一種小樣本下的內部威脅檢測方法研究

王一豐,郭淵博,李 濤,劉春輝

(信息工程大學 密碼工程學院,鄭州 450001)

1 引 言

2018年一項對472位資深網絡安全專家進行的在線調查[1]顯示,53%的組織確認過去一年內遭受過內部威脅攻擊且攻擊越來越頻繁,內部威脅所造成的危害要遠大于外部威脅.然而,公開報道的內部威脅的安全事件只是冰山一角,更多的內部威脅事件因企業或組織考慮到自身的聲譽并未被公開[2].由此,針對內部威脅的檢測與防護成為一項十分重要的研究課題.傳統意義上的內部威脅通常有以下三個方面:

1)員工用自身擁有的權限直接進行系統和數據破壞;

2)內部人員對于敏感信息、知識產權和商業機密的竊取和泄露;

3)通過故意濫用或誤用組織的資源或資產,利用個人職務之便謀取利益的內部欺詐等[3,4].

2008年Malek等人[5]將內部攻擊者分為“背叛者”與“偽裝者”,這種對內部攻擊者的分類有助于防御方針對攻擊者的類型研究相應的解決方案.“背叛者”是前文中通常意義上的“內部員工”,“偽裝者”則是指組織外部攻擊者進入組織網絡后偽裝為內部人員.目前各類新的認證技術、訪問控制安全組件層出不窮.例如OpenID、安全斷言標記語言(Security Assertion Markup Language)等新的安全規范和方法的出現和應用,盡管一定程度上增加了外部人員成功入侵的難度,但現今網絡安全問題中破壞認證機制(Broken Authentication)和破壞訪問控制策略(Broken Access Control)兩大問題仍然位于前列[6].通常,一旦外部攻擊者成功繞過了組織內部網絡的安全策略,則意味著該攻擊者的后續行動已經擁有一個有一定權限的合法內部身份,而此后的過程中將該攻擊者就是一個內部的“偽裝者”.因此,無論是外部攻擊者或是內部攻擊者,在組織內部網絡的行為都可以通過內部威脅檢測的方法來發現安全威脅.

為了檢測出這些隱蔽的內部威脅,本文采用畫像方法進行內部威脅檢測,這一概念最早由Alan Looper提出[7].畫像方法基于一個基本假設:用戶在活動期間會形成一個相對固定的行為模式,而攻擊者發動攻擊時一定會有與正常模式不一樣的表現.并且實驗表明,傳統中按用戶的角色分類來畫像的方法中相同角色的不同個體之間差別可能很大,結果并不如預期[8].所以在實際畫像過程中,最好為每位用戶都單獨畫像分析和檢測.

由此引發了兩個問題:

1)單獨為每個用戶畫像計算開銷很大,模型數量太多會導致檢測效率低下;

2)單獨用戶的數據不僅數量少,而且缺少足夠多的攻擊樣本數據(負例數據)甚至數據沒有標簽,這樣的數據不足以很好地訓練檢測模型.用機器學習方法解決網絡安全問題是當前的研究熱點[9],但要用好機器學習必須要準備合適且足夠的數據.因為存在概念漂移問題,很多久遠的歷史數據并不適用于當下亟需解決的檢測問題.并且,一些攻擊者來自企業內部,其惡意行為嵌入在大量正常數據中,同時內部攻擊者往往具有安全的相關知識,可以采取很多措施來規避安全檢測[10].以上原因導致擁有的數據不平衡且缺少標簽,傳統的基于機器學習的檢測方法需要用戶的大量長期數據,而這往往在畫像的實際應用中很難實現.

如何在樣本數量少且缺乏負例樣本的情況下,從用戶行為數據中檢測出特定的內部威脅,是本文主要研究的內容.本文基于用戶畫像理論為重點用戶建模,在用戶行為數據上先用小樣本學習中的技巧來生成合適且足夠的訓練數據,并設計了一個基于深度學習的模型來檢測特定的內部威脅,最后依據該模型提出了一個能夠檢測特定內部威脅的檢測框架.實驗中本文以檢測竊取敏感數據攻擊進行實驗并取得了很好的效果.

文章其他部分組織如下:第二節介紹了內部威脅檢測時采用的相關技術和研究背景;第三節先設計了一個應用場景并詳細闡述了本文所采用的模型及框架;第四節依照本文提出的方法使用CMU-CERT(Carnegie Mellon University Computer Emergency Response Team)數據集進行了實驗,有對本文實驗過程的描述以及實驗結果的分析;最后,第五節對全文進行了總結.

2 相關工作和研究背景

2.1 小樣本學習

小樣本學習的研究在2015年左右逐漸成為研究的熱點,主要關注如何在缺乏足夠樣本條件下讓機器有像人腦一樣,可以僅通過少量樣本就理解事物的本質特征.盡管人工智能和機器學習在這幾年取得了顯著地進步,但這種類人類概念知識學習的方式卻依舊未能完全實現.人可以從一個或幾個樣本中就學習出一個新的概念,而機器學習中的標準算法則需要數百個或更多樣本來執行類似的操作[11].目前小樣本學習的領域主要有兩個研究方向,一是概念學習,二是經驗學習.概念學習是讓機器盡量模擬人腦的學習過程,即通過少量樣本理解事物本質概念這一過程.例如人可以通過少量斑馬的圖片就理解到“斑馬=馬+黑白相間的條紋”這一概念.而另一種經驗學習的思想是將小樣本問題其轉化為通用的大數據范式.轉化后的過程和大數據學習是一樣的,只是由于缺少足夠樣本作為模型的訓練數據,所以引入了一些額外的知識來輔助模型的學習,例如領域自適應、數據變換和偽標號方法等.這里本文提出的方法就是采用了經驗學習中數據變換的方法,并引入相關領域專家知識來生成合適的數據,進而將小樣本問題轉化為大數據問題.

2.2 用戶行為分析

在用戶行為分析(User Behavior Analytics)領域的研究中,眾多研究者針對不同數據使用了許多方法來對用戶進行畫像分析.例如針對用戶的社交網絡數據,采用聚類和圖算法的效果會比較好[12,13];針對用戶的擊鍵行為數據,Giuffrida等人[14]使用了包含多特征的提取識別算法(包括支持向量機、樸素貝葉斯、馬氏距離、k近鄰等算法)同樣取得了很好的結果.文獻[15]中采用了另一種著名的機器學習技術隱馬爾可夫模型(HMM,Hidden Markov Models)來檢測內部威脅.這些方法在各自的領域中都取得了不錯的效果,可以較為準確的刻畫該時段用戶在某一行為域中的表現.在數據方面,同樣基于CMU-CERT數據集的幾篇研究中 [16]中的方法與本文的有些類似,同樣地采用深度神經網絡(Deep Neural Networks)來計算每個用戶的異常分數進行內部威脅檢測.在[17]中,作者實現了一個名為RADISH的框架,使用k鄰近(k-Nearest Neighbour)算法和k-d樹(k-Dimensional Tree)算法進行檢測.但以往的這些模型方法多數只能在單一行為域中檢測,此外對模型找出的這些異常具體與哪些安全事件相關,則多數需要大量且持續的人工參與.

2.3 攻擊鏈模型

通常說的洛克希德·馬丁公司攻擊鏈[18]由七個階段組成,旨在描繪攻擊者各階段的行為意圖,以便成功地破壞目標網絡并執行如數據盜竊、拒絕服務攻擊或破壞系統等惡意行為.但此攻擊鏈模型多應用在表述來自外部攻擊者的攻擊流程.而對于內部攻擊,我們多數情況下只有內部網絡各個活動域的日志數據,而基本不可能拿到攻擊鏈前幾個階段攻擊者準備階段的數據.因此本文采用了2010年提出的Mandiant攻擊的生命周期模型[19]來進行建模.這兩種攻擊鏈模型分別如圖1(a)、圖1(b)所示.

表1 敏感數據竊取活動與模型各階段對應表
Table 1 Sensitive data exposure activities on model

模型階段建立立足點提升權限內部偵查橫向移動維持存在完成目標階段表現登陸用戶嘗試打破安全策略偵查內部信息登陸其他用戶偽裝用戶日常行為成功竊取數據并帶出日志活動登入打開文件、發送郵件、下載文件打開文件、查看郵件登入瀏覽網頁、發送、查看郵件復制文件、發送郵件、上傳文件、登出

以敏感數據泄露問題為例引入攻擊鏈的專家知識,其在最新的OWASP 2017年的報告中被認為是目前非常嚴重的網絡安全問題,位于第三位.參照Mandiant攻擊鏈模型,本文構建了敏感數據竊取攻擊的場景,并基于此設計了一個數據生成算法來生成模型所需要的負例訓練數據.實驗所用的日志數據對于敏感數據竊取這一類攻擊來說,其表現集中在Establish Foothold(建立立足點)階段之后.具體來說,竊取敏感數據攻擊對應于Mandiant攻擊鏈模型的各個步驟,其行為表現反映在不同日志上的活動具體表現如表1所示.

3 小樣本下的內部威脅檢測方法

本節設計了一個基于深度學習(Deep Learning)的分類檢測模型,依據畫像理論發現特定的內部威脅.實驗過程中采用小樣本學習中經驗學習的技巧,以竊取敏感數據攻擊為例,依據領域專家知識(攻擊鏈模型)生成有標記的負例數據.

圖1 攻擊模型Fig.1 Attack models

設計這樣一個應用背景,在該場景中樣本數量少且不平衡,現要求設計一種檢測方法,能夠檢測該組織內部發生的敏感數據竊取攻擊.有一個擁有幾十名內部員工的小型組織,該組織保存了近一年用戶行為的歷史行為數據但這些數據沒有標簽且類之間十分不平衡(攻擊數據幾乎沒有).其中組織內部有一定的安全策略,其敏感數據一般只有高權限用戶才可以獲取.依據此應用場景,本文設計了一種基于深度學習的檢測方法,分別包括如下幾部分:

1)研究將用戶行為數據轉化為深度學習模型能識別的特征矩陣的數據預處理方法;

2)研究依據領域專家知識的數據生成算法;

3)提出了一種基于視頻行為識別方法的敏感數據竊取攻擊檢測模型;

4)依據此方法擴充了一個可以檢測其他種類威脅的檢測框架.

3.1 數據預處理

在設計檢測模型前,先要對日志數據進行預處理.本文的方法采用基于人工神經網絡(Artificial Neural Network)的深度模型,具有非常強大的分析學習能力,在圖像分類(如人臉識別)和目標探測(如自動駕駛)兩大領域都取得了非常好的應用效果.為了使其在內部威脅檢測領域發揮其強大能力,需要將日志數據預處理成合適的形式.人工神經網絡模型所需的輸入本質上是多維向量(圖片、文本都轉化為向量形式輸入),這就要求把多用戶不同行為域的日志數據,盡量無損失地轉化為特征向量的形式.實驗中采用了用戶登錄數據、用戶使用可移動存儲設備記錄數據、用戶收發郵件數據和用戶使用互聯網數據.選用這些數據實驗的原因在于敏感數據竊取攻擊的具體活動在這些數據中集中表現,并且這些數據容易被獲取,具有普適性,數據具體包含信息如表2所示.在此實驗中,為了盡量保留信息的完整性,不僅要將信息轉化為多維向量,還要注意保留信息中的時序信息.因此本文將用戶一定時間內的行為數據標準化處理為一段“視頻”信息來處理,這就與后文提到的視頻行為識別方法相對應.

表2 數據中包含信息表
Table 2 Information of dataset

用戶登錄數據時間用戶機器活動(登陸/注銷)用戶使用可移動存儲設備記錄數據時間用戶機器文件名活動(打開/寫入/復制/刪除)用戶收發郵件數據用戶機器來源目標活動(查看/發送)用戶使用互聯網數據時間用戶機器網址活動(上傳/下載/訪問)

實驗使用畫像的方法來進行檢測.在畫像理論基于一個定理:

定理1.內部威脅檢測中用戶正常的行為模式在相對短的時間內保持不變或變化幅度很小.

這個定理基于兩個觀察,一是多數用戶在組織內多有固定的工作角色,每天的工作內容和模型十分相似;二是一個用戶的操作和行為習慣(如喜好、操作習慣等)一般不會在短時間內有很大改變.基于定理1,本文采用一個用戶相對短時間的歷史行為數據來檢測該用戶近期未來的行為是否正常就有了理論支撐.

通常來說一個組織的活動規律是以一天即24小時為一個周期.所以為了使得正常樣本數據之間的相似性最大,在此選取用戶活動的分割周期為24小時,并每小時為用戶活動生成一張“圖片”,24張靜態“圖片”就組成了這些用戶全天的活動“視頻”.生成的“圖片”可以用多維向量T來表示,組合而成的“視頻”可以用張量V來表示.要確定“視頻”V的生成方法,先要確定每張“圖片”T包含的信息.本實驗中選擇列數為8,映射到前文說的8種不同的用戶活動,依次對應了用戶登錄事件、用戶打開和拷貝文件事件、用戶發送郵件事件、用戶接收郵件事件、用戶上傳和下載數據事件以及用戶訪問外部網絡事件.“圖片”T的行數為8,代表所選取的要畫像的8位重要用戶.前文說過,不可能為每個用戶畫像,這里應該選取的具有獲取敏感數據權限或其他權限的一些重點用戶,本場景下使用8位具有較高權限的管理員用戶進行實驗.這些重點用戶的數據組合成一張“圖片”,優點不僅在于解決了前文設想的為每位用戶畫像帶來的模型過多導致效率低下的問題,也方便了發現共謀攻擊.依據上述方法,本場景中當日i時段用戶們的行為Ti被表示如式(1)所示:

(1)

其中a0表示a用戶當天i時段該用戶登陸次數,a1表示a用戶當天i時段該用戶打開文件次數,a2表示a用戶當天i時段該用戶復制文件次數,a3表示a用戶當天i時段該用戶發送郵件次數,a4表示a用戶當天i時段該用戶查看郵件次數,a5表示a用戶當天i時段該用戶訪問互聯網次數,a6表示a用戶當天i時段該用戶從互聯網下載次數,a7表示a用戶當天i時段該用戶上傳文件到互聯網次數,其他b、c、d、e、f、g、h用戶同上.這樣用戶們一天活動的“視頻”V={T0,T1,…,T23}.

圖2 用戶一天的行為特征向量示例Fig.2 A feature vector sample of user daily behavior

通過這種方法就將用戶的行為數據轉化為一個大小為24*8*8的特征向量.圖2是一個轉化之后用戶一天的行為特征向量樣例.

3.2 數據生成

內部攻擊相對于正常數據來說一定是極少數的.如果內部人員行為表現與往常不一致時,大多數情況下都與攻擊無關.而實際中由于數據缺少標記,即使有少量攻擊數據,也被淹沒在龐大的正常數據中.因此在該場景下實驗缺乏大量帶標記的負例數據用于模型訓練.在這種樣本數據缺乏的情況下,準確找出敏感數據泄露的威脅需要用經驗學習中的一些技巧.對于缺少數據,在經驗學習中一般有兩種方法可以解決.一是增廣數據,二是引入額外的知識庫.前者通過一些技巧來生成新的數據,例如將一個圖片數據進行各種角度輕微的旋轉來生成新的圖像數據.后者通過引入一些其他的知識來降低模型對數據的依賴,例如經典的域適應(Domain Adaptation)方法——引入在其他域中訓練好的模型,通過數學方法變換映射到所需求的域中來.而本文中采用增廣數據的方法,結合引入的領域專家知識(攻擊鏈模型)來生成足夠且合適的數據.負例數據生成算法基于Mandiant攻擊的生命周期模型,通過分析少量的真實攻擊的數據,合理地將這種攻擊的階段和其各階段的表現在日志上的日志記錄如表1所示對應.

假設攻擊者在發起攻擊后會盡快地完成攻擊,那么在模擬的數據集中,下一個階段攻擊發起時較原攻擊時間間隔在1小時以上的概率相對較小.通過分析實際發生的(少量真實攻擊樣本)敏感數據攻擊,我們分析并得出了三種攻擊的子類型:

1)單人非工作時間發起:發起時間為非工作時間,多為凌晨開始攻擊,這種攻擊大多是外部攻擊者繞過安全策略后拿到了內部身份.為了避免與原用戶正常登錄沖突或其他內部人員工作時而被發現,所選的攻擊時間多在凌晨時段;

2)單人工作時間發起:發起時間在工作時間且單個用戶行為,此種情況多是單獨的內部叛徒,利用工作時間來實施攻擊,其行為模式與往常差異很大;

3)多人工作時間發起:工作時間發起但有多個用戶(多為小團伙).其中第三種攻擊是最隱蔽的一種內部威脅即共謀攻擊,共謀攻擊是指由組織內部的幾個人一同發起內部攻擊,他們可以每個人只分別完成攻擊鏈中的部分步驟來達到逃脫檢測的目的.

具體生成敏感數據竊取的負例樣本算法的偽代碼如算法1所示.該算法輸入預處理好的正例正常數據,該算法輸出生成的3種不同攻擊子類型的負例數據.

算法1.生成敏感數據竊取負例樣本的算法

輸入:k天正例集合A={P1,P2,…,Pk}Pi是一日的視頻

輸出:k天的負例數據集合B={N1,N2,N3,…,Nk}

k天的負例數據集合C={M1,M2,M3,…,Mk}

k天的負例數據集合D={L1,L2,L3,…,Lk}

1.functionGenerateNegativedata(A)

2.fori= 0→k-1

3.doE←A

4. 在[0,7]內產生一個隨機整數d1#選一個用戶

5. 在[-2,5]內產生一個隨機整數d2#選擇夜間時段

6.E[i=Pi,將Pi[d1][d2]的登入字段的值加1

7. 從插入的字段開始,依據表1隨機時段隨機插入后續階段的攻擊直至完成攻擊

8.B[i]←E[i]

9.E←A

10. 在[9,18]內產生一個隨機整數d3#選擇工作時段

11.E[i]=Pi,在Pi[d1] [d3]中增加提權階段的活動

12. 從插入的字段開始,依據表1隨機時段隨機插入后續階段的攻擊直至完成攻擊

13.C[i]←E[i]

14.E←A

15. 在[9,18]內隨機產生一個整數d4#選擇工作時段

16. 在[0,7]內產生一個隨機整數d5,d5≠d

17.E[i]=Pi,在Pi[d1][d4]中增加提權階段的活動

18.E[i]=Pi,在Pi[d5][d4]中增加提權階段的活動

19. 在隨機時段隨機依據表1插入攻擊直至完成攻擊,每次插入時在[d1,d5]中隨機選擇用戶

20.D[i]←E[i]

21. end for

22. returnB,C,D

23.end function

3.3 基于深度學習的檢測模型

盡管深度學習(Deep Learning)在圖像和文本處理領域表現出驚人的效果,但在組織內部的畫像和內部威脅檢測中的應用還不夠充分.深度神經網絡中包含兩個重要的模型,分別是卷積神經網絡(Convolutional Neural Network,CNN)和遞歸神經網絡(Recurrent Neural Network,RNN).其中前者憑借其特有的卷積-池化(Convolution-pooling)結構,在處理圖像等非時序的靜態數據上有很好的效果,后者則在處理文本等時序性數據上表現良好.

圖3 視頻行為識別的框架Fig.3 Framework of video behavior recognition

hm,cm=LSTM(tm,hm-1,cm-1)

fi=h23

(2)

3.4 檢測框架

解決了上述場景中的檢測敏感數據竊取的問題,但若是要求不僅檢測敏感數據竊取攻擊,還要求檢測其他特定威脅例如惡意文件操作等,則上述針對性訓練的模型無法發揮作用.但同樣的,只要我們依據數據生成算法針對性的生成對應的負例樣本數據,就可以檢測其他類型的威脅.

前文提出了一個以敏感數據竊取為例,訓練一個基于深度學習的檢測特定內部威脅模型的過程.那么基于此過程可以擴展出一個框架來檢測出更多種類的特定內部威脅,框架的具體流程如圖4所示.其中訓練好檢測模型可以靈活地級聯起來.具體來說,在訓練過程中,首先基于領域專家分析要檢測的特定內部威脅(如敏感數據竊取攻擊),接著依據攻擊鏈模型(或其他領域專家知識)生成對應的數據生成算法.然后,依據得到的正負例數據,基于前文提出的模型能夠自動提取特征并訓練出針對該特定種類內部威脅的模型.在檢測過程中,數據經過多個模型檢測,每個模型可以檢測出自身訓練出的攻擊類型.

圖4 一種在小樣本環境下內部威脅檢測框架Fig.4 A framework for insider threat detection with small samples

4 實 驗

4.1 數據集

本節概述了本文實驗中用的CMU-CERT[20]數據集.CMU-CERT數據集是由美國國防部高級研究計劃局(DARPA,Defense Advanced Research Projects Agency)贊助的卡耐基梅隆大學內部威脅研究中心與ExactData公司合作從真實企業環境中采集數據構造的一個內部威脅測試集.CMU-CERT數據集由合成數據和正常數據組成.該數據集包含了一個組織中4000個用戶在516天活動中的數據,更加詳細的信息可以在CERT的網站1https://www.cert.org/insider-threat/tools/中獲得.CMU-CERT數據集中模擬了一些用戶內部威脅的場景來生成異常數據,但在本實驗中只用了數據集中的正常數據并裁剪掉少量負例樣本數據.CMU-CERT數據集由7個主要文件組成,包括:logon.csv:用戶登錄和注銷設備記錄;email.csv:與用戶郵箱活動相關的記錄;file.csv:用戶的文件活動記錄;device.csv:連接和斷開可移動設備記錄;http.csv:用戶使用互聯網的相關活動記錄;psychometric.csv:用戶的個性和工作滿意度等心里相關記錄;LDAP.csv:描述了每個用戶的信息(用戶的角色,電子郵件,所屬部門,主管人員等信息).

在本文的設計的應用場景中,主要聚焦于以下5個行為域的數據來進行實驗,即用戶登錄數據、用戶使用外部網絡數據、用戶收發郵件數據、用戶使用可移動存儲設備相關的文件記錄中的部分數據.為了更加符合現實情況,我們故意混入了一些噪聲作為臟數據.具體來說,各個數據集中包含的字段如前文的表2所示,并且遵循以下規則:每個用戶分配一臺PC;登錄事件在其他PC活動之前;沒有用戶可以登錄另一個用戶已經登錄的機器.

由于設計的場景是小樣本環境,所以這里依據LDAP中的角色,選擇了擁有較高權限的8個管理員角色的重點用戶355天的正?；顒訑祿?實驗使用全正例的數據作為表3中的算法輸入,依據攻擊鏈模型來生成對應的負例樣本數據.

4.2 實驗結果

實驗在Docker[21]中搭建TensorFlow的GPU版本,用python語言來處理數據.按照第3.1節中的方法處理后成如圖2所示的“視頻”數據.實驗使用8個重要用戶355天的正?；顒訑祿闪?55段正例“視頻”數據,之后通過負例數據生成算法生成了3類敏感數據竊取攻擊“視頻”的負例數據各355段,共1420段“視頻”,其中訓練集和測試集的比例為9:1,此外測試集中還包含了原數據集中被剔除的模擬的同類攻擊樣本數據.

實驗采用了三種檢測方法進行對比,分別為:采用規則匹配方法(RE)、只使用卷積神經網絡的模型(CNN)和本文提出的結合卷積神經網絡和遞歸神經網絡的檢測模型(CNN+RNN)進行對比實驗.其中采用規則匹配的方法是直接依據所設計的數據生成算法寫出符合特點的正則表達式,理論上即使在知道攻擊特點的情況下,雖然能發現負例數據但同時也會產生很多誤報.

對于二分類問題,可將樣例根據其真實類別與分類器預測類別的組合劃分為真正例(Ture Positive)、假正例(False Positive)、真反例(True Negative)、假反例(False Negative),顯然有TP+FP+TN+FN=樣例總數.

準確率P(Precision)和召回率R(Recall)是一對矛盾的度量,一般來說,準確率高時,召回率往往偏低,反之亦然.準確率P、召回率R分別定義為公式(3)和公式(4):

(3)

(4)

F1是基于查準率和查全率的調和評價,定義如公式(5):

(5)

(6)

但對于多分類問題來說,除了采用常用的公式(6)分類正確率A(Accuracy)來表示外,還可以采用宏平均(Macro-averaging)和微平均(Micro-averaging)兩種指標來衡量.其中相對于微平均來說宏平均的受小類別影響較大,由于在實際中某類真實數據很可能少,所以在此選擇宏平均來衡量方法的性能,對于n分類問題定義如公式(7)所示.

(7)

圖5是實驗中使用不同模型訓練上述1420個樣本時的訓練次數與整體正確率變化圖.圖中顯示使用該文提出的方法訓練收斂速度快且整體正確率率高,CNN方法在該圖中表現效果似乎也不算差,而用規則匹配的方法,即使不斷完善規則整體正確率也只保持在0.63左右.最終三個模型最終的整體正確率分別為0.91、0.81和0.66.在收斂速度方面,本文提出的方法訓練次數在800次左右已經開始收斂了,基于CNN的方法在訓練1500次左右開始收斂,基于規則匹配的模型由于沒有自學習能力,需要投入了大量人力來分析并制定、優化規則.

圖5 整體正確率變化圖Fig.5 Figure of overall classification accuracy

由表3可以看出不同方法在實驗環境下具體到詳細攻擊類型的分類效果差距很大.對于特征明顯的攻擊類型1和2,似乎所有的分類器表現都不錯,但在檢測隱蔽的攻擊類型3時則大有不同.圖5中總體分類效果不錯的CNN模型在攻擊類型3(共謀攻擊)的檢測中似乎無能為力,而本文提出的模型對該類的正確分類率達到了0.82,可以看出本文提出的方法綜合在每個子攻擊類型的檢測中效果都很顯著.除此之外,圖6顯示了對于總體分類的其他評價指標,可以看出該文的方法對比其他方法有著明顯優勢.

表3 各方法具體類別的分類準確率
Table 3 Detailed classification precision of several methods

算法正常數據攻擊類型1攻擊類型2攻擊類型3OUR0.910.990.990.82CNN0.990.970.960.32RE0.680.890.840.24

圖6 幾種方法具體類別分類的評價指標Fig.6 Detailed classification measure of several methods

綜上所述,本文提出的模型與其他兩個模型相比,無論是在各項分類指標上還是在模型的訓練時間上都有優勢.

5 結束語

本文以實際應用背景為例,設計了一種在小樣本環境下訓練出一個能的檢測特定內部威脅模型的方法,并依據此方法擴展了一個內部威脅檢測框架.該方法基于深度學習的分類模型,依據領域專家知識構造的足量的負例數據進行訓練.最終實驗結果表明我們所提出的方法是有效的,其性能優于目前的普遍采用的其他方法.此外,提出了一個適用于多種攻擊類型的檢測框架,可靈活地將用戶的異常行為關聯到特定的安全威脅中去.

盡管達到了較好的檢測效果,但本方法需要安全人員十分了解檢測的此類攻擊,才能依據領域專家知識合理設計出對應的負例數據生成算法,需要一定的人工參與.此外,在有真實攻擊數據后需要對模型進行反饋修正.該方法特別適用于在缺乏足夠的標記樣本的情況下,檢測隱蔽的共謀攻擊.未來將嘗試引入概念學習的方法,例如通過構建新的知識映射,使得模型更加智能化并減少人工參與.