[发明专利]基于分层映射的内部威胁模型建立方法

说明书

技术领域

本发明属于信息安全和控制与决策技术领域，涉及到安全管理、访问控制、控制与决策等技术，具体是一种基于主客体分层映射的内部威胁模型，应用于网络与信息系统的安全管理和安全控制等领域。

背景技术

随着社会网络化和信息化的发展，如何全面保证信息系统的安全成为人们面临的一个普遍问题。目前系统面临的安全威胁按照威胁的来源主要可以分成来自系统内部的安全威胁InsiderThreat(简称内部威胁)和来自系统外部的安全威胁Out Threat(外部威胁)。

来自系统外部的安全威胁利用系统的脆弱点，发动攻击获取系统的高级权限进行信息盗窃或者破坏信息系统的运行。经过多年的研究，针对外部威胁，已经具有了多种防御技术，例如用于信息保护的密码技术，用于网络过滤的防火墙技术，用于检测攻击的入侵检测技术，用于加强信息系统基础安全的可信计算技术等等。这些技术的应用在外部威胁的检测和防御方面取得了良好的效果。

随着对信息系统安全研究的不断深入，来自系统内部的安全威胁对系统带来的危害越来越引起了人们的关注。美国官方历年的CSI/FBI调查报告显示，在信息系统面对的各种安全威胁中，虽然从数量上看来自于外部的网络攻击事件的发生频率远远超过内部网络，但是从造成的损失来看，Insider threat却远大于Outsider Threat。并且，随着近年来对信息安全的日益重视和各种安全工具的部署，多数安全威胁造成的损失下降趋势，但与此同时，以Theft of proprietaryinformation为代表的一些内部安全威胁却呈现上升趋势。

当前用来保护信息系统免受外部威胁攻击的控制方法和安全工具对于内部威胁收效甚微，因此，如何建立精确的Insider threat模型，准确地对内部威胁进行量化评估，从而达到对内部威胁的预测和防御成为研究的热点。

近些年来针对内部威胁建立了很多模型，按照建立模型所依据的数据源可以将其分为主体模型和客体模型两大类。

主体模型以Wood B.提出的CMO模型和Parker D.B.建立的SKRAM模型为典型代表。CMO模型以信息系统活动中的主体即用户发动攻击的三个必备条件capability、motive和opportunity作为建立内部威胁模型的主要特征依据，对恶意内部用户行为建模；而SKRAM模型定义了建立内部威胁模型的5个要素：skills、knowledge、resources、authority和motive，围绕内部攻击者拥有的IT技术和知识，执行攻击的动机，所拥有的资源以及得到的授权等信息建立内部威胁模型。主体模型明确将信息系统中的主体对象作为建立内部威胁模型的主要数据来源，对相关信息进行分析以感知内部威胁。但主体模型存在以下缺陷：

①主体特征具有突出的主观性，难以量化；

②采集者和分析者的主观行为都将影响到主体特征的准确量化。

客体模型以Joon S.Park等人提出的CRBM模型和2005年Indrajit Ray等人提出的攻击树剪裁模型为典型代表。CRBM引入了RBAC(基于角色的访问控制)机制，在系统中建立了基于角色、用户个体的两级异常统计分析方法，对违反角色的异常活动使用用户级的异常统计进行进一步分析，经过两级异常分析来提高对内部威胁感知的准确率；攻击树裁减模型利用SPRINT计划，在用户登录时采用交互式方法获取用户的意图，对相应的攻击树进行裁减定制，并引入攻击成本对用户行为进行实时动态监测，实现了对内部威胁的预测。客体模型借鉴了解决Outsider Threat的成熟技术，对信息系统中内部威胁进行了细致的分层量化，克服了主体模型中主体行为难以量化的弱点。但是，客体模型同样存在缺陷：

①客体模型忽略了内部威胁感知中的主体行为特征；

②难以对检测到的攻击特征进行定性(是内部攻击还是外部攻击)。

由此可见，无论是使用主体模型还是客体模型，都无法同时准确的量化和判定内部威胁。因此，必须设计新的，既能够对内部威胁定性判别，又能够对其进行定量感知内部威胁模型。

发明内容

本发明针对目前系统安全领域内存在的内部合法人员的误用和蓄意破坏等安全问题，针对系统中拥有合法权限的内部人员带来的威胁，提出了一种能够基于主体客体分层映射的内部威胁模型。本模型既吸收了主体特征能够灵敏发现内部威胁的特点，也吸收了客体特征能定量描述内部威胁的特点，并利用访问控制关系中的访问控制关系在主体特征和客体特征间建立了映射关系，使得新的模型同时具有了主体模型和客体模型的优势。