游戏盾_cdn高防服务_指南-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防CDN > 游戏盾_cdn高防服务_指南

游戏盾_cdn高防服务_指南

小墨安全管家 2021-05-02 21:13 高防CDN 89 ℃
DDoS防御
在最近的安全会议上,一具重要的话题是使用用户行为分析(UBA)来评估网络安全风险。最近数据科学和数据建模的应用使这种想法成为大概。可是,任何数据科学都必须有一具从头设计的平台来支持这项工作。在那个博客中,我将分享对于数据科学对UBA最有效的领域的方法,以及数据科学怎么得到可以跟踪实体(用户和计算机帐户)状态的数据平台的最佳支持,从而最大限度地提高信息价值。此外,经过一具基于上下文的状态跟踪平台,安全分析员能够有效地执行警报分类和事件响应。UBA数据科学正如Gartner制造的术语,用户实体行为分析(UEBA或UBA)是对于无特征码、以用户为中心的基于行为的异常检测。我们能够观赏用数据科学工具对用户行为举行建模的方法,以便将偏离规范的行为视为异常。从概念上说,这一切都特别好。其实,存在着大量的机器学习和统计分析技术。然而,在用户凭证活动中发觉异常事件的现成通用异常检测算法的稚嫩或简单化应用容易导致误报警报。所以,假阳性最后来会白费分析师珍贵的时刻和资源举行无结果的调查。UBA通常属于无监督学习领域,几乎没有或全然没有标记的训练数据来指导学习。所以,检测异常的关键是了解异常的上下文,关于每个用户的异常,我们都需要在适当的上下文中举行评估,用户当前的异常事件是否也对过去行为类似的其他用户组异常?假如是,可能我们应该提高风险评分。假如一具用户访咨询了大量资产,在上下文中解释她特别大概是一具IT治理员?假如是如此的话,可能我们应该取消警报。为所实用户构建一具通用行为分类器的简单想法是行不通的。上下文不管是事实的依旧概率的,上下文信息关于提高异常检测系统的精度基本上很重要的。咨询题是准确的上下文信息并不总是可用的,在安全分析中,上下文信息的一具常见数据源是轻量级名目访咨询协议(LDAP)数据,通常用于网络用户验证。不幸的是,手动输入的用户、资产和组数据并不总是准确、最新或不脚以满脚我们的目的。然而,数据科学的闪光点在于需要处理嘈杂或不完美的信息。经过挖掘历史日志数据,我们能够获得改进、判断或创建新的上下文信息的见解。例如,给定一台主机,能够挖掘其过去的用户登录事件,以确定其在基础设施中的功能,基于包括日志事件量在内的行为指标,或者给定一具帐户过去的网络访咨询事件日志,能够依照一系列行为线索对帐户所有者的角色举行建模和预测。这些衍生信息为提高精确度和减少误报提供了有价值的背景。可是,分析日志数据来完成上述工作是建立在一具数据平台上的,CC防御,那个平台首先能够为分析提供清楚的信号。除非输入的数据具有信息的一致性和一致性,否则基于数据科学的后续学习将面临高度噪声或信息丢失的风险。有状态用户跟踪这讲起来容易做起来难。安全日志数据是无状态的。要使日志信息的信息价值最大化,平台必须可以将事件拼凑在一起,以跟踪数据的状态,并最后来跟踪用户的行为。让我们看一些状态跟踪的例子,为后续学习任务提供连贯的数据每主机状态跟踪:为了做好用户建模工作,UBA解决方案还必须对主机的行为举行详细建模。在记录的事件上共享相似行为配置文件的主机大概会被标识为对等分组以猎取上下文信息。由于在网络上使用了动态主机配置协议(DHCP),主机的IP能够随时刻变化。由于记录的事件通常与IP地址相关联,所以特别难经过事件空间对给定主机执行精确的行为分析以举行异常检测。除非有DNS解析以有状态的方式将IP映射到主机,否则主机级别的行为分析将很嘈杂,警报质量也将受到质疑。每用户状态跟踪:横向挪移检测是指发觉参与者或实际用户的异常帐户切换活动,使用一具或多个用户凭据登录多个系统以达到恶意目的。将参与者的活动分组到会话中的能力,包括涉及交换机器和交换身份的活动,与识别用户的横向挪移一样重要。Active Directory(AD)记录取户到设备的登录事件。这些事件是无状态的,CC防御,同时是独立记录的(没有显示一具帐户的事件与另一具帐户的事件是怎么相关的)。经过正确的逻辑,每个用户的状态跟踪从登录到注销的所有与参与者相关联的事件到单个用户会话。假如操作正确,帐户切换活动,不管是良性的依旧恶意的,都特别容易在有状态的用户会话中观看到。惟独如此,这些用户会话才会成为干净和可用的信息单元,以便后续建模以确定是否发生了横向挪移。假如不举行每用户状态跟踪,在噪声数据空间中判断后期的横向运动是次优的。简而言之,这些在平台层的主机级和用户级的状态跟踪示例将事件缝合在一起,以便在学习发生之前获得最一致的事实。假如没有状态跟踪,行为建模会由于从错误信号中学习而导致较高的误报率。直截了当使用Kafka/RabbitMB和Spark-Streaming/Storm等传统处理系统,无法解决经过身份/机器交换跟踪用户或经过动态IP分配跟踪主机的大数据挑战。当数据能够按用户或主机等键举行分片时,DDoS防御,这些系统的性能和扩展性都很好。需要一具使用actor模型想法的更复杂的系统来实现可伸缩的有状态跟踪数据处理平台,该平台处理涉及的各种实体(用户、主机、多个用户帐户等)之间更复杂的关系。Exabeam的数据平台利用基于Actor模型的开源技术,提供无与伦比的实时分割信息以举行状态跟踪和关联,从而最大限度地为行为学习和UBA分析猎取信息。按照时刻顺序跟踪用户会话中所有活动的平台自然也为警报分类和事件响应提供了理想的环境。警报分类和事件响应一具有状态的跟踪平台识别并维护每个用户所有动作的完整历史记录,并自动实时"连接点"。目前,这是一项艰难、手动且容易出错的任务,由安全工程师和取证专家使用日志治理系统执行,同时经常从多台计算机手动搜索日志文件。经过一具有状态的跟踪平台,分析人员能够查看用户会话中的所有规范化事件和活动,从而能够轻松地解释用户历史记录,例如包括涉及多个凭证的帐户切换。如此的平台为分析人员提供了一具单一的工作环境,无需在不同的查询和工具之间来回挪移,从而提高了工作效率。我所描述的是下一代安全平台的开始,它是一具行为状态引擎,由相同的安全和数据科学组成。明显的优势是在警报分类和事件响应的集成环境中工作,DDoS防御,这使得检测和分析过程更加有效和高效。你得按一下下面的按钮。看看攻击者以为啥是魔法…hbspt.cta.负荷(472699,'95d4ca0b-a152-4d35-9c37-477fbff2c4b8',{});

游戏盾_cdn高防服务_指南


DDoS防御

当前位置:主页 > 高防CDN > 游戏盾_cdn高防服务_指南

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119