2024年1月1日发(作者:)

上网行为感知与分析解决方案

1背景概述2017年6月1日,《中华人民共和国网络安全法》开始施行,其中规定:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。相较之前公安部82号令60天的日志存储要求,《网络安全法》六个月日志存储的要求大幅提升。提速降费是国家交给电信运营商的任务,2015年开始,三大运营商开始提高网速、降低资费的改革,导致政企客户的互联网带宽快速增长。在以上背景下,作为合规刚需的上网行为管理产品的日志量急速增长,对海量日志的存储能力、日志查询和统计的能力都提出了更高要求。另一方面,互联网行为风险事件在持续发酵,包括邮件、IM、网盘等渠道的数据外泄事件,账号盗用/滥用等内部威胁事件,以及网贷、沉迷网络、离职倾向等行为风险人群。2需求分析2.1海量日志存储与快速查询在带宽高速增长与日志需要长时间存储的背景下,对于大部分政企客户来说,需要考虑建设一个独立于上网行为管理设备的集中存储上网行为管理海量日志的方案。该方案需要满足以下要求:在全网有多台上网行为管理设备部署时,可同时接收上传的日志可存储超过半年的海量日志海量日志规模下,可快速查询和生成统计结果,以便在出现突发事件时快速定位问题存储和计算资源可随时扩展,以便在带宽增长或者接入设备数量增加时,提供相应的日志存储和查询统计能力第1页

2.2上网行为风险发现上网行为风险主要集中在以下三类,需要通过对上网行为数据的建模分析来发现:1.数据外泄风险a)主动泄密:邮件、IM、文库、Githubb)被动泄密:网盘/P2P自动上传2.内部威胁风险a)帐号滥用/盗用3.行为风险人群a)网贷、沉迷网络b)离职倾向3解决方案奇安信行为感知分析系统(BAAS,BehaviourAwarenessAnalysisSystem),是一款能够对全网用户上网行为进行分析,并将结果进行实时动态展示的产品。通过行为特征建模,创建多维场景化分析视角,精准发现高风险人群,研判风险趋势。通过深度运用大数据技术,行为感知分析系统能够对海量数据进行秒级查询,支持集群部署,灵活扩容;在帮助党政、企业、教育、能源、金融等多类客户满足监管、合规要求的同时,时刻掌握全网用户行为动态。3.1方案部署如下图,行为感知分析系统部署在服务器区,其数据来源主要是上网行为管理、天擎和通过syslog标准接口发送的其他第三方系统数据:上网行为管理数据:在网络边界采集各类网络数据,比如网站访问、搜索、应用、邮件、IM聊天等行为日志;天擎终端数据:在终端上采集的数据主要包括USB文件操作、网络文件共享、文件剪切复制等操作审计数据;第三方数据源:视具体的业务场景而定,比如校园网认证计费系统、图第2页

书馆系统、一卡通系统及学籍管理系统等。3.2高性能数据存储与查询统计行为感知分析系统支持接入上网行为管理、天擎以及来自第三方数据源的海量数据。尤其是在分支机构比较多的场景中,比如在全国部署了上千台设备,这些设备产生的日志都被统一汇总到一套行为感知分析系统系统进行集中关联分析。这就给数据处理提出了巨大的挑战,行为感知分析系统采用大数据技术,通过基础搜索APP中可以轻松实现亿级数据的秒级查询,性能非常高,帮助客户满足大日志量场景下的存储、查询等管理合规性要求。同时,行为感知分析系统支持按需扩展硬件资源,在带宽增长、接入设备数量增加等导致日志量增加时,提供高性能的数据存储与查询统计能力。第3页

3.3上网行为风险感知行为感知分析系统基于APP应用商店的模块化设计,每个APP对应一类行为风险分析场景,同时APP可实现灵活、便捷的分析能力按需扩充。第4页

全网上网态势分析大屏全网上网态势分析大屏主要面向全国有多个分支并且每个分支都部署了上网行为管理设备的大中型企业。从大屏的首页中可以清晰看到各个分支设备的运行情况和人员上网的基本情况,包括地理位置、在线状态、异常报警,以及所有设备汇总的应用流量排名、网站分类访问排名、整体流速趋势和超过流量阈值的带宽重点事件。除了这些汇总信息之外,大屏可从流量监控、行为分析、信息安全等三个方面做进一步钻取,看到各个分支的具体分布情况。比如应用流量排名第一是优酷视频,可以钻取看到具体是哪些分支机构产生了较多的优酷流量。另外,还可以按照不同分支机构展示该分支的基本上网行为和风险情况,比如接入用户数量、不良应用使用人数、私接Wi-Fi人数、使用代理工具人数、被攻击的人数等。第5页

泄密追溯分析互联网是最常见的泄密渠道之一,很多客户发生过互联网泄密事件。比如某大型车企的核心部件制造图纸通过邮件泄露给竞争对手,某电商的“双十一”核心促销计划通过网盘外泄等等;这些都是内部用户主动泄密的事件。现在SaaS应用越来越多,这大大增加了员工非主观泄密的可能性。因此,在泄密追溯分析APP中,除了提供传统的邮件及附件、IM传文件、FTP传文件等文件内容的追溯检索之外,还列举了网盘、TeamViewer、向日葵远控等数据外发高风险和网络暴露高风险应用的流量和使用人数分布,便于管理者掌握可能的泄密渠道。第6页

带宽分析在多分支的大中型企业场景里,总部IT管理员会比较关心各分支的互联网带宽使用情况。带宽分析APP展示了每个分支机构的互联网带宽使用情况,重点呈现了带宽的超负荷使用、带宽占用最多的应用、带宽占用最多的用户等信息。根据这些信息,IT管理员可以决策是否应该进行带宽扩容,或者是应该对流控策略进行调整。比如,如果一个分支的带宽使用连续数月超负荷,但是其应用组成都是工作需要的邮件、CRM、OA等流量,则该分支应该考虑进行带宽扩容;但如果一个分支的高排名应用是视频、P2P下载,那么应该执行更严格的流控策略。此外,IT管理员可以根据每个企业的实际情况,自行定义带宽“超负荷”的条件及阈值。比如,某个分支带宽是100Mbps,IT管理员可以定义一周之内有3天时间,每天的带宽使用率超过80%的总时长累计超过300分钟,出现这种情况就认为是带宽超负。这些判定逻辑和具体阈值都是管理员可以灵活定义的。第7页

第8页

员工效率海量的上网行为数据在一定程度上反映了员工行为的主观意愿,比如游戏和在线视频,员工长时间使用这些应用,工作效率肯定不高。在员工效率APP中,管理员根据实际业务情况预先定义好“工作无关应用”,如游戏、在线视频、网络购物等;APP将基于应用活动日志对用户各类应用的使用时长、频率、时间点等进行统计,并根据该用户“工作无关应用”与全部应用之间的比例关系,分布情况等,计算判定用户是否存在低工作效率情况。结合企业的组织架构信息,APP会最终给出企业的怠工人数、部门分布、时间趋势、怠工严重员工名单等信息。第9页

离职分析当员工有离职倾向时,从其互联网行为中可能能够提前发现迹象。比如经常流量招聘网站,并上传简历等等。离职分析APP分析员工在求职招聘类网站中的各类行为,包括访问招聘网站、站内搜索职位、简历投递、站内职位申请等。通过对这些行为日志的关联分析,行为感知分析系统能够有效发现离职风险较高的员工,以及对应的部门分布。第10页

高校上网态势分析大屏高校上网态势分析大屏综合校园内各类高发异常事件的发生频次,通过特定算法形成校园综合风险指数,直观展示校园网行为风险态势。这些异常事件分为五类。首先是网贷高风险,高校学生是网贷行为的主力军,一旦开始借贷,后果通常比较严重。通过采集和分析学生在互联网上和网贷相关的行为数据,比如与网贷平台相关的频繁搜索行为、多个网贷APP同时使用、频繁切换使用的行为等,定位网贷行为高风险学生。其次是学生里比较普遍的游戏和视频沉迷,与员工效率类似,通过采集学生使用网络游戏和观看在线视频的应用时长、频次、时间分布等行为特征,定位沉迷网络的学生。一卡通消费异常APP,主要是通过对校园一卡通消费行为数据的分析,帮助学校及时发现潜在贫困学生。图书馆下载异常APP主要面向时有发生的图书馆电子资源恶意违规下载难题,通过对校园网出口电子资源下载数据的采集和分析,发现异常行为和用户,帮助学校实现网络资源的科学、有效管理。第11页

网贷分析高校学生是网贷行为的主力军,一旦开始借贷,后果通常比较严重。通过采集和分析学生在互联网上和网贷相关的行为数据,比如搜索多个网贷平台、在多个网贷APP内频繁操作等,定位网贷行为高风险的学生和风险不高但是已经开始关注网贷的学生,便于学校及时发现并及早介入,避免意外事件发生。第12页

一卡通分析一卡通分析APP通过,将从校园一卡通系统导入的学生消费行为数据与学生上网行为数据相关联。并从这些数据中,统计分析出学生的消费行为轨迹,来帮助学校发现经济困难学生。比如,某个学生几乎每顿饭都在学校食堂消费,但他的平均每日消费金额显著低于平均值,同时在他的上网行为数据中关联到大量的兼职信息搜索等,这都可能预示着这个学生面临着经济困难。第13页

图书馆资源优化很多高校都花费巨资购买很多国内外的图书电子资源的使用账号,并分发给第14页

老师和同学,但在这些资源的使用过程中有两个常见问题,一是有学生使用免费账号大量下载论文并倒卖获利,如果资源方发现,会禁用这些账号;另一个问题是学校不知道买的这些电子资源的使用情况,哪些资源师生用得多以后应该继续续费,哪些用得少到期后就不应再续费了。图书馆资源优化APP通过对校园网出口的电子资源下载数据的采集和分析,第一能够发现异常下载的行为和对应的学生账号,维护学校权益;第二可以清楚的看到热门和闲置的电子资源排行,为后续的采购决策提供数据支撑。第15页

沉迷网络高校中普遍存在的学生沉迷网络现象,一直是学生管理工作中的一大难题。特别是对于刚刚入学的大一新生,刚刚不如一个全新的学习环境,长时间的玩游戏和看视频,影响学业甚至有害身体健康。行为感知分析系统通过对学生使用网络游戏和观看在线视频等应用的时长、频次、时间分布,定位沉迷网络的学生。第16页

用户分析内部人员的异常行为将给组织带来更多、更不可测的风险。用户分析APP就是以用户为核心,将与用户相关的各类日志关联起来,集成行为威胁情报,对其进行画像;并最终以用户视角,从风险等级、部门分布、重点用户等方面,多角度展示画像结果。包括,用户的风险等级、风险趋势、具体的风险事件分布等信息。第17页

内部风险感知内部风险感知APP是一个对上网行为数据和天擎数据进行深度加工分析的工具。可以由专人负责,持续运营。这个APP可以针对每一类数据的每个字段,设置基于该字段的分析运算符。比如针对文本字段,可以设置等于/不等于、模糊匹配、属于/不属于、关键词在单位全局首次出现、关键词针对该员工首次出现、发生变化,等多种筛选条件;另外针对同一个文本字段,还可以叠加日志发生频率的筛选条件。第18页

4方案的优势亮点4.1丰富多样的数据样本行为感知分析系统深度支持奇安信上网行为管理、天擎等产品的网络边界数据、终端数据,同时,根据分析场景需要,可对接各类第三方数据,如校园一卡通数据、图书馆电子资源访问数据等。基于这些数据提供丰富的行为风险分析应第19页

用。4.2基于威胁情报的风险发现能力行为感知分析系统充分集成奇安信大数据威胁情报能力,提供包括高风险网站(假冒、钓鱼、挂马等)、病毒木马、风险账号、舆情情报等多种外部情报的关联分析能力,极大地提升早期行为风险预测效果。4.3核心产权的大数据实时关联引擎行为感知分析系统集成奇安信基于大数据系统的实时管理引擎;提供丰富的分析关联能力。支持多种自主关联模型,基于虚拟身份,使用时长,使用频次,变化次数的用户画像,基线建模4.4可持续运营的分析能力依托奇安信海量行为大数据积累,行为风险建模、数据可视化能力、场景分析APP等得以持续演进。5用户的价值提升深入洞悉上网态势多种贴合实际场景的行为感知分析APP;轻松实现对各类风险安全态势的多维度分析,呈现行为数据价值。帮助用户实时动态掌握上网态势,研判用网趋势。及时发现行为风险集成行为威胁情报、行为特征等多种建模手段,配合灵活的规则构建工具,以场景化视角深入挖掘数据价值,有效感知内部风险。有效满足合规要求基于大数据技术架构,实现亿级数据秒级查询、存储空间按需弹性扩容;有效满足上网行为大日志量场景下的存储、查询等管理合规性要求。第20页

6方案的产品配置产品名称上网行为管理系统行为感知分析系统配置数量1-N1产品形态软硬件一体软件部署位置总部和分支互联网出口总部第21页