張磊 張洪德 李進(jìn)珍

摘? 要：對軍用計算機(jī)及服務(wù)器的惡意登錄攻擊已成為敵對勢力竊取我軍重要涉密信息的主要手段之一，該攻擊手段因具有隱蔽性好、破壞性大的特點，對我軍的信息安全造成巨大的威脅。鑒于此，綜合研究了當(dāng)前惡意登錄攻擊檢測方法的工作流程和原理，并分析了各檢測方法在準(zhǔn)確性、復(fù)雜度、時效性等方面的優(yōu)缺點。最后提出，應(yīng)結(jié)合網(wǎng)絡(luò)安全的實際任務(wù)需求，合理選取惡意登錄攻擊檢測方法，以求達(dá)到最佳的檢測效果。

關(guān)鍵詞：惡意登錄；入侵檢測；閾值

中圖分類號：TP309? 文獻(xiàn)標(biāo)識碼：A? 文章編號：2096-4706（2023）05-0094-04

Overview of Malicious Login Attack Detection Method

ZHANG Lei1， ZHANG Hongde1， LI Jinzhen2

（1.School of Communications Noncommissioned Officers， Army Engineering University of PLA， Chongqing? 400035， China;

2.31608 Troops of PLA， Xiamen? 361000， China）

Abstract： Malicious login attacks on military computers and servers have become one of the main means for hostile forces to steal important confidential information of our army. Because of its good concealment and strong destructiveness characteristics， this attack means poses a huge threat to the information security of our army. In view of this， the workflow and principle of current malicious login attack detection methods are comprehensively studied， and the advantages and disadvantages of each detection method in terms of accuracy， complexity and timeliness are analyzed. Finally， it is proposed that the malicious login attack detection method should be reasonably selected according to the actual task requirements of network security， in order to achieve the best detection effect.

Keywords： malicious login; intrusion detection; threshold

0? 引? 言

惡意登錄是指不具有登錄權(quán)限或不具備登錄條件的人員通過強(qiáng)行手段登錄某臺電腦或后臺服務(wù)器，獲取對己方有價值的情報數(shù)據(jù)，進(jìn)一步達(dá)到相應(yīng)軍事目的。國內(nèi)外專家學(xué)者對其進(jìn)行了大量研究，提出了蜜罐技術(shù)、用戶行為多元模式法、單分類支持向量機(jī)主動學(xué)習(xí)檢測法等很多檢測方法，本文對典型檢測方法進(jìn)行綜述性研究，探討當(dāng)前惡意登錄檢測技術(shù)的原理、優(yōu)缺點以及在具體應(yīng)用中的選擇策略。

1? 惡意登錄分析

1.1? 惡意登錄的特征

惡意登錄起源于憑證填充[1]，攻擊者通過合法或非法的方式獲得用戶賬戶和密碼，取得用戶登錄權(quán)限，登錄自身無權(quán)登錄或無需登錄的系統(tǒng)、網(wǎng)絡(luò)等，達(dá)到自身的某種目的，因此惡意登錄具有隱蔽性好、攻擊性強(qiáng)、破壞性大等特征。

1.1.1? 惡意登錄的隱蔽性

由于軍事系統(tǒng)自身的特點，針對軍用網(wǎng)絡(luò)的惡意登錄攻擊基本上都是由內(nèi)部人員實施的，作為內(nèi)部人員，其具有外部人員所不具備的對自身網(wǎng)絡(luò)系統(tǒng)的了解認(rèn)知，由其發(fā)起的惡意登錄攻擊可以更加容易地避開安全部門開展的預(yù)防檢測，最大限度地增加了維護(hù)網(wǎng)絡(luò)安全的難度，因此相比于其他攻擊行為，惡意登錄更加具有隱蔽性，對軍用計算機(jī)網(wǎng)絡(luò)管理人員來說也更加難以防范。

1.1.2? 惡意登錄的攻擊性

這里所說的攻擊性是指惡意登錄攻擊目的十分明確，都是為了獲取攻擊者所需的重要信息，并且是在合法的情況下進(jìn)行，這令絕大部分對攻擊行為進(jìn)行被動防御的安全軟件無能為力，對比計算機(jī)病毒、木馬等攻擊手段，惡意登錄攻擊預(yù)防難度更大，攻擊成功率更高。

1.1.3? 惡意登錄的破壞性

因為這些惡意登錄攻擊的制造者通常是軍隊內(nèi)部人員，更有甚者也有可能是網(wǎng)絡(luò)的管理者，這些人員都是作為可信任的對象，有些會被授予相關(guān)的權(quán)限，他們熟悉相關(guān)網(wǎng)絡(luò)結(jié)構(gòu)，由于自身身份的原因還掌握著一些涉及重要內(nèi)部的機(jī)密信息。因此，惡意登錄攻擊制造的破壞性相比來自外部的攻擊更大，對我軍重要信息安全更加具有威脅。

1.2? 惡意登錄的分類

從近年來發(fā)生的針對我軍網(wǎng)絡(luò)系統(tǒng)的惡意登錄攻擊來看，主要分為兩類：

（1）系統(tǒng)內(nèi)部人員非法操作造成的“無意”誤登錄。根據(jù)某通信單位對近十年來發(fā)生網(wǎng)絡(luò)系統(tǒng)惡意登錄攻擊來看，絕大多數(shù)都可以歸納為單位內(nèi)部人員沒有嚴(yán)格按照規(guī)定要求使用網(wǎng)絡(luò)系統(tǒng)，或者在“無意識”狀態(tài)下的操作產(chǎn)生了事實上的惡意登錄行為，這種情況是由內(nèi)部人員的誤操作造成的，本質(zhì)上不具有“惡性”的行為目的，不會給軍用網(wǎng)絡(luò)系統(tǒng)造成很嚴(yán)重的后果。

（2）以竊取涉密信息為目的進(jìn)行的“有意”惡登錄。這類惡意登錄行為總的占比雖然不高，但對安全保密工作造成的危害是難以估量的，因其攻擊者多為遭到敵方策反的內(nèi)部人員，熟悉關(guān)鍵信息存儲地址，且具有一定的登錄訪問權(quán)限，這就使得常規(guī)的防火墻、殺毒軟件等不會對這種攻擊進(jìn)行識別，因此這類惡意登錄攻擊一旦產(chǎn)生，內(nèi)部關(guān)鍵信息必將遭到非法下載、泄露，造成的損失是不可彌補(bǔ)，無法挽回的。

2? 惡意登錄檢測方法

針對惡意登錄攻擊的檢測方法分為兩類：簽名檢測和異常檢測。

2.1? 簽名檢測

簽名檢測方法是在對每個行為進(jìn)行掃描的同時與惡意行為數(shù)據(jù)庫中的特征進(jìn)行比較，查看是否和數(shù)據(jù)庫中樣本的簽名一致，判斷是否為惡意登錄攻擊。

簽名檢測過程分為以下三個步驟實施：

（1）收集大量的惡意登錄行為數(shù)據(jù)，并提取它們的“指紋”，然后在一個基礎(chǔ)數(shù)據(jù)庫中記錄下來，構(gòu)建一個針對惡意登錄的對照樣本。

（2）當(dāng)監(jiān)控或掃描程序發(fā)現(xiàn)某個登錄行為數(shù)據(jù)可疑，提取其相同數(shù)據(jù)的“指紋”，然后和惡意登錄數(shù)據(jù)庫中原始值進(jìn)行比較。

（3）如果通過檢測發(fā)現(xiàn)其“指紋”和數(shù)據(jù)庫中的“指紋”相匹配，就認(rèn)定其為惡意登錄攻擊。

簽名檢測方法的核心是建立惡意行為數(shù)據(jù)庫，這也意味著這種檢測方法需要不斷收集新的惡意登錄攻擊樣本，提取它們的特征，盡可能快的對數(shù)據(jù)庫進(jìn)行更新。雖然目前部分?jǐn)?shù)據(jù)庫的更新已經(jīng)做到了網(wǎng)絡(luò)的實時更新，但鑒于基于簽名的檢測方法的實現(xiàn)基礎(chǔ)，數(shù)據(jù)庫的更新永遠(yuǎn)跟不上新的惡意登錄攻擊出現(xiàn)的速度，想要建立一個完美的惡意登錄行為數(shù)據(jù)庫是不科學(xué)的，也是不現(xiàn)實的，在這種狀況下，只要攻擊數(shù)據(jù)稍微改變一下，基于簽名的檢測方法就失效了。簽名檢測結(jié)構(gòu)如圖1所示。

2.2? 異常檢測

異常檢測是當(dāng)前主流的檢測方法。它結(jié)合相應(yīng)的機(jī)器學(xué)習(xí)算法對正常合規(guī)的登錄操作進(jìn)行學(xué)習(xí)，統(tǒng)計得出正常登錄相應(yīng)的數(shù)據(jù)，在檢測時將待測數(shù)據(jù)和其進(jìn)行比對，通過閾值判斷是否為惡意登錄攻擊。

惡意登錄異常檢測主要包含三個步驟：

（1）收集正常登錄行為數(shù)據(jù)，提取數(shù)據(jù)特征，建立數(shù)據(jù)庫用于對照學(xué)習(xí)。

（2）構(gòu)建動態(tài)檢測監(jiān)控系統(tǒng)用于捕獲登錄行為數(shù)據(jù)，并與其進(jìn)行匹配對照。

（3）當(dāng)檢測某一登錄行為數(shù)據(jù)超出設(shè)定閾值時發(fā)出警示信號。

在理想情況下，異常檢測數(shù)據(jù)庫中的數(shù)據(jù)經(jīng)過一定時間后自動進(jìn)行更新調(diào)整，并堅決不能含有任何與惡意登錄攻擊相關(guān)的數(shù)據(jù)[2]，同時異常檢測成立的前提是假設(shè)正常登錄行為數(shù)據(jù)閾值都低于設(shè)定的閾值，并且所有超出閾值的行為都是惡意登錄攻擊，而目前閾值的設(shè)定并沒有成熟的方法，主要依靠網(wǎng)絡(luò)維護(hù)人員的自身工作經(jīng)驗，因此閾值的設(shè)定極大地影響了異常檢測的準(zhǔn)確性。異常檢測結(jié)構(gòu)如圖2所示。

3? 典型惡意登錄檢測方法的原理

目前圍繞上述兩類惡意登錄檢測技術(shù)出現(xiàn)了很多針對具體問題的檢測方法，其中蜜罐技術(shù)、用戶行為多元模式法、單分類支持向量機(jī)主動學(xué)習(xí)檢測法、循環(huán)神經(jīng)網(wǎng)絡(luò)檢測法四種經(jīng)典檢測方法得到了廣泛應(yīng)用。

3.1? 蜜罐技術(shù)

蜜罐是一種人為設(shè)計的預(yù)設(shè)漏洞的程序系統(tǒng)，專門用來“誘騙”試圖對網(wǎng)絡(luò)系統(tǒng)進(jìn)行惡意登錄攻擊的內(nèi)部人員。這與防火墻技術(shù)、入侵檢測技術(shù)、病毒防護(hù)技術(shù)、數(shù)據(jù)加密和認(rèn)證技術(shù)有很大的不同，后者都是在攻擊者對網(wǎng)絡(luò)進(jìn)行攻擊時對系統(tǒng)進(jìn)行被動的防護(hù)，而蜜罐技術(shù)可以采取主動的方式[3]。首先它通過模擬一個或多個含有系統(tǒng)漏洞以及“重要信息”的主機(jī)或者服務(wù)器，主動給攻擊者提供某個易受攻擊的對象；其次，當(dāng)發(fā)現(xiàn)惡意登錄攻擊者一旦與蜜罐進(jìn)行連接，蜜罐就可以將攻擊者在蜜罐中開展的攻擊行為全部記錄下來，安全人員可以通過分析這些記錄，獲得更多有關(guān)攻擊者的相關(guān)信息；最后利用蜜罐技術(shù)提供的惡意登錄攻擊者相關(guān)信息，安全人員能夠快速對其開展“定位”，并結(jié)合攻擊者采用的方法手段對網(wǎng)絡(luò)系統(tǒng)進(jìn)行及時的更新和修補(bǔ)，使真實的重要信息得到更好的保護(hù)。如圖3所示。

3.2? 用戶行為多元模式法

針對惡意登錄攻擊，該方法通常包括構(gòu)建用戶行為描述、計算用戶行為特征和用戶行為模式分析三個步驟。

3.2.1? 構(gòu)建用戶行為描述

構(gòu)建用戶單域行為描述。對于標(biāo)簽類屬性、數(shù)值類屬性，可以采用二進(jìn)制特征向量表示它們的特征值，例如可以用“10000”“01000”“00100”“00010”“00001”這5種向量分別表示讀、寫、新建、拷貝、刪除5種操作的特征值。在得到用戶的單域行為特征后，我們基于一個時間窗口，統(tǒng)計合并同一時間窗口的用戶所有單域行為描述，構(gòu)建成用戶多域行為描述[4]。

3.2.2? 計算用戶行為特征

通過設(shè)計相關(guān)數(shù)學(xué)公式，計算用戶行為特征。例如非負(fù)矩陣分解（NMF）法的公式為：

X=UV+E≈UV? ? ? ? ? ? ? ? ? ? ? ? ? ? ?（1）

其中，X=[X1， X2，…， Xn]∈，X為原始的數(shù)據(jù)矩陣，U=[u1， u2，…， ur]∈，U為分解后的基矩陣，V=[v1， v2，…， vn]∈，V為分解后的系數(shù)矩陣。m×n維的噪聲矩陣E為逼近誤差。

3.2.3? 用戶行為模式分析

基于高斯混合模型（GMM）等非監(jiān)督學(xué)習(xí)技術(shù)進(jìn)行用戶行為多元模式分析。在GMM模型中，同分布的用戶行為特征的高斯分布函數(shù)可表示為：

（2）

其中，Σ為協(xié)方差矩陣，v為均值向量，x為同分布的用戶行為特征向量，d為用戶行為特征向量長度。

全體用戶行為特征的分布密度表示為不同的高斯分布函數(shù)的加權(quán)線性組合為：

（3）

其中，x為任意的用戶行為特征，g（·）為高斯分布函數(shù)，ρi為第i個高斯分布的權(quán)值，m為高斯分布的數(shù)量。在檢測時，設(shè)定一個惡意登錄攻擊模式閾值，用以區(qū)分正常登錄和惡意登錄行為，則高于該閾值的用戶行為則被認(rèn)為是惡意登錄攻擊行為。

3.3? 單分類支持向量機(jī)主動學(xué)習(xí)檢測法

近年來，單分類支持向量機(jī)和主動學(xué)習(xí)在異常檢測領(lǐng)域的應(yīng)用日益受到重視，該檢測方法通過特征空間變換、引入松弛變量等方法應(yīng)對數(shù)據(jù)集不純凈、不完整的問題，改善模型的檢測性能[5]。

該檢測方法具體分為以下三個步驟：

（1）采用單分類支持向量機(jī)和主動學(xué)習(xí)方法構(gòu)建高精度和完整性的對照樣本數(shù)據(jù)庫。

（2）提取檢測登錄行為數(shù)據(jù)特征，并與數(shù)據(jù)庫進(jìn)行對照檢查。

（3）當(dāng)檢測數(shù)據(jù)結(jié)果大于設(shè)定閾值時則判定為惡意登錄行為。

導(dǎo)致異常檢測誤報的兩個主要因素在于數(shù)據(jù)庫的純凈度和完整度。該方法為了降低檢測誤報率，一方面選擇低置信度和有代表性的樣本，提高數(shù)據(jù)庫的純凈程度和完整性，另一方面將支持向量機(jī)和主動學(xué)習(xí)方法運用到對數(shù)據(jù)樣本的訓(xùn)練中，進(jìn)一步提高了行為數(shù)據(jù)庫的代表性。與傳統(tǒng)方法相比，本方法較大的降低了異常檢測誤報率，提高了對惡意登錄攻擊檢測的準(zhǔn)確性。

3.4? 循環(huán)神經(jīng)網(wǎng)絡(luò)檢測法

循環(huán)神經(jīng)網(wǎng)絡(luò)法對登錄用戶操作日志進(jìn)行分析檢測，找出隱藏在連續(xù)日志數(shù)據(jù)中的上下關(guān)系，識別其所包含的惡意登錄數(shù)據(jù)。

該方法包括三個步驟：

（1）通過對用戶日志數(shù)據(jù)采用編碼的方式構(gòu)建日志字典，使用戶操作日志能夠轉(zhuǎn)換成單個序列的形式。

（2）對每個日志序列進(jìn)行向量化表示，通過對正常登錄用戶操作特征數(shù)據(jù)學(xué)習(xí)，得到正常登錄操作行為機(jī)制，進(jìn)而與待檢測登錄操作信息特征進(jìn)行對比分析，得到用戶操作評分。

（3）通過閾值判斷用戶操作是否為異常操作，若評分高于閾值，則認(rèn)為用戶操作異常，模型判斷為惡意登錄，并反饋給技術(shù)人員進(jìn)行后續(xù)處理。

該方法使用長短時記憶網(wǎng)絡(luò)學(xué)習(xí)用戶的正常行為模式，利用長短時記憶網(wǎng)絡(luò)的記憶特性，融合注意機(jī)制，對帶有時序性的惡意登錄攻擊有著很好的檢測效果[1]。循環(huán)神經(jīng)網(wǎng)絡(luò)檢測結(jié)構(gòu)如圖4所示。

4? 典型惡意登錄檢測方法優(yōu)缺點分析

每種惡意登錄檢測方法在檢測效果、算法難度以及適用性等方面均有各自的特點，現(xiàn)將上述4種典型方法優(yōu)缺點進(jìn)行歸納，如表1所示。

通過對四種檢測方法的優(yōu)缺點進(jìn)行分析，可以得出以下結(jié)論：

（1）不同的檢測方法具有各自不同優(yōu)勢。如蜜罐技術(shù)比較適用于被動收集攻擊者行為數(shù)據(jù)，在靈活性和主動性方面較差；用戶行為多元模式法融合用戶多域行為特征方面較為突出；單分類支持向量機(jī)主動學(xué)習(xí)檢測法在針對攻擊行為較少數(shù)據(jù)時檢測效果較好；循環(huán)神經(jīng)網(wǎng)絡(luò)檢測法是基于用戶行為日志，通過審計日志特征信息查找異常攻擊行為。

（2）不同的檢測方法適用性明顯不同。蜜罐技術(shù)方法簡單，方法的適用性較好，能夠?qū)崟r收集攻擊數(shù)據(jù)信息；單分類支持向量機(jī)主動學(xué)習(xí)檢測法通過與正常用戶行為數(shù)據(jù)對照，進(jìn)行異常檢測，適用于異常行為特征顯著攻擊；用戶行為多元模式法和循環(huán)神經(jīng)網(wǎng)絡(luò)檢測法由于需要進(jìn)行大量用戶行為信息訓(xùn)練，計算量較大，適合處理高精確度攻擊任務(wù)。

5? 結(jié)? 論

惡意登錄的檢測方法除了上述的幾種以外，還有諸如基于機(jī)器學(xué)習(xí)、系統(tǒng)調(diào)用、人工智能等技術(shù)的檢測方法，每種方法都有各自的優(yōu)缺點，目前并沒有一種檢測方法可以有效地處理所有問題，因此在選擇檢測方法進(jìn)行惡意登錄攻擊檢測時，要結(jié)合具體任務(wù)要求權(quán)衡利弊，選擇最適合的檢測方法，最大程度地滿足應(yīng)用需求。

參考文獻(xiàn)：

[1] 明澤.基于主機(jī)日志的惡意登錄異常檢測方法研究 [D].太原：中北大學(xué)，2021.

[2] FLEGEL U，VAYSSIERE J，BITZ G. A State of the Art Survey of Fraud Detection Technology [J].Insider Threats in Cyber Security，2010：73-84.

[3] 應(yīng)錦鑫，曹元大.利用蜜罐技術(shù)捕捉來自內(nèi)部的威脅 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005（1）：37-39.

[4] 文雨，王偉平，孟丹.面向內(nèi)部威脅檢測的用戶跨域行為模式挖掘 [J].計算機(jī)學(xué)報，2016，39（8）：1555-1569.

[5] 劉敬，谷利澤，鈕心忻，等.基于單分類支持向量機(jī)和主動學(xué)習(xí)的網(wǎng)絡(luò)異常檢測研究 [J].通信學(xué)報，2015，36（11）：136-146.

作者簡介：張磊（1985—），男，漢族，遼寧鞍山人，研究生在讀，研究方向：戰(zhàn)場信息處理與信息安全防護(hù)。

收稿日期：2022-09-13