面向內(nèi)部威脅檢測(cè)的用戶(hù)跨域行為模式挖掘方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于信息安全技術(shù)、用戶(hù)行為分析技術(shù)領(lǐng)域,具體涉及一種面向內(nèi)部威脅 檢測(cè)的用戶(hù)跨域行為模式挖掘方法。
【背景技術(shù)】
[0002] 內(nèi)部用戶(hù)行為分析是系統(tǒng)安全領(lǐng)域中一個(gè)重要研究問(wèn)題。近期許多安全事故中, 內(nèi)部用戶(hù)攻擊(Insider Attack)已經(jīng)成為主要原因之一。內(nèi)部用戶(hù)通常指組織機(jī)構(gòu)的內(nèi)部 人員,他們通常是組織機(jī)構(gòu)中信息系統(tǒng)的用戶(hù),如政府雇員、企業(yè)員工等,或者公共服務(wù)的 使用者,如數(shù)字圖書(shū)館的用戶(hù)等。而用戶(hù)或用戶(hù)進(jìn)程在計(jì)算機(jī)系統(tǒng)中的各種活動(dòng)記錄(又稱(chēng) 為用戶(hù)審計(jì)日志)是分析用戶(hù)行為的重要依據(jù),如用戶(hù)的命令執(zhí)行記錄、文件搜索記錄、數(shù) 據(jù)庫(kù)訪(fǎng)問(wèn)記錄、鼠標(biāo)操作等。本發(fā)明中我們將各種用于用戶(hù)行為檢測(cè)的審計(jì)日志產(chǎn)生環(huán)境 統(tǒng)一稱(chēng)為檢測(cè)"±或",如用戶(hù)命令域、數(shù)據(jù)庫(kù)域、文件系統(tǒng)域等。此外,隨著各界對(duì)計(jì)算機(jī)系統(tǒng) 可問(wèn)責(zé)性的重視,系統(tǒng)中檢測(cè)域的種類(lèi)呈現(xiàn)出越來(lái)越多樣化的趨勢(shì)。
[0003] 已有許多工作提出面向內(nèi)部威脅檢測(cè)的用戶(hù)行為分析方法。這些方法通常使用審 計(jì)日志來(lái)分析用戶(hù)在某個(gè)檢測(cè)域的域內(nèi)行為模式,然后基于這些被識(shí)別的用戶(hù)行為模式檢 測(cè)用戶(hù)的異常行為。對(duì)于有技巧的攻擊者,他們能夠?qū)⒐粜袨榍擅畹姆纸鉃槎鄠€(gè)步驟,而 且每步都被偽裝成正常行為。因此當(dāng)惡意用戶(hù)的攻擊行為在不同檢測(cè)域被獨(dú)立分析時(shí),極 大可能被分別識(shí)別為無(wú)害的正常行為。例如,某個(gè)用戶(hù)作為系統(tǒng)開(kāi)發(fā)人員,需要每天登錄一 臺(tái)計(jì)算機(jī)編寫(xiě)多個(gè)源代碼文件。同時(shí)他還作為系統(tǒng)管理員,需要每天登陸多臺(tái)計(jì)算機(jī)進(jìn)行 系統(tǒng)文件查看和配置。因此對(duì)于系統(tǒng)登錄域,該用戶(hù)每天登錄一臺(tái)還是多臺(tái)計(jì)算機(jī)都不算 異常行為;而對(duì)于文件系統(tǒng)域,該用戶(hù)讀寫(xiě)源代碼或系統(tǒng)文件也不算異常行為。因此,當(dāng)該 用戶(hù)每天登錄多臺(tái)計(jì)算機(jī)并隱蔽地收集敏感數(shù)據(jù)時(shí),各域獨(dú)立檢測(cè)將不易發(fā)現(xiàn)其異常行 為。因此,檢測(cè)系統(tǒng)需要具有集成不同檢測(cè)域和分析用戶(hù)跨域行為的能力。
[0004] 現(xiàn)有技術(shù)中的用戶(hù)單域行為分析方法以及用戶(hù)跨域行為分析方法,其存在的缺陷 如下:
[0005] 1)用戶(hù)單域行為分析方法。用于異常行為檢測(cè)的用戶(hù)單域行為模式分析方法通常 依賴(lài)于某個(gè)用戶(hù)屬性來(lái)構(gòu)建用戶(hù)在某個(gè)檢測(cè)域的域內(nèi)正常行為模式,如用戶(hù)標(biāo)示、用戶(hù)角 色等 。Ashish等人(Ashish Kamra,Evimaria Terzi ,and Elisa Bertino.Detecting anomalous access patterns in relational databases. The VLDB Journal 17,5 (August 2008),1063-1077.)提出分別基于監(jiān)督式學(xué)習(xí)和非監(jiān)督式學(xué)習(xí)的用戶(hù)數(shù)據(jù)庫(kù)訪(fǎng) 問(wèn)模式分析方法。基于監(jiān)督式學(xué)習(xí)的方法根據(jù)用戶(hù)角色,使用樸素貝葉斯模型為每類(lèi)角色 構(gòu)建正常的數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)模式。而基于非監(jiān)督式學(xué)習(xí)的方法在用戶(hù)角色未知的情況下,根據(jù) 用戶(hù)標(biāo)示,使用標(biāo)準(zhǔn)的聚類(lèi)技術(shù)分別為每個(gè)用戶(hù)構(gòu)建典型的數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)行為,例如將規(guī)模 最大的聚類(lèi)作為用戶(hù)的正常行為模式。Sunu等人(Sunu Mathew,Michalis Petropoulos, Hung Q.Ngo,Shambhu J.Upadhyaya.A data-centric approach to insider attack detection in database systems. Recent Advances in Intrusion Detection,13th International Symposium, RAID 2010, Ottawa, Ontario , Canada, September 15-17, 2010·Proceedings·)和Mohammad等人(Mohammad Saiful Islam,Mehmet Kuzu,and Murat Kantarcioglu.A Dynamic Approach to Detect Anomalous Queries on Relational Databases. In Proceedings of the 5th ACM Conference on Data and Application Security and Privacy(CODASPY,15) ·San Antonio,Texas,USA.2015· 245-252.)同樣基 于用戶(hù)角色,分別使用k-means聚類(lèi)技術(shù)和隱馬爾科夫模型構(gòu)建用戶(hù)數(shù)據(jù)庫(kù)查詢(xún)行為模式。 而Roy等人(Roy A.Maxion,Tahlia N.Townsend.Masquerade Detection Using Truncated Command Lines. International Conference on Dependable Systems and Networks,23-26June 2002,Bethesda,MD,USA,Proceedings: 219-228·)和Kholidy等人(Kholidy,H.A.; Baiardi,F(xiàn).;Hariri,S,DDSGA:A Data-Driven Semi-Global Alignment Approach for Detecting Masquerade At tacks Dependable and Secure Computing , IEEE Transactions on,On page(s): 164_178Volume :12, Issue :2,March-April 12015.)根據(jù)用 戶(hù)標(biāo)示,分別使用樸素貝葉斯文本分類(lèi)方法和半全局排列算法構(gòu)建用戶(hù)個(gè)性化的命令執(zhí)行 序列模式。Nan 等人(Nan Zheng , Aaron Paloski , Haining Wang. An Efficient User Verification System via Mouse Movements.Proceedings of the 18th ACM Conference on Computer and Communications Security,CCS 2011,Chicago,Illinois, USA,Oct〇ber 17-21,2011:139-150.)根據(jù)用戶(hù)標(biāo)示,使用支持向量機(jī)分類(lèi)器構(gòu)建用戶(hù)特征 的鼠標(biāo)移動(dòng)模式。與以上工作不同,本發(fā)明不依賴(lài)任何領(lǐng)域知識(shí)和用戶(hù)背景,完全基于數(shù)據(jù) 驅(qū)動(dòng)方式實(shí)現(xiàn)用戶(hù)多域行為模式分析。其次,本發(fā)明考慮用戶(hù)多域行為的多元模式分析,而 以上方法通常只是分析用戶(hù)單一的正常行為模式。
[0006] 2)面向多檢測(cè)域的系統(tǒng)威脅檢測(cè)技術(shù)
[0007] 基于多域的系統(tǒng)威脅檢測(cè)工作主要集中在各域檢測(cè)結(jié)果的融合技術(shù)。Marcus等人 (Marcus A.Maloof and G.D.Stephens.ELICIT:A system for detecting insiders who violate need-to-know. In RAID,pages 146-166,2007.)提出一種通過(guò)融合多域用戶(hù)行為 檢測(cè)結(jié)果的內(nèi)網(wǎng)威脅檢測(cè)方法。該工作在內(nèi)網(wǎng)中收集了文件共享、http訪(fǎng)問(wèn)、郵件和文件傳 輸?shù)榷喾N用戶(hù)事件,然后基于領(lǐng)域知識(shí)分別為每類(lèi)事件的每個(gè)屬性設(shè)計(jì)一個(gè)檢測(cè)器,并設(shè) 計(jì)了一個(gè)貝葉斯推理網(wǎng)絡(luò)模型,用于綜合所有檢測(cè)器的報(bào)警信息來(lái)給用戶(hù)行為評(píng)分。雖然 該方法涉及多個(gè)檢測(cè)域,但是它分別檢測(cè)用戶(hù)事件各個(gè)屬性,因此在檢測(cè)方面仍然采用獨(dú) 立的用戶(hù)單域行為檢測(cè)的方式。其次,該方法需要依賴(lài)一定領(lǐng)域知識(shí)和已知異常模式來(lái)輔 助設(shè)計(jì)各個(gè)檢測(cè)器,因此不能檢測(cè)未知的用戶(hù)異常行為。Federico等人(F.Maggi and S.Zanero. On the use of different statistical tests for alert correlation. In RAID,pages 167-177,2007.)提出一種面向網(wǎng)絡(luò)入侵檢測(cè)的多域報(bào)警關(guān)聯(lián)技術(shù)。該工作設(shè) 計(jì)了一個(gè)將報(bào)警事件流和時(shí)間戳刻畫(huà)為隨機(jī)變量的報(bào)警產(chǎn)生統(tǒng)計(jì)模型,并使用統(tǒng)計(jì)測(cè)試方 法構(gòu)建了用于區(qū)分相關(guān)報(bào)警和無(wú)關(guān)報(bào)警的準(zhǔn)則。雖然該方法不依賴(lài)領(lǐng)域知識(shí)和已知異常模 式,但是仍然需要基于各域獨(dú)立的報(bào)警結(jié)果來(lái)檢測(cè)網(wǎng)絡(luò)異常。與以上工作不同,本發(fā)明在用 戶(hù)行為特征層面融合用戶(hù)多域行為,能夠集中分析用戶(hù)多域行為,并且不依賴(lài)于領(lǐng)域知識(shí) 和已知模式,完全采用數(shù)據(jù)驅(qū)動(dòng)的方式進(jìn)行用戶(hù)行為模式分析。
【發(fā)明內(nèi)容】
[0008] 本發(fā)明的目標(biāo)是提出一種面向多檢測(cè)域場(chǎng)景的用戶(hù)跨域行為模式挖掘方法。用戶(hù) 跨域行為模式包含了用戶(hù)域內(nèi)行為模式,以及各域內(nèi)行為模式之間的關(guān)聯(lián)模式。本發(fā)明應(yīng) 該能夠:
[0009] 1)構(gòu)建用戶(hù)多域行為描述。由于各域用戶(hù)審計(jì)日志相對(duì)獨(dú)立的產(chǎn)生,它們通常在 頻率、數(shù)據(jù)均勻性等方面具有一定差異。因此,分析方法應(yīng)該能夠融合異質(zhì)的多域?qū)徲?jì)日 志,并刻畫(huà)用戶(hù)多域行為。
[