[[387981]]

作為網絡運維和管理者，

你也許想知道：

網絡流量中到底有什么？

是誰在使用網絡？

產生的網絡行為符合規定嗎？

一個又一個問題，

促使我們進一步研究網絡流量，

透過網絡流量看用戶軌跡。

第三期【安全說】課堂希望給你些許啟發，

以下歡迎欣賞。

對網絡管理者來說，“人”是網絡的重要組成部分，但網絡世界中冰冷的IP，很難與實際用戶一一對應，從而導致很多安全事件發生后無法溯源。另一方面，網絡承建者希望為用戶提供更好的體驗，卻總會有網絡資源緊張的情況出現。

網絡將我們帶入數字時代，極大方便了日常工作和生活，同時也降低了網絡犯罪成本。不良言論充斥網絡，用戶數據盜取更是屢見不鮮，網絡安全已成為“達摩克利斯之劍”，為此國家出臺了諸多法律法規進行制約。除了考慮實際網絡應用場景，還需滿足合規要求。

因此，基于用戶行為的審計技術已成為網絡安全建設的熱門。

該技術主要包含四大核心功能，分別是：“用戶管理”回答誰在使用網絡的問題；“應用引擎”進行網絡行為識別，了解用戶在網絡中干什么；“策略管理”控制用戶行為，明確哪些事能做，哪些事不能做；“數據分析”得到有價值的信息，進而預測用戶下一步的網絡動向，幫助管理人員做出正確決策。

用戶管理。2020年2月，RSA大會在舊金山舉行，“Human Element”被認為是永不過時的主題。原因在于：1、人對網絡安全行業來說永遠是必不可少的，管理的是人，被管理的也是人；2、人是最薄弱的安全環節，因為控制尺度會隨感情發生變化；3、需要構建以人為中心的安全策略。

智能引擎。該功能具有高性能、一體化等特性，可以快速基于應用指紋識別網絡流量，確定流量由哪款APP產生，解決用戶行為識別問題。智能引擎可根據應用屬性將應用提前歸類，讓管理者更好了解網絡流量的組成。當應用沒有指紋時，引擎依然可根據提前訓練獲得的應用DNS和應用行為快速完成識別，這是其過人之處。

策略管理。有了智能引擎，還要依賴策略如何生效，想制定一套適合自身的策略，可以重點從三個中心出發考慮。中心一：設計和創建的策略以人為中心，畢竟管理的對象是人；中心二：落地的策略以業務為中心，網絡建設的初衷是為了更好開展業務；中心三：策略以時間為中心，在不同時間段制定不同策略，才能做到張弛有度。

數據分析。完成前三個功能之后，還要將整個流程的數據匯總加工，數據才是人機交互的重點。數據分析主要分為兩個階段：數據粗加工和數據深加工。

數據粗加工讓我們從整個數據鏈條看，知道用戶是誰，他可見的真實身份和虛擬身份有哪些，他使用網絡做了哪些事，哪個方向是他比較偏向的。這就基本完成了將網絡流量對應到每一個用戶的過程。

數據深加工將全網數據進行匯總，以一定的數據分析技術模型為基礎，從多個維度深挖數據。比如，通過分析瀏覽招聘網站、郵件投遞等維度，可以知道當前網絡中的用戶是否有離職傾向；或者從另一個角度看，當前網絡中的用戶求職熱度有多高，這一點在高校應屆生網絡中經常被重點關注。當然這僅僅是數據深加工的一個方向，還有非工作時間上網分析、工作效率分析、校園網貸分析、沉迷網絡分析、熱門事件分析等，相信未來還會有更多貼近業務的功能出現。

站在用戶角度，以上已基本完成網絡用戶的實際行為審計，但從國家層面看，每一個網絡依然是一個小小的黑盒。這也是國家出臺一系列法律法規、推動網絡合規建設的初衷，國家希望了解清楚網絡中的每一個行為，這部分數據主要為安全事件發生后溯源準備。

現階段，數據合規的強制對象是非經營性的網絡提供商，類似火車站網絡、機場網絡等。這些網絡的共性特點是：網絡服務免費提供、使用網絡資源的用戶流動性強。推進單位是各地網監部門，其主要職責一方面是完成數據的收集，另一方面是針對合規建設的監管監控，用法律手段保證合規建設的有序落地。

此次的分享就到這里，謝謝大家！