没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
目录
UEBA 调研.................................................................................................................2
一、UEBA 的背景与特点.........................................................................................2
二、UEBA 的系统设计思路.....................................................................................3
三、UEBA 的应用场景...........................................................................................10
四、UEBA 常见的概念...........................................................................................20
五、现有产品及其特点...........................................................................................22
六、总结...................................................................................................................31
UEBA 调研............................................................................................................2
一、UEBA 的背景与特点....................................................................................2
二、UEBA 的系统设计思路................................................................................3
三、UEBA 的应用场景......................................................................................10
四、UEBA 常见的概念......................................................................................20
五、现有产品及其特点......................................................................................22
六、总结..............................................................................................................30
UEBA 调研
一、UEBA 的背景与特点
背景:信息安全事件正在从传统的针对业务系统和主机的攻击事件,转向
侧重于针对数据泄露和数据篡改的事件。过半数的企业认为内部威胁远大于外
部威胁。由于 UEBA 类技术用于解决以人、资产、数据为维度的内部安全安全
类场景。此类场景往往攻击行为不明显,无成型的方法论,也无显著的规律可
以遵循。此外,UEBA 所支持的场景都有长、低、慢,即所谓低频长周期的特
征,场景支持的复杂性、分析数据的多维度等特性,均对 UEBA 类产品的关键
技术支撑提出了高要求。
数据泄露行为从技术角度可以分为四个环节:探测、横向移动、数据的访
问和收集、数据泄露。探测环节的典型特征包括:恶意软件、账号被盗;横向
移动环节典型特征包括:平行移动、异常登录;数据的访问和收集环节典型特
征包括:大量数据访问、应用账号滥用;数据泄露环节的典型特征包括:不正
常的对外连接、突增的网络流量等。
应对的思路如下,针对数据泄露行为检测,可以收集相关安全设备日志或
者 it 设备日志,然后利用 UEBA 技术进行数据泄露风险的分析。比如:利用用
户的一些登陆、登出的行为,发现账号是否存在被劫持或者被盗用的风险;或
者通过网络流量的历史访问数据,建立动态的基线,从而发现当前流量是否有
异常。
UEBA 的核心定位是“人”,即检测用户行为是否异常。所以说,它跟传统的
安全手段不太一样。传统的安全手段关注安全事件,比如病毒和木马。 UEBA
能帮助用户发现一些可疑的行为尤其是内部可疑行为,能够为安全人员的行动
迅速指明方向。UEBA 有两个优势:1、更容易找到存在异常行为的人或者说坏
的“人”。UEBA 是长时间、持续性地对用户行为进行记录和分析,通过历史行为
分析来检测当前的一些操作是否存在异常,这样就能大大削减告警的数量,能
够迅速地关注到存在的风险点。2、因为是基于“人”的视角判定,所以可以更直
接地让我们的审计人员,安全人员快速地定位到这个“人”的恶意操作行为。
UEBA 的技术核心理念,就是上下文感知,是基于对用户、终端、文件、
网络或者是其他一些实体,来构建上下文的联系。比如:人的这些基础的、自
然的属性,包括他的部门、职位、账号、权限以及其他一些信息,都可以作为
分析实体来构建上下文内容。同时,UEBA 的价值在于产生内部威胁的异常行
为事件。而异常行为事件或规则的指定,简单的方式是基于各种类别内部数据
进行针对性定义,是来自于安全经验和客户环境和场景的驱动。
二、UEBA 的系统设计思路
目前的 UEBA 解决方案
整体方案分为四层:数据源层、数据处理层、分析引擎层、展示层。
分析引擎层有个特点,第一个特点是基于用户访问数据自动生成安全基线。
比如针对访问数据库的行为,从谁访问的、如何访问、访问了什么数据、同一
类型的用户访问行为是不是一致、访问量多少、什么时间访问等多个维度来构
建动态的基线。这比传统的基于规则或者基于阈值的检测大大提升了检测的准
确度。举例来说,我们一些客户核心业务系统中防止数据泄漏的做法,是针对
一些营业人员的高频次访问客户详单这种敏感操作做安全审计,采取了一刀切
的审计策略。比如:营业人员如果一天内上千次的查客户详单,认为会涉及到
数据泄漏风险。但是每个公司下面各个营业点或者各个子公司的业务量是不一
样的,业务有繁忙和空闲周期,这里面就没办法有效的查出真正的“有数据泄
漏”的点,反而有很多误报。这里我们可以基于动态基线,结合每个人的操作历
史行为、登陆地等特征,再结合历史操作的量来对今日的操作行为进行判断,
这样的一个检测效果就会比原来检测的准确率提升很多。
第二个特点是用到机器学习的模型。比如针对敏感数据接口调用,我们可
以采用孤立森林算法。采用机器学习的时候,从账号、IP、时间、接口四个角
度,多维度综合数据特征。比如:账号的角度,可以考虑中的类型、账号登录
次数、以及账号接口调用数、账号关联系统类型等维度数据。IP 的角度,可以
考虑 IP 的接口调用次数、IP 关联的接口类型等维度。时间角度可以从访问时长、
访问的时间是不是工作日、时间间隔等维度。基于这些维度数据,结合孤立森
林算法进行异常行为检测。
基于机器学习分析的方法,核心还是基于用户和数据,因为大部分的数据
泄漏风险还是在用户和数据交汇点。我们在用户层面,会关注用户的身份,包
括:账号、IP 信息、使用的软件等。访问的数据层面,我们就关心访问的具体
数据内容,包括:执行的一些具体的操作、时间、数据量、文件类型和大小等。
总结 UEBA 在数据泄漏风险应用上主要呈现以下特点:
一是对用户、终端、文件、应用和其他实体构建上下文。以用户上下文为
核心实现驱动或关联数据,实现行为分析和异常检测。
二是除了传统的规则以外,专门构建的机器学习算法可以产生高度可信的
结果,这有助于事件响应和寻找威胁。
三是以部门、个人、资产、资产群等为单位建立多维度行为基线,关联用
户与资产的行为,用机器学习算法和预定义规则找出严重偏离基线的异常行为。
四是提供基于用户的调查分析工具,全面掌握用户信息和行为轨迹,让异
常用户无所遁形。
内部威胁的提出基本都是来自于安全经验和客户环境和场景的驱动。
希望为客户解决的问题:账号失陷检测、主机失陷检测、数据泄漏检测、
内部账号滥用、提供事件调查的相关证据。
UEBA 产品不仅依赖机器学习,还依靠统计和特征的方法。
统计的方法会更经常出现,如某用户账号第一次访问一个文件夹、用户访
问的文件数量异常等。但这些发现的异常不会产生直接给客户的报警,而是成
为机器学习使用的原材料:features(特征),在这些 features(特征)基础上,
再利用机器学习(包括贝叶斯方法),快速的确定不同 features(特征)组合对
应的风险值,而风险值大于一定范围才会成为需要用户关注的事件。这种方法,
在数据和机器学习中间,有一个异常发现的过程及中间产物,利用专家领域的
知识,简化了机器学习的方面的工作,同时提升了系统灵活性,进而可以快速
部署、快速完成学习过程。
UEBA 系统还可以分为五层机构。
基于大数据的交管用户异常现场分析系统从下到上划分为五层架构,分别
是采集层、数据层、接口层、引擎层、展现层。
采集层:日志采集可采用网络流量采集和审计日志采集两大手段。
数据层:实现审计数据大数据存储,是大数据日志分析的基础。
接口层:接口层主要对各种灵活的和常用的脚本进行适配,提供一体化多
源数据分析工具,使整个平台更好的供业务人员使用以及和其他系统对接。
引擎层:引擎层对已有的审计大数据进行计算处理、挖掘分析,支撑上层
应用。主要包括搜索引擎、基础计算引擎、高级挖掘引擎三部分:
搜索引擎:提供全部审计数据的全文检索功能,支持模糊查询,用户可以
在展现层中根据关键字进行搜索,就像使用 Google、百度搜索一样;
挖掘引擎:挖掘引擎利用大数据挖掘算法,通过各类计算模型,采用数据
挖掘算法和相似度推荐算法,对数据进行分析并得到挖掘的结果;
计算引擎:计算引擎的作用是对海量的日志进行各个维度的快速计算,为
数据挖掘和分析准备数据。
系统数据库设计
剩余30页未读,继续阅读
资源评论
DeepRLearner
- 粉丝: 1
- 资源: 2
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功