1、基于基于AI的的UEBA大数大数据据分析分析当前安全风险- 典型应用层攻击某医通:黄牛抢号团伙某人贷:短信扫号平台某游戏:道具量化交易攻击关键技术:- 代理池、猫池.- 抢号再退号机器人- 多源低频- 接码平台- 人机交互- 爬虫平台- 比价系统- 量化交易机器人下一代安全产品思路:UEBA(用户实体行为分析)过度依赖情报中心滞后性,云化导致的共享性导致误报率高依赖设备指纹识别人-机识别不等于好-坏识别,无法解决搜索引擎、API合法调用等误判问题主要依靠流量特征容易被攻击者构造特殊流量绕过完全基于规则依赖人工,定制成本高,可维护性差,容 易遗漏,规则只能识别已知,无法发现未 知威串行/嵌入模式
2、接入复杂,存在延迟,有可能中断正常业务基于AI技术的 UEBA(User Entity Behavior Analysis ) 用户实体行为 分析软件云化旁路 部署,安全大 数据分析下一代 安全产品UEBA(User Entity Behavior Analysis,用户实体行为分析)UEBA的前提是U(User): 以用户为视角流量为视角用户为视角UEBA(User Entity Behavior Analysis,用户实体行为分析)作用域- 行为分析 - AIAI落地安全的技术难题1.标注样本难题人/ID动作UEBA的核心是BA(Behavior Analysis): 行为建模- 定义行为
3、时间结果地点六元组模型UEBA(User Entity Behavior Analysis,用户实体行为分析)2.场景多样化难题3.可解释性难题强可解释性样本依赖度主流安全产品分析原理:IDS、IPS、WAF、SIEM.强主流人工智能应用分析原理:人脸 识别、语音识别、广告推荐.规则统计学机器学习(经典)深度学习安全&AI 结合点无监督 学习半监督 学习UEBA(User Entity Behavior Analysis,用户实体行为分析)request lengthresponse codeuripathhttp methodrequest timeuser agentreferer无监督学
4、习 - 个群对比基于实时个群对比原理进行异常行为识别,先对用户行为进行行行为建为建模模,构建数学空间模型,然后再进行空间特特征泛征泛化化,最后进行个个群对比群对比 分析,将行为异于正常用户的攻击者识别出来:- 无需标注样本自动识别- 无需被动依赖规则自动识别最大值最小值平均数标准差中位数四分位数重复环占比最大占比最小占比相似度LCSUEBA(User Entity Behavior Analysis,用户实体行为分析)无监督学习 - 聚类分析通过聚类特征放大,对多源低频团伙行为进行识别判断。深度引擎还进行长时间轴线分析,对比自身行为规律变化情况,进行威胁检测-发现深层次异常行为- 发现团伙异常
5、行为- 发现低频异常行为- 发现代理池异常行为UEBA(User Entity Behavior Analysis,用户实体行为分析)无监督学习 - 规律学习通过学习数据的历史行为内在规律计算概率模型,然后基于这些概率模型构建集成学习分类算法,进而对未知异常行为进行识别分析。需要 学习的内在规律包括文本规律和路径规律:- 输入规律- 输出规律- 输入=输出规律- 行为时间轴规律- 粘连项规律- 周期规律.注册验证 码登陆排名 查询积分 查询UEBA(User Entity Behavior Analysis,用户实体行为分析)半监督学习 - Active Learning利用Active Le
6、arning算法,允许用户进行有限标注,通过CNN(卷积神经元网络)训练少量样本模型,进而通过模型串接,修正原有算法 分析结果,最终提升算法准确率- 传统产品对于误判的处理:1.修改规则2.加白- 主动学习的优势:1.无需修改规则2.通过深度学习构建高级特征,跨越黑白名单模型 成熟AI识别专家有 限标注筛选+ 联想Active Learning:CNN训练模型ATD - 新一代的深度威胁感知系统ATD - 新一代的深度威胁感知系统ATD是UEBA基于用户实体行为分析,有效感知并防御企业内外网安全威胁,提升 企业整体安全水平ATD是SIEM采集企业各种数据,通过大数据分析,对其进行实时汇总分析、
7、关联、 展现,提升企业整体安全能力ATD是AI通过无监督和半监督机器学习算法,对数据进行个群对比分析和历史 规律建模,有效识别异常行为并感知未知威胁,解放安全人员人力, 提升企业整体安全效率应对企业安全场景内网外网账号破解 暴力登陆 邮箱轰炸 非正常登陆 账号共享 受控主机 数据泄露 弱密码服务 未授权访问.撞库爬虫 刷票/刷单 多源低频薅羊毛注入攻击 账号漂移 路径扫描 短信轰炸.ATD部署模式:最后一道防线,加强防御纵深- 支持SaaS和私有化模式两种工作模式* SaaS需要cname* 私有化采用旁路部署,不影响原有 业务- 支持日志或流量两种方式接入- 支持纯内网运行或公网联动运行-分析用户行为(UEBA),构成安全 最后一道防线ATD私有化模式部署架构图实际案例 - 某电商平台- 通过傅里叶变化进行时频域转换- 攻击者使用伪造User Agent不断更换UserID进行撞库- 攻击者访问频率不高,几百次访问/小时- 攻击者破解签名算法,获取到正确的签名- 通过频域个群对比,确认是撞库攻击实际案例 - 某游戏公司- 通过时间轴线行为建模分析24小时行为走势- 对比正常用户,攻击者行为熵较小- 对比正常用户,攻击者时间轴方差较小- 攻击者整体行为特别是夜间行为异于正常用户- 通过个群对比,确认是游戏外挂谢谢