【A07】终端操作行为偏离分析算法【深信服】
发布时间: 2021-11-17 17:32:17

1.命题方向

企业服务

2.题目类别

应用类

3.题目名称

终端操作行为偏离分析算法

4.背景说明

【公司背景】

深圳市深信服科技股份有限公司成立于2000年,是专注于网络安全与云计算领域,致力于为用户提供更简单、更安全、更有价值的创新IT解决方案服务商。先后获得了“CMMI5国际认证”、“第一批国家高新技术企业”、“国家规划布局内重点软件企业”、“亚太地区德勤高科技高成长500强”等殊荣。同时,深信服还是IPSec VPN和SSL VPN两项国家标准的主要承建单位、并受邀参与制定《第二代防火墙标准》。在行业合作上,深信服是互联网应急中心应急服务支撑单位、国家信息安全漏洞共享平台CNVD成员单位、中国国家信息安全漏洞库CNNVD技术支撑单位和公共漏洞和暴露组织CVE认证合作单位。深信服的安全产品零信任aTrust/SDP,SSL等接入控制类产品,要实现基于用户终端行为模式的识别来判断用户的真实身份,避免因账号盗用而引起的安全问题,则需要解决该课题需求。

【业务背景】

深信服零信任访问控制系统aTrust是深信服基于零信任SDP(软件定义边界)架构推出的一款以“流量身份化”和“动态自适应访问控制” 为核心能力的创新安全产品。aTrust提供业务隐身、动态自适应认证、终端动态环境检测、全周期业务准入、动态访问控制、多源信任评估等功能,满足移动化和云化趋势下多场景的业务应用安全访问需求。

5.项目说明

【问题说明】

为了解决数字化办公的安全风险、优化管理运维与使用体验,深信服设计了办公网安全最小访问模型,并依照该模型打造了深信服零信任安全解决方案。为了实现让“正确的人”通过“正确的终端”在“任意网络位置”基于“正确的权限”访问到“正确的业务和数据”。我们除了对用户的身份进行认证检测控制外,也需要对于用户在登录后的人机交互行为进行检测,避免因为账号密码被盗,或者用户登录后离开操作终端被他人冒用身份进行访问的安全风险。

本课题需要解决账号或电脑被盗用后,被利用访问重要业务系统的风险,如OA、财务等。

【用户期望】

希望该课题方案能对人机交互基线偏离有一定的研究,通过终端交互行为(键盘、鼠标等终端交互设备)分析识别真实用户。

基本要求,系统能通过浏览器网页交互行为分析识别出真实用户,如有真实用户A、恶意用户B、恶意用户C都访问OA系统,希望能识别真实用户为A,其他都为恶意用户。

进阶要求,不仅仅能区分识别真实用户,还能识别出真实用户的恶意行为,如真实用户造成的内部泄密场景,为了进一步提升检测的准确度,不限于通过网页的交互行为进行分析,可以考虑更多的信号进行分析,如操作序列、流量大小特征等。

6.任务要求

【开发说明】

算法或方案可以在各种终端用户日志数据中,或终端交互设备的事件中,建立正常合法用户的行为基线,并基于基线能够识别出非法用户的操作。

如可以在网页中注入脚本收集终端网页的交互行为,可以通过web服务器审计的方式,审计HTTP日志。

【技术要求与指标】

需要评估该方案实际工程落地的可行性,以及该落地的具体方案。方案希望轻量简单,能较为实时的识别出风险,或可以基于账号登录后的操作识别出异常,逐步定性账号发生异常可能性,赋能零信任实时风险评估能力。

【提交材料】

1)项目概要介绍;

2)项目详细方案,包括算法思路和对数据的认识、特征工程、使用的模型、训练和调优过程、评估效果;

3)项目演示视频;

4)项目简介PPT;

5)企业要求提交材料:

1算法思路及其效果展示;

6)团队自愿提交的其他补充材料。

【任务清单】

1)对日志数据以及终端的交互终端行为事件日志进行深入分析,包括数据的类型、格式和交互特征等:

终端交互特征可以通过网页中注入javascript进行收集;

网页操作行为可以通过web服务器审计HTTP日志;

测试的目标系统可以是任意系统,但要求网页内容丰富,如GitLab网页版、discourse。

2)模型的概述与简介,对算法模型有充分的认识和理解;

3)模型的识别准确度、误判率、运行性能开销进行分析和优化:

希望可以用于生产场景,所有尽可能准确,衡量方法为抽样多个用户对网页进行操作,其中多个用户中会包含真实用户,算法需要区分出真实用户,进阶要求需要分析出真实用户是否存在异常操作。准确率在60%以上,此为本项目重点指标;

运行环境为8Core、8BG环境;

检测算法qps希望每秒5千次以上。

【开发工具与数据接口】

后端系统:linux

后端分析语言:python、java任一

终端网页行为提取:javascript

7.其他

8.参考信息

9.评分要点

赛题评分要点见附件:A类初决赛阶段评分表。

订阅号