異常連線之未授權連線，行為風險分析的有效實踐

當前，全球資訊化技術發展日新月異，從政府、社會到企業都高度重視資訊化技術的應用融合，企業資訊化建設與數字化轉型不斷深入。與之而來的就是基於資訊科技的網路攻擊成本也逐步下降，網路攻擊手法更加複雜多變，網路攻擊逐漸組織化、專業化，日益氾濫的網路威脅往往會讓企業網路安全管理工作疲於奔命。

對於企業而言，複雜的網路攻擊行為已然阻礙了企業的健康發展，而那些基於特徵和規則的傳統威脅檢測技術也正在逐步落後於時代，已無法應對網路安全新形勢下的新型威脅和未知威脅，滿足與時俱進的網路安防需求。

這種情況下，基於行為分析的新威脅檢測技術不斷衍生發展並逐漸流行。行為風險分析，透過收集大量資料，並基於資料搭建訓練模型，查詢異常行為和高風險行為。

這種方法通常需要為正常的網路行為設定基準，透過機器學習等模型來檢查網路活動並計算風險評分，根據風險評分檢視異常情況，最終確定行為風險級別。這有助於減少誤報並幫助安全團隊確定風險優先順序，從而將安全團隊的工作量減少到更易於管理的水平。

行為風險分析有幾種手段，包括：

1. 異常建模：使用機器學習模型和異常檢測來識別異常行為，比如使用者從無法識別的IP地址訪問網路，使用者從與其角色無關的敏感文件儲存庫下載大量智慧財產權（IP），或者流量從組織沒有業務往來的國家或地區的伺服器發來。

2. 威脅建模：使用來自威脅情報源的資料和違反規則/策略的情況，尋找已知的惡意行為。這可以快速輕鬆地篩選出簡單的惡意軟體。

3. 訪問異常建模：確定使用者是否在訪問不尋常的資產或不應該訪問的資產。這需要提取使用者角色、訪問許可權及/或身份證件方面的資料。

4. 身份風險剖析：根據人力資源資料、觀察名單或外部風險指標，確定事件所涉及的使用者風險級別。例如，最近沒有被公司考慮升職的員工也許更有可能對公司懷恨在心，企圖進行報復。

5. 資料分類：標記與事件有關的所有相關資料，如涉及的事件、網段、資產或賬戶，為安全團隊提供上下文資訊。

目前，基於行為風險分析的技術已廣泛在網路安全檢測產品中進行應用。由聚銘網路自主研發的聚銘網路流量智慧分析審計系統，結合了失陷分析、威脅情報分析、異常行為分析、未知威脅分析、網路異常分析、域名異常分析、攻擊威脅特徵分析、隱蔽通道分析八大分析引擎，為客戶在面臨高階威脅入侵時，及時察覺，及時止損。

在異常行為分析引擎中，系統異常流量檢測分析功能整合聚銘網路自主研發的智慧動態基線、模式資訊熵等生成演算法，透過一段時間對學習物件流量特徵分析、建模，智慧生成該物件多維度的網路特徵，實施多維度的縱深檢測機制，有效增加檢測的準確性，降低誤報機率。

其中，未授權連線可根據當前網路環境配置學習週期、學習的源目的地址型別以及產生事件的名稱和級別，透過機器學習智慧識別出網路內正常的流量加以記錄，將學習到的流量進行建模。

學習過程中不對連線進行檢測，學習結束後，當前介面列表中展示學習到的正常流量的ip總量，每小時統計一次。透過記錄的正常流量對全流量連線進行檢測，建模後未記錄的流量被檢測到時，就會上報使用者定義的名稱為發現新連線的安全事件。

未授權連線的使用價值在於：

1、學習地址設定為外到內，能更快的發現外來入侵網路，只要有非正常範圍的會話來到就會對應產生一條發現新連線的安全事件，在第一時間內就能發現外來的訪問，從而對這種外來連線進行阻斷以免產生更嚴重的後果；

2、學習地址設定成內到內，能檢查私拉網線的情況，起到保護內網安全的作用；

3、學習地址設定為內到外，出現發現未連線安全事件時，則可以與已有功能態勢感知中的失陷功能聯動起來確認當前ip地址對應的主機或者伺服器失陷情況，儘快對失陷的ip進行阻斷。【更多精彩可關注“聚銘網路”公眾號】