基于內(nèi)網(wǎng)用戶異常行為安全管理研究

匡石磊（中國聯(lián)通江西分公司，江西 南昌 330096），韋峻峰（中國聯(lián)通河南分公司，河南 鄭州 450000）

本文版權(quán)為《郵電設(shè)計(jì)技術(shù)》所有，如需轉(zhuǎn)載請(qǐng)聯(lián)系《郵電設(shè)計(jì)技術(shù)》編輯部

摘 要：通過提出的SOM-FCM雙層聚類模型算法來分析研究企業(yè)內(nèi)部網(wǎng)絡(luò)用戶行為，通 過搜集不同模式的日志信息，分析用戶的行為特征，將用戶的所有行為數(shù)據(jù)進(jìn)行聚 類，分析聚類后的孤立點(diǎn)和小類來判別其行為是正常還是異常，通過軟件工程方式 實(shí)踐該模型算法并在大數(shù)據(jù)安全平臺(tái)中使用SOC/4A系統(tǒng)日志數(shù)據(jù)進(jìn)行了測(cè)試， 結(jié)果表明該算法可以對(duì)內(nèi)網(wǎng)用戶行為數(shù)據(jù)進(jìn)行有效地分析與挖掘，能夠發(fā)現(xiàn)用戶 違規(guī)異常行為及惡意攻擊行為。

關(guān)鍵詞：安全管理；日志數(shù)據(jù)；用戶行為

doi：10.12045/j.issn.1007-3043.2019.04.004

前言

隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，數(shù)據(jù)逐漸升級(jí)為企業(yè)核心資產(chǎn)，具體表現(xiàn)為數(shù)據(jù)范圍更廣、類型更多、規(guī)模更大、服務(wù)對(duì)象更加全面、加工更加深入、管理更為復(fù)雜，許多組織（如超市、銀行、電信公司）及一些數(shù)據(jù)采集系統(tǒng)每日都產(chǎn)生大量的數(shù)據(jù)，為此各個(gè)企業(yè)都建立了自己的內(nèi)部網(wǎng)絡(luò)。盡管內(nèi)部網(wǎng)絡(luò)方便了企業(yè)的工作和管理，但內(nèi)部網(wǎng)絡(luò)的安全問題頻發(fā)并且越來越嚴(yán)重，目前有效的安全防護(hù)體系已基本形成，但業(yè)務(wù)邏輯卻日趨復(fù)雜，安全管理難度也日益增大。企業(yè)內(nèi)部員工很可能在工作時(shí)間進(jìn)行非工作內(nèi)容的活動(dòng)或其他異常行為（具體表現(xiàn)為過期賬戶登錄、權(quán)限濫用、制度漏洞、異常登錄、高頻訪問、繞行行為），這些都是內(nèi)部網(wǎng)絡(luò)需要考慮到的問題。內(nèi)部網(wǎng)絡(luò)安全問題的復(fù)雜性、不確定性和多樣性都會(huì)增加解決安全問題的難度。企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)威脅通常會(huì)造成設(shè)備日志粒度粗、日志分散、內(nèi)容深淺不一，無法對(duì)支撐系統(tǒng)進(jìn)行綜合分析，對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)追蹤，原有支撐算法無法滿足新業(yè)務(wù)需要等。因而會(huì)產(chǎn)生難以定位實(shí)際責(zé)任人、內(nèi)部機(jī)密數(shù)據(jù)泄露、原日志審計(jì)難以發(fā)現(xiàn)違規(guī)、數(shù)據(jù)分析造成盲區(qū)等問題，甚至?xí)�影響企業(yè)自身的聲譽(yù)。

為了能夠更加有效地檢測(cè)企業(yè)內(nèi)部網(wǎng)絡(luò)用戶的異常行為，本文對(duì)內(nèi)網(wǎng)絡(luò)用戶的行為進(jìn)行定義并建立行為模型，明確定義內(nèi)部用戶的行為哪些是異常的，哪些是正常的，再通過軟件工程方式驗(yàn)證該模型算法的有效性。本文通過選取企業(yè)內(nèi)SOC系統(tǒng)日志和4A系統(tǒng)日志，分析內(nèi)部用戶的具體行為來檢測(cè)其是否異常。這對(duì)于實(shí)際的內(nèi)網(wǎng)用戶的安全檢測(cè)具有一定的現(xiàn)實(shí)意義。

點(diǎn)擊查看全文（PDF）>