实践与创新:安恒信息UEBA论文入选国家中文核心期刊
近日,由安恒信息大数据算法分析团队撰写的《基于机器学习的用户实体行为分析技术在账户异常检测中的应用》一文,经过多项学术指标综合评定及行业专家评议推荐,被全国中文核心期刊《通信技术》2020年5月第53卷第5期收录。
该论文主要以网络安全攻防实战为题材,将人工智能和用户实体行为分析技术(User Entity Behavior Analysis Technology,简称:UEBA技术)应用于网络安全攻防实践,也是体现企业“产、学、研”实践与创新能力的重要标志。
全球内部威胁正在急剧增加
Ponemon研究所2020年发布的《内部威胁成本全球报告》显示,内部威胁的成本和频率在过去两年内都急剧增加。内部威胁事件的平均成本为1145万美元,较2018年的876万美元增长了近31%,威胁事件数量为4716起,较2018年的3200起增长了47%。
• 大型企业内部威胁的成本平均1792万美元
内部威胁的成本通常和企业规模呈正相关。员工总数在25001和75000之间的大型企业在过去一年里,平均花费1792万美元解决与内部威胁相关的事件。
• 内部威胁处理周期平均长达77天
处理内部威胁事件的平均周期为77天,这其中只有13%的事件能够在30天之内得到控制。
• 内部疏忽总共占比近63%
在发生的4716起事件中,2962起事件是由内部员工或承包商的疏忽过失操作导致的,1105起事件是由攻击团队或恶意的内部员工发起的,649起事件是由账号失陷引起的,其中191起事件涉及特权用户的凭证窃取。
UEBA成安全威胁识别有力武器
针对内部威胁,安恒信息提出UEBA解决方案,基于用户和实体已知威胁检测,还具备检测未知威胁的能力,利用机器学习算法自学习和插件式扩展学习能力,使用非监督、半监督和监督式学习、增量式学习等方式不断优化各类模型,同时可利用深度学习自适应和自学习生成动态基准线和动态可信区间,以检测内部威胁和潜在的风险。
安恒信息针对已定位出的特定风险用户,进行特定用户行为画像,可以全方位展示该用户全局画像信息,特征对应事件快速自适应排序,通过风险趋势图以及多种可视化图表,便于用户排查某个用户最有风险事件。
附:入选论文概述
《基于机器学习的用户实体行为分析技术在账户异常检测中的应用》(《Application of User Entity Behavior Analysis Technology base on Machine Learning in Account Anomaly Detection》)
伴随企业业务的不断扩增和电子化发展,企业自身数据和负载数据都开始暴增。然而,作为企业核心资产之一的内部数据,却面临着日益严峻的安全威胁。越来越多以周期长、频率低、隐蔽强为典型特征的非明显攻击绕过传统安全检测方法,对大量数据造成损毁。
首先,通过用户、实体、行为三要素的关联,整合可以反映用户行为基线的各类数据;其次,定义4类特征提取维度,有效提取几十种最能反映用户异常的基础特征;再次,将3种异常检测算法通过集成学习方法用于异常用户建模;最后,通过异常打分,定位异常风险最大的一批用户。
在实践中,对排名前10的异常用户进行排查,证明安恒信息的UEBA落地方式在异常用户检测中极其高效。
关于《通信技术》
据了解,《通信技术》是由中国电子科技集团公司主管、中国电子科技集团公司第三十研究所主办的计算机专业学术期刊。据2019年2月11日万方数据知识服务平台显示,《通信技术》载文量为9335篇,基金论文量为2203篇,被引量为31150、下载量为294643,2015年影响因子为0.51。
往期精选
围观
热文
热文