面向内部威胁检测的用户跨域行为模式挖掘方法
【技术领域】
[0001] 本发明属于信息安全技术、用户行为分析技术领域,具体涉及一种面向内部威胁 检测的用户跨域行为模式挖掘方法。
【背景技术】
[0002] 内部用户行为分析是系统安全领域中一个重要研究问题。近期许多安全事故中, 内部用户攻击(Insider Attack)已经成为主要原因之一。内部用户通常指组织机构的内部 人员,他们通常是组织机构中信息系统的用户,如政府雇员、企业员工等,或者公共服务的 使用者,如数字图书馆的用户等。而用户或用户进程在计算机系统中的各种活动记录(又称 为用户审计日志)是分析用户行为的重要依据,如用户的命令执行记录、文件搜索记录、数 据库访问记录、鼠标操作等。本发明中我们将各种用于用户行为检测的审计日志产生环境 统一称为检测"±或",如用户命令域、数据库域、文件系统域等。此外,随着各界对计算机系统 可问责性的重视,系统中检测域的种类呈现出越来越多样化的趋势。
[0003] 已有许多工作提出面向内部威胁检测的用户行为分析方法。这些方法通常使用审 计日志来分析用户在某个检测域的域内行为模式,然后基于这些被识别的用户行为模式检 测用户的异常行为。对于有技巧的攻击者,他们能够将攻击行为巧妙的分解为多个步骤,而 且每步都被伪装成正常行为。因此当恶意用户的攻击行为在不同检测域被独立分析时,极 大可能被分别识别为无害的正常行为。例如,某个用户作为系统开发人员,需要每天登录一 台计算机编写多个源代码文件。同时他还作为系统管理员,需要每天登陆多台计算机进行 系统文件查看和配置。因此对于系统登录域,该用户每天登录一台还是多台计算机都不算 异常行为;而对于文件系统域,该用户读写源代码或系统文件也不算异常行为。因此,当该 用户每天登录多台计算机并隐蔽地收集敏感数据时,各域独立检测将不易发现其异常行 为。因此,检测系统需要具有集成不同检测域和分析用户跨域行为的能力。
[0004] 现有技术中的用户单域行为分析方法以及用户跨域行为分析方法,其存在的缺陷 如下:
[0005] 1)用户单域行为分析方法。用于异常行为检测的用户单域行为模式分析方法通常 依赖于某个用户属性来构建用户在某个检测域的域内正常行为模式,如用户标示、用户角 色等 。Ashish等人(Ashish Kamra,Evimaria Terzi ,and Elisa Bertino.Detecting anomalous access patterns in relational databases. The VLDB Journal 17,5 (August 2008),1063-1077.)提出分别基于监督式学习和非监督式学习的用户数据库访 问模式分析方法。基于监督式学习的方法根据用户角色,使用朴素贝叶斯模型为每类角色 构建正常的数据库访问模式。而基于非监督式学习的方法在用户角色未知的情况下,根据 用户标示,使用标准的聚类技术分别为每个用户构建典型的数据库访问行为,例如将规模 最大的聚类作为用户的正常行为模式。Sunu等人(Sunu Mathew,Michalis Petropoulos, Hung Q.Ngo,Shambhu J.Upadhyaya.A data-centric approach to insider attack detection in database systems. Recent Advances in Intrusion Detection,13th International Symposium, RAID 2010, Ottawa, Ontario , Canada, September 15-17, 2010·Proceedings·)和Mohammad等人(Mohammad Saiful Islam,Mehmet Kuzu,and Murat Kantarcioglu.A Dynamic Approach to Detect Anomalous Queries on Relational Databases. In Proceedings of the 5th ACM Conference on Data and Application Security and Privacy(CODASPY,15) ·San Antonio,Texas,USA.2015· 245-252.)同样基 于用户角色,分别使用k-means聚类技术和隐马尔科夫模型构建用户数据库查询行为模式。 而Roy等人(Roy A.Maxion,Tahlia N.Townsend.Masquerade Detection Using Truncated Command Lines. International Conference on Dependable Systems and Networks,23-26June 2002,Bethesda,MD,USA,Proceedings: 219-228·)和Kholidy等人(Kholidy,H.A.; Baiardi,F.;Hariri,S,DDSGA:A Data-Driven Semi-Global Alignment Approach for Detecting Masquerade At tacks Dependable and Secure Computing , IEEE Transactions on,On page(s): 164_178Volume :12, Issue :2,March-April 12015.)根据用 户标示,分别使用朴素贝叶斯文本分类方法和半全局排列算法构建用户个性化的命令执行 序列模式。Nan 等人(Nan Zheng , Aaron Paloski , Haining Wang. An Efficient User Verification System via Mouse Movements.Proceedings of the 18th ACM Conference on Computer and Communications Security,CCS 2011,Chicago,Illinois, USA,Oct〇ber 17-21,2011:139-150.)根据用户标示,使用支持向量机分类器构建用户特征 的鼠标移动模式。与以上工作不同,本发明不依赖任何领域知识和用户背景,完全基于数据 驱动方式实现用户多域行为模式分析。其次,本发明考虑用户多域行为的多元模式分析,而 以上方法通常只是分析用户单一的正常行为模式。
[0006] 2)面向多检测域的系统威胁检测技术
[0007] 基于多域的系统威胁检测工作主要集中在各域检测结果的融合技术。Marcus等人 (Marcus A.Maloof and G.D.Stephens.ELICIT:A system for detecting insiders who violate need-to-know. In RAID,pages 146-166,2007.)提出一种通过融合多域用户行为 检测结果的内网威胁检测方法。该工作在内网中收集了文件共享、http访问、邮件和文件传 输等多种用户事件,然后基于领域知识分别为每类事件的每个属性设计一个检测器,并设 计了一个贝叶斯推理网络模型,用于综合所有检测器的报警信息来给用户行为评分。虽然 该方法涉及多个检测域,但是它分别检测用户事件各个属性,因此在检测方面仍然采用独 立的用户单域行为检测的方式。其次,该方法需要依赖一定领域知识和已知异常模式来辅 助设计各个检测器,因此不能检测未知的用户异常行为。Federico等人(F.Maggi and S.Zanero. On the use of different statistical tests for alert correlation. In RAID,pages 167-177,2007.)提出一种面向网络入侵检测的多域报警关联技术。该工作设 计了一个将报警事件流和时间戳刻画为随机变量的报警产生统计模型,并使用统计测试方 法构建了用于区分相关报警和无关报警的准则。虽然该方法不依赖领域知识和已知异常模 式,但是仍然需要基于各域独立的报警结果来检测网络异常。与以上工作不同,本发明在用 户行为特征层面融合用户多域行为,能够集中分析用户多域行为,并且不依赖于领域知识 和已知模式,完全采用数据驱动的方式进行用户行为模式分析。
【发明内容】
[0008] 本发明的目标是提出一种面向多检测域场景的用户跨域行为模式挖掘方法。用户 跨域行为模式包含了用户域内行为模式,以及各域内行为模式之间的关联模式。本发明应 该能够:
[0009] 1)构建用户多域行为描述。由于各域用户审计日志相对独立的产生,它们通常在 频率、数据均匀性等方面具有一定差异。因此,分析方法应该能够融合异质的多域审计日 志,并刻画用户多域行为。
[