什麼是行為分析?
行為分析
為什麼要收集行為數據?
如下圖所示,資料創造在過去十年呈爆炸性成長,並預測將持續呈指數倍成長。該圖表預測,到 2028 年,全球數據領域估計將達到近 400 ZB。zettabyte 是很難視覺化的,因為它非常龐大。但是,如果我們用一公里來表示每個位元組,那麼一個 zettabyte 就等於往返太陽 3,333,333,333 次。據估計,只有 15% 的創建資料會被儲存,但這仍是一個龐大的資料量。
儲存行為數據存在一些重大挑戰:
- 某些生成的數據可能很難捕獲和存儲。這主要是由於數據工程的局限性。
- 由於創建的數據量很大,數據存儲是一個挑戰。
- 要以符合成本效益且易於存取的方式儲存資料相當困難。目前,只有一小部分所建立的資料會被儲存。
行為資料主要是透過人們與軟體或伺服器的互動來擷取。上傳資料到網站或在網站上選擇產品就是互動的一個例子。這些事件會儲存在裝置本機的資料庫中,或更常見的是儲存在公司所擁有的伺服器中,並附有日期和時間戳記,以便於存取。
整個行業都是圍繞著收集數據並利用這些數據而建立的。以下是一些您可能不熟悉的資料收集範例:
- 公司硬體使用:先進的軟體程式已被創造出來,讓企業能追蹤員工如何使用公司硬體 (例如電腦、印表機和伺服器) 的行為分析,其細緻程度令人驚訝。此軟體通常用於偵測可能顯示員工或駭客詐騙或惡意行為的可疑行為。
- 網站會話:您知道您今天訪問的每個網站如何通知您它使用 cookie 來為您提供卓越的體驗嗎?如果您將其翻譯成外行術語,這對許多網站來說意味著他們將記錄您的瀏覽會話,以分析您的行為以找到他們可以優化網站設計的地方。因此,下次您看到正在瀏覽的網站上彈出該通知時,只需知道稍後可能會有人觀看您的瀏覽會話。
- 生物識別:隨著物聯網成為主流(想想智慧型手錶),心率、體溫和步數等生物識別技術也變得更容易收集。此外,越來越多的人對 DNA 測試感興趣,目的是為了健康或祖先。這些 DNA 資料和生物識別技術就可以用來訓練行為機器學習模型,以提升個人洞察力的能力。
- 睡眠應用程式:許多應用程式都是為了改善個人睡眠而設計的(祝有小孩的朋友好運),它們會追蹤睡眠週期,並在您進入慢波睡眠階段時叫醒您,讓您醒來時感覺更精神。這些應用程式使用您的智慧型手機收集加速度計資料、噪音資料或兩者皆有。收集到的資料可儲存在智慧型手機的本機或公司伺服器上,視應用程式製造商的條款與條件而定。
如何在網路安全中使用行為分析
歷史上,網路安全僅使用規則驅動的框架來偵測潛在的網路威脅。舉例來說,如果在半夜下載大量資料。這個動作可能會觸發違反規則的情況,進而提醒安全團隊。這種基於規則的方法在今日仍是分層分析安全方法的重要部分;然而,聰明的駭客可以避免觸發這些系統中設定的許多規則,而且也很難發現有惡意行為的員工(也就是所謂的內部威脅)。行為分析可透過使用複雜的機器學習演算法來分析整個企業的使用者和實體資料,並找出可能是安全漏洞跡象的意外行為,從而實現以人為中心的防禦。
在網路安全方面,行為分析可以篩選組織的大部分資料,以開發高品質的線索供安全分析師評估,從而節省大量的時間與金錢。強大的行為分析解決方案可讓安全團隊更有效率、更有效地降低公司參與競爭激烈的安全人才戰的壓力。
行為分析在安全方面最大的應用之一就是偵測內部威脅。內部威脅是指來自組織員工的攻擊,其動機可能是為了金錢利益,也可能是為了報復公司。由於員工已經可以存取他們在工作中使用的敏感資訊,因此不需要駭客就可以從公司竊取這些資訊。因此,安全規則通常不會被觸發。然而,行為分析可用於識別員工的不尋常行為,並提醒安全團隊。
行為分析在安全方面的另一個常見應用是偵測進階持續性威脅 (APT)。APT 發生於黑客長時間存取組織的伺服器時。使用傳統方法偵測這些攻擊尤其困難,因為 APT 會有意識地避免觸發一般規則,以確保其存取的長效性。然而,行為分析可以偵測 APT,因為其演算法可以監控 APT 所展現的非一般活動。
行為分析也擅長偵測零時差攻擊。零時差攻擊是以前未曾使用過的新攻擊,因此不會寫入任何規則來偵測它們。由於行為分析會使用先前的行為資料來評估哪些行為是不正常的,因此這些新的攻擊通常都能被偵測到,因為這些攻擊通常會使用新的可執行檔和方法來突破公司的安全防線。
行為分析和物聯網
物聯網或 IoT 是指連接到網際網路和/或其他裝置的週邊裝置網路,以建立連網裝置。物聯網在過去十年經歷了顯著的成長,這可以在許多產業中看到,包括製造業、供應鏈和消費性產品。許多這些 IoT 裝置會收集行為資料,並使用這些資料執行分析,以獲得洞察力或適當的行動。
智慧型手錶的普及是消費性產品成長最明顯的例子之一。就在幾年前,智慧型手錶還非常罕見,只有前進的科技愛好者才會購買這些裝置,但隨著越來越多公司投入這個產業,智慧型手錶和其他 IoT 裝置已經變得更為主流。如今,物聯網裝置已非常普遍,即使是隨便玩玩的電玩串流玩家也會配戴心率監測器,顯示給觀眾看。收集行為資料的面向消費者 IoT 應用範例有
- 可追蹤生物特徵的智慧型手錶。
- 門鈴攝影機可追蹤到住宅大門的人流。
- 可追蹤全天溫度偏好的智慧型恆溫器。
- 智慧型語音助理,可在您要求動作時學習。
企業也在研究使用物聯網與行為分析來增強現有的能力。企業之所以尋求 IoT 來改善營運,主要是因為 IoT 可以降低成本、更精準的預估交貨時間,以及提供更優質的產品服務。與消費者領域相比,專門收集行為資料的裝置較少,但也有幾種:
- 供應鏈: 用於跟蹤工業駕駛員駕駛行為的感測器,以確保符合政策和安全駕駛。
- 醫療保健: 醫院可以使用物聯網設備來識別患者的健康情況 ,並在必要時提醒護士和醫生。
隨著物聯網設備數量的持續增長,行為分析在為消費者和企業提供價值方面將變得越來越重要。
行為分析和大數據
今天生成和存儲的數據量遠遠超過任何其他一代,以至於「大數據」一詞被創造出來。大數據是指數據科學家或統計學家使用使用大量數據的方法。通常,假設數據品質相同,數據越多,分析的有效性就越高。許多更強大的演算法(如神經網路)在少量數據下無效,但在大量數據下變得更加有效。
有些產業比其他產業更能接受大數據,網站廣告就是一個很好的例子。例如,A/B 測試等網站廣告測試可快速收集和分析資料,從而得出比較廣告的成效指標。由於產生的資料量、資料付費牆或資料法規使實體資料的收集和使用變得困難,許多產業在採用大數據方法上舉步維艱。
行為分析非常適合大數據類別,因為行為數據會產生大量數據,通常可以收集數據,並且通常可以為每個用戶進行跟蹤。當您導航到網站並看到有關使用cookie追蹤您的體驗的警告時,它們通常會跟蹤您在網站上的行為,以優化網站設計。如前所述,最豐富的行為數據來源之一是物聯網,以至於整個公司都只專注於從生成的物聯網數據中運行行為分析。
行為分析和機器學習
機器學習是一類演算法,它使用輸入資料,有時也會使用預期的資料輸出,來微調模型參數的準確性。機器學習特別有助於分析和分類大量資料,因為演算法可以處理的資料比人類多得多。行為分析通常使用機器學習來獲得洞察力或自動化決策。
行為分析和機器學習用例的一些範例包括:
- 內部威脅:內部威脅是指員工透過竊取資料或公司智慧財產權,對所屬公司採取惡意行為的相關安全問題。安全程式可以使用機器學習來識別可能顯示內部威脅的異常行為。
- 客戶細分:客戶有不同的購買行為,表現出不同的偏好。機器學習可用於細分客戶環境,以確定組織最有價值的客戶。
- 臉部情緒偵測:使用複雜的機器學習,結合臉部辨識與分類,這些系統現在可以偵測到人們的情緒。
電子商務中的行為分析
亞馬遜成為市場上佔主導地位的電子商務平臺的原因之一是因為它將注意力集中在分析消費者的瀏覽習慣和消費者的購買習慣上,這兩者都被歸類為行為分析。
透過評估消費者的購買習慣,公司可以找出產品促銷和捆綁銷售的最佳機會。在 Amazon 的產品頁面中,在最初的產品詳細資訊下方,就有一個由行為分析決定綑綁銷售的好例子。通常,捆綁商品包括一些其他人與相同商品一起購買的其他商品。購買綑綁商品可以在所有商品上獲得少許折扣。
購買習慣資料還可以使用聚類等無監督機器學習方法進行客戶細分。客戶區隔有助於公司瞭解群體的一般購買習慣,從而更好地找出迎合廣大群體的方法。
金融行為分析
在國際上,欺詐每年給全球經濟造成數萬億美元的損失。不出所料,金融公司投入了大量資金來捕捉從異常消費者行為中發現的欺詐活動,以降低欺詐造成的成本,併為客戶提供更安全的體驗。
詐欺交易是利用行為機器學習演算法來建立正常行為,以便在發生不尋常交易時將其標示為可能的詐欺行為。通常,金融公司會在可能的詐欺活動發生時聯絡客戶,以驗證交易是否真的是詐欺。
舉例來說,如果消費者在洛杉磯購買咖啡,20 分鐘後又在倫敦購買甜甜圈,這種不尋常的行為可能顯示詐欺。不可能以那麼快的速度同時購買兩件東西。另一個例子是,如果消費者在從未到過的地方購買了從未買過的昂貴物品。舉例來說,如果一個消費者住在加拿大,卻用他的財務憑證在巴西購買了 50 張床墊。
瞭解行為分析與 UEBA 之間的關係
行為分析包含對使用者、客戶或系統隨著時間的行為的廣泛研究,透過分析模式來獲得行銷、產品開發和使用者體驗等不同領域中有意義的洞察力。行為分析是許多專門應用程式的基礎,其中一個以安全為重點的實作是使用者與實體行為分析 (UEBA),它將這些原則特別應用於網路安全情境。一般的行為分析可能會追蹤使用者偏好或參與模式,而 UEBA 則將焦點縮小為安全相關行為和異常偵測。若要瞭解行為分析原則如何應用於網路安全情境,請造訪我們的使用者與實體行為分析 (UEBA) 頁面。
行為分析常見問題集
問:什麼是行為分析?
答:行為分析包括收集和分析大量使用者和實體資料,以找出模式、趨勢和異常現象。透過利用人工智慧和大數據技術,它可提供可行的洞察力,改善多個領域的決策,包括網路安全、電子商務和醫療保健。
問:行為分析與傳統資料分析有何不同?
答:傳統的資料分析通常依賴於預先定義的規則或假設驅動的方法,而行為分析則著重於瞭解特定使用者或實體的「正常」表現。因此,它能更有效地檢測出微妙的偏差和新出現的模式,使其在發現內部威脅、零時差攻擊或不斷演變的消費者偏好方面具有無價之寶。
問:為什麼行為分析對網路安全很重要?
答:在網路安全方面,攻擊者通常會運用複雜的策略,繞過固定的規則或識別碼。行為分析可辨識異常的使用者或實體行為 (例如意外的資料傳輸、異常的存取時間或非典型的瀏覽模式),協助偵測這些進階威脅,並在重大損害發生前向安全團隊發出警示。
問:行為分析與 UEBA(使用者與實體行為分析)有何關聯?
答:UEBA 是專門針對安全情境的行為分析應用程式。一般行為分析可應用於行銷、產品最佳化或醫療保健,而 UEBA 則專注於識別並降低組織數位環境中的威脅。透過分析使用者和裝置行為的正常模式,UEBA 能夠突顯可能代表外洩或惡意內部人員的異常訊號。
問:機器學習和人工智能在行為分析中扮演什麼角色?
答:機器學習和 AI 演算法是行為分析不可或缺的部分。這些技術會以遠遠超過人類能力的規模處理大型複雜資料集,從而發現模式、建立行為基線,並隨著新資料流的湧入而不斷調整。因此,偵測變得更精確、及時和主動。
問:行為分析能幫助改善客戶體驗嗎?
答:沒錯。在電子商務和其他面向客戶的產業中,瞭解使用者行為(例如瀏覽習慣或購買模式)有助於企業提供個人化的產品、改善網站設計和優化行銷策略。久而久之,客戶滿意度、忠誠度和獲利能力都會提高。
問:行為分析與 IoT 裝置之間有何關聯?
答:物聯網設備會產生大量的行為資料,這些資料來自可穿戴裝置、智慧型家庭系統、製造業感測器等。行為分析可讓組織處理這些資料,以改善營運、加強安全性並提供個人化服務 - 不論是監控智慧型手錶的健康狀況,或是透過工業 IoT 感應器確保符合企業的駕駛政策。
立即開始使用行為分析
隨著機器學習演算法的改進,以及數據在數據孤立的行業中變得更加社會化,行為分析將繼續變得更加有用。隨著行為分析機會的增加,企業以合規和尊重的方式使用數據的責任也越來越大。
現今企業面對的網路威脅與日俱增,因此必須採取更多預防措施,以確保寶貴資料的安全,並防止駭客入侵內部網路。OpenText CoreThreat Detection and Response 使用行為分析來偵測可能顯示惡意行為的異常現象。它在偵測內部威脅、零時差攻擊,甚至咄咄逼人的紅隊攻擊方面都有良好的記錄。踏出保護組織安全的第一步。
