用户与实体行为分析在实时网络攻击检测中的角色
The role of User Entity Behavior Analytics to detect network attacks in real time
用户与实体行为分析在实时网络攻击检测中的角色
2018 International Conference on Innovation and Intelligence for Informatics, Computing, and Technologies (3ICT)
级别:CCF None
企业正在使用高级安全解决方案来保护其信息资源。然而,即使如此高的投资,传统的安全方法也无法保护网络结构免受最先进的攻击。新的主动式安全方法正在兴起,如用户实体行为分析(UEBA)。UEBA是一种网络安全过程,它使用机器学习、算法和统计分析来检测实时网络攻击。本文旨在评估使用行为分析保护网络免受前所未有的攻击(如零日攻击)的价值和成功性。本文采用了系统的文献综述、自我管理调查和访谈,对知名网络用户和顶级安全供应商进行了便利抽样。通过对各种安全专家的调查和访谈,验证基于行为分析的解决方案的实际有效性。在通过调查收集原始数据的过程中,研究人员将与销售解决方案的供应商进行结构化访谈,以了解基于行为分析的解决方案的性能及其解决方案的独特功能。文献综述、调查、访谈和焦点小组的结果将用于评估使用行为分析保护网络免受前所未有的攻击(如零日攻击)的价值和成功。本文旨在强调不同UEBA解决方案的弱点和优势,以及它们在实时交互中检测网络攻击的有效性。本研究对比了基于用例和功能的前十五种UEBA技术,并强调了常见的使用场景。根据证据,将提出建议。
1.当前的网络安全方法
如今,基于签名的检测仍然是发现和消除企业安全威胁的主要方法,入侵防御系统和防病毒软件只寻找与攻击指纹相匹配的指纹。它们检查活动并识别与已知攻击特征相匹配的指纹,然后将防止可疑活动。攻击者使用复杂的方法跳过入侵预防系统和入侵检测系统IPS/IDS等系统。通过使用拒绝服务、碎片、模糊处理和应用程序捕获等技术,他们试图将攻击作为合法流量传递,以防止IPS/IDS检测到安全漏洞。某些IP/ID依赖于异常检测;通过将当前流量与基线流量进行比较,当显示不熟悉的流量时,将显示警报。基于异常检测的IPS/IDS具有更精确、更可定制的入侵检测方法,但从管理的角度来看,它更密集,需要更多的计算开销。人们普遍认为,IPS/IDS不足以指出所有攻击,尤其是零日攻击、重复的误报警报以及无法提供有价值的投资回报(ROI)。虽然IPS/IDS和其他外围安全系统使用的签名的缺点众所周知,但业界的大部分工作都集中在更快地提供签名上。这种策略只会导致更快的攻击者或使用具有未知特征的向量。为了保护组织网络免受这些未知的威胁和攻击,许多下一代安全解决方案正在使用各种新兴的方法和技术,这些方法和技术大多依赖于某种形式的高级分析来监控网络行为并阻止异常攻击
2.论文回顾
Barbara Filkins(2015)在SAN Institute发表的一篇题为“数据分析在威胁检测中不断扩大的作用”的文章中指出,大多数系统依赖于三种威胁检测方法中的一种或多种——基于特征(或误用)的检测、基于异常(或基于行为)的威胁检测和连续系统健康监测[6] .
第一种方法,基于签名(或误用)检测使用一组规则,通过观察已知和记录的攻击特定的事件模式来识别入侵和病毒等威胁。预处理方法(如网络流量的深度数据包检查)可在捕获的网络流量中找到可能的特征。从受监视的环境中生成的特征码环境与签名数据库中的已知签名相匹配。如果出现任何匹配,则会发出警报,如果根本没有匹配,则检测器将不做任何操作。这种方法通常比传统方法产生的误报更少,处理要求相对较低。主要缺点是它仅在y检测已知且可用已定义特征码的攻击。必须识别、建模新攻击并将其添加到特征码数据库中,特征码数据库必须定期更新,以保持创新性利用或基于先前未知缺陷的利用,避免规避防御。
第二种方法,Filkins(2015)表示基于异常或(基于行为),其中威胁检测取决于攻击行为与正常活动的差异足以检测和识别恶意行为的假设。使用此方法的工具首先创建表示“正常”的行为模式模型构成安装环境的网络、系统、应用程序、最终用户和设备的行为。然后,他们会查找与该模式的偏差。第二种方法的优势是it能够在不知道威胁的重要性的情况下发现威胁。从历史上看,这种方法具有较高的错误率正比率、在高度动态环境中训练系统的复杂性以及计算费用。
第三种方法是持续系统健康监测,通过主动监测关键系统“健康”或性能因素来检测入侵,以识别活动和资源使用中的可疑变化或趋势。在网络上,这可能意味着监控网络中使用的协议、随时间推移的带宽使用情况,考虑有突发流量增加的端口,该方法映射到恶意行为可能具有共同的独特行为,通过使用已开发的调谐系统范围的措施,并理解所识别的变化和趋势的重要性。安全平台使用一组机制和技术来检测网络中的任何异常行为和安全漏洞。安全平台应用“大数据”技术,利用机器学习进行安全分析。安全平台执行“实时”用户/实体行为分析(UEBA),以检测与安全相关的异常和威胁,无论此类可疑行为之前是否已知。分析结果的可视化演示显示了风险等级和支持证据,此可视化演示使网络安全管理员能够立即对检测到的异常或威胁作出响应并采取行动。网络管理员可以通过搜索行为模式来发现异常行为。
3.UEBA
UEBA致力于检测服务器和端点之间通信行为的变化,这可能表明存在攻击。通过使用无监督机器学习,可以检测设备、用户或网络活动中的显著变化,从而发出攻击存在的信号。安全管理员可以首先纠正高优先级警报以保护敏感资产,也可以选择自动响应过程以将控制周期的时间降至最低。图2显示了行为分析过程通常由机器学习提供动力,机器学习应用数学模型来查看用户、实体和网络行为的分析。因此,这种方法允许检测企业内的现有攻击。
一些网络安全供应商成功地使用了这种方法,他们声称WanaCry或Petya勒索软件无法在他们的监视下攻击客户端[8]。因此,网络安全供应商建议企业部署基于行为分析的解决方案,以检测偏离传统预防技术的入侵。尽管供应商添加了不同的功能并对异常检测方法保密,但所有UEBA工具都有一些基本的共同特征。UEBA从系统日志中监控和收集用户和实体活动的数据,并使用高级分析方法分析收集的数据。通过发现行为模式和与可接受或正常活动的偏差来创建用户行为和实体的基线配置文件,并建立正常行为的阈值。创建基线配置文件是UEBA系统最重要的阶段,因为它定义了进一步检测潜力的准确性。最初,概要文件的构建是使用来自应用程序数据存储库的培训数据完成的。用户和实体行为概要的基线建模由UEBA供应商提供。此配置文件是任何系统中最关键的资产,因为报告和警报基于此配置文件的准确性。将创建原始配置文件并将其存储在配置文件存储库中。然后,供应商提供的配置文件应用程序对该原始配置文件执行配置文件操作,并将其发送给配置文件评估,评估结果将用于配置文件构建,以提高配置文件的质量。概要文件构造通过概要文件评估结果或测试数据集(存储在应用程序数据存储库中)不断更新。为了提高行为概要文件的准确性,以便有效地支持其应用程序,必须在构建、评估和存储概要文件的整个过程中自动化或半自动化概要文件系统,并为开发概要文件应用程序提供概要文件操作[9]。
用户行为分析模型包括机器学习、统计模型、基于规则和签名的模型,以及针对不同用例的现成分析模型。上述模型的有效性通过模型在基线和动态分析方面的能力来衡量,以便快速适应用户角色变化等。独立的UBEA工具为用户和实体在一段时间内的行为构建概要文件/模型,并将其作为检测任何恶意行为的基线通过注意他们行为中的任何突然或突然变化来采取行动。将当前用户和实体行为与建立的基线进行比较,然后UEBA系统决定偏差是可接受的还是异常的。如果检测到异常,系统将估计偏差程度及其风险水平,并实时向安全官员发送警报。零日攻击和勒索软件是近年来给企业造成巨大损失的两大安全威胁。经济损失达到数百万,因为这不仅仅是赎金的成本,还有许多其他相关成本。
4.UEBA缺点
在UEBA中应用机器学习的缺点与任何机器学习带来的缺点相同。机器学习在处理特权用户、开发人员和知识渊博的内部人员时存在局限性。这些用户代表了一种独特的情况,因为他们的工作职能往往需要不规则的行为。这给统计分析创建算法基线带来了困难。另一个缺点是UEBA不能将长期复杂的“低速度”攻击表示为攻击,因为它们没有日常影响,似乎不存在。
用户与实体行为分析在实时网络攻击检测中的角色相关推荐
- 企业安全中的用户与实体行为分析
User and Entity Behavior Analytics for Enterprise Security 企业安全中的用户与实体行为分析 期刊/会议:2016 IEEE Internati ...
- 04-用户和实体行为分析(UEBA)
目录 1.什么是用户和实体行为分析(UEBA) UEBA的三大支柱 UEBA和SIEM的融合 UEBA用例 恶意内幕
- 使用用户行为实体分析和数据可视化的异常检测
Anomaly Detection using User Entity Behavior Analytics and Data Vsualization 使用用户行为实体分析和数据可视化的异常检测 1 ...
- TableauBDP,哪个才是最适合中国用户的数据可视化分析工具?
作者:pledge 本人数据分析师一枚,除了工作所需,自己对数据分析.数据可视化的产品工具都比较感兴趣,喜欢混迹于各种数据论坛,也发现和使用了不少数据工具,也积累了很多亲身经历.这两年数据可视化在国内 ...
- 用户画像标签体系——从零开始搭建实时用户画像(三)
用户画像标签体系 用户画像的核心在于给用户"打标签",每一个标签通常是人为规定的特征标识,用高度精炼的特征描述一类人,例如年龄.性别.兴趣偏好等,不同的标签通过结构化的数据体系整合 ...
- android开发微博搜索,一款帮助用户自动提取微博热搜、知乎热榜、百度实时热点条目中与特定领域...
HotDetector(全网热门探测仪) 全网热门探测仪一款帮助用户自动提取微博热搜.知乎热榜.百度实时热点条目中与特定领域(科技.娱乐.体育.自定义)有关内容的实用App. 它使用Java SE 8 ...
- 重新定义分析 - EventBridge实时事件分析平台发布
作者:肯梦 对于日志分析大家可能并不陌生,在分布式计算.大数据处理和 Spark 等开源分析框架的支持下,每天可以对潜在的数百万日志进行分析. 事件分析则和日志分析是两个完全不同的领域,事件分析对实时 ...
- 网站数据分析:基于用户细分的比较分析
从网站的用户层面,我们根据用户访问的行为特征将用户细分成各种类型,因为用户行为各异,行为统计指标各异,分析的角度各异,所以如果要对用户做细 分,可以从很多角度根据各种规则实现各种不同的分类,看到过有些 ...
- 用户体验设计案例分析
基于我们列出的 7 条UX评价准则,分析"南通大学教务管理系统微信公众号" 在用户体验设计方面让你觉得满意的地方(不少于2点):(20分),请陈述理由. 1.我随便发送过去几个,然 ...
最新文章
- WZJ的数据结构(零)KMP
- python评分卡建模-实现WOE编码及IV值计算
- android.support.v7.app.ActionBarActivity
- leetcode1353. 最多可以参加的会议数目(贪心算法)
- 2020计算机考研只考数据结构的学校,【择校必看】十三所计算机专业课只考数据结构的985院校!...
- 【C语言】第五章 迭代计算与循环结构 题解
- 船舶和计算机结合论文格式,近海船舶监控系统中航迹关联算法的计算机研究与实现...
- wordpress-黑格网址blackgrid导航主题模板
- 【luogu P2764 最小路径覆盖问题】 模板
- 在windows Console 平台下面 用glut编写 opengl程序 注意
- SAMBA最简单的配置方法
- SecureCRT 查询ORCLE NUMBER字段显示问题
- 创建批处理文件.bat文件(删除指定文件夹下的文件及文件夹并循环)
- java去除水印,Java 删除/复制Word文档水印
- HTML顶部状态栏更改背景,适合做导航栏背景的图片
- JavaScript基础练习题(一)
- OpenStack私有云安装配置虚拟机
- 项目开发过程中遇到的问题和解决方法
- java程序之飞机大战_java写飞机大战一
- python的常见矩阵除法_Python矩阵除法