第10章 用户行为分析与恶意行为检测

已于 2022-10-08 15:46:42 修改
阅读量932 收藏
点赞数
文章标签: 深度学习
于 2022-10-08 15:36:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lieslyang/article/details/127209714
版权

        尽管包括数据防泄漏(Data Leakage Prevertion, DLP)在内的众多安全产品已被添加到企业网络安全战略中,但是确保机密数据和资产的安全仍是企业和组织面临的一大挑战。

        我们将恶意内部人员和内部员工的异常操作统称为恶意操作。检测这种恶意操作需要使用高级技术,比如用户行为分析(User Behavior Analysis, UBA),这种新兴技术可提供以往被遗漏的数据保护和欺诈检测功能。结合用户日常操作的系统,UBA利用一种专门的安全分析算法,不仅可以关注初识登录操作,还能跟踪用户的一举一动。UBA有两个主要功能:它有助于为用户执行的正常活动确立基线;迅速识别偏离正常行为的异常行为,以便安全分析员执行调查。某些异常行为可能乍一看不是恶意的,但是这需要安全分析员进一步调查情况,以确定它是合法行为还是恶意行为。

        本章基于SEA数据集介绍UBA的一个典型应用场景,即恶意操作行为检测。

10.1 数据集

        2001年Schonlau等人第一次将内部攻击者分类成叛徒(Traitor)与伪装者(Masquerader),其中叛徒指来源于组织内部的攻击者,其本身是内部合法用户;而伪装者指外部攻击者窃取了内部合法用户的身份凭证,从而利用内部用户身份试试内部攻击。随后该团队构造了一个公开的检测伪装者攻击的数据集SEA,该数据被广泛用于内部伪装者威胁检测研究。

        SEA数据集涵盖70多个UNIX系统用户的行为日志,这些数据来自UNIX系统记录的用户使用的命令。

10.2 特征提取

10.2.1 词袋和TF-IDF模型

10.2.2 词袋和N-Gram模型

10.2.3 词汇表模型

10.3 模型训练与验证

10.3.1 朴素贝叶斯算法

10.3.2 XGBoost算法

10.3.3 隐式马尔可夫算法

10.3.4 深度学习算法之MLP

玛丽有只小绵羊
关注
专栏目录
机器学习在用户行为异常检测中的应用
AI天才研究院
10-26 962
{文标题} 关键词:机器学习、用户行为异常检测、监督学习、无监督学习、特征提取、降维、异常检测算法、深度学习 摘要: 本文将深入探讨机器学习在用户行为异常检测中的应用。通过对监督学习、无监督学习和半监督学习的介绍,我们将理解这些方法在异常检测中的基本原理。接着,文将详细讲解特征提取与降维技术,包括主成分分析(PCA)、独立成分分析(IC
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
热门推荐
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文。这篇文将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文,希望对您有所帮助~
基于Web日志的Web应用恶意用户行为异常检测(Anomaly Detection of Malicious Users Behaviors for Web Applications Based o)
一智哇的博客
03-29 5312
入侵检测;web日志;异常检测用户行为分析
OpenUBA:用于安全性分析的健壮,灵活的开源用户和实体行为分析(UEBA)框架。 由网络安全行业的数据科学家和安全分析人员通过luv开发。 [PRE-ALPHA]
02-05
开放用户行为分析 健壮且灵活的开源用户和实体行为分析(UEBA)框架,用于安全分析。 由网络安全行业的数据科学家和安全分析人员通过luv开发。 白皮书 该项目正在进行中,尚处于Alpha阶段; 热烈欢迎您的投入和贡献 状态类型 状态 Master Build Development Build Issues Closed Issues Last Commit Server Docker Stars Server Docker Pulls Server Docker Automated Server Docker Build License Releases Latest
《Web安全之深度学习实战》笔记:第十 用户行为分析恶意行为检测
mooyuan的博客
03-11 1821
基于SEA数据集介绍UBA的一个典型应用场景,即恶意操作行为检测。事实上,在《web安全之机器学习入门》中,我们已经了解过该数据集。 我们将恶意内部人员和内部员工的异常操作统称为恶意操作。检测这种恶意操作需要使用高级技术,比如用户行为分析(User Behawiors Analysis,UBA),这种新兴技术可提供以往被遗漏的数据保护和欺诈检测功能。结合用户日常操作的系统,UBA利用一种专门的安全分析算法,不仅可以关注初始登录操作,还能跟踪用户的一举一动。UBA有两个主...
使用多种算法检测用户异常操作行为
不忘初心,护天下安全!
03-05 4144
数据集 www.schonlau.net,包含50个用户的操作日志,每个日志中有15000条操作指令,前5000条都是正常操作,后10000条包含随机的异常操作。 1.使用K近邻算法检测异常操作 思想:取使用最频繁的和最不频繁的操作命令。 # -*- coding:utf-8 -*- import sys import urllib import urlparse import re ...
信息安全-用户行为分析系统
#7的博客
11-06 1166
之前开发了一款用户行为分析系统,开发语言:c# 利用winpcap启用监听模块,监听网络中的数据流 实时监控网络中数据,并对数据流进行处理筛选,根据规则管理中用户自己制定的规则选出符合条件的数据,并实时展示出来。 本系统共有:展示模块、设备选择模块、流量统计模块、结果展示模块、查询记录模块、规则管理模块和行为分析模块 1.首页展示 2.规则管理: 3.查询记录 4.行为分...
使用用户行为分析(UBA)进行数字身份保护
最新发布
ITmoster的博客
01-16 996
用户行为分析(UBA)是一种用于检测用户行为模式异常以发现网络内威胁的技术。UBA 解决方案使用数据分析和机器学习(ML)算法来创建特定于每个用户的基线行为,它们可以检测与此基线的偏差,从而有助于在早期阶段检测潜在的安全威胁。
学习笔记-第十四 恶意代码分析实战
Yes_butter的博客
03-26 1548
第十四 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
基于 flink 的电商用户行为数据分析【9】| 电商常见指标汇总 + 项目总结
大数据梦想家
12-17 6768
        本篇是flink 的「电商用户行为数据分析」的第 9 篇文,也是该系列的最后一篇,为大家带来电商常见的指标汇总和对前8篇文做一个的阶段性的总结,并融入一些我自己的思考,希望大家能够从中受益,感谢阅读! 电商指标整理 有关"人"的指标 客服 指标名词 名词解释 询单量 下单前来询问客服的客户总数 询单转换率 (转化率= 成单数/来访量转化率)影响的因素有:宝贝描述(宝贝图片优化和描
电商用户行为实时分析系统(Flink1.10.1)
Mmj666的博客
05-28 2645
Flink项目,Flink初体验(Flink1.10.1版本哟~)
基于多类特征的Android应用恶意行为检测系统
01-20
目前针对未知的Android恶意应用可以采用数据挖掘算法进行检测,但使用单一数据挖掘算法无法充分 发挥Android应用的多类行为特征在恶意代码检测上所起的不同作用.文中首次提出了一种综合考虑Android多 类行为特征的三层混合系综算法THEA(Triple Hybrid Ensemble Algorithm)用于检测Android未知恶意应用.首 先,采用动静态结合的方法提取可以反映Android应用恶意行为的组件、函数调用以及系统调用类特征;然后,针 对上述3类特征设计了三层混合系综算法THEA,该算法通过构建适合3类特征的最优分类器来综合评判 Android应用的恶意行为;最后,基于THEA实现了Android应用恶意行为检测工具Androdeet,并对现实中的 1126个恶意应用和2000个非恶意应用进行检测.实验结果表明,Androdect能够利用Android应用的多类行为特 征有效检测Android未知恶意应用.并且与其它相关工作对比,Androdect在检测准确率和执行效率上表现更优.
用户行为监控(Piwik)
huixueyi的博客
02-13 1万+
用户行为监控(Piwik)简介概述 Piwik是一个集成PHP和MySQL的开放源代码的Web统计软件。它提供关于你的网站的实时统计报告,比如网页浏览人数, 访问最多的页面, 搜索引擎关键词等等…… Piwik拥有众多不同功能的插件,你可以添加新的功能或是移除你不需要的功能,Piwik同样可以安装在你的服务器上面,数据就保存在你自己的服务器上面。你可以非常容易的插入统计图表到你的博客或是网站抑或
UEBA 学术界研究现状——用户行为异常检测思路:序列挖掘prefixspan,HMM,LSTM/CNN,SVM异常检测,聚类CURE算法
w36680130的博客
05-23 460
UEBA 学术界研究现状——用户行为异常检测思路:序列挖掘prefixspan,HMM,LSTM/CNN,SVM异常检测,聚类CURE算法
基于深度学习恶意样本行为检测(含源码)
围城
04-04 3189
2020/04/03 - 本文是对文[1]的读后感,详细信息请参考原文。 本文是对恶意样本进行分类,包括病毒、木马、蠕虫等。对于软件的处理,是通过沙箱运行,得到软件运行的api调用序列,然后利用CNN来实现最后的分类。 我看了一下他的源代码,第一层是一个embedding,其实我就是对这个东西不是非常理解。说白了, 他的这个工作就是一个文本分类的过程,文本是某软件的系统调用执行序列。然后他利用...
检测用户中的异常--UEBA方法
一智哇的博客
11-13 4017
Detecting Anomalies in Users – An UEBA Approach 检测用户中的异常–UEBA方法 期刊/会议:Proceedings of the International Conference on Industrial Engineering and Operations Management, Dubai, UAE, March 10-12, 2020 CCF None 1.背景 UEBA方法是安全领域中一种可行的方法,使用统计分析和机器学习等方法检测用户异常行为
Awake Security Platform:一款用NTA实现恶意行为检测的工具
systemino的博客
06-21 624
随着企业及各类组织机构逐渐将网络的使用转向云和远程,传统网络的定义在逐渐发生变化。同样,物联网设备的使用越来越多,加密和影子系统的使用越来越频繁,我们也就可以理解,为什么一直以来在保持网络和系统安全方面的问题都得不到妥善的解决。 更重要的是,网络犯罪分子也在不断的改变策略:他们越来越依赖恶意软件,并开始将攻击目标转移到窃取合法凭证上,并通过使用已部署在常规环境中的工具生存下来,例如python的...
多场景用户实战---用户行为分析(总结有点多)
weixin_43737594的博客
09-14 1631
用户行为分析 学习目标 知道用户行为分析的常用方法 知道AARRR模型的含义 掌握使用Python代码进行用户行为分析 1、什么是用户行为分析产品运营中,如何及时准确的获得用户产品的反馈十分重要,我们可以根据用户的反馈,及时改进产品,从而保持竞争优势。 用户行为是指用户产品上产生的行为,比如登陆,浏览商品,加购物车,收藏,点赞,分享,视频完播,划走视频等等 2、如何进行用户行为分析 2.1 事件分析 行为事件分析的作用:研究某
Android恶意代码检测:静态-动态分析结合方法与系统实现
1. 权限:检查应用程序请求的权限,某些特定权限可能是恶意行为的标志。 2. API调用序列:分析程序的API调用模式,恶意软件通常会使用特定的API执行恶意操作。 3. 组件:Android应用由多个组件组成,如活动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值