转载

聊聊鲜为人知的美军内部异常监测系统(ADAMS)

最近在海淘美国历年的安全项目,突然眼前一亮发现了这个名为ADAMS的DARPA立项。项目的全称是“Anomaly Detection at Multiple Scales(ADAMS)”,这当然是一个现在备受关注的Insider Attack检测项目,只是人家的立项是在2011年,按照不成文的规律,美国最近几年的立项往往会成为今天的热门研究领域和应用。

由于ADAMS涉及军方,因此所传资料甚少。自己在网上淘了许久,将现有的信息稍作整理,供感兴趣的朋友一览。

PS:DARPA-Defense Advanced Research Projects Agency,美国国防部高级研究计划局

Outline

为什么会有ADAMS? ADAMS的技术分析 ADAMS系统评价 小结 参考资料

一、为什么会有ADAMS?

说起建立ADAMS的原因,还要从一段新闻开始:

2009年11月5日,在位于美国德克萨斯州Fort Hood的一处军人预备中心,军队的精神病医生Nidal Hasan少校,面对诸多军官士兵突然开枪扫射,导致13人死亡,43人不同程度受伤。这在当时震惊了美国军方,国防部立刻对行凶者进行调查。在调查凶手的个人电脑时,发现了其与极端组织的邮件往来;不仅如此,通过网络舆情监控,还发现Nidal在行凶前曾在网上公开赞扬自杀式袭击。诸多事实使得国防部确信Nidal的行凶绝非偶然,而是早已有所预兆,只是未被发现。

无独有偶,最近美军内部经常发士兵间的枪击事件,尤其是伊拉克战争之后,更多参与作战的士兵患上了抑郁症,不同程度地扩大了问题的严重性。

为了应对这种挑战,避免、减少类似悲剧的重演,美国国防部就提出了针对士兵异常行为的预警监测系统,实现的方式就是DARPA的ADAMS项目。

ADAMS项目的总体目标是通过建立和应用核心技术,实现海量士兵数据的异常特征提取和检测,从而有效预防异常士兵造成的损害。这里的损害不仅仅包括士兵间的伤害,也包括士兵出于私利泄露军事情报,损害国家安全的犯罪行为(如最近的斯诺登事件)。

从信息系统的角度而言,ADAMS可以针对受信主体的恶意或疏忽行为进行检测、应对。ADAMS的实现分多个阶段,第一个阶段先从信息系统的 角度进行内部异常检测,作用对象是军方所有关联军事情报的人员。

2013年6月Nidal Hasan在军事法庭受审时辩解自己事出有因,但是无论如何,对于13条人命来说,这些都无济于事。

二、ADAMS技术分析

ADAMS的设计主要有两个功能层,一个是数据收集/存储层,另一个则是算法分析层,其实也就是分类器检测层。

1. 数据层

ADAMS的数据层主要用来存储用户行为数据,通过对初始数据进行结构化处理、冗余处理、聚类分析等过程,为算饭分析层提供清晰、简洁的数据访问接口。

ADAMS的数据大部分来自于情报人员的行为数据,尤其是信息系统的使用记录;少部分由网络作战中的攻击模拟队RedTeam来模拟内部攻击行为获得异常数据。

2. 算法分析层

算法分析层主要基于数据层提供的数据监测异常。其核心有三个:

用户数据特征非人为指定,而是利用机器学习算法自动从数据中识别,并且提供动态更新机制; 分类器使用多种机器学习算法构建,由复合分类器进行异常判断; 提供一个语义层,用于接受专家知识和用户实际反馈,作为分类器的调优参数。

ADAMS的技术框架可以用下面的图1来表示:

聊聊鲜为人知的美军内部异常监测系统(ADAMS)

ADAMS在实际中使用的大致过程可以用图2来表示:

聊聊鲜为人知的美军内部异常监测系统(ADAMS)

三、小结

ADAMS是DARPA针对军队内部威胁制定的解决方案,作为一个军方项目,网上所传资料少之甚少,最新的一条记录是乔治理工大学的技术团队参与该项目的实际实施,除此之外,基本上都是泛泛而谈。

尽管如此,我们却可以看到美国在多年前就已经意识到了内部威胁检测的重要性,当今天Insider Attack Threat引起人们重视的时候,美国无疑再次走到了技术的前沿。

四、参考资料

DARPA Information Innovation Office. Retrieved 2011-12-05.

"Anomaly Detection at Multiple Scales (ADAMS) Broad Agency Announcement DARPA-BAA-11-04" (PDF). General Services Administration. 2010-10-22. Retrieved 2011-12-05.

"Darpa Starts Sleuthing Out Disloyal Troops". Wired. Retrieved 2011-12-0

Keyes, Charley (2010-10-27). "Military wants to scan communications to find internal threats". CNN. Retrieved 2011-12-06.

Georgia Tech Helps to Develop System That Will Detect Insider Threats from Massive Data Sets". Georgia Institute of Technology. 2011-11-10. Retrieved 2011-12-06.

Video Interview: DARPA's ADAMS Project Taps Big Data to Find the Breaking Bad". Inside HPC. 2011-11-29. Retrieved 2011-12-06.

John (2011-12-03). "Could the U.S. Government Start Reading Your Emails?". Fox News. Retrieved 2011-12-06.

Anomaly Detection at Multiple Scales". Georgia Tech College of Computing. Retrieved 2011-12-06.

* 作者:windhawk,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

正文到此结束
Loading...