UEBA用户行为分析在运营商领域的应用

UEBA用户行为分析在运营商领域的应用

阿布都克尤木·玉苏甫黎新川余润琦林强范丽琴

中国移动通信集团新疆有限公司  新疆 乌鲁木齐 830000

摘要：随着信息技术的快速发展，用户行为分析（UEBA）技术作为一种新兴的安全分析技术，通过对用户行为的监控和分析，能够有效识别异常行为，提高安全防护能力。本文将从UEBA技术的定义、原理、应用场景等方面出发，探讨UEBA技术在运营商领域的应用价值和发展趋势。

关键词：用户行为分析；运营商安全；新型网络攻击；电信诈骗

一、引言

运营商领域作为信息技术应用的重要领域之一，面临着日益严峻的安全挑战。恶意攻击、数据泄露、欺诈行为等安全问题不断涌现，给运营商的业务发展和用户信息安全带来了巨大威胁。为了应对这些威胁，运营商需要采用更加高效、精准的安全分析技术来提高安全防护能力。UEBA技术作为一种新兴的安全分析技术，通过对用户行为的监控和分析，能够提供更准确、更全面的安全威胁检测，为运营商领域的安全防护提供了新的解决方案。

二、UEBA技术概述

定义和原理

UEBA技术是一种基于机器学习和大数据分析的用户行为分析技术，通过对用户在网络中的行为进行监控和分析，建立用户行为画像，并通过机器学习和数据分析技术识别异常行为，从而发现潜在的安全威胁。

主要研究内容

用户实体行为分析（UEBA）主要研究内容有账号安全、内部威胁、数据渗漏、失陷主机、远程办公安全。

账号安全:攻击者一旦渗透进组织边界且获取失陷账号后，会在组织内部网络中横向移动，形成高级持续性威胁（APT）以及未知或尚无法理解的各种威胁。针对此类场景，UEBA 通过对正常行为和人员进行抽象归纳，利用大数据技术生成个体行为画像和群体行为画像，并对比分析账户的活动是否偏离个人行为画像和群体行为画像，综合判断账户疑似被盗用风险评分，帮助安全团队及时发现账号失陷。

内部威胁:内部威胁难以在基于行为的分析中完全隐藏、绕过或逃逸，行为异常成为首要的威胁信号。采集充分的数据和适当的分析，可发现横向移动、数据传输、持续回连等异常行为。

数据泄露：内部员工窃取敏感数据是企业典型的数据泄漏场景，由于内部员工具备企业数据资产的合法访问权限，且通常了解企业敏感数据的存放位置，因此通过传统的行为审计手段无法有效检测该类行为。UEBA通过对数据访问行为的分析，结合其他上下文，融入网络流量和端点数据进行分析，有助于了解数据传输活动。组合UEBA和DLP，数据泄露检测可以用于捕获内部人员和外部黑客组织。

失陷主机:攻击者常常通过入侵内网服务器，形成“肉机”后对企业网络进行横向攻击。UEBA 可构建时序异常检测模型，根据企业内网主机或服务器时序特征的历史时序波动规律，以及请求域名、账户登录、流量大小、访问安全区频繁度、链接主机标准差等特征，构建单服务器的动态行为基线，群体（如业务类型、安全域等）服务器动态行为基线。利用基线，考虑具体的主机疑似失陷场景，如僵尸网络、勒索病毒、命令控制等，给出不同模型不同实体在不同时间段的综合异常评分，从而检测失陷主机，并结合资产信息，定位到具体的时间段和主机信息，辅助企业及时发现失陷主机并溯源处理。

远程办公安全：UEBA 可以收集 VPN、SDP 及内部流量日志，构建涵盖每个员工登录地点、登录时间、在线时长、网络行为、协议分布等特征的行为画像。通过对比用户的历史行为基线，以及对比同组人员的行为基线，可以第一时间发现可疑的人员账号，通过调查分析，及时防范 VPN、SDP 账号违规操作或账号失陷风险。

应用场景

在运营商领域，UEBA技术的应用场景主要包括网络防护、数据安全、反欺诈等方面。在网络防护方面，UEBA技术可以通过分析用户在网络中的行为，识别出异常行为并进行拦截；在数据安全方面，UEBA技术可以通过分析用户在数据库中的操作行为，发现潜在的未经授权访问和数据泄露；在反欺诈方面，UEBA技术可以通过分析用户的交易行为，发现异常的交易模式并进行预警。

三、UEBA技术在运营商领域的应用价值

提高网络安全防护能力

通过引入UEBA技术，运营商可以实现对用户行为的全面监控和分析，及时发现并拦截异常行为，提高网络安全防护能力。例如，通过分析用户的登录行为和访问行为等特征可以建立用户登录访问模型进而发现异常的登录方式和访问模式从而及时发现并阻止潜在的网络攻击。此外通过分析网络流量和用户行为之间的关系可以发现异常的流量模式和潜在的恶意软件进而采取相应的措施进行防范和应对。

加强数据安全保护

通过引入UEBA技术运营商可以实现对用户在数据库中的操作行为的监控和分析进而发现潜在的未经授权访问和数据泄露从而及时采取相应的措施进行防范和应对此外通过分析用户的行为模式和访问权限之间的关系可以发现潜在的权限滥用和数据泄露进而采取相应的措施进行防范和应对。

提升反欺诈能力

通过引入UEBA技术运营商可以实现对用户的交易行为的监控和分析进而发现异常的交易模式并进行预警从而及时采取相应的措施进行防范和应对此外通过分析用户的交易行为和交易习惯之间的关系可以发现异常的交易行为并进行预警进而采取相应的措施进行防范和应对。例如对于电话欺诈行为可以通过分析用户的通话记录和短信记录等特征来识别出异常的通话模式和短信内容从而采取相应的措施进行防范和应对。

四、UEBA技术在运营商领域的发展趋势

随着人工智能和大数据技术的不断发展以及网络安全问题的不断演变和复杂化UEBA技术在运营商领域也将迎来更广泛的应用前景和发展方向。一方面随着人工智能技术的不断发展UEBA技术可以更加精准地识别异常行为并进行预警；另一方面随着大数据技术的不断发展UEBA技术可以处理更多的数据并进行更全面的分析。此外随着网络安全问题的不断演变和复杂化UEBA技术也将面临更多的挑战和机遇。未来运营商可以进一步加强与科研机构和企业的合作推动UEBA技术的创新和发展为运营商领域的安全防护提供更加全面、高效的技术支持。

参考文献:

1. 张明, 张鹏, 王坤. 基于用户行为的网络安全风险评估方法研究[J]. 计算机科学, 2019, 46(02): 28-33.
2. 王鹏, 王超, 杨帆. 基于机器学习和大数据分析的用户行为预测研究[J]. 计算机科学, 2019, 46(03): 56-61.
3. 周毅, 王坤, 张明. 基于用户行为分析的网络安全威胁检测技术研究[J]. 信息技术, 2019(06): 99-102.