在当前信息化时代,新的攻击手法、漏洞不断被发现,并结合人工智能的手段导致攻击更加多样化、隐蔽性更高,因此网络攻击正变得更加智能化和复杂化;传统基于预先特征库的防火墙、入侵防御等安全设备,由于其原理是必须在了解攻击特征的前提下才能进行有效防御,所以这类设备对新型攻击、未曾出现的攻击,无法做到防御。因此异常行为分析技术的出现可以很好地弥补这一缺陷,对新型威胁做出准确判断和预警,在其发生破坏之前阻断恶意行为事件。
UEBA 检测异常行为
异常行为分析又称UEBA(User Entity Behavior Analytics),最早由Gartner率先提出了用户行为分析UBA(User Behavior Analytics)的概念,用于应对日益增加的内部威胁。由于后来实体(Entity)的概念被引入到了UBA技术,最终演变成了UEBA,其中 E 更多是指 IT 资产或设备,包括服务器、终端、网络设备等,通过对它们的异常行为分析,可以发现外部的网络攻击或者主机遭受病毒侵害的行为。
异常行为分析可以检测从网络层到应用层的用户、服务器的异常行为,提前发现潜在威胁。异常行为分析原理主要包括了网络层新建会话数、流量数据采集、流量数据分析等几十种参量进行流量跟踪,同时在应用层收集不同维度的流量数据,对协议进行深度剖析,数据关联分析及对比,判断是否为异常行为或未知威胁,进行预警和提前防范。
TDR利用UEBA实现主动防御
近年,UEBA被大量用户信息安全领域。一般传统的安全技术都是通过检测引擎依赖于已知的规则进行检测,这种方式的误报率高,准确率低,且无法发现新的未知威胁行为。利用UEBA可以发现更多更准确的安全威胁。
华清信安TDR威胁检测与响应服务帮助企业建立检测-防护-监测-响应-管理的闭环智能安全运营体系。TDR通过入侵防御、UEBA发现网络中的潜在威胁,进行安全事件处置,实现网络安全主动防御。
TDR UEBA 精准发现潜在威胁
TDR UEBA行为分析功能介绍:华清信安TDR智能安全运营平台UEBA功能模块,可为用户提供行为流量分析、用户操作行为画像;结合威胁情报、AI异常检测模型对用户(如IP地址、应用、网络等)行为进行关联分析,准确发现用户异常操作及行为事件。
TDR UEBA行为分析主要功能
行为轨迹画像:结合用户角色和个人用户访问站点的行为特征,利用用户日志历史信息勾勒出用户行为画像,并给出用户行为安全画像实例.该轨迹能有效利用用户历史行为数据,使得安全管理系统能准实时地判断用户行为异常,提高TDR智能安全运营平台的实时响应能力;
行为流量分析:无论是操作系统、应用软件、网络设备还是业务系统都普遍存在未知的漏洞,基于用户访问流量分析入手,网络全流量分析是行之有效的手段,因为再高级的攻击,都会留下网络痕迹。
基于网络全流量分析技术,通过数据采集、分析和存储所有网络流量,并且结合威胁情报检测已知威胁、异常网络行为。
TDR UEBA可实现多维度数据分析,及时发现网络中存在的异常流量信息。
行为事件分析:用户访问流量结合AI智能攻击识别模型,可分析识别出具体恶意事件行为,通过行为事件标签可快速定位用户访问操作类型;
TDR UEBA功能特点:TDR UEBA异常行为分析技术通过对安全节点用户访问流量进行连续、实时监控和分析,利用威胁情报、行为流量分析、安全基线、历史操作画像和机器学习等多种技术手段来检测流量和用户或应用行为中的异常流量,以发现异常行为。
TDR UEBA对需要保护的地址建立自适应的AI白模型。通过正常情况下的访问模型,在攻击发生时,都会有一定的特点,判断其某些行为特征上会与正常的访问是否有所区别,通过量化某些应用协议的维度,异常行为分析模型可以发现这种差异。
TDR UEBA基于B/S架构的远程管理,管理员无需安装客户端,仅通过浏览器即可登陆管理系统进行管理,无需关心操作系统类型,更加方便快捷;
业务快速接入,自动化流量收集,更加灵活方便帮助用户统计站点异常事件。
如若转载,请注明原文地址