什么是行为分析?
开始使用OpenText™ ArcSight™ 智能系统
ArcSight 智能使您的安全团队能够先发制人地应对难以捉摸的攻击。借助行为分析中与上下文相关的洞察力,分析人员可以在与内部威胁和高级持续性威胁(APT)等复杂威胁的斗争中,快速放大真正重要的信息。
了解更多行为分析
为什么要收集行为数据?
如下图所示,数据创建在过去十年中呈爆炸式增长,预计还将继续呈指数倍增长。该图预测,到 2025 年,全球数据领域估计将达到 160 ZB。zettabyte 很难直观地表示出来,因为它实在是太庞大了。不过,如果我们用一公里来表示每一个字节,那么一个 zettabyte 就相当于往返太阳 3,333,333,333 次。据估计,所创建的数据中只有 15%会被存储起来,但这仍然是一个巨大的数据量。
存储行为数据有几个重大挑战:
- 有些生成的数据可能很难捕获和存储。这主要是由于数据工程的限制。
- 由于创建的数据量巨大,数据存储是一项挑战。
- 以具有成本效益和可访问的方式存储数据。目前,只有一小部分创建的数据被存储起来。
行为数据主要通过人们与软件或服务器的交互来获取。向网站上传数据或在网站上选择产品就是互动的一个例子。这些事件被存储在设备本地的数据库中,或者更常见的是被存储在公司拥有的服务器中,并带有日期和时间戳,以便于访问。
整个行业都是围绕着收集数据和利用数据而建立的。以下是一些您可能不太熟悉的数据收集实例:
- 公司硬件的使用:现已开发出先进的软件程序,使企业能够跟踪员工使用公司硬件(如计算机、打印机和服务器)的行为分析,其详细程度令人惊讶。这种软件通常用于检测可疑行为,这些行为可能预示着员工或黑客的欺诈或恶意行为。
- 网站会话:你知道如今你访问的每个网站都会告知你它使用 cookies 为你提供优质体验吗?如果把它翻译成通俗易懂的语言,对许多网站来说,这意味着他们将记录你的浏览会话,以便分析你的行为,找到可以优化网站设计的地方。所以,下次当你看到正在浏览的网站弹出通知时,你要知道,以后可能会有人监视你的浏览会话。
- 生物识别:随着物联网成为主流(想想智能手表),心率、体温和步数等生物识别技术也变得更容易收集。此外,越来越多的人出于健康或祖先的目的对 DNA 检测感兴趣。这些 DNA 数据和生物识别技术可用于训练行为机器学习模型,从而提高对个人的洞察能力。
- 睡眠应用程序:许多应用程序都是为了改善个人睡眠而开发的(有孩子的朋友们好运了),它们可以跟踪睡眠周期,并在你处于慢波睡眠阶段时叫醒你,让你醒来时感觉更精神。这些应用程序利用智能手机收集加速度计数据或噪音数据,或两者兼而有之。收集到的数据可以存储在智能手机本地或公司服务器上,具体取决于应用程序创建者的条款和条件。
如何在网络安全中使用行为分析技术
一直以来,网络安全仅使用规则驱动框架来检测潜在的网络威胁。例如,半夜下载了大量数据。这一行为可能会触发违反规则的行为,从而向安全团队发出警报。如今,这种基于规则的方法仍然是分层分析安全方法的重要组成部分;但是,聪明的黑客可以避免触发这些系统中设置的许多规则,而且很难发现员工的恶意行为(也就是所谓的内部威胁)。行为分析通过使用复杂的机器学习算法来分析整个企业的用户和实体数据,并识别可能是安全漏洞迹象的意外行为,从而实现以人为本的防御。
在网络安全领域,行为分析通常被称为用户和实体行为分析或UEBA。UEBA 越来越受欢迎,因为它可以筛选企业的大部分数据,为安全分析师提供高质量的评估线索,从而节省大量的时间和金钱。UEBA 还可以减少安全分析师的数量,从而减轻企业参与竞争激烈的安全人才争夺战的压力。
行为分析在安全领域的最大应用之一就是检测内部威胁。内部威胁是指企业员工出于金钱利益或报复公司的动机而发动的攻击。由于员工已经可以访问他们在工作中使用的敏感信息,因此不需要黑客攻击就可以从公司窃取这些信息。因此,通常不会触发安全规则。然而,行为分析可用于识别并提醒安全团队注意员工的异常行为。
行为分析在安全领域的另一个常见应用是检测高级持续威胁(APT)。当黑客长时间访问组织的服务器时,就会发生 APT。使用传统方法很难检测到这些攻击,因为 APT 会有意识地避免触发常用规则,以确保其访问的持久性。然而,行为分析能够检测 APT,因为其算法能够监控 APT 所表现出的异常活动。
UEBA 软件最后一个非常常见的应用是检测零日攻击。零日攻击是以前从未使用过的新攻击,因此没有编写任何规则来检测它们。由于行为分析使用以前的行为数据来评估哪些行为是不正常的,这些新的攻击通常可以被检测到,因为它们通常使用新的可执行文件和方法来破坏公司的安全。
行为分析和物联网
物联网(IoT)是指连接到互联网和/或其他设备的外围设备网络,从而形成一个连接设备的网络。物联网在过去十年中经历了显著的增长,这在包括制造业、供应链和消费品在内的许多行业中都可以看到。许多物联网设备都会收集行为数据,并利用这些数据进行分析,以获得洞察力或采取适当的行动。
智能手表的普及是这一增长最明显的消费品实例之一。仅在几年前,智能手表还很不常见,只有前沿科技爱好者才会购买这些设备,但随着越来越多的公司涉足这一行业,智能手表和其他物联网设备已成为主流。如今,物联网设备已非常普遍,即使是休闲视频游戏串流玩家也会佩戴心率监测器,并显示给观众观看。面向消费者收集行为数据的物联网应用举例如下
- 可追踪生物特征的智能手表
- 可跟踪住宅门流量的门铃摄像机
- 全天跟踪温度偏好的智能恒温器
- 智能语音助手,可在您请求操作时进行学习
企业也在研究利用物联网和行为分析来增强其现有能力。企业希望利用物联网改善运营的主要原因是,物联网有望降低成本、更准确地估计交付时间和提供优质的产品服务。与消费者领域相比,专门收集行为数据的设备较少,但也有几种:
- 供应链:用于跟踪工业驾驶员驾驶行为的传感器,以确保政策合规和安全驾驶。
- 医疗保健:医院可利用物联网设备识别病人的健康状况,并在必要时提醒护士和医生。
随着物联网设备数量的持续增长,行为分析在为消费者和企业提供价值方面的重要性将与日俱增。
行为分析和大数据
当今生成和存储的数据量远远超过了以往任何一代人,以至于 "大数据 "一词应运而生。大数据是指数据科学家或统计学家使用大量数据的方法。一般来说,在数据质量相同的前提下,更多的数据可以提高分析的有效性。许多更强大的算法,如神经网络,在使用少量数据时效果不佳,但在使用大量数据时就会变得更加有效。
一些行业比其他行业更能接受大数据的理念,网站广告就是一个很好的例子。例如,在网络广告测试(如 A/B 测试)中,可以快速收集和分析数据,从而得出比较广告的效果指标。许多行业在采用大数据方法时举步维艰,原因在于产生的数据量、数据付费墙或数据法规使得收集和使用实体数据变得困难。
行为分析非常适合大数据类别,因为行为数据会产生大量数据,通常可以被收集,而且通常可以对每个用户进行跟踪。当您在浏览网站时看到关于使用 cookie 跟踪您的体验的警告时,他们通常是在跟踪您在网站上的行为,以便优化网站设计。如前所述,物联网是行为数据最丰富的来源之一,以至于有整整一家公司成立之初都只专注于利用物联网数据进行行为分析。
行为分析和机器学习
机器学习是一类算法,它使用输入数据和有时预期的数据输出来微调模型参数,以提高准确性。机器学习尤其有助于对大量数据进行分析和分类,因为算法的处理能力远远超过人类。行为分析通常使用机器学习来获得洞察力或自动决策。
行为分析和机器学习用例包括
- 内部威胁内部威胁是指员工通过窃取数据或公司知识产权对公司采取恶意行为的安全问题。安全程序可以利用机器学习来识别可能表明内部威胁的异常行为。
- 客户细分:客户的购买行为和偏好各不相同。机器学习可用于细分客户群,以识别企业最有价值的客户。
- 面部情绪检测:这些系统利用复杂的机器学习,将面部识别和分类结合在一起,现在可以检测出人们的情绪。
电子商务中的行为分析
亚马逊之所以能成为市场上占主导地位的电子商务平台,原因之一是它将注意力集中在分析消费者的浏览习惯和购买习惯上,这两种习惯都属于行为分析。
通过评估消费者的购买习惯,公司可以确定产品促销和捆绑销售的最佳机会。通过行为分析确定捆绑销售的一个很好的例子是在亚马逊的产品页面上,在最初的产品详细信息下面。通常情况下,捆绑商品包括一些其他商品,这些商品是其他人在购买相同商品时一起购买的。购买捆绑产品可享受所有产品的轻微折扣。
购买习惯数据还可以使用聚类等无监督机器学习方法进行客户细分。客户细分有助于公司了解群体的一般购买习惯,从而更好地确定满足广大群体需求的方法。
金融领域的行为分析
在国际上,欺诈每年给全球经济造成数万亿美元的损失。不难理解,金融公司高度关注从异常消费行为中发现的欺诈活动,以降低欺诈造成的成本,为客户提供更安全的体验。
欺诈性交易是通过使用行为机器学习算法来确定正常行为,从而在出现异常交易时将其标记为可能的欺诈行为。通常情况下,金融公司会在可能发生欺诈活动时联系客户,以核实交易是否真的存在欺诈行为。
例如,消费者在洛杉矶购买咖啡,20 分钟后又在伦敦购买甜甜圈,这种不寻常的行为可能表明存在欺诈行为。不可能以这么快的速度同时购买两件商品。另一个例子是,消费者在从未去过的地方购买了从未购买过的昂贵商品。例如,消费者住在加拿大,却在巴西购买了 50 张床垫。
立即开始使用行为分析
随着机器学习算法的改进和数据的社会化,行为分析将继续变得更加有用。随着行为分析机会的增加,企业在合规和尊重数据的前提下使用数据的责任也随之增加。
如今,企业面临的网络威胁与日俱增,必须采取更多的预防措施,以确保宝贵数据的安全,并将黑客拒之于内部网络之外。我们首屈一指的 UEBA SecOps 软件ArcSight Intelligence 使用行为分析来检测可能表明恶意行为的异常情况。该软件在检测内部威胁、零时差攻击,甚至侵略性红队攻击方面有着良好的记录。迈出保护组织安全的第一步。立即预约OpenText™ Arcsight™ Intelligence for CrowdStrike 演示!
