淺析網(wǎng)絡(luò)內(nèi)部威脅

吳良秋

摘? 要： 網(wǎng)絡(luò)安全的一個(gè)嚴(yán)峻考驗(yàn)是內(nèi)部威脅，如信息泄露，其危害遠(yuǎn)遠(yuǎn)大于外部攻擊。文章概述了內(nèi)部威脅的產(chǎn)生及特點(diǎn)，介紹了內(nèi)部威脅的相關(guān)檢測(cè)技術(shù)在國(guó)內(nèi)外研究的現(xiàn)狀，列舉了當(dāng)前用于內(nèi)部威脅的主流檢測(cè)模型，并從數(shù)據(jù)量、數(shù)據(jù)特征、攻擊種類、公布時(shí)間、優(yōu)缺點(diǎn)和應(yīng)用領(lǐng)域等六個(gè)方面，簡(jiǎn)單對(duì)比了國(guó)內(nèi)外專家在內(nèi)部威脅檢測(cè)領(lǐng)域所選用的數(shù)據(jù)集，最后分別從人工智能和云平臺(tái)方面展望了內(nèi)部威脅檢測(cè)領(lǐng)域的研究方向。

關(guān)鍵詞： 內(nèi)部威脅; 檢測(cè)模型; 信息泄露; 網(wǎng)絡(luò)安全

中圖分類號(hào)：TP311? ? ? ? ? 文獻(xiàn)標(biāo)志碼：A? ? ? 文章編號(hào)：1006-8228（2019）06-41-05

Abstract： A severe test of network security is insider threat， such as information leakage， its harm is far greater than outsider attack. This paper summarizes the generation and characteristics of insider threat， introduces the current research status of insider threat detection technology at home and abroad， and makes a simple comparison between domestic and foreign experts in the field of insider threat detection from six aspects of the amount of data， data characteristics， the types of attacks， timing， advantages， disadvantages and application fields. Finally， puts forward? the research directions in the field of insider threat detection from the aspects of artificial intelligence and cloud platform respectively.

Key words： insider threat; detection model; information leakage; network security

0 引言

隨著大數(shù)據(jù)、云計(jì)算蓬勃發(fā)展，計(jì)算機(jī)相關(guān)產(chǎn)品在我們生活中扮演著重要角色，我們?cè)谙硎艿耐瑫r(shí)，信息安全成了不可忽視的安全隱患，數(shù)據(jù)的非法獲取成了互聯(lián)網(wǎng)環(huán)境下的巨大威脅，特別是內(nèi)部威脅，具有一定的透明性，發(fā)生在安全邊界之內(nèi)，相對(duì)于外部攻擊更隱蔽，對(duì)整個(gè)網(wǎng)絡(luò)安全環(huán)境提出了嚴(yán)峻挑戰(zhàn)。

美國(guó)防部海量數(shù)據(jù)庫(kù)[1]監(jiān)測(cè)、分析和識(shí)別單位雇員的行為是否給國(guó)防部帶來(lái)危險(xiǎn);2013年斯諾登事件中內(nèi)部人員通過(guò)私人渠道公開內(nèi)部數(shù)據(jù)引起媒體廣泛關(guān)注;2017年3月，Dun&Bradstreet（鄧白氏）的52GB數(shù)據(jù)庫(kù)遭到泄露，這個(gè)數(shù)據(jù)庫(kù)中包括了美國(guó)一些大型企業(yè)和政府組織（包括AT&T，沃爾瑪、Wells Fargo，美國(guó)郵政甚至美國(guó)國(guó)防部）的3300多萬(wàn)員工的信息和聯(lián)系方式等;2014年1月，韓國(guó)信用局內(nèi)部員工竊取了2000萬(wàn)銀行和信用卡用戶的個(gè)人數(shù)據(jù)，造成韓國(guó)歷史上最嚴(yán)重的數(shù)據(jù)泄露事件，但這只是內(nèi)部威脅安全的冰山一角。SailPoint的調(diào)查顯示，被調(diào)查者中20%的人表示只要價(jià)錢合適會(huì)出賣自己的工作賬號(hào)和密碼。即時(shí)內(nèi)部威脅檢測(cè)系統(tǒng)（ITDS）是一項(xiàng)昂貴而復(fù)雜的工程，但是情報(bào)界，國(guó)防部，公司都在研究相關(guān)檢測(cè)模型。

截止2016年4月公安部部署打擊整治網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪專項(xiàng)行動(dòng)以來(lái)，全國(guó)公安機(jī)關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門已經(jīng)查破刑事案件1200余起，抓獲犯罪嫌疑人3300余人，其中銀行、教育、電信、快遞、證券、電商網(wǎng)站等行業(yè)內(nèi)部人員270余人[2]。

國(guó)內(nèi)外內(nèi)部威脅事件不斷發(fā)生，內(nèi)部威脅應(yīng)對(duì)形式嚴(yán)峻，需要社會(huì)各界的高度重視，首要工作是分析內(nèi)部威脅的特征，從而研究可能的應(yīng)對(duì)方案。

1 內(nèi)部威脅的產(chǎn)生

1.1 相關(guān)術(shù)語(yǔ)

內(nèi)部威脅，一般存在于某一個(gè)企業(yè)或組織的內(nèi)部，內(nèi)部的人員與外界共同完成對(duì)團(tuán)隊(duì)信息的盜竊和交易。

定義1 內(nèi)部威脅攻擊者一般是指企業(yè)或組織的員工（在職或離職）、承包商以及商業(yè)伙伴等，其應(yīng)當(dāng)具有組織的系統(tǒng)、網(wǎng)絡(luò)以及數(shù)據(jù)的訪問(wèn)權(quán)。

內(nèi)部人外延是指與企業(yè)或組織具有某種社會(huì)關(guān)系的個(gè)體，如在職員工，離職員工，值得注意的是承包商與商業(yè)伙伴擴(kuò)展了內(nèi)部人的范圍，即“合伙人”也是潛在的內(nèi)部攻擊者;內(nèi)涵則是具有系統(tǒng)訪問(wèn)權(quán)。

定義2 內(nèi)部威脅是指內(nèi)部威脅攻擊者利用合法獲得的訪問(wèn)權(quán)對(duì)組織信息系統(tǒng)中信息的機(jī)密性、完整性以及可用性造成負(fù)面影響的行為。

內(nèi)部威脅的結(jié)果是對(duì)數(shù)據(jù)安全造成了破壞，如機(jī)密性（如數(shù)據(jù)竊?。?、完整性（如數(shù)據(jù)篡改）以及可用性（如系統(tǒng)攻擊）等。

企業(yè)或者組織信息化程度已經(jīng)深入日常管理，盡管企業(yè)或組織努力保護(hù)自身數(shù)據(jù)，但身份盜竊、數(shù)據(jù)庫(kù)泄露和被盜密碼問(wèn)題仍然是企業(yè)組織面臨的主要挑戰(zhàn)。如今，組織面臨的最大挑戰(zhàn)之一是內(nèi)部人士的系統(tǒng)濫用，他們的行為深深植根于不遵守監(jiān)管標(biāo)準(zhǔn)。已經(jīng)確定，信息安全防御中最薄弱的環(huán)節(jié)是人，這意味著最嚴(yán)重的威脅來(lái)自內(nèi)部人員。

因此，內(nèi)部威脅產(chǎn)生，主要有兩方面原因：①主體原因，即攻擊者有攻擊的能力，行為完成一次攻擊;②客體原因，一次攻擊能成功都是因?yàn)楸还魧?duì)象存在漏洞或者缺乏監(jiān)管。

1.2 內(nèi)部威脅的分類

內(nèi)部威脅[3]有三種主要的分類：偶然的、惡意的和非惡意的。

偶然的威脅通常是由錯(cuò)誤引起的。例如，由于粗心大意、對(duì)政策的漠視、缺乏培訓(xùn)和對(duì)正確的事情的認(rèn)識(shí)，員工可能不會(huì)遵循操作流程。惡意的威脅是指故意破壞組織或使攻擊者受益。例如，信息技術(shù)（IT）管理員因心懷不滿而破壞IT系統(tǒng)，使組織陷入停頓。在許多事件中，當(dāng)前和以前的管理員都是因各種動(dòng)機(jī)故意造成系統(tǒng)問(wèn)題。非惡意的威脅是人們故意采取的行動(dòng)，而不打算破壞組織。在非惡意威脅中，其動(dòng)機(jī)是提高生產(chǎn)力，而錯(cuò)誤的發(fā)生是由于缺乏培訓(xùn)或?qū)φ?、程序和風(fēng)險(xiǎn)的認(rèn)識(shí)。

1.3 內(nèi)部威脅特征

⑴ 高危性 內(nèi)部威脅危害較外部威脅更大， 因?yàn)楣粽呔哂薪M織知識(shí)，可以接觸核心資產(chǎn)（如知識(shí)產(chǎn)權(quán)等）， 從而對(duì)組織經(jīng)濟(jì)資產(chǎn)、業(yè)務(wù)運(yùn)行及組織信譽(yù)進(jìn)行破壞以造成巨大損失。如2014年的美國(guó)CERT發(fā)布的網(wǎng)絡(luò)安全調(diào)查顯示僅占28%的內(nèi)部攻擊卻造成了46%的損失。

⑵ 隱蔽性 由于攻擊者來(lái)自安全邊界內(nèi)部， 所以內(nèi)部威脅具有極強(qiáng)的偽裝性，可以逃避現(xiàn)有安全機(jī)制的檢測(cè)。

⑶ 透明性 攻擊者來(lái)自安全邊界內(nèi)部，因此攻擊者可以躲避防火墻等外部安全設(shè)備的檢測(cè)，導(dǎo)致多數(shù)內(nèi)部攻擊對(duì)于外部安全設(shè)備具有透明性.

⑷ 復(fù)雜性 ①內(nèi)外勾結(jié)：越來(lái)越多的內(nèi)部威脅動(dòng)機(jī)與外部對(duì)手關(guān)聯(lián)，并且得到外部的資金等幫助;③合伙人：商業(yè)合作伙伴引發(fā)的內(nèi)部威脅事件日益增多，監(jiān)控對(duì)象群體擴(kuò)大;③企業(yè)兼并：當(dāng)企業(yè)發(fā)生兼并、重組時(shí)最容易發(fā)生內(nèi)部威脅，而此時(shí)內(nèi)部檢測(cè)難度較大;④文化差異：不同行為人的文化背景會(huì)影響其同類威脅時(shí)的行為特征。

2 內(nèi)部威脅模型

學(xué)界曾經(jīng)對(duì)內(nèi)部威脅提出過(guò)諸多的行為模型，希望可以從中提取出行為模式，這部分主要的工作開始于早期提出的SKRAM模型與CMO模型，兩個(gè)模型都從內(nèi)部攻擊者的角度入手，分析攻擊者成功實(shí)施一次攻擊所需要具備的要素，其中的主觀要素包括動(dòng)機(jī)、職業(yè)角色具備的資源訪問(wèn)權(quán)限以及技能素養(yǎng)，客觀要素則包括目標(biāo)的內(nèi)部缺陷的訪問(wèn)控制策略以及缺乏有效的安全監(jiān)管等。

根據(jù)內(nèi)部威脅產(chǎn)生的原因，內(nèi)部威脅的模型也可分為兩類：基于主體和基于客體。其中基于主體模型主要代表有CMO模型和SKRAM模型，這也是最早的內(nèi)部威脅模型。

2.1 基于主體的模型

CMO模型[4]是最早用于內(nèi)部攻擊的通用模型，這都是單純從攻擊者的主觀方面建立的模型，沒(méi)有考慮到客觀因素，如由于資源所有者內(nèi)部缺陷的訪問(wèn)控制策略及其缺乏切實(shí)有效的安全監(jiān)管。攻擊者成功實(shí)施一次攻擊主觀方面所需要具備的要素即：①能力（Capability），進(jìn)行內(nèi)部攻擊的能力，包括文化層次，技術(shù)水平等能力;②動(dòng)機(jī)（Motive），內(nèi)部攻擊的動(dòng)機(jī)，有因?yàn)楣ぷ鞑粷M，換取利益等;②機(jī)會(huì)（Opportunity），不是每個(gè)人都有機(jī)會(huì)攻擊，有攻擊的能力，也有動(dòng)機(jī)，但是還得有合適的機(jī)會(huì)把動(dòng)機(jī)轉(zhuǎn)化人實(shí)際行動(dòng)。

SKRAM模型[5]是Parker等人在早期的CMO模型基礎(chǔ)上進(jìn)行的改進(jìn)，即需要具備的要素有：①技能（Skills），也即是內(nèi)部攻擊者的能力;②知識(shí)（Knowledge），包括內(nèi)部攻擊者的知識(shí)水平，文化素養(yǎng);③資源（Resources），職業(yè)角色具備的資源訪問(wèn)權(quán)限;④Authority;⑤動(dòng)機(jī)（Motives）。

Jason等人[6]提出內(nèi)部人員成為了具有攻擊動(dòng)機(jī)的內(nèi)部攻擊者，主觀要素是用戶的自身屬性，主要影響、反映內(nèi)部人的當(dāng)前心理狀態(tài)，這些要素主要包括三類：一類是包括內(nèi)部人的人格特征等內(nèi)在心理特征，另一類包括精神病史或違法犯罪史等檔案信息以及現(xiàn)實(shí)中可以表征心理狀態(tài)變化的諸多行為，最后一類則是內(nèi)部人在組織中的職位、能力等組織屬性。

2.2 基于客體的模型

CRBM模型[7]（Role-Based Access Control）是基于角色訪問(wèn)控制。通過(guò)擴(kuò)展基于角色的訪問(wèn)控制模型來(lái)克服內(nèi)部威脅的局限性，引入了CRBM（復(fù)合基于角色的監(jiān)視）方法。CRBM繼承了RBAC的優(yōu)點(diǎn)，將角色結(jié)構(gòu)映射為三個(gè)：組織角色（Organization Role，OR）、應(yīng)用程序角色（Application Role，AR）和操作系統(tǒng)角色（Operating System Role，OSR）。

李殿偉等人[8]將訪問(wèn)控制與數(shù)據(jù)挖掘相結(jié)合，設(shè)計(jì)了一種基于角色行為模式挖掘的內(nèi)部威脅檢測(cè)模型，提出了一種基于用戶角色行為準(zhǔn)則、行為習(xí)慣與實(shí)際操作行為匹配的內(nèi)部威脅預(yù)警方法。文雨等人[9]提出一種新的用戶跨域行為模式分析方法。該方法能夠分析用戶行為的多元模式，不需要依賴相關(guān)領(lǐng)域知識(shí)和用戶背景屬性，針對(duì)用戶行為模式分析方法設(shè)計(jì)了一種面向內(nèi)部攻擊的檢測(cè)方法，并在真實(shí)場(chǎng)景中的5種用戶審計(jì)日志，實(shí)驗(yàn)結(jié)果驗(yàn)證了其分析方法在多檢測(cè)域場(chǎng)景中分析用戶行為多元模式的有效性，同時(shí)檢測(cè)方法優(yōu)于兩種已有方法：?jiǎn)斡驒z測(cè)方法和基于單一行為模式的檢測(cè)方法。

2.3 基于人工智能的模型

傳統(tǒng)的內(nèi)部威脅檢測(cè)模型主要是基于異常檢測(cè)、基于角色等相關(guān)技術(shù)，隨著人工智能的興起，利用機(jī)器學(xué)習(xí)等相關(guān)算法來(lái)建立內(nèi)部威脅模型占據(jù)主要地位。這種模型，建立網(wǎng)絡(luò)用戶的正常行為輪廓，并利用不同的機(jī)器學(xué)習(xí)算法進(jìn)行訓(xùn)練，實(shí)現(xiàn)了檢測(cè)準(zhǔn)確率高的優(yōu)點(diǎn)，但是效率較低。

Szymanski[10]等人使用遞歸數(shù)據(jù)挖掘來(lái)描述用戶簽名和監(jiān)視會(huì)話中的結(jié)構(gòu)和高級(jí)符號(hào)，使用一個(gè)類SVM來(lái)測(cè)量這兩種特征的相似性。郭曉明[11]等提出一種基于樸素貝葉斯理論的內(nèi)部威脅檢測(cè)模型。通過(guò)分析多用戶對(duì)系統(tǒng)的命令操作行為特征，對(duì)多用戶命令樣本進(jìn)行訓(xùn)練，構(gòu)建樸素貝葉斯分類器。Yaseen等人[12]研究了關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)中的內(nèi)部威脅。介紹知識(shí)圖譜（KG），展示內(nèi)部人員知識(shí)庫(kù)和內(nèi)部人員對(duì)數(shù)據(jù)項(xiàng)的信息量;引入約束和依賴圖（CDG），顯示內(nèi)部人員獲取未經(jīng)授權(quán)知識(shí)的路徑;使用威脅預(yù)測(cè)圖（TPG），顯示內(nèi)部人員每個(gè)數(shù)據(jù)項(xiàng)的威脅預(yù)測(cè)價(jià)值（TPV），當(dāng)內(nèi)部威脅發(fā)生時(shí)，TPV被用來(lái)提高警報(bào)級(jí)別。梁禮[13]等人提出基于實(shí)時(shí)告警的層次化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法，包含服務(wù)、主機(jī)和網(wǎng)絡(luò)三級(jí)的網(wǎng)絡(luò)分層風(fēng)險(xiǎn)評(píng)估模型，通過(guò)加權(quán)的方式計(jì)算網(wǎng)絡(luò)各層的安全風(fēng)險(xiǎn)值。分別以實(shí)驗(yàn)室網(wǎng)絡(luò)環(huán)境及校園網(wǎng)環(huán)境為實(shí)例驗(yàn)證了方法的準(zhǔn)確性和有效性。

2.4 基于交叉學(xué)科的模型

隨著內(nèi)部威脅的不斷發(fā)展，內(nèi)部威脅的研究領(lǐng)域不斷擴(kuò)展，基于心理學(xué)、社會(huì)學(xué)等方面也出現(xiàn)新的研究思路。

Tesleem Fagade等人[14]提出了信息安全如何嵌入到組織安全文化中。組織文化被描述為在人、過(guò)程和政策之間保持聯(lián)系的共同價(jià)值觀、行為、態(tài)度和實(shí)踐。建議將安全管理與治理結(jié)合到組織行為和行動(dòng)文化中，這是最有效的。習(xí)慣性行為傳播，通常需要共同努力打破常規(guī)。如果組織想要養(yǎng)成安全行為的習(xí)慣，那么也許一個(gè)與組織安全文化的方向一致的長(zhǎng)期目標(biāo)是一種更好的方法，而不是專注于快速認(rèn)證狀態(tài)，然后假設(shè)所有的技術(shù)和人工過(guò)程都是安全的。組織安全文化被定義為被接受和鼓勵(lì)的假設(shè)、態(tài)度和感知，目的是保護(hù)信息資產(chǎn)，從而使信息安全的屬性和習(xí)慣得以實(shí)現(xiàn)。

匡蕾[15]采用了基于蜜罐技術(shù)的檢測(cè)模型;B.A.Alahmadi[16]等人對(duì)用戶的網(wǎng)絡(luò)行為建立關(guān)聯(lián)，從而檢測(cè)出潛在的內(nèi)部威脅。首先從用戶瀏覽的網(wǎng)頁(yè)中提取出文本信息，建立向量;其次建立詞向量與語(yǔ)言獲得和詞匯計(jì)數(shù)，然后通過(guò)建立的Word-LIWC關(guān)系矩陣與已有的 LIWC-OCEAN 關(guān)系矩陣結(jié)合得到詞向量的關(guān)系矩陣。OCEAN代表大五人格：開 放 性（Openness）、盡責(zé)性（Conscientiousness）、外傾性（Extraversion）、宜人性（Agreeableness）、情緒穩(wěn)定性（Neuroticism）;計(jì)算用戶瀏覽的新網(wǎng)頁(yè)中的詞向量OCEAN值與日常值的歐氏距離，根據(jù)距離的大小判定行為的異常。

3 內(nèi)部威脅常用數(shù)據(jù)集

目前有很多公開的數(shù)據(jù)集，如：KDD99數(shù)據(jù)集，SEA數(shù)據(jù)集、WUIL數(shù)據(jù)集和CERT-IT數(shù)據(jù)集，表1對(duì)主要數(shù)據(jù)集進(jìn)行了對(duì)比。

⑴ KDD99數(shù)據(jù)集：KDD99[17]（Data Mining and Knowledge Discovery），記錄4，898，431條數(shù)據(jù)，每條數(shù)據(jù)記錄包含41個(gè)特征，22種攻擊，主要分為以下四類攻擊：拒絕服務(wù)攻擊（denial of service，DoS）、遠(yuǎn)程到本地的攻擊（remote to local，R2L）用戶到遠(yuǎn)程的攻擊（user to remote，U2R）和探測(cè)攻擊（probing）。

Putchala[18]將GRU應(yīng)用于物聯(lián)網(wǎng)領(lǐng)域的入侵檢測(cè)，在KDD99數(shù)據(jù)集上進(jìn)行實(shí)驗(yàn)，得到的準(zhǔn)確率高于99%?；诰矸e神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)算法在KDD99的實(shí)驗(yàn)下，比經(jīng)典BP神經(jīng)網(wǎng)絡(luò)和SVM算法有提高。

⑵ SEA數(shù)據(jù)集：SEA數(shù)據(jù)集涵蓋70多個(gè)UNIX系統(tǒng)用戶的行為日志，這些數(shù)據(jù)來(lái)自于UNIX系統(tǒng)acct機(jī)制記錄的用戶使用的命令。SEA數(shù)據(jù)集中每個(gè)用戶都采集了15000條命令，從用戶集合中隨機(jī)抽取50個(gè)用戶作為正常用戶，剩余用戶的命令塊中隨機(jī)插入模擬命令作為內(nèi)部偽裝者攻擊數(shù)據(jù)。

⑶ WUIL數(shù)據(jù)集：WUIL數(shù)據(jù)集通過(guò)借助Windows的審計(jì)工具，他們實(shí)驗(yàn)記錄20個(gè)用戶的打開文件/目錄的行為，每條記錄包含事件ID、事件時(shí)間以及事件對(duì)象及其路徑信息（如文件名與文件路徑）。

⑷ CERT-IT數(shù)據(jù)集：CERT-IT（Insider Threat）數(shù)據(jù)集[19]來(lái)源于卡耐基梅隆大學(xué)（Carnegie Mellon University）的內(nèi)部威脅中心，該中心由美國(guó)國(guó)防部高級(jí)研究計(jì)劃局（DARPA）贊助，與ExactData公司合作從真實(shí)企業(yè)環(huán)境中采集數(shù)據(jù)構(gòu)造了一個(gè)內(nèi)部威脅測(cè)試集。該中心迄今為止最富有成效的內(nèi)部威脅研究中心，其不僅建立了2001年至今的700多例內(nèi)部威脅數(shù)據(jù)庫(kù)，還基于豐富的案例分析不同內(nèi)部威脅的特征，提出了系統(tǒng)破壞、知識(shí)產(chǎn)權(quán)竊取與電子欺詐三類基本的攻擊類型，由此組合形成復(fù)合攻擊以及商業(yè)間諜攻擊;此外CERT還建立了內(nèi)部威脅評(píng)估與管理系統(tǒng)MERIT用于培訓(xùn)安全人員識(shí)別、處理內(nèi)部威脅。CERT完整數(shù)據(jù)集有80G，全部以csv格式記錄用戶行為，包括文件訪問(wèn)權(quán)限、文件各種屬性以及用戶對(duì)文件的增刪改查、Email收發(fā)、移動(dòng)存儲(chǔ)設(shè)備、打印機(jī)等硬件設(shè)備使用記錄、HTTP訪問(wèn)及系統(tǒng)登錄、工作崗位及工作部門等信息。CERT數(shù)據(jù)集提供了用戶全面的行為觀測(cè)數(shù)據(jù)以刻畫用戶行為模型。

⑸ Masquerading User Data數(shù)據(jù)集：Masquerading User Data[20]，模擬真是用戶入侵系統(tǒng)。整個(gè)數(shù)據(jù)集由50個(gè)文件組成，每個(gè)文件對(duì)應(yīng)一個(gè)用戶。該文件包含100行和50列，每一列對(duì)應(yīng)于50個(gè)用戶中的一個(gè)。每一行對(duì)應(yīng)一組100個(gè)命令，從命令5001開始，以命令15000結(jié)束。文件中的條目是0或1。0代表相應(yīng)的100個(gè)命令沒(méi)有受到感染。狀態(tài)1代表它們被感染了。

⑹ 其他數(shù)據(jù)集：Mldata[21]數(shù)據(jù)集包含了869個(gè)公開的數(shù)據(jù)集，主要是基于機(jī)器學(xué)習(xí)的數(shù)據(jù)，包含視頻流和鍵值集群和服務(wù)度量的Linux內(nèi)核統(tǒng)計(jì)數(shù)據(jù)、HDF5等。

4 展望

隨著網(wǎng)絡(luò)系統(tǒng)不斷龐大，互聯(lián)網(wǎng)技術(shù)不斷更新，防范網(wǎng)絡(luò)攻擊需要綜合網(wǎng)絡(luò)測(cè)量、網(wǎng)絡(luò)行為分析、網(wǎng)絡(luò)流量異常檢測(cè)及相關(guān)檢測(cè)模型在處理數(shù)據(jù)時(shí)的最新研究成果，并且還需要有能力分析國(guó)內(nèi)外各種最新網(wǎng)絡(luò)態(tài)勢(shì)。內(nèi)部威脅的傳統(tǒng)檢測(cè)方法在模型的特征抽取和模版匹配有一定的局限性，隨著人工智能、云計(jì)算、大數(shù)據(jù)等新技術(shù)的成熟，這些前沿技術(shù)在特征抽取和模式匹配時(shí)，檢測(cè)效率和準(zhǔn)確率有較大提升，目前內(nèi)部威脅熱門研究方向包括：

4.1 人工智能方向

人工智能已經(jīng)日趨成熟，各行各業(yè)都在融合人工智能、機(jī)器學(xué)習(xí)等相關(guān)算法技術(shù)，在內(nèi)部威脅檢測(cè)領(lǐng)域也是一個(gè)熱點(diǎn)。

利用當(dāng)前互聯(lián)網(wǎng)領(lǐng)域前沿的數(shù)據(jù)分析技術(shù)、克隆技術(shù)、神經(jīng)網(wǎng)絡(luò)算法、人工智能算法等，在數(shù)據(jù)采集、身份認(rèn)證、日志管理、漏洞檢測(cè)、操作審計(jì)環(huán)節(jié)上改進(jìn)，從而大力提高檢測(cè)的質(zhì)量和效率。

4.2 云平臺(tái)方向

隨著云計(jì)算的興起，云計(jì)算面臨著很多安全問(wèn)題和挑戰(zhàn)，特別是具有某些特權(quán)的云平臺(tái)的內(nèi)部管理人員，類似郭東峰[22]、張磊等[23]基于云計(jì)算平臺(tái)的內(nèi)部威脅的研究也是是近年來(lái)學(xué)術(shù)界和工業(yè)界共同關(guān)注的熱點(diǎn)話題。

云平臺(tái)的資源訪問(wèn)入口管控，資源使用痕跡，數(shù)據(jù)加密方法等云安全防護(hù)關(guān)鍵技術(shù)也是未來(lái)研究方向。

參考文獻(xiàn)（References）：

[1] 崔翀.美國(guó)國(guó)防部擬建立大規(guī)模數(shù)據(jù)庫(kù)監(jiān)控潛在“內(nèi)部威脅”[J].保密科學(xué)技術(shù)，2016.6.

[2] 菏澤警方偵破販賣個(gè)人信息案 銀行、快遞業(yè)出了“內(nèi)鬼”[EB/OL].http：//heze.dzwww.com/top/201609/t20160926_14955704.htm，2016.9.26.

[3] Seymour Bosworth， Michel E. Kabay， Eric Whyne.The?Insider Threat[M].https：//doi.org/10.1002/978111885-1678.ch13.12，2015.9.

[4] Wood B.，"An Insider threat model for adversary simulation，"SRI International ， Research on Mitigating the Insider Threat to Information Systems，2000.2：1-3

[5] Parker D.B.，“Fighting Computer Crime： A New?Framework for Protecting Information，” John Wiley & Sons， Inc.1998.

[6] Jason R.C. Nurse， Oliver Buckley， Philipp A.Legg， MichaelGoldsmith， Sadie Creese， Gordon R.T. Wright and Monica Whitty， “Understanding Insider Threat： A Framework for Characterising Attacks， IEEE Symposium on Workshop on Research for Insider Threat Held As Part of the IEEE Computer Society Security & Privacy Workshops，2014：215-228

[7] Park J S， Ho S M. Composite Role-Based Monitoring?（CRBM） for Countering Insider Threats[C]//Symposium on Intelligence and Security Informatics，2004：201-213

[8] 李殿偉，何明亮，袁方.基于角色行為模式挖掘的內(nèi)部威脅檢測(cè)研究[J].信息網(wǎng)絡(luò)安全，2017.3：27-32

[9] 文雨，王偉平，孟丹.面向內(nèi)部威脅檢測(cè)的用戶跨域行為模式挖掘[J].計(jì)算機(jī)學(xué)報(bào)，2016.39（8）：1555-1569

[10] Szymanski B K， Zhang Y. Recursive data mining formasquerade detection and author identification[C]// Information Assurance Workshop， 2004. Proceedings From the Fifth IEEE Smc. IEEE，2004：424-431

[11] 郭曉明，孫丹.基于樸素貝葉斯理論的內(nèi)部威脅檢測(cè)方法[J].計(jì)算機(jī)與現(xiàn)代化，2017.7：101-106

[12] Yaseen， Q. & Panda， B. Int. J. Inf. Secur. （2012）11：269.https：//doi.org/10.1007/s10207-012-0165-6.

[13] 梁禮，楊君剛，朱廣良等.基于實(shí)時(shí)告警的層次化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法[J].計(jì)算機(jī)工程與設(shè)計(jì)，2013.7：2315-2323

[14] Fagade T.， Tryfonas T. （2016） Security by Compliance？A Study of Insider Threat Implications for Nigerian Banks. In： Tryfonas T. （eds） Human Aspects of Information Security， Privacy， and Trust. HAS 2016. Lecture Notes in Computer Science， vol 9750. Springer， Cham.

[15] 匡蕾.基于蜜罐技術(shù)的內(nèi)部威脅檢測(cè)模型的設(shè)計(jì)與實(shí)現(xiàn)[D].重慶大學(xué)，2014.

[16] B.A.Alahmadi， P.A..Legg， J.R.C.Nurse， “Using Internet?Activity Profiling for Insider-Threat Detection，”12th International Workshop on Security in Information Systems（WOSIS 2015），2015.

[17] Information and Computer Science University ofCalifornia， Irvine[EB/OL].https：//kdd.ics.uci.edu

[18] Gao Ni， Gao Ling， Gao Quanli， et al. An intrusion?detection model based on deep belief networks[C] Int Conf on Advanced Cloud and Big Data.NJ：IEEE，2014：247-252

[19] Carnegie Mellon University Software Engineering Institute[EB/OL].https：//www.sei.cmu.edu

[20] Matthias Schonlau.Masquerading user data[EB/OL].http：//www.schonlau.net

[21] http：//mldata.org

[22] 郭東峰.基于分層特征云計(jì)算模型的電網(wǎng)內(nèi)部威脅檢測(cè)[J].計(jì)算機(jī)測(cè)量與控制，2013.21（2）：55-57

[23] 張磊，陳興蜀，劉亮等.Virt-RSBAC：一種防御云計(jì)算內(nèi)部威脅的框架[J].工程科學(xué)與技術(shù)，2014.46（6）：114-121