《基于AI的UEBA大数据分析课件.pptx》由会员分享,可在线阅读,更多相关《基于AI的UEBA大数据分析课件.pptx(16页珍藏版)》请在三一办公上搜索。
1、基于AI的UEBA大数据分析,当前安全风险- 典型应用层攻击,某医通:黄牛抢号团伙某人贷:短信扫号平台,某游戏:道具量化交易攻击,关键技术:代理池、猫池.抢号再退号机器人,多源低频接码平台人机交互,爬虫平台比价系统量化交易机器人,下一代安全产品思路:UEBA(用户实体行为分析),过度依赖情报中心,滞后性,云化导致的共享性导致误报率高,依赖设备指纹识别,人-机识别不等于好-坏识别,无法解决搜索引擎、API合法调用等误判问题,主要依靠流量特征,容易被攻击者构造特殊流量绕过,完全基于规则,依赖人工,定制成本高,可维护性差,容 易遗漏,规则只能识别已知,无法发现未 知威,串行/嵌入模式,接入复杂,存在
2、延迟,有可能中断正常业务,基于AI技术的 UEBA(User Entity Behavior Analysis ) 用户实体行为 分析,软件云化旁路 部署,安全大 数据分析,下一代 安全产品,UEBA(User Entity Behavior Analysis,用户实体行为分析),UEBA的前提是U(User): 以用户为视角,流量为视角,用户为视角,UEBA(User Entity Behavior Analysis,用户实体行为分析),作用域- 行为分析 - AIAI落地安全的技术难题1.标注样本难题,人/ID,动作,UEBA的核心是BA(Behavior Analysis): 行为建模-
3、 定义行为时间结果地点六元组模型,UEBA(User Entity Behavior Analysis,用户实体行为分析),场景多样化难题可解释性难题,强,可解释性,样本依赖度,主流安全产品分析原理:IDS、IPS、WAF、SIEM.,强,主流人工智能应用分析原理:人脸 识别、语音识别、广告推荐.,规则,统计学,机器学习(经典),深度学习,安全&AI 结合点,无监督 学习,半监督 学习,UEBA(User Entity Behavior Analysis,用户实体行为分析),request length,response code,uri,path,http method,request ti
4、me,user agent,referer,无监督学习 - 个群对比基于实时个群对比原理进行异常行为识别,先对用户行为进行行为建模,构建数学空间模型,然后再进行空间特征泛化,最后进行个群对比 分析,将行为异于正常用户的攻击者识别出来:无需标注样本自动识别无需被动依赖规则自动识别最大值,最小值,平均数,标准差,中位数,四分位数,重复环占比,最大占比,最小占比,相似度,LCS,UEBA(User Entity Behavior Analysis,用户实体行为分析),无监督学习 - 聚类分析通过聚类特征放大,对多源低频团伙行为进行识别判断。深度引擎还进行长时间轴线分析,对比自身行为规律变化情况,进行
5、威胁检测-发现深层次异常行为发现团伙异常行为发现低频异常行为发现代理池异常行为,UEBA(User Entity Behavior Analysis,用户实体行为分析),无监督学习 - 规律学习通过学习数据的历史行为内在规律计算概率模型,然后基于这些概率模型构建集成学习分类算法,进而对未知异常行为进行识别分析。需要 学习的内在规律包括文本规律和路径规律:,输入规律输出规律输入=输出规律行为时间轴规律粘连项规律周期规律.,注册,验证 码,登陆,排名 查询,积分 查询,UEBA(User Entity Behavior Analysis,用户实体行为分析),半监督学习 - Active Learn
6、ing利用Active Learning算法,允许用户进行有限标注,通过CNN(卷积神经元网络)训练少量样本模型,进而通过模型串接,修正原有算法 分析结果,最终提升算法准确率,- 传统产品对于误判的处理:,修改规则加白主动学习的优势:无需修改规则通过深度学习构建高级特征,跨越黑白名单,模型 成熟,AI识别,专家有 限标注,筛选+ 联想,Active Learning:CNN训练模型,ATD - 新一代的深度威胁感知系统,ATD - 新一代的深度威胁感知系统,ATD是UEBA基于用户实体行为分析,有效感知并防御企业内外网安全威胁,提升 企业整体安全水平,ATD是SIEM采集企业各种数据,通过大数
7、据分析,对其进行实时汇总分析、关联、 展现,提升企业整体安全能力,ATD是AI通过无监督和半监督机器学习算法,对数据进行个群对比分析和历史 规律建模,有效识别异常行为并感知未知威胁,解放安全人员人力, 提升企业整体安全效率,应对企业安全场景,内网,外网,账号破解 暴力登陆 邮箱轰炸 非正常登陆 账号共享 受控主机 数据泄露 弱密码服务 未授权访问.,撞库爬虫 刷票/刷单 多源低频薅羊毛注入攻击 账号漂移 路径扫描 短信轰炸.,ATD部署模式:最后一道防线,加强防御纵深,支持SaaS和私有化模式两种工作模式SaaS需要cname私有化采用旁路部署,不影响原有 业务支持日志或流量两种方式接入支持纯内网运行或公网联动运行分析用户行为(UEBA),构成安全 最后一道防线,ATD私有化模式部署架构图,实际案例 - 某电商平台,通过傅里叶变化进行时频域转换攻击者使用伪造User Agent不断更换UserID进行撞库攻击者访问频率不高,几百次访问/小时攻击者破解签名算法,获取到正确的签名通过频域个群对比,确认是撞库攻击,实际案例 - 某游戏公司,通过时间轴线行为建模分析24小时行为走势对比正常用户,攻击者行为熵较小对比正常用户,攻击者时间轴方差较小攻击者整体行为特别是夜间行为异于正常用户通过个群对比,确认是游戏外挂,谢谢,
