劉 煒，王邦禮，周 萌

（中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

當(dāng)前，安全行業(yè)開(kāi)展異常行為分析檢測(cè)相關(guān)研究，一方面利用黑白名單機(jī)制、自學(xué)習(xí)的端點(diǎn)靜態(tài)防御技術(shù)來(lái)防御安全威脅，另一方面通過(guò)威脅情報(bào)、機(jī)器學(xué)習(xí)、異常行為分析、攻擊指示器等方式，主動(dòng)發(fā)現(xiàn)來(lái)自外部或內(nèi)部的各類安全威脅[1]，為提升終端應(yīng)對(duì)已知和未知惡意代碼攻擊的能力，以及在發(fā)生安全威脅之后的應(yīng)急響應(yīng)能力，提供了快速、有效的手段和方法。

國(guó)內(nèi)安全企業(yè)現(xiàn)已快速跟進(jìn)終端異常行為分析的研究和產(chǎn)品布局，融入端點(diǎn)行為監(jiān)測(cè)、威脅情報(bào)、大數(shù)據(jù)安全分析等一系列檢測(cè)方法，可實(shí)時(shí)檢測(cè)用戶端點(diǎn)的異常行為和漏洞，通過(guò)與威脅情報(bào)對(duì)比，能夠及時(shí)發(fā)現(xiàn)威脅，做出木馬隔離和漏洞修補(bǔ)的安全響應(yīng)[1]。

隨著信息系統(tǒng)的迅速發(fā)展，網(wǎng)絡(luò)規(guī)模日漸龐大，用戶需求不斷增加，導(dǎo)致業(yè)務(wù)應(yīng)用系統(tǒng)日益復(fù)雜。而網(wǎng)絡(luò)安全事件的層出不窮，也使得信息系統(tǒng)面臨著越來(lái)越嚴(yán)峻的安全形勢(shì)，僅依靠安全防御檢測(cè)手段已無(wú)法滿足信息系統(tǒng)的安全需求。實(shí)體異常行為分析作為審計(jì)分析、威脅分析的重要補(bǔ)充，通過(guò)對(duì)網(wǎng)絡(luò)行為數(shù)據(jù)的深層融合、關(guān)聯(lián)分析等處理，實(shí)現(xiàn)從各實(shí)體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，從而為增強(qiáng)網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)。

1 系統(tǒng)架構(gòu)

網(wǎng)絡(luò)信息實(shí)體異常行為分析研究需要立足信息網(wǎng)絡(luò)現(xiàn)實(shí)狀況，以解決實(shí)際問(wèn)題為研究目標(biāo)，針對(duì)網(wǎng)絡(luò)實(shí)體異常行為檢測(cè)分析存在的缺陷與短板，整合相關(guān)數(shù)據(jù)挖掘分析、安全防護(hù)技術(shù)，提出網(wǎng)絡(luò)實(shí)體異常行為分析的技術(shù)方案與實(shí)現(xiàn)方法，提升網(wǎng)絡(luò)實(shí)體防護(hù)安全性，降低潛在安全風(fēng)險(xiǎn)。

從網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中獲取用戶、設(shè)備等網(wǎng)絡(luò)實(shí)體的操作行為日志數(shù)據(jù)，采用基于大數(shù)據(jù)關(guān)聯(lián)分析、聚類分析等技術(shù)，結(jié)合行為樣本、分析規(guī)則等對(duì)網(wǎng)絡(luò)行為及其合理性展開(kāi)分析，實(shí)現(xiàn)對(duì)用戶異常行為的預(yù)警，能夠?qū)χ攸c(diǎn)人員、資源等進(jìn)行監(jiān)控。結(jié)合用戶認(rèn)證類系統(tǒng)日志，實(shí)現(xiàn)對(duì)用戶、終端、應(yīng)用的網(wǎng)絡(luò)行為監(jiān)控、異常行為分析和責(zé)任認(rèn)定，保障網(wǎng)絡(luò)信息實(shí)體及網(wǎng)絡(luò)的可靠運(yùn)行。

系統(tǒng)采用“數(shù)據(jù)存儲(chǔ)—數(shù)據(jù)分析—數(shù)據(jù)呈現(xiàn)”3 層架構(gòu)，系統(tǒng)架構(gòu)如圖1 所示。

數(shù)據(jù)存儲(chǔ)層負(fù)責(zé)接收安全數(shù)據(jù)引接系統(tǒng)采集的安全數(shù)據(jù)，數(shù)據(jù)對(duì)象來(lái)源包括身份管理系統(tǒng)、統(tǒng)一認(rèn)證系統(tǒng)、終端安全防護(hù)系統(tǒng)、防病毒系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)流量采集系統(tǒng)等，數(shù)據(jù)內(nèi)容涵蓋用戶行為數(shù)據(jù)、設(shè)備行為數(shù)據(jù)、軟件行為數(shù)據(jù)、網(wǎng)絡(luò)行為數(shù)據(jù)、服務(wù)行為數(shù)據(jù)等。同時(shí)提供信任數(shù)據(jù)分布式存儲(chǔ)功能，保證數(shù)據(jù)的不可抵賴和不可篡改。

數(shù)據(jù)分析層通過(guò)日志數(shù)據(jù)抽取，構(gòu)建各類網(wǎng)絡(luò)信息實(shí)體分析引擎，開(kāi)展實(shí)時(shí)分析和歷史數(shù)據(jù)分析，分析用戶違規(guī)行為，給出網(wǎng)絡(luò)安全事件，同時(shí)對(duì)網(wǎng)絡(luò)安全事件進(jìn)行追蹤溯源和影響性分析。

數(shù)據(jù)呈現(xiàn)層提供安全保密事件展示、告警提醒、運(yùn)行報(bào)表、數(shù)據(jù)分析結(jié)果展示、追蹤結(jié)果呈現(xiàn)、影響范圍展示、日志記錄查詢分析等功能，并提供用戶操作界面，提供信任審計(jì)分析與追責(zé)功能。

2 組織運(yùn)用

組織運(yùn)用主要包括網(wǎng)絡(luò)行為分析、行為追蹤溯源、物理行為協(xié)同和關(guān)聯(lián)分析4 部分內(nèi)容。

2.1 網(wǎng)絡(luò)行為分析

在系統(tǒng)中，各類業(yè)務(wù)進(jìn)行的工作越來(lái)越復(fù)雜，為了保護(hù)系統(tǒng)的安全，方便監(jiān)控系統(tǒng)運(yùn)行狀況，查看日志并進(jìn)行分析已經(jīng)成為一個(gè)重要手段。管理員可以查看在某時(shí)間段內(nèi)所發(fā)生的事件，也可以通過(guò)對(duì)各種日志進(jìn)行分析輔助安全保密管理工作。由于日志具有數(shù)據(jù)量大、可讀性弱的特點(diǎn)，如果僅憑借管理員查看日志記錄的手段，其中所蘊(yùn)含的有用信息也難以發(fā)現(xiàn)[2]。將數(shù)據(jù)挖掘技術(shù)應(yīng)用于日志分析是一個(gè)關(guān)鍵技術(shù)，能夠關(guān)聯(lián)多種類型的日志事件，綜合分析，依據(jù)事先設(shè)定的規(guī)則進(jìn)行匹配，達(dá)到及時(shí)提醒和告警的效果，減輕管理人員的分析負(fù)擔(dān)。事件分析與告警如圖2 所示。

日志事件分析負(fù)責(zé)對(duì)篩選后的待審計(jì)信息結(jié)合審計(jì)規(guī)則、違規(guī)行為知識(shí)庫(kù)進(jìn)行分析，從中發(fā)現(xiàn)異常和違規(guī)行為，為采取相應(yīng)安全措施提供依據(jù)。

該流程可應(yīng)用于重保任務(wù)和重點(diǎn)監(jiān)控方向的信任行為的實(shí)時(shí)監(jiān)控，通過(guò)設(shè)置重保區(qū)域、對(duì)象、智能分析引擎來(lái)完成。管理員事先設(shè)置關(guān)注人員、關(guān)注設(shè)備、關(guān)注行為和告警閾值，在事件發(fā)生時(shí)首先判斷事件行為特征是否與違規(guī)行為知識(shí)庫(kù)中的行為特征相吻合，如果行為特征吻合，則生成告警，提示管理員進(jìn)行處置；如果行為特征不吻合，則通過(guò)判斷事件閾值是否滿足告警觸發(fā)條件，滿足則生成告警，同時(shí)提取違規(guī)事件行為特征，并添加到違規(guī)行為知識(shí)庫(kù)中。

2.2 行為追蹤溯源

對(duì)于用戶非法行為，還可以還原行為過(guò)程，從而提供該行為的“證據(jù)”。例如，網(wǎng)絡(luò)行為分析與責(zé)任認(rèn)定系統(tǒng)將某個(gè)IP 地址判定為非法事件發(fā)起源，可以追溯該IP 曾經(jīng)參與的事件詳情，如連接的目標(biāo)IP，攻擊源IP 和目標(biāo)IP 的地址位置信息、攻擊峰值、攻擊總流量和持續(xù)時(shí)間等攻擊詳情。這些“證據(jù)”可以充分證明責(zé)任認(rèn)定的準(zhǔn)確性，為本地安全設(shè)備快速攔截非法連接，起到了極為重要的作用。

行為追蹤溯源采用終端獲取的用戶使用日志、網(wǎng)絡(luò)流量信息、終端行為信息作為行為溯源的依據(jù)。行為追蹤溯源組織運(yùn)用流程如圖3所示。

首先，每個(gè)終端收集一定時(shí)間段的用戶使用日志、網(wǎng)絡(luò)流量信息、終端行為操作日志。

其次，從收集到的信息中，提取出用戶使用日志的時(shí)間及日志種類、網(wǎng)絡(luò)流量信息數(shù)據(jù)包中的源地址端口和目標(biāo)地址端口、終端行為信息的終端操作日志。對(duì)提取的特征分別進(jìn)行時(shí)間關(guān)聯(lián)分析，地址、端口關(guān)聯(lián)分析，行為關(guān)聯(lián)分析。

最后，根據(jù)關(guān)聯(lián)分析描繪出行為發(fā)生路徑，追蹤事件的發(fā)生源頭和發(fā)生過(guò)程。

2.3 物理行為協(xié)同

網(wǎng)絡(luò)行為分析與責(zé)任認(rèn)定系統(tǒng)，與物理行為軌跡系統(tǒng)開(kāi)展證據(jù)支撐、重點(diǎn)盯防、網(wǎng)絡(luò)審計(jì)3 方面的協(xié)同工作。物理協(xié)同行為流程如圖4所示。

（1）證據(jù)支撐。當(dāng)網(wǎng)絡(luò)行為分析與責(zé)任認(rèn)定系統(tǒng)形成責(zé)任認(rèn)定證據(jù)時(shí)，僅依靠網(wǎng)絡(luò)空間日志證據(jù)，說(shuō)服力不夠強(qiáng)，此時(shí)，系統(tǒng)通過(guò)向物理行為軌跡系統(tǒng)下發(fā)時(shí)間和位置信息，獲取視頻監(jiān)控圖片，補(bǔ)充責(zé)任對(duì)象的物理行為軌跡，為事件提供不可抵賴的佐證。

（2）重點(diǎn)盯防。當(dāng)網(wǎng)絡(luò)行為分析與責(zé)任認(rèn)定系統(tǒng)需要重點(diǎn)盯防某個(gè)區(qū)域時(shí)，須向人員物理軌跡信任分析軟件下發(fā)目標(biāo)區(qū)域重點(diǎn)盯防任務(wù)，保障目標(biāo)區(qū)域的進(jìn)出及使用，識(shí)別進(jìn)出使用的人員，生成非法人員進(jìn)出及使用告警記錄，提醒管理員及時(shí)干預(yù)處置。

（3）網(wǎng)絡(luò)審計(jì)。網(wǎng)絡(luò)行為分析與責(zé)任認(rèn)定系統(tǒng)實(shí)時(shí)接收人員物理軌跡信任分析軟件識(shí)別的人員及其進(jìn)出、經(jīng)過(guò)、使用的日志記錄，留待管理員備查，以支撐系統(tǒng)分析用戶行為和開(kāi)展責(zé)任認(rèn)定。

2.4 關(guān)聯(lián)分析

通過(guò)信任數(shù)據(jù)安全采集設(shè)備獲取系統(tǒng)日志、安全日志、應(yīng)用日志等大量日志信息，這些日志信息包含了所有網(wǎng)絡(luò)行為中的安全事件及其內(nèi)在聯(lián)系，通過(guò)對(duì)日志數(shù)據(jù)的關(guān)聯(lián)分析可以挖掘出日志中包含的安全事件，為事件的責(zé)任認(rèn)定提供事實(shí)依據(jù)。

通過(guò)定義各種類型的關(guān)聯(lián)分析規(guī)則，實(shí)現(xiàn)對(duì)各種日志數(shù)據(jù)的關(guān)聯(lián)分析，進(jìn)而發(fā)現(xiàn)可能存在的安全事件，進(jìn)一步提高對(duì)網(wǎng)絡(luò)行為的分析能力和責(zé)任認(rèn)定能力。關(guān)聯(lián)分析規(guī)則定義如表1所示。

表1 關(guān)聯(lián)分析規(guī)則定義

3 關(guān)鍵技術(shù)

網(wǎng)絡(luò)信息實(shí)體異常行為基于通用分析引擎支撐，根據(jù)應(yīng)用場(chǎng)景預(yù)先建立各種行為分析模型，提供了多種專題行為分析功能，并可根據(jù)實(shí)際需求對(duì)分析模型進(jìn)行調(diào)優(yōu)和新增。這類模型主要通過(guò)采集所有用戶的網(wǎng)絡(luò)行為原始數(shù)據(jù)，將其格式化為用戶行為描述格式，利用安全大數(shù)據(jù)分析平臺(tái)，形成適合進(jìn)行數(shù)據(jù)挖掘的訓(xùn)練數(shù)據(jù)集，然后采用關(guān)聯(lián)規(guī)則挖掘算法對(duì)行為模式之間的關(guān)聯(lián)特征進(jìn)行分析，提取出用戶行為模式信息，根據(jù)業(yè)務(wù)需求建立不同專題的用戶行為模式庫(kù)。對(duì)于特定的用戶群可以實(shí)時(shí)采集他們的網(wǎng)絡(luò)行為數(shù)據(jù)，格式化處理后作為測(cè)試數(shù)據(jù)集與用戶專題行為模式庫(kù)中的正常行為模式進(jìn)行比對(duì)，如發(fā)現(xiàn)異常行為則可對(duì)特定用戶的操作進(jìn)行管理[3]。建模流程如圖5 所示。

3.1 網(wǎng)絡(luò)信息實(shí)體異常行為建模技術(shù)

用戶異常行為建模主要從行為主體、行為數(shù)據(jù)、異常行為模式等方面進(jìn)行考慮。行為主體的原始字段主要是網(wǎng)際互聯(lián)協(xié)議（Internet Protocol，IP）、賬號(hào)、資源定位符（Uniform Resource Locator， URL），在業(yè)務(wù)層面可以泛化為資產(chǎn)、用戶、攻擊者、設(shè)備、服務(wù)器、客戶端等主體。行為數(shù)據(jù)主要考慮IP、地理位置、時(shí)間、協(xié)議、業(yè)務(wù)操作、流量方向、流量大小等屬性，在業(yè)務(wù)層面可以泛化為特定區(qū)域訪問(wèn)、特定時(shí)段訪問(wèn)、登錄（成功/失?。⑽募鬏?、數(shù)據(jù)外發(fā)、遠(yuǎn)程控制、加密通信等，可以通過(guò)統(tǒng)計(jì)生成訪問(wèn)頻度、訪問(wèn)時(shí)長(zhǎng)、訪問(wèn)對(duì)象數(shù)量等行為。行為異常模式主要有黑名單、基線偏離、離群行為等。例如受限區(qū)域訪問(wèn)、受限時(shí)間訪問(wèn)、受限賬號(hào)訪問(wèn)、個(gè)體基線偏離、群組基線偏離、個(gè)體—群體基線偏離等異常模式。其原理如圖6 所示。

異常行為分析適用的典型場(chǎng)景如下文所述。

（1）賬號(hào)安全防護(hù)：賬號(hào)異地登錄、賬號(hào)的慢速暴力破解、賬號(hào)在異常時(shí)段登錄等。

（2）敏感數(shù)據(jù)泄露和防護(hù)場(chǎng)景：利用盜取的賬號(hào)做內(nèi)部數(shù)據(jù)的竊取，訪問(wèn)不常訪問(wèn)的數(shù)據(jù)和文件目錄，文件服務(wù)數(shù)據(jù)篡改，站點(diǎn)數(shù)據(jù)的拖庫(kù)行為等。

（3）風(fēng)險(xiǎn)資產(chǎn)：通過(guò)對(duì)資產(chǎn)的長(zhǎng)時(shí)間周期的持續(xù)畫像，結(jié)合資產(chǎn)相關(guān)聯(lián)的各種異常告警，對(duì)資產(chǎn)做出風(fēng)險(xiǎn)評(píng)價(jià)。

（4）內(nèi)部威脅和異常：傳統(tǒng)的邊界防護(hù)設(shè)備針對(duì)已經(jīng)攻擊到內(nèi)網(wǎng)的行為是無(wú)能為力的，利用行為分析能夠有效發(fā)現(xiàn)突破防線的攻擊行為，比如橫向移動(dòng)、內(nèi)部漫游。

（5）基于告警的威脅狩獵：利用告警數(shù)據(jù)，以用戶、資產(chǎn)、數(shù)據(jù)為核心，以事物發(fā)展的時(shí)間線為線索進(jìn)行威脅狩獵。

（6）用戶自定義場(chǎng)景：用戶行為畫像需要契合客戶的具體業(yè)務(wù)，因此會(huì)帶來(lái)較多的定制化分析場(chǎng)景。

3.2 網(wǎng)絡(luò)信息實(shí)體異常行為分析技術(shù)

異常行為分析主要包括基線檢測(cè)、規(guī)則檢測(cè)和機(jī)器學(xué)習(xí)檢測(cè)等行為分析技術(shù)。

（1）基線檢測(cè)?；€檢測(cè)的核心是明確基線檢測(cè)的場(chǎng)景，如圖7 所示。場(chǎng)景的實(shí)現(xiàn)主要考慮數(shù)據(jù)特征提取、基線模型選擇和對(duì)比模式選擇。特征提取支持提取訪問(wèn)次數(shù)、通信時(shí)長(zhǎng)、流量大小、訪問(wèn)頻次、訪問(wèn)序列、訪問(wèn)范圍等特征?；€模型支持閾值偏離型基線、訪問(wèn)序列異?；€和訪問(wèn)范圍異?；€等。對(duì)比模式支持個(gè)體對(duì)比和群組對(duì)比。

（2）規(guī)則檢測(cè)。支持基于Flink 實(shí)時(shí)分析引擎的異常行為分析。主要以檢測(cè)規(guī)則的方式做異常行為檢測(cè)，即將一些安全檢測(cè)經(jīng)驗(yàn)轉(zhuǎn)化為對(duì)應(yīng)的規(guī)則，例如黑白名單、閾值統(tǒng)計(jì)、模式匹配、關(guān)聯(lián)分析等規(guī)則，可以快速、高效地實(shí)現(xiàn)異常行為的檢測(cè)。

（3）機(jī)器學(xué)習(xí)檢測(cè)。相比規(guī)則檢測(cè)，機(jī)器學(xué)習(xí)檢測(cè)是一種更加智能的方式，能檢測(cè)出更多的未知威脅。例如，先使用無(wú)監(jiān)督的算法，對(duì)被檢測(cè)數(shù)據(jù)進(jìn)行聚類，并對(duì)形成的可疑分組進(jìn)行分析調(diào)查，在得到新的檢測(cè)模型后，使用有監(jiān)督的算法進(jìn)行異常行為的自動(dòng)檢測(cè)。常見(jiàn)的可疑分組是一些離群、小眾的分組或者異常點(diǎn)。

建立用戶行為基線，刻畫用戶正常行為基線。將用戶多維度行為拆分為一個(gè)個(gè)的維度分析，比如用戶行為可以細(xì)分為以下維度：每天幾點(diǎn)開(kāi)機(jī)；每天使用哪些機(jī)器；每天訪問(wèn)哪些應(yīng)用、每小時(shí)訪問(wèn)量；每小時(shí)打開(kāi)文件數(shù)。對(duì)每個(gè)維度都進(jìn)行模式計(jì)算，偏離一般模式即為異常。用戶行為如圖8 所示。

異常行為的判定過(guò)程如下：以部門、個(gè)人、資產(chǎn)、資產(chǎn)群等為單位，建立多維度行為基線；關(guān)聯(lián)用戶與資產(chǎn)的行為；用機(jī)器學(xué)習(xí)算法和預(yù)定義規(guī)則找出嚴(yán)重偏離基線的異常行為；不單純把行為分成非白即黑，而是經(jīng)過(guò)概率計(jì)算輸出灰度（異常分值）[4]。

4 結(jié) 語(yǔ)

在企業(yè)內(nèi)部網(wǎng)絡(luò)中，綜合各類異常行為分析方法，能夠幫助安全運(yùn)維人員從海量的運(yùn)維日志中聚焦異常網(wǎng)絡(luò)實(shí)體，開(kāi)展有針對(duì)性的安全性排查，能夠大大減輕安全人員的審計(jì)分析工作，幫助企業(yè)更好地維護(hù)網(wǎng)絡(luò)安全。