024年9月19日，数智“新”北京暨2024（第二十一届）北京互联网大会“网络安全与数据保护论坛”在京举办。快手入侵检测负责人陈道光出席论坛并发表了题为“基于场景和用户习惯的建模在入侵检测中的应用”的主题演讲。

陈道光在演讲中表示，建模是构建入侵检测能力的重要手段。在传统手段中，通常通过参考ATT&CK矩阵构建攻击检测能力，用规则覆盖其中的技术来提升检测能力，这需要采集各类数据进行特征分析、攻击告警、链路关联。。在入侵检测中，入侵检测的数据日志大概每天可达到10亿以上，检测策略达到1000条以上，攻击技术覆盖率达到64.6%，覆盖了办公终端、生产主机和容器、网络、账号应用等。

快手入侵检测负责人 陈道光

但传统的入侵检测存在两个明显的问题：一是攻击技术较泛，颗粒度不够精细，检测策略覆盖其中1个即算已覆盖，而攻击手法非常多，比如反弹shell，有脚本类型、编程语言类型等；终端场景下攻击技术检测指导性非常强，但在其他场景，如身份盗用攻击和网络攻击场景指导性存在明显不足，而恰恰身份盗用是目前是黑客常用的方式，为了解决这类问题，快手进行了行为习惯建模。

如何快速进行行为习惯建模？陈道光在演讲中表示：“理解和挖掘员工行为模式，基于画像能力构建员工的行为习惯，通过监控员工行为与基线是否产生偏离，构建精准有效的检测模型”。

陈道光介绍，在行为习惯建模中都涉及四类具体场景：常用地点、常用网络、常用系统、常用设备。其中常用地点包括工作城市和工作职场；常用网络包括VPN网络、有线网络、Wi-Fi网络；常用系统包括群组常用系统、常用登录方式、常用功能接口；常用设备包括PC设备、服务器主机、移动设备。通常以上四大类行为习惯可以笼统构建行为习惯“画像”，在入侵检测中，可与其他的系统关联，实现攻击链路可视化，更加精准助力黑客盗用身份信息的入侵检测。

在场景案例检测中，偏离设备、工作时间、工作城市、登录方式异常具有代表性的组合被检出率接近100%。在告警率方面，除了误报的情况，实现了95%告警准确率。

陈道光在演讲中透露，目前通过这种场景建模，实践案例中的检出率和准确率较高。快手目前也在探索这种行为模式在其他方式的检出，比如在主机异常和服务器异常的操作上、员工经常使用的软件等。通常员工使用的软件和操作几乎是固定的，在刻画习惯画像的60天、90天、180天中，行为习惯几乎保持一致。

对于服务器运维人员而言，用户画像的刻画更简单，运维人员通常是通过一些脚本或研发人员进行固定操作，通过目录编译代码上线服务是一种更加固定的习惯画像。如果习惯画像的离散度偏离，极大概率可以判定为黑客入侵。基于场景和用户习惯的建模在入侵检测中的应用，无论在内部的实践中，还是内外部蓝军的攻击中，目前都完成覆盖，检出率接近80%~90%。