基于用户行为的身份盗用攻击检测技术研究

发布时间：2020-05-25 12:25

【摘要】：身份盗用是指攻击者使用各种手段盗取或骗取用户身份凭证,并使用合法凭证在网络中移动,以入侵更多的计算机并实施修改权限、篡改配置信息、盗取数据等恶意行为。由于此类行为中攻击者所使用的凭证和合法凭证并无二致,传统的访问控制与授权系统难以有效阻止攻击者对网络信息资源非法使用和盗取,传统入侵检测系统也难以有效发现。如何解决身份盗用攻击造成的网络安全问题,是学术界关注的重点之一,经过长期的研究发现,从用户行为入手可以有效解决该问题。近些年,研究人员从用户的认证行为和操作行为两方面提出一些颇有效果的检测方法,但这些方案仍存在较多问题:1)基于认证行为的检测,由于认证行为数据中包含的字段信息较少,只分析行为本身难以提取具有代表性的特征,导致检测召回率较低;2)基于操作行为的检测,由于现有方法多是通过提取操作种类、操作次数等特征进行检测,忽略了操作行为之间的序列关系,难以完整刻画用户操作行为轮廓,导致检测准确率较低;3)现有检测方法没有将认证行为和操作行为进行融合,无法对用户进行全面检测,导致漏报率和误报率较高。针对上述的问题,本文以用户入网时的认证行为和其后的操作行为数据为基础,以充分发掘攻击者与正常用户行为差异为目标,在前人研究基础上对身份盗用攻击检测方法进行研究改进,取得的研究成果如下:1.针对问题一,以攻击者与正常用户认证行为差异为研究对象挖掘特性,提出一种基于Word2vec和密度聚类的异常认证行为检测方法。在现有公开数据集中结合用户行为特点,挖掘攻击者与合法用户在认证时间、认证计算机等方面的差异,提取能够代表两者行为差异的多个特征,然后设计概率公式将文本数据中的差异转换成数值形式,并使用Word2vec计算概率构建特征向量,最后基于密度聚类算法对特征向量进行聚类,从而检测出异常认证行为。实验证明该检测方法有较高的召回率。2.针对问题二,通过研究用户操作行为之间的序列关系,以及攻击者与正常用户行为模式的偏差,提出一种基于LSTM的异常操作行为检测方法。该方法通过分析行为间的序列关系,定义了行为模式的基本形式,并挖掘攻击者与正常用户在行为模式中的差异。在此基础上,将原始数据处理为一种既可以表现行为差异,又可以描述行为模式序列性的特征数据,然后使用LSTM网络对特征数据进行学习,对下一行为进行预测,最终通过计算实际行为与预测行为的概率差检测异常操作行为。实验证明该检测方法明显优于前人方法。3.针对问题三,本文提出一种基于多行为的身份盗用检测系统,在该系统中集成了上述两种检测方法共同检测身份盗用攻击。该系统主要包括数据采集模块、数据存储模块、数据处理模块、检测模块和报警模块。在检测模块中采用攻击特征匹配和行为检测两种检测方式,综合多种行为模型检测身份盗用行为。实验证明该系统可以迅速、精确的检测身份盗用行为。除了上述研究成果,本文还提出使用认证图评估网络遭受身份盗用攻击风险的方法,以及评估用户凭证对于该攻击脆弱性的方法。通过分析用户与计算机之间的认证关系,分别为网络和用户建立不同结构的认证图,通过研究两种认证图中最大连通子图、密度及平均路径长度等属性,从连通性、密集程度和攻击实施难度等多个角度,分别评估网络风险和凭证脆弱性,找到相对安全的网络状态和容易被攻击者利用的凭证,有助于对这些凭证加强保护,从而提高网络防范,降低攻击危害。
【图文】：

时间分布,客户端

图 3.1 认证时间分布（client）：在日常工作生活中，，每个用户都有常用的认证客因或特殊目的，使用的客户端与用户常用的存在明显差异中，某用户使用客户端的情况，其中由方框标记的是攻击者使，将客户端特征处理为 | , 1 ,2,... nP client user n N，N 表示户user 使用客户端nclient 的概率。

客户端

图 3.1 认证时间分布2. 客户端（client）：在日常工作生活中，每个用户都有常用的认证客户端，而攻击于地理原因或特殊目的，使用的客户端与用户常用的存在明显差异，如图 3.2 是L 数据集中，某用户使用客户端的情况，其中由方框标记的是攻击者使用的客户端。这一差异，将客户端特征处理为 | , 1 ,2,... nP client user n N，N 表示客户端的数量式表示用户user 使用客户端nclient 的概率。
【学位授予单位】：战略支援部队信息工程大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.08

【参考文献】