◆岑 岚

(中国移动通信集团安徽有限公司 安徽 230000)

1 引言

本方案主要针对WEB应用系统登录时提供高级的认证方式，作为一个独立的服务进行调用。通过从IP地址、设备指纹、地理位置和位移速度、用户行为分析等因素进行风险分析，是一种强大的分层思想，经过每一层的防护，将攻击者拦截的机会就越大，并基于上下文的感知，能够全方位评估风险等级。同时可以与多因素认证结合使用，达到缓解风险保证级别，进一步加强认证保障。

2 目标

认证智能引擎（AIE）采用基于风险认证（RBA）的思想，利用机器学习方法对登录行为进行挖掘，并从多个层次进行防护验证，在不增加用户中断的情况下进行认证，从而提升用户的体验和拦截攻击者。

3 自适应认证

现在的安全威胁复杂多变，传统安全防御模式已经捉襟见肘。如果安全防御系统能够根据安全威胁情况，自动进行防御程度的调节，将极大缓解安全威胁所带来的防御压力。风险自适应系统就会根据风险情况不同，进行不同程度的安全验证。

3.1 攻击方式培训

攻击者通过社交工程和恶意软件（如钓鱼邮件）的组合方式侵入到组织。一旦恶意软件被部署，或者通过最薄弱的环节获取对企业网络的访问权限后，攻击者就建立了一个初始立足点，并试图获得具有访问级别较高权限的合法凭证或者创建新的凭证，然后就可以横向移动，并在组织内执行侦察，最后获得想要的数据。

3.2 多因素身份验证

而在事件响应期间最常使用的是多因素身份验证，以保护关键数据和基础设施。当攻击者使用合法凭据通过VPN登录时，通过要求安全令牌或指纹、密码、多因素身份验证等方式，可以阻止攻击者盗取或创建的合法凭据，从而限制了他们在组织内横向移动的能力。

3.3 自适应认证

自适应认证是收集关于用户及其环境的其他属性，并在基于风险策略的上下文中评估这些属性的过程。自适应认证的目标是通过要求用户进一步证明他们的身份，来为敏感资源的访问提供适当的风险缓解保证级别。这通常通过逐步认证来实现，可以使用不同类型的验证器来实现此目的。

虽然自适应认证某一项技术可以规避攻击，但是如果将几个或全部技术集合起来使用，将是一个强大的解决方案。这样，自适应认证就是一种分层的概念，经过每一层的防护，那样将攻击者拦截的机会就越大。其实，自适应认证既可以作为多因素认证的替代，也可以作为多因素认证的补充。比如当自适应认证检测到用户登录存在一定程度的风险时，才需要多因素身份验证，从而减轻了用户的负担。使用多个预授权风险因子，从而决定用户如何进行身份验证，包括如下：

（1）拒绝访问；

（2）允许，不需要多因素身份认证；

（3）需要一个多因素身份认证步骤；

（4）强制密码重置；

（5）引导到一个安全区域。

4 功能实现

4.1 技术实现

下面介绍自适应认证的几种技术的细节实现：

（1）设备

对设备的识别通常是一个多阶段的过程：在首次进行身份验证时，需要用户注册一个设备终端，在后续的认证中，就会根据存储的配置文件验证终端。

（2）位置

自适应认证可以将用户当前的地理位置，一个有实际意义的物理位置，然后与该用户已知地理位置的黑白名单进行比较，并根据结果进行相应的操作。

（3）IP地址

可以创建黑白IP地址名单列表，从已知良好IP地址范围认证的用户将拥有较少的认证中断，而从已知黑名单的 IP认证尝试将被拒绝或需要通过另外的认证步骤。匿名网络或匿名代理（如 Tor）都是在隐藏可识别用户的信息，大多数组织都应该阻止这些网络的访问尝试。

（4）账户

当攻击者能访问你的网络，除了窃取现有的用户凭证之外，通常还会创建新的用户凭证。然而，攻击者不能创建具有适当组成员关系和属性的用户。因此，将用户当前信息与保存在目录或用户存储中的相应信息进行比较，可以阻止攻击者试图使用他们创建的凭证。对具有特权或具有敏感访问权限的账户，可以提高身份验证和访问的门槛。

（5）行为

这可以简单将上下文和逻辑结合起来，例如，用户从北京登录，5分钟后又试图从南京登录，这是不可能的，表明可能存在凭证滥用。行为也可能很复杂，需要机器学习和大数据分析。了解每个用户的典型行为并能够识别异常，这可以表明账户接管和攻击者的行为。

（6）用户和实体行为分析（UEBA）

UEBA用于监视用户行为，例如登录，远程访问，网络连接等，模拟正常行为，然后检测可能指示正在进行攻击的异常情况。UEBA是一种能注意到用户正常行为的网络安全过程。反过来，当这些正常模式出现偏差时，就会检测到任何异常行为或实例。UEBA是一种功能强大的工具，允许安全团队从他们自己的数据中学习，并主动监控组织内部的异常行为，从而实现更具风险的自适应安全方法。

4.2 系统架构

为了保证分析引擎能够适用不同产品、不同的部署环境的需求，可以从不同的数据源抽取数据，支持从文件、数据库、hadoop HDFS、Solr等方式加载配置信息。然后选取特征值，并进行相应的特征值处理，使其适应机器学习的数据方式，再通过机器学习算法对用户行为模式进行挖掘。

4.3 服务调用

（1）单点登录调用

这种方式主要用于调用方对自适应评分接口的调用量较少，并发量不多的情况。一个应用方只需调用一个微服务提供方。

（2）单点登录调用

这种方式主要用于调用方对自适应评分接口的调用较频繁，并发量较大的情况。为了能够及时响应请求，将风险等级结果返回给调用方。将风险评分部署多个微服务，缓解服务器压力。

4.4 用户画像

为了能够直观反映出用户的信息，让安全分析人员了解自适应认证的结果，所以要提供每个登录用户的画像标签，以便在核对用户威胁时，提供参考依据，如下。

4.5 上下文规则配置

为了方便对用户历史登录过程的认证结果进行查看，故提供一个可以查询的界面。主要会从设备自适应认证分析会从多个上下文的方向进行评估，有些评判规则可能不适应某些现场。所以提供一个可以让管理员配置上下文规则的界面。自适应分析平台就会根据用户选择的配置，来进行评分。

主要涉及以下几个方向：

（1）设备指纹特征：设备MAC地址、操作系统、CPU信息、屏幕分辨率、设备使用的语言、浏览器的配置。

（2）地理位置特征：地理位移速度、地理位置、地理围栏、IP信誉。

（3）身份治理特征：目录查找、访问权限。

5 结语

企业组织不能依靠预防性方法来阻止攻击者，但是可以在攻击者周围加强网络。本方案提供的自适应认证是一种功能强大的分层方法，可以限制攻击者在组织内横向移动和使用盗取和创建的任何凭证来窃取有价值的知识产权、财务数据或其他敏感信息。自适应认证可以根据组织的风险承受能力进行定制，使其能够平衡安全性并获得更好的用户体验。