本文版權(quán)為《郵電設(shè)計(jì)技術(shù)》所有，如需轉(zhuǎn)載請(qǐng)聯(lián)系《郵電設(shè)計(jì)技術(shù)》編輯部

摘 要：隨著移動(dòng)通信網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)邊界趨于消失，接入方式日益復(fù)雜，網(wǎng)絡(luò)用戶(hù)行為監(jiān)管和內(nèi)部安全管控的難度顯著增加。通過(guò)引入AI驅(qū)動(dòng)的用戶(hù)與實(shí)體行為分析（UEBA）技術(shù)，可以有效應(yīng)對(duì)這一安全挑戰(zhàn)。介紹了UEBA技術(shù)的基本概念與技術(shù)流程，分析了UEBA技術(shù)在移動(dòng)通信領(lǐng)域應(yīng)用的可行性，并對(duì)其未來(lái)發(fā)展趨勢(shì)作出展望。

關(guān)鍵詞：移動(dòng)通信網(wǎng)絡(luò)安全；用戶(hù)行為分析；人工智能；內(nèi)部威脅

doi：10.12045/j.issn.1007-3043.2025.09.008

概述

隨著移動(dòng)通信技術(shù)的不斷演進(jìn)、物聯(lián)網(wǎng)的爆發(fā)式增長(zhǎng)以及邊緣計(jì)算的深度部署，移動(dòng)通信網(wǎng)已經(jīng)成為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施和社會(huì)經(jīng)濟(jì)運(yùn)行的核心載體。海量用戶(hù)數(shù)據(jù)（包括身份信息、位置軌跡、通信內(nèi)容、業(yè)務(wù)偏好等）在網(wǎng)內(nèi)產(chǎn)生、傳輸與處理，其價(jià)值與敏感性日益凸顯。同時(shí)，網(wǎng)絡(luò)架構(gòu)的云化、虛擬化、服務(wù)化使得傳統(tǒng)網(wǎng)絡(luò)邊界趨于消失，接入方式更加復(fù)雜多元，極大地增加了網(wǎng)絡(luò)內(nèi)部安全管控與用戶(hù)行為監(jiān)管的難度。而隨著網(wǎng)絡(luò)運(yùn)營(yíng)商、設(shè)備商等企業(yè)數(shù)字化轉(zhuǎn)型的不斷推進(jìn)，企業(yè)員工接入方式日益復(fù)雜，企業(yè)內(nèi)部的安全管控也越來(lái)越困難。Ponemon在2022年發(fā)布的《全球內(nèi)部威脅成本報(bào)告》顯示，內(nèi)部威脅給企業(yè)帶來(lái)的安全風(fēng)險(xiǎn)正在大幅度增加。2021年全球60%的公司面臨超過(guò)20次的內(nèi)部攻擊，比2018年增加了53%。一方面，網(wǎng)絡(luò)攻擊者可以偽裝成合法用戶(hù)來(lái)入侵網(wǎng)絡(luò)邊界，從而侵入組織網(wǎng)絡(luò)制造安全事故，借機(jī)竊取網(wǎng)絡(luò)中的重要信息；或者在內(nèi)網(wǎng)安裝惡意軟件，影響企業(yè)網(wǎng)絡(luò)的正常運(yùn)行，危害企業(yè)正常的生產(chǎn)經(jīng)營(yíng)活動(dòng)。另一方面，隨著定向社工等威脅技術(shù)的不斷發(fā)展，被勒索的用戶(hù)、安全意識(shí)淡薄的用戶(hù)成為了企業(yè)網(wǎng)絡(luò)的新型漏洞。一些掌握著涉密、敏感信息的高權(quán)限用戶(hù)一旦被此類(lèi)攻擊滲透，就會(huì)成為隱形的攻擊點(diǎn)位，導(dǎo)致大規(guī)模用戶(hù)隱私泄露、關(guān)鍵業(yè)務(wù)中斷、網(wǎng)絡(luò)資源被惡意占用，甚至導(dǎo)致國(guó)家級(jí)通信基礎(chǔ)設(shè)施遭受破壞。

因此，移動(dòng)通信網(wǎng)亟需引入有效的內(nèi)部威脅分析與檢測(cè)機(jī)制，來(lái)滿(mǎn)足日益增長(zhǎng)的網(wǎng)絡(luò)用戶(hù)行為監(jiān)管和內(nèi)部安全管控需求。用戶(hù)與實(shí)體行為分析（UserandEntity Behavior Analytics，UEBA）技術(shù)最早起源于用戶(hù)行為分析（User Behavior Analytics，UBA）技術(shù)。2014年，Gartner發(fā)布了UBA市場(chǎng)指南，并在2015年將實(shí)體行為與用戶(hù)行為進(jìn)行了關(guān)聯(lián)，逐步由最初應(yīng)用的經(jīng)營(yíng)銷(xiāo)售領(lǐng)域轉(zhuǎn)向網(wǎng)絡(luò)及數(shù)據(jù)安全領(lǐng)域。其中，新增加的實(shí)體（Entity）概念強(qiáng)調(diào)了設(shè)備行為在網(wǎng)絡(luò)攻擊與威脅檢測(cè)中的重要作用。而隨著AI與大數(shù)據(jù)的不斷發(fā)展，機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、聯(lián)邦學(xué)習(xí)等技術(shù)逐步被引入到UEBA系統(tǒng)之中。通過(guò)抓取海量、多維的移動(dòng)網(wǎng)絡(luò)數(shù)據(jù)，UEBA系統(tǒng)可以自動(dòng)化地學(xué)習(xí)用戶(hù)與實(shí)體的正常行為模式，并建立動(dòng)態(tài)演進(jìn)的行為基線(xiàn)。通過(guò)實(shí)時(shí)比對(duì)實(shí)際行為與基線(xiàn)模型的偏差，結(jié)合如時(shí)間、位置、業(yè)務(wù)類(lèi)型、網(wǎng)絡(luò)狀態(tài)等的上下文信息，UEBA系統(tǒng)可以自適應(yīng)地評(píng)估行為風(fēng)險(xiǎn)系數(shù)，從而有效檢測(cè)出傳統(tǒng)規(guī)則引擎難以發(fā)現(xiàn)的、復(fù)雜且隱蔽的異常行為與內(nèi)部威脅。

UEBA技術(shù)的出現(xiàn)彌補(bǔ)了傳統(tǒng)基于固定規(guī)則和特征庫(kù)的安全方案在應(yīng)對(duì)移動(dòng)網(wǎng)海量數(shù)據(jù)、未知攻擊模式（如零日漏洞利用、新型欺詐）時(shí)的局限性，為運(yùn)營(yíng)商提供從賬號(hào)安全、終端安全、到數(shù)據(jù)安全、業(yè)務(wù)安全等多維度的、系統(tǒng)化的內(nèi)部風(fēng)險(xiǎn)監(jiān)管能力。

點(diǎn)擊查看全文（PDF）>