劉 煒，王邦禮，周 萌

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

當(dāng)前，安全行業(yè)開展異常行為分析檢測相關(guān)研究，一方面利用黑白名單機制、自學(xué)習(xí)的端點靜態(tài)防御技術(shù)來防御安全威脅，另一方面通過威脅情報、機器學(xué)習(xí)、異常行為分析、攻擊指示器等方式，主動發(fā)現(xiàn)來自外部或內(nèi)部的各類安全威脅[1]，為提升終端應(yīng)對已知和未知惡意代碼攻擊的能力，以及在發(fā)生安全威脅之后的應(yīng)急響應(yīng)能力，提供了快速、有效的手段和方法。

國內(nèi)安全企業(yè)現(xiàn)已快速跟進終端異常行為分析的研究和產(chǎn)品布局，融入端點行為監(jiān)測、威脅情報、大數(shù)據(jù)安全分析等一系列檢測方法，可實時檢測用戶端點的異常行為和漏洞，通過與威脅情報對比，能夠及時發(fā)現(xiàn)威脅，做出木馬隔離和漏洞修補的安全響應(yīng)[1]。

隨著信息系統(tǒng)的迅速發(fā)展，網(wǎng)絡(luò)規(guī)模日漸龐大，用戶需求不斷增加，導(dǎo)致業(yè)務(wù)應(yīng)用系統(tǒng)日益復(fù)雜。而網(wǎng)絡(luò)安全事件的層出不窮，也使得信息系統(tǒng)面臨著越來越嚴(yán)峻的安全形勢，僅依靠安全防御檢測手段已無法滿足信息系統(tǒng)的安全需求。實體異常行為分析作為審計分析、威脅分析的重要補充，通過對網(wǎng)絡(luò)行為數(shù)據(jù)的深層融合、關(guān)聯(lián)分析等處理，實現(xiàn)從各實體上動態(tài)反映網(wǎng)絡(luò)安全狀況，從而為增強網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)。

1 系統(tǒng)架構(gòu)

網(wǎng)絡(luò)信息實體異常行為分析研究需要立足信息網(wǎng)絡(luò)現(xiàn)實狀況，以解決實際問題為研究目標(biāo)，針對網(wǎng)絡(luò)實體異常行為檢測分析存在的缺陷與短板，整合相關(guān)數(shù)據(jù)挖掘分析、安全防護技術(shù)，提出網(wǎng)絡(luò)實體異常行為分析的技術(shù)方案與實現(xiàn)方法，提升網(wǎng)絡(luò)實體防護安全性，降低潛在安全風(fēng)險。

從網(wǎng)絡(luò)安全防護系統(tǒng)中獲取用戶、設(shè)備等網(wǎng)絡(luò)實體的操作行為日志數(shù)據(jù)，采用基于大數(shù)據(jù)關(guān)聯(lián)分析、聚類分析等技術(shù)，結(jié)合行為樣本、分析規(guī)則等對網(wǎng)絡(luò)行為及其合理性展開分析，實現(xiàn)對用戶異常行為的預(yù)警，能夠?qū)χ攸c人員、資源等進行監(jiān)控。結(jié)合用戶認(rèn)證類系統(tǒng)日志，實現(xiàn)對用戶、終端、應(yīng)用的網(wǎng)絡(luò)行為監(jiān)控、異常行為分析和責(zé)任認(rèn)定，保障網(wǎng)絡(luò)信息實體及網(wǎng)絡(luò)的可靠運行。

系統(tǒng)采用“數(shù)據(jù)存儲—數(shù)據(jù)分析—數(shù)據(jù)呈現(xiàn)”3 層架構(gòu)，系統(tǒng)架構(gòu)如圖1 所示。

數(shù)據(jù)存儲層負(fù)責(zé)接收安全數(shù)據(jù)引接系統(tǒng)采集的安全數(shù)據(jù)，數(shù)據(jù)對象來源包括身份管理系統(tǒng)、統(tǒng)一認(rèn)證系統(tǒng)、終端安全防護系統(tǒng)、防病毒系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)流量采集系統(tǒng)等，數(shù)據(jù)內(nèi)容涵蓋用戶行為數(shù)據(jù)、設(shè)備行為數(shù)據(jù)、軟件行為數(shù)據(jù)、網(wǎng)絡(luò)行為數(shù)據(jù)、服務(wù)行為數(shù)據(jù)等。同時提供信任數(shù)據(jù)分布式存儲功能，保證數(shù)據(jù)的不可抵賴和不可篡改。

數(shù)據(jù)分析層通過日志數(shù)據(jù)抽取，構(gòu)建各類網(wǎng)絡(luò)信息實體分析引擎，開展實時分析和歷史數(shù)據(jù)分析，分析用戶違規(guī)行為，給出網(wǎng)絡(luò)安全事件，同時對網(wǎng)絡(luò)安全事件進行追蹤溯源和影響性分析。

數(shù)據(jù)呈現(xiàn)層提供安全保密事件展示、告警提醒、運行報表、數(shù)據(jù)分析結(jié)果展示、追蹤結(jié)果呈現(xiàn)、影響范圍展示、日志記錄查詢分析等功能，并提供用戶操作界面，提供信任審計分析與追責(zé)功能。

2 組織運用

組織運用主要包括網(wǎng)絡(luò)行為分析、行為追蹤溯源、物理行為協(xié)同和關(guān)聯(lián)分析4 部分內(nèi)容。

2.1 網(wǎng)絡(luò)行為分析

在系統(tǒng)中，各類業(yè)務(wù)進行的工作越來越復(fù)雜，為了保護系統(tǒng)的安全，方便監(jiān)控系統(tǒng)運行狀況，查看日志并進行分析已經(jīng)成為一個重要手段。管理員可以查看在某時間段內(nèi)所發(fā)生的事件，也可以通過對各種日志進行分析輔助安全保密管理工作。由于日志具有數(shù)據(jù)量大、可讀性弱的特點，如果僅憑借管理員查看日志記錄的手段，其中所蘊含的有用信息也難以發(fā)現(xiàn)[2]。將數(shù)據(jù)挖掘技術(shù)應(yīng)用于日志分析是一個關(guān)鍵技術(shù)，能夠關(guān)聯(lián)多種類型的日志事件，綜合分析，依據(jù)事先設(shè)定的規(guī)則進行匹配，達(dá)到及時提醒和告警的效果，減輕管理人員的分析負(fù)擔(dān)。事件分析與告警如圖2 所示。

日志事件分析負(fù)責(zé)對篩選后的待審計信息結(jié)合審計規(guī)則、違規(guī)行為知識庫進行分析，從中發(fā)現(xiàn)異常和違規(guī)行為，為采取相應(yīng)安全措施提供依據(jù)。

該流程可應(yīng)用于重保任務(wù)和重點監(jiān)控方向的信任行為的實時監(jiān)控，通過設(shè)置重保區(qū)域、對象、智能分析引擎來完成。管理員事先設(shè)置關(guān)注人員、關(guān)注設(shè)備、關(guān)注行為和告警閾值，在事件發(fā)生時首先判斷事件行為特征是否與違規(guī)行為知識庫中的行為特征相吻合，如果行為特征吻合，則生成告警，提示管理員進行處置；如果行為特征不吻合，則通過判斷事件閾值是否滿足告警觸發(fā)條件，滿足則生成告警，同時提取違規(guī)事件行為特征，并添加到違規(guī)行為知識庫中。

2.2 行為追蹤溯源

對于用戶非法行為，還可以還原行為過程，從而提供該行為的“證據(jù)”。例如，網(wǎng)絡(luò)行為分析與責(zé)任認(rèn)定系統(tǒng)將某個IP 地址判定為非法事件發(fā)起源，可以追溯該IP 曾經(jīng)參與的事件詳情，如連接的目標(biāo)IP，攻擊源IP 和目標(biāo)IP 的地址位置信息、攻擊峰值、攻擊總流量和持續(xù)時間等攻擊詳情。這些“證據(jù)”可以充分證明責(zé)任認(rèn)定的準(zhǔn)確性，為本地安全設(shè)備快速攔截非法連接，起到了極為重要的作用。

行為追蹤溯源采用終端獲取的用戶使用日志、網(wǎng)絡(luò)流量信息、終端行為信息作為行為溯源的依據(jù)。行為追蹤溯源組織運用流程如圖3所示。

首先，每個終端收集一定時間段的用戶使用日志、網(wǎng)絡(luò)流量信息、終端行為操作日志。

其次，從收集到的信息中，提取出用戶使用日志的時間及日志種類、網(wǎng)絡(luò)流量信息數(shù)據(jù)包中的源地址端口和目標(biāo)地址端口、終端行為信息的終端操作日志。對提取的特征分別進行時間關(guān)聯(lián)分析，地址、端口關(guān)聯(lián)分析，行為關(guān)聯(lián)分析。

最后，根據(jù)關(guān)聯(lián)分析描繪出行為發(fā)生路徑，追蹤事件的發(fā)生源頭和發(fā)生過程。

2.3 物理行為協(xié)同

網(wǎng)絡(luò)行為分析與責(zé)任認(rèn)定系統(tǒng)，與物理行為軌跡系統(tǒng)開展證據(jù)支撐、重點盯防、網(wǎng)絡(luò)審計3 方面的協(xié)同工作。物理協(xié)同行為流程如圖4所示。

（1）證據(jù)支撐。當(dāng)網(wǎng)絡(luò)行為分析與責(zé)任認(rèn)定系統(tǒng)形成責(zé)任認(rèn)定證據(jù)時，僅依靠網(wǎng)絡(luò)空間日志證據(jù)，說服力不夠強，此時，系統(tǒng)通過向物理行為軌跡系統(tǒng)下發(fā)時間和位置信息，獲取視頻監(jiān)控圖片，補充責(zé)任對象的物理行為軌跡，為事件提供不可抵賴的佐證。

（2）重點盯防。當(dāng)網(wǎng)絡(luò)行為分析與責(zé)任認(rèn)定系統(tǒng)需要重點盯防某個區(qū)域時，須向人員物理軌跡信任分析軟件下發(fā)目標(biāo)區(qū)域重點盯防任務(wù)，保障目標(biāo)區(qū)域的進出及使用，識別進出使用的人員，生成非法人員進出及使用告警記錄，提醒管理員及時干預(yù)處置。

（3）網(wǎng)絡(luò)審計。網(wǎng)絡(luò)行為分析與責(zé)任認(rèn)定系統(tǒng)實時接收人員物理軌跡信任分析軟件識別的人員及其進出、經(jīng)過、使用的日志記錄，留待管理員備查，以支撐系統(tǒng)分析用戶行為和開展責(zé)任認(rèn)定。

2.4 關(guān)聯(lián)分析

通過信任數(shù)據(jù)安全采集設(shè)備獲取系統(tǒng)日志、安全日志、應(yīng)用日志等大量日志信息，這些日志信息包含了所有網(wǎng)絡(luò)行為中的安全事件及其內(nèi)在聯(lián)系，通過對日志數(shù)據(jù)的關(guān)聯(lián)分析可以挖掘出日志中包含的安全事件，為事件的責(zé)任認(rèn)定提供事實依據(jù)。

通過定義各種類型的關(guān)聯(lián)分析規(guī)則，實現(xiàn)對各種日志數(shù)據(jù)的關(guān)聯(lián)分析，進而發(fā)現(xiàn)可能存在的安全事件，進一步提高對網(wǎng)絡(luò)行為的分析能力和責(zé)任認(rèn)定能力。關(guān)聯(lián)分析規(guī)則定義如表1所示。

表1 關(guān)聯(lián)分析規(guī)則定義

3 關(guān)鍵技術(shù)

網(wǎng)絡(luò)信息實體異常行為基于通用分析引擎支撐，根據(jù)應(yīng)用場景預(yù)先建立各種行為分析模型，提供了多種專題行為分析功能，并可根據(jù)實際需求對分析模型進行調(diào)優(yōu)和新增。這類模型主要通過采集所有用戶的網(wǎng)絡(luò)行為原始數(shù)據(jù)，將其格式化為用戶行為描述格式，利用安全大數(shù)據(jù)分析平臺，形成適合進行數(shù)據(jù)挖掘的訓(xùn)練數(shù)據(jù)集，然后采用關(guān)聯(lián)規(guī)則挖掘算法對行為模式之間的關(guān)聯(lián)特征進行分析，提取出用戶行為模式信息，根據(jù)業(yè)務(wù)需求建立不同專題的用戶行為模式庫。對于特定的用戶群可以實時采集他們的網(wǎng)絡(luò)行為數(shù)據(jù)，格式化處理后作為測試數(shù)據(jù)集與用戶專題行為模式庫中的正常行為模式進行比對，如發(fā)現(xiàn)異常行為則可對特定用戶的操作進行管理[3]。建模流程如圖5 所示。

3.1 網(wǎng)絡(luò)信息實體異常行為建模技術(shù)

用戶異常行為建模主要從行為主體、行為數(shù)據(jù)、異常行為模式等方面進行考慮。行為主體的原始字段主要是網(wǎng)際互聯(lián)協(xié)議（Internet Protocol，IP）、賬號、資源定位符（Uniform Resource Locator， URL），在業(yè)務(wù)層面可以泛化為資產(chǎn)、用戶、攻擊者、設(shè)備、服務(wù)器、客戶端等主體。行為數(shù)據(jù)主要考慮IP、地理位置、時間、協(xié)議、業(yè)務(wù)操作、流量方向、流量大小等屬性，在業(yè)務(wù)層面可以泛化為特定區(qū)域訪問、特定時段訪問、登錄（成功/失?。?、文件傳輸、數(shù)據(jù)外發(fā)、遠(yuǎn)程控制、加密通信等，可以通過統(tǒng)計生成訪問頻度、訪問時長、訪問對象數(shù)量等行為。行為異常模式主要有黑名單、基線偏離、離群行為等。例如受限區(qū)域訪問、受限時間訪問、受限賬號訪問、個體基線偏離、群組基線偏離、個體—群體基線偏離等異常模式。其原理如圖6 所示。

異常行為分析適用的典型場景如下文所述。

（1）賬號安全防護：賬號異地登錄、賬號的慢速暴力破解、賬號在異常時段登錄等。

（2）敏感數(shù)據(jù)泄露和防護場景：利用盜取的賬號做內(nèi)部數(shù)據(jù)的竊取，訪問不常訪問的數(shù)據(jù)和文件目錄，文件服務(wù)數(shù)據(jù)篡改，站點數(shù)據(jù)的拖庫行為等。

（3）風(fēng)險資產(chǎn)：通過對資產(chǎn)的長時間周期的持續(xù)畫像，結(jié)合資產(chǎn)相關(guān)聯(lián)的各種異常告警，對資產(chǎn)做出風(fēng)險評價。

（4）內(nèi)部威脅和異常：傳統(tǒng)的邊界防護設(shè)備針對已經(jīng)攻擊到內(nèi)網(wǎng)的行為是無能為力的，利用行為分析能夠有效發(fā)現(xiàn)突破防線的攻擊行為，比如橫向移動、內(nèi)部漫游。

（5）基于告警的威脅狩獵：利用告警數(shù)據(jù)，以用戶、資產(chǎn)、數(shù)據(jù)為核心，以事物發(fā)展的時間線為線索進行威脅狩獵。

（6）用戶自定義場景：用戶行為畫像需要契合客戶的具體業(yè)務(wù)，因此會帶來較多的定制化分析場景。

3.2 網(wǎng)絡(luò)信息實體異常行為分析技術(shù)

異常行為分析主要包括基線檢測、規(guī)則檢測和機器學(xué)習(xí)檢測等行為分析技術(shù)。

（1）基線檢測?；€檢測的核心是明確基線檢測的場景，如圖7 所示。場景的實現(xiàn)主要考慮數(shù)據(jù)特征提取、基線模型選擇和對比模式選擇。特征提取支持提取訪問次數(shù)、通信時長、流量大小、訪問頻次、訪問序列、訪問范圍等特征?；€模型支持閾值偏離型基線、訪問序列異常基線和訪問范圍異?；€等。對比模式支持個體對比和群組對比。

（2）規(guī)則檢測。支持基于Flink 實時分析引擎的異常行為分析。主要以檢測規(guī)則的方式做異常行為檢測，即將一些安全檢測經(jīng)驗轉(zhuǎn)化為對應(yīng)的規(guī)則，例如黑白名單、閾值統(tǒng)計、模式匹配、關(guān)聯(lián)分析等規(guī)則，可以快速、高效地實現(xiàn)異常行為的檢測。

（3）機器學(xué)習(xí)檢測。相比規(guī)則檢測，機器學(xué)習(xí)檢測是一種更加智能的方式，能檢測出更多的未知威脅。例如，先使用無監(jiān)督的算法，對被檢測數(shù)據(jù)進行聚類，并對形成的可疑分組進行分析調(diào)查，在得到新的檢測模型后，使用有監(jiān)督的算法進行異常行為的自動檢測。常見的可疑分組是一些離群、小眾的分組或者異常點。

建立用戶行為基線，刻畫用戶正常行為基線。將用戶多維度行為拆分為一個個的維度分析，比如用戶行為可以細(xì)分為以下維度：每天幾點開機；每天使用哪些機器；每天訪問哪些應(yīng)用、每小時訪問量；每小時打開文件數(shù)。對每個維度都進行模式計算，偏離一般模式即為異常。用戶行為如圖8 所示。

異常行為的判定過程如下：以部門、個人、資產(chǎn)、資產(chǎn)群等為單位，建立多維度行為基線；關(guān)聯(lián)用戶與資產(chǎn)的行為；用機器學(xué)習(xí)算法和預(yù)定義規(guī)則找出嚴(yán)重偏離基線的異常行為；不單純把行為分成非白即黑，而是經(jīng)過概率計算輸出灰度（異常分值）[4]。

4 結(jié) 語

在企業(yè)內(nèi)部網(wǎng)絡(luò)中，綜合各類異常行為分析方法，能夠幫助安全運維人員從海量的運維日志中聚焦異常網(wǎng)絡(luò)實體，開展有針對性的安全性排查，能夠大大減輕安全人員的審計分析工作，幫助企業(yè)更好地維護網(wǎng)絡(luò)安全。