張磊 張洪德 李進(jìn)珍

摘? 要：對(duì)軍用計(jì)算機(jī)及服務(wù)器的惡意登錄攻擊已成為敵對(duì)勢(shì)力竊取我軍重要涉密信息的主要手段之一，該攻擊手段因具有隱蔽性好、破壞性大的特點(diǎn)，對(duì)我軍的信息安全造成巨大的威脅。鑒于此，綜合研究了當(dāng)前惡意登錄攻擊檢測(cè)方法的工作流程和原理，并分析了各檢測(cè)方法在準(zhǔn)確性、復(fù)雜度、時(shí)效性等方面的優(yōu)缺點(diǎn)。最后提出，應(yīng)結(jié)合網(wǎng)絡(luò)安全的實(shí)際任務(wù)需求，合理選取惡意登錄攻擊檢測(cè)方法，以求達(dá)到最佳的檢測(cè)效果。

關(guān)鍵詞：惡意登錄；入侵檢測(cè)；閾值

中圖分類號(hào)：TP309? 文獻(xiàn)標(biāo)識(shí)碼：A? 文章編號(hào)：2096-4706（2023）05-0094-04

Overview of Malicious Login Attack Detection Method

ZHANG Lei1， ZHANG Hongde1， LI Jinzhen2

（1.School of Communications Noncommissioned Officers， Army Engineering University of PLA， Chongqing? 400035， China;

2.31608 Troops of PLA， Xiamen? 361000， China）

Abstract： Malicious login attacks on military computers and servers have become one of the main means for hostile forces to steal important confidential information of our army. Because of its good concealment and strong destructiveness characteristics， this attack means poses a huge threat to the information security of our army. In view of this， the workflow and principle of current malicious login attack detection methods are comprehensively studied， and the advantages and disadvantages of each detection method in terms of accuracy， complexity and timeliness are analyzed. Finally， it is proposed that the malicious login attack detection method should be reasonably selected according to the actual task requirements of network security， in order to achieve the best detection effect.

Keywords： malicious login; intrusion detection; threshold

0? 引? 言

惡意登錄是指不具有登錄權(quán)限或不具備登錄條件的人員通過(guò)強(qiáng)行手段登錄某臺(tái)電腦或后臺(tái)服務(wù)器，獲取對(duì)己方有價(jià)值的情報(bào)數(shù)據(jù)，進(jìn)一步達(dá)到相應(yīng)軍事目的。國(guó)內(nèi)外專家學(xué)者對(duì)其進(jìn)行了大量研究，提出了蜜罐技術(shù)、用戶行為多元模式法、單分類支持向量機(jī)主動(dòng)學(xué)習(xí)檢測(cè)法等很多檢測(cè)方法，本文對(duì)典型檢測(cè)方法進(jìn)行綜述性研究，探討當(dāng)前惡意登錄檢測(cè)技術(shù)的原理、優(yōu)缺點(diǎn)以及在具體應(yīng)用中的選擇策略。

1? 惡意登錄分析

1.1? 惡意登錄的特征

惡意登錄起源于憑證填充[1]，攻擊者通過(guò)合法或非法的方式獲得用戶賬戶和密碼，取得用戶登錄權(quán)限，登錄自身無(wú)權(quán)登錄或無(wú)需登錄的系統(tǒng)、網(wǎng)絡(luò)等，達(dá)到自身的某種目的，因此惡意登錄具有隱蔽性好、攻擊性強(qiáng)、破壞性大等特征。

1.1.1? 惡意登錄的隱蔽性

由于軍事系統(tǒng)自身的特點(diǎn)，針對(duì)軍用網(wǎng)絡(luò)的惡意登錄攻擊基本上都是由內(nèi)部人員實(shí)施的，作為內(nèi)部人員，其具有外部人員所不具備的對(duì)自身網(wǎng)絡(luò)系統(tǒng)的了解認(rèn)知，由其發(fā)起的惡意登錄攻擊可以更加容易地避開安全部門開展的預(yù)防檢測(cè)，最大限度地增加了維護(hù)網(wǎng)絡(luò)安全的難度，因此相比于其他攻擊行為，惡意登錄更加具有隱蔽性，對(duì)軍用計(jì)算機(jī)網(wǎng)絡(luò)管理人員來(lái)說(shuō)也更加難以防范。

1.1.2? 惡意登錄的攻擊性

這里所說(shuō)的攻擊性是指惡意登錄攻擊目的十分明確，都是為了獲取攻擊者所需的重要信息，并且是在合法的情況下進(jìn)行，這令絕大部分對(duì)攻擊行為進(jìn)行被動(dòng)防御的安全軟件無(wú)能為力，對(duì)比計(jì)算機(jī)病毒、木馬等攻擊手段，惡意登錄攻擊預(yù)防難度更大，攻擊成功率更高。

1.1.3? 惡意登錄的破壞性

因?yàn)檫@些惡意登錄攻擊的制造者通常是軍隊(duì)內(nèi)部人員，更有甚者也有可能是網(wǎng)絡(luò)的管理者，這些人員都是作為可信任的對(duì)象，有些會(huì)被授予相關(guān)的權(quán)限，他們熟悉相關(guān)網(wǎng)絡(luò)結(jié)構(gòu)，由于自身身份的原因還掌握著一些涉及重要內(nèi)部的機(jī)密信息。因此，惡意登錄攻擊制造的破壞性相比來(lái)自外部的攻擊更大，對(duì)我軍重要信息安全更加具有威脅。

1.2? 惡意登錄的分類

從近年來(lái)發(fā)生的針對(duì)我軍網(wǎng)絡(luò)系統(tǒng)的惡意登錄攻擊來(lái)看，主要分為兩類：

（1）系統(tǒng)內(nèi)部人員非法操作造成的“無(wú)意”誤登錄。根據(jù)某通信單位對(duì)近十年來(lái)發(fā)生網(wǎng)絡(luò)系統(tǒng)惡意登錄攻擊來(lái)看，絕大多數(shù)都可以歸納為單位內(nèi)部人員沒有嚴(yán)格按照規(guī)定要求使用網(wǎng)絡(luò)系統(tǒng)，或者在“無(wú)意識(shí)”狀態(tài)下的操作產(chǎn)生了事實(shí)上的惡意登錄行為，這種情況是由內(nèi)部人員的誤操作造成的，本質(zhì)上不具有“惡性”的行為目的，不會(huì)給軍用網(wǎng)絡(luò)系統(tǒng)造成很嚴(yán)重的后果。

（2）以竊取涉密信息為目的進(jìn)行的“有意”惡登錄。這類惡意登錄行為總的占比雖然不高，但對(duì)安全保密工作造成的危害是難以估量的，因其攻擊者多為遭到敵方策反的內(nèi)部人員，熟悉關(guān)鍵信息存儲(chǔ)地址，且具有一定的登錄訪問(wèn)權(quán)限，這就使得常規(guī)的防火墻、殺毒軟件等不會(huì)對(duì)這種攻擊進(jìn)行識(shí)別，因此這類惡意登錄攻擊一旦產(chǎn)生，內(nèi)部關(guān)鍵信息必將遭到非法下載、泄露，造成的損失是不可彌補(bǔ)，無(wú)法挽回的。

2? 惡意登錄檢測(cè)方法

針對(duì)惡意登錄攻擊的檢測(cè)方法分為兩類：簽名檢測(cè)和異常檢測(cè)。

2.1? 簽名檢測(cè)

簽名檢測(cè)方法是在對(duì)每個(gè)行為進(jìn)行掃描的同時(shí)與惡意行為數(shù)據(jù)庫(kù)中的特征進(jìn)行比較，查看是否和數(shù)據(jù)庫(kù)中樣本的簽名一致，判斷是否為惡意登錄攻擊。

簽名檢測(cè)過(guò)程分為以下三個(gè)步驟實(shí)施：

（1）收集大量的惡意登錄行為數(shù)據(jù)，并提取它們的“指紋”，然后在一個(gè)基礎(chǔ)數(shù)據(jù)庫(kù)中記錄下來(lái)，構(gòu)建一個(gè)針對(duì)惡意登錄的對(duì)照樣本。

（2）當(dāng)監(jiān)控或掃描程序發(fā)現(xiàn)某個(gè)登錄行為數(shù)據(jù)可疑，提取其相同數(shù)據(jù)的“指紋”，然后和惡意登錄數(shù)據(jù)庫(kù)中原始值進(jìn)行比較。

（3）如果通過(guò)檢測(cè)發(fā)現(xiàn)其“指紋”和數(shù)據(jù)庫(kù)中的“指紋”相匹配，就認(rèn)定其為惡意登錄攻擊。

簽名檢測(cè)方法的核心是建立惡意行為數(shù)據(jù)庫(kù)，這也意味著這種檢測(cè)方法需要不斷收集新的惡意登錄攻擊樣本，提取它們的特征，盡可能快的對(duì)數(shù)據(jù)庫(kù)進(jìn)行更新。雖然目前部分?jǐn)?shù)據(jù)庫(kù)的更新已經(jīng)做到了網(wǎng)絡(luò)的實(shí)時(shí)更新，但鑒于基于簽名的檢測(cè)方法的實(shí)現(xiàn)基礎(chǔ)，數(shù)據(jù)庫(kù)的更新永遠(yuǎn)跟不上新的惡意登錄攻擊出現(xiàn)的速度，想要建立一個(gè)完美的惡意登錄行為數(shù)據(jù)庫(kù)是不科學(xué)的，也是不現(xiàn)實(shí)的，在這種狀況下，只要攻擊數(shù)據(jù)稍微改變一下，基于簽名的檢測(cè)方法就失效了。簽名檢測(cè)結(jié)構(gòu)如圖1所示。

2.2? 異常檢測(cè)

異常檢測(cè)是當(dāng)前主流的檢測(cè)方法。它結(jié)合相應(yīng)的機(jī)器學(xué)習(xí)算法對(duì)正常合規(guī)的登錄操作進(jìn)行學(xué)習(xí)，統(tǒng)計(jì)得出正常登錄相應(yīng)的數(shù)據(jù)，在檢測(cè)時(shí)將待測(cè)數(shù)據(jù)和其進(jìn)行比對(duì)，通過(guò)閾值判斷是否為惡意登錄攻擊。

惡意登錄異常檢測(cè)主要包含三個(gè)步驟：

（1）收集正常登錄行為數(shù)據(jù)，提取數(shù)據(jù)特征，建立數(shù)據(jù)庫(kù)用于對(duì)照學(xué)習(xí)。

（2）構(gòu)建動(dòng)態(tài)檢測(cè)監(jiān)控系統(tǒng)用于捕獲登錄行為數(shù)據(jù)，并與其進(jìn)行匹配對(duì)照。

（3）當(dāng)檢測(cè)某一登錄行為數(shù)據(jù)超出設(shè)定閾值時(shí)發(fā)出警示信號(hào)。

在理想情況下，異常檢測(cè)數(shù)據(jù)庫(kù)中的數(shù)據(jù)經(jīng)過(guò)一定時(shí)間后自動(dòng)進(jìn)行更新調(diào)整，并堅(jiān)決不能含有任何與惡意登錄攻擊相關(guān)的數(shù)據(jù)[2]，同時(shí)異常檢測(cè)成立的前提是假設(shè)正常登錄行為數(shù)據(jù)閾值都低于設(shè)定的閾值，并且所有超出閾值的行為都是惡意登錄攻擊，而目前閾值的設(shè)定并沒有成熟的方法，主要依靠網(wǎng)絡(luò)維護(hù)人員的自身工作經(jīng)驗(yàn)，因此閾值的設(shè)定極大地影響了異常檢測(cè)的準(zhǔn)確性。異常檢測(cè)結(jié)構(gòu)如圖2所示。

3? 典型惡意登錄檢測(cè)方法的原理

目前圍繞上述兩類惡意登錄檢測(cè)技術(shù)出現(xiàn)了很多針對(duì)具體問(wèn)題的檢測(cè)方法，其中蜜罐技術(shù)、用戶行為多元模式法、單分類支持向量機(jī)主動(dòng)學(xué)習(xí)檢測(cè)法、循環(huán)神經(jīng)網(wǎng)絡(luò)檢測(cè)法四種經(jīng)典檢測(cè)方法得到了廣泛應(yīng)用。

3.1? 蜜罐技術(shù)

蜜罐是一種人為設(shè)計(jì)的預(yù)設(shè)漏洞的程序系統(tǒng)，專門用來(lái)“誘騙”試圖對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行惡意登錄攻擊的內(nèi)部人員。這與防火墻技術(shù)、入侵檢測(cè)技術(shù)、病毒防護(hù)技術(shù)、數(shù)據(jù)加密和認(rèn)證技術(shù)有很大的不同，后者都是在攻擊者對(duì)網(wǎng)絡(luò)進(jìn)行攻擊時(shí)對(duì)系統(tǒng)進(jìn)行被動(dòng)的防護(hù)，而蜜罐技術(shù)可以采取主動(dòng)的方式[3]。首先它通過(guò)模擬一個(gè)或多個(gè)含有系統(tǒng)漏洞以及“重要信息”的主機(jī)或者服務(wù)器，主動(dòng)給攻擊者提供某個(gè)易受攻擊的對(duì)象；其次，當(dāng)發(fā)現(xiàn)惡意登錄攻擊者一旦與蜜罐進(jìn)行連接，蜜罐就可以將攻擊者在蜜罐中開展的攻擊行為全部記錄下來(lái)，安全人員可以通過(guò)分析這些記錄，獲得更多有關(guān)攻擊者的相關(guān)信息；最后利用蜜罐技術(shù)提供的惡意登錄攻擊者相關(guān)信息，安全人員能夠快速對(duì)其開展“定位”，并結(jié)合攻擊者采用的方法手段對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行及時(shí)的更新和修補(bǔ)，使真實(shí)的重要信息得到更好的保護(hù)。如圖3所示。

3.2? 用戶行為多元模式法

針對(duì)惡意登錄攻擊，該方法通常包括構(gòu)建用戶行為描述、計(jì)算用戶行為特征和用戶行為模式分析三個(gè)步驟。

3.2.1? 構(gòu)建用戶行為描述

構(gòu)建用戶單域行為描述。對(duì)于標(biāo)簽類屬性、數(shù)值類屬性，可以采用二進(jìn)制特征向量表示它們的特征值，例如可以用“10000”“01000”“00100”“00010”“00001”這5種向量分別表示讀、寫、新建、拷貝、刪除5種操作的特征值。在得到用戶的單域行為特征后，我們基于一個(gè)時(shí)間窗口，統(tǒng)計(jì)合并同一時(shí)間窗口的用戶所有單域行為描述，構(gòu)建成用戶多域行為描述[4]。

3.2.2? 計(jì)算用戶行為特征

通過(guò)設(shè)計(jì)相關(guān)數(shù)學(xué)公式，計(jì)算用戶行為特征。例如非負(fù)矩陣分解（NMF）法的公式為：

X=UV+E≈UV? ? ? ? ? ? ? ? ? ? ? ? ? ? ?（1）

其中，X=[X1， X2，…， Xn]∈，X為原始的數(shù)據(jù)矩陣，U=[u1， u2，…， ur]∈，U為分解后的基矩陣，V=[v1， v2，…， vn]∈，V為分解后的系數(shù)矩陣。m×n維的噪聲矩陣E為逼近誤差。

3.2.3? 用戶行為模式分析

基于高斯混合模型（GMM）等非監(jiān)督學(xué)習(xí)技術(shù)進(jìn)行用戶行為多元模式分析。在GMM模型中，同分布的用戶行為特征的高斯分布函數(shù)可表示為：

（2）

其中，Σ為協(xié)方差矩陣，v為均值向量，x為同分布的用戶行為特征向量，d為用戶行為特征向量長(zhǎng)度。

全體用戶行為特征的分布密度表示為不同的高斯分布函數(shù)的加權(quán)線性組合為：

（3）

其中，x為任意的用戶行為特征，g（·）為高斯分布函數(shù)，ρi為第i個(gè)高斯分布的權(quán)值，m為高斯分布的數(shù)量。在檢測(cè)時(shí)，設(shè)定一個(gè)惡意登錄攻擊模式閾值，用以區(qū)分正常登錄和惡意登錄行為，則高于該閾值的用戶行為則被認(rèn)為是惡意登錄攻擊行為。

3.3? 單分類支持向量機(jī)主動(dòng)學(xué)習(xí)檢測(cè)法

近年來(lái)，單分類支持向量機(jī)和主動(dòng)學(xué)習(xí)在異常檢測(cè)領(lǐng)域的應(yīng)用日益受到重視，該檢測(cè)方法通過(guò)特征空間變換、引入松弛變量等方法應(yīng)對(duì)數(shù)據(jù)集不純凈、不完整的問(wèn)題，改善模型的檢測(cè)性能[5]。

該檢測(cè)方法具體分為以下三個(gè)步驟：

（1）采用單分類支持向量機(jī)和主動(dòng)學(xué)習(xí)方法構(gòu)建高精度和完整性的對(duì)照樣本數(shù)據(jù)庫(kù)。

（2）提取檢測(cè)登錄行為數(shù)據(jù)特征，并與數(shù)據(jù)庫(kù)進(jìn)行對(duì)照檢查。

（3）當(dāng)檢測(cè)數(shù)據(jù)結(jié)果大于設(shè)定閾值時(shí)則判定為惡意登錄行為。

導(dǎo)致異常檢測(cè)誤報(bào)的兩個(gè)主要因素在于數(shù)據(jù)庫(kù)的純凈度和完整度。該方法為了降低檢測(cè)誤報(bào)率，一方面選擇低置信度和有代表性的樣本，提高數(shù)據(jù)庫(kù)的純凈程度和完整性，另一方面將支持向量機(jī)和主動(dòng)學(xué)習(xí)方法運(yùn)用到對(duì)數(shù)據(jù)樣本的訓(xùn)練中，進(jìn)一步提高了行為數(shù)據(jù)庫(kù)的代表性。與傳統(tǒng)方法相比，本方法較大的降低了異常檢測(cè)誤報(bào)率，提高了對(duì)惡意登錄攻擊檢測(cè)的準(zhǔn)確性。

3.4? 循環(huán)神經(jīng)網(wǎng)絡(luò)檢測(cè)法

循環(huán)神經(jīng)網(wǎng)絡(luò)法對(duì)登錄用戶操作日志進(jìn)行分析檢測(cè)，找出隱藏在連續(xù)日志數(shù)據(jù)中的上下關(guān)系，識(shí)別其所包含的惡意登錄數(shù)據(jù)。

該方法包括三個(gè)步驟：

（1）通過(guò)對(duì)用戶日志數(shù)據(jù)采用編碼的方式構(gòu)建日志字典，使用戶操作日志能夠轉(zhuǎn)換成單個(gè)序列的形式。

（2）對(duì)每個(gè)日志序列進(jìn)行向量化表示，通過(guò)對(duì)正常登錄用戶操作特征數(shù)據(jù)學(xué)習(xí)，得到正常登錄操作行為機(jī)制，進(jìn)而與待檢測(cè)登錄操作信息特征進(jìn)行對(duì)比分析，得到用戶操作評(píng)分。

（3）通過(guò)閾值判斷用戶操作是否為異常操作，若評(píng)分高于閾值，則認(rèn)為用戶操作異常，模型判斷為惡意登錄，并反饋給技術(shù)人員進(jìn)行后續(xù)處理。

該方法使用長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)學(xué)習(xí)用戶的正常行為模式，利用長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)的記憶特性，融合注意機(jī)制，對(duì)帶有時(shí)序性的惡意登錄攻擊有著很好的檢測(cè)效果[1]。循環(huán)神經(jīng)網(wǎng)絡(luò)檢測(cè)結(jié)構(gòu)如圖4所示。

4? 典型惡意登錄檢測(cè)方法優(yōu)缺點(diǎn)分析

每種惡意登錄檢測(cè)方法在檢測(cè)效果、算法難度以及適用性等方面均有各自的特點(diǎn)，現(xiàn)將上述4種典型方法優(yōu)缺點(diǎn)進(jìn)行歸納，如表1所示。

通過(guò)對(duì)四種檢測(cè)方法的優(yōu)缺點(diǎn)進(jìn)行分析，可以得出以下結(jié)論：

（1）不同的檢測(cè)方法具有各自不同優(yōu)勢(shì)。如蜜罐技術(shù)比較適用于被動(dòng)收集攻擊者行為數(shù)據(jù)，在靈活性和主動(dòng)性方面較差；用戶行為多元模式法融合用戶多域行為特征方面較為突出；單分類支持向量機(jī)主動(dòng)學(xué)習(xí)檢測(cè)法在針對(duì)攻擊行為較少數(shù)據(jù)時(shí)檢測(cè)效果較好；循環(huán)神經(jīng)網(wǎng)絡(luò)檢測(cè)法是基于用戶行為日志，通過(guò)審計(jì)日志特征信息查找異常攻擊行為。

（2）不同的檢測(cè)方法適用性明顯不同。蜜罐技術(shù)方法簡(jiǎn)單，方法的適用性較好，能夠?qū)崟r(shí)收集攻擊數(shù)據(jù)信息；單分類支持向量機(jī)主動(dòng)學(xué)習(xí)檢測(cè)法通過(guò)與正常用戶行為數(shù)據(jù)對(duì)照，進(jìn)行異常檢測(cè)，適用于異常行為特征顯著攻擊；用戶行為多元模式法和循環(huán)神經(jīng)網(wǎng)絡(luò)檢測(cè)法由于需要進(jìn)行大量用戶行為信息訓(xùn)練，計(jì)算量較大，適合處理高精確度攻擊任務(wù)。

5? 結(jié)? 論

惡意登錄的檢測(cè)方法除了上述的幾種以外，還有諸如基于機(jī)器學(xué)習(xí)、系統(tǒng)調(diào)用、人工智能等技術(shù)的檢測(cè)方法，每種方法都有各自的優(yōu)缺點(diǎn)，目前并沒有一種檢測(cè)方法可以有效地處理所有問(wèn)題，因此在選擇檢測(cè)方法進(jìn)行惡意登錄攻擊檢測(cè)時(shí)，要結(jié)合具體任務(wù)要求權(quán)衡利弊，選擇最適合的檢測(cè)方法，最大程度地滿足應(yīng)用需求。

參考文獻(xiàn)：

[1] 明澤.基于主機(jī)日志的惡意登錄異常檢測(cè)方法研究 [D].太原：中北大學(xué)，2021.

[2] FLEGEL U，VAYSSIERE J，BITZ G. A State of the Art Survey of Fraud Detection Technology [J].Insider Threats in Cyber Security，2010：73-84.

[3] 應(yīng)錦鑫，曹元大.利用蜜罐技術(shù)捕捉來(lái)自內(nèi)部的威脅 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005（1）：37-39.

[4] 文雨，王偉平，孟丹.面向內(nèi)部威脅檢測(cè)的用戶跨域行為模式挖掘 [J].計(jì)算機(jī)學(xué)報(bào)，2016，39（8）：1555-1569.

[5] 劉敬，谷利澤，鈕心忻，等.基于單分類支持向量機(jī)和主動(dòng)學(xué)習(xí)的網(wǎng)絡(luò)異常檢測(cè)研究 [J].通信學(xué)報(bào)，2015，36（11）：136-146.

作者簡(jiǎn)介：張磊（1985—），男，漢族，遼寧鞍山人，研究生在讀，研究方向：戰(zhàn)場(chǎng)信息處理與信息安全防護(hù)。

收稿日期：2022-09-13