郭世澤，張 磊，潘 雨，陶 蔚，白 瑋，鄭奇斌，劉 藝，潘志松

（1.陸軍工程大學指揮控制工程學院，南京 210007；2.軍事科學院戰(zhàn)略評估咨詢中心，北京 100091；3.北京大數(shù)據(jù)先進技術研究院，北京 100091；4.軍事科學院國防科技創(chuàng)新研究院，北京 100010）

引 言

隨著社會信息化程度越來越高，企事業(yè)單位等組織的內(nèi)部網(wǎng)絡不僅面臨著外部攻擊者攻擊的風險，而且面臨著來自內(nèi)部攻擊者的安全威脅。一般來說，內(nèi)部攻擊者一般是指組織機構(gòu)內(nèi)部人員，包括在職或離職員工、承包商以及商業(yè)合作伙伴等［1?2］。與外部攻擊者不同，內(nèi)部攻擊者可以利用正常業(yè)務流程獲得相關內(nèi)部網(wǎng)絡的信息，或者利用社交關系獲取網(wǎng)絡管理員權限，從而對內(nèi)部網(wǎng)絡安全造成負面影響［3］，這些潛在的威脅統(tǒng)稱為“內(nèi)部威脅”。內(nèi)部威脅從幕后到臺前的關鍵事件是斯諾登的“棱鏡門”事件，該事件表明內(nèi)部威脅已經(jīng)發(fā)展成為網(wǎng)絡安全領域所面臨的重要問題［4］。文獻［5］的調(diào)研報告顯示，只要價錢合理，20%的人愿意將自己的工作賬號和密碼賣給無關人員；美國計算機安全協(xié)會有報告指出，同樣的攻擊成本，內(nèi)部威脅所造成的損失要遠遠高于外部攻擊［6］；普華永道的報告顯示，中國公司的網(wǎng)絡安全事件中，由內(nèi)部人員造成的網(wǎng)絡安全事件占50%以上［7］。同時各大機構(gòu)更頻頻爆出內(nèi)部網(wǎng)絡安全的事件，例如：巴林銀行職工安全事件導致14 億美元的損失，最終導致銀行破產(chǎn)；法國興業(yè)銀行內(nèi)部網(wǎng)絡安全事件造成的72 億美元的損失［8］。這些事件都證明了內(nèi)部威脅會對公司發(fā)展產(chǎn)生重大影響，因而發(fā)現(xiàn)檢測內(nèi)部威脅問題變得刻不容緩。

內(nèi)部威脅問題也引起了學術領域的廣泛關注。中國計算機學會推薦A 類會議CCS（Conference on Computer and Communications Security）針對內(nèi)部威脅的發(fā)現(xiàn)檢測技術召開研討會進行討論?？突仿〈髮W的CERT（Computer Emergency Response Teams）研究中心早在2000 年就開始了對內(nèi)部威脅檢測方法的研究，取得了一系列的成果。根據(jù)CERT 和文獻［9?14］對內(nèi)部威脅的定義，內(nèi)部威脅和外部攻擊的主要區(qū)別在于其攻擊者主要來自內(nèi)部，因此內(nèi)部威脅一般具有以下特征：

（1）比外部威脅損失更大：外部威脅由于是黑盒攻擊，不一定會產(chǎn)生嚴重影響。但內(nèi)部威脅由于攻擊者是組織內(nèi)部人員，相當于整個網(wǎng)絡的配置都暴露在攻擊者面前，比如網(wǎng)絡的配置弱點、核心服務和核心資產(chǎn)等，因此內(nèi)部威脅造成的危害相比于外部威脅更大，會對組織的經(jīng)濟資產(chǎn)、業(yè)務運行及組織信譽造成更大的破壞。在2014 年CERT 發(fā)布的網(wǎng)絡安全調(diào)查顯示，不到30%的內(nèi)部威脅可以造成將近50%的經(jīng)濟資產(chǎn)損失［15］，說明了內(nèi)部威脅較普通的外部攻擊危害更大。

（2）具有極強的偽裝性：由于攻擊者來自內(nèi)部，熟知內(nèi)部網(wǎng)絡的安全防護配置等情況，可以有效逃避已有的網(wǎng)絡安全檢測方法，所以內(nèi)部威脅具有極強的隱蔽性。例如：內(nèi)部人員發(fā)動內(nèi)部攻擊一般不會經(jīng)過防火墻、安全防護系統(tǒng)等設備，導致網(wǎng)絡安全設備無法檢測到內(nèi)部攻擊行為，因此安全設備對內(nèi)部威脅防御能力較低；內(nèi)部攻擊可以發(fā)生在工作時間，導致攻擊行為和正常工作行為較難區(qū)分，增大了攻擊數(shù)據(jù)挖掘和攻擊行為分析的難度；內(nèi)部攻擊者具有組織安全防御機制的相關知識，并且與網(wǎng)絡管理員和工作人員具有相應的社交關系，發(fā)現(xiàn)難度較大，具有極強的偽裝性。

（3）攻擊者和攻擊方法的多樣化：在大數(shù)據(jù)時代，組織內(nèi)部核心資產(chǎn)與業(yè)務的信息化導致內(nèi)部攻擊難度降低，攻擊元素日趨多樣化。首先是攻擊者的多元化，網(wǎng)絡管理員、組織內(nèi)職工、第三方職工、合作方和服務甲方等，都有可能成為內(nèi)部威脅的攻擊者；其次是攻擊方法的多樣化，內(nèi)部攻擊者可以在內(nèi)部網(wǎng)絡中植入病毒，可以使用邏輯炸彈，可以利用自己的權限獲得相關組織內(nèi)部信息，也可以刪除組織內(nèi)部數(shù)據(jù)庫或基礎軟件代碼，還可以篡改相關信息進行詐騙等。攻擊方法的多元化增加了內(nèi)部威脅發(fā)現(xiàn)檢測的復雜性，使得內(nèi)部威脅檢測問題面臨更為嚴峻的挑戰(zhàn)。

對內(nèi)部威脅的檢測發(fā)現(xiàn)研究有助于識別內(nèi)部威脅的發(fā)生條件和原因，以及了解和應對組織內(nèi)部面臨內(nèi)部威脅的狀況，從而提高整個網(wǎng)絡的安全防御能力。因此，無論對于網(wǎng)絡安全管理員還是其他人員，內(nèi)部威脅研究都具有非常高的理論研究價值和實踐價值，主要體現(xiàn)在以下兩個方面：（1）對內(nèi)部威脅進行研究可以有效防范其帶來的危害。通過科學的方法分析系統(tǒng)中面臨的內(nèi)部威脅、研究內(nèi)部威脅的構(gòu)成因素、量化內(nèi)部威脅風險，可以有效對內(nèi)部威脅進行發(fā)現(xiàn)和防御。（2）內(nèi)部威脅的發(fā)現(xiàn)檢測防御方法是網(wǎng)絡安全建設的重要保障。傳統(tǒng)的網(wǎng)絡安全防御比較依賴于外部網(wǎng)絡防御，對內(nèi)部威脅的關注不多，但內(nèi)部威脅是網(wǎng)絡安全建設中的重要環(huán)節(jié)，只有有效識別內(nèi)部威脅，才能在防御和控制內(nèi)部威脅的基礎上保障網(wǎng)絡的整體安全。

1 內(nèi)部威脅發(fā)現(xiàn)檢測方法

對內(nèi)部威脅的發(fā)現(xiàn)檢測是學術界多年來的一個熱點問題。內(nèi)部威脅發(fā)現(xiàn)檢測方法主要通過發(fā)現(xiàn)內(nèi)部用戶的行為痕跡［16］，建立相應的內(nèi)部用戶行為模型以檢測其是否為內(nèi)部威脅。因此可以將當前內(nèi)部威脅發(fā)現(xiàn)檢測方法分為基于異常行為的發(fā)現(xiàn)檢測方法與基于形式化建模的發(fā)現(xiàn)檢測方法兩類。

1.1 基于異常行為的發(fā)現(xiàn)檢測方法

基于異常行為的發(fā)現(xiàn)檢測方法是基于大數(shù)據(jù)和人工智能技術的內(nèi)部威脅發(fā)現(xiàn)檢測方法，也是目前的主流方法［17?19］。該方法主要基于數(shù)據(jù)驅(qū)動，通過大數(shù)據(jù)分析，對用戶的行為進行特征提取并進行分類，判斷該用戶行為是否正常，進而從中找出可能的異常行為，判斷其是否為內(nèi)部威脅。這種分析的對象既可以基于端設備的文件訪問、函數(shù)調(diào)用等用戶行為，也可以基于流量信息、服務訪問信息和文件訪問信息等用戶網(wǎng)絡行為［20］。在用戶的異常行為檢測中，提取用戶行為數(shù)據(jù)的傳統(tǒng)方法主要包括樸素貝葉斯、主成分分析和隱馬爾可夫模型等。近年來，隨著深度學習和強化學習技術的不斷發(fā)展，深度學習和強化學習的聯(lián)合檢測方法也逐漸受到更多的關注。其中文獻［21］提出一種通用的時序圖分析框架來發(fā)現(xiàn)內(nèi)部用戶的異常行為，它將內(nèi)部用戶與系統(tǒng)的交互過程抽象為一系列的圖，并通過圖分類的不同來發(fā)現(xiàn)內(nèi)部用戶行為的異常，以此來判斷是否存在內(nèi)部威脅。文獻［22］通過隱馬爾可夫模型和單類支持向量機的聯(lián)合模型來發(fā)現(xiàn)內(nèi)部用戶的異常行為和攻擊行為。文獻［23］提出了基于混合高斯模型的內(nèi)部威脅發(fā)現(xiàn)檢測方法，并在其中融合了相關專家的判斷信息，進一步提高了發(fā)現(xiàn)準確率。文獻［24］通過建立員工情緒檔案，采用深度學習方法，提出了一種發(fā)現(xiàn)內(nèi)部威脅早期潛在風險的方法，即通過員工情緒的異常變化來發(fā)現(xiàn)內(nèi)部用戶可能會發(fā)生的異常行為和攻擊行為。文獻［25］使用深度遞歸神經(jīng)網(wǎng)絡模型構(gòu)建在線無監(jiān)督學習方法，用于實時監(jiān)測和檢測內(nèi)部系統(tǒng)日志中的異?；顒?，可隨時發(fā)現(xiàn)內(nèi)部用戶的異常行為和攻擊行為。文獻［26］提出一種基于行為序列的預測方法，通過該方法可以為用戶的相關行為進行畫像，從而判斷內(nèi)部用戶是否存在內(nèi)部威脅。文獻［27］提出了基于多模型、多數(shù)據(jù)融合的內(nèi)部威脅發(fā)現(xiàn)檢測方案，從而發(fā)現(xiàn)內(nèi)部用戶的異常行為和攻擊行為。根據(jù)模型中使用數(shù)據(jù)源的不同，異常行為發(fā)現(xiàn)方法分為基于審計日志異常的發(fā)現(xiàn)檢測方法和基于用戶命令異常的發(fā)現(xiàn)檢測方法。

1.1.1 基于審計日志異常的內(nèi)部威脅發(fā)現(xiàn)檢測方法

基于審計日志的異常行為發(fā)現(xiàn)檢測方法主要針對用戶操作留下的審計日志進行審查，從而發(fā)現(xiàn)其中的異常行為和攻擊行為，如登錄網(wǎng)站、訪問網(wǎng)絡以及郵件收發(fā)等記錄，該方法可以對用戶的行為進行較為全面的刻畫。文獻［28］提出一個不同類型數(shù)據(jù)融合的典型方法。他們從用戶的工作組屬性出發(fā)定義了不同類型數(shù)據(jù)之間的一致性，之后檢驗用戶不同類型數(shù)據(jù)的一致性，并使用詞頻?逆文檔模型融合用戶對不同類型數(shù)據(jù)上一致性的評分。但該方法依賴于一個假設，即用戶組屬性必須一致，但一般實際情況與該假設恰恰相反。文獻［29］針對現(xiàn)有內(nèi)部威脅發(fā)現(xiàn)檢測模型，將內(nèi)部威脅的各個審計日志要素均納入其中進行考慮。但是該模型概念性太強，沒有實驗依據(jù)，不具有指導意義。文獻［30］提出了一個發(fā)現(xiàn)檢測系統(tǒng)，該系統(tǒng)主要從3 個層次來選擇特征集，提出了基于場景分析的內(nèi)部威脅檢測系統(tǒng)，但是該系統(tǒng)存在較多漏洞，僅針對內(nèi)部信息竊取進行了實驗，其他內(nèi)部威脅的發(fā)現(xiàn)方法并沒有進行實驗驗證。文獻［31］針對不同用戶的角色行為特征進行提取分析，提出一種基于角色異常行為挖掘的發(fā)現(xiàn)檢測方法。根據(jù)序列模式挖掘原理挖掘角色正常行為，使用Knuth Morris Pratt 字符串匹配算法進行發(fā)現(xiàn)，判斷角色行為是否存在異常。結(jié)果表明，該方法可有效對用戶的異常行為進行檢測，同時減少了挖掘時間，并且在異常行為檢測精確度上有所提高。

現(xiàn)有的基于審計日志異常的內(nèi)部威脅發(fā)現(xiàn)檢測方法的難點在于不同類型審計日志數(shù)據(jù)之間的結(jié)合方式。如果只是使用單一類型的審計日志數(shù)據(jù)，則對用戶的網(wǎng)絡行為反映不夠全面，不具有代表性。而如果只對不同數(shù)據(jù)進行簡單拼接，會造成部分特征失效、模型訓練復雜度過高以及模型過擬合等問題，因此相關研究成果不多，現(xiàn)有的研究成果較多集中于基于用戶命令異常的內(nèi)部威脅發(fā)現(xiàn)檢測方法。

1.1.2 基于用戶命令異常的內(nèi)部威脅發(fā)現(xiàn)檢測方法

文獻［32］是基于用戶命令異常檢測方法的較早研究成果，它將用戶的命令序列作為分析對象，分別計算相鄰命令模式出現(xiàn)的概率，新命令與歷史命令的匹配程度來判斷是否屬于異常。在此之后，機器學習算法開始廣泛應用起來［33］，如利用樸素貝葉斯方法、期望最大化算法和支持向量機等。其中文獻［34］提出基于隱馬爾可夫模型的內(nèi)部威脅檢測方法，利用本地應用程序接口建立用戶的正常行為輪廓庫，當有內(nèi)部用戶不符合該庫的行為即可認為存在內(nèi)部威脅。文獻［35］將樸素貝葉斯方法運用到內(nèi)部威脅發(fā)現(xiàn)檢測中，基于網(wǎng)絡分層的方法，提出以同時出現(xiàn)的非鄰接命令來補充用戶命令模型。文獻［36］提出了評價檢測系統(tǒng)，并且指出應當在不同會話層區(qū)分內(nèi)部攻擊者與普通用戶的能力。文獻［37］提出了一種監(jiān)控內(nèi)部用戶系統(tǒng)命令，從用戶的文件和用戶的進程中分析出文件訪問與進程調(diào)用的聯(lián)系，但該方法檢出率不能達到100%。文獻［38］主要通過分析系統(tǒng)窗口主題信息，即打開一個窗口自動記錄主題信息以及窗口進程等信息，從而刻畫出用戶窗口行為特征，從這些窗口行為特征來判斷內(nèi)部用戶是否為攻擊用戶。文獻［39］基于系統(tǒng)用戶的統(tǒng)計數(shù)據(jù)建立異常行為檢測方法，提取出約1 500 個系統(tǒng)屬性特征，從提取的屬性來分析用戶的攻擊行為，從而能夠準確地刻畫出用戶行為。基于用戶命令異常的內(nèi)部威脅發(fā)現(xiàn)檢測方法主要從用戶命令序列或系統(tǒng)命令調(diào)用序列作為數(shù)據(jù)集，運用機器學習建立分類器，但是由于數(shù)據(jù)源過于簡單以及分類器過于簡單，導致多數(shù)方法檢測成功率并不高，檢測效果并不是太好?？傮w來說，基于異常行為的內(nèi)部威脅發(fā)現(xiàn)檢測方法十分依賴于數(shù)據(jù)獲取的準確性和全面性，需要大量現(xiàn)有的內(nèi)部用戶行為數(shù)據(jù)，因此常常受制于實際數(shù)據(jù)采集的困難，在小樣本或無樣本數(shù)據(jù)的情況下，通過對目標系統(tǒng)進行形式化建模的方法發(fā)現(xiàn)檢測內(nèi)部威脅同樣受到業(yè)界的關注。

1.2 基于形式化建模的內(nèi)部威脅發(fā)現(xiàn)檢測方法

基于形式化建模的內(nèi)部威脅發(fā)現(xiàn)檢測方法是指通過建立用戶的正常行為模型，通過對比用戶的現(xiàn)有行為，檢測出偏移該模型的異常行為［40］?；谠撍枷?，學術界很早就提出了攻擊圖、攻擊樹、Petri 網(wǎng)和信息獲取圖等多種形式化的建模工具，這些工具能夠有效地對內(nèi)部網(wǎng)絡信息進行建模，但是在表達能力、適用范圍等方面存在不足［41?43］。近年來，學術界不斷擴展形式化工具的表達能力。文獻［44］考慮了物理信息系統(tǒng)中物理域和信息域的交互關系，以構(gòu)建相應的內(nèi)部威脅發(fā)現(xiàn)模型。文獻［45］將組織架構(gòu)的形式化建模分析與社會學解釋相結(jié)合，并基于高階邏輯構(gòu)建了內(nèi)部威脅發(fā)現(xiàn)檢測分析框架。文獻［46］建立了基于本體的組織物理安全體系弱點發(fā)現(xiàn)方法，用于發(fā)現(xiàn)潛在的內(nèi)部威脅。文獻［47］通過最小化網(wǎng)絡空間安全風險，提出了基于博弈論的內(nèi)部網(wǎng)絡安全防護模型。文獻［48］將物理空間信息與社會網(wǎng)絡信息相關聯(lián)進行建模來發(fā)現(xiàn)可能的內(nèi)部威脅，實現(xiàn)了物理域信息和社會域信息的結(jié)合。文獻［49］構(gòu)建了組織內(nèi)部的動機和機會模型，通過多域聯(lián)合的方式來發(fā)現(xiàn)內(nèi)部威脅。文獻［50?51］則構(gòu)建了層次化的本體集，用于描述內(nèi)部威脅的社會因素和組織因素，從頂層設計層面給出了組織行為和個人因素對內(nèi)部威脅的影響。

為提高模型的泛化性以及對用戶行為正常行為變化的適應性，文獻［52］提出了一種解決方法，在模型中同時部署了K個分類器，采用“K?投票”的形式對用戶行為進行判斷，同時K個分類器實時更新。文獻［53］提出了基于文件使用的內(nèi)部威脅檢測系統(tǒng)，該系統(tǒng)用于檢測攻擊者的攻擊，從用戶查看文件系統(tǒng)以及訪問文件的角度建立用戶的行為模型，一旦有偏離該模型的異常行為即報警。文獻［54］將文件目錄作為用戶任務的抽象，對內(nèi)部用戶的行為進行畫像，通過與樸素貝葉斯方法與馬爾可夫模型對比實驗證明了其內(nèi)部威脅發(fā)現(xiàn)檢測系統(tǒng)要優(yōu)于其他兩種模型。文獻［55］針對用戶遍歷文件系統(tǒng)時的文件時間序列關系，建立了文件目錄圖與用戶訪問圖的行為模型，并且使用樸素貝葉斯分類器檢測文件訪問行為的突然變化。除了上述檢測方法外，文獻［56］基于一個枚舉攻擊方式全集的假設，即用戶在做任何行為前需要說明其使用意圖，任何偏離其使用意圖的行為都被看作可能會發(fā)生內(nèi)部威脅。但現(xiàn)實中不可能枚舉所有的攻擊方式，因此該方法可操作性不強，并且需要存儲用戶意圖集，增加了計算難度，降低了檢測效率。文獻［57］針對內(nèi)部威脅，提出了基于文件內(nèi)容的異常檢測模型，該模型使用文本分割與樸素貝葉斯方法對文件內(nèi)容分類，然后根據(jù)內(nèi)部用戶行為以及內(nèi)部用戶組群間的行為偏移來檢測文件訪問中的異常行為，實驗證明了該模型在保護系統(tǒng)內(nèi)部文件訪問上具有一定的有效性，但是效果完全取決于所用數(shù)據(jù)庫的豐富程度，也需要大量數(shù)據(jù)集的支持。

基于形式化建模檢測方法的另一個重要工作是基于圖方法的內(nèi)部威脅發(fā)現(xiàn)檢測方法［58?59］。文獻［60］在攻擊樹的基礎上提出了關鍵挑戰(zhàn)圖，頂點代表著主機或服務器，邊代表著實體間的通信，每個頂點上標注了相關的資源信息，如用戶名密碼等［61］。用戶訪問行程可建模為一個關鍵挑戰(zhàn)序列，一旦符合關鍵挑戰(zhàn)序列即可能存在內(nèi)部威脅，并且可以計算圖中單獨分支的內(nèi)部攻擊成本。文獻［62］提出了基于圖的檢測發(fā)現(xiàn)算法，該算法的核心是刻畫圖的輸入輸出等變化狀態(tài)。具體可以分4 步：（1）獲取相關的數(shù)據(jù)集，檢測是否存在相關異常；（2）基于異常與相關內(nèi)部用戶創(chuàng)建圖；（3）建立相關數(shù)據(jù)移動圖；（4）學習用戶頻繁子圖模式，以該模式作為正常模式，其余的即為異常模式，依此來發(fā)現(xiàn)內(nèi)部威脅。但該方法檢測效率不高，圖計算在1 000 多個頂點就需耗費72 h 時間，實用性不強。文獻［63］通過設置“設備?操作?屬性”三元組對用戶及對應的角色行為進行樹結(jié)構(gòu)抽象，目的是為了更加全面地刻畫用戶行為；同時還設計了一個3 層內(nèi)部威脅評估系統(tǒng)，每層檢測到異常都會分類為異常行為，并且通過反饋實時更新模型參數(shù)。文獻［64］綜合了攻擊樹與行為樹，提出了活動樹模型，它通過記錄用戶的工作模式，從分支長度對應節(jié)點相似性方面判斷新行為與已有工作模式的相似性，相似性高即為正常內(nèi)部用戶，否則可能存在內(nèi)部威脅。文獻［65］基于內(nèi)部用戶構(gòu)建了貝葉斯網(wǎng)絡攻擊圖，通過計算不同攻擊路徑的概率從而檢測該路徑下內(nèi)部用戶行為的異常程度。文獻［66］在攻擊圖中加入了用戶意圖信息，基于意圖信息構(gòu)建用戶的合法單元操作集合，然后生成用戶最小攻擊樹，通過該模型實時監(jiān)控用戶行為在最小攻擊樹中的進度判斷用戶是否存在內(nèi)部威脅。文獻［67］提出了一種可以改變組織內(nèi)部角色集合的防御思路，即角色動態(tài)調(diào)整算法。該算法首先定義了帶有參數(shù)的目標函數(shù)，通過啟發(fā)式搜索策略和子集結(jié)對操作得到一組候選角色，使用啟發(fā)式函數(shù)計算角色分值，按照角色分值的高低對候選角色集進行選擇，得到一個調(diào)整角色集；進一步，以降低角色冗余度為目標，使用調(diào)整角色集繼續(xù)為用戶重新分配角色，從而得到新的系統(tǒng)角色配置。該模型主要目標是調(diào)節(jié)公司內(nèi)部系統(tǒng)的角色集，從而降低內(nèi)部威脅的發(fā)生概率。

高級持續(xù)威脅（Advanced persistent threat，APT）作為內(nèi)部威脅的一種惡意、故意、有明確目標以及安全威脅持續(xù)時間長等特點，近年來對組織、企業(yè)和政府內(nèi)部網(wǎng)絡的攻擊次數(shù)和危險程度都在不斷增長，而基于形成化建模的發(fā)現(xiàn)檢測方法可以有效發(fā)現(xiàn)此類新型內(nèi)部威脅。文獻［68］綜述了現(xiàn)有APT 攻擊防御框架研究的現(xiàn)狀，并分析網(wǎng)絡流量異常檢測、惡意代碼異常檢測等基于網(wǎng)絡安全大數(shù)據(jù)分析的APT 攻擊檢測技術的研究內(nèi)容與最新進展，并指出現(xiàn)有技術所面臨的挑戰(zhàn)和下一步發(fā)展方向。文獻［69］對APT 攻擊檢測進行了研究，完善了APT 攻擊檢測過程，同時考慮用戶行為特征對APT 攻擊檢測的影響，增強網(wǎng)絡的安全性。文獻［70］為解決攻擊數(shù)據(jù)樣本少、攻擊持續(xù)時間長、準確率低的問題，提出了基于生成式對抗網(wǎng)絡（Generative adversarial networks，GAN）和長短期記憶網(wǎng)絡的APT 攻擊檢測方法。該方法基于GAN 模擬生成攻擊數(shù)據(jù)，為判別模型生成大量攻擊樣本，從而提升模型的魯棒性和準確率。文獻［71］提出了一種基于深度學習和網(wǎng)絡流量的APT 攻擊檢測方法，將網(wǎng)絡流量分析為基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡流，然后從網(wǎng)絡流中重構(gòu)出地址信息，最后利用深度學習模型提取特征，從其他地址中檢測出APT 攻擊地址。文獻［72］提出了一種新的APT 攻擊報警系統(tǒng)。該系統(tǒng)參考美國國家標準與技術研究所的網(wǎng)絡安全框架，是一種實時檢測并響應反惡意軟件的主機入侵檢測系統(tǒng)，可以監(jiān)控異常改變主機配置的行為。實驗證明，該系統(tǒng)能提供一個良好的網(wǎng)絡環(huán)境防止APT 攻擊。文獻［73］提出了一種頻率粒子群算法對APT 攻擊進行分類。該分類方法共有4 個階段，在功能提取階段使用頻率粒子群算法提取最佳特征集，在預測階段采用最佳加權特征方法。同時該方法使用K?means 聚類算法和K近鄰分類器，最后利用混淆矩陣評估該方法的性能并通過實驗給出了結(jié)果。

1.3 其他方法

除了上述有關研究，還有其他諸多內(nèi)部威脅發(fā)現(xiàn)檢測方法［74?76］。首先是外設設備使用檢測。外設設備檢測是研究用戶使用外設設備行為的方法，主要以鼠標與鍵盤為代表。文獻［77］從用戶使用鼠標的角度，通過用戶使用瀏覽器時的鼠標操作，構(gòu)建鼠標行為數(shù)據(jù)庫。該數(shù)據(jù)庫涉及鼠標使用時的光標移動坐標、移動距離等不同特征，并且定義了一個方形光標矩陣，重點記錄了鼠標在移動、點擊以及推拽時的坐標、速度等特征。但該方法數(shù)據(jù)集過少，代表性不強，不能反映真實的內(nèi)部威脅狀況。鍵盤使用檢測有兩種方法：一種是靜態(tài)文本監(jiān)測，即研究用戶輸入同一段文本的行為；另一種是動態(tài)文本監(jiān)測，即收集用戶隨意輸入文本的方式。文獻［78］是一種靜態(tài)文本監(jiān)測方法，從用戶輸入口令中分析用戶輸入方式的變化，并從包含用戶的數(shù)據(jù)集中提取不同的鍵盤輸入特征。但該方法同樣數(shù)據(jù)量過少，代表性不強，不能反映真實的情況。文獻［79］分析了用戶的郵件信息，主要記錄擊鍵行為與時間戳。此類方法的不足在于監(jiān)控文本輸入通常缺乏良好的用戶交互性，但模型卻較為確定。

此外，基于傳統(tǒng)的蜜罐研究也頗有成果。文獻［80?81］針對密標的使用方式提出了諸多改進，主要有：（1）針對內(nèi)部網(wǎng)絡嗅探行為檢測，設計了在網(wǎng)絡內(nèi)大量散布密標的方法；（2）在郵箱中加入有密標的偽郵件，當偽郵件中密標被內(nèi)部攻擊者使用時就會觸發(fā)報警。文獻［82］提出了哈希運算消息認證碼、陷阱主機以及燈塔誘餌3 種密標文件設置方法，能夠在內(nèi)部攻擊者使用密標時獲取攻擊者信息，具有很大的實用性。文獻［83］結(jié)合心理學知識預測內(nèi)部威脅，一方面從設置的誘餌主機中監(jiān)測用戶的行為軌跡，分析其異常程度，同時借助心理學相關知識，計算、檢測每個用戶的攻擊行為傾向以及所處壓力水平。但該方法只使用了心理學知識，并且心理計量測驗過于簡單，不能完整反映用戶的真實心理狀態(tài)。文獻［84］提出了基于攻擊面轉(zhuǎn)移的內(nèi)部威脅檢測方法，具體闡釋了攻擊面以及攻擊面轉(zhuǎn)移的形式化定義，然后分析了攻擊面4 個層次的動態(tài)轉(zhuǎn)移技術，并且針對不同的動態(tài)轉(zhuǎn)移技術進行分析和比較。文獻［85］設計了一個博弈理論框架，該框架是一種由1 個生成器、1 個激勵調(diào)節(jié)器和1 個信任操縱者組成的欺騙機制。該機制以動態(tài)蜜罐配置為例，研究蜜罐配置對蜜罐內(nèi)部威脅的影響。實驗驗證了最優(yōu)的欺騙機制能夠誘導內(nèi)部威脅人員采取相關行動，從而改善內(nèi)部網(wǎng)絡的安全態(tài)勢；實驗也表明防御者總是能從偽造蜜罐中獲益。

傳統(tǒng)的內(nèi)部威脅檢測方法嚴重依賴特征工程，由于底層數(shù)據(jù)的高維性、復雜性、異構(gòu)性、稀疏性、缺乏標記以及內(nèi)部威脅的微妙性和適應性，很難準確捕捉內(nèi)部攻擊用戶和內(nèi)部普通用戶的行為差異。文獻［86］綜述了利用先進的深度學習技術從復雜數(shù)據(jù)中學習特征的方法，為內(nèi)部威脅檢測提供了一種新的思路。與傳統(tǒng)算法相比，深度學習模型可以提高內(nèi)部威脅檢測的性能。文獻［87］提出了一種基于用戶中心機器學習的內(nèi)部威脅檢測的新系統(tǒng)。該系統(tǒng)結(jié)合了無監(jiān)督異常檢測和有監(jiān)督機器學習方法，可以從無標記數(shù)據(jù)和非常少量的標記數(shù)據(jù)中學習，具有較高的檢測率。文獻［88］提出了一種集成深度神經(jīng)網(wǎng)絡技術學習自適應合成技術采樣方法，對內(nèi)部人員進行了整合威脅檢測，解決了數(shù)據(jù)不平衡問題。實驗使用CERT 數(shù)據(jù)集，結(jié)果表明所提出的集成模型提高了模型的可靠性。文獻［89］提出并評估一個貝葉斯網(wǎng)絡架構(gòu)，它可以考慮行為方面與網(wǎng)絡數(shù)據(jù)的串聯(lián)。同時利用機器學習來理解數(shù)據(jù)的結(jié)構(gòu)，根據(jù)內(nèi)部威脅的理論基礎輸入專門制作的特征，并對上述行為特征進行分析。文獻［90］提出一種基于無監(jiān)督機器學習的內(nèi)部威脅異常檢測方法，該方法采用了自動編碼器和隔離森林兩種不同的方法，并探索了帶有時間信息的數(shù)據(jù)的各種表示方式。

文獻［91］分析比較現(xiàn)有的內(nèi)部威脅項目，提出系統(tǒng)中應具有管理員、分析員、工程師和執(zhí)法員4 種實際的系統(tǒng)角色，不同的系統(tǒng)角色在內(nèi)部威脅中發(fā)揮著不同的作用。文獻［92］提出檢測系統(tǒng)應當基于一種智能化的管理機制，通過安全數(shù)據(jù)收集與安全管理的分工合作形成樹形動態(tài)的管理機制，從而對內(nèi)部威脅進行有效預防。文獻［93］提出了在內(nèi)部威脅監(jiān)測系統(tǒng)中使用引導算法，該引導算法用于從大量非標記數(shù)據(jù)集中自動標記出數(shù)據(jù)的類別。文獻［94］主要提出了一種量化方法，該方法根據(jù)內(nèi)部威脅目標的資產(chǎn)重要性權重與受威脅程度，使用相關函數(shù)計算威脅指數(shù)，從而評估內(nèi)部網(wǎng)絡系統(tǒng)的內(nèi)部威脅態(tài)勢。文獻［95］針對內(nèi)部威脅中攻擊圖不確定性導致攻擊圖檢測誤報率過高的問題引入了攻擊圖步驟間的轉(zhuǎn)移概率，通過計算每步變化的概率，進而計算整體攻擊的不確定性。該方法可以有效降低誤報率，但是該方法在概率攻擊圖的構(gòu)建上完全依賴于知識庫，智能化程度不高。

現(xiàn)階段云計算發(fā)展迅速，因此基于云計算的內(nèi)部威脅發(fā)現(xiàn)檢測方法研究也取得了相應的成果。文獻［96］從云計算領域內(nèi)分析了內(nèi)部威脅的不同應對方案。由于在云計算環(huán)境下，多種資源高度融合，因此內(nèi)部威脅可竊取大量用戶信息，將導致更多用戶受到影響和威脅。針對上述問題，提出了云計算服務商與用戶雙方均應采取安全措施應對內(nèi)部威脅，用戶方面實施強健的密碼策略，云計算服務提供商安裝入侵檢測系統(tǒng)和入侵防御系統(tǒng)，并從數(shù)據(jù)冗余備份、認證訪問控制等方面加強安全監(jiān)管［97］。文獻［98］指出，隨著物聯(lián)網(wǎng)技術的發(fā)展，現(xiàn)有的內(nèi)部威脅檢測框架面臨新的安全挑戰(zhàn)。由于攻擊面顯著增大，可能會導致公司內(nèi)部威脅管理方面的風險增大。根據(jù)物聯(lián)網(wǎng)的特點和結(jié)構(gòu)對考慮物聯(lián)網(wǎng)環(huán)境的數(shù)據(jù)源進行研究，結(jié)果表明，對于物聯(lián)網(wǎng)環(huán)境中的內(nèi)部威脅問題，使用網(wǎng)絡和應用層的數(shù)據(jù)源比使用感知層更合適。文獻［99］將云模型應用在內(nèi)部威脅感知中，在基于系統(tǒng)訪問控制關系建立的分層內(nèi)部威脅模型上應用云模型感知算法，對內(nèi)部威脅特征同時進行定性、定量的分析，有效提高了內(nèi)部威脅檢測系統(tǒng)的準確性。文獻［100］針對網(wǎng)絡攻擊持續(xù)高發(fā)的現(xiàn)狀，構(gòu)建了基于隨機博弈的內(nèi)部威脅態(tài)勢檢測發(fā)現(xiàn)模型。該模型將外部威脅情報與系統(tǒng)內(nèi)部威脅事件之間的相似度進行比較，對目標系統(tǒng)進行威脅察覺，在此過程中利用博弈論的思想對系統(tǒng)當前的網(wǎng)絡安全態(tài)勢進行量化，最終實現(xiàn)對內(nèi)部威脅的預測。

1.4 總結(jié)

綜上所述，現(xiàn)有的內(nèi)部威脅發(fā)現(xiàn)檢測方法總體來說有以下幾個共性問題：（1）如何判斷異常行為是內(nèi)部威脅。在基于異常行為的內(nèi)部威脅發(fā)現(xiàn)檢測方法中，檢測出的異常行為有可能就是普通用戶的異常行為，并不存在內(nèi)部威脅，這導致內(nèi)部威脅的發(fā)現(xiàn)檢測難度增大，因此首先要區(qū)分該異常行為是內(nèi)部威脅還是普通存在的異常行為。（2）對內(nèi)部威脅的檢測是否準確全面?，F(xiàn)有研究對內(nèi)部威脅的發(fā)現(xiàn)檢測僅從單一方面考慮，例如僅從用戶的異常行為考慮。實際上影響內(nèi)部威脅的方面有很多，僅從單一方面去判斷是否存在內(nèi)部威脅不能全面地了解內(nèi)部威脅，同時說服力也不夠。（3）真正應用于實際的研究較少。前文所述的內(nèi)部威脅發(fā)現(xiàn)檢測方法，普遍存在效率不高、發(fā)現(xiàn)檢測時間較長等問題，同時還有部分研究僅停留在理論層面，無法在組織機構(gòu)內(nèi)部普遍應用。

2 下一步研究方向

未來內(nèi)部威脅研究需從內(nèi)部異常發(fā)現(xiàn)、更加全面的內(nèi)部威脅檢測以及實際應用3 個方面進行。本文分析未來關鍵技術如下：

（1）更準確的發(fā)現(xiàn)檢測技術。在內(nèi)部威脅的發(fā)現(xiàn)檢測技術中，較為突出的問題就是如何區(qū)分是正常用戶的異常行為還是攻擊用戶的內(nèi)部攻擊行為。而在基于異常行為的內(nèi)部威脅發(fā)現(xiàn)檢測中，上述方法不能對這兩種行為進行有效區(qū)分。因此在下一步研究中，應進一步提高內(nèi)部威脅的判別率，區(qū)分哪些是正常的異常行為，哪些是真正的內(nèi)部威脅。針對該問題，可以將深度學習引入到內(nèi)部威脅的研究中，一方面研究內(nèi)部威脅檢測集成學習方法，如深度學習加多步分類器、深度學習加橫向K投票分類器等；另一方面可以研究內(nèi)部威脅基準模型選擇方法，例如基于用戶自身行為的縱向比較，或基于用戶角色行為的橫向比較等，從而提高內(nèi)部威脅發(fā)現(xiàn)的準確率。未來內(nèi)部威脅檢測還應考慮不同公司機構(gòu)內(nèi)部特點，基于不同領域的業(yè)務特點與組織特點，分析攻擊的薄弱處，提取威脅特征建立多域數(shù)據(jù)的關聯(lián)，實現(xiàn)內(nèi)部威脅檢測的融合分析，有效提高內(nèi)部威脅的檢測率和降低誤報率。

（2）如何應對內(nèi)部威脅與外部威脅的聯(lián)合攻擊行為?，F(xiàn)有的內(nèi)部威脅發(fā)現(xiàn)檢測技術大部分都是基于內(nèi)部人員的攻擊行為進行研究，對象僅為內(nèi)部人員。隨著攻擊手段越來越多樣化，內(nèi)部人員與外部人員聯(lián)合發(fā)動的內(nèi)外部協(xié)同攻擊也時有發(fā)生，在此情況下將更難發(fā)現(xiàn)內(nèi)部的攻擊用戶，攻擊產(chǎn)生的后果更嚴重，導致網(wǎng)絡安全防御的壓力也更大。而現(xiàn)有的研究僅針對內(nèi)部威脅或外部威脅進行發(fā)現(xiàn)檢測，對于兩者聯(lián)合攻擊行為發(fā)現(xiàn)檢測的研究成果較少。由于內(nèi)外部聯(lián)合攻擊可以從內(nèi)部人員的社交關系中去發(fā)現(xiàn)提取，因此可以對內(nèi)部人員采集數(shù)據(jù)，而且數(shù)據(jù)不僅要包括用戶主觀要素，還應包括基社交媒體狀態(tài)，以及歷史檔案、性格分析和心理狀態(tài)等多方面?zhèn)€體特征數(shù)據(jù)，從而有效對內(nèi)部人員的用戶系統(tǒng)調(diào)用行為和社交行為進行刻畫，建立多層監(jiān)視器。同時利用社會工程學對APT 攻擊進行預判，有效解決攻防對抗中信息不對稱的問題，保證系統(tǒng)效率。此外，還可以基于數(shù)據(jù)關聯(lián)方式進行檢測發(fā)現(xiàn)，通過主客觀特征綜合檢測方式，如用戶主客觀行為關聯(lián)圖中異常子圖檢測，或分析主客觀數(shù)據(jù)的使用順序，如先對客觀數(shù)據(jù)異常檢測、然后關聯(lián)可疑用戶、之后通過主觀數(shù)據(jù)行為進行發(fā)現(xiàn)檢測，則可以有效降低誤報率。

（3）更為高效簡單實用的發(fā)現(xiàn)檢測方法?，F(xiàn)有的大部分內(nèi)部威脅發(fā)現(xiàn)檢測技術都存在應用難的問題，即方法實用性不強，效率較低。相反，現(xiàn)有的攻擊技術較為成熟，可供防御者的反應時間較短。如何提高發(fā)現(xiàn)效率，提升防御者反應速度，做到攻擊即被發(fā)現(xiàn)，將是未來內(nèi)部威脅的研究方向之一?，F(xiàn)有方法實時檢測能力差，主要原因是特征分析技術效率較低。因此可以先從內(nèi)部威脅檢測系統(tǒng)發(fā)現(xiàn)威脅信息，提取特征后上傳數(shù)據(jù)庫；然后建立內(nèi)部威脅信息與特征映射方法，比如多層次行為特征文件、哈希行為模式層次文件等，通過建立特征數(shù)據(jù)庫，將威脅特征輸入檢測系統(tǒng)。此時由于有大量內(nèi)部威脅特征的數(shù)據(jù)被清洗、優(yōu)化以及分類，可再針對特征進行二次挖掘，從而發(fā)現(xiàn)內(nèi)部威脅的本質(zhì)特征，提高內(nèi)部威脅的發(fā)現(xiàn)效率。

3 結(jié)束語

隨著科技的不斷發(fā)展，網(wǎng)絡技術的普及使得人們的工作生活變得越來越方便，但隨之而來的網(wǎng)絡安全問題也越來越嚴峻。內(nèi)部威脅是指公司組織內(nèi)部人員發(fā)動的網(wǎng)絡攻擊，具有隱蔽性強、破壞性大的特點，能夠造成比外部威脅更大的損失，因此內(nèi)部威脅也越來越受到研究人員的重視。本文首先分析了內(nèi)部威脅的特征，然后綜述了國內(nèi)外關于內(nèi)部威脅的研究現(xiàn)狀，并指出現(xiàn)有研究雖取得了一定的成果，但仍存在不足：首先異常行為與內(nèi)部威脅方面，現(xiàn)有研究還不能有效區(qū)分普通用戶的異常行為和攻擊用戶的攻擊行為；其次針對內(nèi)部威脅和外部威脅聯(lián)合攻擊的研究不多；最后現(xiàn)有研究應用性較弱，還不能對內(nèi)部威脅進行有效而快速的發(fā)現(xiàn)檢測和防御，確保內(nèi)部網(wǎng)絡信息的安全。通過本文綜述可以得出以下結(jié)論：（1）內(nèi)部威脅危害大、防御難，主要體現(xiàn)在內(nèi)部人員掌握一定的組織知識，可對組織內(nèi)最薄弱的環(huán)節(jié)入手實施內(nèi)部攻擊，同時防御者重心在外部防御上，導致內(nèi)部威脅不易被發(fā)現(xiàn)；（2）通過發(fā)現(xiàn)內(nèi)部用戶的異常行為，可對內(nèi)部威脅實施有效的發(fā)現(xiàn)檢測，但存在異常行為不一定就存在內(nèi)部威脅；（3）通過形式化建模可對用戶行為進行刻畫，當存在偏離模型的可疑行動時，即可觸發(fā)內(nèi)部威脅報警，但如何進一步提高報警的精度是下一步研究的重點方向；（4）隨著內(nèi)外部威脅的聯(lián)合攻擊越來越多，如何應對內(nèi)外部威脅的聯(lián)合攻擊將是下一步研究的主要方向；（5）內(nèi)部威脅的發(fā)現(xiàn)檢測效率問題有待進一步提高，為下一步在組織內(nèi)部大規(guī)模應用打下良好基礎。信息化時代的內(nèi)部威脅越來越嚴重，尤其攻擊手段和攻擊人員的多元化導致內(nèi)部威脅的發(fā)現(xiàn)檢測難度不斷加大，因此要及時加大互聯(lián)網(wǎng)時代內(nèi)部威脅的研究，對更多的組織普及內(nèi)部威脅的危害，建立起既能防御內(nèi)部威脅、又能防御外部威脅的聯(lián)合防御機制，積極應對內(nèi)部威脅帶來的一系列挑戰(zhàn)。