CN101505216A - 基于分层映射的内部威胁模型建立方法 - Google Patents

Abstract

本发明提供一种基于分层映射的内部威胁模型建立方法，利用系统的访问控制关系定义的用户对资源的访问控制权限建立偏序关系，通过偏序关系建立主体和客体的层次模型；根据主、客体的访问控制关系，建立主体层次模型和客体层次模型间的映射，形成一个从主体客体两方面全面描述系统内部威胁特征的分层量化模型；利用层次分析法对主体和客体相关的内部威胁特征进行量化，通过主体模型和客体模型间的映射关系，将主体内部威胁特征和客体内部威胁特征相互关联，实现了主客体内部威胁特征的融合，这种融合实现对主、客体内部威胁特征的同时监测，使系统安全管理员可以从系统内部威胁实时评估检测数据中全面的观测系统内部威胁的变化规律，及时发现内部威胁。

Description

基于分层映射的内部威胁模型建立方法

技术领域

本发明属于信息安全和控制与决策技术领域，涉及到安全管理、访问控制、控制与决策等技术，具体是一种基于主客体分层映射的内部威胁模型，应用于网络与信息系统的安全管理和安全控制等领域。

背景技术

随着社会网络化和信息化的发展，如何全面保证信息系统的安全成为人们面临的一个普遍问题。目前系统面临的安全威胁按照威胁的来源主要可以分成来自系统内部的安全威胁InsiderThreat(简称内部威胁)和来自系统外部的安全威胁Out Threat(外部威胁)。

来自系统外部的安全威胁利用系统的脆弱点，发动攻击获取系统的高级权限进行信息盗窃或者破坏信息系统的运行。经过多年的研究，针对外部威胁，已经具有了多种防御技术，例如用于信息保护的密码技术，用于网络过滤的防火墙技术，用于检测攻击的入侵检测技术，用于加强信息系统基础安全的可信计算技术等等。这些技术的应用在外部威胁的检测和防御方面取得了良好的效果。

随着对信息系统安全研究的不断深入，来自系统内部的安全威胁对系统带来的危害越来越引起了人们的关注。美国官方历年的CSI/FBI调查报告显示，在信息系统面对的各种安全威胁中，虽然从数量上看来自于外部的网络攻击事件的发生频率远远超过内部网络，但是从造成的损失来看，Insider threat却远大于Outsider Threat。并且，随着近年来对信息安全的日益重视和各种安全工具的部署，多数安全威胁造成的损失下降趋势，但与此同时，以Theft of proprietaryinformation为代表的一些内部安全威胁却呈现上升趋势。

当前用来保护信息系统免受外部威胁攻击的控制方法和安全工具对于内部威胁收效甚微，因此，如何建立精确的Insider threat模型，准确地对内部威胁进行量化评估，从而达到对内部威胁的预测和防御成为研究的热点。

近些年来针对内部威胁建立了很多模型，按照建立模型所依据的数据源可以将其分为主体模型和客体模型两大类。

主体模型以Wood B.提出的CMO模型和Parker D.B.建立的SKRAM模型为典型代表。CMO模型以信息系统活动中的主体即用户发动攻击的三个必备条件capability、motive和opportunity作为建立内部威胁模型的主要特征依据，对恶意内部用户行为建模；而SKRAM模型定义了建立内部威胁模型的5个要素：skills、knowledge、resources、authority和motive，围绕内部攻击者拥有的IT技术和知识，执行攻击的动机，所拥有的资源以及得到的授权等信息建立内部威胁模型。主体模型明确将信息系统中的主体对象作为建立内部威胁模型的主要数据来源，对相关信息进行分析以感知内部威胁。但主体模型存在以下缺陷：

①主体特征具有突出的主观性，难以量化；

②采集者和分析者的主观行为都将影响到主体特征的准确量化。

客体模型以Joon S.Park等人提出的CRBM模型和2005年Indrajit Ray等人提出的攻击树剪裁模型为典型代表。CRBM引入了RBAC(基于角色的访问控制)机制，在系统中建立了基于角色、用户个体的两级异常统计分析方法，对违反角色的异常活动使用用户级的异常统计进行进一步分析，经过两级异常分析来提高对内部威胁感知的准确率；攻击树裁减模型利用SPRINT计划，在用户登录时采用交互式方法获取用户的意图，对相应的攻击树进行裁减定制，并引入攻击成本对用户行为进行实时动态监测，实现了对内部威胁的预测。客体模型借鉴了解决OutsiderThreat的成熟技术，对信息系统中内部威胁进行了细致的分层量化，克服了主体模型中主体行为难以量化的弱点。但是，客体模型同样存在缺陷：

①客体模型忽略了内部威胁感知中的主体行为特征；

②难以对检测到的攻击特征进行定性(是内部攻击还是外部攻击)。

由此可见，无论是使用主体模型还是客体模型，都无法同时准确的量化和判定内部威胁。因此，必须设计新的，既能够对内部威胁定性判别，又能够对其进行定量感知内部威胁模型。

发明内容

本发明针对目前系统安全领域内存在的内部合法人员的误用和蓄意破坏等安全问题，针对系统中拥有合法权限的内部人员带来的威胁，提出了一种能够基于主体客体分层映射的内部威胁模型。本模型既吸收了主体特征能够灵敏发现内部威胁的特点，也吸收了客体特征能定量描述内部威胁的特点，并利用访问控制关系中的访问控制关系在主体特征和客体特征间建立了映射关系，使得新的模型同时具有了主体模型和客体模型的优势。

为了解决上述技术问题，本发明提供了一种主体客体分层映射的建模方法，用来实现

[I]对内部威胁主客体特征进行层次量化，提供实时感知内部威胁特征的方法。

[II]将主客体内部威胁特征映射关联，形成全面的，定量定性相结合内部威胁感知方法；

本发明的方法包括如下步骤：

1)利用系统中访问控制权限的包含关系建立主体和客体资源的偏序关系，从而建立描述系统主体和客体资源权限关系的层次化模型结构；

2)利用层次分析法(AHP)方法对主体和客体资源相关的内部威胁属性进行量化，利用访问控制关系将主体和客体的内部威胁特征相关联，形成一个全面的描述内部威胁特征的内部威胁模型。

上述步骤1)中利用系统中的访问控制权限建立主体和客体资源权限关系层次化模型的具体步骤如下：

1.1)设U＝{u1，u2，……}为系统用户集合，R＝{r1，r2，……}为系统资源集合，系统的访问关系矩阵A＝{(u，r)∈U×R：用户u对资源r具有访问权}定义了用户和系统资源间的访问控制关系。

对于用户u， $R\left(u\right)\⊆R$ 表示u能访问的资源集合；对于资源r∈R， $U\left(r\right)\⊆U$ 表示能访问资源r的用户集合，因此，(u，r)∈A等价于r∈R(u)，也等价于u∈U(r)。

由于在系统中，我们已经假设明确地定义了访问关系，因此对于任何用户u和资源r，R(u)和U(r)均为已知。

1.2)基于1.1)信息，我们定义用户和资源的分层关系≤_U和≤_R如下：

设用户u_i，，u_j∈U，r_i，r_j∈R，则有：

$u_i\≤u_j^U\stackrel{\→}{\←}R\left(u_i\right)\⊆R\left(u_j\right),$ 即u_i能够访问的资源是u_j能够访问资源的子集；

$r_i\≤r_j^R\stackrel{\→}{\←}U\left(r_j\right)\⊆U\left(r_i\right),$ 即能够访问r_j的用户是能够访问r_i的用户的子集；

$u_i\≡u_j^U\stackrel{\→}{\←}R\left(u_i\right)=R\left(U_j\right),$ 即两个用户能够访问的资源及其访问权限完全相同；

$r_i\≡r_j^R\stackrel{\→}{\←}U\left(r_j\right)=U\left(r_i\right),$ 即两个资源的可访问用户集合完全相同。

下面我们证明关系≤_U为建立在用户集合U上的偏序关系：

证明：A.对于用户集合U中的任意元素u_i，其所能访问的资源必然是自己的子集，即满足 $R\left(u_i\right)\⊆R\left(u_i\right),$ 故≤U是自反的；

B.对于任何元素u_i，u_j∈U，u_i能够访问的资源是u_j能够访问的资源的子集，同时，u_j能够访问的资源是u_i能够访问的资源的子集，那么根据定义中的第三条，必有u_i≡_Uu_j，故≤U是反对称的；

C.对于任何元素u_i，u_k，u_j∈U，如果，u_i≤_Uu_k同时u_k≤_Uu_j，即u_i能够访问的资源是u_k

能够访问的资源的子集，而u_k能够访问的资源是u_j能够访问的资源的子集，那么，

u_i能够访问的资源也是u_j能够访问的资源的子集，即u_i≤_Uu_j，故是传递的。

由A、B、C可知，关系≤_U满足自反、反对称和传递三条件，因此，≤_U是一个建立在集合U上的偏序关系，同理可证≤_R是建立在集合R上的偏序关系。

1.3)偏序关系≤_U和偏序关系≤_R将信息系统内部的主体和客体按照统一的规则进行描述，描述形成两个关联的层次结构。在层次结构中，节点u_i处于节点u_j之下(u_i≤_Uu_j)当且仅当在图中存在一条从u_j到u_i的有向边，节点r_i处于节点r_j之下(r_i≤_rr_j)当且仅当在图中存在一条从r_j到r_i的有向边。

上述步骤2)中利用层次分析法和访问控制关系，形成一个全面描述内部威胁特征的内部威胁模型：

2.1)用户层次结构(U，≤_U)和资源层次结构(R，≤_R)为从系统的管理关系、访问关系得来的两个偏序结构，存在映射关系f：U→R描述了偏序结构(U，≤_U)到偏序结构(R，≤_R)的映射，f(u)＝R(u)当且仅当R(u)等于访问关系矩阵A中定义的u能够访问资源集合。

映射关系f定义了从用户层次结构中用户对象到资源层次结构中其能够访问的资源集合间的映射关系，从而在用户层次结构(U，≤_U)和资源层次结构(R，≤_R)之间建立了关联。用户层次结构中的任意一个对象u_i，在资源层次机构中必然存在一个子偏序结构(R_i，≤R)，使得R_i＝R(u)＝f(u)，且 $R_i\⊆R.$

2.2)分层映射内部威胁模型定义为一个三元组{U，R，f}。其中U、R是利用用户的职权能力范围和资源访问控制关系得到的两个偏序层次结构(U，≤_U)、(R，≤_R)，f为两个偏序结构间的映射关系。

分层映射内部威胁模型定义的偏序层次结构及其映射关系为系统主客体内部威胁的分解量化和映射融合建立了基础。分层量化和层次分析法为原本难以计算的定性内部威胁特征提供了量化计算方法，使得定性内部威胁特征和定量内部威胁特征具有了同时参与量化计算的能力；映射关联则将和同一系统活动相关的主体客体特征融合为一个整体，更全面的反映系统内部威胁的实时变化。

和现有技术相比，本发明具有的有益效果为：

1)从主体和客体两个角度建立层次结构，从主观、客观两个方面量化了形成内部威胁的各种系统特征，和现有技术相比数据源更加全面，提高了模型的准确性；

2)在层次模型的基础上采用层次分析法建立的威胁量化函数对主体和客体内部威胁特征进行量化，克服了主观内部威胁特征难以量化的困难，突破了传统主体模型必须依靠经验和统计建模的局限；

3)根据访问控制关系将主体、客体的威胁特征建立关联，将系统的定性特征和定量特征相结合，从而在定量计算内部威胁的时候给其定性，从而全面实现了内部威胁实时量化，克服了原主体模型缺乏实时性的缺点和客体模型难以定性的困难；

4)系统中的内部活动使得主体对象和客体资源子集合间建立了映射关联，因而与主体和客体资源子集合相关的内部威胁属性能够从主客体两方面全面描述此内部活动的内部威胁状态。

附图说明

图1：本发明设计的主体层次结构和客体层次结构

名词解释：

Insider Threat：内部威胁；

Outsider Threat：外部威胁；

Theft ofproprietary information：私有信息盗窃；

SPRINT：能力签名修订指令表

RBAC：基于角色的访问控制；

AHP：analytic hierarchy process，层次分析法；

CRBM：Composite Role-Based Monitoring，基于角色的综合监控；

AC：Access Control，访问控制。

具体实施方式

一个完整的内部威胁建立方法为：

1)主体、客体内部威胁层次模型的建立：利用系统的访问控制关系中定义的用户对资源的访问控制权限建立偏序关系，从而通过建立的偏序建立主体和客体的层次模型，过程如下：

1.1)设U＝{u1，u2，……}为系统用户集合，R＝{r1，r2，……}为系统资源集合，系统的访问关系矩阵A＝{(u，r)∈U×R：用户u对资源r具有访问权}定义了用户和系统资源间的访问控制关系。

对于用户u， $R\left(u\right)\⊆R$ 表示u能访问的资源集合；对于资源r∈R， $U\left(r\right)\⊆U$ 表示能访问资源r的用户集合，因此，(u，r)∈A等价于r∈R(u)，也等价于u∈U(r)。

由于在系统中，我们已经假设明确地定义了访问关系，因此对于任何用户u和资源r，R(u)和U(r)均为已知。

1.2)基于1.1)信息，我们定义用户和资源的分层关系≤_U和≤_R如下：

设用户u_i，u_j∈U，r_i，r_j∈R，则有：

$u_i\≤u_j^U\stackrel{\→}{\←}R\left(u_i\right)\⊆R\left(u_j\right),$ 即u_i能够访问的资源是u_j能够访问资源的子集；

$r_i\≤r_j^R\stackrel{\→}{\←}U\left(r_j\right)\⊆U\left(r_i\right),$ 即能够访问r_j的用户是能够访问r_i的用户的子集；

$u_i\≡u_j^U\stackrel{\→}{\←}R\left(u_i\right)=R\left(U_j\right),$ 即两个用户能够访问的资源及其访问权限完全相同；

$r_i\≡r_j^R\stackrel{\→}{\←}U\left(r_j\right)=U\left(r_i\right),$ 即两个资源的可访问用户集合完全相同。

可证得：≤_U满足自反、反对称和传递三条件，因此，≤_U是一个建立在集合U上的偏序关系，同理可证≤_R是建立在集合R上的偏序关系；

1.3)偏序关系≤_U和偏序关系_≤R将信息系统内部的主体和客体按照统一的规则进行描述，描述形成两个关联的层次结构。见图1，在层次结构中，节点u₃₁处于节点u₂₁之下(u₃₁≤_Uu₂₁)当且仅当在图中存在一条从u₂₁到u₃₁的有向边，节点r₃₁处于节点r₂₁之下(r₃₁≤_rr₃₁)当且仅当在图中存在一条从r₂₁到r₃₁的有向边，同理具有控制权限关系的主体对象间和客体对象间均可由有向边连接，从而构成了主体与客体层次结构。

1.4)根据主体、客体层次结构，可以建立对主体对象的内部威胁权限能力特征和客体对象的资源重要性特征进行分解量化。

A、权限能力特征的量化：

设f_layer()为层次结构的层次量化函数：

$f_{\mathrm{layer}}\left(u_{i,j}\right)=\left\{\begin{array}{c}{f}_{\mathrm{layer}}\left(u_{i,k}\right)\\ f_{\mathrm{layer}}\left(u_{i+1,k}\right)+{10}^{U{V}_a}\end{array}\right.$ ，其中f_layer(u_max(i)，j)＝UV_a(1)

公式(1)中UV_a为权限能力特征量化单位值，用10的UV_a次幂区分相邻两层的主体权限能力特征是为了突出权限能力特征量化值对内部威胁衡量的影响。

因此，对于主体层次结构中 ${\∀u}_{i,j}\∈U,$ 其主体权限能力特征内部威胁属性可用公式(2)计算

S(u_i，j)＝f_layer(u_i，j)(2)

使用层次量化函数f_layer()量化主体层次结构所描述偏序对象，使得原本抽象的主体权限能力特征能够以主体对象在层次结构中层次地位的方式准确定量描述。

B、资源重要性特征的量化：

系统中的客体同样也是一个可以用层次关系描述的偏序结构，见图1。这个偏序层次结构采用和主体对象同样层次量化方法对其中对象进行量化：

$f_{\mathrm{layer}}\left(r_{i,j}\right)=\left\{\begin{array}{c}{f}_{\mathrm{layer}}\left(r_{i,k}\right)\\ f_{\mathrm{layer}}\left(r_{i+1,k}\right)+{10}^{U{V}_r}\end{array}\right.,$ f_layer(u_max(i)，j)＝UV_r，(3)

UV_r为资源重要性特征量化单位值；

2)建立主客体间的映射：如图1所示，根据访问控制关系中主体和客体的访问控制关系，建立主体层次模型和客体层次模型间的映射，形成一个从主体客体两方面全面描述系统内部威胁特征的分层量化模型，过程如下：

2.1)用户层次结构(U，≤_U)和资源层次结构(R，≤_R)为从系统的管理关系、访问关系得来的两个偏序结构，存在映射关系f：U→R描述了偏序结构(U，≤_U)到偏序结构(R，≤_R)的映射，例如：f(u₂₁)＝R(u₂₁)当且仅当R(u₂₁)等于访问关系矩阵A中定义的u₂₁能够访问资源子集合。

映射关系f定义了用户到其访问资源的映射，在用户层次结构(U，≤_U)和资源层次结构(R，≤_R)之间建立了关联。用户层次结构中的任意一个对象u_i，在资源层次机构中必然存在一个子偏序结构(R_i，≤_R)，使得R_i＝R(u)＝f(u)，且

因此，对于主体层次结构中和此用户相关的资源重要性内部威胁特征可用下公式(4)计算：

R(u_ix)＝∑(f_layer(r_i，x)*k_i，x)    (4)

其中r_i，x是利用映射关系 $u_{i,x}\stackrel{f}{\→}R\left(u_{i,x}\right)$ 得到资源集合的成员，k_i，x为资源r_i，x的安全权值，

它代表着资源r_i，x提供服务、系统平台的内部威胁量化值，其量化方法由实时安全评估方案提供。

2.1)实时安全评估方案采用层次分析法对主机提供服务的重要性进行量化。从服务重要性判断原则表中可以看出：当用户数目越多，访问频率越大时，服务重要性越高；提供服务的数量越多，服务的重要性越高，主机的重要性也就越高，因此得公式(5)：

k_i，x＝P_hF_h+P_mF_m+P_lF_l；(5)

其中P_h、P_h、P_l分别为利用服务重要性判断原则和正常网络活动中的统计信息计算所得资源r_i，x中高、中、低3种服务重要程度的量化权值，标示着该客体资源中各种服务的所占的比例及其在信息系统中所起的作用；F_h，F_m，r_i为系统运行时采集的用户u_i，x访问主机r_ix上高、中、低3种服务的实时频率，利用公式(5)计算可得信息系统客体资源r_i，x的服务及平台内部威胁实时评估数据k_i，x。

3)分层映射内部威胁模型：在建立主客体内部威胁偏序层次结构和映射关系的基础上，分层映射内部威胁模型定义为一个三元组{U，R，f{结构。其中U、R是利用用户的职权能力范围和资源访问控制关系得到的两个偏序层次结构(U，≤_U)、(R，≤_R)，f为两个偏序结构间的映射关系。

分层映射内部威胁模型定义的偏序层次结构及其映射关系为系统主客体内部威胁的分解量化和映射融合建立了基础。分层量化和层次分析法为原本难以计算的定性内部威胁特征提供了量化计算方法，使得定性内部威胁特征和定量内部威胁特征具有了同时参与量化计算的能力；映射关联则将和同一系统活动相关的主体客体特征融合为一个整体，更全面的反映系统内部威胁的实时变化。

从图1可以看出，系统中内部活动使得主体对象u_ij和客体资源子集合R(u_ij)＝f(u_ij)间建立了映射关联，因而与主体u_ij和客体资源子集合R(u_ij)相关的内部威胁属性能够从主客体两方面全面描述此内部活动的内部威胁状态。

综合主体和客体内部威胁特征的量化方法，主体层次模型的内部威胁特征量化评估为：

I(u_i，j)＝S(u_i，j)+R(u_i，j)＝f_layer(u_i，j)+∑(f_layer(r_i，x)*k_i，x)(6)

通过以上构造过程，实现了基于主体客体分层映射的内部威胁模型及其量化方案。

Claims (5)

1、一种基于分层映射的内部威胁模型建立方法，其特征在于包括如下步骤：

1.1)利用系统中访问控制关系和访问控制权限的包含关系建立主体和客体的偏序关系，进而在偏序关系的基础上建立系统主体和客体层次化模型以及二者间的映射关联；

1.2)利用层次分析法AHP对主体和客体相关的内部威胁属性进行量化，利用访问控制关系将主体和客体的内部威胁特征相关联，形成一个全面的描述内部威胁特征的内部威胁模型。

2、根据权利要求1所述的分层映射的内部威胁模型建立方法，其特征在于：利用系统中的访问控制权限包含关系建立主体对象和客体对象的偏序关系，进而建立主体和客体层次化模型，具体步骤如下：

2.1)设U＝{u_i|i＝0，1，2…m}为系统用户即主体集合，R＝{r_i|i＝0，1，2…n}为系统资源即客体集合，系统的访问关系矩阵A＝{(u，r)∈U×R：用户u对资源r具有访问权}定义了用户和系统资源间的访问控制关系；对于用户u，用 $R\left(u\right)\⊆R$ 表示u能访问的资源子集合；对于资源r∈R，用 $U\left(r\right)\⊆U$ 表示能访问资源r的用户集合，因此，(u，r)∈A等价于r∈R(u)，也等价于u∈U(r)；

2.2)基于1.1)信息，定义用户和资源的分层关系≤_U和≤_R如下：

从用户集合U中选取两个元素u_i，u_j，从资源集合R中选取两个元素r_i，r_j，根据系统定义的访问关系，对于任何用户u和资源r，R(u)和U(r)均为已知

即u_i能够访问的资源是u_j能够访问资源的子集；

即能够访问r_j的用户是能够访问r_i的用户的子集；

即两个用户能够访问的资源及其访问权限完全相同；

即两个资源的可访问用户集合完全相同；

可证得：≤_U满足自反、反对称和传递三条件，因此，≤_U是一个建立在集合U上的偏序关系，同理可证≤_R是建立在集合R上的偏序关系；

2.3)信息系统内部的主体和客体按照偏序关系≤_U和≤_R进行排序，形成两个关联的层次结构：u_i≤_Uu_j表示在层次结构中，节点u_i位于节点u_j的邻接下层，r_i≤_Rr_j表示在层次结构中，节点r_i位于节点r_j的邻接下层。

3、根据权利要求1所述的分层映射的内部威胁模型建立方法，其特征在于：利用层次分析法和访问控制关系，形成的分层映射内部威胁模型由三元组{U，R，f}构成，其中U和R是利用用户的职权能力范围和资源访问控制关系得到的两个偏序层次结构(U，≤_U)和(R，≤_R)，f为两个偏序结构间的映射关系。

4、根据权利要求3所述的分层映射的内部威胁模型建立方法，其特征在于：映射关系f:U→R描述了偏序结构(U，≤_U)到偏序结构(R，≤_R)的映射，f(u)＝R(u)当且仅当R(u)等于访问关系矩阵A中定义的u能够访问资源集合。

5、根据权利要求4所述的分层映射的内部威胁模型建立方法，其特征在于：用户偏序层次结构中的任意一个对象u，在资源偏序层次结构中必然存在一个子偏序结构(R_i，≤_R)，使得R_i＝R(u)＝f(u)，且 $R_i\⊆R.$

Images