基于行為分析的內網數據防泄露場景研究與技術實現*

劉 慧，李 軍，劉鑒竹

（中電科網絡安全科技股份有限公司，四川 成都 610095）

0 引言

IBM 安全團隊于2023 年7 月發布的Cost of Data Breach Report顯示，2023 年全球數據泄露的平均成本達到445 萬美元，創該報告有史以來最高紀錄，也較過去3 年均值增長了15%[1]。同月，著名咨詢機構Verizon 發布了《2023 年數據泄露報告》，該報告對2022 年一年發生的16 312 起安全事件和5 199 起數據泄露事件進行了分析。報告顯示，人是數據泄露事件的關鍵因素，安全事件涉及人為因素的占比為74%，包括人為錯誤、濫用職權、使用被盜憑證，以及社會工程學攻擊，而人在安全事件中始終扮演著非常重要的角色[2]。在所有這些泄密事件中，內部威脅（即來自公司內部員工的威脅）在數據泄露事件中占據了較大的比例。

近年來，內網數據泄露案例層出不窮[3]，例如2018 年7 月，某市保密局在工作中發現，該市科技局辦公室副主任孫某使用的非涉密計算機中存儲、處理涉密文件資料，共收集了包括1 份機密級、7 份秘密級在內的1 100 多份發改領域文件資料，孫某使用移動硬盤將部分數據導出至其在科技局的辦公電腦，直至案發[4]；2021 年5 月，某單位收到上級下發的秘密級工作方案，要求逐級參照制定，該單位業務部門負責人王某安排工作人員趙某負責起草方案，趙某“依葫蘆畫瓢”擬好初稿，便草草提交到單位內網的非涉密電子公文系統，王某審閱文稿時，未發現定密疏漏，該單位的下屬單位均據此方案制文，通過該系統層層轉發，造成泄密[5]。

本文對企事業單位內部網絡數據防泄露問題展開了深入的研究。從內網數據生命周期的角度梳理出數據泄露的場景，并提出了基于分析規則的流式實時分析和基于AI 檢測的離線行為建模分析兩種技術實現方法。

1 研究現狀

隨著數據泄露問題日益嚴重，已經有許多研究和實踐工作致力于開發數據防泄露解決方案。目前，數據防泄露的技術路線主要包括數據加密技術、權限管控技術和基于內容深度識別的通道防護技術，然而這些方法存在一些問題[6]。

數據加密技術是過去十年國內數據泄露防護的重要技術之一，它涵蓋了磁盤加密、文件加密和透明文檔加解密等技術路線。加密技術可以從數據泄露的源頭保護數據，在數據離開企業內部后仍能起到防止數據泄露的作用。然而，加密技術的密鑰管理非常復雜，一旦密鑰丟失或加密后的數據損壞，將導致原始數據無法恢復。

權限管控技術通過設置特定的安全策略，在敏感數據文件生成、存儲和傳輸時實現自動化保護。它還通過條件訪問控制策略防止敏感數據非法復制、泄露和擴散等操作。權限管理策略與業務流程有密切關聯，對用戶現有的業務流程可能產生影響。

基于內容深度識別的通道防護技術以深度內容識別為核心，根據敏感數據內容策略定義，監控數據的外傳通道，并對敏感數據的外泄進行審計或控制。然而，在一些內網環境中，由于政策法規要求及商業利益保護等原因，通常不允許外部程序直接提取文件的內容信息，因此該技術在某些內網中的應用受到限制。

使用以上技術的傳統數據防泄露產品主要側重于靜態的數據保護，往往忽視了用戶行為導致的數據泄露場景，無法對內網用戶的行為進行全面監測和分析，也無法有效識別和防止用戶通過合法但有潛在風險的行為泄露數據，內網數據泄露的挑戰亟待解決。因此，需要一種新的數據防泄露機制來應對當前和未來的數據安全風險。

本文提出的基于行為分析的內網數據防泄露方法彌補了傳統方法的不足，具有很大的優勢和潛力。該方法能夠關注用戶的行為特征和動態變化，充分考慮用戶在內網中可能導致數據泄露的行為場景。通過檢測場景，分析和識別數據泄露風險，能有效監測內網數據泄露事件。

2 內部網絡特點分析

內部網絡（簡稱內網）是采用Internet 技術，在政府機構、企事業單位內部建立的專用網絡。它是日常辦公和科研生產的重要網絡，用于組織內部的數據交流和共享。內網數據通常包含組織的核心機密、財務報表、技術設計等高價值信息。這些數據一旦泄露會對組織甚至國家造成巨大損失，因此內部網絡往往與國際互聯網進行物理隔離或高強度邏輯隔離。

當前，大多數內部網絡嚴格遵循等級保護的要求，實施了較為完善的防護措施[7]，但內網數據泄露風險仍然存在，數據泄露事件時有發生。這些防護措施能夠為數據泄露場景的研究提供條件，例如：依據組織內部情況或者相關法律法規對數據進行分類分級，控制數據的外發途徑，限定數據內部的流轉方式，建立安全審計機制等。對數據進行分類分級可以更準確地確定數據泄露的風險區域，挖掘基于分級數據的泄露場景；控制數據的外發途徑，以及限定數據內部的流轉方式，使得數據只能通過有限的、可控的途徑外發或在網絡內部流轉，可以較為清晰地梳理出在數據外發和流轉過程中潛在的泄露場景；建立安全審計機制，可以記錄用戶的操作日志、數據傳輸日志、網絡訪問日志等，這些日志可以被收集和分析，為數據泄露場景的分析提供基礎數據源。

因此，基于內網的以上特點，可以依據內網數據分類分級情況、數據外發途徑、數據流動方式、用戶操作行為等梳理數據泄露場景。

3 泄露場景梳理

內網數據泄露的途徑多種多樣，其中包括數據分級分類不準確導致被錯誤分發，弱密碼或暴力破解工具獲取登錄憑證訪問敏感數據，內部人員利用其內部訪問權限故意竊取數據等，這些方式都與人的因素密不可分。

從內網數據生成、數據存儲、數據訪問、數據流轉、數據外發、數據備份、數據銷毀7 個階段的生命周期出發，結合內網數據泄露的途徑，可以全面了解數據在整個生命周期中可能面臨的風險，梳理出如下數據泄露的場景，如圖1 所示。

圖1 數據泄露場景列表

以下場景中提及了兩種數據泄露的對象，分別為敏感信息和商密文件。敏感信息指的是那些可能對個人、組織或業務造成損害或泄露的信息。這些信息可能包含個人身份信息、專利、客戶數據、財務數據等。商密文件在本文中特指采用了密級標識技術，通過標識來表示保密等級的文件，例如核心商密等級、普通商密等級、非密等級。通過文件的密級標識可以進行適當的訪問控制和保護措施。敏感信息包含了商密文件，但不僅限于商密文件。

3.1 數據生成

數據生成階段指的是數據的初始產生過程，包括用戶各種形式的數據輸入、記錄、生成等活動。在這個階段，數據可能因人為錯誤導致敏感信息被錯誤地記錄或公開。

場景舉例說明：商密文件預定的密級標識不正確，如將核心商密錯誤地標注為普通商密文件。這種情況會錯誤地設置該文件的訪問權限，導致非授權人員可以獲取到該文件的內容，引發數據泄露。通過結合文件創建操作日志、定密輔助系統日志進行關聯分析可檢測該場景。

針對該階段梳理出的場景包括商密文件預定的密級標識不正確、敏感信息分級分類不正確。

3.2 數據存儲

數據存儲階段指的是用戶將數據保存在各種存儲設備或存儲介質中，以便后續使用和訪問。在這個階段，內網中未設置存儲設備的訪問控制策略或者訪問控制策略失效都會導致數據泄露。

場景舉例說明：重要商密文件存儲在非授權計算機的存儲設備上，例如核心商密文件存儲在未授權存儲該保密等級的非密計算機存儲設備上。由于非授權計算機沒有適當的訪問控制機制和物理安全措施，可能會導致非授權人員可以輕易訪問或者設備被攻擊而引發數據泄露。通過文件監控審計日志結合資產臺賬中該資產的保密等級信息，可檢測該場景。

針對該階段梳理出的場景包括：重要商密文件存儲在非授權計算機的存儲設備上，存儲有敏感信息的存儲設備或介質丟失。

3.3 數據訪問

數據訪問階段指的是獲取和查看存儲在內網中的數據的行為，包括本地文件訪問、應用系統訪問、數據庫訪問。

3.3.1 本地文件訪問

如果用戶在本地訪問文件時，權限分配不當或者用戶訪問時通過截屏等方式故意泄密等情況都有可能發生數據泄露。

場景舉例說明：用戶訪問不符合自身保密等級的商密文件。這種情況存在內部濫用數據的風險，也可能成為攻擊者的目標，攻擊者通過社交工程、惡意軟件或其他方式獲取用戶的登錄憑證，導致數據泄露。通過文件監控審計日志結合用戶臺賬中用戶的保密等級信息可檢測該場景。

針對數據訪問階段中本地文件訪問梳理出的場景包括：用戶訪問不符合自身保密等級的商密文件，用戶訪問知悉范圍以外的敏感信息，用戶查看敏感信息時使用手機拍照或錄像，偏離個人基線的敏感信息訪問，偏離群體基線的敏感信息訪問，用戶違規篡改/破壞商密文件密級標識，用戶違規篡改/破壞商密文件內容，違反訪問策略的敏感信息訪問，用戶查看敏感信息時截屏。

3.3.2 應用系統訪問

用戶對應用系統的惡意使用和非授權使用可能會導致數據泄露。

場景舉例說明：偏離個人基線的敏感信息下載。當用戶或員工的下載行為偏離其個人的正常行為模式時，如突發大規模地下載敏感文件，超出了其日常工作或需求的范圍，這可能意味著用戶正在進行大量數據的拷貝、備份或轉移，增加了數據泄露的風險。通過創建個人下載敏感文件的基線，比對當前下載行為是否偏離基線的方式可檢測該場景。

針對數據訪問階段中應用系統訪問梳理出的場景包括：用戶超授權范圍訪問重要應用系統、偏離個人基線的敏感信息下載（頻次/數量）、偏離群體基線的敏感信息下載（頻次/數量）、非法設備接入網絡之后下載敏感信息、重要應用系統編程接口（Application Programming Interface，API）訪問異常（時段/次數）。

3.3.3 數據庫訪問

數據庫的訪問控制策略不完善或已失效可能導致數據庫的敏感信息泄露。

場景舉例說明：普通用戶直接訪問重要應用系統數據庫。重要應用系統往往會有嚴格的訪問控制機制，普通用戶通常不具備直接訪問數據庫的權限。但如果用戶通過一些技術手段，如利用漏洞或采用非授權的賬戶登錄，繞過訪問控制，直接訪問數據庫，就有可能導致數據泄露。利用數據庫操作審計日志，結合用戶臺賬信息關聯分析可檢測該場景。

針對數據訪問階段中數據庫訪問梳理出的場景包括：重要應用系統數據庫訪問控制違規，重要應用系統數據庫訪問偏離基線（周期、時序、動作、時長、頻次），普通用戶直接訪問重要應用系統數據庫。

3.4 數據流轉

數據流轉階段指的是數據在內部網絡進行傳輸和流動的過程。相比外網，內網中的數據流轉手段和方式較少，限制更嚴格，通過專用的內部流轉程序和系統完成，例如基于身份認證的郵件系統、電子公文交換系統。這類系統雖然有權限和訪問控制策略，但有時也會出現由于人為疏忽未建立合適的訪問控制策略或者訪問控制策略失效的情況。

場景舉例說明：商密文件向非授權人員流轉，指的是標識了保密等級的商密文件向不符合該密級訪問權限的人員流轉，可能由人為失誤、權限管理不當或惡意行為引發，導致信息泄露。通過郵件收發日志、文件傳輸日志，結合人員臺賬信息，設置匹配規則可檢測該場景。

針對該階段梳理出的場景包括：商密文件向非授權網絡流轉，商密文件向非授權安全域流轉，商密文件向非授權設備流轉，商密文件向非授權人員流轉。

3.5 數據外發

數據外發階段指的是將數據帶出內部網絡的行為。這包括將數據打印、刻錄、復制到可移動介質，通過外接網絡非法傳輸等方式。在這個階段中，人為因素是導致數據泄露的直接原因，可能由于個人動機、疏忽大意或不當操作而發生。針對該階段梳理出的場景包括打印/刻錄帶出、外設帶出、網絡帶出3 類。

3.5.1 打印/刻錄帶出類

場景舉例說明：用戶違規降低商密文件密級后打印/刻錄商密文件，指用戶故意或錯誤地將高保密等級文件的密級降低，并將其打印或刻錄到低密級介質中的行為，例如將核心商密文件的密級修改為非密文件之后打印帶走。通過文件監控審計日志、打印刻錄日志，關聯用戶降密操作和打印刻錄行為進行分析，可檢測出該場景。

針對數據外發階段中打印/刻錄帶出類梳理出的場景包括：用戶違規夾帶打印/刻錄敏感信息，用戶違規降低商密文件密級后打印/刻錄商密文件，用戶多次登錄失敗后成功登錄操作系統（疑似暴力破解）并打印/刻錄敏感信息，偏離個人基線的異常打印/刻錄，偏離群體基線的異常打印/刻錄，用戶非工作時間打印/刻錄敏感信息，用戶使用運維終端大量打印/刻錄敏感信息，已申請離職人員大量打印/刻錄敏感信息，違反安全策略打印/刻錄文件。

3.5.2 外設帶出類

場景舉例說明：違反安全策略插入USB 介質，指的是用戶違反安全規定，將未經審批的USB 設備插入受控環境，可能導致數據泄露和安全風險的發生。通過外設使用日志，以及設置受控設備PID/VID 白名單，可檢測該場景。

針對數據外發階段中外設帶出類梳理出的場景包括：違反安全策略插入USB 介質，用戶多次登錄失敗后成功登錄操作系統（疑似暴力破解）后使用外設拷貝敏感信息，外設使用人不在專用優盤的使用范圍之內，專用優盤拷貝商密文件數量超過閾值。

3.5.3 網絡帶出類

場景舉例說明：違規外聯之后傳輸敏感信息，指的是在未經授權的情況下，通過非安全渠道方式，將內部網絡與外網相連，并將敏感信息傳輸給外部網絡的行為。通過關聯網絡連接審計日志、文件傳輸流量日志可檢測該場景。

針對數據外發階段中網絡帶出類梳理出的場景為違規外聯之后傳輸敏感信息。

3.6 數據備份

數據備份階段指的是為了數據的可恢復性和容災能力而進行的備份操作。數據備份可以保證數據在意外災難或數據丟失時的恢復，如果備份權限失控或者用戶備份行為背離其日常行為軌跡都有可能發生數據泄露。

場景舉例說明：從非應用系統發起的數據庫備份操作異常。正常情況下對數據庫的備份是通過應用系統發起的，如果是非應用系統發起的備份操作，則是管理員周期性的備份行為，存在一定的規律。如果備份操作與歷史基線相比，在時間或頻次等特征上出現了顯著的差異，那么在備份過程中可能會暴露重要數據，造成敏感信息的泄露。通過創建數據庫備份操作的基線，可以檢測當前備份操作是否與基線偏離來檢測該場景。

針對該階段梳理出的場景包括：從非應用系統發起的數據庫備份操作異常，用戶非授權數據備份，用戶備份行為背離其日常行為軌跡。

3.7 數據銷毀

數據銷毀階段指的是在數據不再提供應有的價值時對數據進行永久刪除或銷毀處理，其目的是防止被人非法竊取。在這個階段，敏感存儲設備使用完成后未進行數據抹除或者未按照密級信息處理的要求進行閉環處理等都可能導致數據泄露。

場景舉例說明：銷毀數據檢查不合規，指未能按照規定的安全要求和程序進行數據銷毀的情況。這可能包括錯誤地執行數據銷毀過程，未能驗證銷毀的數據完整性或未能記錄銷毀操作的詳細信息等。這種情況可能導致敏感數據被恢復、重建或未經授權的訪問，從而導致數據泄露和安全風險的增加。通過數據銷毀日志可檢測該場景。

針對該階段梳理出的場景包括：銷毀數據檢查不合規，用戶申請銷毀敏感信息載體長時間未閉環，商密文件保密期限超期長時間未銷毀。

4 技術實現

采用基于分析規則的流式實時分析和基于AI檢測的離線行為建模分析兩種方法對數據泄露場景進行檢測。

基于分析規則的流式實時分析方法適用于實時監測和響應場景，通過定義和應用預先設定的規則來檢測異常行為。這種方法可以快速識別已知的模式和規則，具有實時性高和響應性強的特點。然而，基于規則的方法在應對未知的、新型的行為時可能會有一定的局限性。

而基于AI 檢測的離線行為建模分析方法則可以處理更復雜和隱蔽的異常行為。利用統計學、離線異常檢測等技術，該方法可以通過分析大量的數據和學習正常行為模式來檢測異常。它可以自動識別未知的異常行為，具有較高的準確性和自適應性。但由于需要進行離線訓練和建模，該方法的實時性可能較差，需要周期性地對模型進行更新和調整。

綜合采用這兩種方法可以充分利用它們的實時性和準確性優勢。通過基于分析規則的實時分析及時發現已知的異常行為，以及通過基于AI 檢測的離線行為建模分析處理復雜和未知的行為，提高檢測的準確性和覆蓋范圍，實現全面的場景檢測。

4.1 基于分析規則的流式實時分析

基于分析規則的流式實時分析是通過復雜事件處理引擎（Complex Event Processing）進行規則匹配和響應，識別已知模式的異常行為和違規行為的過程，屬于最經典和傳統的一種關聯分析技術。

本文選用開源Esper 引擎對數據進行處理，Esper 是一種用于復雜事件處理和流分析的引擎[8]，具有可擴展性強，內存效率高，內存計算低延遲、高吞吐、實時流處理的特點。Esper 提供了一種事件處理語言（Event Processing Language，EPL），它是一種用于處理基于時間的高頻事件數據的聲明性語言，可實現和擴展sql 標準，并支持針對事件和時間的豐富表達式[9]，對于大量事件的處理，能夠用最短的時間做出反應，觸發相應的操作，如圖2所示。

圖2 Esper 數據處理流程

下面以多次登錄失敗后成功登錄操作系統（疑似暴力破解）并打印敏感信息的場景為例，介紹利用分析規則檢驗異常的過程，如圖3 所示。

圖3 基于分析規則的檢測

（1）編寫規則。利用EPL 語句編寫事件規則，規則邏輯如下：如果在10 min（可配置）內獲取到連續4 次（可配置）登錄結果為失敗的登錄日志、1 次結果為成功的日志，之后在接下來的10 min（可配置）之內又獲取到在該設備打印敏感信息的打印審計日志，則產生“多次登錄失敗后成功登錄操作系統并打印敏感信息”安全事件。

（2）注冊規則。Esper 引擎在處理數據時依賴EPL 的定義，EPL 解析后會注冊到規則引擎中。對于基于時間窗的規則語句，Esper 會將歷史數據緩存在歷史數據庫中，供引擎處理。

（3）發生登錄及打印行為。用戶發生了登錄及打印行為，由安全登錄系統和打印刻錄監控系統記錄日志。包含登錄時間、登錄/打印IP、登錄動作（登錄、登出）、操作結果（成功、失敗）、文件密級等信息。

（4）獲取日志。采集日志之后經范式化處理獲取到標準的安全登錄日志和打印審計日志，形成實時數據流。

（5）產生事件。實時數據流經過事件流適配器接收后，交由Esper 引擎進行處理，如果命中之前注冊的規則，則處理過后交由輸出適配器發給外部程序。按照事先定義的邏輯，產生對應的安全事件。例如10 min 內發生了4 次登錄失敗之后又登錄成功的行為，緊接著的3 min 內又發生了打印核心商密文件的行為，則命中規則，產生“多次登錄失敗后成功登錄操作系統并打印敏感信息”事件。

4.2 基于AI 檢測的離線行為建模分析

利用基于AI 檢測的離線行為建模分析進行異常檢測的方法分為兩個階段，即AI 行為建模、AI異常行為檢測。

4.2.1 AI 行為建模

AI 行為建模是在用戶存量離線行為數據下的模型訓練，其利用統計學、離群異常檢測等技術，通過對用戶歷史行為數據多視角地自動建模學習，訓練用戶行為模式的模型。使用定時器方法，只需收集一定時間的歷史數據，啟動定時任務即可實現模型的自動迭代更新。本文使用的建模流程如圖4 所示。

圖4 AI 行為建模流程

在行為建模中采用了統計算法和離群檢測算法，分別對單維行為特征數據和多維行為特征數據進行模型訓練。

統計算法：針對數據內容確定的單維行為特征，可以利用高斯模型建立異常檢測基線模型。例如，對于打印行為，如果需要單獨考量每項指標（例如打印頁數、打印頻度）的變化情況，可針對每一項指標建立基線模型。基線模型包括個體基線和群組基線。

離群檢測算法：針對需要綜合多個行為特征共同權衡才能判斷異常的情況，采用無監督的機器學習算法進行學習，如KMeans、BIRCH 等。比如判別某次SSH 遠程登錄是否異常，需考慮登錄方式、登錄狀態、登錄用戶等多個行為特征來綜合研判，則使用該方法進行建模。

4.2.2 AI 異常行為檢測

AI 異常行為檢測是利用AI 行為建模訓練輸出的模型，對用戶的實時行為進行監控。通過比對模型，分析用戶的“非正常”行為模式來鎖定內部的潛在威脅。AI 異常行為實時檢測流程如圖5 所示。

圖5 AI 異常行為實時檢測流程

下面以偏離個人基線的異常打印為例，介紹其分析過程。

第1 個階段為行為建模，具體如圖6 所示。

圖6 階段一行為建模

（1）算法配置。該場景采用高斯算法對打印審計數據建模。高斯算法又稱為正態分布算法，該算法根據樣本數據的均值、方差，得到分析對象的基線。其優點在于能夠很好地處理噪聲和異常值。需要配置以下內容：

①篩選的日志類型，其目的是選取合適的數據集，該場景設置的日志類型為打印控制審計的日志。

②數據集的聚合字段名稱，設置為人員唯一編號。

③需要提取的特征字段名稱，例如打印數量、打印頻次、打印時間等。

④異常判斷依據的閾值，一般來說，可以選擇均值加減幾倍方差的范圍作為異常值的判斷區間。例如，選擇均值加減3 倍方差的范圍，即如果某次打印數量超過均值加減3 倍方差的范圍，則被視為異常行為。

算法配置完成后，啟動周期性的定時任務等待數據采集入庫后進行模型訓練。

（2）收集數據。采集一段時間用戶打印文件的審計日志，其中包含算法配置階段配置的特征字段，例如打印數量、打印頻次、打印時間等。

（3）模型訓練。將篩選出的打印日志以人員唯一編號分組聚合，對每個人員的打印文件數量訓練數據構建基線模型。

（4）生成基線。這里選取“天”為時間粒度分隔，基線模型由歷史行為數據中每天的基線值組成。對訓練數據每個月份中每一天的打印文件數量分別做均值和方差計算，由均值加3 倍方差的計算公式得到該點的基線值，例如將每個月1 日的打印文件數量數據集合做均值和方差計算，根據上述基線值計算方式得到基線模型中1號這個點的基線值，基線模型其余點的計算方式相同，基線模型如圖7所示。

圖7 基于Gaussian 分布算法的基線模型

第2 個階段為異常檢測，具體如圖8 所示。

圖8 階段二異常檢測

（1）采集數據。采集實時打印數據，采集到的數據進入AI 分析引擎。

（2）異常檢測。根據算法配置的閾值判斷進入AI 分析引擎的實時數據是否滿足異常行為的條件。例如，將某用戶實時打印日志中的打印數量與該用戶打印數量基線模型中對應時間點的基線值進行比對，如果超過模型對應點的基線值，如圖9所示，則判定為異常。

圖9 偏離基線的異常檢測

（3）產生事件。生成“偏離個人基線的異常打印”安全事件。

5 結語

本文通過對具體場景進行檢測的驗證實驗，成功證明了基于行為分析的內網數據泄露場景檢測方法的可行性和有效性。目前已將這些研究成果成功應用于數據防泄露監測平臺，取得了令人滿意的效果，為解決內網數據防泄露問題提供了一種新的研究思路和實踐方法。在未來的研究中將進一步改進和優化這些方法，以適應不斷變化的內網環境和數據泄露威脅。