UEBA调研文档.docx

目录

UEBA 调研.................................................................................................................2

一、UEBA 的背景与特点.........................................................................................2

二、UEBA 的系统设计思路.....................................................................................3

三、UEBA 的应用场景...........................................................................................10

四、UEBA 常见的概念...........................................................................................20

五、现有产品及其特点...........................................................................................22

六、总结...................................................................................................................31

六、总结..............................................................................................................30

UEBA 调研

一、UEBA 的背景与特点

背景：信息安全事件正在从传统的针对业务系统和主机的攻击事件，转向

侧重于针对数据泄露和数据篡改的事件。过半数的企业认为内部威胁远大于外

部威胁。由于 UEBA 类技术用于解决以人、资产、数据为维度的内部安全安全

类场景。此类场景往往攻击行为不明显，无成型的方法论，也无显著的规律可

以遵循。此外，UEBA 所支持的场景都有长、低、慢，即所谓低频长周期的特

征，场景支持的复杂性、分析数据的多维度等特性，均对 UEBA 类产品的关键

技术支撑提出了高要求。

者 it 设备日志，然后利用 UEBA 技术进行数据泄露风险的分析。比如：利用用

户的一些登陆、登出的行为，发现账号是否存在被劫持或者被盗用的风险；或

者通过网络流量的历史访问数据，建立动态的基线，从而发现当前流量是否有

异常。

UEBA 的核心定位是“人”，即检测用户行为是否异常。所以说，它跟传统的

安全手段不太一样。传统的安全手段关注安全事件，比如病毒和木马。 UEBA

能帮助用户发现一些可疑的行为尤其是内部可疑行为，能够为安全人员的行动

迅速指明方向。UEBA 有两个优势：1、更容易找到存在异常行为的人或者说坏

的“人”。UEBA 是长时间、持续性地对用户行为进行记录和分析，通过历史行为

分析来检测当前的一些操作是否存在异常，这样就能大大削减告警的数量，能

为事件。而异常行为事件或规则的指定，简单的方式是基于各种类别内部数据

进行针对性定义，是来自于安全经验和客户环境和场景的驱动。

二、UEBA 的系统设计思路

目前的 UEBA 解决方案

整体方案分为四层：数据源层、数据处理层、分析引擎层、展示层。

分析引擎层有个特点，第一个特点是基于用户访问数据自动生成安全基线。

比如针对访问数据库的行为，从谁访问的、如何访问、访问了什么数据、同一

类型的用户访问行为是不是一致、访问量多少、什么时间访问等多个维度来构

建动态的基线。这比传统的基于规则或者基于阈值的检测大大提升了检测的准

确度。举例来说，我们一些客户核心业务系统中防止数据泄漏的做法，是针对

这样的一个检测效果就会比原来检测的准确率提升很多。

第二个特点是用到机器学习的模型。比如针对敏感数据接口调用，我们可

以采用孤立森林算法。采用机器学习的时候，从账号、IP、时间、接口四个角

考虑 IP 的接口调用次数、IP 关联的接口类型等维度。时间角度可以从访问时长、

访问的时间是不是工作日、时间间隔等维度。基于这些维度数据，结合孤立森

林算法进行异常行为检测。

泄漏风险还是在用户和数据交汇点。我们在用户层面，会关注用户的身份，包

括：账号、IP 信息、使用的软件等。访问的数据层面，我们就关心访问的具体

数据内容，包括：执行的一些具体的操作、时间、数据量、文件类型和大小等。

总结 UEBA 在数据泄漏风险应用上主要呈现以下特点：

一是对用户、终端、文件、应用和其他实体构建上下文。以用户上下文为

核心实现驱动或关联数据，实现行为分析和异常检测。

二是除了传统的规则以外，专门构建的机器学习算法可以产生高度可信的

结果，这有助于事件响应和寻找威胁。

内部账号滥用、提供事件调查的相关证据。

UEBA 产品不仅依赖机器学习，还依靠统计和特征的方法。

统计的方法会更经常出现，如某用户账号第一次访问一个文件夹、用户访

问的文件数量异常等。但这些发现的异常不会产生直接给客户的报警，而是成

应的风险值，而风险值大于一定范围才会成为需要用户关注的事件。这种方法，

在数据和机器学习中间，有一个异常发现的过程及中间产物，利用专家领域的

知识，简化了机器学习的方面的工作，同时提升了系统灵活性，进而可以快速

部署、快速完成学习过程。

UEBA 系统还可以分为五层机构。

基于大数据的交管用户异常现场分析系统从下到上划分为五层架构，分别

是采集层、数据层、接口层、引擎层、展现层。

采集层：日志采集可采用网络流量采集和审计日志采集两大手段。

数据层：实现审计数据大数据存储，是大数据日志分析的基础。

接口层：接口层主要对各种灵活的和常用的脚本进行适配，提供一体化多

源数据分析工具，使整个平台更好的供业务人员使用以及和其他系统对接。

引擎层：引擎层对已有的审计大数据进行计算处理、挖掘分析，支撑上层

数据挖掘和分析准备数据。

系统数据库设计