阐释基于大数据的异常行为分析

来自启明星辰泰合安管产品本部的叶蓬做了《基于大数据的异常行为分析》的专题报告。叶蓬表示，在当前网络攻防对抗的形势下，电力企业传统的安全防护体系和思路必须进行改变。我们必须认定我们的网络已经遭受入侵，必须从消极防护转变为主动防护、甚至是可适应性防护；要从单纯的防御转向积极对抗，要从独立防御向协同防御体系迈进，安全需要知己，还需要知彼。

当前大数据安全分析已经成为了安全领域的一大热门，随着大数据分析平台的搭建、安全要素数据的采集和安全数据库的构建，未来更多的注意力将转向安全数据分析本身。面对天量的安全数据，借助大数据安全分析技术到底能够分析出什么以前未分析出的洞见将成为大数据分析成败的关键。

针对上述问题，叶蓬指出利用统计模型和机器学习来对用户及实体进行画像、检测异常行为将成为大数据安全分析的一个重要发展方向。

异常行为分析是一种典型的非特征检测技术，能够弥补传统基于特征和规则的检测技术的不足，实现知所未知。

“Gartner将异常行为分析技术映射到用户及实体行为分析（User and Entity Behavior Analysis）市场，并表示该市场目前规模约为5000万美元。Gartner表示该市场目前发展迅猛，十分看好其前景，预测2017年将有2亿美元的市场规模。UEBA正逐步成为SIEM和安管平台技术的重要组成部分。

叶蓬在会上分享了两类异常行为分析的实践方法：基于异常行为模型的数据分析方法和基于正常行为模型的数据分析方法。

其中，数据分析师通过建立正常行为模型来进行异常数据分析的方法更受关注。在一个相对稳态的网络环境中，描述什么是正常的行为比描述什么是异常的行为更加容易。只要能够刻画出正常行为，就能够反过来判定异常。而建立正常行为模型的关键在于对用户和实体的行为进行“画像”，即建立行为轮廓。这个“画像”的过程与互联网业务下的用户画像有异曲同工之意。

接下来，叶蓬进一步阐释了可以进行“画像”的网络实体，以及如何选取实体的行为刻画指标，并介绍了基于实体画像的异常行为分析过程。同时分享了启明星辰融合了大数据分析技术的异常行为分析引擎的技术架构和应用场景。

最后，叶蓬指出异常行为分析不是安全分析的全部，行为分析仅仅是交互式安全分析的一个环节。在大数据安全分析下，行为分析更多是提供一些线索，接下来还需要安全分析师据此进行威胁狩猎（Threat Hunting）、数据勘探（Data Exploring）。行为分析要与规则分析紧密结合，行为分析要充分利用情境(Context)数据，包括情报、地理位置信息、漏洞、身份信息和业务属性等。

随着安全数据的大数据化，传统安全分析面临诸多挑战。伴随正在兴起的智能安全与情境感知理念，大数据分析已经被视作安全领域关键的解决方案。2014年底，启明星辰发布了国内面向企业级客户的大数据安全分析平台。系统融合先进的流式计算、交互式计算和批式计算技术，采用云计算和分布式文件系统及索引技术，对包括日志、网络流、数据包和威胁情报在内的结构化、半结构化安全要素信息进行采集、存储、分析和展示，使用智能关联、行为分析、情境分析、机器学习等多种数据分析及挖掘技术，构建了全新一代安全分析平台，为客户提供多种安全分析场景，有效满足数字时代安全管理人员对安全分析和管理的需求。cda数据分析师培训