中国信通院：2020网络安全先进技术与应用发展系列报告用户实体行为分析技术(50页).pdf

1、 网络安全先进技术与应用发展系列报告网络安全先进技术与应用发展系列报告 用户实体行为分析技术（用户实体行为分析技术（UEBAUEBA） （20202020 年）年） 中国信息通信研究院安全研究所中国信息通信研究院安全研究所 杭州安恒信息技术股份有限公司杭州安恒信息技术股份有限公司 20202020 年年 6 6 月月 版权声明版权声明 本报告版权属于中国信息通信研究院安全研究所、杭 州安恒信息技术股份有限公司，并受法律保护。转载、摘 编或利用其它方式使用本报告文字或者观点的， 应注明 “来 源：中国信息通信研究院安全研究所、杭州安恒信息技术 股份有限公司” 。违反上述声明者，本院将追究其相关法

2、律 责任。 本报告版权属于中国信息通信研究院安全研究所、杭 州安恒信息技术股份有限公司，并受法律保护。转载、摘 编或利用其它方式使用本报告文字或者观点的， 应注明 “来 源：中国信息通信研究院安全研究所、杭州安恒信息技术 股份有限公司” 。违反上述声明者，本院将追究其相关法律 责任。 目目 录录 一、安全新范式 . 1 （一）数字化面临的安全挑战 . 2 （二）新范式破局之道 . 7 （三）UEBA 的定义与演进 . 10 （四）UEBA 的价值 . 13 二、架构与技术 . 17 （一）基线及群组分析 . 17 （二）异常检测 . 18 （三）集成学习风险评分 . 19 （四）安全知识图谱

3、. 19 （五）强化学习 . 20 （六）其他技术 . 21 三、部署实施 . 23 （一）聚焦目标 . 23 （二）识别数据源与接入数据 . 23 （三）确定部署模式 . 24 （四）分析微调与定制 . 24 （五）迭代优化 . 25 四、最佳实践 . 27 （一）专职团队 . 27 （二）专注于用例开发 . 27 （三）法律合规性 . 27 五、典型应用案例 . 29 （一）恶意内部人员 . 29 （二）失陷账号 . 30 （三）失陷主机 . 32 （四）数据泄露 . 33 （五）风险定级排序 . 35 （六）业务 API 安全 . 36 （七）远程办公安全 . 37 六、行业应用案例 .

4、 38 （一）医疗行业 . 38 （二）金融行业 . 38 （三）能源行业 . 39 （四）政务行业 . 40 七、总结 . 42 关于 . 48 图图 目目 录录 图 1 谁是数据泄漏的受害者？ . 3 图 2 安全转向数据科学驱动的新范式 . 8 图 3 SIEM、UEBA、SOAR 的融合趋势 . 11 图 4 UEBA 的发展现状 . 12 图 5 典型的 UEBA 系统架构 . 17 图 6 基线分析与群组分析 . 18 图 7 孤立森林发现异常点 . 19 图 8 多种算法进行集成学习 . 20 图 9 安全知识图谱 . 20 图 10 UEBA 中的强化学习 . 21 图 11

5、UEBA 分析改进与迭代调优循环流程 . 26 图 12 内部人员导致的安全威胁 . 29 图 13 内部员工窃取敏感数据场景分析流程图 . 30 图 14 账号失陷是攻击链模型中的转折点 . 31 图 15 主机失陷是病毒爆发、勒索软件的前奏 . 33 图 16 数据泄漏中的攻击移动和数据流 . 34 表表 目目 录录 表1 海外市场上的主流 UEBA 厂商分类 . 13 表 2 各种安全技术和范式对比 . 14 用户实体行为分析技术（UEBA） （2020 年） 1 一、安全新范式 全球数字化浪潮下， 各类信息化成果持续融入亿万大众的生活， 也深刻改变着信息技术环境。一方面，以云计算、大数

6、据、物联网、 移动互联网等为代表的新技术得到快速应用；另一方面，传统能源、 电力、交通等行业平台联入网络，成为关键信息基础设施的有机组 成；与此同时，5G 通信、人工智能、区块链等更多颠覆式创新科技 已经来到。 以云计算为例，当前，云计算正处于快速发展阶段，技术产业 创新不断涌现。其中，产业方面，企业上云成为趋势，云管理服务、 智能云、边缘云等市场开始兴起；自 2017 年起，中国公有云市场持 续保持高速增长，零售、制造和金融等行业用户对于公有云的接受 程度越来越高，公有云在传统行业的渗透率持续提升 1，云服务在当 年的采用率已经达到 70% 2。 而随着万物互联的到来， 边缘计算和物联网 （