第10章 用户行为分析与恶意行为检测_用户异常行为检测产品分析

        尽管包括数据防泄漏（Data Leakage Prevertion, DLP）在内的众多安全产品已被添加到企业网络安全战略中，但是确保机密数据和资产的安全仍是企业和组织面临的一大挑战。

        我们将恶意内部人员和内部员工的异常操作统称为恶意操作。检测这种恶意操作需要使用高级技术，比如用户行为分析（User Behavior Analysis, UBA），这种新兴技术可提供以往被遗漏的数据保护和欺诈检测功能。结合用户日常操作的系统，UBA利用一种专门的安全分析算法，不仅可以关注初识登录操作，还能跟踪用户的一举一动。UBA有两个主要功能：它有助于为用户执行的正常活动确立基线；迅速识别偏离正常行为的异常行为，以便安全分析员执行调查。某些异常行为可能乍一看不是恶意的，但是这需要安全分析员进一步调查情况，以确定它是合法行为还是恶意行为。

        本章基于SEA数据集介绍UBA的一个典型应用场景，即恶意操作行为检测。

10.1 数据集

        2001年Schonlau等人第一次将内部攻击者分类成叛徒（Traitor）与伪装者（Masquerader），其中叛徒指来源于组织内部的攻击者，其本身是内部合法用户；而伪装者指外部攻击者窃取了内部合法用户的身份凭证，从而利用内部用户身份试试内部攻击。随后该团队构造了一个公开的检测伪装者攻击的数据集SEA，该数据被广泛用于内部伪装者威胁检测研究。

        SEA数据集涵盖70多个UNIX系统用户的行为日志，这些数据来自UNIX系统记录的用户使用的命令。

10.2 特征提取

10.2.1 词袋和TF-IDF模型

10.2.2 词袋和N-Gram模型

10.2.3 词汇表模型

10.3 模型训练与验证

10.3.1 朴素贝叶斯算法

10.3.2 XGBoost算法

10.3.3 隐式马尔可夫算法

10.3.4 深度学习算法之MLP