信息系統(tǒng)內(nèi)部威脅檢測(cè)技術(shù)研究①

王振輝,王振鐸,姚全珠

1(西安翻譯學(xué)院 工程技術(shù)學(xué)院,西安 710105)

2(西安思源學(xué)院 電子信息工程學(xué)院,西安 710038)

3(西安理工大學(xué)自動(dòng)化與信息工程學(xué)院,西安 710043)

隨著云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)技術(shù)廣泛應(yīng)用,基于互聯(lián)網(wǎng)平臺(tái)的企業(yè)信息系統(tǒng)蓬勃發(fā)展,隨之而來的各種網(wǎng)絡(luò)攻擊造成的數(shù)據(jù)泄露問題時(shí)有發(fā)生.雖然企業(yè)信息系統(tǒng)受到內(nèi)部威脅數(shù)量數(shù)量上遠(yuǎn)不及黑客造成的外部攻擊,但由于其具有隱蔽性強(qiáng)、危害性大、難于抵御、難管理和攻擊主體、攻擊手段多元化的特點(diǎn),造成的損失和危害性相對(duì)外部威脅更大.Verizon發(fā)布的《2017年數(shù)據(jù)泄露調(diào)查報(bào)告》稱,近1/4的數(shù)據(jù)泄露是由于企業(yè)內(nèi)部人員造成的,內(nèi)部威脅逐漸成為數(shù)據(jù)泄露的主要原因之一[1].后斯諾登時(shí)代,內(nèi)部威脅既危害國家安全,也造成企業(yè)關(guān)鍵業(yè)務(wù)數(shù)據(jù)外泄[2].2018年內(nèi)部威脅對(duì)許多知名企業(yè)造成了難以置信的破壞.例如,Google+新漏洞致5250萬用戶數(shù)據(jù)泄露,將提前關(guān)閉.美國SunTrust銀行一名離職員工盜取了超過150萬名客戶的數(shù)據(jù),并將其賣給了一個(gè)犯罪組織.上述內(nèi)部威脅造成組織數(shù)據(jù)泄露事件再次為企業(yè)信息安全敲響了警鐘.

與外部威脅相比,由于企業(yè)內(nèi)部的員工更容易通過他們的訪問特權(quán)和工作便利對(duì)企業(yè)的信息系統(tǒng)造成威脅,并且內(nèi)部員工的動(dòng)機(jī)往往更加強(qiáng)烈,相比外部威脅更不易理解和檢測(cè).移動(dòng)互聯(lián)網(wǎng)、云托管技術(shù)的廣泛應(yīng)用使得企業(yè)信息系統(tǒng)在管理方式、通信方式,操作方式實(shí)現(xiàn)了便利化和多元化,同時(shí)也擴(kuò)大了內(nèi)部威脅潛力和范圍,增加了追溯和定位網(wǎng)絡(luò)攻擊的難度[3,4].如何應(yīng)對(duì)新技術(shù)下企業(yè)員工的內(nèi)部威脅行為,特別是內(nèi)部用戶冒名操作和越權(quán)操作等資源濫用行為,已成為當(dāng)前企業(yè)信息化應(yīng)用中亟待解決的重點(diǎn)和難點(diǎn)問題.

1 國內(nèi)外相關(guān)研究成果

目前國內(nèi)外針對(duì)內(nèi)部威脅的理論研究已取得了不少研究成果.從研究領(lǐng)域?qū)?nèi)部威脅研究熱點(diǎn)歸結(jié)為內(nèi)部威脅模型研究、主觀要素研究、客觀要素研究及其它研究.主要檢測(cè)技術(shù)手段分別有5種：(1)用戶命令檢測(cè)[5]；(2)基于生物特征的身份認(rèn)證[6,7]；(3)數(shù)據(jù)庫審計(jì)和日志技術(shù)[8]；(4)基于用戶行為檢測(cè)[9]；(5)強(qiáng)制訪問控制技術(shù)[10]；(6)基于大數(shù)據(jù)和機(jī)器學(xué)習(xí)理論的內(nèi)部威脅檢測(cè)[11,12].

Nurse等總結(jié)引起內(nèi)部威脅多方面因素,提出了內(nèi)部用戶攻擊行為的框架,并對(duì)用戶動(dòng)機(jī)和心理的因素進(jìn)行了研究[13].Prati等通過人臉特征的身份驗(yàn)證和KNN用戶分類算法確定可能的內(nèi)部威脅,存在較大誤報(bào)率[14].郭淵博等構(gòu)建了一個(gè)基于行為畫像的內(nèi)部威脅檢測(cè)框架,將局部描寫與全局預(yù)測(cè)相結(jié)合,提高了檢測(cè)準(zhǔn)確率,但檢測(cè)系統(tǒng)性能未進(jìn)行定量分析[15].

上述方法,主要是學(xué)術(shù)性研究成果,大多采用基于仿真試驗(yàn)數(shù)據(jù)來驗(yàn)證方法的有效性.更多網(wǎng)絡(luò)安全公司采用訪問控制和行為審計(jì)技術(shù)相結(jié)合的方法來進(jìn)行防御和檢測(cè).國外比較著名的產(chǎn)品有以色列的Imperva,IBM的Guardium,其功能強(qiáng)大,但價(jià)格昂貴、安全策略配置復(fù)雜,遵循國外審計(jì)規(guī)范,串聯(lián)部署,英文界面操作,需要專門的DBA.所以,有一定有用性,但缺乏通用性和實(shí)用性,大部分對(duì)于國內(nèi)用戶有實(shí)用價(jià)值的審計(jì)信息被過濾,從而影響了系統(tǒng)安全檢測(cè)效果.國內(nèi)比較出眾的產(chǎn)品有“安華金和”、“安恒”等,這些數(shù)據(jù)庫審計(jì)產(chǎn)品是通過安全操作員手工設(shè)置安全監(jiān)控策略實(shí)現(xiàn)的.制定審計(jì)策略對(duì)于安全人員來說是一項(xiàng)艱巨的挑戰(zhàn),手工設(shè)置對(duì)應(yīng)每個(gè)用戶的完備的安全策略是幾乎不可能完成的任務(wù),大多數(shù)用戶往往是只配置了少量的規(guī)則.另外由于SQL語句的靈活性,安全策略很難跟上SQL語句的變化,導(dǎo)致審計(jì)策略無法及時(shí)更新.而沒有完備的安全策略,數(shù)據(jù)庫審計(jì)產(chǎn)品只能起到記錄器的作用,僅用做進(jìn)行事后查證的工具,無法對(duì)風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)監(jiān)控和預(yù)警.

2 本文主要研究工作

在分析研究內(nèi)部威脅現(xiàn)有研究成果基礎(chǔ)上,提出采用主客體分層混合模型,基于用戶行為分析技術(shù)的內(nèi)部威脅檢測(cè)框架.從用戶操作、主體、客體、權(quán)限等多因子檢測(cè)技術(shù)分析用戶行為來構(gòu)建內(nèi)部威脅檢測(cè)系統(tǒng),滿足企業(yè)內(nèi)部威脅檢測(cè)“事前檢測(cè)、事中控制和事后審計(jì)”的管理需求.為保證功能、性能及可擴(kuò)展性要求,使用中間件技術(shù)防止企業(yè)內(nèi)部數(shù)據(jù)泄露.通過安全中間件技術(shù)的應(yīng)用研究,對(duì)用戶異常行為采用規(guī)則、關(guān)鍵詞、正則表達(dá)式,提高檢測(cè)準(zhǔn)確率、降低誤報(bào)率.幫助企業(yè)和組織保護(hù)關(guān)鍵業(yè)務(wù)數(shù)據(jù).克服目前已有研究模型過度依賴經(jīng)驗(yàn)數(shù)據(jù)和大數(shù)據(jù)分析技術(shù)實(shí)時(shí)性不足的缺點(diǎn),保證檢測(cè)行為的客觀性,實(shí)時(shí)性和準(zhǔn)確性.

3 內(nèi)部威脅檢測(cè)框架設(shè)計(jì)

3.1 設(shè)計(jì)思想

內(nèi)部威脅發(fā)生在從用戶登錄到登出的會(huì)話全周期,有必要進(jìn)行全過程管理,按照“事前預(yù)防、事中檢測(cè)、事后補(bǔ)救”策略和微管理理念進(jìn)行檢測(cè)框架的研究,采用組件化、松耦合、易整合、易擴(kuò)展的微服務(wù)框架進(jìn)行設(shè)計(jì).

3.1.1 檢測(cè)模型

模型研究是研究的基礎(chǔ)和檢測(cè)框架的基石.目前內(nèi)部檢測(cè)安全模型有主體模型和客體模型兩種.主體模型以SKRAM模型為主,客體模型以CMO模型為主.內(nèi)部人員的主體特征提取受主觀因素影響大,主體特征量化準(zhǔn)確度較低,采用定性分析又使得主體特征模糊.其次,用戶行為模式的偶然變化也將導(dǎo)致誤報(bào)事件的發(fā)生.相反,客體模型則充分借鑒了應(yīng)對(duì)外部威脅的成熟策略和技術(shù),采用細(xì)粒度的分層量化,對(duì)企業(yè)信息系統(tǒng)中的內(nèi)部威脅行為進(jìn)行了劃分,克服了主體模型中主體特征難以量化的缺點(diǎn).然而,客體模型中由于忽略了內(nèi)部威脅感知對(duì)主體行為特征的檢測(cè),所以難以判斷用戶的威脅行為是外部攻擊還是內(nèi)部威脅.為充分發(fā)揮兩種模型的優(yōu)點(diǎn),將內(nèi)部威脅的主客觀要素融合,提出了一個(gè)主客體檢測(cè)的內(nèi)部威脅框架,采用分層技術(shù)提高框架的復(fù)用性和可擴(kuò)展性.

3.1.2 Agent取證技術(shù)

Agent是應(yīng)用在分布式網(wǎng)絡(luò)系統(tǒng)具有自主性、交互性、反應(yīng)性、主動(dòng)性的可以自主發(fā)揮作用的“智能體”,實(shí)現(xiàn)在Internet環(huán)境下通過信息找人目標(biāo)[16].其自治性、社交能力、動(dòng)態(tài)反應(yīng)能力和預(yù)動(dòng)能力使其廣泛應(yīng)用于信息安全領(lǐng)域,尤其是分布式網(wǎng)絡(luò)下入侵檢測(cè)方面成果顯著.通過在被監(jiān)控應(yīng)用所在的主機(jī)上面,安裝小的Agent代理軟件,實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集和管理.

Internet環(huán)境的開放性、動(dòng)態(tài)性、即時(shí)性和不可預(yù)測(cè)性使得在其之上的系統(tǒng)能夠?qū)崟r(shí)感知環(huán)境的變化,并通過調(diào)整自身的結(jié)構(gòu)和行為來適應(yīng)環(huán)境的變化,就需要更高的系統(tǒng)自適應(yīng)能力.所有可以把檢測(cè)系統(tǒng)中自主運(yùn)行的功能單元抽象成Agent,整個(gè)系統(tǒng)由多個(gè)Agent組成的系統(tǒng).

3.1.3 數(shù)據(jù)驅(qū)動(dòng)的檢測(cè)技術(shù)

用戶是問題的起因,也是威脅產(chǎn)生的主體.就企業(yè)而言,用戶行為中冒名登錄和越權(quán)操作是內(nèi)部威脅的主要類型,其本質(zhì)威脅是用戶所擁有的高級(jí)權(quán)限.從用戶行為分析UBA技術(shù)檢測(cè)攻擊行為有兩種結(jié)果[17].一是與用戶當(dāng)前操作行為與日常正常行為差異較大,這種情況可以直接認(rèn)定為異常行為.二是與用戶當(dāng)前操作行為與用戶日常正常行為差異較小,可能會(huì)間接對(duì)行為正常模式產(chǎn)生負(fù)面影響.因此,對(duì)偽裝攻擊的檢測(cè)和用戶正常行為模式的干擾檢測(cè)也要考慮.通常異常模式是一些小的行為模式,因?yàn)橛脩艄纛l度會(huì)遠(yuǎn)小于其正常行為序列.

惡意內(nèi)部用戶與被利用的偽裝對(duì)象在行為模式上存在一定程度的差異.首先,兩個(gè)用戶在企業(yè)中的崗位、技能、滿意度等背景存在差異.其次,惡意用戶的目的是竊取核心數(shù)據(jù),發(fā)動(dòng)系統(tǒng)攻擊,而被利用對(duì)象的行為則圍繞自身業(yè)務(wù)行為.所以,兩者在使用企業(yè)信息系統(tǒng)的習(xí)慣和操作方式及流程上會(huì)有一定程度的不同.

在內(nèi)部威脅檢測(cè)過程中,我們可以設(shè)定一個(gè)用戶異常行為模式閾值來區(qū)分用戶正常行為模式和異常行為模式.偏離該閾值過多則可能是攻擊行為.例如：時(shí)間段操作次數(shù)大大超過日?；€或操作業(yè)務(wù)偏離權(quán)限定義的業(yè)務(wù)功能.

3.2 分層檢測(cè)框架

基于“事前檢測(cè)、事中控制、事后審計(jì)”的檢測(cè)和防護(hù)策略和微管理理念實(shí)現(xiàn)預(yù)防—阻止—檢測(cè)—告警目的.設(shè)計(jì)了具有用戶身份識(shí)別,用戶操作行為檢測(cè),異常行為分析和審計(jì)追蹤能力的內(nèi)部威脅檢測(cè)系統(tǒng)框架.

從邏輯結(jié)構(gòu)上該系統(tǒng)分為4層：第一層是數(shù)據(jù)采集層,通過網(wǎng)絡(luò)通信使用Agent客戶端代理程序或安全插件獲取用戶操作數(shù)據(jù)；第二層是數(shù)據(jù)分析層,將用戶操作行為數(shù)據(jù)進(jìn)行異常行為分析,確定是否是攻擊行為,進(jìn)行實(shí)時(shí)干預(yù)；第三層是數(shù)據(jù)存儲(chǔ)層,將用戶行為數(shù)據(jù)和分析數(shù)據(jù)存入用戶日志和系統(tǒng)日志,便于日后審計(jì)和追溯；第四層數(shù)據(jù)表示層,將日志以統(tǒng)計(jì)報(bào)表等用戶定制形式展示給系統(tǒng)安全員.

3.3 訪問控制邏輯

內(nèi)部威脅檢測(cè)系統(tǒng)中核心要素有：主體(企業(yè)內(nèi)部用戶)、客體(表、視圖、存儲(chǔ)過程、記錄、字段等)和操作行為控制矩陣.操作行為控制矩陣用于控制主體對(duì)客體的訪問行為.中間件檢測(cè)系統(tǒng)根據(jù)業(yè)務(wù)數(shù)據(jù)安全等級(jí)實(shí)施字段級(jí)和行級(jí)細(xì)粒度訪問控制,按照多級(jí)安全系統(tǒng)bell-lapadula模型中的安全規(guī)則制定強(qiáng)制訪問控制原則決定主客體安全級(jí)別和主體對(duì)客體的訪問權(quán)限.

內(nèi)部威脅檢測(cè)系統(tǒng)數(shù)據(jù)采集器接收用戶行為數(shù)據(jù)和SQL請(qǐng)求,先進(jìn)行SQL語句解析,檢查敏感詞匯,避免跨站腳本攻擊和SQL注入等已知攻擊漏洞,起到事前檢測(cè)預(yù)防作用.其次,從用戶行為數(shù)據(jù)中獲取用戶賬號(hào)、密碼、使用設(shè)備MAC、IP地址等信息調(diào)用身份識(shí)別模塊對(duì)用戶身份進(jìn)行驗(yàn)證,分析出登錄用戶身份,獲得用戶所在部門,崗位,角色的信息,減少因?yàn)楣ぷ鳝h(huán)境改變而引起的行為變化對(duì)異常檢測(cè)的影響.然后,基于角色從控制權(quán)限列表ACL中找到其對(duì)應(yīng)正常操作行為序列,通過業(yè)務(wù)規(guī)則策略操作行為檢測(cè),如果疑為異常行為或攻擊行為進(jìn)行異常行為閥值檢測(cè),進(jìn)行行為偏移量計(jì)算,超出設(shè)定的偏移值實(shí)行實(shí)時(shí)報(bào)警.主體每一個(gè)操作行為均記入日志文件,方便事后審計(jì)取證.

4 內(nèi)部威脅檢測(cè)系統(tǒng)功能設(shè)計(jì)

內(nèi)部威脅檢測(cè)系統(tǒng)系統(tǒng)采用微服務(wù)架構(gòu)和組件設(shè)計(jì),層層過濾,完成內(nèi)部威脅行為事前、事中及事后3階段控制.系統(tǒng)的核心是基于用戶行為日志的檢測(cè)和審計(jì),由訪問控制子系統(tǒng),異常行為分析子系統(tǒng)和審計(jì)追溯子系統(tǒng)構(gòu)成,如圖1所示.

該系統(tǒng)核心功能包括數(shù)據(jù)采集模塊、檢測(cè)分析模塊、數(shù)據(jù)存儲(chǔ)模塊、響應(yīng)反饋模塊,對(duì)應(yīng)用戶操作行為檢測(cè)的3個(gè)步驟：數(shù)據(jù)采集、數(shù)據(jù)分析和響應(yīng).

數(shù)據(jù)采集模塊：數(shù)據(jù)采集模塊是檢測(cè)系統(tǒng)的基礎(chǔ)模塊.由檢測(cè)系統(tǒng)中的數(shù)據(jù)采集組件實(shí)現(xiàn).該模塊收集檢測(cè)模塊所需的用戶操作特征數(shù)據(jù)(時(shí)間、用戶、身份、地點(diǎn)、使用設(shè)備、操作類型、結(jié)果等).包括客戶端監(jiān)聽,會(huì)話管理,SQL分析器,訪問控制,身份認(rèn)證等子模塊.

檢測(cè)分析模塊：檢測(cè)模塊是檢測(cè)系統(tǒng)核心模塊.利用內(nèi)部威脅檢測(cè)規(guī)則和檢測(cè)分析算法對(duì)用戶行為數(shù)據(jù)進(jìn)行實(shí)時(shí)檢測(cè)分析,判斷異常行為.包括異常行為比較,閥值檢測(cè),分析報(bào)警等子模塊.

響應(yīng)反饋模塊：根據(jù)檢測(cè)分析模塊的定性分析和行為特征閥值對(duì)應(yīng)的系統(tǒng)策略做出實(shí)時(shí)報(bào)警和終止服務(wù)等系統(tǒng)響應(yīng),終止攻擊行為.實(shí)時(shí)顯示當(dāng)前用戶操作,根據(jù)檢索條件查詢實(shí)時(shí)或歷史攻擊數(shù)據(jù).包括檢測(cè)結(jié)果展示界面、統(tǒng)計(jì)報(bào)表模塊、告警響應(yīng)等子模塊.

數(shù)據(jù)存儲(chǔ)模塊：將數(shù)據(jù)采集模塊、檢測(cè)模塊、響應(yīng)模塊中的數(shù)據(jù)分別存入相應(yīng)日志文件包括數(shù)據(jù)加解密,日志管理等子模塊.

5 關(guān)鍵技術(shù)說明

5.1 主客體混合分層模型

主客體混合分層模型中主體模型以用戶主觀行為特征為觀測(cè)點(diǎn),可以很好做到定性分析,而客體模型以數(shù)據(jù)受攻擊破壞程度為觀測(cè)點(diǎn),可以進(jìn)行定量分析.鑒于主體、客體模型各自優(yōu)缺點(diǎn),我們使用主體與客體之間的訪問控制關(guān)系和層次分析法建立了分層映射的內(nèi)部威脅檢測(cè)模型,用主客體綜合評(píng)價(jià)信息來進(jìn)行定性和定量分析.

具體實(shí)現(xiàn)上采用主客體訪問控制關(guān)系,根據(jù)業(yè)務(wù)活動(dòng)中的主體和客體形成的訪問矩陣建立層次化模型,并在主體和客體的內(nèi)部威脅行為特征間建立映射關(guān)系,從而全面、系統(tǒng)、實(shí)時(shí)分析內(nèi)部威脅特征,為量化分析建立基礎(chǔ).分層模型中,數(shù)據(jù)流只允許從低級(jí)別流向高級(jí)別,即某一級(jí)別的主體只能進(jìn)行自己的業(yè)務(wù)行為和處理下級(jí)主體業(yè)務(wù)行為.高級(jí)別主體無法修改低級(jí)別主體業(yè)務(wù)數(shù)據(jù),從而保證信息的保密性和完整性.主客體混合分型模型中每個(gè)層次主、客體訪問控制的定義公式如下：

設(shè)系統(tǒng)主體集合,M={M1,M2,M3,···},R={R1,R2,R3,···}為系統(tǒng)客體集合,主客體訪問關(guān)系矩陣定義了主體和客體資源間的訪問控制關(guān)系,A={(m,r)∈MXR:實(shí)體m可以訪問客體r}.

5.2 SQL語句解析技術(shù)

對(duì)用戶發(fā)出的SQL語句做一個(gè)解析,才能知道用戶真實(shí)意圖,進(jìn)而可以分析隱私數(shù)據(jù)被訪問頻率和攻擊次數(shù).由于用戶發(fā)出的SQL語句形式各樣,語句中單個(gè)空格或多個(gè)空格的間隔等等.所以,解析前要進(jìn)行語句預(yù)處理,以便后續(xù)處理.預(yù)處理主要步驟如下：

(1)清除SQL語句前后空格,將其中連續(xù)空白字符(包括回車換行符,空格,Tab)替換成單個(gè)空格.

(2)將SQL語句出條件值外統(tǒng)一變成小寫或大寫形式.

(3)在SQL語句的尾部增加結(jié)束符號(hào)“END”.

例如：用戶發(fā)出的SQL語句為：

Select 年齡 from 職員

Where姓名 like ‘t%’

Order by 工資

通過預(yù)處理后,SQL語句為：

select年齡 from 職員 where姓名 like‘t%’order by工資 END

(4)正則表達(dá)式檢測(cè)

正則表達(dá)式可以檢索符合某種模式的字符串.在Java語言中內(nèi)置了強(qiáng)大的正則表達(dá)式類來進(jìn)行文本模式匹配驗(yàn)證.通過正則表達(dá)式關(guān)鍵詞模式匹配技術(shù)可以最快解析速度,提高檢測(cè)效率.

本文對(duì)預(yù)處理后的標(biāo)準(zhǔn)化SQL,使用正則表達(dá)式進(jìn)行分塊切割,以SQL查詢語句為例：可以使用正則表達(dá)式：“(select)(.+)(from)(.+)(where | on | having |order by | END)”對(duì)SQL進(jìn)行匹配,以清楚獲得主體對(duì)哪些客體進(jìn)行了什么操作,滿足哪些,輸出了哪些屬性.

5.3 日志文件的安全

由于JSON格式易解析,存儲(chǔ)空間更小,故實(shí)時(shí)采集的用戶操作日志,以JSON文件存儲(chǔ),為保障其自身安全性,有必要進(jìn)行加密處理.考慮到文件解密效率和安全級(jí)別.采用AES+RSA混合加密算法.RSA安全性高,加密速度慢,用來加密傳輸AES的私鑰,AES安全性相對(duì)RSA低,但加密速度快,可用來加密數(shù)據(jù).兩種算法結(jié)合優(yōu)勢(shì)互補(bǔ),即保證了對(duì)網(wǎng)絡(luò)傳輸帶寬的要求,又減少了計(jì)算負(fù)荷,從而很好提高數(shù)據(jù)安全性和加解密效率.

日志數(shù)據(jù)加密時(shí),用加密接口模塊對(duì)日志加密后存儲(chǔ).歷史日志過多時(shí),可以采用數(shù)據(jù)結(jié)轉(zhuǎn)方式將時(shí)間段內(nèi)日志數(shù)據(jù)存儲(chǔ)到關(guān)系庫中,便于數(shù)據(jù)挖掘和歷史數(shù)據(jù)分析工作,為預(yù)防內(nèi)部威脅和回溯定位攻擊行為提供取證數(shù)據(jù).

解密過程與加密過程相反,JSON加解密接口接收到加密的JSON數(shù)據(jù),對(duì)其進(jìn)行解密形成JSON串后,再調(diào)用GSON接口將JSON串解析為對(duì)象,進(jìn)行日志審計(jì)與分析.

本文中基于Agent中間件技術(shù)的內(nèi)部威脅檢測(cè)系統(tǒng)具有以下優(yōu)點(diǎn)：

(1)準(zhǔn)確性提升：用戶行為、主體、客體、權(quán)限多因子檢測(cè)是為了可以在用戶行為實(shí)時(shí)檢測(cè)、異常行為閥值檢測(cè)度量三個(gè)維度進(jìn)行互補(bǔ).此外由于閾值系統(tǒng)可以根據(jù)分析人員反饋,因此系統(tǒng)具備了靈活性,可以實(shí)時(shí)調(diào)整安全策略.

(2)適應(yīng)性更強(qiáng)：允許數(shù)據(jù)分級(jí),在安全性和系統(tǒng)性能上進(jìn)行平衡,將企業(yè)業(yè)務(wù)數(shù)據(jù)分為隱私數(shù)據(jù)、敏感數(shù)據(jù)和關(guān)鍵業(yè)務(wù)數(shù)據(jù)及一般數(shù)據(jù)進(jìn)行四級(jí)響應(yīng).

(3)實(shí)時(shí)性提高：采用Agent分布式組件和實(shí)時(shí)分析技術(shù),能對(duì)異常行為進(jìn)行實(shí)時(shí)干預(yù)和響應(yīng).

6 實(shí)驗(yàn)仿真

為驗(yàn)證內(nèi)部威脅檢測(cè)系統(tǒng)的實(shí)用性能,我們開發(fā)了中間件原型系統(tǒng).實(shí)驗(yàn)中針對(duì)典型的3類內(nèi)部威脅行為：信息竊取、系統(tǒng)破壞、電子欺詐進(jìn)行了攻擊測(cè)試,測(cè)試采用功能測(cè)試中的黑盒測(cè)試為主,主要驗(yàn)證了內(nèi)部威脅檢測(cè)系統(tǒng)功能.

實(shí)驗(yàn)環(huán)境由1臺(tái)Web應(yīng)用服務(wù)器(安裝企業(yè)信息管理系統(tǒng)),1臺(tái)數(shù)據(jù)庫服務(wù)器(企業(yè)數(shù)據(jù)中心)和1臺(tái)中間件服務(wù)器(安裝檢測(cè)系統(tǒng)和用戶行為分析程序),50臺(tái)業(yè)務(wù)客戶機(jī)(安裝安全插件,采集用戶數(shù)據(jù))構(gòu)成.服務(wù)器統(tǒng)一使用Centos操作系統(tǒng),用戶操作機(jī)則運(yùn)行在Windows 2007操作系統(tǒng)下.內(nèi)部威脅檢測(cè)系統(tǒng)部署圖如圖2所示.

圖2 內(nèi)部威脅檢測(cè)系統(tǒng)部署圖

我們分別進(jìn)行了兩組實(shí)驗(yàn),一組實(shí)驗(yàn)沒有部署檢測(cè)系統(tǒng),另一組部署了檢測(cè)系統(tǒng).每組實(shí)驗(yàn)進(jìn)行3個(gè)典型內(nèi)部威脅場(chǎng)景來測(cè)試,30名學(xué)生,進(jìn)行180次驗(yàn)證.測(cè)試前使用DataFactory在用戶日志中注入5000條攻擊數(shù)據(jù),將攻擊者部分日志作為攻擊行為插入到被攻擊用戶的正常日志中去,以同時(shí)驗(yàn)證系統(tǒng)檢測(cè)性能.攻擊行為實(shí)驗(yàn)對(duì)比分析如表1所示.

由于部署了檢測(cè)中間件,信息系統(tǒng)訪問速度有了一定延時(shí),在百兆以太網(wǎng)絡(luò)環(huán)境下各業(yè)務(wù)操作時(shí)間延遲百分比在85%左右,以用戶注冊(cè)模塊為例,未部署檢測(cè)系統(tǒng)情況下用時(shí)200 ms,部署檢測(cè)系統(tǒng)后未360 ms.訪問延時(shí)主要來自數(shù)據(jù)采集、主客體驗(yàn)證、行為分析、通訊延時(shí)4部分的延時(shí)總和.但通過改善升級(jí)軟硬件配置可以明顯減少系統(tǒng)延時(shí),如提升企業(yè)硬件和網(wǎng)絡(luò)設(shè)備性能,在軟件實(shí)現(xiàn)中通過異步提交技術(shù),數(shù)據(jù)緩沖池等技術(shù)來改善用戶體驗(yàn).

表1 實(shí)驗(yàn)記錄一覽表

最后,由于使用了主客體混合分層模型和多因子檢測(cè)技術(shù),與單獨(dú)使用主體模型和客體模型進(jìn)行強(qiáng)制訪問控制相比,雖然在檢測(cè)速度上有所下降,但是用戶異常行為檢測(cè)準(zhǔn)確率提高10%左右,誤報(bào)率控制在3%左右.

7 結(jié)束語

針對(duì)互聯(lián)網(wǎng)環(huán)境下,企業(yè)信息系統(tǒng)內(nèi)部威脅日益嚴(yán)峻現(xiàn)狀和低成本、易操作的檢測(cè)需求,提出基于主客體混合模型,以用戶行為數(shù)據(jù)為驅(qū)動(dòng),采用智能Agent技術(shù)的內(nèi)部威脅檢測(cè)框架.該檢測(cè)框架集身份識(shí)別、日志分析、操作審計(jì)、報(bào)警顯示等功能.借助用戶、角色、業(yè)務(wù)過程三要素制定用戶行為基線對(duì)用戶操作行為進(jìn)行判定,以減少誤報(bào)率,設(shè)定了行為差異閥值,提高了系統(tǒng)響應(yīng)速度和可靠性.由于企業(yè)業(yè)務(wù)數(shù)據(jù)龐大,有必要對(duì)數(shù)據(jù)進(jìn)行安全級(jí)別劃分,不同的數(shù)據(jù)設(shè)定不同的訪問權(quán)限和敏感系數(shù),以突出對(duì)核心業(yè)務(wù)數(shù)據(jù)和隱私數(shù)據(jù)的保護(hù).人為內(nèi)部威脅依然不可避免,無論無意還是有意的內(nèi)部威脅都不會(huì)根除,基于人工智能的網(wǎng)絡(luò)防御技術(shù)提供了捕獲微小行為差異的能力,可以在危害發(fā)生前阻止正在進(jìn)行的攻擊.為推動(dòng)信息安全,必須采取主動(dòng)和協(xié)同方式,要有預(yù)測(cè)能力,并在威脅發(fā)生之前建立防范體系.同時(shí)基于數(shù)據(jù)驅(qū)動(dòng)安全的管理理念及在大數(shù)據(jù)環(huán)境下建立以數(shù)據(jù)變化為驅(qū)動(dòng)的實(shí)時(shí)響應(yīng)機(jī)制和快速分析技術(shù)是檢測(cè)系統(tǒng)發(fā)展的趨勢(shì)也是下一步研究的主要工作.