什么是行为分析?
行为分析
为什么要收集行为数据?
如下图所示,数据创建在过去十年中呈爆炸式增长,预计还将继续呈指数倍增长。该图预测,到 2028 年,全球数据领域估计将达到近 400 ZB。zettabyte 很难直观地表示出来,因为它实在是太庞大了。但是,如果我们用一公里来表示每一个字节,那么一个 zettabyte 相当于 3,333,333,333,333 次往返太阳。据估计,所创建的数据中只有 15%会被存储起来,但这仍然是一个巨大的数据量。
存储行为数据有几个重大挑战:
- 有些生成的数据可能很难捕获和存储。这主要是由于数据工程的限制。
- 由于创建的数据量巨大,数据存储是一项挑战。
- 要以经济高效、易于访问的方式存储数据非常困难。目前,只有一小部分创建的数据被存储起来。
行为数据主要通过人们与软件或服务器的交互来获取。向网站上传数据或在网站上选择产品就是互动的一个例子。这些事件被存储在设备本地的数据库中,或者更常见的是,连同日期和时间戳一起存储在公司拥有的服务器中,以便于访问。
整个行业都是围绕着收集数据和利用数据而建立的。以下是一些您可能不太熟悉的数据收集实例:
- 公司硬件的使用:先进的软件程序已经问世,使企业能够对员工使用公司硬件(如计算机、打印机和服务器)的行为进行跟踪分析,其精细程度令人惊讶。这种软件通常用于检测可疑行为,这些行为可能预示着员工或黑客的欺诈或恶意行为。
- 网站会话:你知道如今你访问的每个网站都会告知你它使用 cookies 为你提供优质体验吗?如果把它翻译成通俗易懂的语言,对许多网站来说,这意味着他们将记录你的浏览会话,以便分析你的行为,找到可以优化网站设计的地方。所以,下次当你看到正在浏览的网站弹出通知时,你要知道,以后可能会有人监视你的浏览会话。
- 生物识别:随着物联网成为主流(想想智能手表),心率、体温和步数等生物识别技术也变得更容易收集。此外,越来越多的人出于健康或祖先的目的对 DNA 检测感兴趣。这些 DNA 数据和生物识别技术可用于训练行为机器学习模型,从而提高对个人的洞察能力。
- 睡眠应用程序:许多应用程序都是为了改善个人睡眠而设计的(祝有孩子的朋友好运),它们可以跟踪睡眠周期,并在睡眠进入慢波阶段时叫醒你,让你醒来时感觉更精神。这些应用程序通过智能手机收集加速度计数据、噪音数据或两者兼而有之。收集到的数据可以存储在智能手机本地或公司服务器上,具体取决于应用程序创建者的条款和条件。
如何在网络安全中使用行为分析技术
一直以来,网络安全仅使用规则驱动框架来检测潜在的网络威胁。例如,半夜下载了大量数据。这一行为可能会触发违反规则的行为,从而向安全团队发出警报。如今,这种基于规则的方法仍然是分层分析安全方法的重要组成部分;但是,聪明的黑客可以避免触发这些系统中设置的许多规则,而且很难发现员工的恶意行为(也就是所谓的内部威胁)。行为分析通过使用复杂的机器学习算法来分析整个企业的用户和实体数据,并识别可能是安全漏洞迹象的意外行为,从而实现以人为本的防御。
在网络安全领域,行为分析可以筛选企业的大部分数据,为安全分析师提供高质量的评估线索,从而节省大量的时间和金钱。功能强大的行为分析解决方案能让安全团队更高效、更有效地减轻企业在竞争激烈的安全人才争夺战中的压力。
行为分析在安全领域的最大应用之一就是检测内部威胁。内部威胁是指企业员工出于金钱利益或报复公司的动机而发动的攻击。由于员工已经可以访问他们在工作中使用的敏感信息,因此不需要黑客攻击就可以从公司窃取这些信息。因此,通常不会触发安全规则。然而,行为分析可用于识别并提醒安全团队注意员工的异常行为。
行为分析在安全领域的另一个常见应用是检测高级持续威胁(APT)。当黑客长期访问组织的服务器时,就会发生 APT。使用传统方法很难检测到这些攻击,因为 APT 会有意识地避免触发常用规则,以确保其访问的持久性。然而,行为分析可以检测 APT,因为其算法可以监控 APT 所表现出的异常活动。
行为分析还善于检测零日攻击。零时差攻击是以前从未使用过的新攻击,因此没有编写任何规则来检测它们。由于行为分析使用以前的行为数据来评估哪些行为是不正常的,这些新的攻击通常可以被检测到,因为它们通常使用新的可执行文件和方法来破坏公司的安全。
行为分析和物联网
物联网(IoT)是指连接到互联网和/或其他设备的外围设备网络,从而形成一个互联设备网。在过去十年中,物联网经历了大幅增长,这在包括制造业、供应链和消费产品在内的许多行业中都可以看到。其中许多物联网设备都会收集行为数据,并利用这些数据进行分析,以获得洞察力或采取适当行动。
智能手表的普及是这一增长最明显的消费品实例之一。仅在几年前,智能手表还很不常见,只有前沿科技爱好者才会购买这些设备,但随着越来越多的公司涉足这一行业,智能手表和其他物联网设备已成为主流。如今,物联网设备已非常普遍,即使是休闲视频游戏串流玩家也会佩戴心率监测器,并显示给观众观看。收集行为数据的面向消费者的物联网应用举例如下
- 追踪生物特征的智能手表。
- 门铃摄像头可跟踪住宅门前的交通情况。
- 智能恒温器可全天跟踪温度偏好。
- 智能语音助手,可在您请求操作时进行学习。
企业也在研究利用物联网和行为分析来增强其现有能力。企业希望利用物联网改善运营的主要原因是,物联网有望降低成本、更准确地估计交付时间和提供优质的产品服务。与消费者领域相比,专门收集行为数据的设备较少,但也有几种:
- 供应链:用于跟踪工业驾驶员驾驶行为的传感器,以确保政策合规和安全驾驶。
- 医疗保健:医院可利用物联网设备识别病人的健康状况,并在必要时提醒护士和医生。
随着物联网设备数量的持续增长,行为分析在为消费者和企业提供价值方面的重要性将与日俱增。
行为分析和大数据
当今生成和存储的数据量远远超过了以往任何一代人,以至于 "大数据 "一词应运而生。大数据是指数据科学家或统计学家使用大量数据的方法。一般来说,在数据质量相同的前提下,更多的数据可以提高分析的有效性。许多更强大的算法,如神经网络,在使用少量数据时效果不佳,但在使用大量数据时就会变得更加有效。
有些行业比其他行业更能接受大数据的理念,网站广告就是一个很好的例子。例如,A/B 测试等网络广告测试能够快速收集和分析数据,并得出广告效果指标。许多行业在采用大数据方法时举步维艰,原因包括产生的数据量、数据付费墙或数据法规导致难以收集和使用实体的数据。
行为分析非常适合大数据类别,因为行为数据会产生大量数据,通常可以被收集,而且通常可以对每个用户进行跟踪。当您在浏览网站时看到关于使用 cookie 跟踪您的体验的警告时,他们通常是在跟踪您在网站上的行为,以便优化网站设计。如前所述,物联网是行为数据最丰富的来源之一,以至于有整整一家公司成立之初都只专注于利用物联网数据进行行为分析。
行为分析和机器学习
机器学习是一类算法,它使用输入数据和有时预期的数据输出来微调模型参数,以提高准确性。机器学习尤其有助于对大量数据进行分析和分类,因为算法的处理能力远远超过人类。行为分析通常使用机器学习来获得洞察力或自动决策。
行为分析和机器学习用例包括
- 内部威胁内部威胁是指员工通过窃取数据或公司知识产权对公司采取恶意行为的安全问题。安全程序可以利用机器学习来识别可能表明存在内部威胁的异常行为。
- 客户细分:客户的购买行为和偏好各不相同。机器学习可用于细分客户群,以识别企业最有价值的客户。
- 面部情绪检测:这些系统利用复杂的机器学习,将面部识别和分类结合在一起,现在可以检测出人们的情绪。
电子商务中的行为分析
亚马逊之所以能成为市场上占主导地位的电子商务平台,原因之一是它将注意力集中在分析消费者的浏览习惯和购买习惯上,这两种习惯都属于行为分析。
通过评估消费者的购买习惯,公司可以确定产品促销和捆绑销售的最佳机会。通过行为分析确定捆绑销售的一个很好的例子是在亚马逊的产品页面上,在最初的产品详细信息下面。通常情况下,捆绑商品包括一些其他商品,这些商品是其他人在购买相同商品时一起购买的。购买捆绑产品可以在所有产品上享受轻微折扣。
购买习惯数据还可以使用聚类等无监督机器学习方法进行客户细分。客户细分有助于公司了解群体的一般购买习惯,从而更好地确定满足广大群体需求的方法。
金融领域的行为分析
在国际上,欺诈每年给全球经济造成数万亿美元的损失。不难理解,金融公司高度关注从异常消费行为中发现的欺诈活动,以降低欺诈造成的成本,为客户提供更安全的体验。
欺诈性交易是通过使用行为机器学习算法来确定正常行为的,这样当出现异常交易时,就可以将其标记为可能的欺诈行为。通常情况下,金融公司会在可能发生欺诈活动时联系客户,以核实交易是否真的存在欺诈行为。
例如,消费者在洛杉矶购买咖啡,20 分钟后又在伦敦购买甜甜圈,这种不寻常的行为可能表明存在欺诈行为。不可能以这么快的速度同时购买两件商品。另一个例子是,消费者在从未去过的地方购买了从未购买过的昂贵商品。例如,消费者住在加拿大,却在巴西购买了 50 张床垫。
了解行为分析与 UEBA 之间的联系
行为分析包括对用户、客户或系统在一段时间内的行为方式进行广泛研究,分析各种模式,从而在市场营销、产品开发和用户体验等不同领域获得有意义的见解。虽然行为分析是许多专业应用的基础,但用户和实体行为分析(UEBA)是一种以安全为重点的实施方法,它将这些原则专门应用于网络安全环境。一般的行为分析可能会跟踪用户偏好或参与模式,而 UEBA 则将重点缩小到与安全相关的行为和异常检测上。要了解如何在网络安全环境中应用行为分析原则,请访问我们的用户和实体行为分析 (UEBA) 页面。
行为分析常见问题解答
问:什么是行为分析?
答:行为分析涉及收集和分析大量用户和实体数据,以识别模式、趋势和异常。通过利用人工智能和大数据技术,行为分析可提供可行的见解,从而改进网络安全、电子商务和医疗保健等多个领域的决策。
问:行为分析与传统数据分析有何不同?
答:传统的数据分析通常依赖于预定义的规则或假设驱动的方法,而行为分析则侧重于了解特定用户或实体的 "正常 "状态。因此,它能更有效地检测到细微的偏差和新出现的模式,这使其在发现内部威胁、零日攻击或不断变化的消费者偏好方面具有不可估量的价值。
问:为什么行为分析对网络安全很重要?
答:在网络安全中,攻击者往往会采用复杂的策略绕过固定的规则或签名。行为分析通过识别异常用户或实体行为(如意外数据传输、奇怪的访问时间或非典型的浏览模式)来帮助检测这些高级威胁,并在重大损失发生之前向安全团队发出警报。
问:行为分析与 UEBA(用户和实体行为分析)有什么关系?
答:UEBA 是行为分析的一种专门应用,尤其侧重于安全领域。一般的行为分析可应用于市场营销、产品优化或医疗保健领域,而 UEBA 则专注于识别和减轻企业数字环境中的威胁。通过分析用户和设备行为的正常模式,UEBA 可以突出显示可能预示着漏洞或恶意内部人员的异常情况。
问:机器学习和人工智能在行为分析中扮演什么角色?
答:机器学习和人工智能算法是行为分析不可或缺的一部分。这些技术可以大规模处理复杂的大型数据集,远远超出人类的能力,从而发现模式、创建行为基线,并随着新数据流的涌入而不断调整。因此,检测变得更加准确、及时和主动。
问:行为分析能帮助改善客户体验吗?
答:当然可以。在电子商务和其他面向客户的行业中,了解用户行为(如浏览习惯或购买模式)有助于企业个性化产品、改进网站设计和优化营销策略。随着时间的推移,这将带来更高的客户满意度、忠诚度和盈利能力。
问:行为分析与物联网设备之间有什么联系?
答:物联网设备会从可穿戴设备、智能家居系统、制造传感器等产生大量行为数据。行为分析使企业能够处理这些数据,从而改善运营、提高安全性并提供个性化服务--无论是通过智能手表监测健康状况,还是通过工业物联网传感器确保遵守企业驾驶政策。
立即开始使用行为分析
随着机器学习算法的改进和数据的社会化,行为分析将继续变得更加有用。随着行为分析机会的增加,企业在合规和尊重数据的前提下使用数据的责任也随之增加。
如今,企业面临的网络威胁与日俱增,必须采取更多的预防措施来保护宝贵数据的安全,并将黑客拒之于内部网络之外。OpenText 核心Threat 检测和响应利用行为分析来检测可能表明恶意行为的异常情况。它在检测内部威胁、零时差攻击,甚至侵略性红队攻击方面拥有良好的记录。迈出保护组织安全的第一步。
