聊聊鲜为人知的美军内部异常监测系统(ADAMS)

最近在海淘美国历年的安全项目,突然眼前一亮发现了这个名为ADAMS的DARPA立项。项目的全称是“Anomaly Detection at Multiple Scales(ADAMS)”,这当然是一个现在备受关注的Insider Attack检测项目,只是人家的立项是在2011年,按照不成文的规律,美国最近几年的立项往往会成为今天的热门研究领域和应用。

由于ADAMS涉及军方,因此所传资料甚少。自己在网上淘了许久,将现有的信息稍作整理,供感兴趣的朋友一览。

PS:DARPA-Defense Advanced Research Projects Agency,美国国防部高级研究计划局

一、为什么会有ADAMS?

说起建立ADAMS的原因,还要从一段新闻开始:

2009年11月5日,在位于美国德克萨斯州Fort Hood的一处军人预备中心,军队的精神病医生Nidal Hasan少校,面对诸多军官士兵突然开枪扫射,导致13人死亡,43人不同程度受伤。这在当时震惊了美国军方,国防部立刻对行凶者进行调查。在调查凶手的个人电脑时,发现了其与极端组织的邮件往来;不仅如此,通过网络舆情监控,还发现Nidal在行凶前曾在网上公开赞扬自杀式袭击。诸多事实使得国防部确信Nidal的行凶绝非偶然,而是早已有所预兆,只是未被发现。

无独有偶,最近美军内部经常发士兵间的枪击事件,尤其是伊拉克战争之后,更多参与作战的士兵患上了抑郁症,不同程度地扩大了问题的严重性。

为了应对这种挑战,避免、减少类似悲剧的重演,美国国防部就提出了针对士兵异常行为的预警监测系统,实现的方式就是DARPA的ADAMS项目。

ADAMS项目的总体目标是通过建立和应用核心技术,实现海量士兵数据的异常特征提取和检测,从而有效预防异常士兵造成的损害。这里的损害不仅仅包括士兵间的伤害,也包括士兵出于私利泄露军事情报,损害国家安全的犯罪行为(如最近的斯诺登事件)。

从信息系统的角度而言,ADAMS可以针对受信主体的恶意或疏忽行为进行检测、应对。ADAMS的实现分多个阶段,第一个阶段先从信息系统的角度进行内部异常检测,作用对象是军方所有关联军事情报的人员。

2013年6月Nidal Hasan在军事法庭受审时辩解自己事出有因,但是无论如何,对于13条人命来说,这些都无济于事。

二、ADAMS技术分析

ADAMS的设计主要有两个功能层,一个是数据收集\存储层,另一个则是算法分析层,其实也就是分类器检测层。

1 数据层

ADAMS的数据层主要用来存储用户行为数据,通过对初始数据进行结构化处理、冗余处理、聚类分析等过程,为算饭分析层提供清晰、简洁的数据访问接口。

ADAMS的数据大部分来自于情报人员的行为数据,尤其是信息系统的使用记录;少部分由网络作战中的攻击模拟队RedTeam来模拟内部攻击行为获得异常数据。

2. 算法分析层

算法分析层主要基于数据层提供的数据监测异常。其核心有三个:

用户数据特征非人为指定,而是利用机器学习算法自动从数据中识别,并且提供动态更新机制; 分类器使用多种机器学习算法构建,由复合分类器进行异常判断; 提供一个语义层,用于接受专家知识和用户实际反馈,作为分类器的调优参数。

ADAMS的技术框架可以用下面的图1来表示:

ADAMS在实际中使用的大致过程可以用图2来表示:

三、小结

ADAMS是DARPA针对军队内部威胁制定的解决方案,作为一个军方项目,网上所传资料少之甚少,最新的一条记录是乔治理工大学的技术团队参与该项目的实际实施,除此之外,基本上都是泛泛而谈。

尽管如此,我们却可以看到美国在多年前就已经意识到了内部威胁检测的重要性,当今天Insider Attack Threat引起人们重视的时候,美国无疑再次走到了技术的前沿。

* 作者:windhawk,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-12-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏华章科技

网购评论是真是假?文本挖掘告诉你

无数网友在各个电商网站的促销大旗下开启买买买模式,不过,当你在网上选购商品时,同类的商品成千上万,哪些因素会影响你选购某件商品呢?商品评论一定是一个重要的参考吧...

661
来自专栏阮一峰的网络日志

每周分享第 31 期

欢迎投稿,请前往 GitHub 的 ruanyf/weekly 提交 issue。

823
来自专栏腾讯数据中心

警惕数据中心内部污染

近年来,PM2.5、雾霾等环境污染话题热度不减,当我们聚焦于数据中心,你是否清楚数据中心内的污染控制标准?什么仪器可以测试数据中心内的气体污染等级?如何净化数据...

5407
来自专栏灯塔大数据

网购评论是真是假?文本挖掘告诉你

? 刚刚过去的双11、双12网络购物节中,无数网友在各个电商网站的促销大旗下开启了买买买模式。不过,当你在网上选购商品时,同类的商品成千上万,哪些因素会影响你...

4499
来自专栏华章科技

我用Python做了六百万字的歌词分析,告诉你中国Rapper都在唱些啥

《中国有嘻哈》火了,作为一名对中国HipHop毫无了解的吃瓜群众,我开始好奇以下三个问题:

922
来自专栏生信宝典

易生信-扩增子教程01-基本概念

距离上次《生信宝典》联合《宏基因组》组织的扩增子分析线下培训结束己经有三个多月了。

831
来自专栏CDA数据分析师

数据挖掘:网购评论是真是假?

当你在网上选购商品时,同类的商品成千上万,哪些因素会影响你选购某件商品呢?商品评论一定是一个重要的参考吧。一般我们总会看看历史销量高不高,用户评论好不好,然后再...

2629
来自专栏机器人网

只要改变温度,新型机器人就能全速前进

机器人通常需要供电才能运动,没有电就意味着没有运动,不过,加州理工学院和苏黎世联邦理工学院的工程师已开发出能够在不使用任何电机、伺服系统或电源的情况下自行推进的...

833
来自专栏黑白安全

海底电缆被切断导致毛里塔尼亚断网近两天

据外媒 The Verge 报道,连接西非大部分地区的 ACE 海底电缆于 3 月 30 日被切断。据报道,这起破坏事件发生在毛里塔尼亚沿海地区,导致至少十个邻...

803
来自专栏新智元

《三体》编审执行人体冷冻手术,理论与技术解析

“妈妈,你沉睡在大地零下 100 多度的低温里。再见面,最短也是 50 年以后。虽然这是科学家给出的预言,预言也有可能落空,实验也可能失败。但,总还有希望不是吗...

2814

扫码关注云+社区