郭世澤，張 磊，潘 雨，陶 蔚，白 瑋，鄭奇斌，劉 藝，潘志松

（1.陸軍工程大學(xué)指揮控制工程學(xué)院，南京 210007；2.軍事科學(xué)院戰(zhàn)略評(píng)估咨詢中心，北京 100091；3.北京大數(shù)據(jù)先進(jìn)技術(shù)研究院，北京 100091；4.軍事科學(xué)院國(guó)防科技創(chuàng)新研究院，北京 100010）

引 言

隨著社會(huì)信息化程度越來(lái)越高，企事業(yè)單位等組織的內(nèi)部網(wǎng)絡(luò)不僅面臨著外部攻擊者攻擊的風(fēng)險(xiǎn)，而且面臨著來(lái)自內(nèi)部攻擊者的安全威脅。一般來(lái)說(shuō)，內(nèi)部攻擊者一般是指組織機(jī)構(gòu)內(nèi)部人員，包括在職或離職員工、承包商以及商業(yè)合作伙伴等［1?2］。與外部攻擊者不同，內(nèi)部攻擊者可以利用正常業(yè)務(wù)流程獲得相關(guān)內(nèi)部網(wǎng)絡(luò)的信息，或者利用社交關(guān)系獲取網(wǎng)絡(luò)管理員權(quán)限，從而對(duì)內(nèi)部網(wǎng)絡(luò)安全造成負(fù)面影響［3］，這些潛在的威脅統(tǒng)稱為“內(nèi)部威脅”。內(nèi)部威脅從幕后到臺(tái)前的關(guān)鍵事件是斯諾登的“棱鏡門”事件，該事件表明內(nèi)部威脅已經(jīng)發(fā)展成為網(wǎng)絡(luò)安全領(lǐng)域所面臨的重要問(wèn)題［4］。文獻(xiàn)［5］的調(diào)研報(bào)告顯示，只要價(jià)錢合理，20%的人愿意將自己的工作賬號(hào)和密碼賣給無(wú)關(guān)人員；美國(guó)計(jì)算機(jī)安全協(xié)會(huì)有報(bào)告指出，同樣的攻擊成本，內(nèi)部威脅所造成的損失要遠(yuǎn)遠(yuǎn)高于外部攻擊［6］；普華永道的報(bào)告顯示，中國(guó)公司的網(wǎng)絡(luò)安全事件中，由內(nèi)部人員造成的網(wǎng)絡(luò)安全事件占50%以上［7］。同時(shí)各大機(jī)構(gòu)更頻頻爆出內(nèi)部網(wǎng)絡(luò)安全的事件，例如：巴林銀行職工安全事件導(dǎo)致14 億美元的損失，最終導(dǎo)致銀行破產(chǎn)；法國(guó)興業(yè)銀行內(nèi)部網(wǎng)絡(luò)安全事件造成的72 億美元的損失［8］。這些事件都證明了內(nèi)部威脅會(huì)對(duì)公司發(fā)展產(chǎn)生重大影響，因而發(fā)現(xiàn)檢測(cè)內(nèi)部威脅問(wèn)題變得刻不容緩。

內(nèi)部威脅問(wèn)題也引起了學(xué)術(shù)領(lǐng)域的廣泛關(guān)注。中國(guó)計(jì)算機(jī)學(xué)會(huì)推薦A 類會(huì)議CCS（Conference on Computer and Communications Security）針對(duì)內(nèi)部威脅的發(fā)現(xiàn)檢測(cè)技術(shù)召開(kāi)研討會(huì)進(jìn)行討論?？突仿〈髮W(xué)的CERT（Computer Emergency Response Teams）研究中心早在2000 年就開(kāi)始了對(duì)內(nèi)部威脅檢測(cè)方法的研究，取得了一系列的成果。根據(jù)CERT 和文獻(xiàn)［9?14］對(duì)內(nèi)部威脅的定義，內(nèi)部威脅和外部攻擊的主要區(qū)別在于其攻擊者主要來(lái)自內(nèi)部，因此內(nèi)部威脅一般具有以下特征：

（1）比外部威脅損失更大：外部威脅由于是黑盒攻擊，不一定會(huì)產(chǎn)生嚴(yán)重影響。但內(nèi)部威脅由于攻擊者是組織內(nèi)部人員，相當(dāng)于整個(gè)網(wǎng)絡(luò)的配置都暴露在攻擊者面前，比如網(wǎng)絡(luò)的配置弱點(diǎn)、核心服務(wù)和核心資產(chǎn)等，因此內(nèi)部威脅造成的危害相比于外部威脅更大，會(huì)對(duì)組織的經(jīng)濟(jì)資產(chǎn)、業(yè)務(wù)運(yùn)行及組織信譽(yù)造成更大的破壞。在2014 年CERT 發(fā)布的網(wǎng)絡(luò)安全調(diào)查顯示，不到30%的內(nèi)部威脅可以造成將近50%的經(jīng)濟(jì)資產(chǎn)損失［15］，說(shuō)明了內(nèi)部威脅較普通的外部攻擊危害更大。

（2）具有極強(qiáng)的偽裝性：由于攻擊者來(lái)自內(nèi)部，熟知內(nèi)部網(wǎng)絡(luò)的安全防護(hù)配置等情況，可以有效逃避已有的網(wǎng)絡(luò)安全檢測(cè)方法，所以內(nèi)部威脅具有極強(qiáng)的隱蔽性。例如：內(nèi)部人員發(fā)動(dòng)內(nèi)部攻擊一般不會(huì)經(jīng)過(guò)防火墻、安全防護(hù)系統(tǒng)等設(shè)備，導(dǎo)致網(wǎng)絡(luò)安全設(shè)備無(wú)法檢測(cè)到內(nèi)部攻擊行為，因此安全設(shè)備對(duì)內(nèi)部威脅防御能力較低；內(nèi)部攻擊可以發(fā)生在工作時(shí)間，導(dǎo)致攻擊行為和正常工作行為較難區(qū)分，增大了攻擊數(shù)據(jù)挖掘和攻擊行為分析的難度；內(nèi)部攻擊者具有組織安全防御機(jī)制的相關(guān)知識(shí)，并且與網(wǎng)絡(luò)管理員和工作人員具有相應(yīng)的社交關(guān)系，發(fā)現(xiàn)難度較大，具有極強(qiáng)的偽裝性。

（3）攻擊者和攻擊方法的多樣化：在大數(shù)據(jù)時(shí)代，組織內(nèi)部核心資產(chǎn)與業(yè)務(wù)的信息化導(dǎo)致內(nèi)部攻擊難度降低，攻擊元素日趨多樣化。首先是攻擊者的多元化，網(wǎng)絡(luò)管理員、組織內(nèi)職工、第三方職工、合作方和服務(wù)甲方等，都有可能成為內(nèi)部威脅的攻擊者；其次是攻擊方法的多樣化，內(nèi)部攻擊者可以在內(nèi)部網(wǎng)絡(luò)中植入病毒，可以使用邏輯炸彈，可以利用自己的權(quán)限獲得相關(guān)組織內(nèi)部信息，也可以刪除組織內(nèi)部數(shù)據(jù)庫(kù)或基礎(chǔ)軟件代碼，還可以篡改相關(guān)信息進(jìn)行詐騙等。攻擊方法的多元化增加了內(nèi)部威脅發(fā)現(xiàn)檢測(cè)的復(fù)雜性，使得內(nèi)部威脅檢測(cè)問(wèn)題面臨更為嚴(yán)峻的挑戰(zhàn)。

對(duì)內(nèi)部威脅的檢測(cè)發(fā)現(xiàn)研究有助于識(shí)別內(nèi)部威脅的發(fā)生條件和原因，以及了解和應(yīng)對(duì)組織內(nèi)部面臨內(nèi)部威脅的狀況，從而提高整個(gè)網(wǎng)絡(luò)的安全防御能力。因此，無(wú)論對(duì)于網(wǎng)絡(luò)安全管理員還是其他人員，內(nèi)部威脅研究都具有非常高的理論研究?jī)r(jià)值和實(shí)踐價(jià)值，主要體現(xiàn)在以下兩個(gè)方面：（1）對(duì)內(nèi)部威脅進(jìn)行研究可以有效防范其帶來(lái)的危害。通過(guò)科學(xué)的方法分析系統(tǒng)中面臨的內(nèi)部威脅、研究?jī)?nèi)部威脅的構(gòu)成因素、量化內(nèi)部威脅風(fēng)險(xiǎn)，可以有效對(duì)內(nèi)部威脅進(jìn)行發(fā)現(xiàn)和防御。（2）內(nèi)部威脅的發(fā)現(xiàn)檢測(cè)防御方法是網(wǎng)絡(luò)安全建設(shè)的重要保障。傳統(tǒng)的網(wǎng)絡(luò)安全防御比較依賴于外部網(wǎng)絡(luò)防御，對(duì)內(nèi)部威脅的關(guān)注不多，但內(nèi)部威脅是網(wǎng)絡(luò)安全建設(shè)中的重要環(huán)節(jié)，只有有效識(shí)別內(nèi)部威脅，才能在防御和控制內(nèi)部威脅的基礎(chǔ)上保障網(wǎng)絡(luò)的整體安全。

1 內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法

對(duì)內(nèi)部威脅的發(fā)現(xiàn)檢測(cè)是學(xué)術(shù)界多年來(lái)的一個(gè)熱點(diǎn)問(wèn)題。內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法主要通過(guò)發(fā)現(xiàn)內(nèi)部用戶的行為痕跡［16］，建立相應(yīng)的內(nèi)部用戶行為模型以檢測(cè)其是否為內(nèi)部威脅。因此可以將當(dāng)前內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法分為基于異常行為的發(fā)現(xiàn)檢測(cè)方法與基于形式化建模的發(fā)現(xiàn)檢測(cè)方法兩類。

1.1 基于異常行為的發(fā)現(xiàn)檢測(cè)方法

基于異常行為的發(fā)現(xiàn)檢測(cè)方法是基于大數(shù)據(jù)和人工智能技術(shù)的內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法，也是目前的主流方法［17?19］。該方法主要基于數(shù)據(jù)驅(qū)動(dòng)，通過(guò)大數(shù)據(jù)分析，對(duì)用戶的行為進(jìn)行特征提取并進(jìn)行分類，判斷該用戶行為是否正常，進(jìn)而從中找出可能的異常行為，判斷其是否為內(nèi)部威脅。這種分析的對(duì)象既可以基于端設(shè)備的文件訪問(wèn)、函數(shù)調(diào)用等用戶行為，也可以基于流量信息、服務(wù)訪問(wèn)信息和文件訪問(wèn)信息等用戶網(wǎng)絡(luò)行為［20］。在用戶的異常行為檢測(cè)中，提取用戶行為數(shù)據(jù)的傳統(tǒng)方法主要包括樸素貝葉斯、主成分分析和隱馬爾可夫模型等。近年來(lái)，隨著深度學(xué)習(xí)和強(qiáng)化學(xué)習(xí)技術(shù)的不斷發(fā)展，深度學(xué)習(xí)和強(qiáng)化學(xué)習(xí)的聯(lián)合檢測(cè)方法也逐漸受到更多的關(guān)注。其中文獻(xiàn)［21］提出一種通用的時(shí)序圖分析框架來(lái)發(fā)現(xiàn)內(nèi)部用戶的異常行為，它將內(nèi)部用戶與系統(tǒng)的交互過(guò)程抽象為一系列的圖，并通過(guò)圖分類的不同來(lái)發(fā)現(xiàn)內(nèi)部用戶行為的異常，以此來(lái)判斷是否存在內(nèi)部威脅。文獻(xiàn)［22］通過(guò)隱馬爾可夫模型和單類支持向量機(jī)的聯(lián)合模型來(lái)發(fā)現(xiàn)內(nèi)部用戶的異常行為和攻擊行為。文獻(xiàn)［23］提出了基于混合高斯模型的內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法，并在其中融合了相關(guān)專家的判斷信息，進(jìn)一步提高了發(fā)現(xiàn)準(zhǔn)確率。文獻(xiàn)［24］通過(guò)建立員工情緒檔案，采用深度學(xué)習(xí)方法，提出了一種發(fā)現(xiàn)內(nèi)部威脅早期潛在風(fēng)險(xiǎn)的方法，即通過(guò)員工情緒的異常變化來(lái)發(fā)現(xiàn)內(nèi)部用戶可能會(huì)發(fā)生的異常行為和攻擊行為。文獻(xiàn)［25］使用深度遞歸神經(jīng)網(wǎng)絡(luò)模型構(gòu)建在線無(wú)監(jiān)督學(xué)習(xí)方法，用于實(shí)時(shí)監(jiān)測(cè)和檢測(cè)內(nèi)部系統(tǒng)日志中的異?；顒?dòng)，可隨時(shí)發(fā)現(xiàn)內(nèi)部用戶的異常行為和攻擊行為。文獻(xiàn)［26］提出一種基于行為序列的預(yù)測(cè)方法，通過(guò)該方法可以為用戶的相關(guān)行為進(jìn)行畫(huà)像，從而判斷內(nèi)部用戶是否存在內(nèi)部威脅。文獻(xiàn)［27］提出了基于多模型、多數(shù)據(jù)融合的內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方案，從而發(fā)現(xiàn)內(nèi)部用戶的異常行為和攻擊行為。根據(jù)模型中使用數(shù)據(jù)源的不同，異常行為發(fā)現(xiàn)方法分為基于審計(jì)日志異常的發(fā)現(xiàn)檢測(cè)方法和基于用戶命令異常的發(fā)現(xiàn)檢測(cè)方法。

1.1.1 基于審計(jì)日志異常的內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法

基于審計(jì)日志的異常行為發(fā)現(xiàn)檢測(cè)方法主要針對(duì)用戶操作留下的審計(jì)日志進(jìn)行審查，從而發(fā)現(xiàn)其中的異常行為和攻擊行為，如登錄網(wǎng)站、訪問(wèn)網(wǎng)絡(luò)以及郵件收發(fā)等記錄，該方法可以對(duì)用戶的行為進(jìn)行較為全面的刻畫(huà)。文獻(xiàn)［28］提出一個(gè)不同類型數(shù)據(jù)融合的典型方法。他們從用戶的工作組屬性出發(fā)定義了不同類型數(shù)據(jù)之間的一致性，之后檢驗(yàn)用戶不同類型數(shù)據(jù)的一致性，并使用詞頻?逆文檔模型融合用戶對(duì)不同類型數(shù)據(jù)上一致性的評(píng)分。但該方法依賴于一個(gè)假設(shè)，即用戶組屬性必須一致，但一般實(shí)際情況與該假設(shè)恰恰相反。文獻(xiàn)［29］針對(duì)現(xiàn)有內(nèi)部威脅發(fā)現(xiàn)檢測(cè)模型，將內(nèi)部威脅的各個(gè)審計(jì)日志要素均納入其中進(jìn)行考慮。但是該模型概念性太強(qiáng)，沒(méi)有實(shí)驗(yàn)依據(jù)，不具有指導(dǎo)意義。文獻(xiàn)［30］提出了一個(gè)發(fā)現(xiàn)檢測(cè)系統(tǒng)，該系統(tǒng)主要從3 個(gè)層次來(lái)選擇特征集，提出了基于場(chǎng)景分析的內(nèi)部威脅檢測(cè)系統(tǒng)，但是該系統(tǒng)存在較多漏洞，僅針對(duì)內(nèi)部信息竊取進(jìn)行了實(shí)驗(yàn)，其他內(nèi)部威脅的發(fā)現(xiàn)方法并沒(méi)有進(jìn)行實(shí)驗(yàn)驗(yàn)證。文獻(xiàn)［31］針對(duì)不同用戶的角色行為特征進(jìn)行提取分析，提出一種基于角色異常行為挖掘的發(fā)現(xiàn)檢測(cè)方法。根據(jù)序列模式挖掘原理挖掘角色正常行為，使用Knuth Morris Pratt 字符串匹配算法進(jìn)行發(fā)現(xiàn)，判斷角色行為是否存在異常。結(jié)果表明，該方法可有效對(duì)用戶的異常行為進(jìn)行檢測(cè)，同時(shí)減少了挖掘時(shí)間，并且在異常行為檢測(cè)精確度上有所提高。

現(xiàn)有的基于審計(jì)日志異常的內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法的難點(diǎn)在于不同類型審計(jì)日志數(shù)據(jù)之間的結(jié)合方式。如果只是使用單一類型的審計(jì)日志數(shù)據(jù)，則對(duì)用戶的網(wǎng)絡(luò)行為反映不夠全面，不具有代表性。而如果只對(duì)不同數(shù)據(jù)進(jìn)行簡(jiǎn)單拼接，會(huì)造成部分特征失效、模型訓(xùn)練復(fù)雜度過(guò)高以及模型過(guò)擬合等問(wèn)題，因此相關(guān)研究成果不多，現(xiàn)有的研究成果較多集中于基于用戶命令異常的內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法。

1.1.2 基于用戶命令異常的內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法

文獻(xiàn)［32］是基于用戶命令異常檢測(cè)方法的較早研究成果，它將用戶的命令序列作為分析對(duì)象，分別計(jì)算相鄰命令模式出現(xiàn)的概率，新命令與歷史命令的匹配程度來(lái)判斷是否屬于異常。在此之后，機(jī)器學(xué)習(xí)算法開(kāi)始廣泛應(yīng)用起來(lái)［33］，如利用樸素貝葉斯方法、期望最大化算法和支持向量機(jī)等。其中文獻(xiàn)［34］提出基于隱馬爾可夫模型的內(nèi)部威脅檢測(cè)方法，利用本地應(yīng)用程序接口建立用戶的正常行為輪廓庫(kù)，當(dāng)有內(nèi)部用戶不符合該庫(kù)的行為即可認(rèn)為存在內(nèi)部威脅。文獻(xiàn)［35］將樸素貝葉斯方法運(yùn)用到內(nèi)部威脅發(fā)現(xiàn)檢測(cè)中，基于網(wǎng)絡(luò)分層的方法，提出以同時(shí)出現(xiàn)的非鄰接命令來(lái)補(bǔ)充用戶命令模型。文獻(xiàn)［36］提出了評(píng)價(jià)檢測(cè)系統(tǒng)，并且指出應(yīng)當(dāng)在不同會(huì)話層區(qū)分內(nèi)部攻擊者與普通用戶的能力。文獻(xiàn)［37］提出了一種監(jiān)控內(nèi)部用戶系統(tǒng)命令，從用戶的文件和用戶的進(jìn)程中分析出文件訪問(wèn)與進(jìn)程調(diào)用的聯(lián)系，但該方法檢出率不能達(dá)到100%。文獻(xiàn)［38］主要通過(guò)分析系統(tǒng)窗口主題信息，即打開(kāi)一個(gè)窗口自動(dòng)記錄主題信息以及窗口進(jìn)程等信息，從而刻畫(huà)出用戶窗口行為特征，從這些窗口行為特征來(lái)判斷內(nèi)部用戶是否為攻擊用戶。文獻(xiàn)［39］基于系統(tǒng)用戶的統(tǒng)計(jì)數(shù)據(jù)建立異常行為檢測(cè)方法，提取出約1 500 個(gè)系統(tǒng)屬性特征，從提取的屬性來(lái)分析用戶的攻擊行為，從而能夠準(zhǔn)確地刻畫(huà)出用戶行為?；谟脩裘町惓５膬?nèi)部威脅發(fā)現(xiàn)檢測(cè)方法主要從用戶命令序列或系統(tǒng)命令調(diào)用序列作為數(shù)據(jù)集，運(yùn)用機(jī)器學(xué)習(xí)建立分類器，但是由于數(shù)據(jù)源過(guò)于簡(jiǎn)單以及分類器過(guò)于簡(jiǎn)單，導(dǎo)致多數(shù)方法檢測(cè)成功率并不高，檢測(cè)效果并不是太好?？傮w來(lái)說(shuō)，基于異常行為的內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法十分依賴于數(shù)據(jù)獲取的準(zhǔn)確性和全面性，需要大量現(xiàn)有的內(nèi)部用戶行為數(shù)據(jù)，因此常常受制于實(shí)際數(shù)據(jù)采集的困難，在小樣本或無(wú)樣本數(shù)據(jù)的情況下，通過(guò)對(duì)目標(biāo)系統(tǒng)進(jìn)行形式化建模的方法發(fā)現(xiàn)檢測(cè)內(nèi)部威脅同樣受到業(yè)界的關(guān)注。

1.2 基于形式化建模的內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法

基于形式化建模的內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法是指通過(guò)建立用戶的正常行為模型，通過(guò)對(duì)比用戶的現(xiàn)有行為，檢測(cè)出偏移該模型的異常行為［40］。基于該思想，學(xué)術(shù)界很早就提出了攻擊圖、攻擊樹(shù)、Petri 網(wǎng)和信息獲取圖等多種形式化的建模工具，這些工具能夠有效地對(duì)內(nèi)部網(wǎng)絡(luò)信息進(jìn)行建模，但是在表達(dá)能力、適用范圍等方面存在不足［41?43］。近年來(lái)，學(xué)術(shù)界不斷擴(kuò)展形式化工具的表達(dá)能力。文獻(xiàn)［44］考慮了物理信息系統(tǒng)中物理域和信息域的交互關(guān)系，以構(gòu)建相應(yīng)的內(nèi)部威脅發(fā)現(xiàn)模型。文獻(xiàn)［45］將組織架構(gòu)的形式化建模分析與社會(huì)學(xué)解釋相結(jié)合，并基于高階邏輯構(gòu)建了內(nèi)部威脅發(fā)現(xiàn)檢測(cè)分析框架。文獻(xiàn)［46］建立了基于本體的組織物理安全體系弱點(diǎn)發(fā)現(xiàn)方法，用于發(fā)現(xiàn)潛在的內(nèi)部威脅。文獻(xiàn)［47］通過(guò)最小化網(wǎng)絡(luò)空間安全風(fēng)險(xiǎn)，提出了基于博弈論的內(nèi)部網(wǎng)絡(luò)安全防護(hù)模型。文獻(xiàn)［48］將物理空間信息與社會(huì)網(wǎng)絡(luò)信息相關(guān)聯(lián)進(jìn)行建模來(lái)發(fā)現(xiàn)可能的內(nèi)部威脅，實(shí)現(xiàn)了物理域信息和社會(huì)域信息的結(jié)合。文獻(xiàn)［49］構(gòu)建了組織內(nèi)部的動(dòng)機(jī)和機(jī)會(huì)模型，通過(guò)多域聯(lián)合的方式來(lái)發(fā)現(xiàn)內(nèi)部威脅。文獻(xiàn)［50?51］則構(gòu)建了層次化的本體集，用于描述內(nèi)部威脅的社會(huì)因素和組織因素，從頂層設(shè)計(jì)層面給出了組織行為和個(gè)人因素對(duì)內(nèi)部威脅的影響。

為提高模型的泛化性以及對(duì)用戶行為正常行為變化的適應(yīng)性，文獻(xiàn)［52］提出了一種解決方法，在模型中同時(shí)部署了K個(gè)分類器，采用“K?投票”的形式對(duì)用戶行為進(jìn)行判斷，同時(shí)K個(gè)分類器實(shí)時(shí)更新。文獻(xiàn)［53］提出了基于文件使用的內(nèi)部威脅檢測(cè)系統(tǒng)，該系統(tǒng)用于檢測(cè)攻擊者的攻擊，從用戶查看文件系統(tǒng)以及訪問(wèn)文件的角度建立用戶的行為模型，一旦有偏離該模型的異常行為即報(bào)警。文獻(xiàn)［54］將文件目錄作為用戶任務(wù)的抽象，對(duì)內(nèi)部用戶的行為進(jìn)行畫(huà)像，通過(guò)與樸素貝葉斯方法與馬爾可夫模型對(duì)比實(shí)驗(yàn)證明了其內(nèi)部威脅發(fā)現(xiàn)檢測(cè)系統(tǒng)要優(yōu)于其他兩種模型。文獻(xiàn)［55］針對(duì)用戶遍歷文件系統(tǒng)時(shí)的文件時(shí)間序列關(guān)系，建立了文件目錄圖與用戶訪問(wèn)圖的行為模型，并且使用樸素貝葉斯分類器檢測(cè)文件訪問(wèn)行為的突然變化。除了上述檢測(cè)方法外，文獻(xiàn)［56］基于一個(gè)枚舉攻擊方式全集的假設(shè)，即用戶在做任何行為前需要說(shuō)明其使用意圖，任何偏離其使用意圖的行為都被看作可能會(huì)發(fā)生內(nèi)部威脅。但現(xiàn)實(shí)中不可能枚舉所有的攻擊方式，因此該方法可操作性不強(qiáng)，并且需要存儲(chǔ)用戶意圖集，增加了計(jì)算難度，降低了檢測(cè)效率。文獻(xiàn)［57］針對(duì)內(nèi)部威脅，提出了基于文件內(nèi)容的異常檢測(cè)模型，該模型使用文本分割與樸素貝葉斯方法對(duì)文件內(nèi)容分類，然后根據(jù)內(nèi)部用戶行為以及內(nèi)部用戶組群間的行為偏移來(lái)檢測(cè)文件訪問(wèn)中的異常行為，實(shí)驗(yàn)證明了該模型在保護(hù)系統(tǒng)內(nèi)部文件訪問(wèn)上具有一定的有效性，但是效果完全取決于所用數(shù)據(jù)庫(kù)的豐富程度，也需要大量數(shù)據(jù)集的支持。

基于形式化建模檢測(cè)方法的另一個(gè)重要工作是基于圖方法的內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法［58?59］。文獻(xiàn)［60］在攻擊樹(shù)的基礎(chǔ)上提出了關(guān)鍵挑戰(zhàn)圖，頂點(diǎn)代表著主機(jī)或服務(wù)器，邊代表著實(shí)體間的通信，每個(gè)頂點(diǎn)上標(biāo)注了相關(guān)的資源信息，如用戶名密碼等［61］。用戶訪問(wèn)行程可建模為一個(gè)關(guān)鍵挑戰(zhàn)序列，一旦符合關(guān)鍵挑戰(zhàn)序列即可能存在內(nèi)部威脅，并且可以計(jì)算圖中單獨(dú)分支的內(nèi)部攻擊成本。文獻(xiàn)［62］提出了基于圖的檢測(cè)發(fā)現(xiàn)算法，該算法的核心是刻畫(huà)圖的輸入輸出等變化狀態(tài)。具體可以分4 步：（1）獲取相關(guān)的數(shù)據(jù)集，檢測(cè)是否存在相關(guān)異常；（2）基于異常與相關(guān)內(nèi)部用戶創(chuàng)建圖；（3）建立相關(guān)數(shù)據(jù)移動(dòng)圖；（4）學(xué)習(xí)用戶頻繁子圖模式，以該模式作為正常模式，其余的即為異常模式，依此來(lái)發(fā)現(xiàn)內(nèi)部威脅。但該方法檢測(cè)效率不高，圖計(jì)算在1 000 多個(gè)頂點(diǎn)就需耗費(fèi)72 h 時(shí)間，實(shí)用性不強(qiáng)。文獻(xiàn)［63］通過(guò)設(shè)置“設(shè)備?操作?屬性”三元組對(duì)用戶及對(duì)應(yīng)的角色行為進(jìn)行樹(shù)結(jié)構(gòu)抽象，目的是為了更加全面地刻畫(huà)用戶行為；同時(shí)還設(shè)計(jì)了一個(gè)3 層內(nèi)部威脅評(píng)估系統(tǒng)，每層檢測(cè)到異常都會(huì)分類為異常行為，并且通過(guò)反饋實(shí)時(shí)更新模型參數(shù)。文獻(xiàn)［64］綜合了攻擊樹(shù)與行為樹(shù)，提出了活動(dòng)樹(shù)模型，它通過(guò)記錄用戶的工作模式，從分支長(zhǎng)度對(duì)應(yīng)節(jié)點(diǎn)相似性方面判斷新行為與已有工作模式的相似性，相似性高即為正常內(nèi)部用戶，否則可能存在內(nèi)部威脅。文獻(xiàn)［65］基于內(nèi)部用戶構(gòu)建了貝葉斯網(wǎng)絡(luò)攻擊圖，通過(guò)計(jì)算不同攻擊路徑的概率從而檢測(cè)該路徑下內(nèi)部用戶行為的異常程度。文獻(xiàn)［66］在攻擊圖中加入了用戶意圖信息，基于意圖信息構(gòu)建用戶的合法單元操作集合，然后生成用戶最小攻擊樹(shù)，通過(guò)該模型實(shí)時(shí)監(jiān)控用戶行為在最小攻擊樹(shù)中的進(jìn)度判斷用戶是否存在內(nèi)部威脅。文獻(xiàn)［67］提出了一種可以改變組織內(nèi)部角色集合的防御思路，即角色動(dòng)態(tài)調(diào)整算法。該算法首先定義了帶有參數(shù)的目標(biāo)函數(shù)，通過(guò)啟發(fā)式搜索策略和子集結(jié)對(duì)操作得到一組候選角色，使用啟發(fā)式函數(shù)計(jì)算角色分值，按照角色分值的高低對(duì)候選角色集進(jìn)行選擇，得到一個(gè)調(diào)整角色集；進(jìn)一步，以降低角色冗余度為目標(biāo)，使用調(diào)整角色集繼續(xù)為用戶重新分配角色，從而得到新的系統(tǒng)角色配置。該模型主要目標(biāo)是調(diào)節(jié)公司內(nèi)部系統(tǒng)的角色集，從而降低內(nèi)部威脅的發(fā)生概率。

高級(jí)持續(xù)威脅（Advanced persistent threat，APT）作為內(nèi)部威脅的一種惡意、故意、有明確目標(biāo)以及安全威脅持續(xù)時(shí)間長(zhǎng)等特點(diǎn)，近年來(lái)對(duì)組織、企業(yè)和政府內(nèi)部網(wǎng)絡(luò)的攻擊次數(shù)和危險(xiǎn)程度都在不斷增長(zhǎng)，而基于形成化建模的發(fā)現(xiàn)檢測(cè)方法可以有效發(fā)現(xiàn)此類新型內(nèi)部威脅。文獻(xiàn)［68］綜述了現(xiàn)有APT 攻擊防御框架研究的現(xiàn)狀，并分析網(wǎng)絡(luò)流量異常檢測(cè)、惡意代碼異常檢測(cè)等基于網(wǎng)絡(luò)安全大數(shù)據(jù)分析的APT 攻擊檢測(cè)技術(shù)的研究?jī)?nèi)容與最新進(jìn)展，并指出現(xiàn)有技術(shù)所面臨的挑戰(zhàn)和下一步發(fā)展方向。文獻(xiàn)［69］對(duì)APT 攻擊檢測(cè)進(jìn)行了研究，完善了APT 攻擊檢測(cè)過(guò)程，同時(shí)考慮用戶行為特征對(duì)APT 攻擊檢測(cè)的影響，增強(qiáng)網(wǎng)絡(luò)的安全性。文獻(xiàn)［70］為解決攻擊數(shù)據(jù)樣本少、攻擊持續(xù)時(shí)間長(zhǎng)、準(zhǔn)確率低的問(wèn)題，提出了基于生成式對(duì)抗網(wǎng)絡(luò)（Generative adversarial networks，GAN）和長(zhǎng)短期記憶網(wǎng)絡(luò)的APT 攻擊檢測(cè)方法。該方法基于GAN 模擬生成攻擊數(shù)據(jù)，為判別模型生成大量攻擊樣本，從而提升模型的魯棒性和準(zhǔn)確率。文獻(xiàn)［71］提出了一種基于深度學(xué)習(xí)和網(wǎng)絡(luò)流量的APT 攻擊檢測(cè)方法，將網(wǎng)絡(luò)流量分析為基于互聯(lián)網(wǎng)協(xié)議地址的網(wǎng)絡(luò)流，然后從網(wǎng)絡(luò)流中重構(gòu)出地址信息，最后利用深度學(xué)習(xí)模型提取特征，從其他地址中檢測(cè)出APT 攻擊地址。文獻(xiàn)［72］提出了一種新的APT 攻擊報(bào)警系統(tǒng)。該系統(tǒng)參考美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所的網(wǎng)絡(luò)安全框架，是一種實(shí)時(shí)檢測(cè)并響應(yīng)反惡意軟件的主機(jī)入侵檢測(cè)系統(tǒng)，可以監(jiān)控異常改變主機(jī)配置的行為。實(shí)驗(yàn)證明，該系統(tǒng)能提供一個(gè)良好的網(wǎng)絡(luò)環(huán)境防止APT 攻擊。文獻(xiàn)［73］提出了一種頻率粒子群算法對(duì)APT 攻擊進(jìn)行分類。該分類方法共有4 個(gè)階段，在功能提取階段使用頻率粒子群算法提取最佳特征集，在預(yù)測(cè)階段采用最佳加權(quán)特征方法。同時(shí)該方法使用K?means 聚類算法和K近鄰分類器，最后利用混淆矩陣評(píng)估該方法的性能并通過(guò)實(shí)驗(yàn)給出了結(jié)果。

1.3 其他方法

除了上述有關(guān)研究，還有其他諸多內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法［74?76］。首先是外設(shè)設(shè)備使用檢測(cè)。外設(shè)設(shè)備檢測(cè)是研究用戶使用外設(shè)設(shè)備行為的方法，主要以鼠標(biāo)與鍵盤為代表。文獻(xiàn)［77］從用戶使用鼠標(biāo)的角度，通過(guò)用戶使用瀏覽器時(shí)的鼠標(biāo)操作，構(gòu)建鼠標(biāo)行為數(shù)據(jù)庫(kù)。該數(shù)據(jù)庫(kù)涉及鼠標(biāo)使用時(shí)的光標(biāo)移動(dòng)坐標(biāo)、移動(dòng)距離等不同特征，并且定義了一個(gè)方形光標(biāo)矩陣，重點(diǎn)記錄了鼠標(biāo)在移動(dòng)、點(diǎn)擊以及推拽時(shí)的坐標(biāo)、速度等特征。但該方法數(shù)據(jù)集過(guò)少，代表性不強(qiáng)，不能反映真實(shí)的內(nèi)部威脅狀況。鍵盤使用檢測(cè)有兩種方法：一種是靜態(tài)文本監(jiān)測(cè)，即研究用戶輸入同一段文本的行為；另一種是動(dòng)態(tài)文本監(jiān)測(cè)，即收集用戶隨意輸入文本的方式。文獻(xiàn)［78］是一種靜態(tài)文本監(jiān)測(cè)方法，從用戶輸入口令中分析用戶輸入方式的變化，并從包含用戶的數(shù)據(jù)集中提取不同的鍵盤輸入特征。但該方法同樣數(shù)據(jù)量過(guò)少，代表性不強(qiáng)，不能反映真實(shí)的情況。文獻(xiàn)［79］分析了用戶的郵件信息，主要記錄擊鍵行為與時(shí)間戳。此類方法的不足在于監(jiān)控文本輸入通常缺乏良好的用戶交互性，但模型卻較為確定。

此外，基于傳統(tǒng)的蜜罐研究也頗有成果。文獻(xiàn)［80?81］針對(duì)密標(biāo)的使用方式提出了諸多改進(jìn)，主要有：（1）針對(duì)內(nèi)部網(wǎng)絡(luò)嗅探行為檢測(cè)，設(shè)計(jì)了在網(wǎng)絡(luò)內(nèi)大量散布密標(biāo)的方法；（2）在郵箱中加入有密標(biāo)的偽郵件，當(dāng)偽郵件中密標(biāo)被內(nèi)部攻擊者使用時(shí)就會(huì)觸發(fā)報(bào)警。文獻(xiàn)［82］提出了哈希運(yùn)算消息認(rèn)證碼、陷阱主機(jī)以及燈塔誘餌3 種密標(biāo)文件設(shè)置方法，能夠在內(nèi)部攻擊者使用密標(biāo)時(shí)獲取攻擊者信息，具有很大的實(shí)用性。文獻(xiàn)［83］結(jié)合心理學(xué)知識(shí)預(yù)測(cè)內(nèi)部威脅，一方面從設(shè)置的誘餌主機(jī)中監(jiān)測(cè)用戶的行為軌跡，分析其異常程度，同時(shí)借助心理學(xué)相關(guān)知識(shí)，計(jì)算、檢測(cè)每個(gè)用戶的攻擊行為傾向以及所處壓力水平。但該方法只使用了心理學(xué)知識(shí)，并且心理計(jì)量測(cè)驗(yàn)過(guò)于簡(jiǎn)單，不能完整反映用戶的真實(shí)心理狀態(tài)。文獻(xiàn)［84］提出了基于攻擊面轉(zhuǎn)移的內(nèi)部威脅檢測(cè)方法，具體闡釋了攻擊面以及攻擊面轉(zhuǎn)移的形式化定義，然后分析了攻擊面4 個(gè)層次的動(dòng)態(tài)轉(zhuǎn)移技術(shù)，并且針對(duì)不同的動(dòng)態(tài)轉(zhuǎn)移技術(shù)進(jìn)行分析和比較。文獻(xiàn)［85］設(shè)計(jì)了一個(gè)博弈理論框架，該框架是一種由1 個(gè)生成器、1 個(gè)激勵(lì)調(diào)節(jié)器和1 個(gè)信任操縱者組成的欺騙機(jī)制。該機(jī)制以動(dòng)態(tài)蜜罐配置為例，研究蜜罐配置對(duì)蜜罐內(nèi)部威脅的影響。實(shí)驗(yàn)驗(yàn)證了最優(yōu)的欺騙機(jī)制能夠誘導(dǎo)內(nèi)部威脅人員采取相關(guān)行動(dòng)，從而改善內(nèi)部網(wǎng)絡(luò)的安全態(tài)勢(shì)；實(shí)驗(yàn)也表明防御者總是能從偽造蜜罐中獲益。

傳統(tǒng)的內(nèi)部威脅檢測(cè)方法嚴(yán)重依賴特征工程，由于底層數(shù)據(jù)的高維性、復(fù)雜性、異構(gòu)性、稀疏性、缺乏標(biāo)記以及內(nèi)部威脅的微妙性和適應(yīng)性，很難準(zhǔn)確捕捉內(nèi)部攻擊用戶和內(nèi)部普通用戶的行為差異。文獻(xiàn)［86］綜述了利用先進(jìn)的深度學(xué)習(xí)技術(shù)從復(fù)雜數(shù)據(jù)中學(xué)習(xí)特征的方法，為內(nèi)部威脅檢測(cè)提供了一種新的思路。與傳統(tǒng)算法相比，深度學(xué)習(xí)模型可以提高內(nèi)部威脅檢測(cè)的性能。文獻(xiàn)［87］提出了一種基于用戶中心機(jī)器學(xué)習(xí)的內(nèi)部威脅檢測(cè)的新系統(tǒng)。該系統(tǒng)結(jié)合了無(wú)監(jiān)督異常檢測(cè)和有監(jiān)督機(jī)器學(xué)習(xí)方法，可以從無(wú)標(biāo)記數(shù)據(jù)和非常少量的標(biāo)記數(shù)據(jù)中學(xué)習(xí)，具有較高的檢測(cè)率。文獻(xiàn)［88］提出了一種集成深度神經(jīng)網(wǎng)絡(luò)技術(shù)學(xué)習(xí)自適應(yīng)合成技術(shù)采樣方法，對(duì)內(nèi)部人員進(jìn)行了整合威脅檢測(cè)，解決了數(shù)據(jù)不平衡問(wèn)題。實(shí)驗(yàn)使用CERT 數(shù)據(jù)集，結(jié)果表明所提出的集成模型提高了模型的可靠性。文獻(xiàn)［89］提出并評(píng)估一個(gè)貝葉斯網(wǎng)絡(luò)架構(gòu)，它可以考慮行為方面與網(wǎng)絡(luò)數(shù)據(jù)的串聯(lián)。同時(shí)利用機(jī)器學(xué)習(xí)來(lái)理解數(shù)據(jù)的結(jié)構(gòu)，根據(jù)內(nèi)部威脅的理論基礎(chǔ)輸入專門制作的特征，并對(duì)上述行為特征進(jìn)行分析。文獻(xiàn)［90］提出一種基于無(wú)監(jiān)督機(jī)器學(xué)習(xí)的內(nèi)部威脅異常檢測(cè)方法，該方法采用了自動(dòng)編碼器和隔離森林兩種不同的方法，并探索了帶有時(shí)間信息的數(shù)據(jù)的各種表示方式。

文獻(xiàn)［91］分析比較現(xiàn)有的內(nèi)部威脅項(xiàng)目，提出系統(tǒng)中應(yīng)具有管理員、分析員、工程師和執(zhí)法員4 種實(shí)際的系統(tǒng)角色，不同的系統(tǒng)角色在內(nèi)部威脅中發(fā)揮著不同的作用。文獻(xiàn)［92］提出檢測(cè)系統(tǒng)應(yīng)當(dāng)基于一種智能化的管理機(jī)制，通過(guò)安全數(shù)據(jù)收集與安全管理的分工合作形成樹(shù)形動(dòng)態(tài)的管理機(jī)制，從而對(duì)內(nèi)部威脅進(jìn)行有效預(yù)防。文獻(xiàn)［93］提出了在內(nèi)部威脅監(jiān)測(cè)系統(tǒng)中使用引導(dǎo)算法，該引導(dǎo)算法用于從大量非標(biāo)記數(shù)據(jù)集中自動(dòng)標(biāo)記出數(shù)據(jù)的類別。文獻(xiàn)［94］主要提出了一種量化方法，該方法根據(jù)內(nèi)部威脅目標(biāo)的資產(chǎn)重要性權(quán)重與受威脅程度，使用相關(guān)函數(shù)計(jì)算威脅指數(shù)，從而評(píng)估內(nèi)部網(wǎng)絡(luò)系統(tǒng)的內(nèi)部威脅態(tài)勢(shì)。文獻(xiàn)［95］針對(duì)內(nèi)部威脅中攻擊圖不確定性導(dǎo)致攻擊圖檢測(cè)誤報(bào)率過(guò)高的問(wèn)題引入了攻擊圖步驟間的轉(zhuǎn)移概率，通過(guò)計(jì)算每步變化的概率，進(jìn)而計(jì)算整體攻擊的不確定性。該方法可以有效降低誤報(bào)率，但是該方法在概率攻擊圖的構(gòu)建上完全依賴于知識(shí)庫(kù)，智能化程度不高。

現(xiàn)階段云計(jì)算發(fā)展迅速，因此基于云計(jì)算的內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法研究也取得了相應(yīng)的成果。文獻(xiàn)［96］從云計(jì)算領(lǐng)域內(nèi)分析了內(nèi)部威脅的不同應(yīng)對(duì)方案。由于在云計(jì)算環(huán)境下，多種資源高度融合，因此內(nèi)部威脅可竊取大量用戶信息，將導(dǎo)致更多用戶受到影響和威脅。針對(duì)上述問(wèn)題，提出了云計(jì)算服務(wù)商與用戶雙方均應(yīng)采取安全措施應(yīng)對(duì)內(nèi)部威脅，用戶方面實(shí)施強(qiáng)健的密碼策略，云計(jì)算服務(wù)提供商安裝入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)，并從數(shù)據(jù)冗余備份、認(rèn)證訪問(wèn)控制等方面加強(qiáng)安全監(jiān)管［97］。文獻(xiàn)［98］指出，隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展，現(xiàn)有的內(nèi)部威脅檢測(cè)框架面臨新的安全挑戰(zhàn)。由于攻擊面顯著增大，可能會(huì)導(dǎo)致公司內(nèi)部威脅管理方面的風(fēng)險(xiǎn)增大。根據(jù)物聯(lián)網(wǎng)的特點(diǎn)和結(jié)構(gòu)對(duì)考慮物聯(lián)網(wǎng)環(huán)境的數(shù)據(jù)源進(jìn)行研究，結(jié)果表明，對(duì)于物聯(lián)網(wǎng)環(huán)境中的內(nèi)部威脅問(wèn)題，使用網(wǎng)絡(luò)和應(yīng)用層的數(shù)據(jù)源比使用感知層更合適。文獻(xiàn)［99］將云模型應(yīng)用在內(nèi)部威脅感知中，在基于系統(tǒng)訪問(wèn)控制關(guān)系建立的分層內(nèi)部威脅模型上應(yīng)用云模型感知算法，對(duì)內(nèi)部威脅特征同時(shí)進(jìn)行定性、定量的分析，有效提高了內(nèi)部威脅檢測(cè)系統(tǒng)的準(zhǔn)確性。文獻(xiàn)［100］針對(duì)網(wǎng)絡(luò)攻擊持續(xù)高發(fā)的現(xiàn)狀，構(gòu)建了基于隨機(jī)博弈的內(nèi)部威脅態(tài)勢(shì)檢測(cè)發(fā)現(xiàn)模型。該模型將外部威脅情報(bào)與系統(tǒng)內(nèi)部威脅事件之間的相似度進(jìn)行比較，對(duì)目標(biāo)系統(tǒng)進(jìn)行威脅察覺(jué)，在此過(guò)程中利用博弈論的思想對(duì)系統(tǒng)當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行量化，最終實(shí)現(xiàn)對(duì)內(nèi)部威脅的預(yù)測(cè)。

1.4 總結(jié)

綜上所述，現(xiàn)有的內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法總體來(lái)說(shuō)有以下幾個(gè)共性問(wèn)題：（1）如何判斷異常行為是內(nèi)部威脅。在基于異常行為的內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法中，檢測(cè)出的異常行為有可能就是普通用戶的異常行為，并不存在內(nèi)部威脅，這導(dǎo)致內(nèi)部威脅的發(fā)現(xiàn)檢測(cè)難度增大，因此首先要區(qū)分該異常行為是內(nèi)部威脅還是普通存在的異常行為。（2）對(duì)內(nèi)部威脅的檢測(cè)是否準(zhǔn)確全面?，F(xiàn)有研究對(duì)內(nèi)部威脅的發(fā)現(xiàn)檢測(cè)僅從單一方面考慮，例如僅從用戶的異常行為考慮。實(shí)際上影響內(nèi)部威脅的方面有很多，僅從單一方面去判斷是否存在內(nèi)部威脅不能全面地了解內(nèi)部威脅，同時(shí)說(shuō)服力也不夠。（3）真正應(yīng)用于實(shí)際的研究較少。前文所述的內(nèi)部威脅發(fā)現(xiàn)檢測(cè)方法，普遍存在效率不高、發(fā)現(xiàn)檢測(cè)時(shí)間較長(zhǎng)等問(wèn)題，同時(shí)還有部分研究?jī)H停留在理論層面，無(wú)法在組織機(jī)構(gòu)內(nèi)部普遍應(yīng)用。

2 下一步研究方向

未來(lái)內(nèi)部威脅研究需從內(nèi)部異常發(fā)現(xiàn)、更加全面的內(nèi)部威脅檢測(cè)以及實(shí)際應(yīng)用3 個(gè)方面進(jìn)行。本文分析未來(lái)關(guān)鍵技術(shù)如下：

（1）更準(zhǔn)確的發(fā)現(xiàn)檢測(cè)技術(shù)。在內(nèi)部威脅的發(fā)現(xiàn)檢測(cè)技術(shù)中，較為突出的問(wèn)題就是如何區(qū)分是正常用戶的異常行為還是攻擊用戶的內(nèi)部攻擊行為。而在基于異常行為的內(nèi)部威脅發(fā)現(xiàn)檢測(cè)中，上述方法不能對(duì)這兩種行為進(jìn)行有效區(qū)分。因此在下一步研究中，應(yīng)進(jìn)一步提高內(nèi)部威脅的判別率，區(qū)分哪些是正常的異常行為，哪些是真正的內(nèi)部威脅。針對(duì)該問(wèn)題，可以將深度學(xué)習(xí)引入到內(nèi)部威脅的研究中，一方面研究?jī)?nèi)部威脅檢測(cè)集成學(xué)習(xí)方法，如深度學(xué)習(xí)加多步分類器、深度學(xué)習(xí)加橫向K投票分類器等；另一方面可以研究?jī)?nèi)部威脅基準(zhǔn)模型選擇方法，例如基于用戶自身行為的縱向比較，或基于用戶角色行為的橫向比較等，從而提高內(nèi)部威脅發(fā)現(xiàn)的準(zhǔn)確率。未來(lái)內(nèi)部威脅檢測(cè)還應(yīng)考慮不同公司機(jī)構(gòu)內(nèi)部特點(diǎn)，基于不同領(lǐng)域的業(yè)務(wù)特點(diǎn)與組織特點(diǎn)，分析攻擊的薄弱處，提取威脅特征建立多域數(shù)據(jù)的關(guān)聯(lián)，實(shí)現(xiàn)內(nèi)部威脅檢測(cè)的融合分析，有效提高內(nèi)部威脅的檢測(cè)率和降低誤報(bào)率。

（2）如何應(yīng)對(duì)內(nèi)部威脅與外部威脅的聯(lián)合攻擊行為?，F(xiàn)有的內(nèi)部威脅發(fā)現(xiàn)檢測(cè)技術(shù)大部分都是基于內(nèi)部人員的攻擊行為進(jìn)行研究，對(duì)象僅為內(nèi)部人員。隨著攻擊手段越來(lái)越多樣化，內(nèi)部人員與外部人員聯(lián)合發(fā)動(dòng)的內(nèi)外部協(xié)同攻擊也時(shí)有發(fā)生，在此情況下將更難發(fā)現(xiàn)內(nèi)部的攻擊用戶，攻擊產(chǎn)生的后果更嚴(yán)重，導(dǎo)致網(wǎng)絡(luò)安全防御的壓力也更大。而現(xiàn)有的研究?jī)H針對(duì)內(nèi)部威脅或外部威脅進(jìn)行發(fā)現(xiàn)檢測(cè)，對(duì)于兩者聯(lián)合攻擊行為發(fā)現(xiàn)檢測(cè)的研究成果較少。由于內(nèi)外部聯(lián)合攻擊可以從內(nèi)部人員的社交關(guān)系中去發(fā)現(xiàn)提取，因此可以對(duì)內(nèi)部人員采集數(shù)據(jù)，而且數(shù)據(jù)不僅要包括用戶主觀要素，還應(yīng)包括基社交媒體狀態(tài)，以及歷史檔案、性格分析和心理狀態(tài)等多方面?zhèn)€體特征數(shù)據(jù)，從而有效對(duì)內(nèi)部人員的用戶系統(tǒng)調(diào)用行為和社交行為進(jìn)行刻畫(huà)，建立多層監(jiān)視器。同時(shí)利用社會(huì)工程學(xué)對(duì)APT 攻擊進(jìn)行預(yù)判，有效解決攻防對(duì)抗中信息不對(duì)稱的問(wèn)題，保證系統(tǒng)效率。此外，還可以基于數(shù)據(jù)關(guān)聯(lián)方式進(jìn)行檢測(cè)發(fā)現(xiàn)，通過(guò)主客觀特征綜合檢測(cè)方式，如用戶主客觀行為關(guān)聯(lián)圖中異常子圖檢測(cè)，或分析主客觀數(shù)據(jù)的使用順序，如先對(duì)客觀數(shù)據(jù)異常檢測(cè)、然后關(guān)聯(lián)可疑用戶、之后通過(guò)主觀數(shù)據(jù)行為進(jìn)行發(fā)現(xiàn)檢測(cè)，則可以有效降低誤報(bào)率。

（3）更為高效簡(jiǎn)單實(shí)用的發(fā)現(xiàn)檢測(cè)方法?，F(xiàn)有的大部分內(nèi)部威脅發(fā)現(xiàn)檢測(cè)技術(shù)都存在應(yīng)用難的問(wèn)題，即方法實(shí)用性不強(qiáng)，效率較低。相反，現(xiàn)有的攻擊技術(shù)較為成熟，可供防御者的反應(yīng)時(shí)間較短。如何提高發(fā)現(xiàn)效率，提升防御者反應(yīng)速度，做到攻擊即被發(fā)現(xiàn)，將是未來(lái)內(nèi)部威脅的研究方向之一。現(xiàn)有方法實(shí)時(shí)檢測(cè)能力差，主要原因是特征分析技術(shù)效率較低。因此可以先從內(nèi)部威脅檢測(cè)系統(tǒng)發(fā)現(xiàn)威脅信息，提取特征后上傳數(shù)據(jù)庫(kù)；然后建立內(nèi)部威脅信息與特征映射方法，比如多層次行為特征文件、哈希行為模式層次文件等，通過(guò)建立特征數(shù)據(jù)庫(kù)，將威脅特征輸入檢測(cè)系統(tǒng)。此時(shí)由于有大量?jī)?nèi)部威脅特征的數(shù)據(jù)被清洗、優(yōu)化以及分類，可再針對(duì)特征進(jìn)行二次挖掘，從而發(fā)現(xiàn)內(nèi)部威脅的本質(zhì)特征，提高內(nèi)部威脅的發(fā)現(xiàn)效率。

3 結(jié)束語(yǔ)

隨著科技的不斷發(fā)展，網(wǎng)絡(luò)技術(shù)的普及使得人們的工作生活變得越來(lái)越方便，但隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越嚴(yán)峻。內(nèi)部威脅是指公司組織內(nèi)部人員發(fā)動(dòng)的網(wǎng)絡(luò)攻擊，具有隱蔽性強(qiáng)、破壞性大的特點(diǎn)，能夠造成比外部威脅更大的損失，因此內(nèi)部威脅也越來(lái)越受到研究人員的重視。本文首先分析了內(nèi)部威脅的特征，然后綜述了國(guó)內(nèi)外關(guān)于內(nèi)部威脅的研究現(xiàn)狀，并指出現(xiàn)有研究雖取得了一定的成果，但仍存在不足：首先異常行為與內(nèi)部威脅方面，現(xiàn)有研究還不能有效區(qū)分普通用戶的異常行為和攻擊用戶的攻擊行為；其次針對(duì)內(nèi)部威脅和外部威脅聯(lián)合攻擊的研究不多；最后現(xiàn)有研究應(yīng)用性較弱，還不能對(duì)內(nèi)部威脅進(jìn)行有效而快速的發(fā)現(xiàn)檢測(cè)和防御，確保內(nèi)部網(wǎng)絡(luò)信息的安全。通過(guò)本文綜述可以得出以下結(jié)論：（1）內(nèi)部威脅危害大、防御難，主要體現(xiàn)在內(nèi)部人員掌握一定的組織知識(shí)，可對(duì)組織內(nèi)最薄弱的環(huán)節(jié)入手實(shí)施內(nèi)部攻擊，同時(shí)防御者重心在外部防御上，導(dǎo)致內(nèi)部威脅不易被發(fā)現(xiàn)；（2）通過(guò)發(fā)現(xiàn)內(nèi)部用戶的異常行為，可對(duì)內(nèi)部威脅實(shí)施有效的發(fā)現(xiàn)檢測(cè)，但存在異常行為不一定就存在內(nèi)部威脅；（3）通過(guò)形式化建?？蓪?duì)用戶行為進(jìn)行刻畫(huà)，當(dāng)存在偏離模型的可疑行動(dòng)時(shí)，即可觸發(fā)內(nèi)部威脅報(bào)警，但如何進(jìn)一步提高報(bào)警的精度是下一步研究的重點(diǎn)方向；（4）隨著內(nèi)外部威脅的聯(lián)合攻擊越來(lái)越多，如何應(yīng)對(duì)內(nèi)外部威脅的聯(lián)合攻擊將是下一步研究的主要方向；（5）內(nèi)部威脅的發(fā)現(xiàn)檢測(cè)效率問(wèn)題有待進(jìn)一步提高，為下一步在組織內(nèi)部大規(guī)模應(yīng)用打下良好基礎(chǔ)。信息化時(shí)代的內(nèi)部威脅越來(lái)越嚴(yán)重，尤其攻擊手段和攻擊人員的多元化導(dǎo)致內(nèi)部威脅的發(fā)現(xiàn)檢測(cè)難度不斷加大，因此要及時(shí)加大互聯(lián)網(wǎng)時(shí)代內(nèi)部威脅的研究，對(duì)更多的組織普及內(nèi)部威脅的危害，建立起既能防御內(nèi)部威脅、又能防御外部威脅的聯(lián)合防御機(jī)制，積極應(yīng)對(duì)內(nèi)部威脅帶來(lái)的一系列挑戰(zhàn)。