黑客UEBA架构设计之路7: 横向移动检测

圈的部分是威协关系相对路径。从用户连接点U6701和异常连接点A6702开始,异常连接点A6706和设备连接点D6707结束,D6707表示密匙资源设备,其可以是域控制等。 威协是在关系相对路径上,由一连串列外构成。

上一篇文章的介绍 UEBA通过深度学习分析用户和实体线。不管威协是否己知,它还包括即时和离线下载检测方法,可以提供形象化的风险性定级和直接证据分析,使安全人员能够响应异常和威协。 整体结构是什么?我不想再介绍它了。如果您都还没阅读文章上一章,可以点击下面的连接查看:

UEBA架构模式之途

1:UEBA架构 UEBA架构模式之途2:数据浏览和准备 UEBA架构模式之途

3:复杂事件处理模块 UEBA架构模式相对路径

4:异常,威协指标值和威协 UEBA架构模式之途5:几率尾缀树实体模型 UEBA架构模式之途

6: 图型聚类分析法   已经看了的朋友,咱继续。 以下部分叙述了各种部件的详细资料,包括数据浏览和准备模块,处理模块,即时/离线下载配备,设备学习模型以及不同的手机应用程序,互动等。 

九,横着运动检测 用户猜疑地水平移动,通常表示用户的资格证书登陆密码失窃,或者设备已被特洛伊木马控制。

水平运动检测应用场景用户和设备之间的关系,为每个设备分派相似度评分,设备和用户之间的关系,以及标示设备和用户之间的相似度的相似度评分。

还应用场景登陆恶性事件和设备归类元数据来表述互相依赖感。当用户与公共性设备的相似性评分更显不同时,检测到异常。 

这儿设备学习模型的作用是转化成归类元数据并分派相似度成绩。图为是水平运动检测架构:

设备学习模型分析恶性事件数据。地形图是降落投射。应用场景此投射,实体模型为每个设备和用户转化成归类元数据。归类元数据的功能是表述用户和设备之间的关联性,标示用户是用户。管理人员或系统账号,设备可以代表公司办公室终端设备,网络服务器,复印机等。因此,顶层实体模型可以自动检索用户和设备类型。

设备学习模型鉴别用户和设备之间的关系,并且如果恶性事件数据包括登陆相关,则实体模型可以将使用关系标示为账号登录恶性事件。

右边是关系图,左边组是用户,右边组是设备连接点,两列不是交点的组。二分图的每一边将用户联接到设备,并且该关系还标示恶性事件的时间顺序。 
应用场景使用关系,实体模型为设备分派相似度评分,并且相似度评分标示相同或类似用户组使用哪个设备。
换句话,相近的账号登录设备倾向性于具有相似度评分。 
图中是用户和设备的二分实例。左边的用户连接点,右边的设备连接点,U11和U13登陆到S21,U11和U12登陆到S22,U12和U13登陆到S23,所以S21,S22和S23与相近的组关系用户这个相近的用户组是U11,U12,U13。 
注意,当登录到S24时U12是虚线,表示特殊降落,并且在S24上仅备案U14,这与U21,U22和U23更显不同。这种差别各自反映在0.31,0.30和0.33的相似度评分上。 S24相似性评分仅为0.06。 
当U12着陆到S24(虚线)时,实体模型确定S24得分成0.06,这不符合通用设备相似度评分标准。该标准可以订制。此实例假设为0.255。这时,实体模型检测到异常。 
该实体模型进一步计算用户的异常成绩以确定异常,异常成绩表示威协相关的概率,其可以应用场景设备相似度评分的统计分析量度差别(比如均值)来计算。在该实例中,设备S24相似度评分是0.06,S22和S23平均评分是0.315,并且相似度评分差是0.255。该实体模型增加0.255和附加的净重0.5,得到0.355的异常成绩。附加的净重代表设备的财产很重要。性別。因为0.355超出0.4的阀值,因此汇报列外。 
此外,实体模型可以根据用户的基线漂移检测异常,包括用户和设备的相似度,如U12的基线漂移,S22和S22的相似性评分差别为0.02,低于阀值0.5。标准还包括登陆失败,成功,浏览成功,浏览失败等。
实体模型可以以各种方式为设备分派相似度评分,图中是过程。该实体模型接受二分图并将原始权重分派给设备D4。该过程可以是任意的,并且权重可以不一定1。
在第二步骤中,实体模型6300在设备连接点D4处保持原始权重1的百分数(15%),并且将D4的原始权重1的剩下部分平等地分派给顺着连接点U5,U3和U6的连接点U5,U3和U6。 D4的边沿。这种分派过程可以被称作马尔可夫链过程。在每个步骤中,值赋值的几率为15%(因此也称之为“几率百分数”),以保持与上个步骤相同。 值赋值具有(100%-15%=  85%)追随连接点边沿移动到另一个连接点的几率。
在第二步中,连接点D4保持权重0.16(=  1  *  15%),其余部分平等地分派给U5,U3和U6,每个连接点接受权重0.283(=  0.85  /  3)。 对于每个连接点,沿边沿分派实体模型,直至D1-D6的权重值收敛性。对于D4,实体模型保持0.023(=0.16 * 15%)的权重值,并成U5,U3和U6特定0.042(=(0.16 * 85%)/3.U5,实体模型保持净重0.042(=0.283)* 15 %),并将0.120(=(0.283 * 85%)/2分派给D1到D4。
相近地,对于U3,实体模型保持0.042(=0.283 * 15%)的权重值并将0.241(=(0.283 * 85%)/1分派给设备D4。对于用户连接点U6,实体模型在用户连接点U6上保持0.042(=权重值0.283 * 15%),并将0.120(=(0.283 * 85%)/2分派给设备连接点D4-D6。
该实体模型继续最速下降法过程,直至D1-D6处的权重收敛性。在最速下降法步骤中,对于每个连接点,实体模型在连接点处保持15%的权重,随后将剩下的权重匀称地分派给沿边沿的其他连接点。
收敛性标准可以是标示这种收敛性的任何标准,比如,当每个连接点处的两个持续步骤之间的权重的变化低于阀值时,实体模型可以确定最速下降法过程已经达到收敛性。
最后,当最速下降法过程达到收敛性时,显示具有收敛性权重的最后步骤的状态。 D1-D6的收敛性权重是分派给这些设备的相似性评分。 
 图中显示了从A到D线的相似度二分图的实例。在A中,6610和6611具有很多共同用户,因此倾向性于类似相似度评分。 
图B,6620和6621具有多个共享资源的专用型用户28和28,并且专用型用户是仅与6620,6621互动的用户,因此20和21倾向性于贴近相似度评分。 
图C,6630和6631仅具有单独共享资源用户38,因此6630和6631在相似度评分方面具有很大差别。 
控制面板D,6641,6662,6643是类似用户(N1)的组,而6644,6645,6646也是相近的组(N2)。如果清除用户38,则该组被分为两部分。用户38是联接到两列的唯一用户,与N6的6645互动,并与N1的6642互动,开启组外浏览异常,因为6642的664相似度成绩发生变化。  检测到的组外异常表示用户异常的横着移动。应用场景异常,该实体模型可以进一步确定异常是否造成安全威协,如圖如图。
其中U代表用户,D代表设备,A代表异常连接点。该图表示用户连接点U6701已浏览不常见的D6703。该实体模型不仅是登陆关系,还包括其他类型,如信用黑名单列外。 
A6704表示信标异常,并且信标异常代表D6703设备周期性地上传与用户连接点U  6705用户关联的异常信标信息。 
6720圈的部分是威协关系相对路径。从用户连接点U6701和异常连接点A6702开始,异常连接点A6706和设备连接点D6707结束,D6707表示密匙资源设备,其可以是域控制等。
威协是在关系相对路径上,由一连串列外构成。