检测用户中的异常--UEBA方法

Detecting Anomalies in Users – An UEBA Approach

检测用户中的异常–UEBA方法
期刊/会议：Proceedings of the International Conference on Industrial Engineering and Operations Management, Dubai, UAE,
March 10-12, 2020
CCF None

1.背景

UEBA方法是安全领域中一种可行的方法，使用统计分析和机器学习等方法检测用户的异常行为。

在本文中，研究人员探索了不同的用户模式、用户频率、不同的用户位置，以及研究人员如何使用用户和实体行为分析（UEBA）概念来探索模式和活动。作者在大数据集上应用基本的统计方法，通过查看用户的模式来识别用户行为中是否存在任何异常。

异常检测的应用以及机器学习等技术和先进方法解决检测问题并不是什么新鲜事。异常检测的研究工作可以追溯到1987年（Denning，1987）。最近在异常检测领域也发现了一些工作（Chandola等人，2009年），但在工业中几乎没有应用。目前，业界对用户行为和分析有兴趣，但持怀疑态度（Pinto，2014），（Gates等人，2007），（Rieck等人，2011）给出了假设要点以及与领域、数据和运营方面相关的各种细节。（Sommer和Paxson，2010）给出了整个安全域的特征。因此，在UEBA中，开发相关用例和明确定义的范围是非常重要的。异常检测只能帮助识别用户事件。

2.UEBA定义

UEBA是一种全面的方法，用于确保组织具有一流的安全性，同时检测可能导致系统安全漏洞的用户。UEBA可以识别人类和计算机的正常和异常行为，以提供完整的可见性。UEBA使用大数据、数据分析、人工智能、机器学习以及更多信息来了解是否存在与常规模式的任何偏差，从而得出可能对组织构成潜在威胁的异常情况。（“什么是用户实体行为分析？UEBA的定义、好处、工作方式等”）

3.UEBA的优点

在UEBA中，对用户实体进行跟踪。目前，防火墙等预防措施并不是100%的万无一失。黑客&攻击者可随时进入系统，因此需要进行检测，以将损害降至最低。

4.UEBA的作用

1. 检测内部威胁：检测组织内可能窃取数据&信息的员工。因此，帮助检测数据泄露。
2. 检测被盗帐户
3. 检测受保护数据的违规行为
4. 通过发现安全异常来检测网络攻击者（“什么是用户实体行为分析？UEBA的定义、好处、工作方式等”）

5.相关工作

序号	发表年份，文章名称，期刊/会议	主要内容	模型方法	效果
1	2017，Framework for behavioral analytics in anomaly identification	作者提出了一个联合环境中的策略和行为安全框架，强调异常检测和个体活动对群体活动的偏离	策略形式的新约束	他们比较了两个自主系统交互时发生的重复性任务，可以检测异常行为并防止其再次发生
2	2016, User and Entity Behavior Analytics for Enterprise Security, IEEE International Conference on Big Data	本文作者概述了解决威胁和事件调查的情报平台。作者特别关注通过IP地址跟踪用户行为及其位置	基于奇异值分解的算法	作者开发了一个解决方案，可以帮助安全分析人员检测异常
3	2017, Reducing False Positives Of User-to-Entity FirstAccess Alerts for User Behavior Analytics, IEEE International Conference on Data Mining Workshops	在本文中，作者使用因子技术进行数据规范化，以使用企业日志进行预测。他们开发了减少用户行为中误报的方法。	基于因子分解机的方法	减少误报
4	2017, How machine learning is catching up with the insider threat, Cyber Security: A PeerReviewed Journal	本文旨在说明机器学习能力如何以及为什么能够帮助组织减少这些不足，从而提供必要的额外保护	机器学习	机器学习的结果仍需要人进行最后的审核分析，以确定是否恶意
5	2017, Magic Quadrant for Data Center Networking, Gartner Reprint	本文聚焦于支持更好的敏捷性和云架构企业数据中心的网络解决方案。企业I&O领导者应评估多家供应商，重点比较体系结构、软件功能和基础架构集成能力，而不是硬件规格	–	–
6	2018, Market Guide for User and Entity Behavior Analytics	本文主要介绍UEBA的分类，特点	–	–

上述作者开发的格式和方法跨越多个维度，并试图映射和关联整个行业的现有方法。他们深入分析了其他研究人员在UEBA中特别关注的问题、方法和发现等参数。由于UEBA是一个非常新的新兴领域，全球研究人员的研究很少。因此，用于上述分析的论文数量非常有限。

6.UEBA实现

（1）UEBA如何工作？

UEBA的前提假设：

员工的用户名和密码很容易被盗，但一旦进入网络，模仿员工的典型行为就变得非常困难。例如，假设我们窃取了某人的密码和用户名。除非进行广泛的研究和准备，否则一旦进入系统，我们仍然无法准确地像那个人一样行事。因此，当此人的用户名登录到系统时，他的行为与UEBA警报开始响起时的普通行为不同。另一个相关的类比是信用卡是否被盗。小偷可以扒窃钱包，去顶级商店，开始用信用卡消费数千美元。如果该卡上的消费模式与窃贼的不同，该公司的欺诈检测部门通常会识别异常消费并阻止可疑购买，向该卡的所有者发出警报或要求其验证交易的真实性。

（2）UEBA架构

其中一个清晰的体系结构是IBM Watson的安全性（IBM QRadar Advisor with Watson:彻底改变安全分析师的工作方式，2017年）中提到的体系结构。

（3）信息安全领域的竞争格局

全球用户和实体行为分析（UEBA）市场预计将从131美元增长。2016年为700万美元，至908美元。到2021年达到300万，复合年增长率为47。2016年至2021年期间为1%。据估计，2016年北美地区在全球实体行为分析市场中所占份额最大。亚太地区的用户和实体行为分析市场正呈现出积极的趋势，因为一些公司和行业在不同层面上采用了用户和实体行为分析解决方案，以在市场上奋力拼搏，提高生产力。亚太地区用户和实体行为分析市场预计将出现指数增长，并预计在预测期内以最高的复合年增长率增长。（“什么是用户实体行为分析？UEBA的定义、好处、工作方式等”）

这是由于该地区对用户和实体行为分析解决方案和服务的需求不断增加。此外，亚太地区网络和移动应用程序的使用快速增长，以及保护这些应用程序免受漏洞攻击的需要，导致对用户和实体行为分析解决方案的需求增加，这些解决方案可识别网络基础设施以及网络和移动应用程序中的安全漏洞，并帮助降低与之相关的风险。（“什么是用户实体行为分析？UEBA的定义、好处、工作方式等”）

（4）UEBA有巨大优势

UEBA解决方案识别典型用户行为中的模式，然后找出与这些模式不匹配的异常活动，并可能与安全事件对应。UEBA解决方案通过应用统计方法探索行为模式。

下图显示了UEBA与网络安全的区别：

7.发现与成果

提供的数据包括用户名单和他们访问的IP地址。使用R上的IP2location可以从IP地址获取位置详细信息。这提供了有关IP的更多详细信息，其中一些详细信息包括城市、州、国家和位置坐标。根据表2所示获得的数据，绘制了以下图表。

下图显示了不同国家的用户活动的差异。可以观察到，印度在图表中占据了69%的主要区域。这意味着大部分记录的数据来自印度。其次是美国：

下图可以看到不同用户的使用率。用户8728的使用率最高，而大多数其他用户的访问次数不超过50次，少数用户的访问次数超过100次。

图6给出了世界各地不同城市的用户活动情况。根据图例，标有红色阴影的区域表示高度接近，而标有绿色阴影的区域表示较低的区域接近。这张地图显示了南亚地区两个有较大红色标记的地区。这将是孟买和班加罗尔。这两个地区与印度的高访问率有关（见图1）。南亚地区也有其他标志。在亚洲，中国（北京、山丘、上海和顺义）和泰国（曼谷）等地区也有大量活动。澳大利亚地区展示了包括墨尔本、珀斯、黄金海岸和高勒在内的沿海地区的活动。中东和欧洲地区的活动似乎有所减少。约旦有记录的城市有安曼、阿尔·马夫拉克。在欧洲，几乎所有观察到的活动都来自英国（伦敦、斯诺德兰和布莱克布鲁克）。北美的活动显著增加，美国是主要用户。在美国，沿东西海岸观察到的城市数量较高，而中部地区的数量较低。

印度和美国的访问量较高，这与这些国家的工作空间和客户数量有关。与IPs相关的数据被整合并可视化为图7中的图形。将所有IP分组到不同的范围，并将范围内IP的计数记录在图表中。从图中可以看出，最常用的IP范围为100。000和149。255255255个，达到1500多个。最低范围是200.0.0.0和255.255.255.255

8.结论

从分析和数据中我们可以观察到，作者关注的是来自不同地点的用户使用公司网络的行为。此外，作者还探索了这些用户利用这些位置的不同时间。作者还想探索用户使用这些公司服务的频率。他们还研究了这些服务的使用地点和频率。作者还使用IP范围和IP地址研究了不同地点的用户密度。