网络安全中的实体异常行为分析技术

admin 2022年6月21日03:27:19评论106 views字数 5367阅读17分53秒阅读模式

摘 要:

基于威胁情报的网络安全监测预警体系在原有能力的基础上,建立网络空间威胁的“情报档案库”,一方面,利用情报全网共享机制达到“一点发现问题,全网风险屏蔽”的防御效果,利用情报库的关联分析机制增强网络威胁的趋势预测,解决由于局部区域的分析检测能力不足导致的“看不见”“看不准”“研判不明”的问题;另一方面,监测预警体系数据经过分析提炼,补充“情报档案库”,针对不同区域、不同时间的数据关联分析,持续地形成具有专业特色的 “新威胁情报”,形成自我生长的专业威胁情报生态环境,迭代反哺网络安全监测预警体系,以应对复杂性、规模性、衍变性日趋严重的网络空间威胁。

内容目录:
1 系统架构
2 组织运用
2.1 网络行为分析
2.2 行为追踪溯源
2.3 物理行为协同
2.4 关联分析
3 关键技术
3.1 网络信息实体异常行为建模技术
3.2 网络信息实体异常行为分析技术
4 结 语

当前,安全行业开展异常行为分析检测相关研究,一方面利用黑白名单机制、自学习的端点静态防御技术来防御安全威胁,另一方面通过威胁情报、机器学习、异常行为分析、攻击指示器等方式,主动发现来自外部或内部的各类安全威胁 ,为提升终端应对已知和未知恶意代码攻击的能力,以及在发生安全威胁之后的应急响应能力,提供了快速、有效的手段和方法。

国内安全企业现已快速跟进终端异常行为分析的研究和产品布局,融入端点行为监测、威胁情报、大数据安全分析等一系列检测方法,可实时检测用户端点的异常行为和漏洞,通过与威胁情报对比,能够及时发现威胁,做出木马隔离和漏洞修补的安全响应。

随着信息系统的迅速发展,网络规模日渐庞大,用户需求不断增加,导致业务应用系统日益复杂。而网络安全事件的层出不穷,也使得信息系统面临着越来越严峻的安全形势,仅依靠安全防御检测手段已无法满足信息系统的安全需求。实体异常行为分析作为审计分析、威胁分析的重要补充,通过对网络行为数据的深层融合、关联分析等处理,实现从各实体上动态反映网络安全状况,从而为增强网络安全性提供可靠的参照依据。

1

系统架构

网络信息实体异常行为分析研究需要立足信息网络现实状况,以解决实际问题为研究目标,针对网络实体异常行为检测分析存在的缺陷与短板,整合相关数据挖掘分析、安全防护技术,提出网络实体异常行为分析的技术方案与实现方法,提升网络实体防护安全性,降低潜在安全风险。

从网络安全防护系统中获取用户、设备等网络实体的操作行为日志数据,采用基于大数据关联分析、聚类分析等技术,结合行为样本、分析规则等对网络行为及其合理性展开分析,实现对用户异常行为的预警,能够对重点人员、资源等进行监控。结合用户认证类系统日志,实现对用户、终端、应用的网络行为监控、异常行为分析和责任认定,保障网络信息实体及网络的可靠运行。

系统采用“数据存储—数据分析—数据呈现”3 层架构,系统架构如图 1 所示。

网络安全中的实体异常行为分析技术

图 1 系统架构

数据存储层负责接收安全数据引接系统采集的安全数据,数据对象来源包括身份管理系统、统一认证系统、终端安全防护系统、防病毒系统、漏洞扫描系统、网络流量采集系统等,数据内容涵盖用户行为数据、设备行为数据、软件行为数据、网络行为数据、服务行为数据等。同时提供信任数据分布式存储功能,保证数据的不可抵赖和不可篡改。

数据分析层通过日志数据抽取,构建各类网络信息实体分析引擎,开展实时分析和历史数据分析,分析用户违规行为,给出网络安全事件,同时对网络安全事件进行追踪溯源和影响性分析。

数据呈现层提供安全保密事件展示、告警提醒、运行报表、数据分析结果展示、追踪结果呈现、影响范围展示、日志记录查询分析等功能,并提供用户操作界面,提供信任审计分析与追责功能。

2

组织运用

组织运用主要包括网络行为分析、行为追踪溯源、物理行为协同和关联分析 4 部分内容。

2.1 网络行为分析

在系统中,各类业务进行的工作越来越复杂,为了保护系统的安全,方便监控系统运行状况,查看日志并进行分析已经成为一个重要手段。管理员可以查看在某时间段内所发生的事件,也可以通过对各种日志进行分析辅助安全保密管理工作。由于日志具有数据量大、可读性弱的特点,如果仅凭借管理员查看日志记录的手段,其中所蕴含的有用信息也难以发现。将数据挖掘技术应用于日志分析是一个关键技术,能够关联多种类型的日志事件,综合分析,依据事先设定的规则进行匹配,达到及时提醒和告警的效果,减轻管理人员的分析负担。事件分析与告警如图 2 所示。

网络安全中的实体异常行为分析技术

图 2 事件分析与告警

日志事件分析负责对筛选后的待审计信息结合审计规则、违规行为知识库进行分析,从中发现异常和违规行为,为采取相应安全措施提供依据。

该流程可应用于重保任务和重点监控方向的信任行为的实时监控,通过设置重保区域、对象、智能分析引擎来完成。管理员事先设置关注人员、关注设备、关注行为和告警阈值,在事件发生时首先判断事件行为特征是否与违规行为知识库中的行为特征相吻合,如果行为特征吻合,则生成告警,提示管理员进行处置;如果行为特征不吻合,则通过判断事件阈值是否满足告警触发条件,满足则生成告警,同时提取违规事件行为特征,并添加到违规行为知识库中。

2.2 行为追踪溯源

对于用户非法行为,还可以还原行为过程,从而提供该行为的“证据”。例如,网络行为分析与责任认定系统将某个 IP 地址判定为非法事件发起源,可以追溯该 IP 曾经参与的事件详情,如连接的目标 IP,攻击源 IP 和目标 IP 的地址位置信息、攻击峰值、攻击总流量和持续时间等攻击详情。这些“证据”可以充分证明责任认定的准确性,为本地安全设备快速拦截非法连接,起到了极为重要的作用。

行为追踪溯源采用终端获取的用户使用日志、网络流量信息、终端行为信息作为行为溯源的依据。行为追踪溯源组织运用流程如图 3所示。

网络安全中的实体异常行为分析技术

图 3 行为追踪溯源组织运用流程

首先,每个终端收集一定时间段的用户使用日志、网络流量信息、终端行为操作日志。其次,从收集到的信息中,提取出用户使用日志的时间及日志种类、网络流量信息数据包中的源地址端口和目标地址端口、终端行为信息的终端操作日志。对提取的特征分别进行时间关联分析,地址、端口关联分析,行为关联分析。最后,根据关联分析描绘出行为发生路径,追踪事件的发生源头和发生过程。

2.3 物理行为协同

网络行为分析与责任认定系统,与物理行为轨迹系统开展证据支撑、重点盯防、网络审计 3 方面的协同工作。物理协同行为流程如图 4所示。

网络安全中的实体异常行为分析技术

图 4 物理协同行为流程

(1)证据支撑。当网络行为分析与责任认定系统形成责任认定证据时,仅依靠网络空间日志证据,说服力不够强,此时,系统通过向物理行为轨迹系统下发时间和位置信息,获取视频监控图片,补充责任对象的物理行为轨迹,为事件提供不可抵赖的佐证。(2)重点盯防。当网络行为分析与责任认定系统需要重点盯防某个区域时,须向人员物理轨迹信任分析软件下发目标区域重点盯防任务,保障目标区域的进出及使用,识别进出使用的人员,生成非法人员进出及使用告警记录,提醒管理员及时干预处置。(3)网络审计。网络行为分析与责任认定系统实时接收人员物理轨迹信任分析软件识别的人员及其进出、经过、使用的日志记录,留待管理员备查,以支撑系统分析用户行为和开展责任认定。

2.4 关联分析

通过信任数据安全采集设备获取系统日志、安全日志、应用日志等大量日志信息,这些日志信息包含了所有网络行为中的安全事件及其内在联系,通过对日志数据的关联分析可以挖掘出日志中包含的安全事件,为事件的责任认定提供事实依据。

通过定义各种类型的关联分析规则,实现对各种日志数据的关联分析,进而发现可能存在的安全事件,进一步提高对网络行为的分析能力和责任认定能力。关联分析规则定义如表 1所示。

表 1 关联分析规则定义

网络安全中的实体异常行为分析技术

3

关键技术

网络信息实体异常行为基于通用分析引擎支撑,根据应用场景预先建立各种行为分析模型,提供了多种专题行为分析功能,并可根据实际需求对分析模型进行调优和新增。这类模型主要通过采集所有用户的网络行为原始数据,将其格式化为用户行为描述格式,利用安全大数据分析平台,形成适合进行数据挖掘的训练数据集,然后采用关联规则挖掘算法对行为模式之间的关联特征进行分析,提取出用户行为模式信息,根据业务需求建立不同专题的用户行为模式库。对于特定的用户群可以实时采集他们的网络行为数据,格式化处理后作为测试数据集与用户专题行为模式库中的正常行为模式进行比对,如发现异常行为则可对特定用户的操作进行管理 [3]。建模流程如图 5 所示。

网络安全中的实体异常行为分析技术

图 5 建模流程

3.1 网络信息实体异常行为建模技术

用户异常行为建模主要从行为主体、行为数据、异常行为模式等方面进行考虑。行为主体的原始字段主要是网际互联协议(Internet Protocol,IP)、账号、资源定位符(Uniform Resource Locator,URL),在业务层面可以泛化为资产、用户、攻击者、设备、服务器、客户端等主体。行为数据主要考虑 IP、地理位置、时间、协议、业务操作、流量方向、流量大小等属性,在业务层面可以泛化为特定区域访问、特定时段访问、登录(成功 / 失败)、文件传输、数据外发、远程控制、加密通信等,可以通过统计生成访问频度、访问时长、访问对象数量等行为。行为异常模式主要有黑名单、基线偏离、离群行为等。例如受限区域访问、受限时间访问、受限账号访问、个体基线偏离、群组基线偏离、个体—群体基线偏离等异常模式。其原理如图 6 所示。异常行为分析适用的典型场景如下文所述。

网络安全中的实体异常行为分析技术

图 6 异常行为分析原理

(1)账号安全防护:账号异地登录、账号的慢速暴力破解、账号在异常时段登录等。(2)敏感数据泄露和防护场景:利用盗取的账号做内部数据的窃取,访问不常访问的数据和文件目录,文件服务数据篡改,站点数据的拖库行为等。(3)风险资产:通过对资产的长时间周期的持续画像,结合资产相关联的各种异常告警,对资产做出风险评价。(4)内部威胁和异常:传统的边界防护设备针对已经攻击到内网的行为是无能为力的,利用行为分析能够有效发现突破防线的攻击行为,比如横向移动、内部漫游。(5)基于告警的威胁狩猎:利用告警数据,以用户、资产、数据为核心,以事物发展的时间线为线索进行威胁狩猎。(6)用户自定义场景:用户行为画像需要契合客户的具体业务,因此会带来较多的定制化分析场景。

3.2 网络信息实体异常行为分析技术

异常行为分析主要包括基线检测、规则检测和机器学习检测等行为分析技术。

(1)基线检测。基线检测的核心是明确基线检测的场景,如图 7 所示。场景的实现主要考虑数据特征提取、基线模型选择和对比模式选择。特征提取支持提取访问次数、通信时长、流量大小、访问频次、访问序列、访问范围等特征。基线模型支持阈值偏离型基线、访问序列异常基线和访问范围异常基线等。对比模式支持个体对比和群组对比。

网络安全中的实体异常行为分析技术

图 7 基线检测场景

(2)规则检测。支持基于 Flink 实时分析引擎的异常行为分析。主要以检测规则的方式做异常行为检测,即将一些安全检测经验转化为对应的规则,例如黑白名单、阈值统计、模式匹配、关联分析等规则,可以快速、高效地实现异常行为的检测。

(3)机器学习检测。相比规则检测,机器学习检测是一种更加智能的方式,能检测出更多的未知威胁。例如,先使用无监督的算法,对被检测数据进行聚类,并对形成的可疑分组进行分析调查,在得到新的检测模型后,使用有监督的算法进行异常行为的自动检测。常见的可疑分组是一些离群、小众的分组或者异常点。

建立用户行为基线,刻画用户正常行为基线。将用户多维度行为拆分为一个个的维度分析,比如用户行为可以细分为以下维度:每天几点开机;每天使用哪些机器;每天访问哪些应用、每小时访问量;每小时打开文件数。对每个维度都进行模式计算,偏离一般模式即为异常。用户行为如图 8 所示。

网络安全中的实体异常行为分析技术

图 8 用户行为

异常行为的判定过程如下:以部门、个人、资产、资产群等为单位,建立多维度行为基线;关联用户与资产的行为;用机器学习算法和预定义规则找出严重偏离基线的异常行为;不单纯把行为分成非白即黑,而是经过概率计算输出灰度(异常分值)。

4

结 语

在企业内部网络中,综合各类异常行为分析方法,能够帮助安全运维人员从海量的运维日志中聚焦异常网络实体,开展有针对性的安全性排查,能够大大减轻安全人员的审计分析工作,帮助企业更好地维护网络安全。

引用格式:刘炜 , 王邦礼 , 周萌 . 网络安全中的实体异常行为分析技术 [J]. 信息安全与通信保密 ,2022(5):100-107.

作者简介 >>>

刘 炜,男,学士,工 程 师, 主 要 研 究 方 向 为 网 络安全;

王邦礼,男,硕士,教授,主要研究方向为网络安全;

周 萌, 女, 学 士, 工 程 师,主要研究方向为网络安全。

选自《信息安全与通信保密》2022年第5期(为便于排版,已省去参考文献)

商务合作 | 开白转载 | 媒体交流 | 理事服务 
请联系:15710013727(微信同号)
《信息安全与通信保密》杂志投稿
联系电话:13391516229(微信同号)
邮箱:[email protected]   
《通信技术》杂志投稿
联系电话:15198220331(微信同号)
邮箱:txjstgyx@163.com
谢谢您的「分享|点赞|在看 」一键三连

原文始发于微信公众号(信息安全与通信保密杂志社):网络安全中的实体异常行为分析技术

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月21日03:27:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全中的实体异常行为分析技术http://cn-sec.com/archives/1130171.html

发表评论

匿名网友 填写信息