惡意登錄攻擊檢測方法綜述

張磊 張洪德 李進珍

摘? 要：對軍用計算機及服務器的惡意登錄攻擊已成為敵對勢力竊取我軍重要涉密信息的主要手段之一，該攻擊手段因具有隱蔽性好、破壞性大的特點，對我軍的信息安全造成巨大的威脅。鑒于此，綜合研究了當前惡意登錄攻擊檢測方法的工作流程和原理，并分析了各檢測方法在準確性、復雜度、時效性等方面的優缺點。最后提出，應結合網絡安全的實際任務需求，合理選取惡意登錄攻擊檢測方法，以求達到最佳的檢測效果。

關鍵詞：惡意登錄；入侵檢測；閾值

中圖分類號：TP309? 文獻標識碼：A? 文章編號：2096-4706（2023）05-0094-04

Overview of Malicious Login Attack Detection Method

ZHANG Lei1， ZHANG Hongde1， LI Jinzhen2

（1.School of Communications Noncommissioned Officers， Army Engineering University of PLA， Chongqing? 400035， China;

2.31608 Troops of PLA， Xiamen? 361000， China）

Abstract： Malicious login attacks on military computers and servers have become one of the main means for hostile forces to steal important confidential information of our army. Because of its good concealment and strong destructiveness characteristics， this attack means poses a huge threat to the information security of our army. In view of this， the workflow and principle of current malicious login attack detection methods are comprehensively studied， and the advantages and disadvantages of each detection method in terms of accuracy， complexity and timeliness are analyzed. Finally， it is proposed that the malicious login attack detection method should be reasonably selected according to the actual task requirements of network security， in order to achieve the best detection effect.

Keywords： malicious login; intrusion detection; threshold

0? 引? 言

惡意登錄是指不具有登錄權限或不具備登錄條件的人員通過強行手段登錄某臺電腦或后臺服務器，獲取對己方有價值的情報數據，進一步達到相應軍事目的。國內外專家學者對其進行了大量研究，提出了蜜罐技術、用戶行為多元模式法、單分類支持向量機主動學習檢測法等很多檢測方法，本文對典型檢測方法進行綜述性研究，探討當前惡意登錄檢測技術的原理、優缺點以及在具體應用中的選擇策略。

1? 惡意登錄分析

1.1? 惡意登錄的特征

惡意登錄起源于憑證填充[1]，攻擊者通過合法或非法的方式獲得用戶賬戶和密碼，取得用戶登錄權限，登錄自身無權登錄或無需登錄的系統、網絡等，達到自身的某種目的，因此惡意登錄具有隱蔽性好、攻擊性強、破壞性大等特征。

1.1.1? 惡意登錄的隱蔽性

由于軍事系統自身的特點，針對軍用網絡的惡意登錄攻擊基本上都是由內部人員實施的，作為內部人員，其具有外部人員所不具備的對自身網絡系統的了解認知，由其發起的惡意登錄攻擊可以更加容易地避開安全部門開展的預防檢測，最大限度地增加了維護網絡安全的難度，因此相比于其他攻擊行為，惡意登錄更加具有隱蔽性，對軍用計算機網絡管理人員來說也更加難以防范。

1.1.2? 惡意登錄的攻擊性

這里所說的攻擊性是指惡意登錄攻擊目的十分明確，都是為了獲取攻擊者所需的重要信息，并且是在合法的情況下進行，這令絕大部分對攻擊行為進行被動防御的安全軟件無能為力，對比計算機病毒、木馬等攻擊手段，惡意登錄攻擊預防難度更大，攻擊成功率更高。

1.1.3? 惡意登錄的破壞性

因為這些惡意登錄攻擊的制造者通常是軍隊內部人員，更有甚者也有可能是網絡的管理者，這些人員都是作為可信任的對象，有些會被授予相關的權限，他們熟悉相關網絡結構，由于自身身份的原因還掌握著一些涉及重要內部的機密信息。因此，惡意登錄攻擊制造的破壞性相比來自外部的攻擊更大，對我軍重要信息安全更加具有威脅。

1.2? 惡意登錄的分類

從近年來發生的針對我軍網絡系統的惡意登錄攻擊來看，主要分為兩類：

（1）系統內部人員非法操作造成的“無意”誤登錄。根據某通信單位對近十年來發生網絡系統惡意登錄攻擊來看，絕大多數都可以歸納為單位內部人員沒有嚴格按照規定要求使用網絡系統，或者在“無意識”狀態下的操作產生了事實上的惡意登錄行為，這種情況是由內部人員的誤操作造成的，本質上不具有“惡性”的行為目的，不會給軍用網絡系統造成很嚴重的后果。

（2）以竊取涉密信息為目的進行的“有意”惡登錄。這類惡意登錄行為總的占比雖然不高，但對安全保密工作造成的危害是難以估量的，因其攻擊者多為遭到敵方策反的內部人員，熟悉關鍵信息存儲地址，且具有一定的登錄訪問權限，這就使得常規的防火墻、殺毒軟件等不會對這種攻擊進行識別，因此這類惡意登錄攻擊一旦產生，內部關鍵信息必將遭到非法下載、泄露，造成的損失是不可彌補，無法挽回的。

2? 惡意登錄檢測方法

針對惡意登錄攻擊的檢測方法分為兩類：簽名檢測和異常檢測。

2.1? 簽名檢測

簽名檢測方法是在對每個行為進行掃描的同時與惡意行為數據庫中的特征進行比較，查看是否和數據庫中樣本的簽名一致，判斷是否為惡意登錄攻擊。

簽名檢測過程分為以下三個步驟實施：

（1）收集大量的惡意登錄行為數據，并提取它們的“指紋”，然后在一個基礎數據庫中記錄下來，構建一個針對惡意登錄的對照樣本。

（2）當監控或掃描程序發現某個登錄行為數據可疑，提取其相同數據的“指紋”，然后和惡意登錄數據庫中原始值進行比較。

（3）如果通過檢測發現其“指紋”和數據庫中的“指紋”相匹配，就認定其為惡意登錄攻擊。

簽名檢測方法的核心是建立惡意行為數據庫，這也意味著這種檢測方法需要不斷收集新的惡意登錄攻擊樣本，提取它們的特征，盡可能快的對數據庫進行更新。雖然目前部分數據庫的更新已經做到了網絡的實時更新，但鑒于基于簽名的檢測方法的實現基礎，數據庫的更新永遠跟不上新的惡意登錄攻擊出現的速度，想要建立一個完美的惡意登錄行為數據庫是不科學的，也是不現實的，在這種狀況下，只要攻擊數據稍微改變一下，基于簽名的檢測方法就失效了。簽名檢測結構如圖1所示。

2.2? 異常檢測

異常檢測是當前主流的檢測方法。它結合相應的機器學習算法對正常合規的登錄操作進行學習，統計得出正常登錄相應的數據，在檢測時將待測數據和其進行比對，通過閾值判斷是否為惡意登錄攻擊。

惡意登錄異常檢測主要包含三個步驟：

（1）收集正常登錄行為數據，提取數據特征，建立數據庫用于對照學習。

（2）構建動態檢測監控系統用于捕獲登錄行為數據，并與其進行匹配對照。

（3）當檢測某一登錄行為數據超出設定閾值時發出警示信號。

在理想情況下，異常檢測數據庫中的數據經過一定時間后自動進行更新調整，并堅決不能含有任何與惡意登錄攻擊相關的數據[2]，同時異常檢測成立的前提是假設正常登錄行為數據閾值都低于設定的閾值，并且所有超出閾值的行為都是惡意登錄攻擊，而目前閾值的設定并沒有成熟的方法，主要依靠網絡維護人員的自身工作經驗，因此閾值的設定極大地影響了異常檢測的準確性。異常檢測結構如圖2所示。

3? 典型惡意登錄檢測方法的原理

目前圍繞上述兩類惡意登錄檢測技術出現了很多針對具體問題的檢測方法，其中蜜罐技術、用戶行為多元模式法、單分類支持向量機主動學習檢測法、循環神經網絡檢測法四種經典檢測方法得到了廣泛應用。

3.1? 蜜罐技術

蜜罐是一種人為設計的預設漏洞的程序系統，專門用來“誘騙”試圖對網絡系統進行惡意登錄攻擊的內部人員。這與防火墻技術、入侵檢測技術、病毒防護技術、數據加密和認證技術有很大的不同，后者都是在攻擊者對網絡進行攻擊時對系統進行被動的防護，而蜜罐技術可以采取主動的方式[3]。首先它通過模擬一個或多個含有系統漏洞以及“重要信息”的主機或者服務器，主動給攻擊者提供某個易受攻擊的對象；其次，當發現惡意登錄攻擊者一旦與蜜罐進行連接，蜜罐就可以將攻擊者在蜜罐中開展的攻擊行為全部記錄下來，安全人員可以通過分析這些記錄，獲得更多有關攻擊者的相關信息；最后利用蜜罐技術提供的惡意登錄攻擊者相關信息，安全人員能夠快速對其開展“定位”，并結合攻擊者采用的方法手段對網絡系統進行及時的更新和修補，使真實的重要信息得到更好的保護。如圖3所示。

3.2? 用戶行為多元模式法

針對惡意登錄攻擊，該方法通常包括構建用戶行為描述、計算用戶行為特征和用戶行為模式分析三個步驟。

3.2.1? 構建用戶行為描述

構建用戶單域行為描述。對于標簽類屬性、數值類屬性，可以采用二進制特征向量表示它們的特征值，例如可以用“10000”“01000”“00100”“00010”“00001”這5種向量分別表示讀、寫、新建、拷貝、刪除5種操作的特征值。在得到用戶的單域行為特征后，我們基于一個時間窗口，統計合并同一時間窗口的用戶所有單域行為描述，構建成用戶多域行為描述[4]。

3.2.2? 計算用戶行為特征

通過設計相關數學公式，計算用戶行為特征。例如非負矩陣分解（NMF）法的公式為：

X=UV+E≈UV? ? ? ? ? ? ? ? ? ? ? ? ? ? ?（1）

其中，X=[X1， X2，…， Xn]∈，X為原始的數據矩陣，U=[u1， u2，…， ur]∈，U為分解后的基矩陣，V=[v1， v2，…， vn]∈，V為分解后的系數矩陣。m×n維的噪聲矩陣E為逼近誤差。

3.2.3? 用戶行為模式分析

基于高斯混合模型（GMM）等非監督學習技術進行用戶行為多元模式分析。在GMM模型中，同分布的用戶行為特征的高斯分布函數可表示為：

（2）

其中，Σ為協方差矩陣，v為均值向量，x為同分布的用戶行為特征向量，d為用戶行為特征向量長度。

全體用戶行為特征的分布密度表示為不同的高斯分布函數的加權線性組合為：

（3）

其中，x為任意的用戶行為特征，g（·）為高斯分布函數，ρi為第i個高斯分布的權值，m為高斯分布的數量。在檢測時，設定一個惡意登錄攻擊模式閾值，用以區分正常登錄和惡意登錄行為，則高于該閾值的用戶行為則被認為是惡意登錄攻擊行為。

3.3? 單分類支持向量機主動學習檢測法

近年來，單分類支持向量機和主動學習在異常檢測領域的應用日益受到重視，該檢測方法通過特征空間變換、引入松弛變量等方法應對數據集不純凈、不完整的問題，改善模型的檢測性能[5]。

該檢測方法具體分為以下三個步驟：

（1）采用單分類支持向量機和主動學習方法構建高精度和完整性的對照樣本數據庫。

（2）提取檢測登錄行為數據特征，并與數據庫進行對照檢查。

（3）當檢測數據結果大于設定閾值時則判定為惡意登錄行為。

導致異常檢測誤報的兩個主要因素在于數據庫的純凈度和完整度。該方法為了降低檢測誤報率，一方面選擇低置信度和有代表性的樣本，提高數據庫的純凈程度和完整性，另一方面將支持向量機和主動學習方法運用到對數據樣本的訓練中，進一步提高了行為數據庫的代表性。與傳統方法相比，本方法較大的降低了異常檢測誤報率，提高了對惡意登錄攻擊檢測的準確性。

3.4? 循環神經網絡檢測法

循環神經網絡法對登錄用戶操作日志進行分析檢測，找出隱藏在連續日志數據中的上下關系，識別其所包含的惡意登錄數據。

該方法包括三個步驟：

（1）通過對用戶日志數據采用編碼的方式構建日志字典，使用戶操作日志能夠轉換成單個序列的形式。

（2）對每個日志序列進行向量化表示，通過對正常登錄用戶操作特征數據學習，得到正常登錄操作行為機制，進而與待檢測登錄操作信息特征進行對比分析，得到用戶操作評分。

（3）通過閾值判斷用戶操作是否為異常操作，若評分高于閾值，則認為用戶操作異常，模型判斷為惡意登錄，并反饋給技術人員進行后續處理。

該方法使用長短時記憶網絡學習用戶的正常行為模式，利用長短時記憶網絡的記憶特性，融合注意機制，對帶有時序性的惡意登錄攻擊有著很好的檢測效果[1]。循環神經網絡檢測結構如圖4所示。

4? 典型惡意登錄檢測方法優缺點分析

每種惡意登錄檢測方法在檢測效果、算法難度以及適用性等方面均有各自的特點，現將上述4種典型方法優缺點進行歸納，如表1所示。

通過對四種檢測方法的優缺點進行分析，可以得出以下結論：

（1）不同的檢測方法具有各自不同優勢。如蜜罐技術比較適用于被動收集攻擊者行為數據，在靈活性和主動性方面較差；用戶行為多元模式法融合用戶多域行為特征方面較為突出；單分類支持向量機主動學習檢測法在針對攻擊行為較少數據時檢測效果較好；循環神經網絡檢測法是基于用戶行為日志，通過審計日志特征信息查找異常攻擊行為。

（2）不同的檢測方法適用性明顯不同。蜜罐技術方法簡單，方法的適用性較好，能夠實時收集攻擊數據信息；單分類支持向量機主動學習檢測法通過與正常用戶行為數據對照，進行異常檢測，適用于異常行為特征顯著攻擊；用戶行為多元模式法和循環神經網絡檢測法由于需要進行大量用戶行為信息訓練，計算量較大，適合處理高精確度攻擊任務。

5? 結? 論

惡意登錄的檢測方法除了上述的幾種以外，還有諸如基于機器學習、系統調用、人工智能等技術的檢測方法，每種方法都有各自的優缺點，目前并沒有一種檢測方法可以有效地處理所有問題，因此在選擇檢測方法進行惡意登錄攻擊檢測時，要結合具體任務要求權衡利弊，選擇最適合的檢測方法，最大程度地滿足應用需求。

參考文獻：

[1] 明澤.基于主機日志的惡意登錄異常檢測方法研究 [D].太原：中北大學，2021.

[2] FLEGEL U，VAYSSIERE J，BITZ G. A State of the Art Survey of Fraud Detection Technology [J].Insider Threats in Cyber Security，2010：73-84.

[3] 應錦鑫，曹元大.利用蜜罐技術捕捉來自內部的威脅 [J].網絡安全技術與應用，2005（1）：37-39.

[4] 文雨，王偉平，孟丹.面向內部威脅檢測的用戶跨域行為模式挖掘 [J].計算機學報，2016，39（8）：1555-1569.

[5] 劉敬，谷利澤，鈕心忻，等.基于單分類支持向量機和主動學習的網絡異常檢測研究 [J].通信學報，2015，36（11）：136-146.

作者簡介：張磊（1985—），男，漢族，遼寧鞍山人，研究生在讀，研究方向：戰場信息處理與信息安全防護。

收稿日期：2022-09-13