一种检测内部用户攻击行为的网络安全防护方案的利记博彩app
【专利摘要】本发明属于网络安全【技术领域】,特别是一种检测内部用户攻击行为的网络安全防护方案。本发明步骤:构造网络已知攻击的特征的数据库,分析内部网络通信流特征,分析通信数据包特征,确定攻击类型;利用蜜罐技术跟踪未知攻击类型的数据包行为,确定数据包危害性,提取数据包特征值,存储特征数据库中。本发明能够全方位的有效保护内部网络安全,内部人员实施的攻击无论是传统类型还是未知类型,都可以被及时发现、及时报警,及时断开攻击的途径。从而使组织避免遭受到重大的损失。
【专利说明】-种检测内部用户攻击行为的网络安全防护方案
【技术领域】
[0001] 本发明属于网络安全【技术领域】,特别是一种检测内部用户攻击行为的网络安全防 护方案。
【背景技术】
[0002] 自1983年计算机病毒概念出现以来,网络安全事故频繁发生,使得人们在享受通 信网络技术所带来的方便的同时,也深受其带来的威胁与伤害。因此,网络安全问题逐渐 引起了人们广泛的关注。然而,人们所给予的关注更多倾向于外部威胁方面,却忽视了网 络安全的另一重要组成部分--内部威胁问题。在CSI与FBI联合发布的《2010/2011CSI Computer Crime and Security Survey》指出:自2007年起,内部威胁的攻击数量便已超 过了来自外部威胁的攻击数量,并且内部威胁引起的破坏要比外部威胁导致的更严重,经 济损失也更大。目前,人们集中对内部威胁的检测模型进行研究,旨在能够有效抵御这一网 络难题。
[0003] 内部用户(Insider):美国信息安全研究委员会(INFOSEC Research Council,简 称IRC)在2005年发布的一份名为《最具挑战的困难问题清单》定义,内部用户是在组织机 构的系统安全边界范围内,具有某些特权的,并且这些特权未授权给外部人员的人员,其中 人员不仅仅是指人类,还包括信息系统中的进程。
[0004] 内部威胁(Insider Threats):美国信息安全研究委员会(INFOSEC Research Council,简称IRC)在2005年发布的一份名为《最具挑战的困难问题清单》定义,内部威胁 就是内部用户偶然、或是恶意的滥用自己的权限,做出对系统安全会造成威胁的行为。
[0005] 内部威胁检测模型:21世纪伊始,随着信息安全理论研究范围进一步的扩大化, 人们提高了内部威胁的认识度与关注度。人们不仅仅对内部威胁进行理论研究,更着重于 内部威胁的解决方案。针对内部威胁的解决方案,人们所做的研究主要是内部威胁的检测 模型。根据检测模型所采用的数据源类型不同,大致可以将内部威胁检测模型分为客体模 型与主体模型两类。
[0006] 目前针对内部威胁检测模型的研究中,主要出现了以下所述的几种经典检测模 型:
[0007] 1)SKRAM模型。D. B. Parker提出的,是最早的内部威胁检测模型,属于主体模型之 一。SKRAM模型作为一个通用的检测信息系统恶意攻击的模型,定义了构成内部威胁的5个 关键要素,分别是动机、知识、技能、资源与权限。因为要构建内部威胁检测模型,就要考虑 内部攻击人员实施的动机,其所具备的IT知识与技能,以及其本身被授予的权限以及所拥 有的资源。虽然SKRAM模型的构建简单,但作为最早的内部威胁检测模型之一,它对内部威 胁检测模型的研究提供了方向,为后面的科研人员们提供了参考,具有很高的价值。
[0008] 2)CM0模型。B. Wood提出的,利用综合的方法来模拟怀有恶意的内部用户相关操 作的模型。该模型是选用动机、能力与机遇是内部人员实施攻击的三个必要条件。因为内 部用户必须要有一定的动机才会想要实施攻击;同时必须具备实施攻击的能力,才能将想 法付诸于行动;最后,即使有想法有技术,若无可以发动攻击的环境或机会,攻击也是很难 成功的。然而,CMO模型却并不完善,其主要考虑怀有恶意的内部用户,忽略了内部用户无 意之举。此外,该模型只是对检测模型进行概括的定性研究,并没有研究量化内部威胁的标 准。
[0009] 3) Indicator模型。Schultz提出的,在已有的检测模型中引入指示器 (indicator),从而构建出可以预测并检测内部威胁的模型结构。其中,indicator描述了 检测模型中用户实施攻击的类型、特征以及攻击操作。并且在该模型中还给出了处理量化 indicators的公式模型。该模型虽然存在无法处理未知的攻击事件,对攻击行为分类存在 主观性的不足,但是对于内部威胁检测的定量研究方面已是极大的突破。
[0010] 4) SPRINT模型。Upadhyaya等人提出的,通过分析用户动机来对内部威胁进行预 测。主要工作流程是:用户登录系统前需提交使用系统的意图,然后检测模型会将该意图转 变成 "SPRINT"(Signature Powered Revised Instruction Table)计划。其中 "SPRINT" 计划是由操作"主体"、操作"对象"、所需"动作"及"时间期"四元组构成的列表。检测模型 中的监控程序全程监控内部用户,将用户的实际操作时刻与"SPRINT"计划作对比,若发现 违反行为则被视为入侵行为。该模型很好的做到实时监控与检测内部用户的操作,但仍存 在一定的不足。若用户利用模型不违背"SPRINT"计划便允许操作的特点,采用允许的合法 操作,发送有问题的数据包或是利用系统漏洞,仍可实施内部攻击。
[0011] 蜜罐技术。该技术作为能够监控入侵行为,主动防御的技术,倍受注意。世界上研 究蜜罐、蜜网技术的最权威的机构 Honeynet Project的创立人Lance Spitzner清楚的 表示蜜罐是一个能够有效了解攻击者的技术,并给出了蜜罐定义:蜜罐即是一个安全应用 资源,是能够欺骗正在进行刺探、攻击或破坏系统的人。
【发明内容】
[0012] 发明目的:针对上述现有内部威胁检测模型存在的不足,提供一种检测内部用户 攻击行为的网络安全防护方案,能够时刻监控内部用户的各项行为操作,将用户通信流的 状况特征作为通信流合法性的判断因素,依据攻击数据包特征库,将通信数据包与特征库 中的攻击特征值进行匹配,及时检测内部用户实施的攻击行为。尤其是对于未知的内部用 户攻击事件,利用蜜罐技术跟踪监控用户行为,判断内部用户行为的危害性,从而做出合适 的处理操作。同时方案的设计也要充分考虑模型检测时效的问题,提高检测速度。
[0013] 本发明所涉及的一种检测内部用户攻击行为的网络安全防护方案,其步骤如下:
[0014] 步骤1 :构造网络可能遭遇到的所有攻击数据包类型的攻击特征向量的集合;
[0015] 利用现有的国防专利201318000561. 8所述的网络可能遭遇到的所有攻击类型的 攻击特征包括:字节分布、请求类型、响应代码,构造攻击特征向量:SC = (SCi,sc2, sc3)其 中,SC表示集合中的攻击特征向量,SCi表示集合中的攻击数据包字节分布,sc2表示集合中 攻击数据包请求类型,sc 3表示集合中攻击数据包响应代码;
[0016] 步骤2 :获取内部网络当前每个通信数据流;
[0017] 利用现有网络数据流监控捕获技术Argus,捕获当前的内部网络中的所有通信数 据流;
[0018] 步骤3 :分析当前每个通信数据流状况;
[0019] 利用现有网络分析嗅探技术Snort,分析当前每个内部网络通信数据流的状况,包 括会话时长、发送数据包总量以及接收数据包总量;
[0020] C = (Q, C2, C3)
[0021] 其中,C表示当前通信数据流的状况,Q表示通信数据流的会话时长,C2表示通信 数据流的发送数据包总量,c 3表示接收数据包总量;
[0024] 步骤4 :基于当前通信数据流的状况,确定当前通信数据流合法可能性;
[0025] 基于当前通信数据流的状况,确定当前通信数据流的合法性:
【权利要求】
1. 一种检测内部用户攻击行为的网络安全防护方案,其特征在于步骤如下: 步骤1 :构造网络可能遭遇到的所有攻击数据包类型的攻击特征向量的集合; 利用现有的国防专利201318000561.8中所述的攻击特征集合,构造网络可能遭遇到 的所有攻击类型的攻击特征向量; SC = (SCi, sc2, sc3) 其中,sc表示集合中攻击类型的特征向量,SCi表示集合中的攻击数据包字节分布,sc2 表示集合中攻击数据包请求类型,sc3表示集合中攻击数据包响应代码; 步骤2 :获取内部网络当前每个通信数据流; 利用现有网络数据流监控捕获技术,捕获当前的内部网络中的所有通信数据流; 步骤3 :分析当前每个通信数据流状况; 利用现有网络分析嗅探技术,分析当前每个内部网络通信数据流的状况,包括会话时 长、发送数据包总量以及接收数据包总量; C = (〇!,c2, c3) 其中,C表示当前通信数据流的状况,Ci表示当前通信数据流的会话时长,c2表示当前 通信数据流的发送数据包总量,c3表示当前通信数据流的接收数据包总量; 步骤4 :基于当前通信数据流的状况,确定当前通信数据流合法可能性; 基于当前通信数据流的状况,确定当前通信数据流的合法性:
其中,Wi表示当前通信数据流状况值Ci在正常通信数据流状况值域内的权重值,wmax表 示合法通信数据流状况值域的上限值,T表示当前通信数据流合法性可能值,所述T的取值 包括1,〇 ; 步骤5 :基于当前合法通信数据流的情况,正常转发当前通信数据流; 基于当前合法通信数据流的情况,利用现有通信数据流转发技术,正常转发当前通信 数据流; 步骤6 :基于当前可疑通信数据流的情况,分析当前通信数据流中的数据包,构造当前 数据包的证据体,依据所有数据包类型的攻击特征集合,确定当前通信数据流属于的攻击 类型; 基于当前可疑通信数据流的情况,利用国防专利201318000561. 8所述的分析方法,分 析当前通信数据流中的数据包,构造当前数据包的证据体,包括字节分布、请求类型、响应 代码; S = (Si, S2, S3) 其中,S表示当前可疑通信数据流的攻击特征向量,Si表示当前可疑通信数据流的攻击 数据包字节分布,&表示当前可疑通信数据流的攻击数据包请求类型,&表示当前可疑通 信数据流的攻击数据包响应代码; 基于步骤1所述的攻击数据包类型的攻击特征向量,依据国防专利201318000561. 8所 述的特征值匹配方法,确定当前通信数据流与步骤1所述集合中各攻击特征向量匹配度, 确定通信数据流属于的攻击类型:
其中,D表示当前可疑通信数据流中数据包证据体与步骤1所述集合中各攻击特征向 量的夹角余弦值; 步骤6中: 基于当前可疑通信数据流中数据包证据体与步骤1所述集合中各攻击特征向量的夹 角余弦值D,依据国防专利201318000561. 8所述的数据流攻击类型分配方案,确定当前可 疑通信数据流攻击类型分配 可疑通信数据流攻击类型 当0〈 = D〈 = Ri属于i类攻击特征 当D〈0 U D>Ri不属于i类攻击特征 其中,Ri表示攻击数据包类型的攻击特征向量的集合中攻击向量的夹角值域上限; 步骤7 :基于确定攻击类型的可疑通信数据流的情况,阻断当前通信数据流的通信; 基于确定攻击类型的可疑通信数据流的情况,利用现有的通信数据流拦截技术,阻断 当前通信数据流通信; 步骤8 :基于当前未知攻击类型的可疑通信数据流的情况,记录当前通信数据流的通 信行为,确定当前通信数据流非法的可能性; 基于当前未知攻击类型的可疑通信数据流的情况,利用现有的蜜罐技术,跟踪、记录当 前通信数据流的通信行为,确定当前通信数据流非法与否; 步骤9 :基于当前未知攻击类型的非法通信数据流的情况,分析当前通信数据流中的 数据包,构造当前数据包的攻击特征,补充至步骤1所述的攻击特征向量集合中; 基于当前未知攻击类型的非法通信数据流的情况,利用现有数据包分析技术,分析当 前未知攻击类型的非法通信数据流中的数据包,构造当前数据包的证据体,包括字节分布、 请求类型、响应代码,补充至攻击特征集合中: SQ = (Si, S2, S3) 其中,SCi表示当前未知攻击类型的非法通信数据流的攻击特征向量,Si表示当前未知 攻击类型的非法通信数据流的攻击数据包字节分布,s2表示当未知攻击类型的非法通信数 据流的攻击数据包请求类型,s 3表示未知攻击类型的非法通信数据流的攻击数据包响应代 码。
【文档编号】H04L29/06GK104113538SQ201410325479
【公开日】2014年10月22日 申请日期:2014年7月9日 优先权日:2014年7月9日
【发明者】向宏, 匡蕾, 李思遥, 胡兵, 王磊, 谢锦睿 申请人:重庆大学