一种基于Agent的内部威胁实时检测方法与流程

本发明具体涉及一种基于agent的内部威胁实时检测方法，属于信息系统安全
技术领域：
。
背景技术：
：在信息系统面对的各种安全威胁中，内部威胁虽然数量上远不及外部攻击，但造成的损失和危害性更大。近年来，随着维基解密事件再次引发了各界对内部威胁问题的广泛关注。层出不穷的内部人员威胁事件，使得这个课题历久弥新。由于内部员工要比外部人员更清楚哪些数据是值得窃取的，哪些是窃取后并不具有价值的。而且内部恶意操作更容易被企业组织所忽略，因此内部威胁问题，已逐步成为国内外安全专家重点研究的对象，也是企业组织重点关注的计算机安全问题之一。目前已有的针对内部威胁的检测方法使用较多的是基于人工智能的方法，如统计学习方法、系统动态学方法等。在这些研究中，都毫无例外地以获得恶意内部用户的先验知识为前提，只有充分掌握内部攻击者的知识，才有可能检测资源滥用行为.然而在实际应用中，在成功地检测之前获得攻击者的先验知识是个困难问题，因此这些方法的实用性难以保证。技术实现要素：因此，针对现有技术的上述问题，本发明为保证功能和性能要求，在分析了内部威胁检测技术与产品的安全性需求、综合功能、成本和易实现性等基础上，采用基于agent技术的检测组件保障内网数据安全。提供一种基于agent的内部威胁实时检测方法。具体的，所述检测方法具体为：安装客户agent代理程序，agent代理程序的逻辑结构分为三层：第一层是检测系统与客户业务主机的接口，实现与客户机的通信和数据采集工作；第二层是检测系统内部安全模块集合，实现检测安全控制功能、审计安全控制功能、响应安全控制功能；第三部分是检测系统与企业数据库服务器的接口，实现与数据库的通信和数据采集工作；在用户访问数据库服务器主机上的业务数据之前，由agent代理程序对用户的身份和权限进行判断，只有通过认证的用户才能访问数据；在用户处理授权的业务数据的过程中，agent代理程序对用户的行为进行实时的监控，并将用户的行为记录到日志文件中；用户处理授权的业务数据处理完毕后，agent代理程序根据用户的需要调用相应的签名机制对用户所做的处理部分进行签名，使用户对业务数据的修改具有不可否认性。进一步的，所述方法中，agent代理程序对用户的身份和权限进行判断具体为：agent代理程序接收到用户通过客户业务主机发出的sql请求后，对sql语句进行分析，首先找出主体和客体对象，分别进行主体身份识别和客体访问授权检查，然后对sql语句进行意图分析，过滤敏感词汇，避免sql注入行为及跨站脚本攻击行为；agent代理程序将sql操作动作与规则库中的动作进行匹配，检查异常程度，根据偏离度进行分析，推理和检测行为决策，当发现操作行为异常值超过规则允许的范围，agent代理程序立即发出警报和提供相关的审计的结果。进一步的，所述方法中数据库服务器主机上的业务数据逻辑上分为六种类型，第一类是请求数据，即用户向数据库服务器提交的sql命令和客户端信息；第二类是用户及权限数据，是用户身份识别和访问控制的信息acl；第三类是用户操作日志，记录用户操作行为，用于操作审计；第四类是知识库文件，保存agent的专家数据，方便agent进行推理分析；第五类是规则库，制定每类授权用户异常行为标准；第六类是系统配置文件；上述六类信息均采用xml存储模式。进一步的，所述方法中agent代理程序具体包括：认证agent，在软件结构中起软件防护墙作用，对各种连接和操作数据库的请求进行安全过滤和审计；漏洞检测agent，通过检测数据库服务器漏洞，评估其安全风险级别，实现事前预防；操作审计agent，由操作审计或其它安全软件封装而成，按照事先设定的检测规则和安全策略进行在线实时行为检测或事后数据分析；数据采集agent，负责屏幕采样，键盘数据和日志数据收集，收集的数据最后传送到服务器端agent进行集中处理。其中，所述方法中agent代理程序对用户的身份进行判断具体为：系统中定义员工身份识别类emp，属性包括主机名、ip地址信息，然后使用java序列化方法直接将员工对象保存到认证文件中，一个员工对应一个认证文件，认证文件为员工编号.ser，写文件的工作在员工注册时完成，此工作逆过程在用户登录验证时完成，员工类对象属性含登录主机信息，该信息由数据采集agent在用户登录时自动获取，，实现用户登录地点的锁定，再结合业务系统登录功能实现用户身份识别。其中，所述方法中agent代理程序对用户的权限进行判断具体为：将主体对客体对象的常见操作行为：增、删、改、查进行简化，简化的规则是在应用系统中去掉记录delete操作和update操作，在要删除的记录中增加删除状态或将update操作转为insert操作，用版本更新号和时间戳记录数据状态。本发明的有益效果在于：本发明提供一种基于agent的内部威胁实时检测方法，提出了一种基于agent的内部威胁检测框架，该框架包括数据采集、身份认证、日志管理、漏洞检测、操作审计等模块。通过将各功能模块构建为智能agent，在各agent间协作完成异常行为检测和身份识别任务，从而便于系统进行操作日志动态分析，有利于内部威胁的实时检测和操作干预。借助agent的灵活性以及基于对象序列化的身份认证技术，提高了内部威胁检测的敏捷性和可靠性，增强了企业内部威胁检测系统的智能性和自适应能力。附图说明图1为基于agent的内部威胁检测框架逻辑结构图；图2为基于agent的内部检测系统控制逻辑；图3为基于agent的内部威胁检测系统agent类型图。具体实施方式下面对本发明的具体实施方式进行说明：本发明的具体设计思路是，在用户访问数据库服务器主机上的业务数据之前，由agent代理程序对用户的身份和权限进行判断，只有通过认证的用户才能访问数据；在用户处理授权的业务数据的过程中，agent代理程序对用户的行为进行实时的监控，并将用户的行为记录到日志文件中；用户处理授权的业务数据处理完毕后，agent代理程序根据用户的需要调用相应的签名机制对用户所做的处理部分进行签名，使用户对业务数据的修改具有不可否认性。系统结构逻辑结构：agent代理程序的逻辑结构分为三层：第一层是检测系统与客户业务主机的接口，实现与客户机的通信和数据采集工作；第二层是检测系统内部安全模块集合，实现检测安全控制功能、审计安全控制功能、响应安全控制功能；第三部分是检测系统与企业数据库服务器的接口，实现与数据库的通信和数据采集工作。图1是三层逻辑结构图。在客户业务机和数据库服务器主机上安装客户agent代理程序，一方面捕获企业内部员工录入数据和发出的命令，同时可以进行锁屏和上传屏幕截图等任务。通过安全检测系统达到在线实时监控和事后审计的双重作用。访问控制结构：内部威胁检测系统监听程序接收到用户通过业务系统发出的sql请求后，对sql语句进行分析，首先找出主体和客体对象，分别进行主体身份识别和客体访问授权检查，然后对sql语句进行意图分析，过滤敏感词汇，避免sql注入、跨站脚本攻击等行为。其次，将sql操作动作与规则库中的动作进行匹配，检查异常程度，根据偏离度进行分析、推理和检测行为决策，当发现操作行为异常值超过规则允许的范围，则其立即发出警报和提供相关的审计的结果。通过agent技术实现用户每个操作行为的记录、监控和适时干预，保障内部信息资源的安全服务。图2为内部威胁检测系统访问控制逻辑示意图。数据存储设计：内部威胁检测系统所访问的数据逻辑上分为六种类型。第一类是请求数据，即用户向数据库服务器提交的sql命令和客户端信息。如：主机名、ip地址等。第二类是用户及权限数据，是用户身份识别和访问控制的信息acl。第三类是用户操作日志，记录用户操作行为，用于操作审计。第四类是知识库文件，保存agent的专家数据，方便agent进行推理分析。第五类是规则库，制定每类授权用户异常行为标准。第六类为系统配置文件，如通信参数、信任度等。为降低系统复杂度和提高系统可扩展性，这六类信息均采用xml存储模式。内部威胁检测框架功能设计内部威胁检测系统功能根据企业对数据安全级别的需求不同而不同，本发明定义了身份认证、访问控制、操作审计、漏洞检测、规则管理等功能，对应不同功能设计了不同的agent。内部威胁感知与检测技术层面的活动按照时间顺序可以分为阻止、检测和响应三大部分。采用数据包过滤技术实现身份认证和基于角色的数据访问控制，将此功能交由认证agent处理。认证agent在软件结构中起软件防护墙作用，对各种连接和操作数据库的请求进行安全过滤和审计作用。另外，不少数据泄露是内部人员熟知系统漏洞而获取得，因此，利用漏洞检测agent，通过检测数据库服务器漏洞，评估其安全风险级别，实现事前预防。将操作审计或其它安全软件封装成操作审计agent，按照事先设定的检测规则和安全策略进行在线实时行为检测或事后数据分析。各agent之间是通过协作来完成安全任务的，因此，通信的安全性问题十分重要；研究中采用用户登录口令的hash值作为密钥，基于对称加密算法的安全通信机制实现之。企业内部威胁检测系统对应的agent种类如图3所示。数据采集agent负责屏幕采样，键盘数据和日志数据收集，收集的数据最后传送到服务器端agent进行集中处理。客户端监控代理和服务器端底层代理方式可以有效控制对服务器的攻击活动。通过客户端agent向服务器端agent陈述信息需求。agent能够感知所处的环境，并对相关事件做出实时反应，可以满足内部威胁实时检测的需要。关键技术用户身份识别：企业信息管理系统传统用户身份识别的做法是账号、密码、验证码组合方式，但此种方式不能保证用户操作是否为同一个人。本发明采用对象序列化技术和传统账号、密码方式相结合，很好解决了用户身份不可否认性。系统中定义员工身份识别类emp，属性有主机名、ip地址信息，然后使用java序列化方法直接将员工对象保存到认证文件中，一个员工对应一个认证文件，认证文件为员工编号.ser，写文件的工作在员工注册时完成，此工作逆过程在用户登录验证时完成。由于员工类对象属性含登录主机信息，该信息由数据采集agent在用户登录时自动获取。所以可以实现用户登录地点的锁定，再结合业务系统登录功能就可以很好实现用户身份识别工作，此项技术可以很好防止用户在其它主机上进行重放攻击。日志管理：在传统的设计中，对日志的审核都是由服务器负责的，而且服务器只提供简单的判断规则。这在用户较多的情况下，容易产生大量的日志并浪费网络资源导致服务器的执行效率较低。为了判断某个用户是否存在攻击行为，管理员通常需要查看包含大量无关信息的日志文件。为了解决这一问题，我们使用多个agent来分担日志记录的任务。根据企业中不同部门将内网划分成多个部分，对各个部分分别采用专门的agent来记录日志。agent对收集的日志进行判断和数据预处理，过滤掉无关的次要信息后把结果传送给agent服务器，从而大大地减少了服务器的负担。权限访问控制：一个信息保护系统主要由多个主体、多个客体、一个存取控制矩阵构成。存取控制矩阵用于控制主体对客体的访问行为。为了提高访问控制矩阵进行匹配检索效率。将主体对客体对象的常见操作行为：增、删、改、查进行简化，以减少权限的组合可能，提高系统性能。简化的规则是在应用系统中去掉记录delete操作和update操作，取而代之的是在要删除的记录中增加删除状态或将update操作转为insert操作，用版本更新号和时间戳记录数据状态，这也为操作审计提供了更为全面真实的数据。表1为数据访问权限简化表。表1编码×××位序第3位第2位第1位含义dropinsertselect根据数据权限简化表可以制定每个主体(操作员)对客体(表或视图)的存储控制矩阵。在存取控制矩阵中每一个元素(i，j)表示主体i对客体j的存取权。表2是拥有3个用户和3个数据对象的存取控制矩阵。表2以上是本发明的优选实施方式，应当指出，对于本
技术领域：
的普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。当前第1页12