作者简介

薛亮

中国移动通信集团江苏有限公司工程师,长期从事通信网络安全、网络数据安全等方面的研究工作。

汪含笑

中国信息通信研究院安全研究所助理工程师,长期从事数据安全、网络安全相关方面的研究工作。

胡晓波

公安部第一研究所高级工程师,长期从事数据安全、数据治理、网络安全等方面的研究工作。

韩海庭

浙江海洋大学海天智能物联网实验室副研究员,长期从事数据治理、数字技术与政策、发展经济与数字援助等方面的研究工作。

论文引用格式:

薛亮, 汪含笑, 胡晓波, 等. 基于用户实体行为分析与人工智能的数据安全审计管理系统研究[J]. 信息通信技术与政策, 2024, 50(12): 73-81.

基于用户实体行为分析与人工智能的数据安全审计管理系统研究

薛亮1 汪含笑2 胡晓波3 韩海庭4

(1.中国移动通信集团江苏有限公司,南京 210029;

2.中国信息通信研究院安全研究所,北京 100191;

3.公安部第一研究所,北京 100010;

4.浙江海洋大学海天智能物联网实验室,舟山 316000)

摘要:基于用户实体行为分析数据安全审计管理系统,为应对企业内外部数据安全威胁提供了新的解决方案。通过对用户、设备和应用的行为进行持续监控,建立动态基线,并实时分析异常行为,有效识别潜在威胁。提出了包含实体、行为、基线和算法为核心4要素,以及数据采集、行为分析和处置响应为3步骤的框架系统,展示了如何将人工智能增强的用户实体行为分析构建智能化的数据安全审计体系,以增强数据保护能力和合规性。

关键词:用户实体行为分析;人工智能;数据安全;数据审计

0 引言

用户实体行为分析(User and Entity Behavior Analysis,UEBA)是近年来信息安全领域的重要研究方向之一,旨在通过分析用户和实体(如设备、应用程序、系统等)的行为模式,识别潜在的安全威胁[1]。UEBA相较于传统的安全信息和事件管理(Security Information and Events Management,SIEM)系统更侧重于行为分析,以发现异常行为并检测内部威胁、外部攻击以及复杂的入侵活动[2]。UEBA作为一种网络安全程序性方法,即便犯罪分子窃取了员工的用户名和密码,但要模仿此人在网络上连接应用程序和数据的正常行为却难上加难。

随着信息化和数字化的不断深入,数据已经成为组织最为核心的资产之一[3]。如何确保数据的安全性以及防止数据泄露和非法访问成为了当今信息安全领域的关键问题。相比于传统的网络安全威胁,数据安全威胁在攻击初期往往表现出极高的隐蔽性[4],这使得其难以通过传统安全工具(如防火墙、入侵检测系统等)及时发现。此外,数据安全威胁还可能长期处于潜伏状态,攻击者在获取访问权限后,能够在系统内保持低调操作,并在较长时间内进行数据收集[5-7]。除此之外,数据泄露的主要来源常常是来源于组织内部的威胁[8]。由于攻击者可能是具备合法访问权限的员工或合作伙伴,攻击者可以利用合法的访问权限获取敏感数据,在不引发明显异常活动的情况下,逐步进行数据渗透或窃取,这种行为的合法性掩护使其更具隐蔽性。

客观上,这需要通过更为细致和全面的数据安全审计来识别异常的访问或数据传输行为,尤其是及时捕捉到导致传统的攻击检测方法难以有效发现数据安全威胁的早期信号,UEBA为数据安全提供了全新视角和智能化解决方案[9-10]。通过审计流程,组织能够清晰了解数据的流动情况、识别潜在的安全威胁并采取相应措施加以防范。这不仅局限于识别外部威胁,其对于防范内部威胁同样具有不可或缺的作用[11-12]。审计能够对内部人员的行为进行监控,并记录所有数据操作和访问情况,这对发现潜在的恶意行为尤为重要。数据安全审计不仅仅可以提高数据威胁的可见性,增强数据安全防护能力,还有助于与企业合规建设。随着数据隐私和保护法规(如《通用数据保护条例》和《加州消费者隐私法案》)的颁布,企业需要进行定期的数据审计以确保其数据保护措施符合法律法规的要求。数据安全审计不仅是企业合规性的必备手段,还可以帮助企业降低潜在的法律和声誉风险。

本文针对此问题,全面详细地调查了有关研究和案例,总结提出了一种基于UEBA与人工智能(Artificial Intelligence,AI)的数据安全审计系统框架,旨在通过行为基线的动态调整和实时监控,提升对复杂威胁的检测能力,并通过自动化机制对潜在风险进行及时响应。此外研究发现,通过引入UEBA与AI技术的深度融合,数据安全管理将变得更加智能和灵活,不仅能有效应对高级持续性威胁,还能够大幅提升内部威胁的识别与防范能力。

1 相关工作基础

1.1 传统数据安全技术回顾

为了应对数据泄露、未经授权的访问及敏感数据丢失等问题,同时还能保障业务系统对数据资产的正常访问和处理请求,数据丢失防护(Data Loss Prevention,DLP)[13]、网络隔离(Network Segmentation,NS)[14]、USB端口禁用[15]等网络数据安全防护技术广泛应用。这些技术为数据安全防护提供了巨大支持,但随着网络威胁的复杂化和攻击技术的演变,以及数据安全威胁场景的特殊性,这些传统方法逐渐暴露出其局限性。

数据丢失防护是一种通过监控、检测和阻止未经授权的数据传输来防止敏感信息泄露的安全技术[16-17]。DLP主要包括网络级别和终端级别的防护,监控如电子邮件、文件传输和应用程序数据流等敏感数据的活动,以确保数据不会离开组织的网络或在未经授权的情况下被访问。网络隔离则是一种通过将网络、工作平面或系统划分为多个小的独立区域来提高系统安全性的方法[18]。通过将关键资产和敏感数据放置在独立的网络段中,隔离技术可以防止未经授权的访问,以及攻击的肆意蔓延。每个独立网络段又可采取不同的安全策略进行控制,从而确保敏感数据不被轻易访问。而USB端口禁用则是一种通过减小风险敞口来防止敏感数据通过便携存储设备(如U盘、外置硬盘)泄露的安全策略。USB端口禁用往往发生在局域网或者专网工作环境中,作为辅助工具降低业务系统或数据被外源访问或获取的可能性,通过禁用USB端口或限制其使用,企业可以减少数据外流的风险,防止未经授权的设备接入公司网络。

DLP系统通过分析数据内容及上下文,识别特定类型的敏感信息,如个人身份信息(Personal Identify Information,PII)、知识产权或财务数据等,进而防止内部员工将机密信息通过网络、电子邮件或便携设备(如USB存储设备)传输出去。或用于合规性要求,如《通用数据保护条例》等法规,以确保企业在处理和存储敏感数据时遵守相关规定。但DLP的有效性通常依赖于预定义的规则和策略。随着数据量和复杂性的增加,制定全面且细致的规则变得极为困难。另外DLP极其容易被具有技术能力的恶意攻击者规避。现代攻击技术如加密传输和数据隐藏等可能绕过传统DLP系统的检测。DLP系统容易产生误报,导致过多无关警报的触发,进而导致安全团队忽视真正的威胁。与此同时,一些复杂的数据泄露方式可能逃避DLP的检测,导致漏报。

网络隔离作为另外一项广泛用于组织中的防护策略,通过减少攻击面,限制数据在网络中的流动。例如,企业可能将生产网络与办公网络隔离,防止恶意软件或攻击者从一个网络段传播到另一个。此外,某些敏感部门(如财务或研发)可能会被单独隔离以保护关键数据和系统。这也客观造成了以下几个基本事实:复杂网络和高维护成本,网络隔离的实施需要复杂的网络架构设计,并且需要持续的维护和管理。尤其对于大规模网络,配置错误或不当的策略可能导致业务中断或访问权限错误。动态环境适应性差,随着企业网络环境的动态变化(如云计算和移动办公),固定的网络隔离架构往往难以适应,尤其在远程访问和跨网络协作时增加了复杂性。与此同时,网络隔离主要针对外部攻击,对内部人员的恶意行为或者合法账户的不法行为难以有效检测和阻止。

USB禁用策略常用于防止内部员工或外部人员在未经授权的情况下从公司系统中提取敏感数据。USB禁用在一些对数据安全要求极高的环境中(如政府机构、金融机构)尤为常见,也可以说USB是最为严苛的数据安全防护策略。随着远程办公和自带设备(Bring Your Own Device,BYOD)趋势的增长,禁用USB端口的策略越来越难以适应灵活和移动化的办公环境。在一些依赖便携设备进行文件传输或数据处理的工作环境中,禁用USB可能对工作效率造成负面影响。同时禁用USB端口并不能完全阻止数据通过其他方式泄露,如通过网络传输、云存储等方式。

综合来看,传统的网络数据安全检测方法在应对现代复杂的安全威胁时往往面临着难以应对内部威胁、对新兴技术和动态环境的适应性不足和规则与策略依赖性高等问题。无论是DLP、网络隔离还是USB禁用,传统方法在防范内部威胁方面均表现较为薄弱。恶意的内部人员或拥有合法访问权限的员工能够绕过这些措施。随着云计算、物联网和移动设备的广泛应用,传统的网络安全边界逐渐模糊,固定的安全措施如网络隔离和USB禁用在这些新环境下变得难以实施。随着数据量的急剧增长,制定和维护有效的规则变得愈发困难,容易导致规则滞后和策略失效。未来的数据安全保护需要更智能、灵活和自动化的技术支持,如基于AI的威胁检测和用户行为分析,为数字资产系统提供更全面和动态的数据安全保障。

1.2 UEBA方法研究进展

UEBA核心在于对用户和实体的行为模式进行分析,一般采用机器学习、AI等大数据技术,建立行为基线来检测异常行为。UEBA由于具有自主性、高适应性、有效抵御内部威胁等特点,已经成为应对复杂威胁的核心技术之一,广泛应用于金融、医疗和政府等数据高度敏感的行业。

UEBA系统不依赖于预定义的攻击特征或规则,而是通过动态学习行为模式发现异常,具有更强的适应性和可扩展性[2]。这样的行为模式包括用户的登录、访问资源、数据传输、设备间通信等活动。这与传统的安全策略(如SIEM)有显著不同,尽管SIEM和UEBA都需要时刻从各种来源收集数据,对其进行关联和分析,以识别威胁和潜在的网络攻击。但传统的SIEM系统依赖于预设的规则和签名来检测威胁,通常只能识别已知的攻击模式。而UEBA则通过分析用户和实体的历史行为数据来创建基线,以此识别未知或新型的攻击模式。

UEBA可以在复杂的内部威胁情景中发挥更好的作用,尤其是在防范来自已授权用户的恶意行为[19]。另外,UEBA不仅关注用户行为,还包括设备、系统等实体的行为分析。通过将用户和实体结合,UEBA可以提供更全面的安全态势感知。实体行为分析的加入使得UEBA在处理物联网设备安全问题时具有更大的应用潜力,因为这些设备通常很难依靠传统的端点安全工具进行保护[20]

1.3 AI赋能UEBA解决方案

UEBA天然与大数据相关技术深度融合,通过引入机器学习、大数据技术,更准确地对用户/行为进行画像,并确定单用户行为模式基线和群用户的使用行为基线,从而对远期账户操作和行为进行风险评估。

首先,大数据系统与平台为高效处理多源的海量信息,包括登录记录、网络活动和文件访问等的专门系统,这些海量数据通过整合专家知识和大数据算法便可以生成更为详细的用户行为画像。这与UEBA的需求不谋而合,UEBA不仅需要处理海量的历史数据还需要对实时数据进行快速分析,分布式计算平台(如 Hadoop和Spark)便成为保障其有效运行的关键。大数据技术的加入显著提升了UEBA系统的扩展性,使其能够适应日益增长的数据处理需求[21]。这些技术不仅提高了数据分析的速度和效率,还增强了系统在面对复杂安全场景时的应对能力。

其次,基于AI的UEBA系统,通过对行为基线的动态挖掘和调整来实现对数据的精细化安全管理[22]。传统的安全系统往往依赖静态规则来检测异常行为,而UEBA系统通过机器学习实现动态适应。系统中用户的工作习惯和访问行为往往根据时间和环境而产生变化,这就需要UEBA系统能够不断调整基线,以反映最新的行为模式。AI赋能的UEBA系统赋予了其动态学习能力,使其能应对不断变化的使用环境,从而在不牺牲安全性的情况下,减少了对正常操作的干扰。值得提出的是,随着行为模式的不断积累和多重定义,AI赋能的UEBA系统定义的用户 “正常” 行为准确性往往远高于传统基于规则的系统。这样的性能提升可以极大地减少误报率和漏报率。

另外,AI赋能的UEBA系统不仅仅为单个用户生成行为基线,还可分析群体用户的整体行为模式和标准基线(态),这对于数据安全管理中识别内部威胁至关重要。例如,在同一工作环境中,同类用户的行为往往近似,如果某个用户的行为显著偏离其群体基线,则可能预示着安全风险。基于群体用户行为的比较,能够显著提高内部威胁检测的有效性,系统能快速发现特权用户滥用、恶意内部人员行为等问题。与此同时,AI赋能的UEBA系统也可以根据用户的行为历史和群组的行为基线变化,预测其未来可能出现的异常操作。或者通过对用户的权限变化和访问模式跟踪的追踪评估,提前识别潜在的内部威胁或更新标准基线。这种风险评估功能和预警机制能够为企业安全管理提供更加精确和实时的决策支持。

基于AI与UEBA结合的系统可以较好地体现其实时监控和检测能力。通过对用户和实体行为的持续监控,UEBA能够及时检测到异常行为并发出警报。UEBA系统在检测潜伏期长、攻击路径复杂的高级持续性威胁(Advanced Persistent Threat,APT)时,表现出色。这种实时监控的能力依赖于大数据处理和机器学习算法,依赖于用户/群体基线建立及自更新的专业逻辑,基于AI的高效计算和深度钻探,以确保系统的有效性并对威胁作出迅速反应。

2 基于UEBA+AI的数据安全审计系统框架设计

2.1 总体设计

基于UEBA+AI的数据安全审计系统作为应对数据安全威胁的新兴解决方案,将通过对实体构建、行为数据化表征、行为基线建模和挖掘等技术手段,对用户、设备、应用等实体的行为进行持续监控和分析,构建全面、动态的安全审计框架(见图1)。

图1 UEBA数据审计系统核心元素

2.1.1 实体虚拟化与账户化:安全审计对象的精细化管理

在基于UEBA+AI的数据安全审计系统中,用户、设备、应用等被视为独立的实体。这些实体通过虚拟化与账户化的方式被抽象为数据安全审计的目标对象。这种抽象不仅限于实际的物理对象和虚拟标识,还包括所有在系统中产生交互的虚拟行为或特征。例如,用户的登录动作、设备的身份标识、应用程序的使用习惯等,都被转化为可以追踪的实体。这种精细化的管理方法使得系统能够对每个对象的行为进行独立审查,从而更容易检测出异常行为或潜在的安全风险。

2.1.2 操作与行为的数字化:可追踪、可审计的数据资产

为了实现更全面和更细致的审计,系统将所有的操作和实体行为数字化、数据化,使其可描述、可追踪和可测量。这包括对账户的登录、文件访问、数据传输等操作的详细记录,采用数据池、数据湖和数据仓库等先进的存储技术予以存储,并支持实时监控和分析计算。同时,将所有的数据、信息等抽象为对象和虚拟实体,并被视为重要资产,方便将所有与这些资产有关的指令和操作都被数据化地记录下来,使其可以被审查和分析。通过这种数据化和数字化的方法,系统将保证所有操作和资产的可描述、可追踪、可测量和可审计管理,极大提升了数据安全的透明度和可控性。

2.1.3 基线建模:单一用户与群体行为的动态画像

基线是UEBA系统中的核心,由系统通过对海量数据的分析与挖掘,形成对单一用户或对象的行为模式的标准。实践上,系统会分析用户或实体在长期操作中形成的正常行为模式,提取其合法行为的特征,并以此建立行为基线。完备的 UEBA系统不仅包含单一用户或对象的基线,还包括群体用户或对象的基线。群体基线通过比较同类用户或设备的行为模式,帮助系统识别潜在的异常行为。例如,某个用户突然开始访问与其职位无关的敏感数据,或某设备在非工作时间进行了数据传输,都会被系统标记为异常。基线的建立和应用是系统实现精准审计和智能告警的基础,为风险行为检测和风险预警筛查提供了依据。

2.1.4 动态基线调整与实时行为监控

基线的建立不是确定和永久的,而是动态调整和临时的。AI赋能的UEBA系统通过算法和自动化机制实现了7×24 h的不间断运算、识别和行为监控,同时也不断进行基线的自我调整和优化适应。这种持续性的调整不仅是为了实时监测用户行为的动态变化,也是对群体环境变化引发的基线调整提供支持。比如用户的工作时间、数据访问频率或设备使用情况随着时间和环境可能发生非风险性改变,系统就需要及时捕捉这种信息,并依据新的行为模式自动更新基线。这种动态调整使得系统能够保持对最新风险的最新感知能力,避免因过时的基线导致误报或漏报。此外,自动化系统通过实时的行为检测与预警筛查,能够在发现异常行为的瞬间发出警报并进行初步处置。这种自动化的告警与处置机制减少了人为介入的时间,极大提高了应急响应的效率和速率,确保安全威胁能够及时得到响应与处理。

UBEA+AI既能够对大量的行为数据进行深度学习与模式识别,从中挖掘出最新的、潜在的安全威胁, 还能够对系统存储和处理的海量数据进行透明度管理,让数据流动和操作的任意细节都能够得到连续的追溯。特别是在面对APT或内部威胁时,UEBA+AI往往能更快地捕捉到小幅度的行为变化,通过对细微异常的学习来不断优化异常行为的检测精度、提高动态极限的效度。

2.2 系统架构

基于UBEA+AI的数据安全审计系统,主要包含数据采集、行为分析和处理响应三大层次,确保了从数据获取、分析到安全响应的高效与可靠,实现全面的数据安全管理(见图2)。

图2 UEBA数据审计系统架构设计

2.2.1 数据采集层

数据采集层是系统架构的基础,通过多种方式收集用户、设备和应用的行为数据,以支持后续的安全分析与风险评估。主要数据来源包括浏览器/服务器模式(Browser/Server,B/S)应用、应用程序、邮件服务、运维工具、网盘使用、即时通信工具以及终端环境等多个关键业务和操作环境。这些来源提供了记录用户与设备之间的交互日志;监控用户在业务应用中的操作行为,包括对敏感数据的访问、数据下载等操作;跟踪用户账户的登录、注销、权限变更等关键操作,防范账户滥用和权限提升等内部威胁。这些数据采集和仓储确保了系统可以对多种安全场景下的操作进行全面监控。

首先,数据采集层构建了一个以资产为核心的数据管理系统,该系统的目的是对企业中的所有数据、信息进行有效管理。通过敏感数据发现与资产识别技术,自动发掘出系统中存储或传输中的敏感数据,并将其与特定的资产关联。帮助企业经营者对这些数据资产进行精细的分类和分级,确保能够识别出具有高风险或高价值的资产,从而在数据审计和安全响应中给予特别关注。

其次,数据采集层还建立了一个以对象为核心的用户和实体主题库,支持对敏感用户、风险资产以及安全事件和风险场景的分类与管理,实现对关键安全要素的全面定义,进而为构造一个动态且可扩展的安全审计与响应体系提供基础。这种对象化的数据管理方法不仅确保了系统能够对多样化的风险要素进行细粒度的分析与应对,还提高了整体数据安全管理的效率、准确性和精细化水平。

2.2.2 行为分析层

行为分析层是整个系统的核心,其首要任务是对数据采集层提供的行为日志和数据资产进行全面盘点、整理和钻取信息。这一过程通常从无监督模型的应用开始,自动构建单用户行为基线、群用户行为基线等基础标尺,用于表征用户或实体在正常情况下的操作模式。此后,系统会利用多种数据分析工具和技术对收集到的实时行为数据进行处理和分析,参照基线给出风险用户、风险资产、安全事件和风险场景的告警。最后,根据处理进程和全面告警的盘点动态调整基线的定义。

基于机器学习的无监督学习算法可以自动发现行为数据中的不同模式,无需预定义的标签,该方法对于未知威胁和变化中的安全行为的检测都尤为重要。这些模式的分析包括但不限于流分析、批处理和统计分析等,对用户的操作行为、终端的使用特点和应用的工作状态进行深入的分析,包括访问频率、访问时长、文件操作,通信模式、通信时间、通信流量,接口调用、数据访问、传输地址等关键特征。最终将针对每个用户、设备和应用建立基线模型,记录其正常的工作习惯和操作模式。这种基线不仅是单一用户/设备的行为特征,还包括群体用户/设备的行为基线,确保更全面的模式掌握。

行为分析层的另一项核心任务则是基于基线的异常识别。此时将借助流分析工具用于处理系统中持续产生的实时数据,快速检测出当前用户或实体的异常行为;批处理帮助系统从长时间范围的数据中发现那些短期内不易察觉的异常模式,特别是针对持续性威胁或内部攻击的检测;交叉分析来对多个行为维度之间的相互关系进行分析和验证,从而更有效识别出潜在的复杂攻击行为和行为模式中的细微异常,如通过多个实体配合实施的数据泄露或权限提升攻击;或通过用户画像,为每个用户(对象)生成系统的、详细的操作习惯和使用模式定义,从而帮助系统精准识别内部威胁,尤其是隐蔽性较强的高级持续性威胁。所用的算法模型包括高斯分布、孤立森林、日志关联、图谱分析与可视化技术等。

2.2.3 处理响应层

处理响应层是系统在检测到异常行为后做出的自动化响应机制,是数据审计及安全管理系统的设计目标,通过告警、封禁、追踪等自动化响应实现智能化处置。处理结果也会被反馈到行为分析层,使得系统能够持续优化其分析模型和检测能力,确保在面对动态变化的安全威胁时保持高效的应对能力,实现闭环反馈机制的建设促进内生性安全系统的不断迭代、优化和升级。

其中,告警系统将根据安全威胁的严重程度提供建议性的安全团队介入方案和策略,也可根据后续处置进程动态调整风险等级;封禁机制旨在严重威胁情形下,如账户滥用或未经授权的数据访问时,对相关操作进行拒止避免安全威胁的升级或者伤害的事实发生。追踪往往以数据资产为核心,跟踪异常操作相关的所有数据流动情况,确保在发生安全事件后能够全面了解数据的去向,并为后续的调查和取证提供依据。

基于UEBA+AI的数据安全审计系统通过数据采集、行为分析和自动响应三个核心层次,构建了一个智能化、动态化的数据安全防护体系。系统不仅可以实时监控并分析用户与实体的行为,还能够根据威胁级别自动响应,提供了一种高效、精准的安全防护解决方案。并且基于无监督学习的先进方法和闭环反馈机制,保障了智能防护系统的内生成长性和对未知模式、风险和威胁的挖掘识别能力。

2.3 应用场景及能力

2.3.1 威胁检测的行为分析

UEBA模型利用机器学习和统计技术来监控和分析用户行为,这是UEBA+AI数据审计和安全管理系统的基础能力。通过建立正常行为的基线,这些模型可以识别可能预示安全威胁的偏差。通过分析登录时间、文件访问和数据传输等活动,以发现偏差于安全基线的异常模式。引入AI后的系统通过从不断发展的用户行为中学习来增强这些模型,使其在检测内部威胁和高级持续威胁方面更加高效。

2.3.2 自动化事件响应

AI系统和自动化模块保障了UEBA工具的自动化运行,当检测到安全事件时进行智能化响应。当标记可疑活动时,AI可以启动警报或采取预防措施(例如限制访问),以防止在安全团队调查时发生进一步的违规行为。AI还通过为异常分配风险评分、优先考虑高风险活动以及过滤掉误报来提供帮助。

2.3.3 自适应学习系统

AI驱动的自学习算法使 UEBA系统能够不断适应新的用户行为。随着时间的推移,这些算法会完善他们对正常活动与异常活动的理解。情境感知(例如考虑访问时间、位置和设备类型)有助于更好地判断可疑行为,减少误报并提高威胁检测准确性。

2.3.4 实时审计和监控

由AI提供支持的UEBA系统提供持续监控和实时数据审计,使组织能够在安全漏洞发生时识别它们。AI驱动的审计日志分析揭示了传统工具可能遗漏的隐藏模式和相关性,从而更深入地了解潜在漏洞。

2.3.5 威胁情报集成

AI通过集成外部威胁情报源来增强UEBA,使组织能够将内部用户行为与已知的威胁模式进行比较。这种跨平台的方法增强了检测能力,并提供了不同系统和设备的潜在风险的全面视图。

2.3.6 用户访问控制和数据丢失防护

AI支持自适应访问控制,其中用户权限根据UEBA系统的实时行为和风险评估动态变化。这可以防止未经授权的访问并降低数据泄露的风险。此外,AI增强的数据丢失防护系统与UEBA协同工作,以检测和阻止可疑数据传输,保护敏感信息。

2.3.7 合规和监管审计

UEBA+AI通过提供敏感数据访问的实时监控和全面审计跟踪,帮助确保遵守数据保护法规。AI可以根据《通用数据保护条例》等框架自动进行合规性检查,从而持续确保安全协议符合监管要求。

3 结束语

随着数据对于数字经济的作用愈加凸显,一方面数据正在成为现代企业的核心资产,其安全管理愈加凸显;另一方面数据的虚拟性等特征又使得数据安全风险常常更隐蔽和内部性,对信息安全技术和组织/系统安全策略提出了巨大挑战。数据安全审计能够更好地发现内部威胁并提高安全威胁的可见性,整合AI赋能的UEBA系统则对数据安全治理的动态性、内生成长性和实时智能、细粒度甄别和全面管理等提供了全新机遇。

尽管UEBA在信息安全领域展现了巨大的潜力,但其也面临一些技术挑战,例如如何提升异常行为检测的准确性,减少误报率[23]。为应对日益复杂和高涨的数据安全威胁,还需要系统地、全面地、创新地和成长地更新数据安全管理战略和方案,构筑以行为分析为基础的智能审计系统、以分级分类分域为核心的多层次的防护体系、以隐私保护为导向的加密技术,采用和细粒度管理机制相结合的综合保障框架。

Design of data audit and security management system based on UEBA and AI

XUE Liang1, WANG Hanxiao2, HU Xiaobo3, HAN Haiting4

(1. China Mobile Communications Group Jiangsu Co., Ltd., Nanjing 210029, China;

2. Security Research Institute, China Academy of Information and Communications Technology, Beijing 100191, China;

3. First Research Institute of the Ministry of Public Security, Beijing 100010, China;

4. Intelligent IoT Laboratory, Zhejiang Ocean University, Zhoushan 316000, China)

Abstract: A data auditing and security management system based on user and entity behavior analysis offers an innovative solution to address internal and external data security threats in enterprises. By continuously monitoring the behaviors of users, devices, and applications, the system establishes dynamic baselines and performs real-time anomaly detection to identify potential threats effectively. This paper proposes a framework centered on four key elements—entities, behaviors, baselines, and algorithms—along with a three-step process comprising data collection, behavior analysis, as well as response and handling. It demonstrates how artificial intelligence-enhanced user and entity behavior analysis (UEBA) can be used to construct an intelligent data security auditing system, strengthening data protection capabilities and ensuring compliance.

Keywords: UEBA; artificial intelligence; data security; data audit

本文刊于《信息通信技术与政策》2024年 第12期

声明:本文来自信息通信技术与政策,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。