没有合适的资源?快使用搜索试试~ 我知道了~
一种无监督的窃密攻击及时发现方法.docx
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 149 浏览量
2022-06-10
14:22:15
上传
评论
收藏 1.14MB DOCX 举报
温馨提示
试读
24页
一种无监督的窃密攻击及时发现方法.docx
资源推荐
资源详情
资源评论
摘要近年来,窃密攻击成为了最严重的网络安全威胁之一 .除了恶意
软件,人也可以成为窃密攻击的实施主体,尤其是组织或企业的内部
人员.由人实施的窃密很少留下明显的异常痕迹,给真实场景中攻击的
及时发现和窃密操作的分析还原带来了挑战.提出了一个方法,将每个
用户视为独立的主体,通过对比用户当前行为事件与其历史正常行为
的偏差检测异常,以会话为单元的检测实现了攻击发现的及时性,采
用无监督算法避免了对大量带标签数据的依赖,更能适用于真实场景.
对算法检测为异常的会话,进一步提出事件链构建方法,一方面还原
具体窃密操作,另一方面通过与窃密攻击模式对比,更精确地判断攻
击.在卡内基梅隆大学的 CERT 内部威胁数据集上进行了实验,结果达
到 99%以上的准确率,且可以做到无漏报、低误报,证明了方法的有
效性和优越性.
关键词窃密攻击发现;用户事件;内部威胁检测;无监督算法;聚类;
事件链
窃密攻击是企业和组织都正在面临的严峻问题,威胁着知识产权
和机密数据的安全.窃密攻击可以由外部攻击者投递的恶意软件实施,
也可以由内部人员实施,即内部威胁.根据 Verizon 统计的数据
[1]
,大
约 30%的数据泄露是由内部人员造成的.Ponemon 研究所 2020 发布
的《内部威胁成本全球报告》
[2]
也显示,由内部威胁造成的数据泄露成
本在 2 年间增长了 31%,达到 1 000 余万美元.内部人员可能出于受
贿、将要离职等原因窃取公司数据,由于内部人员更加熟悉企业内部
的部门架构、内网环境和安全策略,并且拥有一定的内部计算机访问
权限,因此带来的威胁更大.
在攻击检测和发现领域已经有很多研究成果.入侵检测和恶意软件
检测是典型的方法,但是在内部人员窃密攻击检测方面存在缺陷.通常,
在窃密攻击尤其是由人实施的窃密攻击中,很少有明显的异常行为,
而是由一系列正常的操作构成,如文件、网络和电子邮件操作等,并
且很少使用恶意软件,因此不会被入侵检测系统触发警报,传统的检
测方法难以生效.另外,存在一些策略上的解决方案,例如安全控制策
略、数据防泄露等,但仅可以防范未授权的访问.相反,内部人员窃密
是一系列的用户行为事件(后文简称“用户事件”),因此,利用用户事件
进行攻击发现值得研究.
现有的内部威胁检测方法更关注恶意内部人员检测,而不是攻击
发现.很多工作从用户长期完整的事件日志中提取特征,然后通过基于
统计学或机器学习的方法,将正常用户和恶意用户进行分类,从而实
现恶意人员检测.但这类方法需要大量带标签的数据作为训练集,且会
造成攻击发生和攻击发现之间的时间滞后性.另一种内部威胁检测方法
是基于规则的,依赖于专家知识,且需要人工更新规则来避免攻击者
刻意的伪装和策略转换.目前,很多研究试图采用深度学习技术以实现
更智能的内部人员攻击检测,但这也需要大量的数据,且会以攻击发
现的及时性作为代价.
本文设计并实现了一个窃密攻击及时发现方法.我们关注用户事件
从而解决由人实施的攻击,尤其是内部人员威胁.为了攻击发现的及时
性,以会话为单位进行用户事件日志的分析,会话即用户从登入计算
机到登出计算机的阶段.另外,由于在真实的场景中很难获得大量的带
标签数据,本文利用无监督算法进行异常检测.同时,我们针对的是攻
击发现而不是恶意内部人员检测.更具体地说,发现什么人在什么时候
做了什么,而不只发现是什么人做的.本文主要贡献有 4 个方面:
1) 提出利用用户事件发现攻击行为,基于用户行为习惯构建行为
模式,以会话为单位,通过比较用户当前行为与历史行为的差异实现
异常检测,并加入了一个动态更新机制以适应用户可能的习惯变化;
2) 对于无法与正常行为模式匹配的异常事件序列,利用无监督算
法进行检测,对每一个当前的事件序列进行处理以实现攻击发现的及
时性;
3) 对于算法检测为异常的会话,进行事件链的构建以还原具体的
恶意窃密操作,并进行更精确的攻击判断;
4) 进行了实验比较不同算法的效果,同时证明了方法的有效性.
1 相关工作
很多研究人员提出了针对不同场景的攻击检测和发现方法.随着攻
击规模和复杂度的提高,所带来的挑战也越来越严峻.尤其是对于窃密
攻击,因其很少有明显的异常行为,更加难以发现.
事件起源追踪法是目前的研究热点,通过监控并分析系统中的所
有实体及事件来检测攻击,并构建攻击事件链.有些研究聚焦事件起源
关系的捕获和记录,通过改进系统级进程启动和中断追踪机制实现更
全面、高效的事件起源信息捕获
[3-6]
.利用细粒度的起源信息进行事件间
因果关系分析从而检测攻击也是一个研究重点.文献[7]提出利用进程、
文件等实体间的交互信息,在起源图上随机游走并计算异常分数,从
而发现可疑的事件路径.文献[8]设计了 3 种属性来描述一个事件的优
先级,包括稀有度、扇出度和数据流终止,以进行及时的异常事件链
构建.由于系统中事件数量庞大,起源图可能会非常错综复杂,称为依
赖关系爆炸问题.文献[9]提出了 HOLMES,通过评估依赖关系的强弱
来减少不重要的事件.另一个方法 UNICORN
[10]
构建了一个可增量更新、
固定大小的图形数据结构,以跟踪系统的整个起源历史并检测攻击.然
而,这些系统都关注进程级的事件.
内部威胁和商业间谍是窃密攻击的常见类型,这 2 种攻击都是由
人而不是程序执行的.因此,需要关注利用用户事件的攻击发现.传统的
方法是从用户行为日志中提取特征,利用统计方法、机器学习或深度
学习算法进行异常分析.一般来说,特征包括基于频率、基于时间、基
于序列和基于属性等
[11-14]
.由于用户事件序列可以看作一个事件链,因此
隐马尔可夫模型可以用于攻击检测
[15-16]
.文献[17]采用了多种机器学习算
法,包括逻辑回归、随机森林和神经网络等来识别内部威胁.Jiang 等
人
[18]
提出了一种将用户之间的特征和属性刻画成图的图卷积网络
(graph convolutional network, GCN)模型.文献[19]将特征转化为
灰度图像,并通过预先训练的深度卷积神经网络进行图像分类,检测
恶意用户.近年来,为了提高方法的自动化程度,针对特征自动学习出
现 了 一 些 研 究 成 果 . 利 用 自 然 语 言 处 理 (natural language
processing, NLP)算法 Word2Vec 将行为日志转换为向量,通过向
量之间的距离来度量事件之间的依赖关系是近年来备受关注的方法
[20-
22]
.Liu 等人
[23-24]
提出了 4W(‘who’,‘when’,‘where’,‘what’)句子模
板将每个事件转换成文本,然后使用 Word2Vec 将每个事件转换成向
量.另一种方法是使用长短期记忆网络(long short-term memory,
LSTM)学习用户行为并提取特征,将这些特征作为卷积神经网络
(convolutional neural network, CNN)分类器的输入
[25]
.然而,这些
方法依赖于一定数量的数据或标签,不能很好地适用于真实的内网场
景和及时的攻击发现需求.
本文针对现有研究存在的问题进行了改进.1)仅基于行为日志进行
分析,保证了方法的通用性;2)利用当前而非长期累计的事件日志来
发现攻击,保证了攻击发现的及时性;3)利用无监督算法进行检测,
无需借助大量带标签数据训练模型,保证了方法的实际意义;4)能够
构建可视的事件链以还原具体恶意操作,有助于攻击分析、溯源和取
证.表 1 对比并展示了本文方法如何优于最新的其他研究工作.
Table 1 Comparison with Related Work
表
1
与相关研究工作的对比
剩余23页未读,继续阅读
资源评论
罗伯特之技术屋
- 粉丝: 3648
- 资源: 1万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功