anomalydetectionusinguserentitybehavioranalyticsanddatavsualization使用用户行为实体分析和数据可视化异常检测
1 .背景(1)期刊/会议级published in :20218 thinternationalconferenceoncomputingfor
可持续全球开发(indiacom ) CCF None
)简介近年来入侵者使用更复杂的隐藏攻击技术,使得网络平台的攻击和可疑活动越来越难识别。 用户行为识别技术为此提供了解决方案。 在偏离正常行为或模式时向安全团队报告当前行为与以往记录的行为进行对比。 (虽然用户的异常行为可能有正当的理由)
了解人类行为是一项复杂而艰巨的任务,但为了了解问题的本质,使网络安全人员能够做出有效的决策,而不损失时间和资源,必须更深入地了解用户配置文件和数据。
在这篇研究论文中,作者应该基于多个托管过程,包括研究这些类型的问题,理解不同的集群或组,识别它们的任务及其相似性。
该方法包括提取用户的常见任务以集成用户行为。 然后,确定使用类似方法的用户组。 根据用户的行为,可以将它们按顺序排列,形成框架和结构,记住用户的概要图。 这是一种以用户为中心的方法,利用适当的机器学习算法和优雅的分析流程,通过对多个用户组的识别和比较,在单个集群中比较一个用户,根据各自的性质分析他们的特征,形成独特的基于角色的组用户违反组的行为可以触发警告[10]。
在下一章中,作者回顾了以前在UEBA所做的工作,并说明了相关的理论框架。 基于这个框架,他们使用Tableau分析数据集并创建了识别异常的仪表板。
2 .相关工作用户行为分析集中在跟踪用户行为、IP地址,为他们的使用创建配置文件。 使用上相似的用户或IP地址都分组形成群集。 群集行为对所有用户配置文件都是通用的。 该算法将用户对访问、位置和所使用IP地址的使用偏差检测为潜在异常[1]。
UBA包括检查不同用户的行为模式,并使用算法和其他工具对用户进行分类和配置。 凡是脱离常规行为的行为都是可疑行为[3]。
为了中和internet上的现代网络威胁,许多新的安全工具,如用户友好型behavioranalysis (ueba )进程。 此过程使用机器学习、统计分析和各种算法来识别组织网络[2]中的实时入侵。
UEBA的主要目标是检测用户在网络和企业APP应用中的行为和行为模式。 UBA有助于识别泄露的用户帐户、内部和外部安全漏洞以及内部员工[3]的访问违规。 异常检测模型基于这样的假设:违规可以通过正确审计用户记录及其行为的技术来识别。 这些模型独立于特定系统和环境,并且可以是共同的框架[4]、[13]和[14]
3 .理论框架UEBA通常由机器学习支持,机器学习使用数学建模技术分析和识别用户、网络实体,并根据常见行为、访问级别和访问位置进行分组。 因此,对组织来说异常检测是可行的方法。 UBA工具的基本特征主要是多步骤策略。 这包括从用户活动、实体和系统日志[2]中收集的数据。 然后检查使用统计和机器学习算法[6]收集的数据。 UBA模型为每个实体和用户创建基线配置文件,并根据预期的行为模式对其进行分组。 它还记录了偏离正常行为的情况。 如果用户或实体行为异常,UEBA工具将通过统计分析估计偏差程度,并通过警告通知网络安全团队。
一种直接的方法是通过检查数据、访问控制列表、常规接入点和位置,明确定义用户和实体的正常行为和异常行为,并将违规行为分类为异常行为并标记为[7]、[8]。
UBA没有对安全事件和网络设备进行监督管理; 相反,它跟踪组织中的所有用户和实体。 特别是,UEBA的基础是内部威胁,其中包括员工违反自己的组织,向第三方和外部人员暴露用户帐户,以及为服务器、企业软件和网络实体构成任何组织IT基础架构的主要部分
方法论:
数据集的样本量约为14,223个,是属于印度大型企业的用户记录。 此数据集包含有关组织员工使用互联网的详细信息。 用户记录由用户名、公司名称、访问地址(城市和国家/地区)、登录IP地址、访问日期和月份等字段组成。 每个用户属于一个或多个公司。 每个IP地址由属于一个或多个公司的一个或多个用户使用。 数据集分布在特定年份的两个月内,访问地点包括印度各城市。 研究人员利用Tableau将数据可视化,探索并检测异常。 创建计算字段是为了根据用户所属公司的数量对用户进行分类,并根据使用的公司数量对IP地址进行分类。 只有一家公司使用的IP地址被分类为静态IP,剩下的是动态IP。 可视化是为了识别属于多个公司的用户和IP是动态的。 那些满足潜在的异常条件。 下一节将重点介绍使用Tableau的体系结构、设计和数据分析。
4 .模型结构
图2是一种架构图,其中用户通过对应于办公室内外不同位置的不同IP接入公司网络。 非法用户访问了组织的IP地址,或者IP地址为
属于该组织的静态IP列表。图3。是互联网使用数据集,它包含各种数据类型,如字符串、地理和日期&时间。数据集中没有空值。数据集不需要任何清理或预处理。使用的建模技术是UEBA,用于数据可视化的工具是Tableau。 5.实验和数据分析
目标是开发可视化仪表板,使用数据可视化工具Tableau检测数据中的异常。仪表板是可视化的,可以帮助任何组织做出关键决策。作者在Tableau中探索和创建计算字段。这些是简单的脚本或函数,由数据集中各种内置关键字和列名的组合创建。计算字段用于从给定的时间字段提取月和周信息。这将创建两个名为date和time的派生字段。
该文主要利用上图类似的方法进行分组。