本文分享自天翼云开发者社区《零信任的用户行为分析: 通过综合策略解锁安全洞察力（三）》，作者：Icecream

在当今日益动态和互联的数字环境中，伴随业务的多元化发展，传统网络的边界愈发模糊，依赖“纵深防御﹢边界防御”的网络安全防御模式岌岌可危。零信任，一个假定没有内在信任的安全概念，已经成为应对这些挑战的一个强大框架。零信任策略的核心原则是不信任任何用户或设备，而用户行为分析则提供了洞察用户行为、检测异常活动和加强安全措施的手段，使企业能够获得对用户行为的宝贵洞察力。在这篇文章中，我们将探讨零信任策略和用户行为分析的交叉点，以及如何将它们相互结合，以实现更强大的安全防护。

行为感知

零信任策略、用户行为分析和行为感知之间存在着密切的联系和相互影响。零信任策略强调对用户和资源的细粒度访问控制，而用户行为分析和行为感知提供了实现这种访问控制的关键支持。天翼云零信任具有基本行为感知、入侵行为感知、异常行为感知和多维度行为感知等多方面感知能力，并结合智能AI引擎，实时监测异常用户行为。

基本行为感知，通过时间维度异常感知和访问位置异常感知，能够提供更精细的访问控制和风险评估机制。时间维度异常感知通过对用户的时间模式和行为活动进行分析，基于用户历史行为数据的统计学习，建立用户的正常访问模式。当用户的访问行为偏离正常模式时，判断其可能存在安全风险，并利用设定了风险评估偏差容忍度的算法，系统可以触发告警、降权、二次认证提权或退出用户会话等相应动作。访问位置异常感知则通过对用户访问位置的模式进行监测和分析，学习正常访问位置模式，识别用户的合法访问位置，并同时间维度感知一般具有相应措施。

入侵行为感知，通过安全设备联动和访问日志分析，可以提高入侵检测和响应能力。零信任联动Web应用防火墙（WAF）、入侵防御系统（IPS）、防火墙等安全设备，如利用WAF的入侵检测和离线分析功能，对网络流量进行实时监测和分析，并结合WAF攻击跳转规则设置触发参数，当检测到潜在的入侵行为时，触发相应的处理动作。而访问日志分析基于天翼云深耕多年的CDN离线分析方案，对访问日志的进行统计和分析，检测和识别异常的请求模式和行为特征。

异常行为感知，结合登录行为感知和访问行为感知俩方面，即使发现异常行为。登录行为感知旨在检测和识别用户的异常登录活动，包括短时间多次登录和多次错误登录，通过设置时间周期、错误次数等参数，可以控制多次错误登录触发的动作。访问行为感知旨在监测和分析用户的异常访问行为，包括请求频率异常和请求维度异常，请求频率异常针对指定资源设置访问周期和访问次数阈值并结合自学习填充阈值，根据历史数据动态调整阈值，以适应不同的访问模式。请求维度异常则是对访问范围超出次数进行统计，如访问范围超出了正常范围超过阈值，触发异常访问的判定。

多维度行为感知，涵盖了多个场景的智能分析，包括经典的被钓鱼主机失陷场景、二次认证失效的账号丢失场景。还原攻击场景，从攻击者视角寻找异常行为，如单位时间内对内网多网段进行横向访问，账号泄密在非常规设备上进行异常登录。通过综合判断和基于规则的恶意评分计算，及时发现入侵异常行为并采取相应的动作。

零信任的用户行为分析是构建安全防护的关键环节。通过综合策略和多维度行为感知，企业能够获取更全面的安全洞察力，及时发现和应对安全威胁，保护网络和数据的安全。在不断演进的威胁环境中，零信任策略和用户行为分析将继续发展，为企业提供更强大的安全保障。