CN103312723B - 一种基于访问向量的内部威胁特征构建方法 - Google Patents

Abstract

本发明公开了一种基于访问向量的内部威胁特征构建方法，利用系统中的访问控制权限建立主体和客体资源权限关系层次化模型，进而用层次分析法和访问控制关系，构造主客体融合的层次化访问控制偏序结构≤_V，使用层次分析法对偏序结构≤_V中节点的内部威胁指数进行量化评估，最后根据层次化访问控制结构≤_V中节点和系统中的访问行为定义访问向量，并依据层次化访问控制结构≤_V中节点威胁指数计算访问向量威胁权值。根据主客体融合的层次化访问控制偏序结构定义的访问向量将主体内部威胁特征和客体内部威胁特征相互关联，实现了主客体内部威胁特征的融合，并能标识系统中用户实时行为的威胁指数，提高了识别的准确性和实时性，对信息系统中内部行为的威胁识别具有很高的实用价值。

Description

一种基于访问向量的内部威胁特征构建方法

技术领域

本发明涉及信息安全和控制与决策技术领域中的安全管理、访问控制、控制与决策等技术，具体涉及一种基于访问向量的内部威胁特征构建方法，应用于网络与信息系统的安全管理和安全控制等领域。

背景技术

内部威胁（Insiderthreat）是指具有信息系统访问权限的内部人员滥用或误用权限对信息系统安全造成的威胁。和外部威胁利用系统安全统脆弱点攻击时典型的异常越权行为表现不同，内部威胁利用其在信息系统内部拥有合法的身份和较高的权限对系统资源进行恶意操作和控制，其表现更加隐蔽，更加难以被察觉。

美国官方历年的CSI/FBI调查报告显示，在信息系统面对的各种安全威胁中，虽然从数量上看来自于外部的网络攻击事件的发生频率远远超过内部网络，但是从造成的损失来看，内部威胁却远大于OutsiderThreat（外部威胁）。并且，随着近些年来云计算、普适计算信息技术新应用方式日益蓬勃发展，内部威胁的危害性日益严重。例如，云计算等新型计算机模式将大量数据和应用放置于云端，使得内部威胁中的身份假冒问题更加严重；此外，当数据和应用交由云服务提供商托管存储在云端时，实际上发生了数据和系统管理权限的转移，此时云计算服务提供商，特别是具有高级权限的管理员，将可能给用户数据带来更大的威胁，如导致用户数据泄露，甚至将其盗卖给竞争对手；如何在这些新兴技术模式中建立安全的感知、防御内部威胁的方法，已经成为研究的热点。

目前已有的针对内部威胁的检测方法所采用的技术多种多样,其中使用较多的是基于人工智能的方法。Lee等人提出结合实时入侵检测和数据挖掘技术,用学习代理挖掘数据、生成模式作为入侵检测的分类器,以此检测资源滥用行为。与之相似,Singhal与Etroz等人通过挖掘入侵事件之间的关联规则非实时地检测内部人员的恶意行为。Buford等人和Wang等人基于多代理的思想,设计了资源滥用行为的检测方法。这些研究延续入侵检测的思想,同等对待源于系统外部的攻击和内部人员的恶意行为,却忽略了攻击方法上的区别对检测结果的影响。

Anderson等人采用统计学习的方法,通过评估用户当前行为与过去行为的偏离程度判断行为是否异常。Santos等人对用户的登录信息和访问过的文档进行分析,建立用户的计算模型并确定检测指标,如果分析结果与模型有偏差,则确定存在恶意的内部行为。上述基于人工智能的检测方法,大多需要标记数据训练分类器。然而在实际应用中,如何获取标记数据是个难题。此外,用户行为模式的偶然变化将会导致误报,也是这类方法难以克服的缺陷.

此外Mathew等人构建用户的能力获取图(CAG),通过CAG搜索可能存在的内部人员攻击。在这些研究中,尽管所用方法各有不同,但是都毫无例外地以获得恶意内部用户的先验知识(如:攻击者的能力、攻击步骤、攻击成本等)为前提,只有充分掌握内部攻击者的知识,才有可能检测资源滥用行为。然而在实际应用中,在成功地检测之前获得攻击者的先验知识是个困难问题,因此这些方法的实用性难以保证。

由此可见，无论是使用主体模型还是客体模型，内部威胁的特征获取都是建模和威胁检测的核心内容。因此，必须设计新的内部威胁特征构建方法。

发明内容

本发明针对目前系统安全领域内存在的内部合法人员的误用和蓄意破坏等安全问题，针对系统中拥有合法权限的内部人员带来的威胁，提出了一种基于访问向量的内部威胁特征构建方法，具体地说，基于访问向量的内部威胁特征利用访问控制关系建立的访问向量可以监测系统内部威胁，既吸收了主体特征能够灵敏发现内部威胁的特点，也吸收了客体特征能定量描述内部威胁的特点，使得新的内部威胁特征同时具有了主体模型和客体模型的优势。

为了解决上述技术问题，实现融合主客体及访问控制关系中层次特征的访问向量，以及访问向量相关内部威胁指数的量化评估方法，本发明旨在于提供一种基于访问向量的内部威胁特征得构建方法，所采用的技术方案如下：

一种基于访问向量的内部威胁特征构建方法，具有访问者与被访问者，所述方法包括如下步骤：

（1）利用系统中的访问控制权限建立主体和客体资源权限关系层次化模型；

（2）利用层次分析法和访问控制关系，构造主客体融合的层次化访问控制偏序结构≤_V；

（3）使用层次分析法对偏序结构≤_V中节点的内部威胁指数进行量化评估；

（4）根据层次化访问控制结构≤_V中节点定义访问向量V，访问向量所标识系统中用户行为的威胁指数依据层次化访问控制结构≤_V中节点威胁指数进行定义计算。

需要进一步说明的是，所述利用系统中访问控制关系和访问控制权限的包含关系建立主体和客体的偏序关系，具体步骤如下：

（1.1.A）设U={u_i|i=0,1,2…m}为系统用户即主体集合，其中，m为系统用户数目，R={r_i|i=0,1,2…n}为系统资源即客体集合，其中，n为系统资源数目，系统的访问关系矩阵A={（u，r）∈U×R:用户u对资源r具有访问权}定义了用户和系统资源间的访问控制关系；对于用户u，用表示u能访问的资源子集合；对于资源r∈R，用表示能访问资源r的用户集合，因此，（u，r）∈A等价于r∈R（u），也等价于u∈U（r）；

（1.1.B）根据步骤（1.1.A）的信息，定义用户和资源的分层关系≤_U和≤_R如下：

从用户集合U中选取两个元素u_i,u_j，从资源集合R中选取两个元素r_i,r_j，根据系统定义的访问关系，对于任何用户u和资源r，R（u）和U（r）均为已知，则：

即u_i能够访问的资源是u_j能够访问资源的子集；

即能够访问r_j的用户是能够访问r_i的用户的子集；

即两个用户能够访问的资源及其访问权限完全相同；

即两个资源的可访问用户集合完全相同；

可证得：≤_U满足自反、反对称和传递三条件，因此，≤_U是一个建立在集合U上的偏序关系，同理可证≤_R是建立在集合R上的偏序关系；

偏序关系≤_U和偏序关系≤_R可以将信息系统内部的主体和客体按照统一的规则进行描述，描述形成的两个有向无环图将系统表示为主体、客体两个层次结构。在有向无环图中，节点v_i处于节点v_j之下（v_i≤v_j）当且仅当在图中存在一条从v_j到v_i的有向边；

（1.2）在主体偏序关系≤_U和客体偏序关系≤_R的基础上构造主客体融合的层次化访问控制偏序结构≤_V，并使用层次分析法对偏序结构≤_V中节点的内部威胁指数进行量化评估，具体步骤如下：

（1.2.A）首先偏序结构≤_V的初始状态为≤_U，即将主体偏序结构≤_U复制形成偏序机构≤_V的初始状态；以广度优先遍历逆序的方式从客体偏序结构≤_R中选取节点r，同样以从广度优先遍历逆序的方式在主体偏序结构≤_U中查找节点r的插入位置，寻找所有可访问r且其所有后继结点都不能访问r的节点作为节点r的父节点，由于r可能有多个父节点，因此，每插入一个r都要将≤_U进行完整的广度优先逆序遍历；r节点的父节点搜寻结束后，在≤_V中r的下层节点中查找偏序结构≤_R中r节点的直接后继，如果存在则将这些后继结点链接为r的叶子节点；最后遍历≤_V中所有r∈R，判别是否有u∈U与其具有相同的直接前驱集合和直接后继集合，若存在这样的r与u，将两节点合并为一个节点；

按上述算法构造的层次化访问控制结构≤_V中，包含了用户层次结构（U，≤_U）资源层次结构（R，≤_R），这两个层次结构以一一映射f_U:U→V和f_R:R→V两种方式内嵌在（V，≤_V）中；f_U:U→V使得所有u_i,u_j∈U，u_i≤_Uu_j当且仅当f_U(u_i)≤f_U(u_j)；f_R:R→V使得所有r_i,r_j∈R，r_i≤_Rr_j当且仅当f_R(r_i)≤f_R(r_j)；用户u∈U能够访问r∈R当且仅当u在层次结构（V，≤_V）中位于r的上方，即，f_R(r)≤f_U(u)；

（1.2.B）根据层次化访问控制模型和层次分析法，可以对层次结构≤_V中节点的内部威胁指数进行量化评估，设f()为层次化访问控制模型的层次量化函数：

$f\left(v_{i,j}\right)=\left\{\begin{array}{c}f\left(v_{i,k}\right)\\ f\left(v_{i+1,k}\right)+X\end{array}\right.;$

其中v_i,j中“i,j”为节点u在层次化访问控制模型中的坐标，i表示行，j表示是这i行中第j个叶子节点；f(v_max(i),j)=X,X为量化权值单位量，在不同的系统中，量化权值单位量X的取值变化较大，应根据不同的业务环境背景进行相应的调整；

（1.3）根据主客体融合的层次化访问控制结构≤_V定义访问向量，其步骤如下：

根据层次化访问控制结构≤_V中节点可定义访问向量V_ij，V_ij是以访问主体节点v_i∈V为起点，以访问的客体节点v_j∈V为终点的带权值向量V_ij。在偏序结构中，若节点v_i覆盖节点v_j，则访问向量V_ij可表示为层次化访问控制模型中的实体边；若节点v_i不覆盖节点v_j，则访问向量V_ij表示为层次化访问控制模型中由节点v_i为起点，节点v_j为终点的一条虚拟边；

其中，访问向量V_ij是一个包含多元信息的向量：访问的起点v_i标识了访问行为的访问者，即主体；访问的终点v_j标识着访问动作的被访问者，即客体；访问向量的权值，即访问向量所标识系统中用户行为的威胁指数依据层次化访问控制模型节点威胁指数进行定义：

Weight(v_ij)=(f(v_i)+f(v_i))/2；

其中，访问向量是一个带权值、有确定的访问者和被访问对象的向量，访问向量威胁指数量化中将主体威胁指数和客体威胁指数取均值以标识访问向量指代访问行为可能对系统造成的威胁，综合了主体威胁蕴含的用户权限和客体威胁蕴含的资源密级信息。

本发明有益效果在于：

1、从主体和客体两个角度建立层次结构，从主观、客观两个方面量化了形成内部威胁的各种系统特征，和现有技术相比数据源更加全面，提高了模型的准确性；

2、融合主体和客体层次结构，构造主客体融合的层次化访问控制偏序结构≤_V，为量化系统中的主客体对象的威胁指数建立基础；

3、在主客体融合的层次化访问控制偏序结构≤_V的基础上定义访问向量V，实现了系统中用户实时行为的内部威胁的标识和量化；

4、包含多元信息的带权访问向量，蕴含了访问行为的发起者，被访问资源等多种因素，适合于在复杂的多用户分布式环境中描述系统中的内部威胁。

附图说明

图1为本发明中主体偏序关系（a）与客体偏序关系（b）；

图2为本发明中层次化访问控制模型；

图3为本发明的访问向量。

具体实施方式

下面将结合附图对本发明作进一步的描述。

如图1、图2所示，本发明为一种基于访问向量的内部威胁特征构建方法，具有访问者与被访问者，所述方法包括如下步骤：

步骤1，利用系统中访问控制关系和访问控制权限的包含关系建立主体和客体的偏序关系，其中包括步骤如下：

（1.1.A）设U={u_i|i=0,1,2…m}为系统用户即主体集合，m为系统用户数目，R={r_i|i=0,1,2…n}为系统资源即客体集合，n为系统资源数目，系统的访问关系矩阵A={（u，r）∈U×R:用户u对资源r具有访问权}定义了用户和系统资源间的访问控制关系；对于用户u，用表示u能访问的资源子集合；对于资源r∈R，用表示能访问资源r的用户集合，因此，（u，r）∈A等价于r∈R（u），也等价于u∈U（r）；

（1.1.B）根据步骤（1.1.A）信息，定义用户和资源的分层关系≤_U和≤_R如下：

从用户集合U中选取两个元素u_i,u_j，从资源集合R中选取两个元素r_i,r_j，根据系统定义的访问关系，对于任何用户u和资源r，R（u）和U（r）均为已知

即u_i能够访问的资源是u_j能够访问资源的子集；

即能够访问rj的用户是能够访问ri的用户的子集；

即两个用户能够访问的资源及其访问权限完全相同；

即两个资源的可访问用户集合完全相同；

可证得：≤_U满足自反、反对称和传递三条件，因此，≤_U是一个建立在集合U上的偏序关系，同理可证≤_R是建立在集合R上的偏序关系；

偏序关系≤_U和偏序关系≤_R可以将信息系统内部的主体和客体按照统一的规则进行描述，描述形成的两个有向无环图,如图1所示，将系统表示为主体、客体两个层次结构。在有向无环图中，节点v_i处于节点v_j之下（v_i≤v_j）当且仅当在图中存在一条从v_j到v_i的有向边。

步骤2，在主体偏序关系≤_U和客体偏序关系≤_R的基础上构造主客体融合的层次化访问控制偏序结构≤_V，并使用层次分析法对偏序结构≤_V中节点的内部威胁指数进行量化评估，其中包括以下步骤：

（2.1）层次化访问控制结构≤_V的构造算法：

（2.1.1）将主体偏序结构≤_U复制形成偏序机构≤_V，即≤_V的初始状态为≤_U；

（2.1.2）从客体偏序结构≤_U中按照广度优先遍历方式选取节点r_i，将节点压入堆栈SR；

（2.1.3）从主体偏序结构≤_R中按照广度优先遍历方式选取节点u_j，将节点压入堆栈SU；

（2.1.4）从SR中弹出节点r；//准备插入数据；

（2.1.5）从SU中弹出节点u；//准备索引数据；

（2.1.6）在≤_V中找到节点u以及u的直接后继节点集合U`；

ifr∈R(u)&&(U`)；

将r添加为≤_V中u的叶子节点；

判别≤_V中节点r的下层节点中是否存在偏序结构≤_R中r节点的直接后继，如果存在则将这些后继结点链接为r的叶子节点；

（2.1.7）if SU≠ΦGOTO（2.1.5）；//判定r与U中所有节点的关系；

（2.1.8）if SR≠ΦGOTO（2.1.3）；//以广度优先遍历的逆序方式处理所有r∈R；

（2.1.9）遍历≤_V中所有r∈R，判别是否有u∈U与其具有相同的直接前驱集合和直接后继集合，若存在这样的r与u，将两节点合并为一个节点。

按上述算法构造的层次化访问控制结构≤_V中（图2），包含了用户层次结构（U，≤_U）资源层次结构（R，≤_R），这两个层次结构以一一映射f_U:U→V和f_R:R→V两种方式内嵌在（V，≤_V）中；f_U:U→V使得所有u_i,u_j∈U，u_i≤_Uu_j当且仅当f_U(u_i)≤f_U(u_j)；f_R:R→V使得所有r_i,r_j∈R，r_i≤_Rr_j当且仅当f_R(r_i)≤f_R(r_j)；用户u∈U能够访问r∈R当且仅当u在层次结构（V，≤_V）中位于r的上方，即，f_R(r)≤f_U(u)。

（2.2）根据层次化访问控制模型和层次分析法，可以对层次结构≤_V中节点的内部威胁指数进行量化评估；

设f()为层次化访问控制模型的层次量化函数：

$f\left(v_{i,j}\right)=\left\{\begin{array}{c}f\left(v_{i,k}\right)\\ f\left(v_{i+1,k}\right)+X\end{array}\right.;$

其中v_i,j中“i,j”为节点u在层次化访问控制模型中的坐标，i表示行，j表示是这i行中第j个叶子节点；f(v_max(i),j)=X,X为量化权值单位量，在不同的系统中，量化权值单位量X的取值变化较大，应根据不同的业务环境背景进行相应的调整；

步骤3，根据主客体融合的层次化访问控制结构≤_V定义访问向量，其中包括以下步骤：

根据层次化访问控制结构≤V中节点可定义访问向量V_ij，V_ij是以访问主体节点v_i∈V为起点，以访问的客体节点v_j∈V为终点的带权值向量V_ij。在偏序结构中，若节点v_i覆盖节点v_j，则访问向量V_ij可表示为层次化访问控制模型中的实体边；若节点v_i不覆盖节点v_j，则访问向量V_ij表示为层次化访问控制模型中由节点v_i为起点，节点v_j为终点的一条虚拟边。需要说明的是，如图3所示，访问向量V_ij是一个包含多元信息的向量：访问的起点v_i标识了访问行为的访问者，即主体；访问的终点v_j标识着访问动作的被访问者，即客体；访问向量的权值，即访问向量所标识系统中用户行为的威胁指数依据层次化访问控制模型节点威胁指数进行定义：

Weight(v_ij)=(f(v_i)+f(v_i))/2；

访问向量是一个带权值、有确定的访问者和被访问对象的向量，访问向量威胁指数量化中将主体威胁指数和客体威胁指数取均值以标识访问向量指代访问行为可能对系统造成的威胁，综合了主体威胁蕴含的用户权限和客体威胁蕴含的资源密级信息。

进一步地说，包含多元信息的带权访问向量，蕴含了访问行为的发起者，被访问资源等多种因素，适合于在复杂的多用户分布式环境中描述系统中的内部威胁。

对于本领域的技术人员来说，可根据以上描述的技术方案以及构思，做出其它各种相应的改变以及变形，而所有的这些改变以及变形都应该属于本发明权利要求的保护范围之内。

Claims (1)

1.一种基于访问向量的内部威胁特征构建方法，具有访问者与被访问者，所述方法包括如下步骤：

(1)利用系统中的访问控制权限建立主体和客体资源权限关系层次化模型；

(2)利用层次分析法和访问控制关系，构造主客体融合的层次化访问控制偏序结构≤_V；

(3)使用层次分析法对偏序结构≤_V中节点的内部威胁指数进行量化评估；

(4)根据层次化访问控制结构≤_V中节点定义访问向量V，访问向量所标识系统中用户行为的威胁指数依据层次化访问控制结构≤_V中节点威胁指数进行定义计算；其特征在于

其中，所述利用系统中访问控制关系和访问控制权限的包含关系建立主体和客体的偏序关系，具体步骤如下：

(1.1.A)设U＝{u_i|i＝0,1,2…m}为系统用户即主体集合，其中，m为系统用户数目，R＝{r_i|i＝0,1,2…n}为系统资源即客体集合，其中，n为系统资源数目，系统的访问关系矩阵A＝{(u，r)∈U×R:用户u对资源r具有访问权}定义了用户和系统资源间的访问控制关系；对于用户u，用表示u能访问的资源子集合；对于资源r∈R，用表示能访问资源r的用户集合，因此，(u，r)∈A等价于r∈R(u)，也等价于u∈U(r)；

(1.1.B)根据步骤(1.1.A)的信息，定义用户和资源的分层关系≤_U和≤_R如下：

从用户集合U中选取两个元素u_i,u_j，从资源集合R中选取两个元素r_i,r_j，根据系统定义的访问关系，对于任何用户u和资源r，R(u)和U(r)均为已知，则：

即u_i能够访问的资源是u_j能够访问资源的子集；

即能够访问r_j的用户是能够访问r_i的用户的子集；

即两个用户能够访问的资源及其访问权限完全相同；

即两个资源的可访问用户集合完全相同；

可证得：≤_U满足自反、反对称和传递三条件，因此，≤_U是一个建立在集合U上的偏序关系，同理可证≤_R是建立在集合R上的偏序关系；

偏序关系≤_U和偏序关系≤_R可以将信息系统内部的主体和客体按照统一的规则进行描述，描述形成的两个有向无环图将系统表示为主体、客体两个层次结构；在有向无环图中，节点v_i处于节点v_j之下(v_i≤v_j)当且仅当在图中存在一条从v_j到v_i的有向边；

(1.2)在主体偏序关系≤_U和客体偏序关系≤_R的基础上构造主客体融合的层次化访问控制偏序结构≤_V，并使用层次分析法对偏序结构≤_V中节点的内部威胁指数进行量化评估，具体步骤如下：

(1.2.A)首先偏序结构≤_V的初始状态为≤_U，即将主体偏序结构≤_U复制形成偏序机构≤_V的初始状态；以广度优先遍历逆序的方式从客体偏序结构≤_R中选取节点r，同样以从广度优先遍历逆序的方式在主体偏序结构≤_U中查找节点r的插入位置，寻找所有可访问r且其所有后继结点都不能访问r的节点作为节点r的父节点，由于r可能有多个父节点，因此，每插入一个r都要将≤_U进行完整的广度优先逆序遍历；r节点的父节点搜寻结束后，在≤_V中r的下层节点中查找偏序结构≤_R中r节点的直接后继，如果存在则将这些后继结点链接为r的叶子节点；最后遍历≤_V中所有r∈R，判别是否有u∈U与其具有相同的直接前驱集合和直接后继集合，若存在这样的r与u，将两节点合并为一个节点；

按上述算法构造的层次化访问控制结构≤_V中，包含了用户层次结构(U，≤_U)资源层次结构(R，≤_R)，这两个层次结构以一一映射f_U:U→V和f_R:R→V两种方式内嵌在(V，≤_V)中；f_U:U→V使得所有u_i,u_j∈U，u_i≤_U u_j当且仅当f_U(u_i)≤f_U(u_j)；f_R:R→V使得所有r_i,r_j∈R，r_i≤_R r_j当且仅当f_R(r_i)≤f_R(r_j)；用户u∈U能够访问r∈R当且仅当u在层次结构(V，≤_V)中位于r的上方，即，f_R(r)≤f_U(u)；

(1.2.B)根据层次化访问控制模型和层次分析法，可以对层次结构≤_V中节点的内部威胁指数进行量化评估，设f()为层次化访问控制模型的层次量化函数：

$f\left(v_{i,j}\right)=\left\{\begin{array}{c}f\left(v_{i,k}\right)\\ f\left(v_{i+1,k}\right)+X\end{array}\right.;$

其中v_i,j中“i,j”为节点u在层次化访问控制模型中的坐标，i表示行，j表示是这i行中第j个叶子节点；f(v_max(i),j)＝X,X为量化权值单位量，在不同的系统中，量化权值单位量X的取值变化较大，应根据不同的业务环境背景进行相应的调整；

(1.3)根据主客体融合的层次化访问控制结构≤_V定义访问向量，其步骤如下：

根据层次化访问控制结构≤_V中节点可定义访问向量V_ij，V_ij是以访问主体节点v_i∈V为起点，以访问的客体节点v_j∈V为终点的带权值向量V_ij；在偏序结构中，若节点v_i覆盖节点v_j，则访问向量V_ij可表示为层次化访问控制模型中的实体边；若节点v_i不覆盖节点v_j，则访问向量V_ij表示为层次化访问控制模型中由节点v_i为起点，节点v_j为终点的一条虚拟边；

其中，访问向量V_ij是一个包含多元信息的向量：访问的起点v_i标识了访问行为的访问者，即主体；访问的终点v_j标识着访问动作的被访问者，即客体；访问向量的权值，即访问向量所标识系统中用户行为的威胁指数依据层次化访问控制模型节点威胁指数进行定义：

Weight(v_ij)＝(f(v_i)+f(v_j))/2；

其中，访问向量是一个带权值、有确定的访问者和被访问对象的向量，访问向量威胁指数量化中将主体威胁指数和客体威胁指数取均值以标识访问向量指代访问行为可能对系统造成的威胁，综合了主体威胁蕴含的用户权限和客体威胁蕴含的资源密级信息。