信创安全-基于内网用户异常行为安全管理研究.pdfVIP

基于内网用户ResearchonSecurityManagementofAbnormal

BehaviorofIntranetUsers

异常行为安全管理研究

部网络需要考虑到的问题。内部网络安全问题的复杂

1概述

性、不确定性和多样性都会增加解决安全问题的难度。

随着网络技术的高速发展，数据逐渐升级为企业企业内部网络环境中数据威胁通常会造成设备日志粒

核心资产，具体表现为数据范围更广、类型更多、规模度粗、日志分散、内容深浅不一，无法对支撑系统进行

更大、服务对象更加全面、加工更加深入、管理更为复综合分析，对数据进行关联追踪，原有支撑算法无法满

杂，许多组织（如超市、银行、电信公司）及一些数据采足新业务需要等。因而会产生难以定位实际责任人、

集系统每日都产生大量的数据，为此各个企业都建立内部机密数据泄露、原日志审计难以发现违规、数据分

了自己的内部网络。尽管内部网络方便了企业的工析造成盲区等问题，甚至会影响企业自身的声誉。

作和管理，但内部网络的安全问题频发并且越来越严为了能够更加有效地检测企业内部网络用户的异

重，目前有效的安全防护体系已基本形成，但业务逻常行为，本文对内网络用户的行为进行定义并建立行

辑却日趋复杂，安全管理难度也日益增大。企业内部为模型，明确定义内部用户的行为哪些是异常的，哪些

员工很可能在工作时间进行非工作内容的活动或其是正常的，再通过软件工程方式验证该模型算法的有

他异常行为（具体表现为过期账户登录、权限滥用、制效性。本文通过选取企业内SOC系统日志和4A系统

度漏洞、异常登录、高频访问、绕行行为），这些都是内日志，分析内部用户的具体行为来检测其是否异常。

——————————这对于实际的内网用户的安全检测具有一定的现实意

收稿日期：2019-02-22义。

162019/04/DTPT

2基于内网用户异常行为安全管理设计方案录行为和异常业务操作行为进行分析，对于异常登录

行为，可以通过分析绕过4A系统登录核心业务系统、

2.1系统结构

设备的情况来判断登录的人和登录的IP；而对于异常

内网用户行为分析逻辑架构如图1所示。分析层

操作行为，则要通过分析各种异常业务操作行为，挖掘

（通过交互查询、策略管理、模型分析、数据合理性检查

行为人和行为对象来进行判断。在此基础上，分析个

等分析异常行为、异常登录等问题）将充分利用现有的

人异常行为特征和群体性异常行为特征，挖掘规律性

各类信息日志进行采集、清洗、整合、标签化，构建安全

特征。

日志的采集层、计算层和存储层，积极实现数据的合理

内网用户行为分析还要考虑数据关联分析，即针

化展示，实现用户的异常行为分析。

对重要业务系统资源，对操作人员和IP进行深层次分

2.2内网用户行为分析流程

析并结合实