中國信通院：2020網絡安全先進技術與應用發展系列報告用戶實體行為分析技術(50頁).pdf

1、 網絡安全先進技術與應用發展系列報告網絡安全先進技術與應用發展系列報告 用戶實體行為分析技術（用戶實體行為分析技術（UEBAUEBA） （20202020 年）年） 中國信息通信研究院安全研究所中國信息通信研究院安全研究所 杭州安恒信息技術股份有限公司杭州安恒信息技術股份有限公司 20202020 年年 6 6 月月 版權聲明版權聲明 本報告版權屬于中國信息通信研究院安全研究所、杭 州安恒信息技術股份有限公司，并受法律保護。轉載、摘 編或利用其它方式使用本報告文字或者觀點的， 應注明 “來 源：中國信息通信研究院安全研究所、杭州安恒信息技術 股份有限公司” 。違反上述聲明者，本院將追究其相關法

2、律 責任。 本報告版權屬于中國信息通信研究院安全研究所、杭 州安恒信息技術股份有限公司，并受法律保護。轉載、摘 編或利用其它方式使用本報告文字或者觀點的， 應注明 “來 源：中國信息通信研究院安全研究所、杭州安恒信息技術 股份有限公司” 。違反上述聲明者，本院將追究其相關法律 責任。 目目 錄錄 一、安全新范式 . 1 （一）數字化面臨的安全挑戰 . 2 （二）新范式破局之道 . 7 （三）UEBA 的定義與演進 . 10 （四）UEBA 的價值 . 13 二、架構與技術 . 17 （一）基線及群組分析 . 17 （二）異常檢測 . 18 （三）集成學習風險評分 . 19 （四）安全知識圖譜

3、. 19 （五）強化學習 . 20 （六）其他技術 . 21 三、部署實施 . 23 （一）聚焦目標 . 23 （二）識別數據源與接入數據 . 23 （三）確定部署模式 . 24 （四）分析微調與定制 . 24 （五）迭代優化 . 25 四、最佳實踐 . 27 （一）專職團隊 . 27 （二）專注于用例開發 . 27 （三）法律合規性 . 27 五、典型應用案例 . 29 （一）惡意內部人員 . 29 （二）失陷賬號 . 30 （三）失陷主機 . 32 （四）數據泄露 . 33 （五）風險定級排序 . 35 （六）業務 API 安全 . 36 （七）遠程辦公安全 . 37 六、行業應用案例 .

4、 38 （一）醫療行業 . 38 （二）金融行業 . 38 （三）能源行業 . 39 （四）政務行業 . 40 七、總結 . 42 關于 . 48 圖圖 目目 錄錄 圖 1 誰是數據泄漏的受害者？ . 3 圖 2 安全轉向數據科學驅動的新范式 . 8 圖 3 SIEM、UEBA、SOAR 的融合趨勢 . 11 圖 4 UEBA 的發展現狀 . 12 圖 5 典型的 UEBA 系統架構 . 17 圖 6 基線分析與群組分析 . 18 圖 7 孤立森林發現異常點 . 19 圖 8 多種算法進行集成學習 . 20 圖 9 安全知識圖譜 . 20 圖 10 UEBA 中的強化學習 . 21 圖 11

5、UEBA 分析改進與迭代調優循環流程 . 26 圖 12 內部人員導致的安全威脅 . 29 圖 13 內部員工竊取敏感數據場景分析流程圖 . 30 圖 14 賬號失陷是攻擊鏈模型中的轉折點 . 31 圖 15 主機失陷是病毒爆發、勒索軟件的前奏 . 33 圖 16 數據泄漏中的攻擊移動和數據流 . 34 表表 目目 錄錄 表1 海外市場上的主流 UEBA 廠商分類 . 13 表 2 各種安全技術和范式對比 . 14 用戶實體行為分析技術（UEBA） （2020 年） 1 一、安全新范式 全球數字化浪潮下， 各類信息化成果持續融入億萬大眾的生活， 也深刻改變著信息技術環境。一方面，以云計算、大數

6、據、物聯網、 移動互聯網等為代表的新技術得到快速應用；另一方面，傳統能源、 電力、交通等行業平臺聯入網絡，成為關鍵信息基礎設施的有機組 成；與此同時，5G 通信、人工智能、區塊鏈等更多顛覆式創新科技 已經來到。 以云計算為例，當前，云計算正處于快速發展階段，技術產業 創新不斷涌現。其中，產業方面，企業上云成為趨勢，云管理服務、 智能云、邊緣云等市場開始興起；自 2017 年起，中國公有云市場持 續保持高速增長，零售、制造和金融等行業用戶對于公有云的接受 程度越來越高，公有云在傳統行業的滲透率持續提升 1，云服務在當 年的采用率已經達到 70% 2。 而隨著萬物互聯的到來， 邊緣計算和物聯網 （

7、IoT） 也蓬勃發展。 到 2021 年，邊緣托管容器數量將達到 7 億，企業數據中心之外的工 作負載占比 50%，到 2022 年，物聯網（IoT）設備數量將達到 146 億，增強現實（AR）和虛擬現實（VR）的使用量將增長 12 倍，2017 至 2022 年， 業務移動流量將每年增加 42%， 53%網絡安全攻擊導致的 損失將超過 50 萬美元。 3 1 中國公有云發展調查報告 (2018 年) ，中國信息通信研究院，2018 年 8 月 2 云計算發展白皮書 (2019 年) ，中國信息通信研究院，2019 年 7 月 3 2020 全球網絡趨勢報告，思科，2020 用戶實體行為分析技

8、術（UEBA） （2020 年） 2 普華永道和微軟中國在 2019 年四季度， 聯合進行了一次現代化 云辦公解決方案調研。 調研結果發現 81%企業員工在工作中需要在移 動設備上使用辦公軟件， 100%企業高管需要使用移動設備進行辦公， 24%調研對象反映他們每日工作中有超過 30%的任務需使用移動設備 在非辦公場所完成（比如家中、咖啡廳、機場、火車上、酒店等場 所） 。預計到 2020 年將有 100 億臺移動設備投入使用，而移動技術 的普及正在從根本上改變人們的思考、工作、行動和互動方式。公 司已廣泛接受自帶設備（BYOD）策略，允許或鼓勵員工使用其個人 移動設備（如手機、平板電腦和筆記

9、本電腦）訪問企業數據和系統 4。 2020 年春季一場突如其來的新冠病毒全球大流行， 更是讓遠程辦公、 移動辦公進入了公眾視線。 如前所述，數字新時代正在加速全面到來，網絡環境變得更加 多元、人員變得更復雜、接入方式多種多樣，網絡邊界逐漸模糊甚 至消失，同時伴隨著企業數據的激增。發展與安全，已成為深度融 合、不可分離的一體之兩面。在數字化浪潮的背景下，網絡信息安 全必須應需而變、應時而變、應勢而變。 （一）數字化面臨的安全挑戰（一）數字化面臨的安全挑戰 凡有收益，必有代價。數字資產的巨大價值同樣被網絡犯罪組 織所垂涎。2018 年流行的挖礦病毒、勒索軟件等安全威脅均以可直 接給網絡犯罪分子帶來

10、經濟收益為典型特征，垃圾郵件攻擊、移動 4 現代化云辦公解決方案中國市場白皮書，普華永道和微軟中國，2020 用戶實體行為分析技術（UEBA） （2020 年） 3 安全威脅也處于不斷上升趨勢。數字化轉型促進組織的業務發展的 同時，也帶來了重大的網絡安全挑戰。越來越多的敏感數字信息遭 受網絡攻擊被竊取，網絡和系統平臺被暴露或被操縱，數字資產的 保密性、可用性、完整性遭受挑戰。網絡威脅的影響遍及醫療保健、 金融、零售等各行各業，未能采取適當的安全保護舉措可能給組織 帶來巨大的財務和聲譽損失。 來源：2019 Data Breach Investigations Report，Verizon 圖

11、1 誰是數據泄漏的受害者？ 根據 Verizon 發布的 2019 數據泄露調查報告，如圖 1 所示，公 共部門、醫療組織、金融機構是數據泄漏的主要受害者，同時大量 的數據泄漏事件也波及到了中小型組織 5。部分原因可能是由于領先 組織的安全能力提升，導致一些直接攻擊向供應鏈間接攻擊轉變。 隨著最終用戶和消費者的安全意識、隱私意識越來越強，對安全事 件越來越敏感，每個組織面臨的安全事件成本壓力也愈加突出。 根據 Ponemon Institute 的報告， 基于一項涉及 12 個國家、 383 個公司的調查，在 2016 年的數據泄漏的平均代價是 400 萬美金，相 比 2013 年增長了 29

12、%。2018 年，在美國數據泄漏的平均代價已經達 5 2019 Data Breach Investigations Report，Verizon，2019 用戶實體行為分析技術（UEBA） （2020 年） 4 到了 790 萬美金，全世界范圍內，每 7 分鐘就有一起合規性告警事 件發生。 6IBM Security 在2019 年度數據泄露成本調研報告中對 2018 年 7 月至 2019 年 4 月期間的全球 16 個國家和地區的 17 個行業 的 507 家公司發生的數據泄露事件進行了調查。調查結果顯示，數 據泄露事件的全球平均成本為 392 萬美元， 平均泄露 25575 條記錄，

13、每條記錄的平均成本為 150 美元，檢測和控制數據泄露事件的時間 為 279 天。 7 隨著網絡犯罪集團的增加和國家隱蔽網絡活動的激增，網絡攻 擊在數量和復雜性方面都在增長。網絡攻擊技術不斷升級，網絡犯 罪分子也在不斷提升專業攻擊技術，意圖突破安全防線，例如，采 用非常規文件擴展名、 “無文件”組件、數字簽名技術、微軟 HTML 應用程序（MSHTA）等新技術，躲避安全防護系統的檢測與查殺，更 好地攻擊入侵目標系統。 同時， 攻擊者也采用了新策略。 根據賽門鐵克的一份報告， 2018 年供應鏈攻擊增長了 78%。 據分析 LotL 策略 （Living-off-the-Land 攻擊，指的是借

14、助系統中已存在的應用程序或工具完成攻擊）已成 為攻擊者最重要的攻擊方式之一，旨在協助網絡犯罪分子進行復雜 攻擊時盡量隱藏攻擊行為。 LotL 技術允許攻擊者隱藏在合法進程中， 相關攻擊事件呈爆發趨勢。 例如， 2018 年惡意 PowerShell 腳本的使 用增加了十倍。 賽門鐵克每月阻止 11.5 萬個惡意 PowerShell 腳本， 6 2018 Cost of a Data Breach Study，Ponemon Institute LLC，2018 7 2019 年度數據泄露成本調研報告，IBM，2019 用戶實體行為分析技術（UEBA） （2020 年） 5 但不到 Power

15、Shell 總使用量的百分之一。 如果阻止全部 PowerShell 腳本將對業務運行產生影響， 進一步佐證了 LotL 技術已成為許多高 級持續性威脅（APT）攻擊團體躲避安全團隊檢測的首選策略。 8 外部網絡攻擊威脅加劇的同時，組織內部及其網絡周邊的內部 威脅也持續增長。網絡犯罪分子可能偽裝成合法用戶，進而突破網 絡邊界、竊取網絡憑證、植入惡意軟件，或由于組織內部人員工作 失誤，引發組織內部的網絡安全威脅。 根據 IBM X-Force 安全團隊的監測， 2019 年全球超過 85 億條記 錄遭到泄露，相比 2018 年增長超過 200%。究其原因，可能由于內部 人員玩忽職守導致數據泄露。

16、由于錯誤配置的服務器（包括公開訪 問的云存儲、不安全的云數據庫以及安全措施不到位的遠程同步備 份或開放的互聯網絡區域存儲設備） 而泄露的記錄占 2019 年泄露記 錄數量的 86%。 9據外媒報道稱，2017 年，美國五角大樓由于在使用 亞馬遜簡單存儲服務（S3）時配置錯誤，意外暴露了美國國防部的 機密數據庫，其中包含美國當局在全球社交媒體平臺中收集到的 18 億用戶的個人信息。 10 雪上加霜的是，在外部攻擊、內部威脅的壓力之下，由于數字 化時代的信息系統、數字科技越來越復雜，組織和機構脆弱性暴露 面也越來越多。 8 2019 Internet Security Threat Report，

17、Symantec，2019 9 X-Force 威脅情報指數，IBM，2020 10 五角大樓 AWS S3 配置錯誤，意外在線暴露包含全球 18 億用戶的社交信息，2017， 用戶實體行為分析技術（UEBA） （2020 年） 6 根據中國國家信息安全漏洞庫（CNNVD）網站數據統計，新增漏 洞數量近幾年一直保持上升趨勢。2018 年，新增漏洞 15040 個，與 2017 年披露的漏洞數量 11097 個相比，增加了 36%。2019 年，國家 信息安全漏洞共享平臺 （CNVD） 新收錄通用軟硬件漏洞數量達 16193 個，與前一年相比同比增長 14.0%，創下歷史新高。漏洞影響范圍也 從

18、傳統互聯網到移動互聯網，從操作系統、辦公自動化系統（OA） 等軟件到虛擬私人網絡（VPN） 、家用路由器等網絡硬件設備，以及 芯片、SIM 卡等底層硬件。 11 因此，安全防護運營團隊通常需要跟蹤最新漏洞，持續識別網 絡環境中的隱患，進行加固防護；持續進行安全監控，保持最大的 安全可見性，感知全域安全威脅與風險；關注最新的威脅情報，了 解最新的攻擊組織、技術和方法，持續監控失陷指標（IoC）并應用 到威脅檢測過程中，同時主動進行威脅狩獵；以及對組織成員進行 安全意識教育培訓。 但是根據思科的一份調查報告，77%的中型企業發現，從數量繁 多的安全解決方案中找出真正有價值的安全警報非常困難。在眾多

19、 安全警報中，幾乎有 46%的警報未經分析驗證；54%的警報經過驗證 后，其中只有將近四成是真實警報，能得到修復的只有不到半數。 總體來看，僅不到 10%的告警最終被有效處置。 12 11 2019 年我國互聯網網絡安全態勢綜述，國家計算機網絡應急技術處理協調中心，2020 12 思科 2018 年度網絡安全報告，思科，2018 用戶實體行為分析技術（UEBA） （2020 年） 7 此外，安全團隊正在遭受“拒絕服務（DDoS）攻擊” 。在不對稱 且長期持久的網絡安全攻防對抗形勢下， “安全勇士們”責任重大。 總之，組織面臨的嚴峻網絡安全挑戰來自四個方面： 1.1.越來越多的外部攻擊，包括被利

20、益驅動或國家驅動的難以察越來越多的外部攻擊，包括被利益驅動或國家驅動的難以察 覺的高級攻擊；覺的高級攻擊； 2.2.心懷惡意的內鬼、疏忽大意的員工、失陷賬號與失陷主機導心懷惡意的內鬼、疏忽大意的員工、失陷賬號與失陷主機導 致的各種內部威脅；致的各種內部威脅； 3.3.數字化基礎設施的脆弱性和風險暴露面越來越多，業務需求數字化基礎設施的脆弱性和風險暴露面越來越多，業務需求 多變持續加劇的問題；多變持續加劇的問題； 4.4.安全團隊人員不足或能力有限，深陷不對稱的“安全戰爭”安全團隊人員不足或能力有限，深陷不對稱的“安全戰爭” 之中。之中。 挑戰催生革新，正是在數字化帶來的巨大安全新挑戰下，安全

21、新范式應運而生。 （二）新范式破局之道（二）新范式破局之道 2012 年咨詢公司高德納（Gartner）發表了一份題為信息安全 正在成為一個大數據分析問題的報告，提出當前信息安全問題正 在轉變成大數據分析問題，大數據的出現將對信息安全產生深遠的 影響 13。 在數字時代， 安全團隊迫切希望通過大數據分析和機器學習， 13 Information Security Is Becoming a Big Data Analytics Problem，Gartner，2012 用戶實體行為分析技術（UEBA） （2020 年） 8 提高內部威脅和外部攻擊的可見性，提升威脅檢測響應能力，成為 組織探索將

22、安全分析應用于其網絡和其他數據源的關鍵驅動因素。 安全是人和人攻防對抗的游戲，一切的意圖都需要通過行為表 達，這是安全運營中最重要也最有價值的一塊拼圖，同時也是傳統 方式最欠缺的。傳統安全產品、技術、方案，基于單次單點的有限 信息，運用簽名、規則進行非黑即白式的防護控制，可能導致大量 的噪聲和誤報。雖然已經有告警聚合等基礎聚合技術等，嘗試修復 上述問題，但是仍未產生較好效果。傳統方式仍無法自動適應攻擊 者的逃逸繞過，策略升級也經常需要長達數月時間，存在嚴重的滯 后效應，對未知攻擊甚至完全無法察覺?？梢?，傳統安全倚重舊范 式，基于特征、規則和人工分析，存在安全可見性盲區，有嚴重的 滯后效應、無力

23、檢測未知攻擊、容易被繞過，以及難以適應攻防對 抗的網絡現實和快速變化的企業環境、外部威脅等問題。 圖 2 安全轉向數據科學驅動的新范式 如圖 2 所示，通過對困境的持續探索，安全行業逐漸轉向基于 大數據驅動、安全分析和機器學習的安全新范式，以期彌補傳統安 全短板。同時，網絡安全也已經開始從單純強調邊界防護到縱深安 用戶實體行為分析技術（UEBA） （2020 年） 9 全檢測響應的艱巨轉變。攻擊者的不對稱性優勢，一直是安全團隊 面臨的最大問題。只要能充分利用行為分析這塊拼圖，以及充分利 用網絡縱深路徑上的各種數據，安全團隊可能逆轉這種不對稱的情 況，從海量的安全數據中識別和發現攻擊和惡意行為

24、。 用戶實體行為分析（UEBA）就是安全新范式的一個典型體現， 其新范式的破局之道主要體現在如下五個方面： 1.行為分析導向 身份權限可能被竊取，但是行為模式難以模仿。內部威脅、外 部攻擊難以在基于行為的分析中完全隱藏、繞過或逃逸，行為異常 成為首要的威脅信號。采集充分的數據和適當的分析，可發現橫向 移動、數據傳輸、持續回連等異常行為。 2.聚焦用戶與實體 一切的威脅都來源于人，一切的攻擊最終都會必然落在帳號、 機器、數據資產和應用程序等實體上。通過持續跟蹤用戶和實體的 行為，持續進行風險評估，可以使安全團隊最全面地了解內部威脅 風險，將日志、告警、事件、異常與用戶和實體關聯，構建完整的 時間

25、線。通過聚焦用戶與實體，安全團隊可以擺脫告警疲憊，聚焦 到業務最關注的風險、有的放矢，提升安全運營績效，同時通過聚 焦到以賬號、資產和關鍵數據為中心，可以大幅降低誤報告警數量。 3.全時空分析 用戶實體行為分析技術（UEBA） （2020 年） 10 行為分析不再是孤立的針對每個獨立事件，而是采用全時空分 析方法，連接起過去（歷史基線） 、現在（正在發生的事件） 、未來 （預測的趨勢） ，也連接起個體、群組、部門、相似職能的行為模式。 通過結合豐富的上下文， 安全團隊可以從多源異構數據中以多視角、 多維度對用戶和實體的行為進行全方位分析，發現異常。 4.機器學習驅動 行為分析大量的采用統計分析

26、、 時序分析等基本數據分析技術， 以及非監督學習、有監督學習、深度學習等高級分析技術。通過機 器學習技術，可以從行為數據中捕捉人類無法感知、無法認知的細 微之處，找到潛藏在表象之下異常之處。同時機器學習驅動的行為 分析，避免了人工設置閾值的困難和無效。 5.異常檢測 行為分析的目的，是發現異常，從正常用戶中發現異常的惡意 用戶，從用戶的正常行為中發現異常的惡意行為。 總結新范式破局的五個方面，就是在全時空的上下文中聚焦用 戶和實體，利用機器學習驅動方法對行為進行分析，從而發現異常。 （三）（三）UEBAUEBA 的定義與演進的定義與演進 Gartner 對 UEBA 的定義是 “UEBA 提供

27、畫像及基于各種分析方法 的異常檢測，通常是基本分析方法（利用簽名的規則、模式匹配、 簡單統計、 閾值等） 和高級分析方法 （監督和無監督的機器學習等） ， 用戶實體行為分析技術（UEBA） （2020 年） 11 用打包分析來評估用戶和其他實體（主機、應用程序、網絡、數據 庫等） ， 發現與用戶或實體標準畫像或行為相異常的活動所相關的潛 在事件。 這些活動包括受信內部或第三方人員對系統的異常訪問 （用 戶異常） ，或外部攻擊者繞過安全控制措施的入侵（異常用戶） ” 14。 Gartner 認為 UEBA 是可以改變游戲規則的一種預測性工具，其 特點是將注意力集中在最高風險的領域，從而讓安全團隊

28、可以主動 管理網絡信息安全。UEBA 可以識別歷來無法基于日志或網絡的解決 方案識別的異常，是對安全信息與事件管理（SIEM）的有效補充。 雖然經過多年的驗證，SIEM 已成為行業中一種有價值的必要技術， 但是 SIEM 尚未具備帳戶級可見性， 因此安全團隊無法根據需要快速 檢測、響應和控制 15。 作為現代化 SIEM 演進的方向，如圖 3 所示，SIEM、UEBA、安全 編排自動化響應（SOAR）將會走向融合。 圖 3 SIEM、UEBA、SOAR 的融合趨勢 14 2019 Market Guide for User and Entity Behavior Analytics，Gartn

29、er，2019 15 2019 Market Guide for User and Entity Behavior Analytics，Gartner，2019 用戶實體行為分析技術（UEBA） （2020 年） 12 如圖 4 展示 UEBA 的發展歷程。由于身份和訪問管理（IAM）無 法提供全面的數據分析等原因，UEBA 的前身用戶行為分析（UBA）應 運而生。隨后，來自于用戶側強勁的需求不斷推動 UEBA 市場持續快 速增長，復合年增長率達到了 48%。 圖 4 UEBA 的發展現狀 如表 1 所示，市場上參與 UEBA 的廠商也逐漸增多，從早期獨立 的純 UEBA 廠商，到主流 SIE

30、M 廠商、網絡流量分析（NTA）廠商也開 始引入 UEBA 能力特性。 表 1 海外市場上的主流 UEBA 廠商分類 用戶實體行為分析技術（UEBA） （2020 年） 13 （四）（四）UEBAUEBA 的價值的價值 通過對比安全新舊范式，可以看到 UEBA 具有明顯的獨特價值。 UEBA 可以給安全團隊帶來獨特的視角和能力，即通過行為層面的數 據源以及各種高級分析，增強現有安全工具能力，提高風險可視性， 彌補了安全運營中長久以來缺失的、極度有價值的視角，并提高了 現有安全工具的投資回報率。 UEBA 比現有的分散工具具有更大的風險可視性，尤其是經過評 分排序的威脅線索減少了噪音和誤報告警。

31、通過直觀的點擊式界面 訪問上下文和原始事件，從而加速了事件調查和根本原因分析，縮 短了調查時間，降低了事件調查人數以及與雇用外部顧問相關的成 本。 在增加現有安全投資的回報方面， UEBA 主要通過以下方式實現： 安全信息和事件管理（SIEM）系統、惡意軟件威脅檢測工具端點檢 用戶實體行為分析技術（UEBA） （2020 年） 14 測響應（EDR）和端點平臺保護（EPP） ，以及數據泄漏防護（DLP） 技術自動確定威脅和風險的優先級。通過無監督的機器學習來自動 化、大規模的正常和異常行為的統計測量，從而降低了運營成本， 實現無需管理復雜的基于閾值、規則或策略的環境。 表 2 各種安全技術和范

32、式對比 UEBA/行為分析 IDS/AV/WAF TI/威脅情報 適用數據源 可應用場景 攻防對抗 無滯后效應 未知攻擊 環境自適應 如表 2 所示，UEBA 的價值主要體現在： 1.發現未知 UEBA 可以幫助安全團隊發現網絡中隱藏的、或未知威脅，包括 外部攻擊和內部威脅；可以自適應動態的環境變化和業務變化；通 過異常評分的定量分析，分析全部事件，無需硬編碼的閾值，即使 表面看起來細微的、慢速的、潛伏的行為，也可能被檢測出來。 2.增強安全可見 UEBA 可以監控所有賬號，無論是特權管理員、內部員工、供應 商員工、合作伙伴等；利用行為路徑分析，貫穿從邊界到核心資產 用戶實體行為分析技術（UE

33、BA） （2020 年） 15 的全流程，擴展了對關鍵數據等資產的保護；對用戶離線、機器移 動到公司網絡外等情況，均增強了保護；準確檢測橫向移動行為， 無論來自內部還是外部， 都可能可以在敏感數據泄露之前發現端倪， 從而阻止損害發生；可以降低威脅檢測和數據保護計劃的總體成本 和復雜性，同時顯著降低風險以及對組織產生的實際威脅。 3.提升能效 UEBA 無需設定閾值， 讓安全團隊更有效率。 引入全時空上下文， 結合歷史基線和群組對比，將告警呈現在完整的全時空上下文中， 無需安全團隊浪費時間手動關聯，降低驗證、調查、響應的時間； 當攻擊發生時，分析引擎可以連接起事件、實體、異常等，安全人 員可以看

34、清全貌，快速進行驗證和事故響應；促使安全團隊聚焦在 真實風險和確切威脅，提升威脅檢測的效率。 4.降低成本 UEBA 通過聚合異常，相比 SIEM、DLP 等工具，大量降低總體告 警量和誤報告警量，從而降低安全運營工作負載，提升投資回報率 （ROI） ；通過縮短檢測時間、增加準確性，降低安全管理成本和復 雜性，降低安全運營成本；無監督、半監督機器學習讓安全分析可 以自動化構建行為基線，無需復雜的閾值設置、規則策略定制，緩 解人員短缺問題；通過追蹤溯源及取證，簡化事故調查和根因分析， 縮短調查時間，降低每事故耗費的調查工時，以及外部咨詢開銷； 用戶實體行為分析技術（UEBA） （2020 年）

35、16 通過自動化進行威脅及風險排序定級，提升已有安全投資(包括 SIEM、EDR、DLP 等)的價值回報。 總之，UEBA 的價值主要體現在發現未知、增強安全可見、提升 能效、降低成本。 用戶實體行為分析技術（UEBA） （2020 年） 17 二、架構與技術 UEBA 是一個完整的系統，涉及到算法、工程等檢測部分，以及 用戶實體風險評分排序、調查等用戶交互、反饋。從架構上來看， UEBA 系統包含三個層次，分別是數據中心層、算法分析層、場景應 用層。其中，算法分析層一般運行在實時流處理、近線增量處理、 離線批量處理的大數據計算平臺之上。典型的完整 UEBA 架構如圖 5 所示。 圖 5 典型

36、的 UEBA 系統架構 該平臺運行著傳統的規則引擎、關聯引擎，同時也支持人工智 能引擎，如基線及群組分析、異常檢測、集成學習風險評分、安全 知識圖譜、強化學習等 UEBA 核心技術。 （一）基線及群組分析（一）基線及群組分析 以史為鑒，可以知興替。歷史基線，是行為分析的重要部分， 可以進行異常檢測、風險評分等。以人為鑒，可以明得失。通過構 用戶實體行為分析技術（UEBA） （2020 年） 18 建群組分析，可以跨越單個用戶、實體的局限，看到更大的事實； 通過對比群組，易于異常檢測；通過概率評估可以降低誤報，提升 信噪比；組合基線分析、群組分析，可以構成全時空的上下文環境。 如圖 6 所示，展

37、現了幾個人員的歷史基線以及群組分析。 圖 6 基線分析與群組分析 （二）異常檢測（二）異常檢測 異常檢測關注發現統計指標異常、時序異常、序列異常、模式 異常等異常信號， 采用的技術包括孤立森林、 K 均值聚類、 時序分析、 異常檢測、變點檢測等傳統機器學習算法。其中，基于孤立森林的 異常檢測效果圖如圖 7 所示。 現代的異常檢測也利用深度學習技術， 包括基于變分自編碼器（VAE）的深度表征重建異常檢測、基于循環 神經網絡（RNN）和長短時記憶網絡（LSTM）的序列深度網絡異常檢 測、圖神經網絡（GNN）的模式異常檢測等。針對標記數據缺乏的現 狀，某些 UEBA 系統能夠采用主動學習技術（Act

38、ive Learning） 、自 學習（Self Learning） ，充分發掘標記數據和無標記數據的價值。 用戶實體行為分析技術（UEBA） （2020 年） 19 圖 7 孤立森林發現異常點 （三）集成學習風險評分（三）集成學習風險評分 UEBA 作為一種新范式，把安全運維從事件管理轉換到用戶、實 體風險，極大的降低工作量、提升效率。其中，實現轉換的關鍵在 于使用集成學習進行風險評分。如圖 8 所示，風險評分需要綜合各 種告警、異常，以及進行群組對比分析和歷史趨勢。同時，風險評 分技術中用戶間風險的傳導同樣重要，需要一套類似谷歌搜索使用 的網頁排名 PageRank 算法的迭代評估機制。風

39、險評分的好壞，將直 接影響到 UEBA 實施的成效，進而直接影響到安全運營的效率。 圖 8 多種算法進行集成學習 （四）安全知識圖譜（四）安全知識圖譜 用戶實體行為分析技術（UEBA） （2020 年） 20 知識圖譜已經成為人工智能領域的熱點方向，在網絡安全中同 樣也有巨大的應用潛力。 部分 UEBA 系統已經支持一定的安全知識圖 譜能力，可以將從事件、告警、異常、訪問中抽取出的實體及實體 間關系，構建成一張網絡圖譜，如圖 9 所示。任何一個事件、告警、 異常，都可以集成到網絡圖譜中，直觀、明晰的呈現多層關系，可 以讓分析抵達更遠的邊界，觸達更隱蔽的聯系，揭露出最細微的線 索。結合攻擊鏈和知

40、識圖譜的關系回放，還能夠讓安全分析師近似 真實的復現攻擊全過程，了解攻擊的路徑與脆弱點，評估潛在的受 影響資產，從而更好的進行應急響應與處置。 圖 9 安全知識圖譜 （五）強化學習（五）強化學習 不同客戶的環境數據源的多元性及差異性，以及用戶對異常風 險的定義各有不同， UEBA 需要具有一定的自適應性， “入鄉隨俗” 輸出更精準的異常風險。強化學習能夠根據排查結果自適應地調整 正負權重反饋給系統，進而得到更符合客戶期望的風險評分。如圖 10 所示，UEBA 給出異常信號后，結合安全管理人員的排查結果，獲 用戶實體行為分析技術（UEBA） （2020 年） 21 取反饋獎賞或懲罰，通過學習進行正負權重調整，從而讓整體效果 持續優化改進。 圖 10 UEBA 中的強化學習 （六）其他技術（六）其他技術 除了以上 5 個主要關鍵技術外， UEBA 一般還使用到了特征工程、 會話重組