网络安全先进技术与应用发展系列蓝皮报告 用户实体行为分析技术(UEBA) (2020年)
中国信息通信研究院安全研究所杭州安恒信息技术股份有限公司2020年6月
声明
本白皮书属于中国信息通信研究院安全研究所、杭州安恒信息技术股份有限公司,并受法律保护.转载、摘编或利用其它方式使用本白皮书文字或者观点的,应注明“来源:《网络安全先进技术与应用发展系列蓝皮报告用户实体行为分析技术(UEBA)》”.违反上述声明者,本院将追究其相关法律责任.
目录
(一)数字化面临的安全挑战.(二)新范式破局之道. 12(三)UEBA的定义与演进 15(四)UEBA的价值 18
二、架构与技术... 22
(一)基线及群组分析..22(二)异常检测... 23(三)集成学习风险评分. 24(四)安全知识图谱. 25(五)强化学习. 25(六)其他技术.. 26
三、部署实施.... 28
(三)失陷主机.(四)数据泄露. 37(五)风险定级排序. 40(六)业务API安全.(七)远程办公安全. 42六、行业应用案例 43(一)医疗行业.. 43(二)金融行业..43(三)能源行业. 4(四)政务行业. 0七、总结. 17关于.. 48
图目录
图1谁是数据泄漏的受害者?,图2安全转向数据科学驱动的新范式 14图3SIEM、UEBA、SOAR的融合趋势. 18图4UEBA的发展现状.... 18图5典型的UEBA系统架构... 23图6基线分析与群组分析.. 24图7孤立森林发现异常点. 25图8多种算法进行集成学习., 25图9安全知识图谱. 26图10 UEBA中的强化学习..27图11 UEBA分析改进与选代调优循环流程, 32图12 内部人员导致的安全威胁. 35图13 内部员工窃取敏感数据场景分析流程图. 36图14 账号失陷是攻击链模型中的转折点. 37图15主机失陷是病毒爆发、勒索软件的前奏.图16数据泄漏中的攻击移动和数据流..40
