王一豐,郭淵博,李 濤,劉春輝

(信息工程大學(xué) 密碼工程學(xué)院,鄭州 450001)

1 引 言

2018年一項(xiàng)對(duì)472位資深網(wǎng)絡(luò)安全專家進(jìn)行的在線調(diào)查[1]顯示,53%的組織確認(rèn)過去一年內(nèi)遭受過內(nèi)部威脅攻擊且攻擊越來越頻繁,內(nèi)部威脅所造成的危害要遠(yuǎn)大于外部威脅.然而,公開報(bào)道的內(nèi)部威脅的安全事件只是冰山一角,更多的內(nèi)部威脅事件因企業(yè)或組織考慮到自身的聲譽(yù)并未被公開[2].由此,針對(duì)內(nèi)部威脅的檢測(cè)與防護(hù)成為一項(xiàng)十分重要的研究課題.傳統(tǒng)意義上的內(nèi)部威脅通常有以下三個(gè)方面:

1)員工用自身擁有的權(quán)限直接進(jìn)行系統(tǒng)和數(shù)據(jù)破壞;

2)內(nèi)部人員對(duì)于敏感信息、知識(shí)產(chǎn)權(quán)和商業(yè)機(jī)密的竊取和泄露;

3)通過故意濫用或誤用組織的資源或資產(chǎn),利用個(gè)人職務(wù)之便謀取利益的內(nèi)部欺詐等[3,4].

2008年Malek等人[5]將內(nèi)部攻擊者分為“背叛者”與“偽裝者”,這種對(duì)內(nèi)部攻擊者的分類有助于防御方針對(duì)攻擊者的類型研究相應(yīng)的解決方案.“背叛者”是前文中通常意義上的“內(nèi)部員工”,“偽裝者”則是指組織外部攻擊者進(jìn)入組織網(wǎng)絡(luò)后偽裝為內(nèi)部人員.目前各類新的認(rèn)證技術(shù)、訪問控制安全組件層出不窮.例如OpenID、安全斷言標(biāo)記語言(Security Assertion Markup Language)等新的安全規(guī)范和方法的出現(xiàn)和應(yīng)用,盡管一定程度上增加了外部人員成功入侵的難度,但現(xiàn)今網(wǎng)絡(luò)安全問題中破壞認(rèn)證機(jī)制(Broken Authentication)和破壞訪問控制策略(Broken Access Control)兩大問題仍然位于前列[6].通常,一旦外部攻擊者成功繞過了組織內(nèi)部網(wǎng)絡(luò)的安全策略,則意味著該攻擊者的后續(xù)行動(dòng)已經(jīng)擁有一個(gè)有一定權(quán)限的合法內(nèi)部身份,而此后的過程中將該攻擊者就是一個(gè)內(nèi)部的“偽裝者”.因此,無論是外部攻擊者或是內(nèi)部攻擊者,在組織內(nèi)部網(wǎng)絡(luò)的行為都可以通過內(nèi)部威脅檢測(cè)的方法來發(fā)現(xiàn)安全威脅.

為了檢測(cè)出這些隱蔽的內(nèi)部威脅,本文采用畫像方法進(jìn)行內(nèi)部威脅檢測(cè),這一概念最早由Alan Looper提出[7].畫像方法基于一個(gè)基本假設(shè):用戶在活動(dòng)期間會(huì)形成一個(gè)相對(duì)固定的行為模式,而攻擊者發(fā)動(dòng)攻擊時(shí)一定會(huì)有與正常模式不一樣的表現(xiàn).并且實(shí)驗(yàn)表明,傳統(tǒng)中按用戶的角色分類來畫像的方法中相同角色的不同個(gè)體之間差別可能很大,結(jié)果并不如預(yù)期[8].所以在實(shí)際畫像過程中,最好為每位用戶都單獨(dú)畫像分析和檢測(cè).

由此引發(fā)了兩個(gè)問題:

1)單獨(dú)為每個(gè)用戶畫像計(jì)算開銷很大,模型數(shù)量太多會(huì)導(dǎo)致檢測(cè)效率低下;

2)單獨(dú)用戶的數(shù)據(jù)不僅數(shù)量少,而且缺少足夠多的攻擊樣本數(shù)據(jù)(負(fù)例數(shù)據(jù))甚至數(shù)據(jù)沒有標(biāo)簽,這樣的數(shù)據(jù)不足以很好地訓(xùn)練檢測(cè)模型.用機(jī)器學(xué)習(xí)方法解決網(wǎng)絡(luò)安全問題是當(dāng)前的研究熱點(diǎn)[9],但要用好機(jī)器學(xué)習(xí)必須要準(zhǔn)備合適且足夠的數(shù)據(jù).因?yàn)榇嬖诟拍钇茊栴},很多久遠(yuǎn)的歷史數(shù)據(jù)并不適用于當(dāng)下亟需解決的檢測(cè)問題.并且,一些攻擊者來自企業(yè)內(nèi)部,其惡意行為嵌入在大量正常數(shù)據(jù)中,同時(shí)內(nèi)部攻擊者往往具有安全的相關(guān)知識(shí),可以采取很多措施來規(guī)避安全檢測(cè)[10].以上原因?qū)е聯(lián)碛械臄?shù)據(jù)不平衡且缺少標(biāo)簽,傳統(tǒng)的基于機(jī)器學(xué)習(xí)的檢測(cè)方法需要用戶的大量長(zhǎng)期數(shù)據(jù),而這往往在畫像的實(shí)際應(yīng)用中很難實(shí)現(xiàn).

如何在樣本數(shù)量少且缺乏負(fù)例樣本的情況下,從用戶行為數(shù)據(jù)中檢測(cè)出特定的內(nèi)部威脅,是本文主要研究的內(nèi)容.本文基于用戶畫像理論為重點(diǎn)用戶建模,在用戶行為數(shù)據(jù)上先用小樣本學(xué)習(xí)中的技巧來生成合適且足夠的訓(xùn)練數(shù)據(jù),并設(shè)計(jì)了一個(gè)基于深度學(xué)習(xí)的模型來檢測(cè)特定的內(nèi)部威脅,最后依據(jù)該模型提出了一個(gè)能夠檢測(cè)特定內(nèi)部威脅的檢測(cè)框架.實(shí)驗(yàn)中本文以檢測(cè)竊取敏感數(shù)據(jù)攻擊進(jìn)行實(shí)驗(yàn)并取得了很好的效果.

文章其他部分組織如下:第二節(jié)介紹了內(nèi)部威脅檢測(cè)時(shí)采用的相關(guān)技術(shù)和研究背景;第三節(jié)先設(shè)計(jì)了一個(gè)應(yīng)用場(chǎng)景并詳細(xì)闡述了本文所采用的模型及框架;第四節(jié)依照本文提出的方法使用CMU-CERT(Carnegie Mellon University Computer Emergency Response Team)數(shù)據(jù)集進(jìn)行了實(shí)驗(yàn),有對(duì)本文實(shí)驗(yàn)過程的描述以及實(shí)驗(yàn)結(jié)果的分析;最后,第五節(jié)對(duì)全文進(jìn)行了總結(jié).

2 相關(guān)工作和研究背景

2.1 小樣本學(xué)習(xí)

小樣本學(xué)習(xí)的研究在2015年左右逐漸成為研究的熱點(diǎn),主要關(guān)注如何在缺乏足夠樣本條件下讓機(jī)器有像人腦一樣,可以僅通過少量樣本就理解事物的本質(zhì)特征.盡管人工智能和機(jī)器學(xué)習(xí)在這幾年取得了顯著地進(jìn)步,但這種類人類概念知識(shí)學(xué)習(xí)的方式卻依舊未能完全實(shí)現(xiàn).人可以從一個(gè)或幾個(gè)樣本中就學(xué)習(xí)出一個(gè)新的概念,而機(jī)器學(xué)習(xí)中的標(biāo)準(zhǔn)算法則需要數(shù)百個(gè)或更多樣本來執(zhí)行類似的操作[11].目前小樣本學(xué)習(xí)的領(lǐng)域主要有兩個(gè)研究方向,一是概念學(xué)習(xí),二是經(jīng)驗(yàn)學(xué)習(xí).概念學(xué)習(xí)是讓機(jī)器盡量模擬人腦的學(xué)習(xí)過程,即通過少量樣本理解事物本質(zhì)概念這一過程.例如人可以通過少量斑馬的圖片就理解到“斑馬=馬+黑白相間的條紋”這一概念.而另一種經(jīng)驗(yàn)學(xué)習(xí)的思想是將小樣本問題其轉(zhuǎn)化為通用的大數(shù)據(jù)范式.轉(zhuǎn)化后的過程和大數(shù)據(jù)學(xué)習(xí)是一樣的,只是由于缺少足夠樣本作為模型的訓(xùn)練數(shù)據(jù),所以引入了一些額外的知識(shí)來輔助模型的學(xué)習(xí),例如領(lǐng)域自適應(yīng)、數(shù)據(jù)變換和偽標(biāo)號(hào)方法等.這里本文提出的方法就是采用了經(jīng)驗(yàn)學(xué)習(xí)中數(shù)據(jù)變換的方法,并引入相關(guān)領(lǐng)域?qū)＜抑R(shí)來生成合適的數(shù)據(jù),進(jìn)而將小樣本問題轉(zhuǎn)化為大數(shù)據(jù)問題.

2.2 用戶行為分析

在用戶行為分析(User Behavior Analytics)領(lǐng)域的研究中,眾多研究者針對(duì)不同數(shù)據(jù)使用了許多方法來對(duì)用戶進(jìn)行畫像分析.例如針對(duì)用戶的社交網(wǎng)絡(luò)數(shù)據(jù),采用聚類和圖算法的效果會(huì)比較好[12,13];針對(duì)用戶的擊鍵行為數(shù)據(jù),Giuffrida等人[14]使用了包含多特征的提取識(shí)別算法(包括支持向量機(jī)、樸素貝葉斯、馬氏距離、k近鄰等算法)同樣取得了很好的結(jié)果.文獻(xiàn)[15]中采用了另一種著名的機(jī)器學(xué)習(xí)技術(shù)隱馬爾可夫模型(HMM,Hidden Markov Models)來檢測(cè)內(nèi)部威脅.這些方法在各自的領(lǐng)域中都取得了不錯(cuò)的效果,可以較為準(zhǔn)確的刻畫該時(shí)段用戶在某一行為域中的表現(xiàn).在數(shù)據(jù)方面,同樣基于CMU-CERT數(shù)據(jù)集的幾篇研究中 [16]中的方法與本文的有些類似,同樣地采用深度神經(jīng)網(wǎng)絡(luò)(Deep Neural Networks)來計(jì)算每個(gè)用戶的異常分?jǐn)?shù)進(jìn)行內(nèi)部威脅檢測(cè).在[17]中,作者實(shí)現(xiàn)了一個(gè)名為RADISH的框架,使用k鄰近(k-Nearest Neighbour)算法和k-d樹(k-Dimensional Tree)算法進(jìn)行檢測(cè).但以往的這些模型方法多數(shù)只能在單一行為域中檢測(cè),此外對(duì)模型找出的這些異常具體與哪些安全事件相關(guān),則多數(shù)需要大量且持續(xù)的人工參與.

2.3 攻擊鏈模型

通常說的洛克希德·馬丁公司攻擊鏈[18]由七個(gè)階段組成,旨在描繪攻擊者各階段的行為意圖,以便成功地破壞目標(biāo)網(wǎng)絡(luò)并執(zhí)行如數(shù)據(jù)盜竊、拒絕服務(wù)攻擊或破壞系統(tǒng)等惡意行為.但此攻擊鏈模型多應(yīng)用在表述來自外部攻擊者的攻擊流程.而對(duì)于內(nèi)部攻擊,我們多數(shù)情況下只有內(nèi)部網(wǎng)絡(luò)各個(gè)活動(dòng)域的日志數(shù)據(jù),而基本不可能拿到攻擊鏈前幾個(gè)階段攻擊者準(zhǔn)備階段的數(shù)據(jù).因此本文采用了2010年提出的Mandiant攻擊的生命周期模型[19]來進(jìn)行建模.這兩種攻擊鏈模型分別如圖1(a)、圖1(b)所示.

表1 敏感數(shù)據(jù)竊取活動(dòng)與模型各階段對(duì)應(yīng)表
Table 1 Sensitive data exposure activities on model

模型階段建立立足點(diǎn)提升權(quán)限內(nèi)部偵查橫向移動(dòng)維持存在完成目標(biāo)階段表現(xiàn)登陸用戶嘗試打破安全策略偵查內(nèi)部信息登陸其他用戶偽裝用戶日常行為成功竊取數(shù)據(jù)并帶出日志活動(dòng)登入打開文件、發(fā)送郵件、下載文件打開文件、查看郵件登入瀏覽網(wǎng)頁、發(fā)送、查看郵件復(fù)制文件、發(fā)送郵件、上傳文件、登出

以敏感數(shù)據(jù)泄露問題為例引入攻擊鏈的專家知識(shí),其在最新的OWASP 2017年的報(bào)告中被認(rèn)為是目前非常嚴(yán)重的網(wǎng)絡(luò)安全問題,位于第三位.參照Mandiant攻擊鏈模型,本文構(gòu)建了敏感數(shù)據(jù)竊取攻擊的場(chǎng)景,并基于此設(shè)計(jì)了一個(gè)數(shù)據(jù)生成算法來生成模型所需要的負(fù)例訓(xùn)練數(shù)據(jù).實(shí)驗(yàn)所用的日志數(shù)據(jù)對(duì)于敏感數(shù)據(jù)竊取這一類攻擊來說,其表現(xiàn)集中在Establish Foothold(建立立足點(diǎn))階段之后.具體來說,竊取敏感數(shù)據(jù)攻擊對(duì)應(yīng)于Mandiant攻擊鏈模型的各個(gè)步驟,其行為表現(xiàn)反映在不同日志上的活動(dòng)具體表現(xiàn)如表1所示.

3 小樣本下的內(nèi)部威脅檢測(cè)方法

本節(jié)設(shè)計(jì)了一個(gè)基于深度學(xué)習(xí)(Deep Learning)的分類檢測(cè)模型,依據(jù)畫像理論發(fā)現(xiàn)特定的內(nèi)部威脅.實(shí)驗(yàn)過程中采用小樣本學(xué)習(xí)中經(jīng)驗(yàn)學(xué)習(xí)的技巧,以竊取敏感數(shù)據(jù)攻擊為例,依據(jù)領(lǐng)域?qū)＜抑R(shí)(攻擊鏈模型)生成有標(biāo)記的負(fù)例數(shù)據(jù).

圖1 攻擊模型Fig.1 Attack models

設(shè)計(jì)這樣一個(gè)應(yīng)用背景,在該場(chǎng)景中樣本數(shù)量少且不平衡,現(xiàn)要求設(shè)計(jì)一種檢測(cè)方法,能夠檢測(cè)該組織內(nèi)部發(fā)生的敏感數(shù)據(jù)竊取攻擊.有一個(gè)擁有幾十名內(nèi)部員工的小型組織,該組織保存了近一年用戶行為的歷史行為數(shù)據(jù)但這些數(shù)據(jù)沒有標(biāo)簽且類之間十分不平衡(攻擊數(shù)據(jù)幾乎沒有).其中組織內(nèi)部有一定的安全策略,其敏感數(shù)據(jù)一般只有高權(quán)限用戶才可以獲取.依據(jù)此應(yīng)用場(chǎng)景,本文設(shè)計(jì)了一種基于深度學(xué)習(xí)的檢測(cè)方法,分別包括如下幾部分:

1)研究將用戶行為數(shù)據(jù)轉(zhuǎn)化為深度學(xué)習(xí)模型能識(shí)別的特征矩陣的數(shù)據(jù)預(yù)處理方法;

2)研究依據(jù)領(lǐng)域?qū)＜抑R(shí)的數(shù)據(jù)生成算法;

3)提出了一種基于視頻行為識(shí)別方法的敏感數(shù)據(jù)竊取攻擊檢測(cè)模型;

4)依據(jù)此方法擴(kuò)充了一個(gè)可以檢測(cè)其他種類威脅的檢測(cè)框架.

3.1 數(shù)據(jù)預(yù)處理

在設(shè)計(jì)檢測(cè)模型前,先要對(duì)日志數(shù)據(jù)進(jìn)行預(yù)處理.本文的方法采用基于人工神經(jīng)網(wǎng)絡(luò)(Artificial Neural Network)的深度模型,具有非常強(qiáng)大的分析學(xué)習(xí)能力,在圖像分類(如人臉識(shí)別)和目標(biāo)探測(cè)(如自動(dòng)駕駛)兩大領(lǐng)域都取得了非常好的應(yīng)用效果.為了使其在內(nèi)部威脅檢測(cè)領(lǐng)域發(fā)揮其強(qiáng)大能力,需要將日志數(shù)據(jù)預(yù)處理成合適的形式.人工神經(jīng)網(wǎng)絡(luò)模型所需的輸入本質(zhì)上是多維向量(圖片、文本都轉(zhuǎn)化為向量形式輸入),這就要求把多用戶不同行為域的日志數(shù)據(jù),盡量無損失地轉(zhuǎn)化為特征向量的形式.實(shí)驗(yàn)中采用了用戶登錄數(shù)據(jù)、用戶使用可移動(dòng)存儲(chǔ)設(shè)備記錄數(shù)據(jù)、用戶收發(fā)郵件數(shù)據(jù)和用戶使用互聯(lián)網(wǎng)數(shù)據(jù).選用這些數(shù)據(jù)實(shí)驗(yàn)的原因在于敏感數(shù)據(jù)竊取攻擊的具體活動(dòng)在這些數(shù)據(jù)中集中表現(xiàn),并且這些數(shù)據(jù)容易被獲取,具有普適性,數(shù)據(jù)具體包含信息如表2所示.在此實(shí)驗(yàn)中,為了盡量保留信息的完整性,不僅要將信息轉(zhuǎn)化為多維向量,還要注意保留信息中的時(shí)序信息.因此本文將用戶一定時(shí)間內(nèi)的行為數(shù)據(jù)標(biāo)準(zhǔn)化處理為一段“視頻”信息來處理,這就與后文提到的視頻行為識(shí)別方法相對(duì)應(yīng).

表2 數(shù)據(jù)中包含信息表
Table 2 Information of dataset

用戶登錄數(shù)據(jù)時(shí)間用戶機(jī)器活動(dòng)(登陸/注銷)用戶使用可移動(dòng)存儲(chǔ)設(shè)備記錄數(shù)據(jù)時(shí)間用戶機(jī)器文件名活動(dòng)(打開/寫入/復(fù)制/刪除)用戶收發(fā)郵件數(shù)據(jù)用戶機(jī)器來源目標(biāo)活動(dòng)(查看/發(fā)送)用戶使用互聯(lián)網(wǎng)數(shù)據(jù)時(shí)間用戶機(jī)器網(wǎng)址活動(dòng)(上傳/下載/訪問)

實(shí)驗(yàn)使用畫像的方法來進(jìn)行檢測(cè).在畫像理論基于一個(gè)定理:

定理1.內(nèi)部威脅檢測(cè)中用戶正常的行為模式在相對(duì)短的時(shí)間內(nèi)保持不變或變化幅度很小.

這個(gè)定理基于兩個(gè)觀察,一是多數(shù)用戶在組織內(nèi)多有固定的工作角色,每天的工作內(nèi)容和模型十分相似;二是一個(gè)用戶的操作和行為習(xí)慣(如喜好、操作習(xí)慣等)一般不會(huì)在短時(shí)間內(nèi)有很大改變.基于定理1,本文采用一個(gè)用戶相對(duì)短時(shí)間的歷史行為數(shù)據(jù)來檢測(cè)該用戶近期未來的行為是否正常就有了理論支撐.

通常來說一個(gè)組織的活動(dòng)規(guī)律是以一天即24小時(shí)為一個(gè)周期.所以為了使得正常樣本數(shù)據(jù)之間的相似性最大,在此選取用戶活動(dòng)的分割周期為24小時(shí),并每小時(shí)為用戶活動(dòng)生成一張“圖片”,24張靜態(tài)“圖片”就組成了這些用戶全天的活動(dòng)“視頻”.生成的“圖片”可以用多維向量T來表示,組合而成的“視頻”可以用張量V來表示.要確定“視頻”V的生成方法,先要確定每張“圖片”T包含的信息.本實(shí)驗(yàn)中選擇列數(shù)為8,映射到前文說的8種不同的用戶活動(dòng),依次對(duì)應(yīng)了用戶登錄事件、用戶打開和拷貝文件事件、用戶發(fā)送郵件事件、用戶接收郵件事件、用戶上傳和下載數(shù)據(jù)事件以及用戶訪問外部網(wǎng)絡(luò)事件.“圖片”T的行數(shù)為8,代表所選取的要畫像的8位重要用戶.前文說過,不可能為每個(gè)用戶畫像,這里應(yīng)該選取的具有獲取敏感數(shù)據(jù)權(quán)限或其他權(quán)限的一些重點(diǎn)用戶,本場(chǎng)景下使用8位具有較高權(quán)限的管理員用戶進(jìn)行實(shí)驗(yàn).這些重點(diǎn)用戶的數(shù)據(jù)組合成一張“圖片”,優(yōu)點(diǎn)不僅在于解決了前文設(shè)想的為每位用戶畫像帶來的模型過多導(dǎo)致效率低下的問題,也方便了發(fā)現(xiàn)共謀攻擊.依據(jù)上述方法,本場(chǎng)景中當(dāng)日i時(shí)段用戶們的行為Ti被表示如式(1)所示:

(1)

其中a0表示a用戶當(dāng)天i時(shí)段該用戶登陸次數(shù),a1表示a用戶當(dāng)天i時(shí)段該用戶打開文件次數(shù),a2表示a用戶當(dāng)天i時(shí)段該用戶復(fù)制文件次數(shù),a3表示a用戶當(dāng)天i時(shí)段該用戶發(fā)送郵件次數(shù),a4表示a用戶當(dāng)天i時(shí)段該用戶查看郵件次數(shù),a5表示a用戶當(dāng)天i時(shí)段該用戶訪問互聯(lián)網(wǎng)次數(shù),a6表示a用戶當(dāng)天i時(shí)段該用戶從互聯(lián)網(wǎng)下載次數(shù),a7表示a用戶當(dāng)天i時(shí)段該用戶上傳文件到互聯(lián)網(wǎng)次數(shù),其他b、c、d、e、f、g、h用戶同上.這樣用戶們一天活動(dòng)的“視頻”V={T0,T1,…,T23}.

圖2 用戶一天的行為特征向量示例Fig.2 A feature vector sample of user daily behavior

通過這種方法就將用戶的行為數(shù)據(jù)轉(zhuǎn)化為一個(gè)大小為24*8*8的特征向量.圖2是一個(gè)轉(zhuǎn)化之后用戶一天的行為特征向量樣例.

3.2 數(shù)據(jù)生成

內(nèi)部攻擊相對(duì)于正常數(shù)據(jù)來說一定是極少數(shù)的.如果內(nèi)部人員行為表現(xiàn)與往常不一致時(shí),大多數(shù)情況下都與攻擊無關(guān).而實(shí)際中由于數(shù)據(jù)缺少標(biāo)記,即使有少量攻擊數(shù)據(jù),也被淹沒在龐大的正常數(shù)據(jù)中.因此在該場(chǎng)景下實(shí)驗(yàn)缺乏大量帶標(biāo)記的負(fù)例數(shù)據(jù)用于模型訓(xùn)練.在這種樣本數(shù)據(jù)缺乏的情況下,準(zhǔn)確找出敏感數(shù)據(jù)泄露的威脅需要用經(jīng)驗(yàn)學(xué)習(xí)中的一些技巧.對(duì)于缺少數(shù)據(jù),在經(jīng)驗(yàn)學(xué)習(xí)中一般有兩種方法可以解決.一是增廣數(shù)據(jù),二是引入額外的知識(shí)庫.前者通過一些技巧來生成新的數(shù)據(jù),例如將一個(gè)圖片數(shù)據(jù)進(jìn)行各種角度輕微的旋轉(zhuǎn)來生成新的圖像數(shù)據(jù).后者通過引入一些其他的知識(shí)來降低模型對(duì)數(shù)據(jù)的依賴,例如經(jīng)典的域適應(yīng)(Domain Adaptation)方法——引入在其他域中訓(xùn)練好的模型,通過數(shù)學(xué)方法變換映射到所需求的域中來.而本文中采用增廣數(shù)據(jù)的方法,結(jié)合引入的領(lǐng)域?qū)＜抑R(shí)(攻擊鏈模型)來生成足夠且合適的數(shù)據(jù).負(fù)例數(shù)據(jù)生成算法基于Mandiant攻擊的生命周期模型,通過分析少量的真實(shí)攻擊的數(shù)據(jù),合理地將這種攻擊的階段和其各階段的表現(xiàn)在日志上的日志記錄如表1所示對(duì)應(yīng).

假設(shè)攻擊者在發(fā)起攻擊后會(huì)盡快地完成攻擊,那么在模擬的數(shù)據(jù)集中,下一個(gè)階段攻擊發(fā)起時(shí)較原攻擊時(shí)間間隔在1小時(shí)以上的概率相對(duì)較小.通過分析實(shí)際發(fā)生的(少量真實(shí)攻擊樣本)敏感數(shù)據(jù)攻擊,我們分析并得出了三種攻擊的子類型:

1)單人非工作時(shí)間發(fā)起:發(fā)起時(shí)間為非工作時(shí)間,多為凌晨開始攻擊,這種攻擊大多是外部攻擊者繞過安全策略后拿到了內(nèi)部身份.為了避免與原用戶正常登錄沖突或其他內(nèi)部人員工作時(shí)而被發(fā)現(xiàn),所選的攻擊時(shí)間多在凌晨時(shí)段;

2)單人工作時(shí)間發(fā)起:發(fā)起時(shí)間在工作時(shí)間且單個(gè)用戶行為,此種情況多是單獨(dú)的內(nèi)部叛徒,利用工作時(shí)間來實(shí)施攻擊,其行為模式與往常差異很大;

3)多人工作時(shí)間發(fā)起:工作時(shí)間發(fā)起但有多個(gè)用戶(多為小團(tuán)伙).其中第三種攻擊是最隱蔽的一種內(nèi)部威脅即共謀攻擊,共謀攻擊是指由組織內(nèi)部的幾個(gè)人一同發(fā)起內(nèi)部攻擊,他們可以每個(gè)人只分別完成攻擊鏈中的部分步驟來達(dá)到逃脫檢測(cè)的目的.

具體生成敏感數(shù)據(jù)竊取的負(fù)例樣本算法的偽代碼如算法1所示.該算法輸入預(yù)處理好的正例正常數(shù)據(jù),該算法輸出生成的3種不同攻擊子類型的負(fù)例數(shù)據(jù).

算法1.生成敏感數(shù)據(jù)竊取負(fù)例樣本的算法

輸入:k天正例集合A={P1,P2,…,Pk}Pi是一日的視頻

輸出:k天的負(fù)例數(shù)據(jù)集合B={N1,N2,N3,…,Nk}

k天的負(fù)例數(shù)據(jù)集合C={M1,M2,M3,…,Mk}

k天的負(fù)例數(shù)據(jù)集合D={L1,L2,L3,…,Lk}

1.functionGenerateNegativedata(A)

2.fori= 0→k-1

3.doE←A

4. 在[0,7]內(nèi)產(chǎn)生一個(gè)隨機(jī)整數(shù)d1#選一個(gè)用戶

5. 在[-2,5]內(nèi)產(chǎn)生一個(gè)隨機(jī)整數(shù)d2#選擇夜間時(shí)段

6.E[i=Pi,將Pi[d1][d2]的登入字段的值加1

7. 從插入的字段開始,依據(jù)表1隨機(jī)時(shí)段隨機(jī)插入后續(xù)階段的攻擊直至完成攻擊

8.B[i]←E[i]

9.E←A

10. 在[9,18]內(nèi)產(chǎn)生一個(gè)隨機(jī)整數(shù)d3#選擇工作時(shí)段

11.E[i]=Pi,在Pi[d1] [d3]中增加提權(quán)階段的活動(dòng)

12. 從插入的字段開始,依據(jù)表1隨機(jī)時(shí)段隨機(jī)插入后續(xù)階段的攻擊直至完成攻擊

13.C[i]←E[i]

14.E←A

15. 在[9,18]內(nèi)隨機(jī)產(chǎn)生一個(gè)整數(shù)d4#選擇工作時(shí)段

16. 在[0,7]內(nèi)產(chǎn)生一個(gè)隨機(jī)整數(shù)d5,d5≠d

17.E[i]=Pi,在Pi[d1][d4]中增加提權(quán)階段的活動(dòng)

18.E[i]=Pi,在Pi[d5][d4]中增加提權(quán)階段的活動(dòng)

19. 在隨機(jī)時(shí)段隨機(jī)依據(jù)表1插入攻擊直至完成攻擊,每次插入時(shí)在[d1,d5]中隨機(jī)選擇用戶

20.D[i]←E[i]

21. end for

22. returnB,C,D

23.end function

3.3 基于深度學(xué)習(xí)的檢測(cè)模型

盡管深度學(xué)習(xí)(Deep Learning)在圖像和文本處理領(lǐng)域表現(xiàn)出驚人的效果,但在組織內(nèi)部的畫像和內(nèi)部威脅檢測(cè)中的應(yīng)用還不夠充分.深度神經(jīng)網(wǎng)絡(luò)中包含兩個(gè)重要的模型,分別是卷積神經(jīng)網(wǎng)絡(luò)(Convolutional Neural Network,CNN)和遞歸神經(jīng)網(wǎng)絡(luò)(Recurrent Neural Network,RNN).其中前者憑借其特有的卷積-池化(Convolution-pooling)結(jié)構(gòu),在處理圖像等非時(shí)序的靜態(tài)數(shù)據(jù)上有很好的效果,后者則在處理文本等時(shí)序性數(shù)據(jù)上表現(xiàn)良好.

圖3 視頻行為識(shí)別的框架Fig.3 Framework of video behavior recognition

hm,cm=LSTM(tm,hm-1,cm-1)

fi=h23

(2)

3.4 檢測(cè)框架

解決了上述場(chǎng)景中的檢測(cè)敏感數(shù)據(jù)竊取的問題,但若是要求不僅檢測(cè)敏感數(shù)據(jù)竊取攻擊,還要求檢測(cè)其他特定威脅例如惡意文件操作等,則上述針對(duì)性訓(xùn)練的模型無法發(fā)揮作用.但同樣的,只要我們依據(jù)數(shù)據(jù)生成算法針對(duì)性的生成對(duì)應(yīng)的負(fù)例樣本數(shù)據(jù),就可以檢測(cè)其他類型的威脅.

前文提出了一個(gè)以敏感數(shù)據(jù)竊取為例,訓(xùn)練一個(gè)基于深度學(xué)習(xí)的檢測(cè)特定內(nèi)部威脅模型的過程.那么基于此過程可以擴(kuò)展出一個(gè)框架來檢測(cè)出更多種類的特定內(nèi)部威脅,框架的具體流程如圖4所示.其中訓(xùn)練好檢測(cè)模型可以靈活地級(jí)聯(lián)起來.具體來說,在訓(xùn)練過程中,首先基于領(lǐng)域?qū)＜曳治鲆獧z測(cè)的特定內(nèi)部威脅(如敏感數(shù)據(jù)竊取攻擊),接著依據(jù)攻擊鏈模型(或其他領(lǐng)域?qū)＜抑R(shí))生成對(duì)應(yīng)的數(shù)據(jù)生成算法.然后,依據(jù)得到的正負(fù)例數(shù)據(jù),基于前文提出的模型能夠自動(dòng)提取特征并訓(xùn)練出針對(duì)該特定種類內(nèi)部威脅的模型.在檢測(cè)過程中,數(shù)據(jù)經(jīng)過多個(gè)模型檢測(cè),每個(gè)模型可以檢測(cè)出自身訓(xùn)練出的攻擊類型.

圖4 一種在小樣本環(huán)境下內(nèi)部威脅檢測(cè)框架Fig.4 A framework for insider threat detection with small samples

4 實(shí) 驗(yàn)

4.1 數(shù)據(jù)集

本節(jié)概述了本文實(shí)驗(yàn)中用的CMU-CERT[20]數(shù)據(jù)集.CMU-CERT數(shù)據(jù)集是由美國(guó)國(guó)防部高級(jí)研究計(jì)劃局(DARPA,Defense Advanced Research Projects Agency)贊助的卡耐基梅隆大學(xué)內(nèi)部威脅研究中心與ExactData公司合作從真實(shí)企業(yè)環(huán)境中采集數(shù)據(jù)構(gòu)造的一個(gè)內(nèi)部威脅測(cè)試集.CMU-CERT數(shù)據(jù)集由合成數(shù)據(jù)和正常數(shù)據(jù)組成.該數(shù)據(jù)集包含了一個(gè)組織中4000個(gè)用戶在516天活動(dòng)中的數(shù)據(jù),更加詳細(xì)的信息可以在CERT的網(wǎng)站1https://www.cert.org/insider-threat/tools/中獲得.CMU-CERT數(shù)據(jù)集中模擬了一些用戶內(nèi)部威脅的場(chǎng)景來生成異常數(shù)據(jù),但在本實(shí)驗(yàn)中只用了數(shù)據(jù)集中的正常數(shù)據(jù)并裁剪掉少量負(fù)例樣本數(shù)據(jù).CMU-CERT數(shù)據(jù)集由7個(gè)主要文件組成,包括:logon.csv:用戶登錄和注銷設(shè)備記錄;email.csv:與用戶郵箱活動(dòng)相關(guān)的記錄;file.csv:用戶的文件活動(dòng)記錄;device.csv:連接和斷開可移動(dòng)設(shè)備記錄;http.csv:用戶使用互聯(lián)網(wǎng)的相關(guān)活動(dòng)記錄;psychometric.csv:用戶的個(gè)性和工作滿意度等心里相關(guān)記錄;LDAP.csv:描述了每個(gè)用戶的信息(用戶的角色,電子郵件,所屬部門,主管人員等信息).

在本文的設(shè)計(jì)的應(yīng)用場(chǎng)景中,主要聚焦于以下5個(gè)行為域的數(shù)據(jù)來進(jìn)行實(shí)驗(yàn),即用戶登錄數(shù)據(jù)、用戶使用外部網(wǎng)絡(luò)數(shù)據(jù)、用戶收發(fā)郵件數(shù)據(jù)、用戶使用可移動(dòng)存儲(chǔ)設(shè)備相關(guān)的文件記錄中的部分?jǐn)?shù)據(jù).為了更加符合現(xiàn)實(shí)情況,我們故意混入了一些噪聲作為臟數(shù)據(jù).具體來說,各個(gè)數(shù)據(jù)集中包含的字段如前文的表2所示,并且遵循以下規(guī)則:每個(gè)用戶分配一臺(tái)PC;登錄事件在其他PC活動(dòng)之前;沒有用戶可以登錄另一個(gè)用戶已經(jīng)登錄的機(jī)器.

由于設(shè)計(jì)的場(chǎng)景是小樣本環(huán)境,所以這里依據(jù)LDAP中的角色,選擇了擁有較高權(quán)限的8個(gè)管理員角色的重點(diǎn)用戶355天的正常活動(dòng)數(shù)據(jù).實(shí)驗(yàn)使用全正例的數(shù)據(jù)作為表3中的算法輸入,依據(jù)攻擊鏈模型來生成對(duì)應(yīng)的負(fù)例樣本數(shù)據(jù).

4.2 實(shí)驗(yàn)結(jié)果

實(shí)驗(yàn)在Docker[21]中搭建TensorFlow的GPU版本,用python語言來處理數(shù)據(jù).按照第3.1節(jié)中的方法處理后成如圖2所示的“視頻”數(shù)據(jù).實(shí)驗(yàn)使用8個(gè)重要用戶355天的正?；顒?dòng)數(shù)據(jù)生成了355段正例“視頻”數(shù)據(jù),之后通過負(fù)例數(shù)據(jù)生成算法生成了3類敏感數(shù)據(jù)竊取攻擊“視頻”的負(fù)例數(shù)據(jù)各355段,共1420段“視頻”,其中訓(xùn)練集和測(cè)試集的比例為9:1,此外測(cè)試集中還包含了原數(shù)據(jù)集中被剔除的模擬的同類攻擊樣本數(shù)據(jù).

實(shí)驗(yàn)采用了三種檢測(cè)方法進(jìn)行對(duì)比,分別為:采用規(guī)則匹配方法(RE)、只使用卷積神經(jīng)網(wǎng)絡(luò)的模型(CNN)和本文提出的結(jié)合卷積神經(jīng)網(wǎng)絡(luò)和遞歸神經(jīng)網(wǎng)絡(luò)的檢測(cè)模型(CNN+RNN)進(jìn)行對(duì)比實(shí)驗(yàn).其中采用規(guī)則匹配的方法是直接依據(jù)所設(shè)計(jì)的數(shù)據(jù)生成算法寫出符合特點(diǎn)的正則表達(dá)式,理論上即使在知道攻擊特點(diǎn)的情況下,雖然能發(fā)現(xiàn)負(fù)例數(shù)據(jù)但同時(shí)也會(huì)產(chǎn)生很多誤報(bào).

對(duì)于二分類問題,可將樣例根據(jù)其真實(shí)類別與分類器預(yù)測(cè)類別的組合劃分為真正例(Ture Positive)、假正例(False Positive)、真反例(True Negative)、假反例(False Negative),顯然有TP+FP+TN+FN=樣例總數(shù).

準(zhǔn)確率P(Precision)和召回率R(Recall)是一對(duì)矛盾的度量,一般來說,準(zhǔn)確率高時(shí),召回率往往偏低,反之亦然.準(zhǔn)確率P、召回率R分別定義為公式(3)和公式(4):

(3)

(4)

F1是基于查準(zhǔn)率和查全率的調(diào)和評(píng)價(jià),定義如公式(5):

(5)

(6)

但對(duì)于多分類問題來說,除了采用常用的公式(6)分類正確率A(Accuracy)來表示外,還可以采用宏平均(Macro-averaging)和微平均(Micro-averaging)兩種指標(biāo)來衡量.其中相對(duì)于微平均來說宏平均的受小類別影響較大,由于在實(shí)際中某類真實(shí)數(shù)據(jù)很可能少,所以在此選擇宏平均來衡量方法的性能,對(duì)于n分類問題定義如公式(7)所示.

(7)

圖5是實(shí)驗(yàn)中使用不同模型訓(xùn)練上述1420個(gè)樣本時(shí)的訓(xùn)練次數(shù)與整體正確率變化圖.圖中顯示使用該文提出的方法訓(xùn)練收斂速度快且整體正確率率高,CNN方法在該圖中表現(xiàn)效果似乎也不算差,而用規(guī)則匹配的方法,即使不斷完善規(guī)則整體正確率也只保持在0.63左右.最終三個(gè)模型最終的整體正確率分別為0.91、0.81和0.66.在收斂速度方面,本文提出的方法訓(xùn)練次數(shù)在800次左右已經(jīng)開始收斂了,基于CNN的方法在訓(xùn)練1500次左右開始收斂,基于規(guī)則匹配的模型由于沒有自學(xué)習(xí)能力,需要投入了大量人力來分析并制定、優(yōu)化規(guī)則.

圖5 整體正確率變化圖Fig.5 Figure of overall classification accuracy

由表3可以看出不同方法在實(shí)驗(yàn)環(huán)境下具體到詳細(xì)攻擊類型的分類效果差距很大.對(duì)于特征明顯的攻擊類型1和2,似乎所有的分類器表現(xiàn)都不錯(cuò),但在檢測(cè)隱蔽的攻擊類型3時(shí)則大有不同.圖5中總體分類效果不錯(cuò)的CNN模型在攻擊類型3(共謀攻擊)的檢測(cè)中似乎無能為力,而本文提出的模型對(duì)該類的正確分類率達(dá)到了0.82,可以看出本文提出的方法綜合在每個(gè)子攻擊類型的檢測(cè)中效果都很顯著.除此之外,圖6顯示了對(duì)于總體分類的其他評(píng)價(jià)指標(biāo),可以看出該文的方法對(duì)比其他方法有著明顯優(yōu)勢(shì).

表3 各方法具體類別的分類準(zhǔn)確率
Table 3 Detailed classification precision of several methods

算法正常數(shù)據(jù)攻擊類型1攻擊類型2攻擊類型3OUR0.910.990.990.82CNN0.990.970.960.32RE0.680.890.840.24

圖6 幾種方法具體類別分類的評(píng)價(jià)指標(biāo)Fig.6 Detailed classification measure of several methods

綜上所述,本文提出的模型與其他兩個(gè)模型相比,無論是在各項(xiàng)分類指標(biāo)上還是在模型的訓(xùn)練時(shí)間上都有優(yōu)勢(shì).

5 結(jié)束語

本文以實(shí)際應(yīng)用背景為例,設(shè)計(jì)了一種在小樣本環(huán)境下訓(xùn)練出一個(gè)能的檢測(cè)特定內(nèi)部威脅模型的方法,并依據(jù)此方法擴(kuò)展了一個(gè)內(nèi)部威脅檢測(cè)框架.該方法基于深度學(xué)習(xí)的分類模型,依據(jù)領(lǐng)域?qū)＜抑R(shí)構(gòu)造的足量的負(fù)例數(shù)據(jù)進(jìn)行訓(xùn)練.最終實(shí)驗(yàn)結(jié)果表明我們所提出的方法是有效的,其性能優(yōu)于目前的普遍采用的其他方法.此外,提出了一個(gè)適用于多種攻擊類型的檢測(cè)框架,可靈活地將用戶的異常行為關(guān)聯(lián)到特定的安全威脅中去.

盡管達(dá)到了較好的檢測(cè)效果,但本方法需要安全人員十分了解檢測(cè)的此類攻擊,才能依據(jù)領(lǐng)域?qū)＜抑R(shí)合理設(shè)計(jì)出對(duì)應(yīng)的負(fù)例數(shù)據(jù)生成算法,需要一定的人工參與.此外,在有真實(shí)攻擊數(shù)據(jù)后需要對(duì)模型進(jìn)行反饋修正.該方法特別適用于在缺乏足夠的標(biāo)記樣本的情況下,檢測(cè)隱蔽的共謀攻擊.未來將嘗試引入概念學(xué)習(xí)的方法,例如通過構(gòu)建新的知識(shí)映射,使得模型更加智能化并減少人工參與.