1、 网络安全先进技术与应用发展系列报告网络安全先进技术与应用发展系列报告 用户实体行为分析技术（用户实体行为分析技术（UEBAUEBA） （20202020 年）年） 中国信息通信研究院安全研究所中国信息通信研究院安全研究所 杭州安恒信息技术股份有限公司杭州安恒信息技术股份有限公司 20202020 年年 6 6 月月 版权声明版权声明 本报告版权属于中国信息通信研究院安全研究所、杭 州安恒信息技术股份有限公司，并受法律保护。转载、摘 编或利用其它方式使用本报告文字或者观点的， 应注明 “来 源：中国信息通信研究院安全研究所、杭州安恒信息技术 股份有限公司” 。违反上述声明者，本院将追究其相关法

2、律 责任。 本报告版权属于中国信息通信研究院安全研究所、杭 州安恒信息技术股份有限公司，并受法律保护。转载、摘 编或利用其它方式使用本报告文字或者观点的， 应注明 “来 源：中国信息通信研究院安全研究所、杭州安恒信息技术 股份有限公司” 。违反上述声明者，本院将追究其相关法律 责任。 目目 录录 一、安全新范式 . 1 （一）数字化面临的安全挑战 . 2 （二）新范式破局之道 . 7 （三）UEBA 的定义与演进 . 10 （四）UEBA 的价值 . 13 二、架构与技术 . 17 （一）基线及群组分析 . 17 （二）异常检测 . 18 （三）集成学习风险评分 . 19 （四）安全知识图谱

3、. 19 （五）强化学习 . 20 （六）其他技术 . 21 三、部署实施 . 23 （一）聚焦目标 . 23 （二）识别数据源与接入数据 . 23 （三）确定部署模式 . 24 （四）分析微调与定制 . 24 （五）迭代优化 . 25 四、最佳实践 . 27 （一）专职团队 . 27 （二）专注于用例开发 . 27 （三）法律合规性 . 27 五、典型应用案例 . 29 （一）恶意内部人员 . 29 （二）失陷账号 . 30 （三）失陷主机 . 32 （四）数据泄露 . 33 （五）风险定级排序 . 35 （六）业务 API 安全 . 36 （七）远程办公安全 . 37 六、行业应用案例 .

4、 38 （一）医疗行业 . 38 （二）金融行业 . 38 （三）能源行业 . 39 （四）政务行业 . 40 七、总结 . 42 关于 . 48 图图 目目 录录 图 1 谁是数据泄漏的受害者？ . 3 图 2 安全转向数据科学驱动的新范式 . 8 图 3 SIEM、UEBA、SOAR 的融合趋势 . 11 图 4 UEBA 的发展现状 . 12 图 5 典型的 UEBA 系统架构 . 17 图 6 基线分析与群组分析 . 18 图 7 孤立森林发现异常点 . 19 图 8 多种算法进行集成学习 . 20 图 9 安全知识图谱 . 20 图 10 UEBA 中的强化学习 . 21 图 11

5、UEBA 分析改进与迭代调优循环流程 . 26 图 12 内部人员导致的安全威胁 . 29 图 13 内部员工窃取敏感数据场景分析流程图 . 30 图 14 账号失陷是攻击链模型中的转折点 . 31 图 15 主机失陷是病毒爆发、勒索软件的前奏 . 33 图 16 数据泄漏中的攻击移动和数据流 . 34 表表 目目 录录 表1 海外市场上的主流 UEBA 厂商分类 . 13 表 2 各种安全技术和范式对比 . 14 用户实体行为分析技术（UEBA） （2020 年） 1 一、安全新范式 全球数字化浪潮下， 各类信息化成果持续融入亿万大众的生活， 也深刻改变着信息技术环境。一方面，以云计算、大数

6、据、物联网、 移动互联网等为代表的新技术得到快速应用；另一方面，传统能源、 电力、交通等行业平台联入网络，成为关键信息基础设施的有机组 成；与此同时，5G 通信、人工智能、区块链等更多颠覆式创新科技 已经来到。 以云计算为例，当前，云计算正处于快速发展阶段，技术产业 创新不断涌现。其中，产业方面，企业上云成为趋势，云管理服务、 智能云、边缘云等市场开始兴起；自 2017 年起，中国公有云市场持 续保持高速增长，零售、制造和金融等行业用户对于公有云的接受 程度越来越高，公有云在传统行业的渗透率持续提升 1，云服务在当 年的采用率已经达到 70% 2。 而随着万物互联的到来， 边缘计算和物联网 （

7、IoT） 也蓬勃发展。 到 2021 年，边缘托管容器数量将达到 7 亿，企业数据中心之外的工 作负载占比 50%，到 2022 年，物联网（IoT）设备数量将达到 146 亿，增强现实（AR）和虚拟现实（VR）的使用量将增长 12 倍，2017 至 2022 年， 业务移动流量将每年增加 42%， 53%网络安全攻击导致的 损失将超过 50 万美元。 3 1 中国公有云发展调查报告 (2018 年) ，中国信息通信研究院，2018 年 8 月 2 云计算发展白皮书 (2019 年) ，中国信息通信研究院，2019 年 7 月 3 2020 全球网络趋势报告，思科，2020 用户实体行为分析技

8、术（UEBA） （2020 年） 2 普华永道和微软中国在 2019 年四季度， 联合进行了一次现代化 云办公解决方案调研。 调研结果发现 81%企业员工在工作中需要在移 动设备上使用办公软件， 100%企业高管需要使用移动设备进行办公， 24%调研对象反映他们每日工作中有超过 30%的任务需使用移动设备 在非办公场所完成（比如家中、咖啡厅、机场、火车上、酒店等场 所） 。预计到 2020 年将有 100 亿台移动设备投入使用，而移动技术 的普及正在从根本上改变人们的思考、工作、行动和互动方式。公 司已广泛接受自带设备（BYOD）策略，允许或鼓励员工使用其个人 移动设备（如手机、平板电脑和笔记

9、本电脑）访问企业数据和系统 4。 2020 年春季一场突如其来的新冠病毒全球大流行， 更是让远程办公、 移动办公进入了公众视线。 如前所述，数字新时代正在加速全面到来，网络环境变得更加 多元、人员变得更复杂、接入方式多种多样，网络边界逐渐模糊甚 至消失，同时伴随着企业数据的激增。发展与安全，已成为深度融 合、不可分离的一体之两面。在数字化浪潮的背景下，网络信息安 全必须应需而变、应时而变、应势而变。 （一）数字化面临的安全挑战（一）数字化面临的安全挑战 凡有收益，必有代价。数字资产的巨大价值同样被网络犯罪组 织所垂涎。2018 年流行的挖矿病毒、勒索软件等安全威胁均以可直 接给网络犯罪分子带来

10、经济收益为典型特征，垃圾邮件攻击、移动 4 现代化云办公解决方案中国市场白皮书，普华永道和微软中国，2020 用户实体行为分析技术（UEBA） （2020 年） 3 安全威胁也处于不断上升趋势。数字化转型促进组织的业务发展的 同时，也带来了重大的网络安全挑战。越来越多的敏感数字信息遭 受网络攻击被窃取，网络和系统平台被暴露或被操纵，数字资产的 保密性、可用性、完整性遭受挑战。网络威胁的影响遍及医疗保健、 金融、零售等各行各业，未能采取适当的安全保护举措可能给组织 带来巨大的财务和声誉损失。 来源：2019 Data Breach Investigations Report，Verizon 图

11、1 谁是数据泄漏的受害者？ 根据 Verizon 发布的 2019 数据泄露调查报告，如图 1 所示，公 共部门、医疗组织、金融机构是数据泄漏的主要受害者，同时大量 的数据泄漏事件也波及到了中小型组织 5。部分原因可能是由于领先 组织的安全能力提升，导致一些直接攻击向供应链间接攻击转变。 随着最终用户和消费者的安全意识、隐私意识越来越强，对安全事 件越来越敏感，每个组织面临的安全事件成本压力也愈加突出。 根据 Ponemon Institute 的报告， 基于一项涉及 12 个国家、 383 个公司的调查，在 2016 年的数据泄漏的平均代价是 400 万美金，相 比 2013 年增长了 29

12、%。2018 年，在美国数据泄漏的平均代价已经达 5 2019 Data Breach Investigations Report，Verizon，2019 用户实体行为分析技术（UEBA） （2020 年） 4 到了 790 万美金，全世界范围内，每 7 分钟就有一起合规性告警事 件发生。 6IBM Security 在2019 年度数据泄露成本调研报告中对 2018 年 7 月至 2019 年 4 月期间的全球 16 个国家和地区的 17 个行业 的 507 家公司发生的数据泄露事件进行了调查。调查结果显示，数 据泄露事件的全球平均成本为 392 万美元， 平均泄露 25575 条记录，

13、每条记录的平均成本为 150 美元，检测和控制数据泄露事件的时间 为 279 天。 7 随着网络犯罪集团的增加和国家隐蔽网络活动的激增，网络攻 击在数量和复杂性方面都在增长。网络攻击技术不断升级，网络犯 罪分子也在不断提升专业攻击技术，意图突破安全防线，例如，采 用非常规文件扩展名、 “无文件”组件、数字签名技术、微软 HTML 应用程序（MSHTA）等新技术，躲避安全防护系统的检测与查杀，更 好地攻击入侵目标系统。 同时， 攻击者也采用了新策略。 根据赛门铁克的一份报告， 2018 年供应链攻击增长了 78%。 据分析 LotL 策略 （Living-off-the-Land 攻击，指的是借

14、助系统中已存在的应用程序或工具完成攻击）已成 为攻击者最重要的攻击方式之一，旨在协助网络犯罪分子进行复杂 攻击时尽量隐藏攻击行为。 LotL 技术允许攻击者隐藏在合法进程中， 相关攻击事件呈爆发趋势。 例如， 2018 年恶意 PowerShell 脚本的使 用增加了十倍。 赛门铁克每月阻止 11.5 万个恶意 PowerShell 脚本， 6 2018 Cost of a Data Breach Study，Ponemon Institute LLC，2018 7 2019 年度数据泄露成本调研报告，IBM，2019 用户实体行为分析技术（UEBA） （2020 年） 5 但不到 Power

15、Shell 总使用量的百分之一。 如果阻止全部 PowerShell 脚本将对业务运行产生影响， 进一步佐证了 LotL 技术已成为许多高 级持续性威胁（APT）攻击团体躲避安全团队检测的首选策略。 8 外部网络攻击威胁加剧的同时，组织内部及其网络周边的内部 威胁也持续增长。网络犯罪分子可能伪装成合法用户，进而突破网 络边界、窃取网络凭证、植入恶意软件，或由于组织内部人员工作 失误，引发组织内部的网络安全威胁。 根据 IBM X-Force 安全团队的监测， 2019 年全球超过 85 亿条记 录遭到泄露，相比 2018 年增长超过 200%。究其原因，可能由于内部 人员玩忽职守导致数据泄露。

16、由于错误配置的服务器（包括公开访 问的云存储、不安全的云数据库以及安全措施不到位的远程同步备 份或开放的互联网络区域存储设备） 而泄露的记录占 2019 年泄露记 录数量的 86%。 9据外媒报道称，2017 年，美国五角大楼由于在使用 亚马逊简单存储服务（S3）时配置错误，意外暴露了美国国防部的 机密数据库，其中包含美国当局在全球社交媒体平台中收集到的 18 亿用户的个人信息。 10 雪上加霜的是，在外部攻击、内部威胁的压力之下，由于数字 化时代的信息系统、数字科技越来越复杂，组织和机构脆弱性暴露 面也越来越多。 8 2019 Internet Security Threat Report，

17、Symantec，2019 9 X-Force 威胁情报指数，IBM，2020 10 五角大楼 AWS S3 配置错误，意外在线暴露包含全球 18 亿用户的社交信息，2017， 用户实体行为分析技术（UEBA） （2020 年） 6 根据中国国家信息安全漏洞库（CNNVD）网站数据统计，新增漏 洞数量近几年一直保持上升趋势。2018 年，新增漏洞 15040 个，与 2017 年披露的漏洞数量 11097 个相比，增加了 36%。2019 年，国家 信息安全漏洞共享平台 （CNVD） 新收录通用软硬件漏洞数量达 16193 个，与前一年相比同比增长 14.0%，创下历史新高。漏洞影响范围也 从

18、传统互联网到移动互联网，从操作系统、办公自动化系统（OA） 等软件到虚拟私人网络（VPN） 、家用路由器等网络硬件设备，以及 芯片、SIM 卡等底层硬件。 11 因此，安全防护运营团队通常需要跟踪最新漏洞，持续识别网 络环境中的隐患，进行加固防护；持续进行安全监控，保持最大的 安全可见性，感知全域安全威胁与风险；关注最新的威胁情报，了 解最新的攻击组织、技术和方法，持续监控失陷指标（IoC）并应用 到威胁检测过程中，同时主动进行威胁狩猎；以及对组织成员进行 安全意识教育培训。 但是根据思科的一份调查报告，77%的中型企业发现，从数量繁 多的安全解决方案中找出真正有价值的安全警报非常困难。在众多

19、 安全警报中，几乎有 46%的警报未经分析验证；54%的警报经过验证 后，其中只有将近四成是真实警报，能得到修复的只有不到半数。 总体来看，仅不到 10%的告警最终被有效处置。 12 11 2019 年我国互联网网络安全态势综述，国家计算机网络应急技术处理协调中心，2020 12 思科 2018 年度网络安全报告，思科，2018 用户实体行为分析技术（UEBA） （2020 年） 7 此外，安全团队正在遭受“拒绝服务（DDoS）攻击” 。在不对称 且长期持久的网络安全攻防对抗形势下， “安全勇士们”责任重大。 总之，组织面临的严峻网络安全挑战来自四个方面： 1.1.越来越多的外部攻击，包括被利

20、益驱动或国家驱动的难以察越来越多的外部攻击，包括被利益驱动或国家驱动的难以察 觉的高级攻击；觉的高级攻击； 2.2.心怀恶意的内鬼、疏忽大意的员工、失陷账号与失陷主机导心怀恶意的内鬼、疏忽大意的员工、失陷账号与失陷主机导 致的各种内部威胁；致的各种内部威胁； 3.3.数字化基础设施的脆弱性和风险暴露面越来越多，业务需求数字化基础设施的脆弱性和风险暴露面越来越多，业务需求 多变持续加剧的问题；多变持续加剧的问题； 4.4.安全团队人员不足或能力有限，深陷不对称的“安全战争”安全团队人员不足或能力有限，深陷不对称的“安全战争” 之中。之中。 挑战催生革新，正是在数字化带来的巨大安全新挑战下，安全

21、新范式应运而生。 （二）新范式破局之道（二）新范式破局之道 2012 年咨询公司高德纳（Gartner）发表了一份题为信息安全 正在成为一个大数据分析问题的报告，提出当前信息安全问题正 在转变成大数据分析问题，大数据的出现将对信息安全产生深远的 影响 13。 在数字时代， 安全团队迫切希望通过大数据分析和机器学习， 13 Information Security Is Becoming a Big Data Analytics Problem，Gartner，2012 用户实体行为分析技术（UEBA） （2020 年） 8 提高内部威胁和外部攻击的可见性，提升威胁检测响应能力，成为 组织探索将

22、安全分析应用于其网络和其他数据源的关键驱动因素。 安全是人和人攻防对抗的游戏，一切的意图都需要通过行为表 达，这是安全运营中最重要也最有价值的一块拼图，同时也是传统 方式最欠缺的。传统安全产品、技术、方案，基于单次单点的有限 信息，运用签名、规则进行非黑即白式的防护控制，可能导致大量 的噪声和误报。虽然已经有告警聚合等基础聚合技术等，尝试修复 上述问题，但是仍未产生较好效果。传统方式仍无法自动适应攻击 者的逃逸绕过，策略升级也经常需要长达数月时间，存在严重的滞 后效应，对未知攻击甚至完全无法察觉。可见，传统安全倚重旧范 式，基于特征、规则和人工分析，存在安全可见性盲区，有严重的 滞后效应、无力

23、检测未知攻击、容易被绕过，以及难以适应攻防对 抗的网络现实和快速变化的企业环境、外部威胁等问题。 图 2 安全转向数据科学驱动的新范式 如图 2 所示，通过对困境的持续探索，安全行业逐渐转向基于 大数据驱动、安全分析和机器学习的安全新范式，以期弥补传统安 全短板。同时，网络安全也已经开始从单纯强调边界防护到纵深安 用户实体行为分析技术（UEBA） （2020 年） 9 全检测响应的艰巨转变。攻击者的不对称性优势，一直是安全团队 面临的最大问题。只要能充分利用行为分析这块拼图，以及充分利 用网络纵深路径上的各种数据，安全团队可能逆转这种不对称的情 况，从海量的安全数据中识别和发现攻击和恶意行为

24、。 用户实体行为分析（UEBA）就是安全新范式的一个典型体现， 其新范式的破局之道主要体现在如下五个方面： 1.行为分析导向 身份权限可能被窃取，但是行为模式难以模仿。内部威胁、外 部攻击难以在基于行为的分析中完全隐藏、绕过或逃逸，行为异常 成为首要的威胁信号。采集充分的数据和适当的分析，可发现横向 移动、数据传输、持续回连等异常行为。 2.聚焦用户与实体 一切的威胁都来源于人，一切的攻击最终都会必然落在帐号、 机器、数据资产和应用程序等实体上。通过持续跟踪用户和实体的 行为，持续进行风险评估，可以使安全团队最全面地了解内部威胁 风险，将日志、告警、事件、异常与用户和实体关联，构建完整的 时间

25、线。通过聚焦用户与实体，安全团队可以摆脱告警疲惫，聚焦 到业务最关注的风险、有的放矢，提升安全运营绩效，同时通过聚 焦到以账号、资产和关键数据为中心，可以大幅降低误报告警数量。 3.全时空分析 用户实体行为分析技术（UEBA） （2020 年） 10 行为分析不再是孤立的针对每个独立事件，而是采用全时空分 析方法，连接起过去（历史基线） 、现在（正在发生的事件） 、未来 （预测的趋势） ，也连接起个体、群组、部门、相似职能的行为模式。 通过结合丰富的上下文， 安全团队可以从多源异构数据中以多视角、 多维度对用户和实体的行为进行全方位分析，发现异常。 4.机器学习驱动 行为分析大量的采用统计分析

26、、 时序分析等基本数据分析技术， 以及非监督学习、有监督学习、深度学习等高级分析技术。通过机 器学习技术，可以从行为数据中捕捉人类无法感知、无法认知的细 微之处，找到潜藏在表象之下异常之处。同时机器学习驱动的行为 分析，避免了人工设置阈值的困难和无效。 5.异常检测 行为分析的目的，是发现异常，从正常用户中发现异常的恶意 用户，从用户的正常行为中发现异常的恶意行为。 总结新范式破局的五个方面，就是在全时空的上下文中聚焦用 户和实体，利用机器学习驱动方法对行为进行分析，从而发现异常。 （三）（三）UEBAUEBA 的定义与演进的定义与演进 Gartner 对 UEBA 的定义是 “UEBA 提供

27、画像及基于各种分析方法 的异常检测，通常是基本分析方法（利用签名的规则、模式匹配、 简单统计、 阈值等） 和高级分析方法 （监督和无监督的机器学习等） ， 用户实体行为分析技术（UEBA） （2020 年） 11 用打包分析来评估用户和其他实体（主机、应用程序、网络、数据 库等） ， 发现与用户或实体标准画像或行为相异常的活动所相关的潜 在事件。 这些活动包括受信内部或第三方人员对系统的异常访问 （用 户异常） ，或外部攻击者绕过安全控制措施的入侵（异常用户） ” 14。 Gartner 认为 UEBA 是可以改变游戏规则的一种预测性工具，其 特点是将注意力集中在最高风险的领域，从而让安全团队

28、可以主动 管理网络信息安全。UEBA 可以识别历来无法基于日志或网络的解决 方案识别的异常，是对安全信息与事件管理（SIEM）的有效补充。 虽然经过多年的验证，SIEM 已成为行业中一种有价值的必要技术， 但是 SIEM 尚未具备帐户级可见性， 因此安全团队无法根据需要快速 检测、响应和控制 15。 作为现代化 SIEM 演进的方向，如图 3 所示，SIEM、UEBA、安全 编排自动化响应（SOAR）将会走向融合。 图 3 SIEM、UEBA、SOAR 的融合趋势 14 2019 Market Guide for User and Entity Behavior Analytics，Gartn

29、er，2019 15 2019 Market Guide for User and Entity Behavior Analytics，Gartner，2019 用户实体行为分析技术（UEBA） （2020 年） 12 如图 4 展示 UEBA 的发展历程。由于身份和访问管理（IAM）无 法提供全面的数据分析等原因，UEBA 的前身用户行为分析（UBA）应 运而生。随后，来自于用户侧强劲的需求不断推动 UEBA 市场持续快 速增长，复合年增长率达到了 48%。 图 4 UEBA 的发展现状 如表 1 所示，市场上参与 UEBA 的厂商也逐渐增多，从早期独立 的纯 UEBA 厂商，到主流 SIE

30、M 厂商、网络流量分析（NTA）厂商也开 始引入 UEBA 能力特性。 表 1 海外市场上的主流 UEBA 厂商分类 用户实体行为分析技术（UEBA） （2020 年） 13 （四）（四）UEBAUEBA 的价值的价值 通过对比安全新旧范式，可以看到 UEBA 具有明显的独特价值。 UEBA 可以给安全团队带来独特的视角和能力，即通过行为层面的数 据源以及各种高级分析，增强现有安全工具能力，提高风险可视性， 弥补了安全运营中长久以来缺失的、极度有价值的视角，并提高了 现有安全工具的投资回报率。 UEBA 比现有的分散工具具有更大的风险可视性，尤其是经过评 分排序的威胁线索减少了噪音和误报告警。

31、通过直观的点击式界面 访问上下文和原始事件，从而加速了事件调查和根本原因分析，缩 短了调查时间，降低了事件调查人数以及与雇用外部顾问相关的成 本。 在增加现有安全投资的回报方面， UEBA 主要通过以下方式实现： 安全信息和事件管理（SIEM）系统、恶意软件威胁检测工具端点检 用户实体行为分析技术（UEBA） （2020 年） 14 测响应（EDR）和端点平台保护（EPP） ，以及数据泄漏防护（DLP） 技术自动确定威胁和风险的优先级。通过无监督的机器学习来自动 化、大规模的正常和异常行为的统计测量，从而降低了运营成本， 实现无需管理复杂的基于阈值、规则或策略的环境。 表 2 各种安全技术和范

32、式对比 UEBA/行为分析 IDS/AV/WAF TI/威胁情报 适用数据源 可应用场景 攻防对抗 无滞后效应 未知攻击 环境自适应 如表 2 所示，UEBA 的价值主要体现在： 1.发现未知 UEBA 可以帮助安全团队发现网络中隐藏的、或未知威胁，包括 外部攻击和内部威胁；可以自适应动态的环境变化和业务变化；通 过异常评分的定量分析，分析全部事件，无需硬编码的阈值，即使 表面看起来细微的、慢速的、潜伏的行为，也可能被检测出来。 2.增强安全可见 UEBA 可以监控所有账号，无论是特权管理员、内部员工、供应 商员工、合作伙伴等；利用行为路径分析，贯穿从边界到核心资产 用户实体行为分析技术（UE

33、BA） （2020 年） 15 的全流程，扩展了对关键数据等资产的保护；对用户离线、机器移 动到公司网络外等情况，均增强了保护；准确检测横向移动行为， 无论来自内部还是外部， 都可能可以在敏感数据泄露之前发现端倪， 从而阻止损害发生；可以降低威胁检测和数据保护计划的总体成本 和复杂性，同时显著降低风险以及对组织产生的实际威胁。 3.提升能效 UEBA 无需设定阈值， 让安全团队更有效率。 引入全时空上下文， 结合历史基线和群组对比，将告警呈现在完整的全时空上下文中， 无需安全团队浪费时间手动关联，降低验证、调查、响应的时间； 当攻击发生时，分析引擎可以连接起事件、实体、异常等，安全人 员可以看

34、清全貌，快速进行验证和事故响应；促使安全团队聚焦在 真实风险和确切威胁，提升威胁检测的效率。 4.降低成本 UEBA 通过聚合异常，相比 SIEM、DLP 等工具，大量降低总体告 警量和误报告警量，从而降低安全运营工作负载，提升投资回报率 （ROI） ；通过缩短检测时间、增加准确性，降低安全管理成本和复 杂性，降低安全运营成本；无监督、半监督机器学习让安全分析可 以自动化构建行为基线，无需复杂的阈值设置、规则策略定制，缓 解人员短缺问题；通过追踪溯源及取证，简化事故调查和根因分析， 缩短调查时间，降低每事故耗费的调查工时，以及外部咨询开销； 用户实体行为分析技术（UEBA） （2020 年）

35、16 通过自动化进行威胁及风险排序定级，提升已有安全投资(包括 SIEM、EDR、DLP 等)的价值回报。 总之，UEBA 的价值主要体现在发现未知、增强安全可见、提升 能效、降低成本。 用户实体行为分析技术（UEBA） （2020 年） 17 二、架构与技术 UEBA 是一个完整的系统，涉及到算法、工程等检测部分，以及 用户实体风险评分排序、调查等用户交互、反馈。从架构上来看， UEBA 系统包含三个层次，分别是数据中心层、算法分析层、场景应 用层。其中，算法分析层一般运行在实时流处理、近线增量处理、 离线批量处理的大数据计算平台之上。典型的完整 UEBA 架构如图 5 所示。 图 5 典型

36、的 UEBA 系统架构 该平台运行着传统的规则引擎、关联引擎，同时也支持人工智 能引擎，如基线及群组分析、异常检测、集成学习风险评分、安全 知识图谱、强化学习等 UEBA 核心技术。 （一）基线及群组分析（一）基线及群组分析 以史为鉴，可以知兴替。历史基线，是行为分析的重要部分， 可以进行异常检测、风险评分等。以人为鉴，可以明得失。通过构 用户实体行为分析技术（UEBA） （2020 年） 18 建群组分析，可以跨越单个用户、实体的局限，看到更大的事实； 通过对比群组，易于异常检测；通过概率评估可以降低误报，提升 信噪比；组合基线分析、群组分析，可以构成全时空的上下文环境。 如图 6 所示，展

37、现了几个人员的历史基线以及群组分析。 图 6 基线分析与群组分析 （二）异常检测（二）异常检测 异常检测关注发现统计指标异常、时序异常、序列异常、模式 异常等异常信号， 采用的技术包括孤立森林、 K 均值聚类、 时序分析、 异常检测、变点检测等传统机器学习算法。其中，基于孤立森林的 异常检测效果图如图 7 所示。 现代的异常检测也利用深度学习技术， 包括基于变分自编码器（VAE）的深度表征重建异常检测、基于循环 神经网络（RNN）和长短时记忆网络（LSTM）的序列深度网络异常检 测、图神经网络（GNN）的模式异常检测等。针对标记数据缺乏的现 状，某些 UEBA 系统能够采用主动学习技术（Act

38、ive Learning） 、自 学习（Self Learning） ，充分发掘标记数据和无标记数据的价值。 用户实体行为分析技术（UEBA） （2020 年） 19 图 7 孤立森林发现异常点 （三）集成学习风险评分（三）集成学习风险评分 UEBA 作为一种新范式，把安全运维从事件管理转换到用户、实 体风险，极大的降低工作量、提升效率。其中，实现转换的关键在 于使用集成学习进行风险评分。如图 8 所示，风险评分需要综合各 种告警、异常，以及进行群组对比分析和历史趋势。同时，风险评 分技术中用户间风险的传导同样重要，需要一套类似谷歌搜索使用 的网页排名 PageRank 算法的迭代评估机制。风

39、险评分的好坏，将直 接影响到 UEBA 实施的成效，进而直接影响到安全运营的效率。 图 8 多种算法进行集成学习 （四）安全知识图谱（四）安全知识图谱 用户实体行为分析技术（UEBA） （2020 年） 20 知识图谱已经成为人工智能领域的热点方向，在网络安全中同 样也有巨大的应用潜力。 部分 UEBA 系统已经支持一定的安全知识图 谱能力，可以将从事件、告警、异常、访问中抽取出的实体及实体 间关系，构建成一张网络图谱，如图 9 所示。任何一个事件、告警、 异常，都可以集成到网络图谱中，直观、明晰的呈现多层关系，可 以让分析抵达更远的边界，触达更隐蔽的联系，揭露出最细微的线 索。结合攻击链和知

40、识图谱的关系回放，还能够让安全分析师近似 真实的复现攻击全过程，了解攻击的路径与脆弱点，评估潜在的受 影响资产，从而更好的进行应急响应与处置。 图 9 安全知识图谱 （五）强化学习（五）强化学习 不同客户的环境数据源的多元性及差异性，以及用户对异常风 险的定义各有不同， UEBA 需要具有一定的自适应性， “入乡随俗” 输出更精准的异常风险。强化学习能够根据排查结果自适应地调整 正负权重反馈给系统，进而得到更符合客户期望的风险评分。如图 10 所示，UEBA 给出异常信号后，结合安全管理人员的排查结果，获 用户实体行为分析技术（UEBA） （2020 年） 21 取反馈奖赏或惩罚，通过学习进行正负权重调整，从而让整体效果 持续优化改进。 图 10 UEBA 中的强化学习 （六）其他技术（六）其他技术 除了以上 5 个主要关键技术外， UEBA 一般还使用到了特征工程、 会话重组