无感状态下基于行为本体的手机用户信息安全能力评估方法

doi:10.11959/j.issn.1000-436x.2016262

摘要/Abstract

摘要：

提出了一种基于安全行为本体的员工安全行为检测方法。通过在用户无感状态下的真实手机使用行为采集，解决了安全行为的真实性问题；通过建立手机用户的静态和动态安全行为本体，对用户的通话、短信、网络与App应用等行为进行形式化描述，制定了不安全行为判定规则和行为关联规则；借鉴攻击图的概念，提出了一种基于行为关联图的不安全行为检测算法，发掘不安全行为路径。进一步，提出了信息安全能力评估的胜任力模型，实现了从员工信息安全行为的定性检测到能力的定量评估的过程。实验表明，该方法能够有效检测出用户不安全行为路径，得到安全能力值。

关键词: 安全行为本体, 行为分析, 能力评估, 移动安全

Abstract:

A security capacity assessment method based on security behavior ontology,was proposed to collect users' be-havior data from their smartphones under unconscious condition to solve the problem of detecting mobile phone users' real existing insecure behaviors.A security behavior ontology was set up for formalizing the phone,message,network and App behavior data of mobile phone users and relevant rules were also set down for determining and associating inse-cure actions.Referring to the notion of attack graph,an insecure behavior detection algorithm was proposed based on behavior association graph for analyzing the paths of insecure behaviors dynamically.Furthermore,a competency model of information security capability assessment was presented for realizing the quantitative evaluation of information secu-rity capability of users.The experiment results prove the effectiveness of present competency model for insecure behavior path detection and security ability assessment.

Key words: security behavior ontology, behavior analysis, capability assessment, mobile security

麦丞程,陈波,周嘉坤,于泠. 无感状态下基于行为本体的手机用户信息安全能力评估方法[J]. 通信学报, 2016, 37(Z1): 156-167.

Cheng-cheng MAI,Bo CHEN,Jia-kun ZHOU,Ling YU. Evaluation method for information security capability of mobile phone user based on behavior ontology under unconscious condition[J]. Journal on Communications, 2016, 37(Z1): 156-167.

图/表 12

图1

图2

表1

图3

表2

图4

图5

表3

图6

表4

表A1

不安全行为判定规则（部分）"

推理规则	规则解析
dRule-1:GetCalled(oa,ia) ∧ phoneBehavior.type='malicious'\|\|(attribution= 'nonLo-acal∧isContract='false') →insecure Action	如果oa向ia打电话，该电话的标记类型为“恶意”又或该电话归属地为外地且不是常用联系人，则推断该电话存在风险
dRule-2:HangUp(oa,ia) ∧ \|eT-cT\|<δ ∧ (location='nonLocal' ∧ isContract='no')\|\|type= 'malicious' →insecure Action	如果oa在响铃一声（或极短的时间内）挂断电话，并且来电号码是外地，且不是ia的常用联系人，或者该号码已被标记为“恶意”，则推断该电话存在风险
dRule-3:CallBack(ia,oa)∧(location='nonLocal'∧isContract='no')\|\|type= 'malicious' →insecure Action	如果ia回拨oa电话，且该电话来电号码是外地，且不是ia 的常用联系人，或者该号码已被标记为“恶意”，则推断该动作存在风险
dRule-4:SearchWi-Fi(ia)∧location='public'∧ needPwd='false')→ insecureAction	ia在公共场合搜寻Wi-Fi热点，且该热点不需要密码，则推断该动作存在连接钓鱼Wi-Fi的风险。
dRule-5:Receive(ia,oa) ∧ smsBehavior.hasLink='true' ∧ hasSWord='true'→insecure Action	oa向ia发送短信，短信中存在超链接和敏感词汇，则推断该动作存在点击钓鱼短信的风险
dRule-6:PickUp(ia) ∧ phoneBehavior.type='malicious'\|\|(attribution= 'nonLoacal ∧isContract='false') → insecure Action	ia 接听电话，该电话被标记为“恶意”电话，又或者该电话归属地为外地且不是常用联系人，则推断该通话动作存在电话诈骗的风险
dRule-7:appBehavior.appName='SMS'∧appBehavior.appName='Brower' ∧\| Browser.startTime-SMS.startTime\|<δ→ClikLink (ia)	如果在时间段δ 内运行短信和浏览器应用，则推断点击了短信中的链接
dRule-8:cntWi-Fi(ia)∧location='public'∧ needPwd='false' →insecure Action	ia连接公共场所不要密码的Wi-Fi，则推断该动作存在风险
dRule-9:webBehavior.downloadCotent='.apk' → DownlaodApp(ia)	当流量中出现“.apk”时，推断ia正下载应用的动作存在风险
dRule-10:Run(ia,app)∧appBehavior.appName='Browser' →AccessSite(ia,site)	运行浏览器类应用可以推断ia在进行访问网页的动作，存在风险隐患
dRule-11:Install(ia,app) appBehavior.type='malicious' →insecure Action	ia安装恶意软件，则推断该动作存在风险
dRule-12:Run(ia,app)∧hasSwd='true' →Input (ia,info)	运行 App 并且网络流量中出现密码等敏感词时，推断存在信息泄露风险
dRule-13:Run(ia,app)∧appBehavior.appType='E-mail'\|\|shop'\|\|'bank'\|\|'pay'→insecure Action	使用组织内部应用，如电子邮箱，或者使用购物、网银、支付类型的应用，则推断该动作存在风险

表A1

表A2

行为关联规则（部分）"

推理规则	规则解析
rRule-1:GetCalled(ia,oa)∧ phoneBehavior.type='Danger'∧ Pick(ia)→insecure Associa-tion	当oa向ia拨打电话，ia接听电话，且该电话被标记为“意”，则推断这2个动作存在风险关联
rRule-2:PickUp(ia)∧Run(ia,app)∧appType='Pay\|\|Shop\|\|Bank' →insecure Association	ia接听电话后，并开启了金融支付类的App应用，则推断2个动作存在电话诈骗的风险关联
rRule-3:GetCalled(oa,ia) ∧ HangUp(oa,ia) ∧ (location='nonLocal' ∧ isContract='no')\|\|type='malicious' →insecure Association	如果oa向ia拨打电话，并快速挂断，且来电号码是外地，不是ia的常用联系人，或这该号码已被标记为“恶意”，则推断2个动作存在风险
rRule-4:HangUp(oa,ia) ∧ CallBack(ia,oa) ∧ (location='nonLocal' ∧ isContract= 'no')\|\|type='malicious' →insecure Association	若ia回拨oa挂断的电话，且号码为外地，不是ia的联系人，则推断这2个动作存在关联风险
rRule-5:SearchWi-Fi(ia) ∧ CntWi-Fi(ia) ∧ \|SearchWi-Fi.LinkTime- CntWi-Fi.Time\|<δ→ insecure Association	ia在公共场合搜索无密码Wi-Fi，并且连接该Wi-Fi，则推断这两个动作间存在风险关联
rRule-6:cntWi-Fi(ia) ∧ Run(ia) ∧ appType='E-mail\|\|Pay\|\|Shop\|\|Bank' ∧ \|Run.time-CntWi-Fi.time\|<δ→ insecure Association	ia在公共场合连接无密码Wi-Fi，并且使用组织内部邮件或是金融支付类App应用，则推断该2个动作间存在风险关联
rRule-7:CntWi-Fi(ia) ∧ AccessSite(ia) ∧ \|CntWi-Fi.time-AccessSite.time\|<δ ∧Site.type= 'shop\|\|pay\|\|Bank' →insecure Association	ia 连接公共场合无密码 Wi-Fi，并且访问金融支付类网站，则推断这2个动作之间存在风险关联
rRule-8:AccessSite(ia) ∧Input(ia) ∧info.content='password\|\|userName' insecure Asso-ciation	ia 访问网站，并且在表单中输入用户名或密码等信息，则推断这2个动作之间存在风险关联
rRule-9:Receive(ia,oa)∧ ClickLink(ia) → insecure Association	oa向ia发送短信，ia点击其中的链接，则推断2个动作间存在风险关联
rRule-10:ClickLink(ia) ∧ AccessSite(ia) ∧ \|access.Time-ClickLink.time\|<δ ∧site.type='Shop\|\|Pay\|\|Bank' →insecure Association	ia 点击了短信中的链接，并且访问了金融支付类网站，或是钓鱼网站，则推断这2个动作存在风险关联
rRule-11:Run(ia)∧ appType='E-mail\|\|Social'∧ AccessSite(ia) → insecure Association	如果ia在使用组织内部邮箱或社交软件时，点击其中的钓鱼链接，访问第三方网站，则推断这2个动作存在风险关联
rRule-12:ClickLink(ia)∧Download(ia,app) →insecure Association	ia点击短信中的超链接，并下载对应的App应用，则推断2个动作间存在风险关联
rRule-13:AccessSite(ia) ∧ Download(ia) ∧ \|Download.time-Access.Time\|<δ→ insecure Association	ia访问网站，并且下载该网站上的App应用，则推断这2个动作之间存在安全风险关联
rRule-14:DownloadApp(ia) ∧ Install(ia,app) ∧ \|Install.time- Download.time\|<δ ∧Download.pkgName=Install.pkgName→ insecure Association	ia下载并安装被标记为“恶意软件”的App应用，则推断这2个动作存在风险关联`
rRule-15:Install(ia)∧Run(ia)∧ appType='malicious' →insecure Association	安装并运行“恶意”软件的2个动作存在风险关联

表A2

参考文献 19

[1]	DHINGRA M . Legal issues in secure implementation of bring your own device (BYOD)[J]. Procedia Computer Science, 2016,78:179-184.
[2]	Intel Security. Report of threat prediction in 2016 from McAfee labs[R/OL]. , 2016-06-10.
[3]	Symantec. Internet security threat report[R/OL]. , 2016-0 7-13.
[4]	Wikipedia. Hillary clinton email controversy[R/OL]. , 2016-0 7-17.
[5]	SARI P K , TRIANASARI N . Information security awareness meas-urement with confirmatory factor analysis[C]// International Sympo-sium on Technology Management and Emerging Technologies,2014. ISTMET 2014.IEEE, 2014:218-223.
[6]	NGOQO B , FLOWERDAY S V . Information security behaviour profiling framework (ISBPF) for student mobile phone users[J]. Computers ＆ Security, 2015,3: 132-142.
[2]	陈波，朱汉，刘亚尚 . 个人信息安全素养评测手机软件开发[J]. 信息安全与技术， 2014,5(10):50-55. CHEN B , ZHU H , LIU Y S . Mobile software development for evalua-tion of personal information security literacy[J]. Information Security and Technology, 2014,5(10):50-55.
[8]	Naval Postgraduate School. The center for information systems secu-rity studies and research,CyberCIEGE scenario development tool user's guide[R/OL]. . 2010-0 04-17.
[9]	WARD R , BEYER B . Beyondcorp:a new approach to enterprise security[J]. The Magazine of USENIX ＆ SAGE, 2014,39(6):6-11.
[10]	DONNER M . Toward a security ontology[J], IEEE Security and Pri-vacy, 2003,1(3):6-7.
[11]	RAZZAQ A , ANWAR Z , AHMAD H F , et al. Ontology for attack detection:an intelligent approach to Web application security[J]. Computers ＆ Security, 2014,45:124-146.
[12]	EKELHART A , KIESLING E , GRILL B , et al. Integrating attacker behavior in IT security analysis:a discrete-event simulation ap-proach[J]. Information Technology and Management, 2015,16(3):221-233.
[13]	BRAHMI I , BRAHMI H , YAHIA S B . A multi-agents intrusion de-tection system using ontology and clustering techniques[M]// Com-puter Science and Its Applications. Springer International Publishing, 2015:381-393.
[14]	MUNDIE D , MCINTIRE D M . An ontology for malware analysis[C]//International Conference on Availability,Reliability and Security,IEEE, 2013:556-558.
[15]	SOLIC K , OCEVCIC H , GOLUB M . The information systems' secu-rity level assessment model based on an ontology and evidential rea-soning approach[J]. Computers ＆ Security, 2015,55:100-112.
[16]	MOULISWARAN S C , KUNMARC A , CHANDRASEKAR C . In-ter-domain role based access control using ontology[C]// International Conference on Advances in Computing,Communications and Infor-matics,2015, 2015:2027-2032.
[17]	CHUN S A , GELLER J . Developing a pedagogical cybersecurity ontology[M]//Data Management Technologies and Applications. Springer International Publishing, 2014:117-135.
[18]	MCCLELLAND C D . Testing for competence rather than for intelli-gence[J]. American Psychologist, 1973,28(1):1-24.
[19]	PRAHALAD C K , HAMEL G . The core competence of the corpora-tion[J]. Harvard Business Review, 1990,68(3):79-91.

行为	特征
PhoneBehavior	cT,number,isContract,attribution,type,pT,hT
SmsBehavior	cT,number,isContract,content,hasLink,hasSwd,type
WebBehavior	wifiName,location,needPwd,iT,bT,dwnld,dsT,dfT
AppBehavior	appName,pkgName,appType,sigs,permission,iT,rT

所属行为	动作名称	动作语义
	GetCalled(ia,oa)	oa给ia拨打电话
	PickUp(ia)	ia接听电话
PhoneBehavior
	HangUp(ia,oa)	oa挂断给ia的电话
	CallBack(ia,oa)	ia给oa回拨电话
	Receive(ia,oa)	oa给ia发送短信
SmsBehavior
	ClickLink(ia)	ia点击短信中链接
	SearchWi-Fi(ia)	ia搜寻Wi-Fi热点
	CntWi-Fi(ia)	Ia连接Wi-Fi
WebBehavior	AccessSite(ia)	ia访问站点site
	DownloadApp(ia)	ia下载App
	Input(ia)	ia输入信息
	Install(ia)	ia安装App
AppBehavior
	Run(a)	ia启动App

胜任力要素	要素定义	细化行为指标
健全性（显性）	衡量员工避免发生不安全行为的能力	不安全动作总数
健全性（显性）	衡量员工避免发生不安全行为的能力	动作所属行为类型：通话行为、短信行为、网络行为、应用行为各类不安全动作发生次数
警觉性（隐性）	衡量员工对于不安全行为发生的警觉的能力	不安全行为路径数目
		不安全路径深度
		各路径涉及行为类型数
自省性（隐性）	衡量员工避免重复发生不安全行为的能力	行为相似度
自省性（隐性）	衡量员工避免重复发生不安全行为的能力	行为重复度

能力值	能力层级
0.0~0.2	很低
0.2~0.4	较低
0.4~0.6	中
0.6~0.8	较高
0.8~1.0	极高