用户实体行为分析
用户实体行为分析(User and Entity Behavior Analytics, UEBA)技术通过对用户实体持续画像和建模, 可从海量收集的安全数据中及时发现和识别出攻击以及异常的行为 [22]。
UEBA包括一些基本的分析方法(阈值分析、序列分析),同时也包括一些高级分析方法(关联分析, 机器学习):
🅙 阈值分析: 主要是基于统计方法做异常检测。对一段时间内的数据进行统计,然后和阈值比较,
如果超出阈值范围,则判定为异常。比如统计正常的历史流入流出流量的统计值作为阈值,进 行异常行为判定。
🅙 序列分析: 时间序列分析(Time series analysis)是一种动态数据处理的统计方法。该方法基
于随机过程理论和数理统计学方法,研究随机数据序列所遵从的统计规律,以用于解决实际问题。 比如在数据库服务器下载场景中,通过时间序列分析检测与识别异常下载行为模式。
🅙 关联分析: 用于发现隐藏在大型数据集中的有意义的联系。可以基于算法做关联分析,挖出数
据之间的关联规则,另外,还可以借助图数据库等工具,挖掘数据之间的关联。
🅙 机器学习: 通过对大量历史数据持续进化不断学习,能够检测和识别异常或恶意行为,特
别是对数据安全未知威胁的检测具有优势。UEBA可应用逻辑回归、SVM、K-Means 聚类、 DBSCAN密度聚类、随机森林等算法。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
