本文版权为《邮电设计技术》所有,如需转载请联系《邮电设计技术》编辑部
摘 要:随着移动通信网技术的不断发展,网络边界趋于消失,接入方式日益复杂,网络用户行为监管和内部安全管控的难度显著增加。通过引入AI驱动的用户与实体行为分析(UEBA)技术,可以有效应对这一安全挑战。介绍了UEBA技术的基本概念与技术流程,分析了UEBA技术在移动通信领域应用的可行性,并对其未来发展趋势作出展望。
doi:10.12045/j.issn.1007-3043.2025.09.008
概述
随着移动通信技术的不断演进、物联网的爆发式增长以及边缘计算的深度部署,移动通信网已经成为国家关键信息基础设施和社会经济运行的核心载体。海量用户数据(包括身份信息、位置轨迹、通信内容、业务偏好等)在网内产生、传输与处理,其价值与敏感性日益凸显。同时,网络架构的云化、虚拟化、服务化使得传统网络边界趋于消失,接入方式更加复杂多元,极大地增加了网络内部安全管控与用户行为监管的难度。而随着网络运营商、设备商等企业数字化转型的不断推进,企业员工接入方式日益复杂,企业内部的安全管控也越来越困难。Ponemon在2022年发布的《全球内部威胁成本报告》显示,内部威胁给企业带来的安全风险正在大幅度增加。2021年全球60%的公司面临超过20次的内部攻击,比2018年增加了53%。一方面,网络攻击者可以伪装成合法用户来入侵网络边界,从而侵入组织网络制造安全事故,借机窃取网络中的重要信息;或者在内网安装恶意软件,影响企业网络的正常运行,危害企业正常的生产经营活动。另一方面,随着定向社工等威胁技术的不断发展,被勒索的用户、安全意识淡薄的用户成为了企业网络的新型漏洞。一些掌握着涉密、敏感信息的高权限用户一旦被此类攻击渗透,就会成为隐形的攻击点位,导致大规模用户隐私泄露、关键业务中断、网络资源被恶意占用,甚至导致国家级通信基础设施遭受破坏。
因此,移动通信网亟需引入有效的内部威胁分析与检测机制,来满足日益增长的网络用户行为监管和内部安全管控需求。用户与实体行为分析(UserandEntity Behavior Analytics,UEBA)技术最早起源于用户行为分析(User Behavior Analytics,UBA)技术。2014年,Gartner发布了UBA市场指南,并在2015年将实体行为与用户行为进行了关联,逐步由最初应用的经营销售领域转向网络及数据安全领域。其中,新增加的实体(Entity)概念强调了设备行为在网络攻击与威胁检测中的重要作用。而随着AI与大数据的不断发展,机器学习、深度学习、联邦学习等技术逐步被引入到UEBA系统之中。通过抓取海量、多维的移动网络数据,UEBA系统可以自动化地学习用户与实体的正常行为模式,并建立动态演进的行为基线。通过实时比对实际行为与基线模型的偏差,结合如时间、位置、业务类型、网络状态等的上下文信息,UEBA系统可以自适应地评估行为风险系数,从而有效检测出传统规则引擎难以发现的、复杂且隐蔽的异常行为与内部威胁。
UEBA技术的出现弥补了传统基于固定规则和特征库的安全方案在应对移动网海量数据、未知攻击模式(如零日漏洞利用、新型欺诈)时的局限性,为运营商提供从账号安全、终端安全、到数据安全、业务安全等多维度的、系统化的内部风险监管能力。
