一种检测内部用户攻击行为的网络安全防护方案

本发明属于网络安全技术领域，特别是一种检测内部用户攻击行为的网络安全防护 方案。

自1983年计算机病毒概念出现以来，网络安全事故频繁发生，使得人们在享受通 信网络技术所带来的方便的同时，也深受其带来的威胁与伤害。因此，网络安全问题逐渐引 起了人们广泛的关注。然而，人们所给予的关注更多倾向于外部威胁方面，却忽视了网络安 全的另一重要组成部分——内部威胁问题。在CSI与FBI联合发布的《2010/2011CSI Computer  Crime and Security Survey》指出：自2007年起，内部威胁的攻击数量便已超过了来自外部威 胁的攻击数量，并且内部威胁引起的破坏要比外部威胁导致的更严重，经济损失也更大。目 前，人们集中对内部威胁的检测模型进行研究，旨在能够有效抵御这一网络难题。

内部用户(Insider)：美国信息安全研究委员会(INFOSEC Research Council，简称IRC) 在2005年发布的一份名为《最具挑战的困难问题清单》定义，内部用户是在组织机构的系统 安全边界范围内，具有某些特权的，并且这些特权未授权给外部人员的人员，其中人员不仅 仅是指人类，还包括信息系统中的进程。

内部威胁(Insider Threats)：美国信息安全研究委员会(INFOSEC Research Council， 简称IRC)在2005年发布的一份名为《最具挑战的困难问题清单》定义，内部威胁就是内部 用户偶然、或是恶意的滥用自己的权限，做出对系统安全会造成威胁的行为。

内部威胁检测模型：21世纪伊始，随着信息安全理论研究范围进一步的扩大化，人 们提高了内部威胁的认识度与关注度。人们不仅仅对内部威胁进行理论研究，更着重于内部 威胁的解决方案。针对内部威胁的解决方案，人们所做的研究主要是内部威胁的检测模型。 根据检测模型所采用的数据源类型不同，大致可以将内部威胁检测模型分为客体模型与主体 模型两类。

目前针对内部威胁检测模型的研究中，主要出现了以下所述的几种经典检测模型：

1)SKRAM模型。D.B.Parker提出的，是最早的内部威胁检测模型，属于主体模型 之一。SKRAM模型作为一个通用的检测信息系统恶意攻击的模型，定义了构成内部威胁的5 个关键要素，分别是动机、知识、技能、资源与权限。因为要构建内部威胁检测模型，就要 考虑内部攻击人员实施的动机，其所具备的IT知识与技能，以及其本身被授予的权限以及所 拥有的资源。虽然SKRAM模型的构建简单，但作为最早的内部威胁检测模型之一，它对内 部威胁检测模型的研究提供了方向，为后面的科研人员们提供了参考，具有很高的价值。

2)CMO模型。B.Wood提出的，利用综合的方法来模拟怀有恶意的内部用户相关 操作的模型。该模型是选用动机、能力与机遇是内部人员实施攻击的三个必要条件。因为内 部用户必须要有一定的动机才会想要实施攻击；同时必须具备实施攻击的能力，才能将想法 付诸于行动；最后，即使有想法有技术，若无可以发动攻击的环境或机会，攻击也是很难成 功的。然而，CMO模型却并不完善，其主要考虑怀有恶意的内部用户，忽略了内部用户无意 之举。此外，该模型只是对检测模型进行概括的定性研究，并没有研究量化内部威胁的标准。

3)Indicator模型。Schultz提出的，在已有的检测模型中引入指示器(indicator)， 从而构建出可以预测并检测内部威胁的模型结构。其中，indicator描述了检测模型中用户实 施攻击的类型、特征以及攻击操作。并且在该模型中还给出了处理量化indicators的公式模型。 该模型虽然存在无法处理未知的攻击事件，对攻击行为分类存在主观性的不足，但是对于内 部威胁检测的定量研究方面已是极大的突破。

4)SPRINT模型。Upadhyaya等人提出的，通过分析用户动机来对内部威胁进行预 测。主要工作流程是：用户登录系统前需提交使用系统的意图，然后检测模型会将该意图转 变成“SPRINT”(Signature Powered Revised Instruction Table)计划。其中“SPRINT”计划是由操 作“主体”、操作“对象”、所需“动作”及“时间期”四元组构成的列表。检测模型中的 监控程序全程监控内部用户，将用户的实际操作时刻与“SPRINT”计划作对比，若发现违反行 为则被视为入侵行为。该模型很好的做到实时监控与检测内部用户的操作，但仍存在一定的 不足。若用户利用模型不违背“SPRINT”计划便允许操作的特点，采用允许的合法操作，发送 有问题的数据包或是利用系统漏洞，仍可实施内部攻击。

蜜罐技术。该技术作为能够监控入侵行为，主动防御的技术，倍受注意。世界上研 究蜜罐、蜜网技术的最权威的机构---Honeynet Project的创立人Lance Spitzner清楚的表示蜜 罐是一个能够有效了解攻击者的技术，并给出了蜜罐定义：蜜罐即是一个安全应用资源，是 能够欺骗正在进行刺探、攻击或破坏系统的人。

针对上述现有内部威胁检测模型存在的不足，提供一种检测内部用户攻 击行为的网络安全防护方案，能够时刻监控内部用户的各项行为操作，将用户通信流的状况 特征作为通信流合法性的判断因素，依据攻击数据包特征库，将通信数据包与特征库中的攻 击特征值进行匹配，及时检测内部用户实施的攻击行为。尤其是对于未知的内部用户攻击事 件，利用蜜罐技术跟踪监控用户行为，判断内部用户行为的危害性，从而做出合适的处理操 作。同时方案的设计也要充分考虑模型检测时效的问题，提高检测速度。

本发明所涉及的一种检测内部用户攻击行为的网络安全防护方案，其步骤如下：

步骤1：构造网络可能遭遇到的所有攻击数据包类型的攻击特征向量的集合；

利用现有的国防专利201318000561.8所述的网络可能遭遇到的所有攻击类型的攻 击特征包括：字节分布、请求类型、响应代码，构造攻击特征向量：SC＝(SC1，SC2，SC3) 其中，SC表示集合中的攻击特征向量，SC1表示集合中的攻击数据包字节分布，SC2表示集 合中攻击数据包请求类型，SC3表示集合中攻击数据包响应代码；

步骤2：获取内部网络当前每个通信数据流；

利用现有网络数据流监控捕获技术Argus，捕获当前的内部网络中的所有通信数据 流；

步骤3：分析当前每个通信数据流状况；

利用现有网络分析嗅探技术Snort，分析当前每个内部网络通信数据流的状况，包括 会话时长、发送数据包总量以及接收数据包总量；

C＝(C1，C2，C3)

其中，C表示当前通信数据流的状况，C1表示通信数据流的会话时长，C2表示通信 数据流的发送数据包总量，C3表示接收数据包总量；

步骤4：基于当前通信数据流的状况，确定当前通信数据流合法可能性；

基于当前通信数据流的状况，确定当前通信数据流的合法性：

$W_i=\left\{\begin{array}{cc}0,& 0<c_i\le W_{\max i}\\ 1/c_i,& c_i>W_{\max i}\end{array}\right.$

$T=f(c_1,c_2,c_3)=\frac{1}{3}\underset{i=0}{\overset{3}{\Sigma }}{w}_i{c}_i$

其中，Wi表示当前通信数据流状况值Ci在正常通信数据流状况值域内的权重值， Wmax表示合法通信数据流状况值域的上限值，T表示当前通信数据流合法性可能值，所述T 的取值包括1，0；

步骤5：基于当前合法通信数据流的情况，正常转发当前通信数据流；

基于当前合法通信数据流的情况，利用现有通信数据流转发技术Iptables、Netfilter， 正常转发当前通信数据流；

步骤6：基于当前可疑通信数据流的情况，分析当前通信数据流中的数据包，构造 当前数据包的证据体，依据所有数据包类型的攻击特征集合，确定当前通信数据流属于的攻 击类型；

基于当前可疑通信数据流的情况，利用国防专利201318000561.8所述的分析方法， 分析当前通信数据流中的数据包，构造当前数据包的证据体，包括字节分布、请求类型、响 应代码；

S＝(S1，S2，S3)

其中，S表示当前可疑通信数据流的攻击特征向量，S1表示当前可疑通信数据流的 攻击数据包字节分布，S2表示当前可疑通信数据流的攻击数据包请求类型，S3表示当前可疑 通信数据流的攻击数据包响应代码；

基于步骤1所述的攻击数据包类型的攻击特征向量，依据国防专利201318000561.8 所述的特征值匹配方法，确定当前通信数据流与步骤1所述集合中各攻击特征向量匹配度， 确定通信数据流属于的攻击类型：

$D=f(S_i,{\mathrm{SC}}_i)=\frac{S·\mathrm{SC}}{\left|S\right|·\left|\mathrm{SC}\right|}=\frac{S_1·{\mathrm{SC}}_1+S_2·{\mathrm{SC}}_2+S_3·{\mathrm{SC}}_3}{\sqrt{{S_1}^2+{S_2}^2+{S_3}^2}·\sqrt{{{\mathrm{SC}}_1}^2+{{\mathrm{SC}}_2}^2+{{\mathrm{SC}}_3}^2}}=\cos \theta$

其中，D表示当前可疑通信数据流中数据包证据体与步骤1所述集合中各攻击特征 向量的夹角余弦值；

步骤7：基于确定攻击类型的可疑通信数据流的情况，阻断当前通信数据流的通信；

基于确定攻击类型的可疑通信数据流的情况，利用现有的通信数据流拦截技术 Snort-inline，阻断当前通信数据流通信；

步骤8：基于当前未知攻击类型的可疑通信数据流的情况，记录当前通信数据流的 通信行为，确定当前通信数据流非法的可能性；

基于当前未知攻击类型的可疑通信数据流的情况，利用现有的蜜罐技术Sebek工具， 跟踪、记录当前通信数据流的通信行为，确定当前通信数据流非法与否；

步骤9：基于当前未知攻击类型的非法通信数据流的情况，分析当前通信数据流中 的数据包，构造当前数据包的攻击特征，补充至步骤1所述的攻击特征向量集合中；

基于当前未知攻击类型的非法通信数据流的情况，利用现有数据包分析技术，分析 当前未知攻击类型的非法通信数据流中的数据包，构造当前数据包的证据体，包括字节分布、 请求类型、响应代码，补充至攻击特征集合中：

S＝(S1，S2，S3)

其中，S表示当前未知攻击类型的非法通信数据流的攻击特征向量，S1表示当前未 知攻击类型的非法通信数据流的攻击数据包字节分布，S2表示当未知攻击类型的非法通信数 据流的攻击数据包请求类型，S3表示未知攻击类型的非法通信数据流的攻击数据包响应代码；

进一步，步骤6中：

基于当前可疑通信数据流中数据包证据体与权利要求2中步骤1所述集合中各攻击 特征向量的夹角余弦值D，依据国防专利201318000561.8所述的数据流攻击类型分配方案， 确定当前可疑通信数据流攻击类型。

可疑通信数据流攻击类型分配见表1

表1

D值范围 当前可疑通信数据流攻击类型分配

0<＝D<＝R i 属于i类攻击特征

D<0∪D>R i 不属于i类攻击特征

其中，Ri表示权利要求2中步骤1所述的攻击数据包类型的攻击特征向量的集合中 攻击向量的夹角值域上限。

图1为本发明实施例的流程图；

下面结合附图和实施例对本发明的技术方案进一步说明。

本实施例是针对ms08_067漏洞(服务器允许远程执行代码)实施攻击的具体应用 实例。

本实施例所涉及的一种检测内部用户攻击行为的网络安全防护方案，其流程图见 图1。

步骤1：构造网络可能遭遇到的所有攻击数据包类型的攻击特征向量的集合，即攻 击特征数据库；

利用现有的国防专利201318000561.8所述的网络可能遭遇到的所有攻击类型的攻 击特征包括：字节分布、请求类型、响应代码，构造攻击特征向量：

SC＝(SC1，SC2，SC3)

其中，SC表示集合中的攻击特征向量，SC1表示集合中的攻击数据包的字节分布， SC2表示集合中攻击数据包的请求类型，SC3表示集合中攻击数据包的响应代码；

步骤2：获取内部网络当前每个通信数据流；

利用现有网络数据流监控捕获技术Argus，，捕获当前的内部网络中的RPC(远程 过程调用)请求通信数据流；

步骤3：分析当前通信数据流状况通信数据流状况；

利用现有网络分析嗅探技术Snort，，分析当前内部网络RPC(远程过程调用)请 求通信数据流的状况特性，主要分析当前内部网络RPC(远程过程调用)请求通信数据流的 会话时长、发送数据包总量以及接收数据包总量；

C＝(C1，C2，C3)＝(1448，12，11)

其中，C表示当前通信数据流的状况，C1表示以秒为单位的通信数据流的会话时 长，C2表示通信数据流的发送数据包总量，C3表示接收数据包总量；

步骤4：基于当前通信数据流的状况，确定当前通信数据流合法可能性；

基于当前通信数据流的三个状况特性，依据通信流合法可能值的计算法则，确定 当前通信数据流的合法性；

依据计算法则：

$W_i=\left\{\begin{array}{cc}0,& 0<c_i\le W_{\max i}\\ 1/c_i,& c_i>W_{\max i}\end{array}\right.,$ 得出：W1＝1/1448，W2＝1/12，W2＝1/11。

依据计算法则：

$T=f(c_1,c_2,c_3)=\frac{1}{3}\underset{i=0}{\overset{3}{\Sigma }}{w}_i{c}_i,$ 得出：T＝1。

依据通信流合法可能值判断法则：

得出所述的RPC请求通信数据流为非法。

其中，Wi表示当前通信数据流状况值Ci在正常通信数据流状况值域内的权重值， Wmax表示合法通信数据流状况值域的上限值，T表示当前通信数据流合法性可能值，所述T 的取值包括1，0；

步骤5：基于当前合法通信数据流的情况，正常转发当前通信数据流；

若当前通信数据流合法可能值T为0，则确定当前通信数据流是合法的，利用现有 通信数据流转发技术Iptables、Netfilter，正常转发当前通信数据流；

步骤6：基于当前可疑通信数据流的情况，分析当前通信数据流中的数据包，构造 当前数据包的证据体，依据所有数据包类型的攻击特征集合，确定当前通信数据流属于的攻 击类型；

若当前通信数据流合法可能值T为1，确定当前通信数据流是非法的，利用国防专 利201318000561.8所述的分析技术，分析当前通信数据流中的数据包，构造当前数据包的证 据体，包括字节分布、请求类型、响应代码；

S＝(S1，S2，S3)

其中，S表示当前可疑通信数据流的攻击特征向量，S1表示当前可疑通信数据流的 攻击数据包字节分布，S2表示当前可疑通信数据流的攻击数据包请求类型，S3表示当前可疑 通信数据流的攻击数据包响应代码；

基于步骤1所述的攻击数据包类型的攻击特征向量，依据国防专利201318000561.8 所述的特征值匹配方法，确定当前通信数据流与步骤1所述攻击特征数据库中各攻击特征向 量的匹配度，确定通信数据流属于的攻击类型；

依据特征值匹配度计算法则：

$D=f(S_i,{\mathrm{SC}}_i)=\frac{S·\mathrm{SC}}{\left|S\right|·\left|\mathrm{SC}\right|}=\frac{S_1·{\mathrm{SC}}_1+S_2·{\mathrm{SC}}_2+S_3·{\mathrm{SC}}_3}{\sqrt{{S_1}^2+{S_2}^2+{S_3}^2}·\sqrt{{{\mathrm{SC}}_1}^2+{{\mathrm{SC}}_2}^2+{{\mathrm{SC}}_3}^2}}=\cos \theta ,$ 得出D＝ cos18°；

其中，D表示当前可疑通信数据流中数据包证据体与步骤1所述集合中各攻击特征 向量的夹角余弦值；

基于当前可疑通信数据流中数据包证据体与步骤1所述集合中各攻击特征向量的 夹角余弦值D，依据国防专利201318000561.8所述的数据流攻击类型分配方案，确定当前可 疑通信数据流攻击类型为ms08_067漏洞(服务器允许远程执行代码)攻击。

可疑通信数据流攻击类型分配方案见表1

表1

D值范围 当前可疑通信数据流攻击类型分配

0<＝D<＝R i 属于i类攻击特征

D<0∪D>R i 不属于i类攻击特征

其中，Ri表示权利要求2中步骤1所述的攻击数据包类型的攻击特征向量的集合 中攻击向量的夹角值域上限。

步骤7：基于确定攻击类型的可疑通信数据流的情况，阻断当前通信数据流的通信；

若由当前通信数据流证据体组成的向量与步骤1所述集合中各攻击特征向量的夹 角余弦值D在i类攻击的匹配值域Ri值域中，确定当前通信数据流属于i类攻击。

步骤8：基于当前未知攻击类型的可疑通信数据流的情况，记录当前通信数据流的 通信行为，确定当前通信数据流非法的可能性；

基于无法确定当前可疑通信数据包的攻击类型及攻击性，将通信数据包转发至蜜 罐系统，利用蜜罐技术监控、记录数据包操作行为的特点，跟踪、记录当前通信数据包的在 蜜罐系统中操作行为，确定当前通信数据流非法可能性。

步骤9：基于当前未知攻击类型的非法通信数据流的情况，分析当前通信数据流中 的数据包，构造当前数据包的攻击特征，补充至攻击特征集合中；

基于当前确定的非法的可疑通信数据包的，分析当前可疑通信数据流中数据包的 情况，构造新的数据包攻击类型的攻击特征向量，将新的数据包攻击类型的攻击特征向量补 充至攻击特征集合中。

上述说明仅仅是示例性的，而不是为了限制本发明的范围及其应用。