http://www.zhongfu.net/news/techinfo/1096.html
摘要 本文針對內部威脅的研究現狀及常用方法,針對內部威脅的五種主要形式,提出建立內部威脅行爲基線模型的建議和改進思路,爲內部威脅的進一步研究及防範提供理論指導。
關鍵詞:內部威脅、行爲基線 、基線建模
1.內部威脅研究的意義及現狀
近年來,隨着企業中的內部威脅發生越來越頻繁且給對企業帶來的負面影響越來越大,內部威脅檢測掀起了學術界的研究熱潮。國內外學者關於內部威脅檢測的研究已取得了不少研究成果,主要的技術有:基於用戶命令檢測、基於生物特徵認證、基於用戶行爲分析、基於訪問控制、基於大數據和機器學習等內部威脅檢測技術。基於用戶行爲分析(UBA)的研究越來越熱,並且將實體行爲的研究也加入進來,發展爲UEBA(用戶實體行爲分析)。
通過UEBA技術可以發現外部的網絡攻擊、內部威脅或者主機遭受病毒入侵等各種網絡安全問題。2016 年,用戶和實體行爲分析被選爲 Gartner 的十大信息安全技術。2018 年,用戶和實體行爲分析被選爲Gartner 安全團隊建議的十大新項目。Gartner 預測,到 2022 年用戶和實體行爲分析技術將會被用在 80%的網絡安全檢測方法中。 2016 年,Shashanka 等人使用奇異值分解(SVD)算法對用戶的歷史行爲進行分析,並建立用戶行爲基線,通過計算用戶行爲的異常分數,實現企業內部威脅的檢測。2018年,Manya 等人介紹了用戶和實體行爲分析在網絡安全中的重要地位,並通過實時監控用戶和實體的行爲日誌等文件,爲用戶和實體建立行爲基線,當用戶和實體的行爲偏離行爲基線時,即認爲發生了網絡攻擊。2019 年,Alexey 等人提出了用戶和實體行爲分析平臺的可擴展數據處理方法和異常檢測方法。
2.內部威脅的類別
根據調研機構波洛蒙研究所的調查,組織的內部員工的無意行爲是最常見的內部威脅形式,佔數據泄露事件的64%,而外部攻擊行爲只佔數據泄露事件的23%。然而,內部人員的風險比簡單的疏忽和惡意企圖更加複雜。實施無意行爲的內部人員既包括不響應培訓的員工,也包括因錯誤配置的雲計算網絡等錯誤而產生後果的員工。在犯罪類別中,存在內外串通、長期惡意行爲和破壞的情況。因此,徹底瞭解以下五種不同的內部風險類別,對於安全團隊制定全面保障措施來說至關重要。內部威脅主要分爲以下五個類別。
2.1 非響應者
組織中實施無意識行爲的員工通常是培訓活動的非響應者。雖然這些員工可能不會故意疏忽行事,但他們是組織中風險最高的成員之一,因爲他們的行爲更頻繁。雖然一直以不安全方式行事的員工通常只是組織中的一小部分,但其錯誤的總體影響卻非常驚人。
2.2 內部人士的疏忽行爲
簡單疏忽是最常見的內部威脅形式,也是最昂貴的風險類別之一。而此類別的內部威脅通常可能表現出安全行爲並遵守政策,但會因孤立的錯誤而導致違規。X-Force的調查報告揭示了過去一年中利用員工錯誤最常見的犯罪策略的幾種模式:
-
38%的外部攻擊者試圖欺騙用戶點擊惡意鏈接或附件。
-
35%的外部風險是針對中間人(MitM)攻擊的嘗試。
-
27%的外部威脅試圖利用配置錯誤的服務器。
2.3 組織員工內外串謀
組織內部員工與惡意外部威脅攻擊者的內外串謀可能是最罕見的內部犯罪風險,但由於專業網絡犯罪分子越來越多地通過暗網招募組織員工,所以這仍然是一個重大威脅。根據社區緊急響應小組(CERT)的一項研究表明,內部人員引發的事件屬於違規行爲中代價最高昂的類別,並且其檢測的時間可能比單獨實施行爲的內部人員造成的事件要多四倍。
2.4 持久的惡意行爲
最常見的是,實施犯罪行爲的內部人員爲了經濟回報或個人利益而泄露數據或實施其他惡意行爲。這些人的行爲可能會在未被發現的情況下表現出更多的複雜性,以最大限度地提高竊取數據的個人利益。這些人員可能會緩慢地將數據泄露以避免檢測,而不是大規模地將數據導出,因爲這可能會在傳統網絡監控工具中引發警報。
2.5 心懷不滿的員工
作爲內部人員威脅的最後一類,心懷不滿的員工故意破壞或盜竊知識產權也是組織面臨的最昂貴代價的風險。Gartner公司對內部人員犯罪的分析發現, 29%的員工離職後竊取組織信息以獲取未來收益,而9%的員工只是出於報復這樣簡單的犯罪動機。心懷不滿的員工可以適應許多行爲子模式。而從接到離職通知的那一刻起,一些沮喪的員工可能開始收集或獲取沒有特定目標的信息。而一些員工則可能會有非常具體明確的意圖,並着手向競爭對手出售商業機密。
針對上述五種內部威脅行爲, 需要採取相應的應對和防範措施。
雖然組織的每個員工都可能有獨特的行事模式,但個人模式的變化可以預測風險。人工智能和行爲分析是檢測工作場所習慣和信息消費的微妙模式風險的特殊工具。用戶行爲分析可以通過深度分析來緩解所有類別的內部威脅,以預測風險傾向。
3.內部威脅的行爲基線建模常用方法
針對不同類別的內部威脅,對其進行深入的行爲分析,建立基線模型,以更好地對異常行爲作出準確的判定。總體思路是:正常的用戶行爲應與他所在的羣體或他本人過去行爲(稱爲基線)相匹配,偏離此基線發生的事件就屬於異常行爲。一般情況下,這種異常可能是欺詐、破壞、內外串通、數據盜竊或其他惡意意圖的行爲。算法一旦檢測到行爲有偏差,便可以標記該事件做進一步調查,或者也可以設計爲將該事件與過去記錄的類似事件進行比較。這些之前的記錄是基於培訓數據或共享知識庫(多個企業共享威脅情報等數據庫)上執行監督算法的結果。在這個監督算法中,安全運維人員需要人工標記以區分“正常”或“異常”。在最終的輸出結果中,展現的威脅記錄具有風險評分屬性,包括行爲頻率、涉及的資源、潛在影響、影響的節點數及其他變量。
目前爲止,針對內部威脅的行爲基線建模有了更好的進展。其中用到的建模方法主要包括以下兩大方面。
3.1 基於統計方法的建模
常用的基於統計的建模方法包括KDE方法、樸素貝葉斯方法、迴歸等。這裏介紹前兩種方法如下。
(1)KDE簡介
KDE其實就是通過核函數將每個數據點的數據+帶寬當作核函數的參數,得到n個核函數,再線性疊加就形成了核密度的估計函數,歸一化後就是核密度概率密度函數了。常用的核函數如圖1所示。
KDE方法根據樣本點的分佈情況,對其進行聚類。可以形象地理解成:一個區域中分成了若干個小區,我們按照分佈密度的大小,來確定聚合的情況。
圖1 常用核函數
(2)樸素貝葉斯方法簡介
樸素貝葉斯分類是十分簡單的分類算法,顧名思義,這種方法的思想真的很樸素,樸素貝葉斯的思想基礎是這樣的:對於給出的待分類項,求解在此項出現的條件下各個類別出現的概率,哪個最大,就認爲此待分類項屬於哪個類別。具體如下:
樸素貝葉斯分類流程圖如下:
圖2 樸素貝葉斯分類流程圖
在這些建模方法的使用中,對於行爲基線的界定或範圍確定中,大多是採用了統計的思想,把某個時間段的行爲特徵作爲樣本,通過研究其樣本分佈從而進一步建立模型確定基線。那麼,樣本選取時,是否已經包含了異常的樣本點,是一個很重要的問題。針對這種情況,往往會加入“離羣點檢測”,對於離羣點的判定,一般也是根據樣本點的總體分佈情況,把一些偏離大衆的樣本點作爲離羣點處理,這勢必會造成一些有效的樣本點被剔除,導致建立的基線不夠精準,甚至出現較大偏差。
另外,在大多數研究中,並沒有對用戶的行爲進行合理的對照分析、比較分析,也就是沒有對用戶行爲進行階段性的縱向比較,也沒有將研究用戶與其他用戶或所在部門整體行爲進行橫向比較,這將極大可能導致誤將異常行爲劃定到正常範圍內,嚴重影響了行爲基線建模的準確性。
3.2 基於機器學習方法的建模
常用的機器學習方法的建模包括支持向量機(SVM)、支持向量數據描述(SVDD)、梯度提升決策樹(GBDT)、 奇異值分解(SVD)、神經網絡(NN)等。這裏着重介紹SVM和SVD算法。
(1)SVM算法簡介
支持向量機(SVM)的基本模型是在特徵空間上找到最佳的分離超平面使得訓練集上正負樣本間隔最大。SVM是用來解決二分類問題的有監督學習算法,在引入了核方法之後SVM也可以用來解決非線性問題。一般SVM有下面三種:硬間隔支持向量機,軟間隔支持向量機,非線性支持向量機。
SVM算法流程圖如圖3所示。
圖3 SVM算法流程圖
(2)SVD算法簡介
SVD奇異值分解是線性代數中一種重要的矩陣分解,是矩陣分析中正規矩陣酉對角化的推廣。SVD算法不光可以用於降維算法中的特徵分解,還可以用於推薦系統,以及自然語言處理等領域,是很多機器學習算法的基石。
Shashanka使用SVD算法, 分析用戶的歷史行爲,並建立用戶行爲基線,通過計算用戶行爲的異常分數,實現企業內部威脅的檢測。這種方法爲我們提供了一個較好的理論指導,特別是在維數較高時,用途更廣。但是SVD分解出的矩陣往往解釋性不強,就是說很難確切說清楚它代表的實際含義。對於SVM,SVDD,GBDT等方法,在用到行爲基線研究時,也都存在一定的侷限性,前人在分析用戶歷史行爲而建立行爲基線時,有的也用到了這些方法,但效果並不太理想,尤其是在穩定性方面,並沒有進行專門的分析,也沒有對模型進一步優化,這將大大降低了基線建模的質量和效果。當然了,不論用哪種方法,最後的效果當然跟數據的分佈、特徵都密切相關。所以不能說哪個算法一定比另一個算法好,我們只能根據實際問題選擇更適合的算法來解決,但是一定要進行模型的進一步驗證、優化,甚至改變建模算法、方法以達到更好的效果。
4.內部威脅行爲基線建模的建議及改進思路
鑑於內部威脅行爲造成的嚴重影響,結合已有的對內部威脅行爲建立基線模型的方法,挖掘這些主要方法的特徵及存在的不足,結合作者對內部威脅行爲的進一步研究分析,提出如下三條建議及實現思路。
4.1 內部威脅行爲基線建模的假設需針對性改進
任何一個模型,都需要做合理的假設,這也是模型建立的前提和基礎。而假設如何更合理更科學,直接影響到整個模型的優劣和適用度。
內部威脅行爲基線的建立,需要結合具體應用場景,分析其特徵,做出相應的假設,才能更好地建立更加合理的模型。以下針對前文中的五種內部威脅,結合其應用場景提出建模前更恰當的假設。
對於前兩種內部威脅,即“非響應者”和“內部人士的疏忽行爲”, 作出的假設如果只考慮到其歷史行爲的相對穩定性,則容易導致建立的基線範圍太廣而忽略其異常行爲,所以建議結合用戶及與之相關的實體作出更加合理的假設。對於第三種內部威脅“組織員工內外串謀”,隱蔽度較高,我們在對其進行行爲基線建模時需要增加橫向比較、縱向比較的假設。對於第四種內部威脅“持久的惡意行爲”,除了對用戶和實體進行深度分析,還需要增加區分度的假設,即要細分其不同時間段的行爲分佈情況。對於第五種內部威脅“心懷不滿的員工”,則需要增加對該用戶個性行爲的假設。
事實上,對於不同的內部威脅,我們事先並不知道是那種威脅,所以我們在建立模型前,需要綜合上述方法,結合實際場景及變化,進一步作出科學有效的合理假設。從而爲建立出更好的模型奠定基礎。
4.2 行爲基線建模中對用戶的歷史行爲應增加對照分析和比較分析
在建立用戶行爲的基線時,應分段進行處理,比如某用戶A在近三個月的行爲,必須與之前的三個月進行比較,之前的三個月的行爲也應與再之前的三個月的行爲進行比較,依此類推。只有這樣,才能避免把用戶A的“經常行爲”誤判爲正常行爲。當然了,這裏提的“三個月”只是個假定數。具體時段的確定,應因場景而異,因行爲而已,因目標而已。
上面提到的屬於與用戶自身之前行爲的對照分析。另外,還應該對用戶的行爲進行橫向比較,比如將之與同部門或同業務的同事之間的行爲進行比較。這也更有助於更加合理地得出其歷史行爲的真正軌跡,或者說,更能科學地建立“非異常行爲”的基線。
需要注意的是,在進行對照分析和比較分析時,如何比較更加合理,也是我們下一步應該關注和探討的重要問題。
4.3 行爲基線建模需進一步優化並增加魯棒性分析
對於內部威脅的行爲基線建模,目前所用的大部分模型中,對於建模後的模型優化,做的並不到位,往往只是完成了基線建模後進行了簡單的應用測試,而沒有進一步挖掘模型的適用度和實用性。
鑑於上述原因,我們提出模型的進一步優化,優化模型的準則應結合實際場景進行調整。研析某用戶的具體行爲時,應在之前提到的合理假設基礎上,建立更科學的模型,對模型求解後,一定要回饋到實際問題中,並作進一步分析,對模型進行優化,直到模型的適用度和實用性符合客觀要求。
另外,我們提出增加模型的魯棒性分析。對於某個行爲基線模型的建立,都是結合對應的場景進行的。那麼,對於該場景的適度範圍內的震盪或相應閾值的變化,所建模型是否還能較好地適用,是否還能準確地刻畫,是我們應關注的重要問題。所以,我們必須增加模型的魯棒性分析,以“對於適度變化的場景應能適用”爲準則,對模型進行相應的調整、優化,從而真正建立科學合理的行爲基線。
4.4 內部威脅行爲基線建模改進後的實現路徑
綜上,可得出內部威脅行爲基線建模改進後的實現路徑,如圖5所示。
圖5 內部威脅行爲基線建模改進後的實現路徑
5.結論及展望
本文針對內部威脅的行爲基線建模現狀,提出了一些建議和改進思路,包括建模前的建設,對用戶歷史行爲的對照分析,與其他用戶或本部門整體行爲的比較分析,模型優化及魯棒性分析等。爲進一步合理建立內部威脅的行爲基線模型提供了理論指導,爲進一步提高對異常行爲的研判能力、對內部威脅的發現能力提供了一些思路和方法。
下一步,我們會根據不同場景下的內部威脅的特徵,結合科學的建模方法,建立更加合理的行爲基線模型,爲內部威脅的應對與防範提供支撐。
參考文獻
[1] 網絡安全先進技術與應用發展系列藍皮報告 用戶實體行爲分析技術(UEBA)2020.
[2] Shashanka M, Shen M Y, Wang J. User and entity behavior analytics for enterprise security[C]// 2016 IEEE International Conference on Big Data (Big Data). IEEE, 2016
[3] Salitin M A, Zolait A H. The role of User Entity Behavior Analytics to detect network attacks in real time[C] //2018 International Conference on Innovation and Intelligence for Informatics, Computing, and Technologies (3ICT). IEEE, 2018: 1-5
[4] Lukashin A, Popov M, Bolshakov A, et al. Scalable Data Processing Approach and Anomaly
Detection Method for User and Entity Behavior Analytics Platform[C] //International Symposium on Intelligent and Distributed Computing. Springer, Cham, 2019: 344-349
[5] Cyber security Insiders and Crowd Research Partners. Insider threat 2018[R], 2018.
[6] Hunker J, Probst C W. Insiders and Insider Threats: An Overview of Definitions and Mitigation
Techniques[J]. Journal of Wireless Mobile Networks, Ubiquitous Computing, and Dependable
Applications, 2011, 2(1): 4-27.
[7] Liu Haowei. A insider threat detection system based on user and entity behavior analysis[J]. Journal of Physics: Conference Series, 2021, 1994(1)
[8] Insider threat programmes: Time to hit restart[J] Cyber Security: A Peer-Reviewed Journal, 2021, 4(3)