用戶行為審計是指對用戶在網絡平臺上的行為進行監控和記錄，以便對其行為進行分析和評估的過程。隨著互聯網的普及和發展，用戶行為審計在網絡安全和數據隱私保護方面起到了重要的作用。 用戶行為審計可以幫助發現和預防網絡安全威助。通過對用戶的行為進行監控和記錄，可以及時發現并陽止惡意攻擊、病毒傳播等網絡安全威脅。例如，當用戶的行為異常時，系統可以自動發出警報并采取相應的措施，保護網絡平臺的安全。
本文以家用的TP-Link 路由器為例，來實戰一下用戶行為審計，看看能發現一些什么異常。
TP-Link路由器是家用比較常見的路由器，通過簡單的配置就可以實現用戶行為管控。

一、路由器的行為管控配置

一般的路由器都帶有簡單行為管控功能，以我的TL-R479GP-AC為例，可以對網站訪問、應用控制等進行相應的管控。

這里我們現對網站和應用進行監控記錄，對用戶的行為進行審計和管控。

1、網站訪問控制

網站訪問控制可以實現對某些IP，在什么時間段、訪問什么網站進行記錄和監控。
如我們對bilibil網站進行監控，將B站的域名配置到網站分組中，組名為“娛樂視頻”。當然還可以加入跟多的需要記錄和管控的網站。

在網站訪問的規則中進行配置，為IP地址組選擇受管理的網站，在相應時間段中，與IP地址相匹配的設備在訪問“娛樂視頻”等類型的網站時受到管理。我這里是配置的是所有的地址段、所有時間段、將“娛樂視頻”記錄到系統日志。方便我們后續進行上網行為的審計分析。

2、應用控制

同樣可以對應用進行控制，對應用控制就是對APP的移動應用的訪問進行監控和控制。在這里我們選擇對所有的應用進行監控。

配置監控的規則，如所有的IP所有的時間段，多訪問所有的應用進行記錄

通過上面的配置，路由器就會根據上面配置的規則來記錄相應的日志。但是要進行行為審計還要借助其他的工具如安全審計系統。

二、用戶行為審計

1、安裝安全審計系統

TP-Link提供了免費的TP-LINK安全審計系統。從官網上下載既可以進行部署和設置。TP-link提供的安全審計系統是以虛擬機鏡像方式進行安裝的。下載安裝包后安裝包附有一個比較詳細的安裝教程。
TP-Link官網 https://www.tp-link.com.cn/

下載安裝包解壓后除了有一個虛擬機鏡像文件外安裝包還附有一個比較詳細的安裝教程。

在正式安裝之前需要安裝Oracle VirtualBox的虛擬機管理軟件，然后根據這個安裝手冊將虛擬機注冊到管理軟件進行啟動。
虛擬機配置如下圖所示：

啟動虛擬機后，就可以訪問安全審計平臺了。

安全審計系統默認用戶名和密碼都是admin，登錄成功后會提示該默認密碼。

2、配置安全審計平臺

如果用對路由器進行安全審計，要進行簡單的配置。最關鍵的配置還是設置IP地址。
安全審計系統安裝后默認的IP是192.168.1.240，要采集網絡中路由器的日志，必須要和路由器在同一網段網絡要通。所以要將安全審計平臺的IP進行修改。

3、配置路由器

配置路由器的目的是要將路由器的審計日志發送到剛安裝和配置好的安全審計平臺。
登錄到TP-Link路由器的配置管理界面，開啟行為審計的上傳用戶上網行為，輸入安全審計系統平臺的地址，保存配置。

同樣將系統日志也配置報送到安全審計平臺。

將安全審計的日志也送到安全審計平臺。

4、日志分析與行為分析

配置完成后，我們再登錄到安全審計系統，就可以看到審計日志都送到系統了可以做相應的審計了。
可以看到那個IP什么時候訪問了什么，同時也看到了前面我們在路由器的的訪問控制也生效了，有效的阻止了企圖訪問bilibili.com的IP。

在行為分析中可以看到用戶受管控的排行

也可以看到具體哪些IP受管控的次數

以及具體被管控的原因

5、利用AI進行審計與分析

現在AI大模型已經很強大了，我們可以將安全審計系統的日志導出來給大模型進行審計與分析。發現其他的一些人工審計發現不了的異常。如發現用戶的行為特征及偏離平時訪問基線的一些訪問等。
我們將安全審計系統的審計日志導出為Excel，將Excel通過coze空間進行審計分析，可以生成比較完整的審計報告。

可以看到coze空間生成的審計報告還是比較全面美觀。

也可以用WPS自帶的AI數據分析，可以看出對用戶的異常行為的分析還是比較專業和詳細的。

---

作者博客：http://xiejava.ishareread.com/