基于机器学习的用户实体行DDoS高防为分析技术在账号异常检测中的应用-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 基于机器学习的用户实体行DDoS高防为分析技术在账号异常检测中的应用

基于机器学习的用户实体行DDoS高防为分析技术在账号异常检测中的应用

小墨安全管家 2020-05-19 14:55 CC防护 89 ℃
DDoS防御

显然,同角色属性或者同部门的职员应该会有更多共同访咨询对象和访咨询目的。依照日志信息,建立用户和一段时刻内被访咨询较多的或者业务相关的URL的关联矩阵。矩阵元素能够是访咨询次数、访咨询时长或者平均访咨询时长,利用欧式距离计算客户之间的距离,并举行聚类操作。

整个UEBA的核心系统框架如图4所示。每个算法都会对用户i计算一具独立的异常分值。孤立森林、One Class SVM、局部异常因子3种算法的几个分别记为

代表第i个用户的偏离度;

图3 时序异常检测

图1为某公司的职员账号24 h在线概率密度分布图,可得账号在白天工作时刻在线的概率最大。当动态阈值为0.01时,能够看出该公司的职员在早晨3点到早晨6点的在线概率最小。在早晨0点到早晨3点,该公司还有部分职员在使用VPN加班工作,讲明该公司加班严峻,加班到早晨一两点是常态。

,则最后来的异常评分Score为:

由于内部攻击并不经常发生,标签数据的稀少性决定了多数事情下UEBA使用的是无监督学习算法。从另一具角度讲,不依靠先前的攻击知识反而允许系统发觉少见的和过往未曾发觉的威胁。异常检测的要紧任务是在正常的用户数据集中提取出小概率的异常数据点,这些异常点的产生不是由于随机偏差,而是有如故障、威胁、入侵等彻底不同的机制。

表1为排名前20的异常用户分值及部分特征值,用户名用Hash做了脱敏处理。对排名靠前的异常用户一一验证,在排名前10的用户中,确认了包括账号第三方共享、主机中毒、恶意扫描、离职职员潜入内网以及敏感信息被违规拉取等咨询题,账号风险准确率达到90%。表1 排名前20异常用户分值及部分特征值

在实践中,对排名前10的异常用户举行排查,证明安恒信息的UEBA降地点式在异常用户检测中极其高效。随着互联网技术的日益进展和国家在大数据战略层面的深化推动,数据采集终端越来越多,收录的种类越来越丰富,数据基本成为企业重要乃至最核心的资产之一。

对远离自身角色所在部门群组的用户能够标记为异常,并且基于用户与群组中心的距离给出偏离度,针对异常浮上的偏离程度,可提取访咨询异常特征。偏离度的计算公式如下:

通常采纳4类通用的维度来提取用户行为特征,分别是用户与用户之间行为基线的对照、用户组与用户组之间行为基线的对照、基于用户自身行为基线对照的离散数据特征提取和基于用户自身行为基线对照的延续数据特征提取。第1类维度是用户与用户之间行为基线的对照。

4 基于Ensemble Learning的异常用户检测

图4 UEBA核心系统框架

基于机器学习的用户实体行DDoS高防为分析技术在账号异常检测中的应用

式中,

UEBA本质上属于数据驱动的安全分析技术,需要采集大量而广泛的用户行为类数据。大数据时代,数据是一切分析的基础,少量的或者质量不高的输入必定导致价值不高的输出。可是,这并不意味着数据纯粹的越多越好,与场景不相关的数据,过多收集只会增加系统负担。

代表第i个用户与类簇中心距离;

3 基础特征提取

用户446983413异常排名居首,对其异常特征举行排查,发觉存在账号爆破、异地登录、端口扫描、从OA系统下载文件以及传输流量过大等异常,最后来安全运维人员确定为因VPN账号被爆破导致的敏感信息泄露事件。它在时刻轴上的发生顺序如图5所示。

图1 用户账号24小时在线概率密度分布

当前,用户实体行为分析(User and Entity Behavior Analytics,UEBA)系统正作为一种新兴的异常用户检测体系在逐步颠覆传统谨防手段,开启网络安全保卫从“被动谨防”到“主动出击”的新篇章。所以,将要紧介绍UEBA在企业异常用户检测中的应用事情。

将3种异常检测算法经过集成学习想法用于异常用户建模,经过异常打分定位最大概异常的用户,对排名前10的异常用户举行排查,验证证明存在咨询题的准确率达到90%。企业最开始部署UEBA系统时,差不多不大概实用户账号的标签。


DDoS防御

当前位置:主页 > CC防护 > 基于机器学习的用户实体行DDoS高防为分析技术在账号异常检测中的应用

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119