闡釋基于大數據的異常行為分析

來自啟明星辰泰合安管產品本部的葉蓬做了《基于大數據的異常行為分析》的專題報告。葉蓬表示，在當前網絡攻防對抗的形勢下，電力企業傳統的安全防護體系和思路必須進行改變。我們必須認定我們的網絡已經遭受入侵，必須從消極防護轉變為主動防護、甚至是可適應性防護；要從單純的防御轉向積極對抗，要從獨立防御向協同防御體系邁進，安全需要知己，還需要知彼。

當前大數據安全分析已經成為了安全領域的一大熱門，隨著大數據分析平臺的搭建、安全要素數據的采集和安全數據庫的構建，未來更多的注意力將轉向安全數據分析本身。面對天量的安全數據，借助大數據安全分析技術到底能夠分析出什么以前未分析出的洞見將成為大數據分析成敗的關鍵。

針對上述問題，葉蓬指出利用統計模型和機器學習來對用戶及實體進行畫像、檢測異常行為將成為大數據安全分析的一個重要發展方向。

異常行為分析是一種典型的非特征檢測技術，能夠彌補傳統基于特征和規則的檢測技術的不足，實現知所未知。

“Gartner將異常行為分析技術映射到用戶及實體行為分析（User and Entity Behavior Analysis）市場，并表示該市場目前規模約為5000萬美元。Gartner表示該市場目前發展迅猛，十分看好其前景，預測2017年將有2億美元的市場規模。UEBA正逐步成為SIEM和安管平臺技術的重要組成部分。

葉蓬在會上分享了兩類異常行為分析的實踐方法：基于異常行為模型的數據分析方法和基于正常行為模型的數據分析方法。

其中，數據分析師通過建立正常行為模型來進行異常數據分析的方法更受關注。在一個相對穩態的網絡環境中，描述什么是正常的行為比描述什么是異常的行為更加容易。只要能夠刻畫出正常行為，就能夠反過來判定異常。而建立正常行為模型的關鍵在于對用戶和實體的行為進行“畫像”，即建立行為輪廓。這個“畫像”的過程與互聯網業務下的用戶畫像有異曲同工之意。

接下來，葉蓬進一步闡釋了可以進行“畫像”的網絡實體，以及如何選取實體的行為刻畫指標，并介紹了基于實體畫像的異常行為分析過程。同時分享了啟明星辰融合了大數據分析技術的異常行為分析引擎的技術架構和應用場景。

最后，葉蓬指出異常行為分析不是安全分析的全部，行為分析僅僅是交互式安全分析的一個環節。在大數據安全分析下，行為分析更多是提供一些線索，接下來還需要安全分析師據此進行威脅狩獵（Threat Hunting）、數據勘探（Data Exploring）。行為分析要與規則分析緊密結合，行為分析要充分利用情境(Context)數據，包括情報、地理位置信息、漏洞、身份信息和業務屬性等。

隨著安全數據的大數據化，傳統安全分析面臨諸多挑戰。伴隨正在興起的智能安全與情境感知理念，大數據分析已經被視作安全領域關鍵的解決方案。2014年底，啟明星辰發布了國內面向企業級客戶的大數據安全分析平臺。系統融合先進的流式計算、交互式計算和批式計算技術，采用云計算和分布式文件系統及索引技術，對包括日志、網絡流、數據包和威脅情報在內的結構化、半結構化安全要素信息進行采集、存儲、分析和展示，使用智能關聯、行為分析、情境分析、機器學習等多種數據分析及挖掘技術，構建了全新一代安全分析平臺，為客戶提供多種安全分析場景，有效滿足數字時代安全管理人員對安全分析和管理的需求。cda數據分析師培訓