匡石磊(中国联通江西分公司,江西 南昌 330096),韦峻峰(中国联通河南分公司,河南 郑州 450000)
本文版权为《邮电设计技术》所有,如需转载请联系《邮电设计技术》编辑部
摘 要:通过提出的SOM-FCM双层聚类模型算法来分析研究企业内部网络用户行为,通 过搜集不同模式的日志信息,分析用户的行为特征,将用户的所有行为数据进行聚 类,分析聚类后的孤立点和小类来判别其行为是正常还是异常,通过软件工程方式 实践该模型算法并在大数据安全平台中使用SOC/4A系统日志数据进行了测试, 结果表明该算法可以对内网用户行为数据进行有效地分析与挖掘,能够发现用户 违规异常行为及恶意攻击行为。
关键词:安全管理;日志数据;用户行为
doi:10.12045/j.issn.1007-3043.2019.04.004
前言
随着网络技术的高速发展,数据逐渐升级为企业核心资产,具体表现为数据范围更广、类型更多、规模更大、服务对象更加全面、加工更加深入、管理更为复杂,许多组织(如超市、银行、电信公司)及一些数据采集系统每日都产生大量的数据,为此各个企业都建立了自己的内部网络。尽管内部网络方便了企业的工作和管理,但内部网络的安全问题频发并且越来越严重,目前有效的安全防护体系已基本形成,但业务逻辑却日趋复杂,安全管理难度也日益增大。企业内部员工很可能在工作时间进行非工作内容的活动或其他异常行为(具体表现为过期账户登录、权限滥用、制度漏洞、异常登录、高频访问、绕行行为),这些都是内部网络需要考虑到的问题。内部网络安全问题的复杂性、不确定性和多样性都会增加解决安全问题的难度。企业内部网络环境中数据威胁通常会造成设备日志粒度粗、日志分散、内容深浅不一,无法对支撑系统进行综合分析,对数据进行关联追踪,原有支撑算法无法满足新业务需要等。因而会产生难以定位实际责任人、内部机密数据泄露、原日志审计难以发现违规、数据分析造成盲区等问题,甚至会影响企业自身的声誉。
为了能够更加有效地检测企业内部网络用户的异常行为,本文对内网络用户的行为进行定义并建立行为模型,明确定义内部用户的行为哪些是异常的,哪些是正常的,再通过软件工程方式验证该模型算法的有效性。本文通过选取企业内SOC系统日志和4A系统日志,分析内部用户的具体行为来检测其是否异常。这对于实际的内网用户的安全检测具有一定的现实意义。
