅檢測系統(tǒng): (1)針對攻擊圖中不確定性導(dǎo)致攻擊圖檢測誤報(bào)率過高的問題引入攻擊圖步驟間的轉(zhuǎn)移概率, 通過計(jì)算每步變化的可能性, 量化整體攻擊的不確定性, 從而通過概率攻擊圖計(jì)算針對特定攻擊目標(biāo)的最大概率攻擊路徑, 有效降低誤報(bào)率；(2)根據(jù)注入的瞬時(shí)鼠標(biāo)失效事件以檢測身份冒用者; (3)基于概率攻擊圖計(jì)算最大攻擊路徑擴(kuò)展為安全防護(hù)概率攻擊圖, 最終實(shí)現(xiàn)了一種最優(yōu)安全防護(hù)策略的計(jì)算方法。其系統(tǒng)最大的不足在于核心模塊概率攻擊圖的構(gòu)建完全依賴于專家知識庫, 因此在大規(guī)模網(wǎng)絡(luò)中推廣使用存在一定的限制。

Miltiadis等人[80]從云計(jì)算領(lǐng)域分析內(nèi)部威脅應(yīng)對方案。由于云計(jì)算環(huán)境下多種資源高度整合, 因此內(nèi)部威脅可竊取大量信息, 同時(shí)內(nèi)部破壞攻擊也會(huì)導(dǎo)致更多用戶受到影響; 他們提出云計(jì)算服務(wù)商與用戶均應(yīng)采取安全措施應(yīng)對內(nèi)部威脅, 如用戶端應(yīng)實(shí)施強(qiáng)健的密碼策略, 安裝IDS/IPS; 服務(wù)商應(yīng)從數(shù)據(jù)冗余備份、用戶職能分離、日志審計(jì)以及認(rèn)證訪問控制等多方面加強(qiáng)安全監(jiān)管。張紅斌等人[81]將云模型應(yīng)用在內(nèi)部威脅評測感知中, 在基于系統(tǒng)訪問控制關(guān)系建立的分層內(nèi)部威脅模型上應(yīng)用云模型感知算法, 對內(nèi)部威脅特征同時(shí)進(jìn)行定性定量分析,有效提高了系統(tǒng)檢測的準(zhǔn)確性。

3.5 小結(jié)

由于內(nèi)部威脅的嚴(yán)重危害性, 國內(nèi)外安全領(lǐng)域針對內(nèi)部威脅基礎(chǔ)、主客觀要素等領(lǐng)域進(jìn)行了深入研究, 取得了一定的成果, 但仍普遍存在不足。首先基礎(chǔ)研究方面, 主要問題是內(nèi)部威脅模型尚待完善,現(xiàn)有模型無法全面深刻反映內(nèi)部威脅數(shù)據(jù)與行為特征, 此外威脅要素亟需根據(jù)實(shí)際案例實(shí)時(shí)更新, 基礎(chǔ)研究薄弱是制約當(dāng)前內(nèi)部威脅研究良好發(fā)展的重要因素。

內(nèi)部威脅主觀要素研究方面, 主要成果有兩點(diǎn):一是研究者已經(jīng)注意到內(nèi)部用戶主觀因素與實(shí)際威脅的關(guān)聯(lián), 并且從心理學(xué)、社會(huì)學(xué)的角度進(jìn)行闡述,指出了表示心理狀態(tài)的行為特征; 二是研究者開始研究主觀因素在社交媒體、郵件等應(yīng)用中的表現(xiàn)形式, 初步實(shí)驗(yàn)驗(yàn)證了理論的正確性, 為后續(xù)研究奠定了基礎(chǔ)。當(dāng)前主要問題是研究尚處于初級階段, 主要表現(xiàn)在: (1)數(shù)據(jù)維度較窄, 未能從人事檔案、工作狀態(tài)等多個(gè)維度獲取數(shù)據(jù); (2)研究者尚未意識到主客觀要素?cái)?shù)據(jù)結(jié)合的必要性, 主觀要素?cái)?shù)據(jù)只能說明用戶可疑, 但不能判斷其惡意; (3)由于主觀要素?cái)?shù)據(jù)多涉及個(gè)人隱私與企業(yè)秘密, 因此相對于客觀要素?cái)?shù)據(jù)難于獲取。

內(nèi)部威脅客觀要素研究作為熱點(diǎn)領(lǐng)域, 取得了顯著的成果: (1)數(shù)據(jù)維度橫向擴(kuò)展: 數(shù)據(jù)源從最初的命令序列到文件訪問等詳細(xì)記錄, 從系統(tǒng)審計(jì)日志到鼠標(biāo)等外設(shè)使用, 豐富的數(shù)據(jù)類別提供了更強(qiáng)的用戶行為表現(xiàn)力; (2)異常檢測研究廣泛: 研究者對以樸素貝葉斯、SVM等為核心的異常檢測算法的內(nèi)部威脅檢測應(yīng)用開展了大量工作, 提出了許多可行的威脅檢測系統(tǒng)。但是本文認(rèn)為異常檢測領(lǐng)域主要問題有兩個(gè): (1)分析數(shù)據(jù)集的廣度與深度亟待加強(qiáng), 此外缺乏反映真實(shí)內(nèi)部威脅的用戶行為的數(shù)據(jù)集; (2)誤報(bào)/漏報(bào)較高導(dǎo)致檢測系統(tǒng)效率過低, 原因是: 用戶偶然、過失行為不可避免, 導(dǎo)致誤報(bào); 異常檢測無法識別重復(fù)性惡意行為或合規(guī)惡意行為, 前者指惡意異常行為最初識別為異常, 重復(fù)累加后誤認(rèn)為正常, 導(dǎo)致漏報(bào)。此外, 現(xiàn)有異常檢測應(yīng)用雖大量使用機(jī)器學(xué)習(xí)算法, 但缺乏算法選擇理論研究和應(yīng)用理論研究, 實(shí)際應(yīng)用中普遍存在盲目性。以上是制約異常檢測實(shí)際應(yīng)用的主要因素。

綜合上述分析, 我們將內(nèi)部威脅檢測研究的不足概括為以下三點(diǎn):

1. 混淆性: 當(dāng)前內(nèi)部威脅檢測混淆了異常檢測與惡意檢測的范疇。惡意行為大多表現(xiàn)為異常行為,然而也存在正常惡意行為, 本文認(rèn)為異常行為與惡意行為存在交集, 但是并不相同。因此, 單純使用異常檢測內(nèi)部威脅導(dǎo)致較高誤報(bào)/漏報(bào), 嚴(yán)重降低檢測系統(tǒng)效率。

2. 片面性: 主客觀要素是全面刻畫內(nèi)部威脅不可分割的有機(jī)整體, 主觀要素刻畫用戶自身特征,揭示內(nèi)部威脅動(dòng)機(jī), 預(yù)示行為傾向; 客觀要素反映威脅觸發(fā)及實(shí)施, 是判斷內(nèi)部威脅的關(guān)鍵依據(jù), 啟示攻擊原因與目標(biāo)。遺憾地是當(dāng)前內(nèi)部威脅檢測研究大多獨(dú)立地在主觀或客觀某個(gè)領(lǐng)域?qū)Ψ治? 缺乏全面性, 實(shí)際中無法有效檢測威脅。

3. 領(lǐng)域無關(guān)性: 領(lǐng)域特征指內(nèi)部威脅在不同信息系統(tǒng)狀態(tài)與管理水平下的行為模式特征; 當(dāng)前內(nèi)部威脅檢測研究忽視了領(lǐng)域特征的重要性, 僅依靠機(jī)器學(xué)習(xí)等數(shù)據(jù)分析方法挖掘數(shù)據(jù)特征建立威脅分類器, 從而造成分類器模型偏移實(shí)際行為模型, 最終降低檢測準(zhǔn)確率, 無法有效應(yīng)對外部威脅。

4 檢測系統(tǒng)設(shè)計(jì)與關(guān)鍵技術(shù)展望

基于當(dāng)前內(nèi)部威脅研究的上述不足, 我們先是提出一個(gè)開放多元的新型檢測系統(tǒng), 然后分析本領(lǐng)域未來研究的關(guān)鍵技術(shù)方向。

4.1 內(nèi)部威脅檢測系統(tǒng)設(shè)計(jì)

本文的新型內(nèi)部威脅檢測系統(tǒng)模型如圖3, 該系統(tǒng)中①體現(xiàn)了“多元結(jié)構(gòu)”特征, 具體表現(xiàn)為內(nèi)部威脅檢測數(shù)據(jù)集來自主客觀要素兩個(gè)方面, 主觀要素?cái)?shù)據(jù)主要來自企業(yè)/組織中的人力資源部門數(shù)據(jù), 包括用戶個(gè)人檔案(疾病史、違法犯罪史、家庭狀況等)及工作狀態(tài)(人際關(guān)系狀態(tài)、出勤率、工作效率及出入門禁記錄等)等用戶信息, 用于建立用戶的自身特征以識別潛在威脅用戶; 客觀要素?cái)?shù)據(jù)主要來自信息系統(tǒng)審計(jì), 主要分為活動(dòng)數(shù)據(jù)與內(nèi)容數(shù)據(jù)兩類,其中活動(dòng)數(shù)據(jù)包括用戶系統(tǒng)登錄/登出、文件訪問、網(wǎng)絡(luò)訪問、設(shè)備使用(打印機(jī)或可移動(dòng)存儲(chǔ)設(shè)備等)及郵件收發(fā)行為等, 用于刻畫用戶實(shí)際行為。內(nèi)容數(shù)據(jù)主要來自于用戶活動(dòng)相關(guān)的文本內(nèi)容分析, 如瀏覽的網(wǎng)頁文本、社交媒體狀態(tài)信息以及收發(fā)郵件內(nèi)容等; 借助語言查詢與字?jǐn)?shù)統(tǒng)計(jì)工具LIWC可以分析文本內(nèi)容中的用戶人格等主觀要素, 因此內(nèi)容數(shù)據(jù)作為用戶個(gè)體心理特征的有效補(bǔ)充。

系統(tǒng)中②體現(xiàn)了系統(tǒng)的開放性, 通過建立與內(nèi)部威脅特征庫聯(lián)結(jié), 可以運(yùn)用已知內(nèi)部攻擊特征等指示器進(jìn)行安全規(guī)則與攻擊特征匹配實(shí)時(shí)檢測, 及時(shí)發(fā)現(xiàn)系統(tǒng)中的安全威脅。③ 與④ 體現(xiàn)了本文定義3的SM×B× O條件, 全面反映內(nèi)部威脅主客觀因素: 首先由用戶客觀行為異常檢測識別可疑行為,隨后將可疑行為與對應(yīng)用戶個(gè)體心理特征關(guān)聯(lián)分析,同時(shí)進(jìn)行⑤內(nèi)部威脅檢測以確定可疑用戶, 具體分析應(yīng)從用戶自身歷史行為(縱向)與用戶同職能角色行為(橫向)兩個(gè)方面比較判斷; ⑥進(jìn)行專家調(diào)查取證,若確認(rèn)內(nèi)部威脅, 則通過⑦分析形成新威脅模式特征提交給威脅特征庫; 若實(shí)際調(diào)查證實(shí)為誤報(bào), 則通過⑧對系統(tǒng)進(jìn)行反饋, 修正分類器模型。

4.2 關(guān)鍵技術(shù)展望

未來內(nèi)部威脅研究需從數(shù)據(jù)集采集、異常檢測、主客觀特征檢測及內(nèi)部威脅特征分析等領(lǐng)域改進(jìn)當(dāng)前不足, 本文分析未來關(guān)鍵技術(shù)如下:

1. 數(shù)據(jù)采集技術(shù)研究: 主要分為數(shù)據(jù)采集深度與廣度擴(kuò)展兩方面。深度擴(kuò)展指延伸用戶客觀要素?cái)?shù)據(jù)層次, 如審計(jì)日志采集深入系統(tǒng)層, 刻畫用戶系統(tǒng)調(diào)用行為, 主要研究點(diǎn)是建立多層監(jiān)視器同時(shí)保證系統(tǒng)效率影響最小; 廣度擴(kuò)展指延展用戶主觀要素?cái)?shù)據(jù)范圍, 不僅基于社交媒體狀態(tài), 還應(yīng)包含歷史檔案、人格分析等多方面?zhèn)€體特征數(shù)據(jù), 主要研究點(diǎn): (1)研究反映用戶人格特征、心理狀態(tài)等抽象概念的現(xiàn)實(shí)指示器, 并制定數(shù)據(jù)格式規(guī)范; (2)針對由于主觀數(shù)據(jù)涉及用戶隱私或企業(yè)秘密較難獲取問題,設(shè)計(jì)隱私、秘密過濾保護(hù)機(jī)制, 在保證威脅模式數(shù)據(jù)基礎(chǔ)上打消用戶或企業(yè)顧慮。

圖3 新型多元內(nèi)部威脅檢測系統(tǒng)

2. 異常檢測技術(shù)研究: 主要研究改進(jìn)異常檢測使用方式, 降低混淆性導(dǎo)致的固有誤報(bào)/漏報(bào)。主要研究點(diǎn): (1)算法選擇理論研究: 針對已有大量異常檢測應(yīng)用, 分析算法原理、優(yōu)劣勢以及最佳匹配數(shù)據(jù)類型, 建立從數(shù)據(jù)特征與領(lǐng)域特征選擇異常檢測算法的統(tǒng)一標(biāo)準(zhǔn), 理性化算法選擇過程; (2)算法應(yīng)用研究:一方面研究異常檢測組合方式, 如多步分類器, 橫向K-投票分類器等; 另一方面研究異常檢測基準(zhǔn)模型選擇方法, 如基于用戶自身行為模型的縱向比較,或基于用戶所屬職能角色行為模型的橫向比較等。本文認(rèn)為未來內(nèi)部威脅檢測應(yīng)考慮不同企業(yè)/組織特點(diǎn), 基于不同領(lǐng)域的業(yè)務(wù)特點(diǎn)與威脅評估分析, 分析攻擊鏈特點(diǎn), 提取威脅特征建立多域數(shù)據(jù)異常關(guān)聯(lián), 實(shí)現(xiàn)內(nèi)部威脅檢測的定制化分析, 有效提高檢測率。

3. 主客觀特征檢測技術(shù)研究: 主要分為特征關(guān)聯(lián)與應(yīng)用研究兩方面。主要研究點(diǎn): (1)特征關(guān)聯(lián)方面研究用戶主客觀特征數(shù)據(jù)結(jié)合方式, 如以用戶為中心建立個(gè)體特征與系統(tǒng)行為圖, 或?qū)ψ詰偃烁裼脩粝到y(tǒng)行為聚類等; (2)應(yīng)用方面研究主客觀特征綜合檢測方式, 可以基于數(shù)據(jù)關(guān)聯(lián)方式進(jìn)行某類檢測,如用戶主客觀行為關(guān)聯(lián)圖中異常子圖檢測; 或分析主客觀數(shù)據(jù)的使用順序, 如先對客觀數(shù)據(jù)異常檢測,然后關(guān)聯(lián)可疑用戶則可以有效降低誤報(bào)等, 反之先從主觀數(shù)據(jù)分析, 可以實(shí)現(xiàn)內(nèi)部威脅預(yù)測系統(tǒng)。

4. 內(nèi)部威脅特征分析技術(shù)研究: 建立內(nèi)部威脅特征庫是解決傳統(tǒng)檢測系統(tǒng)實(shí)時(shí)檢測能力差的關(guān)鍵,實(shí)際研究處于起步階段, 其核心是特征分析技術(shù)研究, 主要包括上行與下行兩方面。上行指內(nèi)部威脅檢測系統(tǒng)從發(fā)現(xiàn)的威脅信息中提取出特征后上傳數(shù)據(jù)庫, 主要研究點(diǎn)是建立威脅信息與特征映射方法,如復(fù)雜威脅信息攻擊鏈提取和多層次特征生成等技術(shù), 多層特征包括指示器層次文件HASH, 行為模式層次文件大量下載同時(shí)郵件發(fā)送大附件等; 下行指特征數(shù)據(jù)庫將威脅特征下發(fā)檢測系統(tǒng), 主要研究點(diǎn)是(1)特征下發(fā)的通訊協(xié)議標(biāo)準(zhǔn)與格式; (2)大量內(nèi)部威脅特征的數(shù)據(jù)清洗、優(yōu)化以及分類, 在此基礎(chǔ)上針對特征進(jìn)行二次挖掘發(fā)現(xiàn)本質(zhì)特征。

5 結(jié)論

隨著信息化時(shí)代的全面到來, 企業(yè)/組織核心業(yè)務(wù)及機(jī)密信息都用信息系統(tǒng)存儲(chǔ), 內(nèi)部威脅潛藏在企業(yè)/組織內(nèi)部, 具有隱蔽性強(qiáng)、破壞性大的特點(diǎn), 可以直接威脅企業(yè)/組織核心利益, 造成嚴(yán)重危害。因此內(nèi)部威脅吸引著世界各國安全人員投入更多研究應(yīng)對日趨嚴(yán)峻的威脅形式。本文從實(shí)際內(nèi)部威脅案例入手, 基于“信任-承諾”關(guān)系形式化描述更完善的內(nèi)部威脅定義, 并將內(nèi)部威脅分成系統(tǒng)破壞、信息竊取以及欺詐三類主要形式。在此基礎(chǔ)上, 本文將當(dāng)前內(nèi)部威脅研究熱點(diǎn)歸納為基礎(chǔ)研究、主客觀要素研究及其它研究四部分, 分別闡述各個(gè)部分當(dāng)前研究進(jìn)展。為了應(yīng)對內(nèi)部威脅的巨大挑戰(zhàn), 不僅需要剖析內(nèi)部威脅產(chǎn)生的原因, 建立準(zhǔn)確的內(nèi)部威脅模型以掌握內(nèi)部威脅特征, 還需要系統(tǒng)化地分析當(dāng)前研究進(jìn)展, 從而發(fā)現(xiàn)不足進(jìn)行改進(jìn)。本文總結(jié)了現(xiàn)有研究的不足, 提出了新型內(nèi)部威脅檢測系統(tǒng)模型, 并對未來內(nèi)部威脅關(guān)鍵技術(shù)方向進(jìn)行了展望。

通過本文研究可以得出以下初步結(jié)論: (1)內(nèi)部威脅發(fā)生在安全邊界內(nèi)部, 嵌入在海量正常數(shù)據(jù)中,比外部威脅更難防范, 因此必須引起高度重視; (2)通過刻畫用戶個(gè)體特征, 確定可疑者并重點(diǎn)監(jiān)控系統(tǒng)行為, 可以實(shí)現(xiàn)內(nèi)部威脅預(yù)測; (3)為了降低混淆性導(dǎo)致的高誤報(bào)/漏報(bào), 必須基于威脅模式和數(shù)據(jù)類型等領(lǐng)域知識確定異常檢測的使用方法; (4)主客觀要素是內(nèi)部威脅有機(jī)不可分割的整體, 檢測內(nèi)部人攻擊,必須同時(shí)分析用戶個(gè)體特征與系統(tǒng)行為, 才能建立準(zhǔn)確的行為模型; (5)為了提高內(nèi)部威脅檢測的實(shí)時(shí)性, 必須獲取最新威脅特征以提高檢測能力, 因此需要建立內(nèi)部威脅特征庫。

本文定義3中刻畫了內(nèi)部威脅的主客觀要素,防范內(nèi)部威脅可以從上述兩個(gè)要素入手, 對應(yīng)管理與技術(shù)兩個(gè)維度分別采取措施。管理領(lǐng)域主要目標(biāo)是消除SM中的動(dòng)機(jī)M因素, 主要參考心理學(xué)與社會(huì)學(xué)理論優(yōu)化組織管理制度和安全策略, 減少內(nèi)部威脅動(dòng)機(jī)并增加攻擊成本: (1)優(yōu)化公平公正的管理制度, 最小化員工不滿; 建立組織信息及時(shí)發(fā)布機(jī)制,杜絕謠言與猜測; (2)員工管理貫穿始終, 對員工招聘時(shí)調(diào)查背景全面評估, 入職后定期培訓(xùn)安全規(guī)范與獎(jiǎng)懲制度, 堅(jiān)持階段績效考核以評價(jià)員工工作狀態(tài); (3)加強(qiáng)管理人員培訓(xùn), 重點(diǎn)是識別員工不滿或壓力等異常狀態(tài)的識別方法, 及時(shí)采取有效措施化解問題; (4)加強(qiáng)設(shè)備使用管理, 對重點(diǎn)員工應(yīng)指定辦公用設(shè)備, 組織信息資產(chǎn)拷貝應(yīng)及時(shí)備案、記錄等。技術(shù)角度主要通過分析用戶行為B, 建立相應(yīng)監(jiān)測機(jī)制,從而及時(shí)發(fā)現(xiàn)威脅痕跡, 快速響應(yīng); 同時(shí)針對重點(diǎn)資源O進(jìn)行保護(hù): (1)實(shí)行全面多層次審計(jì)策略, 審計(jì)所有計(jì)算機(jī)等設(shè)備使用以及所有用戶多種系統(tǒng)行為; (2)基于企業(yè)職能結(jié)構(gòu), 建立細(xì)粒度的訪問控制策略保護(hù); (3)在原有的入侵檢測系統(tǒng)中擴(kuò)展內(nèi)部威脅檢測功能, 盡可能發(fā)揮已有設(shè)備作用; (4)基于定期與實(shí)時(shí)結(jié)合備份系統(tǒng)審計(jì)日志, 確保證據(jù)安全。

互聯(lián)網(wǎng)時(shí)代內(nèi)部威脅挑戰(zhàn)更加嚴(yán)峻, 如BYOD的普及造成了傳統(tǒng)安全監(jiān)管盲區(qū), 便捷的互聯(lián)網(wǎng)通信提供了更多信息傳輸方式, 內(nèi)部攻擊涉及主機(jī)、網(wǎng)絡(luò)等多個(gè)層次, 檢測復(fù)雜度不斷增加等。因此, 互聯(lián)網(wǎng)時(shí)代需要改變傳統(tǒng)的以“人”為主的安全防范方法, 建立數(shù)據(jù)驅(qū)動(dòng)的新安全機(jī)制, 研究大數(shù)據(jù)安全分析技術(shù)以應(yīng)對內(nèi)部威脅挑戰(zhàn)。

[1] “PRISM(surveillanceprogram),” WIKIPEDIA, https://en.wikipedia. org/wiki/PRISM%28surveillanceprogram%29.

[2] Lawrence A. Gordon, Martin P. Loeb, William Lucyshyn and Robert Richardson. “CSI/FBI computer crime and security survey,”2006.

[3] Kroll and Economist Intelligence Unit, "Annual Global Fraud Survey, 2011/2012," 2012.

[4] “2014年七大內(nèi)部威脅導(dǎo)致的數(shù)據(jù)泄露事件”, http://netsecurity. 51cto.com/art/201501/462964.htm.

[5] “2014 US State of Cybercrime Survey, ”US CERT, Camegie Mellon University, 2014.

[6] 卿斯?jié)h、沈晴霓、劉文清等, “操作系統(tǒng)安全, ”清華大學(xué)出版社, 2011年6月第2版.

[7] MB Salem, S Hershkop and SJ Stolfo, “Insider Attack & Cyber Security Beyond the Hacker,” Springer Press,2008.

[8] “The CERT Guide to Insider Threats 2012, ” US CERT, http:// www.cert.org/insider-threat/.

[9] “Anomaly Detection at Multiple Scales (ADAMS) Broad Agency Announcement DARPA-BAA-11-04 (PDF),” General Services Administration. 2011.

[10] Ted E.Senator, Henry G. Goldberg and Alex Memory etc.” Detecting Insider Threats in a Real Corporate Database of Computer Usage Activity,”2013 ACM Sigkdd International Conference on Knowledge Discovery & Data Mining (KDD'13),pp.1393-1401

[11] “普華永道中國,”http://www.pwccn.com/home/chi/index_chi.html

[12] E. Eugene Schultz, “A Framework for Understanding and Predicting Insider Attacks,”Computer and Security, vol.21, no.6, pp. 526-531,2002

[13] R.Garfinkel,R.Gopal,P.Goes, “Privacy Protection of Binary Confidential Data Against Deterministic, Stochastic, and Insider Threat.,”Management Science,vol. 48, no.6, pp.749-764, Jun. 2002

[14] “New Incident Response Best Practices: Patch and Proceed Is No Longer Acceptable Incident Response.,” Technical report, Guid-ance Software, Pasadena, CA, Sept. 2003

[15] Richard P. Brackney and Rober Helms Anderson, “Understanding the Insider Threat,” Proceeding of a March 2004 Workshop, Technical report, RAND Corporation, Santa Monica, CA, March 2004. [16] Peng Ning and Kun Sun, “How to Misuse AODV: A Case Study of Insider Attacks Against Mobile Ad-Hoc Routing Protocols.,”Ad Hoc Networks,vol.2, no.6, pp.795-819, Nov.2005

[17] M.Bishop, D.Gollmann, J.Hunker and C.W.Probst, “Countering insider threats, “ inProc. Dagstuhl Seminar, 2008.

[18] M.Bishop, S.Engle, D.A. Frincke, C.Gates, F.L.Breitzer, S.Peisert and S.Whalen, “A Risk Management Approach to the “Insider Threat”,IEEE Trans. Circuits Systems,vol.49, no.7, pp.115-137, 2010

[19] Donald Cressey, “Criminal organizaiongs: its elementaty forms,”Contemporary Sociology,vol. 3, no.1, 1974

[20] Parker D.B., “Fighting Computer Crime: A New Framework for Protecting Information,” John Wiley & Sons, Inc.1998.

[21] Wood B.,” An Insider threat model for adversary simulation,”SRI International , Research on Mitigating the Insider Threat to Information Systems.no.2, pp.1-3, 2000

[22] Jason R.C. Nurse, Oliver Buckley, Philipp A.Legg, Michael Goldsmith, Sadie Creese, Gordon R.T. Wright and Monica Whitty,“Understanding Insider Threat : A Framework for Characterising Attacks,IEEE Symposium on Workshop on Research for Insider Threat Held As Part of the IEEE Computer Society Security & Privacy Workshops, pp.215-228, 2014

[23] Amos Azaria, Ariella Richardosn, Sarit Kraus and V. S. Subrahmanian, “Behavioral Analysis of Insider Threat: A Survey and Bootstrapped Prediction in Imbalanced Data, “Computational Social Systems IEEE Transactions, vol.1, no.2,pp.135-155, 2014.

[24] Shaw, E., Ruby, K., Post, J., “The insdier threat to information systems: The psychology of the dangerous insider.,”Security Awareness Bulletin, vol.2, no.98,pp.1-10,1998

[25] “The insider threat, an introduction to detecting and deterring insider spy(2012)”, US. Department of Justice and Federal Bureau of Invsetigation, https://www.fbi.gov/about-us/investigate/counterintelligence/the-insider-threat/

[26] Chen, Y., Nyemba, S., Zhang, W., Malin, B., “Leveraing social networks to detect anomalous insider actions in collaborative enviroments.,” In Proc. IEEE International Conference on Intelligence and Security Informatics(ISI),pp. 119-124, July. 2011.

[27] O.Brdiczka, J.Liu, B.Price and J.Shen, “Proactive Insider Threat Detection through Graph Learning and Psycological Context,”IEEE Security & Privacy Workshops, pp.142-149, 2012

[28] Miltiadis Kandias, Konstantina Galbogini, Lilian Mitrou and Dimitris Gritzalis, “Insiders Trapped in the Mirror Reveal Themselves in Social Media,”Network and System Security(NSS),pp. 220-235, 2013

[29] M.Kandisa, V. Stavrou, N.Bozovic, L.Mitrou, D.Gritzalis, “Can we trust this user ? Predicting insiders' attitude via YouTube usage profiling,”IEEE 10th International Conference on Ubiquitous Intelligence & Computing. pp. 347-354, 2013

[30] Christopher R.Brown, Alison Watkins, “Predicting Insider Threat Risks through Linguistic Analysis of Electronic Communication,”46th Hawaii International Conference on System Science, pp.1849-1858, 2013

[31]S.M.Ho, H.Fu, S.S.Timmarajus, C.Booth, J.H.Baeg and M.Liu,“Insider Threat: Language-action Cues in Group Dynamics,“ACM SIGMIS Conference on Computers and People Research, 2015

[32] B.A.Alahmadi, P.A..Legg, J.R.C.Nurse, “Using Internet Activity Profiling for Insider-Threat Detection,”12th International Workshop on Security in Information Systems(WOSIS 2015), 2015

[33] M.Theoharidou, S.Kokolakis, M.Karyda, and E.Eiountouzis,"The insider threat to information systems and the effectiveness of iso17799,"Compute & Secururity,vol. 24,no. 6, pp.472-484, 2005 [34] I.J.Martinez-Moyano, E. Rich, S.Conrad, D.F.Andersen, and T.R. Stewart, "A Behavioral theory of insider-threat risks: A system dynamics approach,"ACM Trans on Modeling & Computer Simulation,vol. 18, no. 2, p.421-435, 2008

[35] R.Willison and M.Warkentin, "Motivations for employee conputer crime: Understanding and addressing workplace disgruntlement through the application of organizational justice, "International Workshop on Information Systems Security Research.pp, 127-144,2009

[36] F.L.Greitzer and D.A.Frincke, “Combining traditional cyber security audit data with psychosocial data: Towards predictive modeling for insider threat mitigation,” in Insider Threats in Cyber Security.Springer Press,pp. 85–113,2010

[37] C. W. Probst and J. Hunker, “The risk of risk analysis and its relation to the economics of insider threats,” in Economics of Information Security and Privacy.Springer Press,pp. 279–299,2010

[38] I.J.Martinez-Moyano, S.H. Conrad and D. F. Andersen, “Modeling behavioral considerations related to information security,”Compute & Secururity., vol. 30, no. 6, pp. 397–409, 2011.

[39] Florian Kamnuller and Christian W.Project, Modeling and Verification of Insider Threats Using Logical Analysis, IEEE SYSTEM JOUNAL 2016

[40] X.Y Zhang, H.S. Zheng and L. Jia, “Research of instusion detection system dataset-KDD CUP99,”Journal of Computer Engineering and Design, vol.31, no.22, pp.4809-4812(in Chinese), 2010.(張有新、曾華燊、賈磊, “入侵檢測數(shù)據(jù)集KDD CUP99研究,”計(jì)算機(jī)工程與設(shè)計(jì), 2010, 31(22): 4809-4812)

[41] P. Parveen, “Evolving Insider Threat Detection Using Stream Ana-lytics And Big Data, [Ph.D.dissertation],”University of Texas, Dallas, 2013

[42] M.Schonlau, W. Dumouchel, WH Ju, A.F.Karr, M.Theusan and Y.Vardi, “Computer instrusion : Detecting masquerades.,”Statistical Science, vol.16, no.1, pp.58-74, 2001

[43] Masquerading user data (1998), http://www.schonlau.net

[44] Camina, J.B., Hernandez-Gracidas, C. , Monroy, R., Trejo, L, “The windows-users and -intruder simulations logs dataset(WUIL): An experimental framework for masquerade detection mechanisms.,”Expert Systems with Applications, vol.41, no.3,pp.919-930 2014

[45] Insider Threat Tools: http://www.cert.org/insider-threat/tools/index. cfm

[46] B. D. Davison and H. Hirsh. “Predicting sequences of user actions,”AAAI/ICML 1998 Workshop on Predicting the Future Ai Appreaches to Timeseries Analysis,1998.

[47] T. Lane and C. E. Brodley. “Sequence matching and learning in anomaly detection for computer security,”In AAAI Workshop:AI Approaches to Fraud Detection and Risk Management, pp.43–49, 1997.

[48] R. A. Maxion and T. N. Townsend,”Masquerade detection using truncated command lines.,”In DSN ’02 Proceedings of the 2002 International Conference on Dependable Systems and Networks, pp.219–228, 2002.

[49] M. Oka, Y.Oyama, and K.Kato,“Eigen co-occurrence matrix method for masquerade detection,”In Publications of the Japan Society for Software Science and Technology, 2004.

[50] Maxion, R., Townsend, T, “Masquerade detection using truncated command lines,”In Proc. International Conference on Dependable Systems and Networks, vol.600, pp. 219-228. 2002.

[51] Nam Nguyen, Peter Reiher, and Geoffrey H. Kuenning. “Detecting insider threats by monitoring system call activity,”In Proceedings of the 2003 IEEE Workshop on Information Assurance, pp.18–20. 2003.

[52] Jude Shavlik and Mark Shavlik, “Selection, combination, and evaluation of effective software sensors for detecting abnormal computer usage,”In proceedings of the tenth ACM SIGKDD International Conference of Knowledge Discovery and Data Mining, pp. 276–285, 2004.

[53]Tom Goldring. “Authenticating users by profiling behavior,” In ICDM Workshop on Data Mining for Computer Security, 2003.

[54] T.Huang, F.Zhang, “Method of nsider threat detection based on hidden Markov model,”Journal of Computer Engineering and Design, vol.31, no.5, pp.965-968(in Chinese), 2010.(黃鐵, 張奮,“基于隱馬爾可夫模型的內(nèi)部威脅檢測方法, ”計(jì)算機(jī)工程與設(shè)計(jì), 2010, 31(5): 965-968)

[55] A. Patcha, J.-M. Park, “An overview of anomaly detection techniques: Existing solutions and latest technological trends,”Com-puter Networks, vol.51, no.1251, pp. 3448-3470, 2007

[56] Hoda Eldardiry, Evgeniy Bart, Juan Liu, John Hanley, Bob Price and Oliver Brdiczka, “Multi-Domain Informaion Fusion for Insider Threat Detection,” IEEE Security & Privacy Workshops, vol.42, no.6, pp. 45-51, 2013.

[57] J. B. Camina, R.Monroy, L.A. Trejo and E.Sanchez, “Towards Building a Masquerade Detection Method Based on User File System Navigation,Mexican International Confernce on Artificial(MICAI), pp. 174-186, 2011

[58] Rui Zhang, Xiaojun Chen, Jinqiao Shi, Fei Xu, and Yiguo Pu,“Detecting Insider Threat Based on Document Access Behavior Analysis,”The Asia Pacific Web Conference(APWeb) Workshops,8710:376-387,2014

[59] J. B. Camina, J. Rodriguez, and R. Monroy, “Towards a Masquerade Detection System Based on User's Task, “International Symposium on Recent Advances in Intrusion Detection(RAID), pp.447-465, 2014

[60] A. Liu, C. Martin, T. Hetherington, and S. Matzner, “A comparison of system call feature representations for insider threat detection,”in Proc. IEEE SMC Information Assurance Workshop (IAW’05),pp. 340–347,2005

[61] I. Ray and N. Poolsapassit, “Using attack trees to identify malicious attacks from authorized insiders,”European Symposium on Computer Security(ESORICS),vol. 3679,pp. 231–246,2005

[62] A.Lyer, H.Q. Ngo, “Towards a theory of insider threat assessment,”International Conference on Dependable Systems & Networks (DSN’05), pp. 108–117.2005.

[63] W. Eberle, J. Graves, and L. Holder, “Insider threat detection using a graph-based approach,”Jounal of Applied Security Research, vol. 6, no. 1, pp. 32–81, 2010.

[64] I.Agrafiotis, P.Legg, M.Goldsmith and Sadie Creese, “Towards a User and Role-based Sequential Behaviourl Analysis Tool for Insider Threat Detection,”Jounal of Technology Transfer,vol.4, pp.127-137,2014.

[65] P.A.Legg, O.Buckley, M.Goldsmith and S. Creeese, “Automated Insider Threat Detection System Using User and Role-Based Profile Assessment,”IEEE System Jounal,pp.1-10, 2015.

[66] H.WANG, S.F LIU, “A Scalable Predicting Model for Insider Threat”,Chinese Journal of Computers,vol.29, no.8, pp. 1346-1355(in Chinese), 2006(王輝, 劉淑芬, “一種可擴(kuò)展的內(nèi)部威脅預(yù)測模型,”計(jì)算機(jī)學(xué)報(bào),2006, 29(8):1346-1355)

[67] H.WANG, G.C YANG and D.M HAN, “Research of predicting insdier threat based on Bayesian network,”Application Research of Computers, vol.30, no.9, pp.2767-2771 (in Chinese) 2013. (王輝、楊光燦、韓冬梅:“基于貝葉斯網(wǎng)絡(luò)的內(nèi)部威脅預(yù)測研究,”計(jì)算機(jī)應(yīng)用研究, 2013(9): 2767-2771)

[68] Pusara, M., Brodley, C. “User re-authentication via mouse move-ments,”In Proc. ACM Workshop on Visualization and Data Mining for Computer Security,pp. 1-8. 2004.

[69] Weiss, A., Ramapanicker, A., Shah, P., Noble, S. And Immohr, L.,“Mouse movements biometric identification: A feasibility study,”In Proc. Student/Faculty Research Day, CSIS,pp. 1-8, May 2007.

[70] Killourhy, K., Maxion, R., “Why did my detector do that?!- predicting keystroke-dynamics eror rates,” Recent Advacnce in Intrusion Detection, pp.256-276, 2010.

[71] Messerman, A., Mustafic, T., Camtepe, S. and Albayrak, S., “Continuous and non-intrusive identity verification in real-time enviroments based on free-text keystroke dynamics.”In: Proc. International Jonint Conference on Biometrics(IJCB)pp.1-8. 2011.

[72] L. Spitzner, “Honeypots: Catching the insider threat,” in Proc. Computer Security Applications Conference,pp. 170–179,2003

[73] L. Spitzner, “Honeypots: Tracking Hackers.”AddisonWesley Press,2003

[74] B.M.Bowen, M.BenSalem, S.Hershkop,A.D.Keromytis and S.J.Stolfo, “Designing host and network sensors to mitigate the insider threat,”IEEE Security & Privacy, vol. 7, no. 6, pp. 22–29, Dec. 2009.

[75] M. Kandias, A. Mylonas, N. Virvilis, M. Theoharidou and D. Gritzalis, “An insider threat prediction model,”inTrust, Privacy andSecurity in Digital Business. pp. 26–37,2010

[76] Mark D Guido, Marc W Brooks, “Insider Threat Program Best Practices,”46th Hawaii International Conference on System Science.pp.1831-1839, 2013

[77] Lu Jun, Liu Daxin and Zhan Yang, “Dynamic Management of Internal Threat Watching System Based on Agent,”Jounal of Computer Research and Development,vol.43, no.Suppl.pp.341-346(in Chinese), 2006(陸軍, 劉大昕, 戰(zhàn)揚(yáng), “基于Agent的內(nèi)部威脅監(jiān)視系統(tǒng)的動(dòng)態(tài)管理,”“計(jì)算機(jī)研究與發(fā)展”,2006,43(z1): 341-346)

[78] 陳亞輝, 層次化內(nèi)部威脅態(tài)勢量化評估模型的研究和分析[碩士學(xué)位論文], 國防科學(xué)技術(shù)大學(xué), 2008

[79] 陳小軍, 意圖驅(qū)動(dòng)的內(nèi)部威脅檢測技術(shù)研究[博士學(xué)位論文],中國科學(xué)院大學(xué), 2014

[80] Miltiadis Kandias, Nikos Virvilis and Dimitris Grizalis, “The Insider Threat in Cloud Computing, “Critical Information Infrastructure Security,Springer Press,pp.93-103, 2013

[81] ZHANG Hong-Bin, PEI Qing-Qi and MA Jian-Feng, “An Algorithm for Sensing Insider Threat Based on Cloud Model,”Chinese Journal of Computers, vol.32, no.4, pp.784-792 (in Chinese), 2009 (張紅斌, 裴慶琪, 馬建峰: 內(nèi)部威脅云模型感知算法, “計(jì)算機(jī)學(xué)報(bào)”, 2009, 32(4): 784-792)

楊光, 男, 2013年在山東大學(xué)信息安全專業(yè)獲得碩士學(xué)位, 現(xiàn)于中國科學(xué)院信息工程研究所攻讀博士學(xué)位, 研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)安全、大數(shù)據(jù)分析, 研究興趣包括內(nèi)部威脅檢測、異常檢測。Email: yangguang@iie.ac.cn

馬建剛, 男, 2014年在北京郵電大學(xué)計(jì)算機(jī)技術(shù)專業(yè)獲得碩士學(xué)位, 現(xiàn)為中國科學(xué)院信息工程研究所研究實(shí)習(xí)員, 研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)安全、嵌入式系統(tǒng)、大數(shù)據(jù)分析, 研究興趣包括安全情報(bào)、嵌入式系統(tǒng)安全。Email: majiangang@iie.ac.cn

于愛民, 男, 2011年在中國科學(xué)院大學(xué)信息安全專業(yè)獲得博士學(xué)位?，F(xiàn)任中國科學(xué)院信息工程研究所副研。研究領(lǐng)域?yàn)榭尚庞?jì)算、安全大數(shù)據(jù)分析。研究興趣包括: 可信軟件測評、基于大數(shù)據(jù)的行為異常檢測。Email: yuaimin@iie.ac.cn

孟丹, 男, 1965年生, 博士, 研究員, 中國計(jì)算機(jī)學(xué)會(huì)高級會(huì)員, 主要研究方向?yàn)橛?jì)算機(jī)體系結(jié)構(gòu)、云計(jì)算及網(wǎng)絡(luò)與系統(tǒng)安全。Email: mengdan@iie.ac.cn

Survey of Insider Threat Detection

YANG Guang1,2,3, MA Jiangang1, YU Aimin1*, MENG Dan1

1Institute of Information Engineering, CAS, Beijing 100093, China2University of Chinese Academy of Sciences, Beijing 100093, China3Shandong Computer Science Center (National Supercomputer Center in Jinan), Jinan 250101, China

In recent years, insider attack including information system sabotage, information theft and electronic fraud has been great threats to individuals, business and state security, resulting from strong concealment and destructiveness. Therefore we should pay more attention to insider threat’s current research findings and evolution trends. In this paper we analyze the features of insider threat and define insider threat formally based on the trust theory. Meanwhile we divide the insider threat researches into four fields: model research, subjective factors, objective factors and other research while analyzing each field in detail. Based on the analysis of cases and deficiency of current researches we develop the Open Hybrid Insider Threat Detection System and predict possible evolution trends of insider threat. Finally we suggest possible countermeasures against insider threat.

insider threat; internal audit; anomaly detection; cyber security; system sabotage; information theft; electronic deception; survey

TP309.2 DOI號 10.19363/j.cnki.cn10-1380/tn.2016.03.003

于愛民, 博士副研, Email: yuaimin@iie.ac.cn

2016-05-20; 修改日期: 2016-06-30; 定稿日期: 2016-07-01