捕捉自盗威胁：使用行为建模技术侦测可疑命令，发现访问规律

　　正所谓“日防夜防，家贼难防”，大数据时代对于企业平台而言，内部数据与信息的管理难度不断提升，同时其所面临的内部数据泄露问题却日益凸显。在内部数据库不断升级的过程中，信息被泄露的风险也就越大，越需要更先进的技术作为保障，确保信息的安全。

　　根据Verizon发布的《2017年数据泄露调查报告》显示，绝大多数内部人员和特权滥用的违规行为几个月甚至几年都未被发现(图1)。更糟糕的是，黑客们通过各种技术操作方式，越来越容易获取访问权限并伪装成内部人员。2017年4月，暗网中出现了史上最大的账号信息合集，共包含14亿条明文账号信息。这些有效的未加密用户名和密码信息搜集自很多个数据库源头，包括Netflix、MySpace、Badoo、LinkedIn等等。即使是菜鸟黑客，也能够通过这些已经被泄露的敏感信息中，轻易的找到攻击点。

　　图1：内部人员和特权滥用造成的泄露发现时间轴，n=77(来源：2017年Verizon报告)

　　在此背景下，Imperva Defense Center通过深度的实验，对内部人员渗透数据库的方式方法，以及数据库信息内部泄露的可能进行了全方位的探索，总结出了一系列的可疑数据库访问命令和访问模式的侦测方法。该实验研究成果，已经被应用于Imperva CounterBreach的最新版本中。这些新型探测技术，借助行为建模方法可以大大缩短发现可疑的内部数据泄露风险的时间。

　　换位思考，防患未然

　　作为入侵者，攻击者在窃取数据库信息之时，除了会伪装身份，扮成内部数据检索人员之外，还会试图掩盖数据窃取每个阶段的痕迹。根据Imperva Defense Center研究发现，攻击者的常用方法包括以下三种：

　　1.使用带有摘要内容的动态SQL查询语句

　　2.向数据库注入恶意代码

　　3.使用专用的Shell同数据库进行通信

　　充分掌握以上攻击者具体攻击方式是威胁侦测的关键。Imperva Defense Center通过对渗透攻击工具进行逆向工程，掌握了攻击者攻击的各种攻击方法，并将该结果和专家知识相结合，列出了诸多会造成攻击行为的命令，以及攻击者对数据库访问的行为特征。在掌握这些信息后，Imperva还在许多已有客户的数据库系统上进行验证，观察这些命令和行为特征是否经常会出现在日常数据库的访问中。

　　锁定对数据库的可疑访问

　　根据Imperva Defense Center研究发现，可以将内部数据泄露的可疑操作命令和访问规律分为两组：第一组是正常行为中从未用到过的命令和访问规律。执行这种命令就代表着非常可能就是攻击行为;第二组是正常行为中不太会使用的命令，但是需要注意的是，一些交互用户或应用在某些场合下还是有一定可能会使用这些命令，这些命令并不一定一定就是攻击行为。为了消除虚假警报，研究中心进行了统计学方式的推断，发现正常用户在使用第二组中的某些特定命令时，通常是重复的而且方式非常可预测。(图2)

　　图2：不同用户的可疑指令查询数

　　双模型——内外兼修

　　根据上面的发现，我们推荐应该同时采用负面和正面行为模型，这两个模型来进一步的可疑行为的判断。很多情况下，这两种方法都能有效探测潜在的内部攻击者，而且可以起到相互补充的作用。

　　负面行为建模探测的目标，是侦测根本就不应该存在的可疑行为。相对而言，正面行为模型则用来侦测绝大部分用户中不太会进行的可疑行为。上述的两组可疑命令，就可透过这两种行为模型进行归类。

　　正面行为建模与负面建模不同，记录的是日常行为。它记录每一个用户行为、具有相似特征或用户组的行为(即对等组)以及整个组织的行为。模型的行为特征包括对数据的访问规律、用户通常在组织内访问的储存数据、访问时间、取回的数据量以及很多其他特征。对每一个用户或组行为模型建成后，就可探测异于相关模型的可疑行为。这种模型可应用于第二组命令和访问规律。

　　在一些简单的场景中，我们可以仅仅使用负面行为模型(即纯负面行为模型)就侦测出使用第一组命令的攻击事件。但是在更复杂情况中，例如第二种情况(攻击者的行为混淆与正常访问之中)，那就需要使用两种模型结合的方法(即组合的正面与负面两种模型)。负面行为模型使用了相关领域的专家知识，而正面行为模型使用了机器学习算法，可以最大程度降低误报。

　　探测实际攻击：案例分析

　　在Imperva CounterBreach的最新版本应用中，就有如下一则实际的探测案例，发现了客户数据库中，有同一名用户使用了两条可疑命令，造成了内部数据的泄露。而通过Imperva CounterBreach的应用，不仅搜索到了可疑命令，而且还解除了其背后的风险。

　　如图3所示，可以发现两条可疑命令在整个组织内的使用情况。第一条命令(图表中以蓝色显示)组织中以前从未使用过。使用纯负面行为模型探测到，攻击当天该命令被执行了51次，所以非常可疑。第二条命令(图表中以橙色显示)曾经有多个用户使用过，但是不太经常使用。在这一阶段，尚无法对这一组命令下任何结论。

　　图3：两条可疑命令在整个组织内的使用情况

　　面对这种复杂的情况，通过进一步在第二组命令上使用正面模型，更加证实了这条命令的可疑性很高。对该用户档案进行的分析显示，这名用户在44天前，从未进行过这一罕见而又危险的操作，但是数据泄露的这一天执行过3次类似指令，由此可见，这一行为的确有问题。(图4)

　　图4：用户分析工具捕捉到的罕见可疑命令

　　安全防范很重要

　　大数据时代，数据泄露事件每一天都在增加，尤其在内部数据泄露方面，发现内部人员与特权滥用导致的泄露，需要花上几个月甚至几年时间才能查出。在此背景下，要更快探测出这类威胁，并在数据遭到窃取之前加以阻止。面临着困难和挑战，更要迎难而上。Imperva CounterBreach针对黑客与数据窃取者的操作方式和窃取方法，不断完善技术体系，准确探测攻击行为，同时最大限度降低误报。凭借着领域内专家知识的负面行为模型，以及机器学习算法的正面行为模型，Imperva时刻保持领先一筹，为客户做好安全防范。