基于UEBA的網絡安全態勢感知技術現狀及發展分析

◆徐飛

基于UEBA的網絡安全態勢感知技術現狀及發展分析

◆徐飛

（公安部戶政管理研究中心 北京 100070）

近年來，隨著信息技術的快速發展和信息資源重要性的日益凸顯，網絡安全事件的數量與頻率大幅提升，攻擊者組織化、目標定向化、技術多樣化的攻擊行為成為新的趨勢。偏重于外部攻擊全局預警的態勢感知和側重于內部威脅檢測的用戶實體行為分析（User and Entity Behavior Analytics，UEBA）銜接，可以高效解決以人、資產、應用為維度的賬號安全和數據安全問題。本文總結了基于UEBA的網絡安全態勢感知技術現狀，并從大規模異構平臺安全管理角度，對未來的發展方向進行了分析。

網絡安全態勢感知；UEBA；規則匹配；特征分析；機器學習

黨的十八大以來，習近平總書記站在黨和國家的全局高度，就網絡安全和信息化工作提出了一系列新理念新思想新戰略，科學分析了信息化變革給我們帶來的機遇和挑戰，系統闡述了事關網信事業發展的重大理論和實踐問題，明確做出了關于建設網絡強國的戰略部署。近年來，我國網絡安全頂層設計不斷完善，《中華人民共和國網絡安全法》、《中華人民共和國密碼法》、《信息安全技術網絡安全等級保護基本要求》等多項法律法規、配套制度及有關標準陸續發布，政府、金融、公安、電信等行業均以“合規性”為目標，正在大力推進網絡安全建設。

隨著區塊鏈、人工智能、5G、IPv6等新技術快速發展、逐步應用，以高級持續性威脅（Advanced Persistent Threat，APT）、高危零日漏洞利用（0-day）等為代表的新一代攻擊滲透技術日新月異；同時，攻擊者除了通過技術手段進行“正面”突破外，還會著重搜集人員和管理上的漏洞，從社會工程學角度嘗試“繞行”。故此，基于規則匹配和特征分析等被動防御技術構建的傳統安全防護體系（如防火墻、入侵檢測系統、反病毒軟件等）已明顯存在不足，亟需提升風險排查、威脅預警、溯源取證、應急處置等主動防御能力。

1 網絡安全態勢感知

網絡態勢是指由各種網絡設備的運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡的當前狀態和變化趨勢[1]。網絡安全態勢感知是指在大規模網絡環境中，對能夠引起網絡態勢變化的安全要素進行獲取、理解、顯示以及未來趨勢預測[2]。態勢感知最初用于安全態勢可衡量、安全指標KPI（Key Performance Indicator）考核，通過安全評估、漏洞等級、安全基線、資產賦值等關鍵點進行評分，根據地域、資產、風險、業務系統等不同維度進行安全態勢展示。

2016年4月19日，習近平總書記在網絡安全和信息化工作座談會上明確指出“全天候全方位感知網絡安全態勢”。這個要求恰恰對態勢感知的建設目標做出了準確描述：“全天候”是時間緯度，貫穿過去、現在和未來；“全方位”是內容維度，要求檢測分析分析的對象覆蓋面廣（至少包括網絡流量、終端行為、內容載荷三個方面）、有深度。通過多源異構網絡安全數據和事件的獲取、理解、分析和評判，客觀反映網絡中發生的攻防行為，從時間和空間兩個維度，從OSI（開放式系統互聯通信參考模型）1~7層整體角度從更高層次直觀、動態、全面、準確、細粒度地感知各類網絡攻擊行為，進而提升主動防御能力，這正是態勢感知的意義所在[3]。

目前，國內主流的態勢感知產品或解決方案從技術實現上看可大體分為基于流量的態勢感知、基于SIEM（Security Information Event Management，安全日志事件管理）的態勢感知、基于產品集成的態勢感知等3種類型。

表1 國內主流態勢感知產品或解決方案對比

與忽視采集分析安全監測數據且不主動掌握安全狀況的早期網絡安全運營模式相比較，通過建設與態勢感知相關的系統平臺，加強對安全數據的統計匯總和對安全狀況信息的主動展示，確實具有較大的積極意義，并且也確實能夠揭示一些中長期存在的安全問題，并推動展開優化調整安全策略等解決措施。但這種依賴“監測事件匯聚+大屏展示”的建設導向，即展現宏觀的整體安全狀態并羅列微觀的安全事件信息，缺乏在中觀層面對安全信息進行結構化組織與聚合呈現的能力，通常存在“有態無勢”“感而不知”“感而不為”等問題[4]。針對復雜多變的敵情，網絡安全態勢感知亟需由面向掌握宏觀態勢和安全策略調整的“監測型”向注重高水平威脅對抗和響應行動的“戰術型”轉變。

2 基于UEBA的網絡安全態勢感知技術現狀

UEBA前身是UBA（User Behavior Analytics，用戶行為分析），最早用于購物網站上，通過收集用戶搜索關鍵字，實現用戶標簽畫像，并預測用戶購買習慣，推送用戶感興趣的商品。這項技術很快就被應用到網絡安全領域，通過建立用戶行為基線、進行狀態跟蹤，在此基礎上增加對設備和應用的納管，監測用戶的同時，將與用戶互動的資源放到同樣重要的位置。

UEBA相較于傳統的SOC/SIEM（Security Operations Center/Security Information Event Management，安全運營中心/安全日志事件管理），不關心各種海量告警、不聚焦某條高級事件，而是對“異常用戶”（即特權賬號被盜用）和“用戶異?！保春戏ǖ娜俗霾缓戏ǖ氖拢┬袨榫邆涓呙新剩巩惓Ｊ录母婢蠘I務場景。以設備重啟為例，SOC/SIEM會認定為高等級的安全事件并告警，而在UEBA的理解中，先判斷重啟的用戶是誰？此用戶在過去的一年內每月固定時間是否都有類似的行為？如果都有，即可不發送告警，僅作記錄，誤報率大幅降低。安全運營人員有更多的精力去關心真正的安全事件，內部威脅特別是數據泄密在實踐中被有效發現。

UEBA側重于內部威脅檢測，態勢感知強調的是全局預警，兩者有效銜接，可以解決以人、資產、應用為維度的賬號安全和數據安全問題。除了考慮網絡側的安全問題，尤其要重視業務側面臨安全威脅的特點，即用戶行為是符合訪問控制規則的，相關操作都不帶有如SQL注入、跨站腳本攻擊（XSS）等明顯的攻擊特征，且存在“低頻長周期”的情況，這對基于UEBA的網絡安全態勢感知關鍵技術提出了更高的要求。從數據收集到最終決策，基于UEBA的網絡安全態勢感知包括數據采集、用戶畫像、判別規則生成和多規則的聯合決策等主要功能。

隨著科技的進步，自動化生產線在現代工業生產中扮演了越來越重要的角色。本文設計的機電一體化柔性制造實訓系統模擬了現代工業產品的自動化生產過程，演示了從原材料出庫、經歷多道生產工序成為成品入庫的整個流程，融合了PLC控制技術、氣動驅動技術、電氣控制技術、傳感器檢測技術、工業機器人、數控機床以及網絡總線等多方面自動控制技術，展現了現代工業的生產控制模式，為學習者掌握自動化生產線提供了良好的平臺[1]。

2.1 多源異構數據采集

多源數據異構性是指生成數據的設備和系統之間以及數據類型本身之間的差異[5]。傳統SOC/SIEM的數據采集，需要各種日志規格化入庫，即每接入不同類型的設備日志時定制syslog的格式，故難以快速實施。以事件等級字段為例，有的安全設備使用標準syslog且定義清晰（0-7），而有的采用私有syslog，定義并不清晰，讀懂高等級的日志可能需要廠商的配合。“易采集”的基本要求在于能夠快速采集到結構化、非結構化日志，使用全文分布式索引，支持數據格式的動態解析、實時流式分析，實現百度式快速檢索，提供通用的API接口等。同時，數據源除了網絡流量、安全設備告警、應用系統日志和威脅情報之外，還更關注用戶視角，接入門禁刷臉日志（第二代居民身份證識別記錄）、VPN日志、HR日志（入職、離職、崗位變動等信息）、OA日志、工單日志等場景數據。

2.2 上下文感知與用戶畫像

上下文感知就是系統通過自動收集和分析用戶的信息，利用上下文信息智能判斷用戶行為并提供高效率的信息交互，從而實現對用戶服務的人性化。上下文感知集中體現了普適計算中以人為服務中心的理念[6]。舉例來說，當智能手機的傳感器收集到足夠的信息（日歷、位置、郵件、提醒等），處理器通過對信息融合、建模、推理等方法，判斷使用者正在會議室開會，自動設置為震動模式，非重要的電話可選擇自動語音留言或拒絕接聽。

當上下感知應用在基于UEBA的網絡安全態勢感知時，通過分析用戶是否在常用地點（IP地址）、常用時間（工作時間、非工作時間）登錄，從而智能判斷是否觸發相關告警，這區別于傳統的防護策略，即常用地址、常用時間都是基于歷史基線建模分析得出，而非配置的。

用戶畫像，即用戶信息的標簽化，是通過收集與分析消費者社會屬性、行為習慣等主要信息后，抽取用戶信息并進行標簽化和結構化處理，完美地抽象出一個用戶的全貌。用戶畫像是一個或一類真實用戶的虛擬抽象，是基于一系列實際數據的虛擬用戶模型[7]。用戶畫像技術的關鍵是標簽系統的設計與構建，標簽分為兩類，一是基礎數據（包括年齡、地區、性別、職業等信息），二是通過基礎數據分析而來的高度提煉的特征標識。

在基于UEBA的網絡安全態勢感知中，使用同類用戶橫比和歷史基線環比的方法來發現異常、定義標簽并對權重進行賦值，根據分值來展現高風險前幾類人群供安全運營人員來決策。

表2 用戶畫像標簽示例

2.3 規則匹配融合機器學習

傳統的基于規則匹配的分析技術從多個數據源收集日志，采用由安全專家預先創建的關聯規則來實時執行，其能力局限于與系統或應用程序相關的網絡信息的聯系，如基于源IP和目的IP關系的分析。

隨著內部威脅的增加，尤其是人的行為在動態變化時，由安全專家手動定義的規則不再具有適用性，使用傳統的方法檢測惡意用戶行為變得非常困難。例如分析特定賬戶傳輸的數據量時，規則通常定義“閾值”大小以確定可疑活動，但在實際場景中閾值取決于不同的用戶類型（某業務確需傳輸大量數據）、傳輸的時間和頻率（單次大量數據傳輸或多次長周期少量數據傳輸），靜態規則無法解決這種復雜情況。

基于自學習的關聯分析被稱為機器學習，通過學習用戶和資產行為，從個例數據中進行抽象、發現個例背后的規律，對重大偏差產生告警，對規則進行修正，從而對安全事件的發現和預測起指導作用。機器學習包括以下幾個方面的功能：

（1）形成統計模型：根據模型設定，統計每個指標的歷史情況，根據時間維度、資產維度等生成統計模型；

（2）檢測異常點：基于統計模型，在學習過程中實時檢測數據和模型匹配情況，識別出異常數據；

（3）預測行為趨勢：根據已有模型以及一定算法，預測未來一段時間內統計對象的發展趨勢，以對未來的運營做出分析和提出指導意見。

表3 基于規則匹配和機器學習的分析方法對比

就現階段技術趨勢來看，基于機器學習的高級分析方法和基于規則匹配的傳統分析技術正在融合，越來越多的基于大數據的安全廠商正在引入UEBA高級分析模塊，而基于UEBA的廠商也正在豐富自己的大數據分析平臺的建設能力。

2.4 多維度行為分析決策

長期以來，安全設備內置的威脅檢測技術如數據防泄露（Data leakage prevention，DLP）、端點保護平臺（Endpoint Protection Platform，EPP）、上網行為管理等多是以特征匹配為手段，即使后來出現的沙箱檢測技術，也主要是依賴于專家經驗提取已知病毒與攻擊的行為特征進行分析，不能適應新類型的威脅或系統行為，對一些高級的未知威脅檢測效果更是有限。例如DLP以關鍵字或模式匹配來識別敏感數據的流向、上網行為管理以是否訪問招聘網站或者競爭對手網站來判斷員工是否具有離職傾向，但其只關注數據內容、缺乏情景分析，由于觀察維度單一導致誤報太多，很難真正意義上作為安全分析的決策依據。

基于UEBA的網絡安全態勢感知則增加了對人員或實體多維度行為的關聯分析，從而更準確地定位異常。以病毒檢測場景為例，EPP基于已知病毒文件的特征值匹配來查找病毒感染文件，但只要出現任何形式的病毒變種，哪怕是同一個病毒家族的變種，靜態的特征值匹配的技術會失效；而終端檢測和響應技術（Endpoint Detection & Response，EDR）作為補充和升級，通過對終端上的文件執行和修改、注冊表更改、網絡連接、可執行程序的運行等行為的實時監控，查找異常或進一步的取證分析，即使遇到病毒變種的情況，因為其相似的行為，也能最終檢測出變種，基于終端行為的威脅檢測范圍更大，覆蓋效果更加明顯。

3 基于UEBA的網絡安全態勢感知技術發展分析

回顧近年來網絡安全態勢感知的發展，無論是傳統安全廠商還是新興創業公司，先期的注意力主要是集中在對未知威脅的檢測領域，借助相關產品和技術，用戶獲得了更低的MTTI（平均檢測時間），更快、更準確地檢測出攻擊和入侵，但這些產品和技術大都沒有幫助用戶降低MTTR（平均響應時間）。

以筆者參與建設、運維的支撐平臺為例，服務器、網絡和安全等各類設備近500臺（套），承載的應用系統50余個且類型多樣（包括信息查詢類的頁面和接口、視頻結構化、人像比對、數據抽取同步等）、部署架構不一（包括物理機、虛擬機、云平臺、大數據平臺等），受攻擊面大、薄弱環節多。同時，參與項目建設、運維的外部人員（包括應用研發單位、系統集成單位、廠商等）較多，安全技術、意識不高，存在一定的失泄密風險。面對如此大規模的異構平臺安全管理工作，檢測出問題僅是第一步，對問題進行響應則更加重要，即考慮全網整體安全運維，需要將分散的檢測能力與響應機制整合起來。

3.1 基于搜索的可視化溯源

網絡安全態勢可視化的目的是生成網絡安全綜合態勢圖，使網絡安全態勢感知系統的分析處理數據可視化、態勢可視化。網絡安全態勢可視化是一個層層遞進的過程，包括數據轉化、圖像映射、視圖變換3個部分。數據轉化是把分析處理后的數據映射為數據表，將數據的相關性以關系表的形式存儲；圖像映射是把數據表轉換為對應圖像的結構和圖像屬性；視圖變換是通過坐標位置、縮放比例、圖形著色等方面來創建視圖，并可通過調控參數，完成對視圖變換的控制[8]。目前，絕大多數安全廠商的相關產品界面已非常絢麗，可以將原本碎片化的威脅告警、異常行為告警、資產管理信息等數據結構化，形成3D圖表、雷達圖、拓撲圖、熱度圖等多種樣式。

但安全威脅特別是數據泄漏類安全事件的最終確認、全方位的風險評估以及溯源分析還是要透過對原始日志、事件的分析判定，因此對海量日志、事件的搜索能力以及將搜索的結果轉化成圖表/儀表盤的能力非常關鍵。

通過強大的圖形分析、內置的基于時間軸的異常人員或實體的行為圖譜、異常行為的可視化標示，對安全事件全過程還原，呈現出完整的攻擊鏈條，覆蓋攻擊的源頭、手段、目標、范圍等相關信息。對安全運營人員來說，這將極大簡化工作量，提高應對各類威脅的技術門檻，豐富有效面對新增威脅的技術手段。

3.2 基于SOAR的聯動處置

2017年，Gartner提出了安全編排自動化響應（Security Orchestration Automation and Response，SOAR）概念，其定義為“幫助企業和組織收集安全運維團隊監控到的各種信息（包括各種安全系統產生的告警），并對這些信息進行事件分析和告警分診。然后，在標準工作流程的指引下，利用人機結合的方式幫助安全運維人員定義、排序和驅動標準化的事件響應活動”。

為了提高平均響應時間，基于UEBA的網絡安全態勢感知還需要利用SOAR思想進行聯動安全防護。發現疑似安全事件時，實現強制切斷連接、病毒消殺、安裝漏洞補丁等處置措施，其技術難點在于對不同廠商安全防護設備的兼容。以最有效、最常見安全防護設備防火墻為例，主流廠商包括華為、新華三、深信服、網御星云、Cisco、Juniper等，遠程管理接口類型不同（Telnet、SSH、SNMP、HTTP/HTTPS等），ACL（訪問控制列表）的命令集也都不一樣，需要定制開發才能下發策略。

因此，基于SOAR的聯動處置應包括以下幾個步驟：

（1）編排策略的預設條件：針對不同資產、事件級別、事件類型來選擇聯動范圍；

（2）設置編排策略的響應手段：針對不同場景、事件級別的安全事件，選擇不同的響應手段，一旦事件被觸發，則自動執行相應的編排策略；

（3）設置編排策略的執行對象：針對不同響應手段，選擇不同的聯動設備，同時還可以選擇策略生效時間段。

4 結束語

時至今日，通過不斷夯實網絡安全防護堡壘，加強業務系統健壯性，力求抵御黑客一波又一波的攻擊，基于UEBA的網絡安全態勢感知因其具備多種關鍵技術能力成為了高效的主動防御手段，實現了對網絡安全事件的事后、事中、事前管控。從實際出發，技術最終是被人使用，因此還需要通過加強安全意識培訓、組建安全運營團隊、完善安全管理制度、構建安全閉環流程等方式方法，才能有效降低網絡安全風險。

[1]韓偉紅，隋品波，賈焰.大規模網絡安全態勢分析與預測系統YHSAS[J]. 信息網絡安全，2012（8）：11-14.

[2]管磊，胡光俊，王專.基于大數據的網絡安全態勢感知技術研究 [J]. 信息網絡安全，2016（9）：46-50.

[3]杜嘉薇，周穎，郭榮華，索國偉.網絡安全態勢感知：提取、理解和預測 [M].北京：機械工業出版社，2018.

[4]Alexander Kott，等.網絡空間安全防御與態勢感知 [M].黃晟等譯.北京：機械工業出版社，2018.

[5]蘇小玉，徐奎奎.網絡安全態勢感知中數據融合算法應用描述[J]. 河北省科學院學報，2020（6）：37-44.

[6]張樂媛.基于上下文感知的網絡用戶行為分析[D].[碩士學位論文].北京：北京郵電大學，2010.

[7]趙剛，姚興仁.基于用戶畫像的異常行為檢測模型[J]. 信息網絡安全，2017（7）：18-24.

[8]陶源，黃濤，張墨涵，等.網絡安全態勢感知關鍵技術研究及發展趨勢分析[J].信息網絡安全，2018（8）：79-85.