本發(fā)明涉及網(wǎng)絡安全領(lǐng)域,特別涉及一種預測惡意軟件感染的統(tǒng)計預測系統(tǒng)和方法�����。
背景技術(shù):
在網(wǎng)絡安全中�����,惡意軟件被用在殺傷鏈的上游以獲得對系統(tǒng)的訪問�����。在典型的企業(yè)環(huán)境中�,員工的工作站也稱為主機�,或互聯(lián)網(wǎng)上的服務器每天都會遭到惡意軟件攻擊。來自Symantec����,Intel安全(以前為MacAfee)�,趨勢科技���,Sophos�����,卡巴斯基實驗室等供應商的商業(yè)端點保護軟件用于檢測惡意軟件���,并采取盡可能多的措施進行修復。然而��,它們的有效性遠低于100%��。
而且�,這些商業(yè)端點保護軟件不具有對個體員工在未來被惡意軟件感染的可預見性,以便企業(yè)安全操作中心采取預防措施��。從首席信息安全官(CISO)的角度來看�,需要針對惡意軟件風險識別出關(guān)鍵統(tǒng)計性驅(qū)動因素,并相應地制定風險治理政策�����。
一般來說,在企業(yè)環(huán)境中���,與惡意軟件有關(guān)的工作可歸為四個不同類型����。第一類工作是如何分類一個軟件是否是惡意��。傳統(tǒng)上����,大多數(shù)軟件是基于簽名進行分類的,然而��,這種方法會錯過“零日漏洞”惡意軟件和已知惡意軟件的新變種��。這在今天仍然廣泛使用�。最近�����,機器學習算法用于檢查數(shù)百萬的文件屬性�����,以確定某個文件具有惡意的概率。第二類工作是基于病毒和網(wǎng)絡日志對病毒傳播進行建模�����。第三類工作是由Verizon等行業(yè)咨詢公司生成報告�����。這些報告通常按年提供統(tǒng)計信息�����,例如統(tǒng)計不同行業(yè)和不同類型惡意軟件的攻擊總數(shù)/平均數(shù)���,以及攻擊的影響和歷年來的趨勢�����。與企業(yè)信息安全工作最密切相關(guān)但仍有明顯區(qū)別的第四類工作�,其是基于不同的主機服務���,例如應用程序�����、網(wǎng)絡服務或在主機上運行的其他程序來描述主機風險���,并設置個性化安全策略�,或者基于用戶行為來描述風險���,例如用戶是否將隨機導航到可能具有惡意的URL����,之前是否已經(jīng)點擊隨機彈出的窗口或使用已經(jīng)被惡意軟件感染的虛擬化Web瀏覽器���。
因此��,有必要針對現(xiàn)狀設計一種企業(yè)環(huán)境中預測惡意軟件感染的新型統(tǒng)計預測方法和系統(tǒng)�����,以便對高風險員工采取預防措施和針對性的提供策略。
技術(shù)實現(xiàn)要素:
為解決上述問題��,本發(fā)明提出一種預測惡意軟件感染的統(tǒng)計預測系統(tǒng)和方法,可根據(jù)員工的統(tǒng)計數(shù)據(jù)來預測其在企業(yè)網(wǎng)絡中被惡意軟件感染的風險���,以便對高風險員工采取主動預防措施或針對惡意軟件感染識別出統(tǒng)計性驅(qū)動因素�����,協(xié)助設置安全策略或監(jiān)視當前策略的有效性���。
為了達到上述目的�����,本發(fā)明提出如下技術(shù)方案:
一種預測惡意軟件感染的統(tǒng)計預測系統(tǒng)����,包括:
作為數(shù)據(jù)源的員工信息數(shù)據(jù)庫����;
對員工信息數(shù)據(jù)、端點保護軟件日志的惡意軟件感染數(shù)據(jù)����、主機分配信息數(shù)據(jù)進行數(shù)據(jù)聚合的數(shù)據(jù)聚合器;
對聚合數(shù)據(jù)的進行特征提取的特征提取器����;
對提取的特征數(shù)據(jù)進行建立惡意軟件感染風險預測模型的預測建模器����。
一種預測惡意軟件感染的統(tǒng)計預測方法��,其步驟包括利用上述統(tǒng)計預測系統(tǒng)進行員工統(tǒng)計數(shù)據(jù)建立風險預測模型以預測網(wǎng)絡個體被惡意軟件感染的可能性���。
一種使用預測模型識別企業(yè)環(huán)境中惡意軟件感染的關(guān)鍵驅(qū)動因素的方法�,利用預測模型獲取惡意軟件感染的關(guān)鍵驅(qū)動因素分析�,協(xié)助網(wǎng)絡安全風險管控團隊設置和實施安全策略。
一種在SIEM環(huán)境中使用預測結(jié)果的方法�,利用預測模型獲取預測結(jié)果,利用安全信息和事件管理工具來協(xié)助SOC采取主動監(jiān)控操作����。
本發(fā)明是使用員工的統(tǒng)計數(shù)據(jù)來預測員工在未來一段時間內(nèi)將面臨多少高風險惡意軟件,并且確定特定員工的風險��,在預測中�����,根據(jù)員工將面臨的惡意軟件數(shù)量及其嚴重程度對員工進行風險排名����。為提高對高風險組預測的準確性,本發(fā)明提出一種新的統(tǒng)計學習方法-基于方差調(diào)整加權(quán)泊松的一般線性模型�����,采用a.時間偏移����;b.加權(quán)方差調(diào)整;c.分層抽樣��;a.智能變量分組策略提高預測準確性���。
對于被模型識別出的高風險的員工�����,系統(tǒng)會自動將信息發(fā)送到SIEM系統(tǒng)�����,安全操作中心可以對其進行主動監(jiān)控����。同時��,本發(fā)明還針對惡意軟件感染識別出統(tǒng)計性驅(qū)動因素,協(xié)助設置安全策略或監(jiān)視當前策略的有效性����。
有益效果:
本發(fā)明提出一種預測惡意軟件感染的統(tǒng)計預測系統(tǒng)和方法,可根據(jù)員工的統(tǒng)計數(shù)據(jù)來預測其在企業(yè)網(wǎng)絡中被惡意軟件感染的風險,以便對高風險員工采取主動預防措施或針對惡意軟件感染識別出統(tǒng)計性驅(qū)動因素��,協(xié)助設置安全策略或監(jiān)視當前策略的有效性��。
附圖說明
圖1是本發(fā)明的系統(tǒng)框圖��;
具體實施方式
下面將結(jié)合本發(fā)明的實施例和附圖���,對本發(fā)明實施例中的技術(shù)方案進行清楚���、完整地描述,顯然���,所描述的實施例僅僅是本發(fā)明一部分實施例�,而不是全部的實施例����。基于本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例���,都屬于本發(fā)明保護的范圍。
一種預測惡意軟件感染的統(tǒng)計預測系統(tǒng)����,所述的統(tǒng)計預測系統(tǒng)包括:
作為數(shù)據(jù)源的員工信息數(shù)據(jù)庫;
對員工信息數(shù)據(jù)��、端點保護軟件日志的惡意軟件感染數(shù)據(jù)�、主機分配信息數(shù)據(jù)進行數(shù)據(jù)聚合的數(shù)據(jù)聚合器;
對聚合數(shù)據(jù)的進行特征提取的特征提取器�����;
對提取的特征數(shù)據(jù)進行建立惡意軟件感染風險預測模型的預測建模器�����。
所述的員工信息數(shù)據(jù)庫不僅限于員工信息數(shù)據(jù)庫����,還包括員工福利數(shù)據(jù)庫,員工協(xié)議數(shù)據(jù)庫�����。
利用上述統(tǒng)計預測系統(tǒng)進行員工統(tǒng)計數(shù)據(jù)建立風險預測模型以預測網(wǎng)絡個體被惡意軟件感染的可能性,并使用預測輸出來對高風險員工組采取主動應對行為或設置和監(jiān)視安全策略���,其具體步驟為:
1)利用員工信息數(shù)據(jù)庫對的員工信息數(shù)據(jù)�����、端點保護日志���、主機分配信息數(shù)據(jù)進行數(shù)據(jù)聚合,利用數(shù)據(jù)聚合器負責鏈接不同的數(shù)據(jù)源��,得到友好的可分析格式組織數(shù)據(jù)���;
2)利用特征提取器對可分析格式組織數(shù)據(jù)進行特征提?���?��;
3)將輸入數(shù)據(jù)輸入到預測建模器中建立惡意軟件感染風險預測模型進行預測�,得到預測結(jié)果����。
在此方法中����,其中�����,員工統(tǒng)計數(shù)據(jù)來源于員工信息數(shù)據(jù)庫����,但不僅限于員工信息數(shù)據(jù)庫�����,還可以使用其他數(shù)據(jù)源��,例如員工福利數(shù)據(jù)庫�����,員工是否簽署相關(guān)協(xié)議���,或員工簽署了哪些部分的協(xié)議等��。員工信息數(shù)據(jù)庫中存儲員工姓名和員工ID����,可以作為密鑰鏈接其他數(shù)據(jù)源,包括但不限于:
員工的工作類型:員工是臨時員工還是正式全職員工��。
員工是來自供應商還是合作伙伴��,例如那幫輔助設施�,建筑,清潔����,食堂里的工人等。
員工是否具有管理人員或個人貢獻者�。
員工履行的職責,如軟件開發(fā)人員���,軟件質(zhì)量保證工程師��,產(chǎn)品所有者���,營銷人員或銷售人員等。
工作的長度:員工在公司的年限�����。
業(yè)務功能:在典型的企業(yè)中,它包括IT����,財務,營銷���,銷售(現(xiàn)場銷售或銷售支持)��,研發(fā)����,制造����,法律�����,人力資源等�����。
工作地點:國內(nèi)工作地點與國際工作地點。對于跨國公司�,包括員工所在地區(qū),例如美洲����,歐亞非或亞太區(qū),以及國家�。
業(yè)務部門:對于大型企業(yè),可能有多個業(yè)務部門�����,每個部門自負盈虧�。
在此方法中,其中����,端點保護日志主要包括來自端點保護軟件日志的惡意軟件感染數(shù)據(jù)。由于端點保護產(chǎn)品是基于主機的產(chǎn)品�����,其日志捕獲主機名����,日志還包括:
不同類型惡意軟件的名稱(基于簽名的已知惡意軟件)�,例如Trojan����,adware,Yontoo��,EICAR測試字符串�����,多重風險惡意軟件及其嚴重性級別�����。對于那些不為簽名所知的���,它將被放入一個通用類別。
端點保護產(chǎn)品采取的動作�,例如“清除”,“隔離”或“l(fā)eft alone”等�����?�!發(fā)eft alone”類別是一組終端保護軟件沒有辦法處理的惡意軟件,并可能在將來導致安全漏洞��。在這里���,我們預測在將來某一時間段內(nèi)一位員工將面臨多少惡意軟件�����。然而���,本發(fā)明中提出的方法可以應用于其他類別的惡意軟件,或任何類別的組合���。
端點保護軟件掃描主機的時間和日期�����。提供了病毒感染的趨勢和季節(jié)性信息����,在風險治理時可以實施基于時間的監(jiān)控和執(zhí)行��。
在本發(fā)明中��,采用將HR數(shù)據(jù)庫的數(shù)據(jù)(每個員工具有唯一的員工ID)和端點保護軟件日志(主機名是唯一的密鑰)進行鏈接,結(jié)合主機分配信息數(shù)據(jù)(主機名和員工ID之間的關(guān)系)���,進行數(shù)據(jù)聚合���。數(shù)據(jù)聚合器負責鏈接不同的數(shù)據(jù)源,并以友好的可分析格式組織數(shù)據(jù)����。
特征提取器將特征輸出給建模器以構(gòu)建模型,該模型用來預測每個員工將面臨的“l(fā)eft alone”病毒數(shù)量��。
此時����,預測建模器的輸入數(shù)據(jù)包括了員工名稱,ID和根據(jù)統(tǒng)計數(shù)據(jù)生成的特征���,以及6個月內(nèi)(可配置)由端點保護軟件生成的歷史數(shù)據(jù)——感染但“l(fā)eft alone”的惡意軟件的計數(shù)����。該輸入數(shù)據(jù)具有兩個特點:
1.有些員工可能剛剛進入公司�,工作時間還沒有到6個月�����,實際上,他們可能在公司被感染的時間長度是可以變化的
2.列中的條目之間會有巨大的差異���,其“l(fā)eft alone”病毒的計數(shù)或者很低�、甚至為零����,或者具有很大的“l(fā)eft alone”病毒計數(shù)。
使用統(tǒng)計方法來盡可能準確地預測員工將被感染的“l(fā)eft alone”病毒�����,那么高風險感染組的準確性將是最為重要的��,為此甚至可能需要在某種程度上犧牲低風險感染組的準確性����,此時,對于高風險感染組建立基于方差調(diào)整加權(quán)泊松的一般線性模型進行預測�����。為提高預測的準確性,采用以下四種改進方法:
log(E(Y|x))=log(exposure)+θ′x
a.時間補償—員工往往在更長的時間內(nèi)面臨更多的病毒感染�����。例如����,1年6次病毒感染不應等于1個月6次病毒感染。在具有對數(shù)鏈接函數(shù)的泊松回歸模型中使用時間作為補償變量或“exposure”���,即算法實際上對于每天的惡意軟件感染率進行建模��,因此能夠正確描述不同時間段內(nèi)的病毒感染���。
b.加權(quán)方差調(diào)整—準確預測被潛在病毒感染的高風險員工更為重要。使用惡意軟件計數(shù)作為權(quán)重變量來訓練數(shù)據(jù)���,使模型更多地關(guān)注高風險的病毒感染�,并為測試保留數(shù)據(jù)中的高風險員工提供更準確的預測��。
對于泊松分布��,隨機變量計數(shù)yi的方差等于yi的期望(平均)值��,利用“加權(quán)方差調(diào)整”進行加權(quán)���。在統(tǒng)計預測方法中�����,人們對輸入表格中的某些記錄(也稱為觀察值)使用權(quán)重��。在此��,以使用目標作為權(quán)重��。此加權(quán)方法未被用于網(wǎng)絡安全中的惡意軟件感染問題���,而且也未被用于其他領(lǐng)域中的任何其他問題,應用這種加權(quán)方法����,可使高風險感染組的預測準確性得到顯著提高。
c.分層抽樣方法—解決許多員工具有低或零計數(shù)的“l(fā)eft alone”病毒感染的問題��。使用分層抽樣方法對過去低風險感染人群進行抽樣��,減少了低風險感染人群對預測的影響��,從而間接提高了對高風險感染組預測的準確性。
d.智能變量分組—原始變量在模型構(gòu)建中可能不是非常有用�����。我們使用高級決策樹方法對一些連續(xù)變量進行智能分組���。例如����,決策樹檢測到工作少于1年的員工比工作超過4年的員工更容易被惡意軟件感染�,那么將員工的工作年限分為三組:<=1年;1至4年�;>=4年,對變量分組也會提高模型的性能��。
在上述預測惡意軟件感染的統(tǒng)計預測系統(tǒng)和方法中��,可通過預測建模器獲得一組具有從輸入到預測建模器的大量特征池中選擇的統(tǒng)計意義特征的模型包�����,在統(tǒng)計意義特征選擇時選擇方法可以在GLM建模的框架中前向�,后向或逐步的。這些選定的特征可被認作是惡意軟件感染的關(guān)鍵驅(qū)動因素��。與每個驅(qū)動因素相關(guān)的是其相應權(quán)重(系數(shù))。將驅(qū)動因素和其權(quán)重相結(jié)合����,能夠形成一個可量化的測量方案�、用以評估該驅(qū)動因素的重要性,對各驅(qū)動因素進行排名��,并提供風險管控團隊����,看看是否有測量覆蓋這些領(lǐng)域,如果有�,員工是否遵守了這些策略。
例如�����,當找到一個與供應商相關(guān)的驅(qū)動因素時�,可以檢查供應商是否使用公司映像機,是否遵循了命名規(guī)則�。在這種情況下,風險管控團隊可以強迫執(zhí)行策略使用公司映像機和命名規(guī)則����。另一個例子是預測模型將工作角色作為驅(qū)動因素�����。例如���,軟件開發(fā)人員和QA工程師被發(fā)現(xiàn)具有惡意軟件感染的高風險,風險管控團隊可以要求這些工程師遵循開發(fā)流程�����,定期檢查源代碼�����,并確保源代碼存儲的安全可靠�。再例,當出現(xiàn)與工作年限相關(guān)的驅(qū)動因素時���,它顯示新員工組和長期員工組的惡意軟件感染率較高���,而中期員工組則相對較少地被惡意軟件感染?����;谶@些信息,風險管控團隊可以為新員工和長期員工設計有針對性的安全培訓策略���。
同時����,作為預測模型的另一個應用��,可利用預測模型獲取預測結(jié)果����,利用安全信息和事件管理工具來協(xié)助SOC采取主動監(jiān)控操作�����。利用預測建模器使用模型包對單個員工打分���,并計算“l(fā)eft alone”惡意軟件的預測計數(shù)���。預測計數(shù)高的員工就是高風險員工,可以提供給SIEM工具���。SOC團隊可以對這組員工進行主動監(jiān)控���,留意他們的網(wǎng)絡行為�����,特別是那些基于威脅情報���,例如Deepsight或病毒總量的惡意站點,同時監(jiān)控他們的網(wǎng)絡流量����,特別是流出數(shù)據(jù),來確保公司的機密數(shù)據(jù)不會泄漏�。除了用來直接監(jiān)視員工的主機和網(wǎng)絡行為之外,每個員工的預測計數(shù)還能夠和來自防火墻日志�����、VPN日志���、HTTP日志���,Windows事件日志等的數(shù)據(jù)一起,用作其他機器學習算法的輸入���,以檢測主機是處于安全狀態(tài)或受攻擊狀態(tài)����。
最終,以上實施例和附圖僅用以說明本發(fā)明的技術(shù)方案而非限制�����,盡管通過上述實施例已經(jīng)對本發(fā)明進行了詳細的描述�����,但本領(lǐng)域技術(shù)人員應當理解����,可以在形式上和細節(jié)上對其作出各種各樣的改變��,而不偏離本發(fā)明權(quán)利要求書所限定的范圍��。