孫加萌?宋文凱

摘要：現(xiàn)如今，企業(yè)面臨的內(nèi)網(wǎng)安全威脅逐漸嚴重。為了預防內(nèi)部隱患，檢測內(nèi)部員工對特殊文件的異常行為，本文構(gòu)建了一種基于大數(shù)據(jù)處理平臺的人員異常行為分析模型。通過該模型刻畫了員工的異常行為模式，包括非工作時間操作行為，權(quán)限不一致操作行為和文件外發(fā)行為，模型采集企業(yè)應用和安全系統(tǒng)的操作日志，經(jīng)過提取清洗處理后，與文件和設(shè)備用戶數(shù)據(jù)以及員工考勤記錄數(shù)據(jù)進行關(guān)聯(lián)計算，提取出員工異常行為，得出數(shù)據(jù)統(tǒng)計結(jié)果。根據(jù)人員和設(shè)備維度進行聚合處理，經(jīng)過前端的可視化見面，生成特定用戶或設(shè)備的異常行為趨勢。該模型根據(jù)內(nèi)網(wǎng)空間安全范疇刻畫了人員異常行為模式，利用企業(yè)操作日志生成員工和設(shè)備的異常行為統(tǒng)計，使系統(tǒng)能夠?qū)崟r高效地判斷異常行為，實現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)安全的自動化預警。

關(guān)鍵詞： 內(nèi)網(wǎng)安全；異常行為；大數(shù)據(jù)平臺；自動化預警

一、引言

隨著信息技術(shù)的飛速發(fā)展，企業(yè)內(nèi)積累的核心數(shù)據(jù)資產(chǎn)愈發(fā)倍增。這些數(shù)據(jù)信息的特點是存儲體量大、涉及范圍廣、細分類型多，往往代表著企業(yè)的知識產(chǎn)權(quán)和商業(yè)機密，關(guān)乎著企業(yè)的核心利益。特別是對于一些行業(yè)龍頭甚至軍工級企業(yè)，核心數(shù)據(jù)代表著行業(yè)和國家級的利益，是立足之本。這些數(shù)據(jù)資產(chǎn)一旦泄露，將會造成不可估量的損失。因此，很多企業(yè)出于對外網(wǎng)的主動攻擊的防范，選擇使用封閉的內(nèi)部網(wǎng)絡(luò)環(huán)境用于生產(chǎn)開發(fā)。然而，來自內(nèi)部員工有意或無意的安全威脅往往更難以防范。Verizon公司發(fā)布的《2021年數(shù)據(jù)泄露調(diào)查報告》中表明，超過五分之一的數(shù)據(jù)泄露來自企業(yè)內(nèi)部[1]。

由于計算機網(wǎng)絡(luò)的先天復雜性，決定了網(wǎng)絡(luò)管理者必須使用足夠的網(wǎng)絡(luò)安全技術(shù)保障網(wǎng)絡(luò)的基礎(chǔ)資源安全和使用體驗。為了能夠多角度多層面應對快速發(fā)展的網(wǎng)絡(luò)安全服務(wù)，管理者需要從以下技術(shù)方面考慮：數(shù)據(jù)加密技術(shù)、訪問控制技術(shù)、防火墻技術(shù)、網(wǎng)絡(luò)安全掃描技術(shù)、網(wǎng)絡(luò)入侵技術(shù)和黑客誘騙技術(shù)[2]。對于內(nèi)部網(wǎng)絡(luò)而言，訪問控制技術(shù)是重中之重，主要保證網(wǎng)絡(luò)資源能夠在規(guī)定的權(quán)限體系下依法訪問，杜絕非常訪問[3]，是維護網(wǎng)絡(luò)資源安全訪問的關(guān)鍵策略。訪問控制技術(shù)涉及層面比較廣泛，包括網(wǎng)絡(luò)接入控制、網(wǎng)絡(luò)權(quán)限控制、網(wǎng)絡(luò)目錄級控制、用戶屬性控制等等手段[4]。其本質(zhì)上還是要控制不同級別用戶的可視網(wǎng)絡(luò)范圍，一旦越過規(guī)定權(quán)限，數(shù)據(jù)泄露便不可避免。與此同時，依托于信息技術(shù)的快速迭代和逐漸廣泛復雜的產(chǎn)品應用，規(guī)模較大的企業(yè)必定會產(chǎn)生海量的業(yè)務(wù)數(shù)據(jù)。大型企業(yè)日志事件的日增量可以達到百億條，中小規(guī)模企業(yè)產(chǎn)生的數(shù)據(jù)也相當可觀[5]。這些數(shù)據(jù)直接或間接地記錄了企業(yè)內(nèi)部各類生產(chǎn)交互的行為活動，具有巨大的商業(yè)價值。企業(yè)內(nèi)部員工很有可能在擁有合法的權(quán)限下產(chǎn)生異常行為，如特殊文件操作、違規(guī)打印等，而通過常規(guī)的安全管理體系很難及時察覺。因此，針對用戶異常行為的自動化分析與檢測在企業(yè)安全管理中尤為重要。

本文基于Hadoop和J2EE開發(fā)框架，收集企業(yè)內(nèi)部的應用安全系統(tǒng)、設(shè)備用戶數(shù)據(jù)庫、員工考勤記錄等數(shù)據(jù)作為數(shù)據(jù)源，進行提取清洗處理，然后構(gòu)建人員異常行為分析模型，對處理后的數(shù)據(jù)進行分析判別，抽取出關(guān)聯(lián)異常行為的人員和相關(guān)文件或設(shè)備數(shù)據(jù)進行業(yè)務(wù)分析，通過聚合形成報表統(tǒng)計和報告，直觀地展示出內(nèi)部員工的異常行為，對企業(yè)網(wǎng)絡(luò)安全檢測和保密工作管理具有一定的現(xiàn)實意義。

二、人員異常行為分析流程

本文設(shè)計的企業(yè)人員異常行為分析方法流程如圖1所示。

（一）數(shù)據(jù)收集

本文的數(shù)據(jù)來源主要是企業(yè)內(nèi)部的應用系統(tǒng)、安全系統(tǒng)等產(chǎn)生的日志信息，設(shè)備用戶數(shù)據(jù)以及考勤記錄數(shù)據(jù)等。由于該日志包含了人員的行為信息，具有明顯的大數(shù)據(jù)特征[6-7]，因此本文使用基于Hadoop的大數(shù)據(jù)平臺作為數(shù)據(jù)的分布式存儲和處理，保證數(shù)據(jù)的高可用性。

（二）數(shù)據(jù)預處理

不同來源的日志數(shù)據(jù)格式上有一定差異，而且內(nèi)容上也會存在重復或者關(guān)聯(lián)的情況。本文對采集到的原始數(shù)據(jù)進行一系列預處理操作，包括提取、清洗、關(guān)聯(lián)處理等，目的是為了抽取目標信息，并將不同來源的數(shù)據(jù)通過人員信息關(guān)聯(lián)起來，轉(zhuǎn)換為方便后續(xù)分析處理的結(jié)構(gòu)化數(shù)據(jù)。本文采用Hive和Presto作為計算分析引擎進行處理，能夠保證海量數(shù)據(jù)下的秒級統(tǒng)計查詢。

（三）人員異常行為刻畫

企業(yè)內(nèi)部的網(wǎng)絡(luò)可以看作內(nèi)網(wǎng)信息環(huán)境的一個整體域，基礎(chǔ)設(shè)施、網(wǎng)絡(luò)和操作人員相互獨立且依存，共同組成了內(nèi)網(wǎng)空間[8]。對內(nèi)網(wǎng)空間安全造成威脅的人員行為可認為屬于人員異常行為的范疇。網(wǎng)絡(luò)空間安全主要包括設(shè)備安全、數(shù)據(jù)安全、內(nèi)容安全和行為安全[8]，這里內(nèi)容安全主要針對互聯(lián)網(wǎng)環(huán)境。本文以操作特殊數(shù)據(jù)行為、設(shè)備操作記錄以及人員操作時間等維度作為基準，以應對數(shù)據(jù)安全，設(shè)備安全和行為安全。

（四）異常行為分析模型

在對人員異常行為刻畫的基礎(chǔ)上，抽象出畫像所需的行為數(shù)據(jù)，根據(jù)一定規(guī)則建立異常行為分析模型。模型前提是日志數(shù)據(jù)中包含特殊數(shù)據(jù)文件或設(shè)備的操作記錄，即提前做好日志埋點。同時擁有員工權(quán)限對應的可操作文件或設(shè)備的范圍，最后還要建立員工考勤記錄的數(shù)據(jù)庫。在此基礎(chǔ)上，可以設(shè)立正常行為標準，即工作時間內(nèi)操作符合人員權(quán)限的文件或設(shè)備。在此標準下，本文定義了特定條件下的異常行為模型，如下圖所示：

非工作時間范圍內(nèi)對于數(shù)據(jù)文件或設(shè)備的操作，均認為是異常行為記錄；工作時間范圍對特殊文件或設(shè)備的操作，如涉密文件、核心設(shè)備等，首先判斷操作人的權(quán)限是否足夠，判斷操作人與設(shè)備歸屬人是否統(tǒng)一，其一不符合則認為是異常行為。對于工作時間對于普通文件的操作，僅記錄外發(fā)、打印等涉外操作作為異常行為，其余認為正常。將異常行為數(shù)據(jù)按照時間維度和人員維度進行聚合統(tǒng)計，得到模型分析結(jié)果。另外，需要對內(nèi)網(wǎng)設(shè)備進行定期安全審計，包括設(shè)備系統(tǒng)接入和變更情況、應用系統(tǒng)和數(shù)據(jù)庫、專用移動存儲介質(zhì)變更等內(nèi)容，及時更新信息，以預防通過系統(tǒng)底層手段繞過異常行為分析，進一步全方位提升內(nèi)網(wǎng)環(huán)境的保密能力。

（五）異常行為分析結(jié)果展示

異常行為分析結(jié)果需要進行可視化的直觀展示。本文以時間和人員作為主要展示維度，羅列出時間軸下異常行為統(tǒng)計和具體人員的異常行為統(tǒng)計，并延伸出數(shù)量排行，數(shù)量趨勢等統(tǒng)計結(jié)果。

三、人員異常行為分析實現(xiàn)

本文以企業(yè)內(nèi)部的應用、安全系統(tǒng)等日志作為分析數(shù)據(jù)源，基于Hadoop大數(shù)據(jù)平臺進行存儲和統(tǒng)計分析，并使用Java語言和Spring框架完成業(yè)務(wù)處理，最后在前端展示出來，基本系統(tǒng)結(jié)構(gòu)如下圖所示：

采集層作為數(shù)據(jù)的接入，提供模型的外部基礎(chǔ)；存儲層用于接入和分析數(shù)據(jù)的儲存，計算層用于提供模型的計算資源；核心分析層充分利用上層數(shù)據(jù)進行分析，計算完成后通過展示層實現(xiàn)異常行為的合理化展示。

（一）模型實現(xiàn)

基于上文的內(nèi)容，本文的人員異常行為分析系統(tǒng)實現(xiàn)數(shù)據(jù)流程圖如圖4所示。

原始日志數(shù)據(jù)和文件設(shè)備-用戶數(shù)據(jù)以及員工考勤記錄數(shù)據(jù)通過采集聚合輸入到大數(shù)據(jù)平臺中，然后通過Hive進行數(shù)據(jù)整理和清洗，得到規(guī)整后的可計算數(shù)據(jù)，然后根據(jù)不同的維度劃分，得到帶有時間維度的員工文件或設(shè)備操作記錄。將該數(shù)據(jù)與預處理過的考勤記錄進行關(guān)聯(lián)計算，判斷操作記錄是否處于員工工作時間，非工作時間內(nèi)的操作記錄直接判定為異常行為；對于工作時間內(nèi)的操作記錄，與預處理過的用戶設(shè)備記錄進行關(guān)聯(lián)計算，判斷操作的目標文件或設(shè)備是否與用戶權(quán)限范圍一致，不一致則判定為異常行為。進一步的，還要判斷是否有文件外派操作的敏感行為，如文件的復制外發(fā)，打印等，如有則判定為異常行為。上述異常行為的判定使用Presto計算引擎和Spring框架完成數(shù)據(jù)計算和業(yè)務(wù)實現(xiàn)，并對外提供輸出接口。將上述異常行為按照人員和設(shè)備維度使用Presto聚合整理后，進行可視化展示。

另外，業(yè)務(wù)層會提供對外調(diào)用異常行為分析的API接口，可以實現(xiàn)下游的更多分析操作，也可以手動導入或?qū)С鰧徲媹蟾?，包括設(shè)備系統(tǒng)變更、文件權(quán)限變更等，以提升系統(tǒng)的數(shù)據(jù)更新能力。

四、結(jié)束語

近年來網(wǎng)絡(luò)技術(shù)的發(fā)展，企業(yè)產(chǎn)生的數(shù)據(jù)與日俱增。在與外網(wǎng)網(wǎng)絡(luò)環(huán)境隔離的情況下，內(nèi)網(wǎng)網(wǎng)絡(luò)空間的安全性尤為重要。本文針對企業(yè)內(nèi)網(wǎng)空間的設(shè)備和人員維度，提出人員異常行為模型分析方法，通過采集企業(yè)應用和安全系統(tǒng)的操作日志，基于Hadoop的大數(shù)據(jù)平臺進行提取清洗處理，存儲到Hive庫中。然后使用Presto計算引擎與文件/設(shè)備用戶數(shù)據(jù)和員工考勤記錄進行關(guān)聯(lián)計算，將非工作時間內(nèi)的操作行為、權(quán)限不一致行為、文件特殊外派行為進行聚合處理后作為人員異常行為可視化展示，使得能夠直觀地展示出人員或設(shè)備維度下異常行為的趨勢情況。系統(tǒng)使用者可以直觀感知或者使用提供的接口，進一步挖掘和分析異常數(shù)據(jù)，根據(jù)需要完成更具體的分析結(jié)果。該系統(tǒng)可以為保密性質(zhì)企業(yè)提供一定的內(nèi)網(wǎng)安全保障。

作者單位：孫加萌 宋文凱 南京電子技術(shù)研究所

參? 考? 文? 獻

[1]Jartelius M. The 2020 Data Breach Investigations Report-a CSOs perspective[J]. Network Security， 2020， 2020（7）： 9-12.

[2]張紅梅. 內(nèi)網(wǎng)終端安全防護管理系統(tǒng)研究[D]. 西安電子科技大學， 2018.

[3]趙紅偉. 局域網(wǎng)計算機終端安全防護策略分析[J]. 電子制作， 2013 （17）： 152-152.

[4]陳宇. 四川移動互聯(lián)網(wǎng)電視內(nèi)容管理基礎(chǔ)平臺設(shè)計與實現(xiàn)[D]. 電子科技大學， 2014.

[5]Cardenas A A， Manadhata P K， Rajan S P. Big data analytics for security[J]. IEEE Security & Privacy， 2013， 11（6）： 74-76.

[6]賴建華， 唐敏. 用戶異常行為分析方法研究與應用[J]. 軟件導刊， 2019， 18（8）： 181-185.

[7]匡石磊， 韋峻峰. 基于內(nèi)網(wǎng)用戶異常行為安全管理研究[J]. 郵電設(shè)計技術(shù)， 2019（4）：16-20.

[8]張煥國，韓文報，來學嘉，等. 網(wǎng)絡(luò)空間安全綜述[J]. 中國科學（信息科學），2016，46（2）：125-164.