信息系統內部威脅檢測技術研究①

王振輝,王振鐸,姚全珠

1(西安翻譯學院 工程技術學院,西安 710105)

2(西安思源學院 電子信息工程學院,西安 710038)

3(西安理工大學自動化與信息工程學院,西安 710043)

隨著云計算、物聯網、大數據技術廣泛應用,基于互聯網平臺的企業信息系統蓬勃發展,隨之而來的各種網絡攻擊造成的數據泄露問題時有發生.雖然企業信息系統受到內部威脅數量數量上遠不及黑客造成的外部攻擊,但由于其具有隱蔽性強、危害性大、難于抵御、難管理和攻擊主體、攻擊手段多元化的特點,造成的損失和危害性相對外部威脅更大.Verizon發布的《2017年數據泄露調查報告》稱,近1/4的數據泄露是由于企業內部人員造成的,內部威脅逐漸成為數據泄露的主要原因之一[1].后斯諾登時代,內部威脅既危害國家安全,也造成企業關鍵業務數據外泄[2].2018年內部威脅對許多知名企業造成了難以置信的破壞.例如,Google+新漏洞致5250萬用戶數據泄露,將提前關閉.美國SunTrust銀行一名離職員工盜取了超過150萬名客戶的數據,并將其賣給了一個犯罪組織.上述內部威脅造成組織數據泄露事件再次為企業信息安全敲響了警鐘.

與外部威脅相比,由于企業內部的員工更容易通過他們的訪問特權和工作便利對企業的信息系統造成威脅,并且內部員工的動機往往更加強烈,相比外部威脅更不易理解和檢測.移動互聯網、云托管技術的廣泛應用使得企業信息系統在管理方式、通信方式,操作方式實現了便利化和多元化,同時也擴大了內部威脅潛力和范圍,增加了追溯和定位網絡攻擊的難度[3,4].如何應對新技術下企業員工的內部威脅行為,特別是內部用戶冒名操作和越權操作等資源濫用行為,已成為當前企業信息化應用中亟待解決的重點和難點問題.

1 國內外相關研究成果

目前國內外針對內部威脅的理論研究已取得了不少研究成果.從研究領域將內部威脅研究熱點歸結為內部威脅模型研究、主觀要素研究、客觀要素研究及其它研究.主要檢測技術手段分別有5種：(1)用戶命令檢測[5]；(2)基于生物特征的身份認證[6,7]；(3)數據庫審計和日志技術[8]；(4)基于用戶行為檢測[9]；(5)強制訪問控制技術[10]；(6)基于大數據和機器學習理論的內部威脅檢測[11,12].

Nurse等總結引起內部威脅多方面因素,提出了內部用戶攻擊行為的框架,并對用戶動機和心理的因素進行了研究[13].Prati等通過人臉特征的身份驗證和KNN用戶分類算法確定可能的內部威脅,存在較大誤報率[14].郭淵博等構建了一個基于行為畫像的內部威脅檢測框架,將局部描寫與全局預測相結合,提高了檢測準確率,但檢測系統性能未進行定量分析[15].

上述方法,主要是學術性研究成果,大多采用基于仿真試驗數據來驗證方法的有效性.更多網絡安全公司采用訪問控制和行為審計技術相結合的方法來進行防御和檢測.國外比較著名的產品有以色列的Imperva,IBM的Guardium,其功能強大,但價格昂貴、安全策略配置復雜,遵循國外審計規范,串聯部署,英文界面操作,需要專門的DBA.所以,有一定有用性,但缺乏通用性和實用性,大部分對于國內用戶有實用價值的審計信息被過濾,從而影響了系統安全檢測效果.國內比較出眾的產品有“安華金和”、“安恒”等,這些數據庫審計產品是通過安全操作員手工設置安全監控策略實現的.制定審計策略對于安全人員來說是一項艱巨的挑戰,手工設置對應每個用戶的完備的安全策略是幾乎不可能完成的任務,大多數用戶往往是只配置了少量的規則.另外由于SQL語句的靈活性,安全策略很難跟上SQL語句的變化,導致審計策略無法及時更新.而沒有完備的安全策略,數據庫審計產品只能起到記錄器的作用,僅用做進行事后查證的工具,無法對風險進行實時監控和預警.

2 本文主要研究工作

在分析研究內部威脅現有研究成果基礎上,提出采用主客體分層混合模型,基于用戶行為分析技術的內部威脅檢測框架.從用戶操作、主體、客體、權限等多因子檢測技術分析用戶行為來構建內部威脅檢測系統,滿足企業內部威脅檢測“事前檢測、事中控制和事后審計”的管理需求.為保證功能、性能及可擴展性要求,使用中間件技術防止企業內部數據泄露.通過安全中間件技術的應用研究,對用戶異常行為采用規則、關鍵詞、正則表達式,提高檢測準確率、降低誤報率.幫助企業和組織保護關鍵業務數據.克服目前已有研究模型過度依賴經驗數據和大數據分析技術實時性不足的缺點,保證檢測行為的客觀性,實時性和準確性.

3 內部威脅檢測框架設計

3.1 設計思想

內部威脅發生在從用戶登錄到登出的會話全周期,有必要進行全過程管理,按照“事前預防、事中檢測、事后補救”策略和微管理理念進行檢測框架的研究,采用組件化、松耦合、易整合、易擴展的微服務框架進行設計.

3.1.1 檢測模型

模型研究是研究的基礎和檢測框架的基石.目前內部檢測安全模型有主體模型和客體模型兩種.主體模型以SKRAM模型為主,客體模型以CMO模型為主.內部人員的主體特征提取受主觀因素影響大,主體特征量化準確度較低,采用定性分析又使得主體特征模糊.其次,用戶行為模式的偶然變化也將導致誤報事件的發生.相反,客體模型則充分借鑒了應對外部威脅的成熟策略和技術,采用細粒度的分層量化,對企業信息系統中的內部威脅行為進行了劃分,克服了主體模型中主體特征難以量化的缺點.然而,客體模型中由于忽略了內部威脅感知對主體行為特征的檢測,所以難以判斷用戶的威脅行為是外部攻擊還是內部威脅.為充分發揮兩種模型的優點,將內部威脅的主客觀要素融合,提出了一個主客體檢測的內部威脅框架,采用分層技術提高框架的復用性和可擴展性.

3.1.2 Agent取證技術

Agent是應用在分布式網絡系統具有自主性、交互性、反應性、主動性的可以自主發揮作用的“智能體”,實現在Internet環境下通過信息找人目標[16].其自治性、社交能力、動態反應能力和預動能力使其廣泛應用于信息安全領域,尤其是分布式網絡下入侵檢測方面成果顯著.通過在被監控應用所在的主機上面,安裝小的Agent代理軟件,實現對數據的采集和管理.

Internet環境的開放性、動態性、即時性和不可預測性使得在其之上的系統能夠實時感知環境的變化,并通過調整自身的結構和行為來適應環境的變化,就需要更高的系統自適應能力.所有可以把檢測系統中自主運行的功能單元抽象成Agent,整個系統由多個Agent組成的系統.

3.1.3 數據驅動的檢測技術

用戶是問題的起因,也是威脅產生的主體.就企業而言,用戶行為中冒名登錄和越權操作是內部威脅的主要類型,其本質威脅是用戶所擁有的高級權限.從用戶行為分析UBA技術檢測攻擊行為有兩種結果[17].一是與用戶當前操作行為與日常正常行為差異較大,這種情況可以直接認定為異常行為.二是與用戶當前操作行為與用戶日常正常行為差異較小,可能會間接對行為正常模式產生負面影響.因此,對偽裝攻擊的檢測和用戶正常行為模式的干擾檢測也要考慮.通常異常模式是一些小的行為模式,因為用戶攻擊頻度會遠小于其正常行為序列.

惡意內部用戶與被利用的偽裝對象在行為模式上存在一定程度的差異.首先,兩個用戶在企業中的崗位、技能、滿意度等背景存在差異.其次,惡意用戶的目的是竊取核心數據,發動系統攻擊,而被利用對象的行為則圍繞自身業務行為.所以,兩者在使用企業信息系統的習慣和操作方式及流程上會有一定程度的不同.

在內部威脅檢測過程中,我們可以設定一個用戶異常行為模式閾值來區分用戶正常行為模式和異常行為模式.偏離該閾值過多則可能是攻擊行為.例如：時間段操作次數大大超過日常基線或操作業務偏離權限定義的業務功能.

3.2 分層檢測框架

基于“事前檢測、事中控制、事后審計”的檢測和防護策略和微管理理念實現預防—阻止—檢測—告警目的.設計了具有用戶身份識別,用戶操作行為檢測,異常行為分析和審計追蹤能力的內部威脅檢測系統框架.

從邏輯結構上該系統分為4層：第一層是數據采集層,通過網絡通信使用Agent客戶端代理程序或安全插件獲取用戶操作數據；第二層是數據分析層,將用戶操作行為數據進行異常行為分析,確定是否是攻擊行為,進行實時干預；第三層是數據存儲層,將用戶行為數據和分析數據存入用戶日志和系統日志,便于日后審計和追溯；第四層數據表示層,將日志以統計報表等用戶定制形式展示給系統安全員.

3.3 訪問控制邏輯

內部威脅檢測系統中核心要素有：主體(企業內部用戶)、客體(表、視圖、存儲過程、記錄、字段等)和操作行為控制矩陣.操作行為控制矩陣用于控制主體對客體的訪問行為.中間件檢測系統根據業務數據安全等級實施字段級和行級細粒度訪問控制,按照多級安全系統bell-lapadula模型中的安全規則制定強制訪問控制原則決定主客體安全級別和主體對客體的訪問權限.

內部威脅檢測系統數據采集器接收用戶行為數據和SQL請求,先進行SQL語句解析,檢查敏感詞匯,避免跨站腳本攻擊和SQL注入等已知攻擊漏洞,起到事前檢測預防作用.其次,從用戶行為數據中獲取用戶賬號、密碼、使用設備MAC、IP地址等信息調用身份識別模塊對用戶身份進行驗證,分析出登錄用戶身份,獲得用戶所在部門,崗位,角色的信息,減少因為工作環境改變而引起的行為變化對異常檢測的影響.然后,基于角色從控制權限列表ACL中找到其對應正常操作行為序列,通過業務規則策略操作行為檢測,如果疑為異常行為或攻擊行為進行異常行為閥值檢測,進行行為偏移量計算,超出設定的偏移值實行實時報警.主體每一個操作行為均記入日志文件,方便事后審計取證.

4 內部威脅檢測系統功能設計

內部威脅檢測系統系統采用微服務架構和組件設計,層層過濾,完成內部威脅行為事前、事中及事后3階段控制.系統的核心是基于用戶行為日志的檢測和審計,由訪問控制子系統,異常行為分析子系統和審計追溯子系統構成,如圖1所示.

該系統核心功能包括數據采集模塊、檢測分析模塊、數據存儲模塊、響應反饋模塊,對應用戶操作行為檢測的3個步驟：數據采集、數據分析和響應.

數據采集模塊：數據采集模塊是檢測系統的基礎模塊.由檢測系統中的數據采集組件實現.該模塊收集檢測模塊所需的用戶操作特征數據(時間、用戶、身份、地點、使用設備、操作類型、結果等).包括客戶端監聽,會話管理,SQL分析器,訪問控制,身份認證等子模塊.

檢測分析模塊：檢測模塊是檢測系統核心模塊.利用內部威脅檢測規則和檢測分析算法對用戶行為數據進行實時檢測分析,判斷異常行為.包括異常行為比較,閥值檢測,分析報警等子模塊.

響應反饋模塊：根據檢測分析模塊的定性分析和行為特征閥值對應的系統策略做出實時報警和終止服務等系統響應,終止攻擊行為.實時顯示當前用戶操作,根據檢索條件查詢實時或歷史攻擊數據.包括檢測結果展示界面、統計報表模塊、告警響應等子模塊.

數據存儲模塊：將數據采集模塊、檢測模塊、響應模塊中的數據分別存入相應日志文件包括數據加解密,日志管理等子模塊.

5 關鍵技術說明

5.1 主客體混合分層模型

主客體混合分層模型中主體模型以用戶主觀行為特征為觀測點,可以很好做到定性分析,而客體模型以數據受攻擊破壞程度為觀測點,可以進行定量分析.鑒于主體、客體模型各自優缺點,我們使用主體與客體之間的訪問控制關系和層次分析法建立了分層映射的內部威脅檢測模型,用主客體綜合評價信息來進行定性和定量分析.

具體實現上采用主客體訪問控制關系,根據業務活動中的主體和客體形成的訪問矩陣建立層次化模型,并在主體和客體的內部威脅行為特征間建立映射關系,從而全面、系統、實時分析內部威脅特征,為量化分析建立基礎.分層模型中,數據流只允許從低級別流向高級別,即某一級別的主體只能進行自己的業務行為和處理下級主體業務行為.高級別主體無法修改低級別主體業務數據,從而保證信息的保密性和完整性.主客體混合分型模型中每個層次主、客體訪問控制的定義公式如下：

設系統主體集合,M={M1,M2,M3,···},R={R1,R2,R3,···}為系統客體集合,主客體訪問關系矩陣定義了主體和客體資源間的訪問控制關系,A={(m,r)∈MXR:實體m可以訪問客體r}.

5.2 SQL語句解析技術

對用戶發出的SQL語句做一個解析,才能知道用戶真實意圖,進而可以分析隱私數據被訪問頻率和攻擊次數.由于用戶發出的SQL語句形式各樣,語句中單個空格或多個空格的間隔等等.所以,解析前要進行語句預處理,以便后續處理.預處理主要步驟如下：

(1)清除SQL語句前后空格,將其中連續空白字符(包括回車換行符,空格,Tab)替換成單個空格.

(2)將SQL語句出條件值外統一變成小寫或大寫形式.

(3)在SQL語句的尾部增加結束符號“END”.

例如：用戶發出的SQL語句為：

Select 年齡 from 職員

Where姓名 like ‘t%’

Order by 工資

通過預處理后,SQL語句為：

select年齡 from 職員 where姓名 like‘t%’order by工資 END

(4)正則表達式檢測

正則表達式可以檢索符合某種模式的字符串.在Java語言中內置了強大的正則表達式類來進行文本模式匹配驗證.通過正則表達式關鍵詞模式匹配技術可以最快解析速度,提高檢測效率.

本文對預處理后的標準化SQL,使用正則表達式進行分塊切割,以SQL查詢語句為例：可以使用正則表達式：“(select)(.+)(from)(.+)(where | on | having |order by | END)”對SQL進行匹配,以清楚獲得主體對哪些客體進行了什么操作,滿足哪些,輸出了哪些屬性.

5.3 日志文件的安全

由于JSON格式易解析,存儲空間更小,故實時采集的用戶操作日志,以JSON文件存儲,為保障其自身安全性,有必要進行加密處理.考慮到文件解密效率和安全級別.采用AES+RSA混合加密算法.RSA安全性高,加密速度慢,用來加密傳輸AES的私鑰,AES安全性相對RSA低,但加密速度快,可用來加密數據.兩種算法結合優勢互補,即保證了對網絡傳輸帶寬的要求,又減少了計算負荷,從而很好提高數據安全性和加解密效率.

日志數據加密時,用加密接口模塊對日志加密后存儲.歷史日志過多時,可以采用數據結轉方式將時間段內日志數據存儲到關系庫中,便于數據挖掘和歷史數據分析工作,為預防內部威脅和回溯定位攻擊行為提供取證數據.

解密過程與加密過程相反,JSON加解密接口接收到加密的JSON數據,對其進行解密形成JSON串后,再調用GSON接口將JSON串解析為對象,進行日志審計與分析.

本文中基于Agent中間件技術的內部威脅檢測系統具有以下優點：

(1)準確性提升：用戶行為、主體、客體、權限多因子檢測是為了可以在用戶行為實時檢測、異常行為閥值檢測度量三個維度進行互補.此外由于閾值系統可以根據分析人員反饋,因此系統具備了靈活性,可以實時調整安全策略.

(2)適應性更強：允許數據分級,在安全性和系統性能上進行平衡,將企業業務數據分為隱私數據、敏感數據和關鍵業務數據及一般數據進行四級響應.

(3)實時性提高：采用Agent分布式組件和實時分析技術,能對異常行為進行實時干預和響應.

6 實驗仿真

為驗證內部威脅檢測系統的實用性能,我們開發了中間件原型系統.實驗中針對典型的3類內部威脅行為：信息竊取、系統破壞、電子欺詐進行了攻擊測試,測試采用功能測試中的黑盒測試為主,主要驗證了內部威脅檢測系統功能.

實驗環境由1臺Web應用服務器(安裝企業信息管理系統),1臺數據庫服務器(企業數據中心)和1臺中間件服務器(安裝檢測系統和用戶行為分析程序),50臺業務客戶機(安裝安全插件,采集用戶數據)構成.服務器統一使用Centos操作系統,用戶操作機則運行在Windows 2007操作系統下.內部威脅檢測系統部署圖如圖2所示.

圖2 內部威脅檢測系統部署圖

我們分別進行了兩組實驗,一組實驗沒有部署檢測系統,另一組部署了檢測系統.每組實驗進行3個典型內部威脅場景來測試,30名學生,進行180次驗證.測試前使用DataFactory在用戶日志中注入5000條攻擊數據,將攻擊者部分日志作為攻擊行為插入到被攻擊用戶的正常日志中去,以同時驗證系統檢測性能.攻擊行為實驗對比分析如表1所示.

由于部署了檢測中間件,信息系統訪問速度有了一定延時,在百兆以太網絡環境下各業務操作時間延遲百分比在85%左右,以用戶注冊模塊為例,未部署檢測系統情況下用時200 ms,部署檢測系統后未360 ms.訪問延時主要來自數據采集、主客體驗證、行為分析、通訊延時4部分的延時總和.但通過改善升級軟硬件配置可以明顯減少系統延時,如提升企業硬件和網絡設備性能,在軟件實現中通過異步提交技術,數據緩沖池等技術來改善用戶體驗.

表1 實驗記錄一覽表

最后,由于使用了主客體混合分層模型和多因子檢測技術,與單獨使用主體模型和客體模型進行強制訪問控制相比,雖然在檢測速度上有所下降,但是用戶異常行為檢測準確率提高10%左右,誤報率控制在3%左右.

7 結束語

針對互聯網環境下,企業信息系統內部威脅日益嚴峻現狀和低成本、易操作的檢測需求,提出基于主客體混合模型,以用戶行為數據為驅動,采用智能Agent技術的內部威脅檢測框架.該檢測框架集身份識別、日志分析、操作審計、報警顯示等功能.借助用戶、角色、業務過程三要素制定用戶行為基線對用戶操作行為進行判定,以減少誤報率,設定了行為差異閥值,提高了系統響應速度和可靠性.由于企業業務數據龐大,有必要對數據進行安全級別劃分,不同的數據設定不同的訪問權限和敏感系數,以突出對核心業務數據和隱私數據的保護.人為內部威脅依然不可避免,無論無意還是有意的內部威脅都不會根除,基于人工智能的網絡防御技術提供了捕獲微小行為差異的能力,可以在危害發生前阻止正在進行的攻擊.為推動信息安全,必須采取主動和協同方式,要有預測能力,并在威脅發生之前建立防范體系.同時基于數據驅動安全的管理理念及在大數據環境下建立以數據變化為驅動的實時響應機制和快速分析技術是檢測系統發展的趨勢也是下一步研究的主要工作.