用户与实体行为分析在实时网络攻击检测中的角色

admin管理员组

文章数量:1619183

The role of User Entity Behavior Analytics to detect network attacks in real time

用户与实体行为分析在实时网络攻击检测中的角色
2018 International Conference on Innovation and Intelligence for Informatics, Computing, and Technologies (3ICT)
级别：CCF None

企业正在使用高级安全解决方案来保护其信息资源。然而，即使如此高的投资，传统的安全方法也无法保护网络结构免受最先进的攻击。新的主动式安全方法正在兴起，如用户实体行为分析（UEBA）。UEBA是一种网络安全过程，它使用机器学习、算法和统计分析来检测实时网络攻击。本文旨在评估使用行为分析保护网络免受前所未有的攻击（如零日攻击）的价值和成功性。本文采用了系统的文献综述、自我管理调查和访谈，对知名网络用户和顶级安全供应商进行了便利抽样。通过对各种安全专家的调查和访谈，验证基于行为分析的解决方案的实际有效性。在通过调查收集原始数据的过程中，研究人员将与销售解决方案的供应商进行结构化访谈，以了解基于行为分析的解决方案的性能及其解决方案的独特功能。文献综述、调查、访谈和焦点小组的结果将用于评估使用行为分析保护网络免受前所未有的攻击（如零日攻击）的价值和成功。本文旨在强调不同UEBA解决方案的弱点和优势，以及它们在实时交互中检测网络攻击的有效性。本研究对比了基于用例和功能的前十五种UEBA技术，并强调了常见的使用场景。根据证据，将提出建议。

1.当前的网络安全方法

如今，基于签名的检测仍然是发现和消除企业安全威胁的主要方法，入侵防御系统和防病毒软件只寻找与攻击指纹相匹配的指纹。它们检查活动并识别与已知攻击特征相匹配的指纹，然后将防止可疑活动。攻击者使用复杂的方法跳过入侵预防系统和入侵检测系统IPS/IDS等系统。通过使用拒绝服务、碎片、模糊处理和应用程序捕获等技术，他们试图将攻击作为合法流量传递，以防止IPS/IDS检测到安全漏洞。某些IP/ID依赖于异常检测；通过将当前流量与基线流量进行比较，当显示不熟悉的流量时，将显示警报。基于异常检测的IPS/IDS具有更精确、更可定制的入侵检测方法，但从管理的角度来看，它更密集，需要更多的计算开销。人们普遍认为，IPS/IDS不足以指出所有攻击，尤其是零日攻击、重复的误报警报以及无法提供有价值的投资回报（ROI）。虽然IPS/IDS和其他外围安全系统使用的签名的缺点众所周知，但业界的大部分工作都集中在更快地提供签名上。这种策略只会导致更快的攻击者或使用具有未知特征的向量。为了保护组织网络免受这些未知的威胁和攻击，许多下一代安全解决方案正在使用各种新兴的方法和技术，这些方法和技术大多依赖于某种形式的高级分析来监控网络行为并阻止异常攻击

2.论文回顾

Barbara Filkins（2015）在SAN Institute发表的一篇题为“数据分析在威胁检测中不断扩大的作用”的文章中指出，大多数系统依赖于三种威胁检测方法中的一种或多种——基于特征（或误用）的检测、基于异常（或基于行为）的威胁检测和连续系统健康监测[6] .
第一种方法，基于签名（或误用）检测使用一组规则，通过观察已知和记录的攻击特定的事件模式来识别入侵和病毒等威胁。预处理方法（如网络流量的深度数据包检查）可在捕获的网络流量中找到可能的特征。从受监视的环境中生成的特征码环境与签名数据库中的已知签名相匹配。如果出现任何匹配，则会发出警报，如果根本没有匹配，则检测器将不做任何操作。这种方法通常比传统方法产生的误报更少，处理要求相对较低。主要缺点是它仅在y检测已知且可用已定义特征码的攻击。必须识别、建模新攻击并将其添加到特征码数据库中，特征码数据库必须定期更新，以保持创新性利用或基于先前未知缺陷的利用，避免规避防御。
第二种方法，Filkins（2015）表示基于异常或（基于行为），其中威胁检测取决于攻击行为与正常活动的差异足以检测和识别恶意行为的假设。使用此方法的工具首先创建表示“正常”的行为模式模型构成安装环境的网络、系统、应用程序、最终用户和设备的行为。然后，他们会查找与该模式的偏差。第二种方法的优势是it能够在不知道威胁的重要性的情况下发现威胁。从历史上看，这种方法具有较高的错误率正比率、在高度动态环境中训练系统的复杂性以及计算费用。

第三种方法是持续系统健康监测，通过主动监测关键系统“健康”或性能因素来检测入侵，以识别活动和资源使用中的可疑变化或趋势。在网络上，这可能意味着监控网络中使用的协议、随时间推移的带宽使用情况，考虑有突发流量增加的端口，该方法映射到恶意行为可能具有共同的独特行为，通过使用已开发的调谐系统范围的措施，并理解所识别的变化和趋势的重要性。安全平台使用一组机制和技术来检测网络中的任何异常行为和安全漏洞。安全平台应用“大数据”技术，利用机器学习进行安全分析。安全平台执行“实时”用户/实体行为分析（UEBA），以检测与安全相关的异常和威胁，无论此类可疑行为之前是否已知。分析结果的可视化演示显示了风险等级和支持证据，此可视化演示使网络安全管理员能够立即对检测到的异常或威胁作出响应并采取行动。网络管理员可以通过搜索行为模式来发现异常行为。

3.UEBA

UEBA致力于检测服务器和端点之间通信行为的变化，这可能表明存在攻击。通过使用无监督机器学习，可以检测设备、用户或网络活动中的显著变化，从而发出攻击存在的信号。安全管理员可以首先纠正高优先级警报以保护敏感资产，也可以选择自动响应过程以将控制周期的时间降至最低。图2显示了行为分析过程通常由机器学习提供动力，机器学习应用数学模型来查看用户、实体和网络行为的分析。因此，这种方法允许检测企业内的现有攻击。

一些网络安全供应商成功地使用了这种方法，他们声称WanaCry或Petya勒索软件无法在他们的监视下攻击客户端[8]。因此，网络安全供应商建议企业部署基于行为分析的解决方案，以检测偏离传统预防技术的入侵。尽管供应商添加了不同的功能并对异常检测方法保密，但所有UEBA工具都有一些基本的共同特征。UEBA从系统日志中监控和收集用户和实体活动的数据，并使用高级分析方法分析收集的数据。通过发现行为模式和与可接受或正常活动的偏差来创建用户行为和实体的基线配置文件，并建立正常行为的阈值。创建基线配置文件是UEBA系统最重要的阶段，因为它定义了进一步检测潜力的准确性。最初，概要文件的构建是使用来自应用程序数据存储库的培训数据完成的。用户和实体行为概要的基线建模由UEBA供应商提供。此配置文件是任何系统中最关键的资产，因为报告和警报基于此配置文件的准确性。将创建原始配置文件并将其存储在配置文件存储库中。然后，供应商提供的配置文件应用程序对该原始配置文件执行配置文件操作，并将其发送给配置文件评估，评估结果将用于配置文件构建，以提高配置文件的质量。概要文件构造通过概要文件评估结果或测试数据集（存储在应用程序数据存储库中）不断更新。为了提高行为概要文件的准确性，以便有效地支持其应用程序，必须在构建、评估和存储概要文件的整个过程中自动化或半自动化概要文件系统，并为开发概要文件应用程序提供概要文件操作[9]。

用户行为分析模型包括机器学习、统计模型、基于规则和签名的模型，以及针对不同用例的现成分析模型。上述模型的有效性通过模型在基线和动态分析方面的能力来衡量，以便快速适应用户角色变化等。独立的UBEA工具为用户和实体在一段时间内的行为构建概要文件/模型，并将其作为检测任何恶意行为的基线通过注意他们行为中的任何突然或突然变化来采取行动。将当前用户和实体行为与建立的基线进行比较，然后UEBA系统决定偏差是可接受的还是异常的。如果检测到异常，系统将估计偏差程度及其风险水平，并实时向安全官员发送警报。零日攻击和勒索软件是近年来给企业造成巨大损失的两大安全威胁。经济损失达到数百万，因为这不仅仅是赎金的成本，还有许多其他相关成本。

4.UEBA缺点

在UEBA中应用机器学习的缺点与任何机器学习带来的缺点相同。机器学习在处理特权用户、开发人员和知识渊博的内部人员时存在局限性。这些用户代表了一种独特的情况，因为他们的工作职能往往需要不规则的行为。这给统计分析创建算法基线带来了困难。另一个缺点是UEBA不能将长期复杂的“低速度”攻击表示为攻击，因为它们没有日常影响，似乎不存在。

本文标签： 实体实时角色用户网络