网络安全先进技术与应用发展报告：用户实体行为分析技术（51页）

行业报告下载 2020年07月24日 07:08 管理员

通过对比安全新旧范式，可以看到 UEBA 具有明显的独特价值。 UEBA 可以给安全团队带来独特的视角和能力，即通过行为层面的数据源以及各种高级分析，增强现有安全工具能力，提高风险可视性，弥补了安全运营中长久以来缺失的、极度有价值的视角，并提高了现有安全工具的投资回报率。 UEBA 比现有的分散工具具有更大的风险可视性，尤其是经过评分排序的威胁线索减少了噪音和误报告警。通过直观的点击式界面访问上下文和原始事件，从而加速了事件调查和根本原因分析，缩短了调查时间，降低了事件调查人数以及与雇用外部顾问相关的成本。

UEBA 无需设定阈值，让安全团队更有效率。引入全时空上下文，结合历史基线和群组对比，将告警呈现在完整的全时空上下文中，无需安全团队浪费时间手动关联，降低验证、调查、响应的时间；当攻击发生时，分析引擎可以连接起事件、实体、异常等，安全人员可以看清全貌，快速进行验证和事故响应；促使安全团队聚焦在真实风险和确切威胁，提升威胁检测的效率。 4.降低成本 UEBA 通过聚合异常，相比 SIEM、DLP 等工具，大量降低总体告警量和误报告警量，从而降低安全运营工作负载，提升投资回报率（ROI）；通过缩短检测时间、增加准确性，降低安全管理成本和复杂性，降低安全运营成本；无监督、半监督机器学习让安全分析可以自动化构建行为基线，无需复杂的阈值设置、规则策略定制，缓解人员短缺问题；通过追踪溯源及取证，简化事故调查和根因分析，缩短调查时间，降低每事故耗费的调查工时，以及外部咨询开销。

异常检测关注发现统计指标异常、时序异常、序列异常、模式异常等异常信号，采用的技术包括孤立森林、K 均值聚类、时序分析、异常检测、变点检测等传统机器学习算法。其中，基于孤立森林的异常检测效果图如图 7 所示。现代的异常检测也利用深度学习技术，包括基于变分自编码器（VAE）的深度表征重建异常检测、基于循环神经网络（RNN）和长短时记忆网络（LSTM）的序列深度网络异常检测、图神经网络（GNN）的模式异常检测等。针对标记数据缺乏的现状，某些 UEBA 系统能够采用主动学习技术（Active Learning）、自学习（Self Learning），充分发掘标记数据和无标记数据的价值。