孫加萌?宋文凱
摘要:現(xiàn)如今,企業(yè)面臨的內(nèi)網(wǎng)安全威脅逐漸嚴重。為了預防內(nèi)部隱患,檢測內(nèi)部員工對特殊文件的異常行為,本文構(gòu)建了一種基于大數(shù)據(jù)處理平臺的人員異常行為分析模型。通過該模型刻畫了員工的異常行為模式,包括非工作時間操作行為,權(quán)限不一致操作行為和文件外發(fā)行為,模型采集企業(yè)應用和安全系統(tǒng)的操作日志,經(jīng)過提取清洗處理后,與文件和設(shè)備用戶數(shù)據(jù)以及員工考勤記錄數(shù)據(jù)進行關(guān)聯(lián)計算,提取出員工異常行為,得出數(shù)據(jù)統(tǒng)計結(jié)果。根據(jù)人員和設(shè)備維度進行聚合處理,經(jīng)過前端的可視化見面,生成特定用戶或設(shè)備的異常行為趨勢。該模型根據(jù)內(nèi)網(wǎng)空間安全范疇刻畫了人員異常行為模式,利用企業(yè)操作日志生成員工和設(shè)備的異常行為統(tǒng)計,使系統(tǒng)能夠?qū)崟r高效地判斷異常行為,實現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)安全的自動化預警。
關(guān)鍵詞: 內(nèi)網(wǎng)安全;異常行為;大數(shù)據(jù)平臺;自動化預警
一、引言
隨著信息技術(shù)的飛速發(fā)展,企業(yè)內(nèi)積累的核心數(shù)據(jù)資產(chǎn)愈發(fā)倍增。這些數(shù)據(jù)信息的特點是存儲體量大、涉及范圍廣、細分類型多,往往代表著企業(yè)的知識產(chǎn)權(quán)和商業(yè)機密,關(guān)乎著企業(yè)的核心利益。特別是對于一些行業(yè)龍頭甚至軍工級企業(yè),核心數(shù)據(jù)代表著行業(yè)和國家級的利益,是立足之本。這些數(shù)據(jù)資產(chǎn)一旦泄露,將會造成不可估量的損失。因此,很多企業(yè)出于對外網(wǎng)的主動攻擊的防范,選擇使用封閉的內(nèi)部網(wǎng)絡(luò)環(huán)境用于生產(chǎn)開發(fā)。然而,來自內(nèi)部員工有意或無意的安全威脅往往更難以防范。Verizon公司發(fā)布的《2021年數(shù)據(jù)泄露調(diào)查報告》中表明,超過五分之一的數(shù)據(jù)泄露來自企業(yè)內(nèi)部[1]。
由于計算機網(wǎng)絡(luò)的先天復雜性,決定了網(wǎng)絡(luò)管理者必須使用足夠的網(wǎng)絡(luò)安全技術(shù)保障網(wǎng)絡(luò)的基礎(chǔ)資源安全和使用體驗。為了能夠多角度多層面應對快速發(fā)展的網(wǎng)絡(luò)安全服務(wù),管理者需要從以下技術(shù)方面考慮:數(shù)據(jù)加密技術(shù)、訪問控制技術(shù)、防火墻技術(shù)、網(wǎng)絡(luò)安全掃描技術(shù)、網(wǎng)絡(luò)入侵技術(shù)和黑客誘騙技術(shù)[2]。對于內(nèi)部網(wǎng)絡(luò)而言,訪問控制技術(shù)是重中之重,主要保證網(wǎng)絡(luò)資源能夠在規(guī)定的權(quán)限體系下依法訪問,杜絕非常訪問[3],是維護網(wǎng)絡(luò)資源安全訪問的關(guān)鍵策略。訪問控制技術(shù)涉及層面比較廣泛,包括網(wǎng)絡(luò)接入控制、網(wǎng)絡(luò)權(quán)限控制、網(wǎng)絡(luò)目錄級控制、用戶屬性控制等等手段[4]。其本質(zhì)上還是要控制不同級別用戶的可視網(wǎng)絡(luò)范圍,一旦越過規(guī)定權(quán)限,數(shù)據(jù)泄露便不可避免。與此同時,依托于信息技術(shù)的快速迭代和逐漸廣泛復雜的產(chǎn)品應用,規(guī)模較大的企業(yè)必定會產(chǎn)生海量的業(yè)務(wù)數(shù)據(jù)。大型企業(yè)日志事件的日增量可以達到百億條,中小規(guī)模企業(yè)產(chǎn)生的數(shù)據(jù)也相當可觀[5]。這些數(shù)據(jù)直接或間接地記錄了企業(yè)內(nèi)部各類生產(chǎn)交互的行為活動,具有巨大的商業(yè)價值。企業(yè)內(nèi)部員工很有可能在擁有合法的權(quán)限下產(chǎn)生異常行為,如特殊文件操作、違規(guī)打印等,而通過常規(guī)的安全管理體系很難及時察覺。因此,針對用戶異常行為的自動化分析與檢測在企業(yè)安全管理中尤為重要。
本文基于Hadoop和J2EE開發(fā)框架,收集企業(yè)內(nèi)部的應用安全系統(tǒng)、設(shè)備用戶數(shù)據(jù)庫、員工考勤記錄等數(shù)據(jù)作為數(shù)據(jù)源,進行提取清洗處理,然后構(gòu)建人員異常行為分析模型,對處理后的數(shù)據(jù)進行分析判別,抽取出關(guān)聯(lián)異常行為的人員和相關(guān)文件或設(shè)備數(shù)據(jù)進行業(yè)務(wù)分析,通過聚合形成報表統(tǒng)計和報告,直觀地展示出內(nèi)部員工的異常行為,對企業(yè)網(wǎng)絡(luò)安全檢測和保密工作管理具有一定的現(xiàn)實意義。
二、人員異常行為分析流程
本文設(shè)計的企業(yè)人員異常行為分析方法流程如圖1所示。
(一)數(shù)據(jù)收集
本文的數(shù)據(jù)來源主要是企業(yè)內(nèi)部的應用系統(tǒng)、安全系統(tǒng)等產(chǎn)生的日志信息,設(shè)備用戶數(shù)據(jù)以及考勤記錄數(shù)據(jù)等。由于該日志包含了人員的行為信息,具有明顯的大數(shù)據(jù)特征[6-7],因此本文使用基于Hadoop的大數(shù)據(jù)平臺作為數(shù)據(jù)的分布式存儲和處理,保證數(shù)據(jù)的高可用性。
(二)數(shù)據(jù)預處理
不同來源的日志數(shù)據(jù)格式上有一定差異,而且內(nèi)容上也會存在重復或者關(guān)聯(lián)的情況。本文對采集到的原始數(shù)據(jù)進行一系列預處理操作,包括提取、清洗、關(guān)聯(lián)處理等,目的是為了抽取目標信息,并將不同來源的數(shù)據(jù)通過人員信息關(guān)聯(lián)起來,轉(zhuǎn)換為方便后續(xù)分析處理的結(jié)構(gòu)化數(shù)據(jù)。本文采用Hive和Presto作為計算分析引擎進行處理,能夠保證海量數(shù)據(jù)下的秒級統(tǒng)計查詢。
(三)人員異常行為刻畫
企業(yè)內(nèi)部的網(wǎng)絡(luò)可以看作內(nèi)網(wǎng)信息環(huán)境的一個整體域,基礎(chǔ)設(shè)施、網(wǎng)絡(luò)和操作人員相互獨立且依存,共同組成了內(nèi)網(wǎng)空間[8]。對內(nèi)網(wǎng)空間安全造成威脅的人員行為可認為屬于人員異常行為的范疇。網(wǎng)絡(luò)空間安全主要包括設(shè)備安全、數(shù)據(jù)安全、內(nèi)容安全和行為安全[8],這里內(nèi)容安全主要針對互聯(lián)網(wǎng)環(huán)境。本文以操作特殊數(shù)據(jù)行為、設(shè)備操作記錄以及人員操作時間等維度作為基準,以應對數(shù)據(jù)安全,設(shè)備安全和行為安全。
(四)異常行為分析模型
在對人員異常行為刻畫的基礎(chǔ)上,抽象出畫像所需的行為數(shù)據(jù),根據(jù)一定規(guī)則建立異常行為分析模型。模型前提是日志數(shù)據(jù)中包含特殊數(shù)據(jù)文件或設(shè)備的操作記錄,即提前做好日志埋點。同時擁有員工權(quán)限對應的可操作文件或設(shè)備的范圍,最后還要建立員工考勤記錄的數(shù)據(jù)庫。在此基礎(chǔ)上,可以設(shè)立正常行為標準,即工作時間內(nèi)操作符合人員權(quán)限的文件或設(shè)備。在此標準下,本文定義了特定條件下的異常行為模型,如下圖所示:
非工作時間范圍內(nèi)對于數(shù)據(jù)文件或設(shè)備的操作,均認為是異常行為記錄;工作時間范圍對特殊文件或設(shè)備的操作,如涉密文件、核心設(shè)備等,首先判斷操作人的權(quán)限是否足夠,判斷操作人與設(shè)備歸屬人是否統(tǒng)一,其一不符合則認為是異常行為。對于工作時間對于普通文件的操作,僅記錄外發(fā)、打印等涉外操作作為異常行為,其余認為正常。將異常行為數(shù)據(jù)按照時間維度和人員維度進行聚合統(tǒng)計,得到模型分析結(jié)果。另外,需要對內(nèi)網(wǎng)設(shè)備進行定期安全審計,包括設(shè)備系統(tǒng)接入和變更情況、應用系統(tǒng)和數(shù)據(jù)庫、專用移動存儲介質(zhì)變更等內(nèi)容,及時更新信息,以預防通過系統(tǒng)底層手段繞過異常行為分析,進一步全方位提升內(nèi)網(wǎng)環(huán)境的保密能力。
(五)異常行為分析結(jié)果展示
異常行為分析結(jié)果需要進行可視化的直觀展示。本文以時間和人員作為主要展示維度,羅列出時間軸下異常行為統(tǒng)計和具體人員的異常行為統(tǒng)計,并延伸出數(shù)量排行,數(shù)量趨勢等統(tǒng)計結(jié)果。
三、人員異常行為分析實現(xiàn)
本文以企業(yè)內(nèi)部的應用、安全系統(tǒng)等日志作為分析數(shù)據(jù)源,基于Hadoop大數(shù)據(jù)平臺進行存儲和統(tǒng)計分析,并使用Java語言和Spring框架完成業(yè)務(wù)處理,最后在前端展示出來,基本系統(tǒng)結(jié)構(gòu)如下圖所示:
采集層作為數(shù)據(jù)的接入,提供模型的外部基礎(chǔ);存儲層用于接入和分析數(shù)據(jù)的儲存,計算層用于提供模型的計算資源;核心分析層充分利用上層數(shù)據(jù)進行分析,計算完成后通過展示層實現(xiàn)異常行為的合理化展示。
(一)模型實現(xiàn)
基于上文的內(nèi)容,本文的人員異常行為分析系統(tǒng)實現(xiàn)數(shù)據(jù)流程圖如圖4所示。
原始日志數(shù)據(jù)和文件設(shè)備-用戶數(shù)據(jù)以及員工考勤記錄數(shù)據(jù)通過采集聚合輸入到大數(shù)據(jù)平臺中,然后通過Hive進行數(shù)據(jù)整理和清洗,得到規(guī)整后的可計算數(shù)據(jù),然后根據(jù)不同的維度劃分,得到帶有時間維度的員工文件或設(shè)備操作記錄。將該數(shù)據(jù)與預處理過的考勤記錄進行關(guān)聯(lián)計算,判斷操作記錄是否處于員工工作時間,非工作時間內(nèi)的操作記錄直接判定為異常行為;對于工作時間內(nèi)的操作記錄,與預處理過的用戶設(shè)備記錄進行關(guān)聯(lián)計算,判斷操作的目標文件或設(shè)備是否與用戶權(quán)限范圍一致,不一致則判定為異常行為。進一步的,還要判斷是否有文件外派操作的敏感行為,如文件的復制外發(fā),打印等,如有則判定為異常行為。上述異常行為的判定使用Presto計算引擎和Spring框架完成數(shù)據(jù)計算和業(yè)務(wù)實現(xiàn),并對外提供輸出接口。將上述異常行為按照人員和設(shè)備維度使用Presto聚合整理后,進行可視化展示。
另外,業(yè)務(wù)層會提供對外調(diào)用異常行為分析的API接口,可以實現(xiàn)下游的更多分析操作,也可以手動導入或?qū)С鰧徲媹蟾?,包括設(shè)備系統(tǒng)變更、文件權(quán)限變更等,以提升系統(tǒng)的數(shù)據(jù)更新能力。
四、結(jié)束語
近年來網(wǎng)絡(luò)技術(shù)的發(fā)展,企業(yè)產(chǎn)生的數(shù)據(jù)與日俱增。在與外網(wǎng)網(wǎng)絡(luò)環(huán)境隔離的情況下,內(nèi)網(wǎng)網(wǎng)絡(luò)空間的安全性尤為重要。本文針對企業(yè)內(nèi)網(wǎng)空間的設(shè)備和人員維度,提出人員異常行為模型分析方法,通過采集企業(yè)應用和安全系統(tǒng)的操作日志,基于Hadoop的大數(shù)據(jù)平臺進行提取清洗處理,存儲到Hive庫中。然后使用Presto計算引擎與文件/設(shè)備用戶數(shù)據(jù)和員工考勤記錄進行關(guān)聯(lián)計算,將非工作時間內(nèi)的操作行為、權(quán)限不一致行為、文件特殊外派行為進行聚合處理后作為人員異常行為可視化展示,使得能夠直觀地展示出人員或設(shè)備維度下異常行為的趨勢情況。系統(tǒng)使用者可以直觀感知或者使用提供的接口,進一步挖掘和分析異常數(shù)據(jù),根據(jù)需要完成更具體的分析結(jié)果。該系統(tǒng)可以為保密性質(zhì)企業(yè)提供一定的內(nèi)網(wǎng)安全保障。
作者單位:孫加萌 宋文凱 南京電子技術(shù)研究所
參? 考? 文? 獻
[1]Jartelius M. The 2020 Data Breach Investigations Report-a CSOs perspective[J]. Network Security, 2020, 2020(7): 9-12.
[2]張紅梅. 內(nèi)網(wǎng)終端安全防護管理系統(tǒng)研究[D]. 西安電子科技大學, 2018.
[3]趙紅偉. 局域網(wǎng)計算機終端安全防護策略分析[J]. 電子制作, 2013 (17): 152-152.
[4]陳宇. 四川移動互聯(lián)網(wǎng)電視內(nèi)容管理基礎(chǔ)平臺設(shè)計與實現(xiàn)[D]. 電子科技大學, 2014.
[5]Cardenas A A, Manadhata P K, Rajan S P. Big data analytics for security[J]. IEEE Security & Privacy, 2013, 11(6): 74-76.
[6]賴建華, 唐敏. 用戶異常行為分析方法研究與應用[J]. 軟件導刊, 2019, 18(8): 181-185.
[7]匡石磊, 韋峻峰. 基于內(nèi)網(wǎng)用戶異常行為安全管理研究[J]. 郵電設(shè)計技術(shù), 2019(4):16-20.
[8]張煥國,韓文報,來學嘉,等. 網(wǎng)絡(luò)空間安全綜述[J]. 中國科學(信息科學),2016,46(2):125-164.