用户行为审计是指对用户在网络平台上的行为进行监控和记录，以便对其行为进行分析和评估的过程。随着互联网的普及和发展，用户行为审计在网络安全和数据隐私保护方面起到了重要的作用。 用户行为审计可以帮助发现和预防网络安全威助。通过对用户的行为进行监控和记录，可以及时发现并阳止恶意攻击、病毒传播等网络安全威胁。例如，当用户的行为异常时，系统可以自动发出警报并采取相应的措施，保护网络平台的安全。
本文以家用的TP-Link 路由器为例，来实战一下用户行为审计，看看能发现一些什么异常。
TP-Link路由器是家用比较常见的路由器，通过简单的配置就可以实现用户行为管控。

一、路由器的行为管控配置

一般的路由器都带有简单行为管控功能，以我的TL-R479GP-AC为例，可以对网站访问、应用控制等进行相应的管控。

这里我们现对网站和应用进行监控记录，对用户的行为进行审计和管控。

1、网站访问控制

网站访问控制可以实现对某些IP，在什么时间段、访问什么网站进行记录和监控。
如我们对bilibil网站进行监控，将B站的域名配置到网站分组中，组名为“娱乐视频”。当然还可以加入跟多的需要记录和管控的网站。

在网站访问的规则中进行配置，为IP地址组选择受管理的网站，在相应时间段中，与IP地址相匹配的设备在访问“娱乐视频”等类型的网站时受到管理。我这里是配置的是所有的地址段、所有时间段、将“娱乐视频”记录到系统日志。方便我们后续进行上网行为的审计分析。

2、应用控制

同样可以对应用进行控制，对应用控制就是对APP的移动应用的访问进行监控和控制。在这里我们选择对所有的应用进行监控。

配置监控的规则，如所有的IP所有的时间段，多访问所有的应用进行记录

通过上面的配置，路由器就会根据上面配置的规则来记录相应的日志。但是要进行行为审计还要借助其他的工具如安全审计系统。

二、用户行为审计

1、安装安全审计系统

TP-Link提供了免费的TP-LINK安全审计系统。从官网上下载既可以进行部署和设置。TP-link提供的安全审计系统是以虚拟机镜像方式进行安装的。下载安装包后安装包附有一个比较详细的安装教程。
TP-Link官网 https://www.tp-link.com.cn/

下载安装包解压后除了有一个虚拟机镜像文件外安装包还附有一个比较详细的安装教程。

在正式安装之前需要安装Oracle VirtualBox的虚拟机管理软件，然后根据这个安装手册将虚拟机注册到管理软件进行启动。
虚拟机配置如下图所示：

启动虚拟机后，就可以访问安全审计平台了。

安全审计系统默认用户名和密码都是admin，登录成功后会提示该默认密码。

2、配置安全审计平台

如果用对路由器进行安全审计，要进行简单的配置。最关键的配置还是设置IP地址。
安全审计系统安装后默认的IP是192.168.1.240，要采集网络中路由器的日志，必须要和路由器在同一网段网络要通。所以要将安全审计平台的IP进行修改。

3、配置路由器

配置路由器的目的是要将路由器的审计日志发送到刚安装和配置好的安全审计平台。
登录到TP-Link路由器的配置管理界面，开启行为审计的上传用户上网行为，输入安全审计系统平台的地址，保存配置。

同样将系统日志也配置报送到安全审计平台。

将安全审计的日志也送到安全审计平台。

4、日志分析与行为分析

配置完成后，我们再登录到安全审计系统，就可以看到审计日志都送到系统了可以做相应的审计了。
可以看到那个IP什么时候访问了什么，同时也看到了前面我们在路由器的的访问控制也生效了，有效的阻止了企图访问bilibili.com的IP。

在行为分析中可以看到用户受管控的排行

也可以看到具体哪些IP受管控的次数

以及具体被管控的原因

5、利用AI进行审计与分析

现在AI大模型已经很强大了，我们可以将安全审计系统的日志导出来给大模型进行审计与分析。发现其他的一些人工审计发现不了的异常。如发现用户的行为特征及偏离平时访问基线的一些访问等。
我们将安全审计系统的审计日志导出为Excel，将Excel通过coze空间进行审计分析，可以生成比较完整的审计报告。

可以看到coze空间生成的审计报告还是比较全面美观。

也可以用WPS自带的AI数据分析，可以看出对用户的异常行为的分析还是比较专业和详细的。

---

作者博客：http://xiejava.ishareread.com/