在经历了一系列“卡脖子”的事件后,科技企业对于知识产权尤其重视,中国科技企业深刻意识到,只有把核心技术掌握在自己手中,拥有自主知识产权,才能够摆脱受制于人的被动局面,真正掌握在国际市场的话语权。天空卫士作为集技术研发、产品销售和技术服务于一体的数据安全企业,拥有多项发明专利,并且致力于将发明专利落地。每一个专利都包含着一个故事,我们会通过《专利背后的故事》系列,讲述不同专利从“灵感”到“实现“的故事,向专利研发人员致敬。
今天我们介绍第一个专利——行为异常检测方法和装置
Part 01
专利发明的初衷
2018年,Gartner《Market Guide for User and Entity Behavior Analytics》认为UEBA(用户和实体行为分析)是对安全信息与事件管理(SIEM)的有效补充,利用人工智能、机器学习和数据挖掘等算法,可以帮助安全团队发现网络中隐藏的、 或未知威胁, 包括外部攻击和内部威胁,入选Gartner为安全团队建议的十大新项目。
SIEM+UEBA中能够帮助我们快速发现、检测和呈现内部威胁,但是,内部威胁防护不是只靠算法和数据能够完全覆盖的,主要体现在以下六个方面:
1-大部分统计、机器学习或者AI算法都建立在一定的数据分布假设或者背景假设基础上,和现实中的应用场景存在偏差
2-数据样本在复杂的网络环境下,样本和现实的应用中的场景存在偏差。
3-数据样本在现实中的应用场景可能存在合理孤立点(outlier),在算法中被理解为异常点(anomaly),反之亦然,建模方式方法自身存在偏差。
4-威胁情报和安全知识图谱转变为系统中数据后,和现实中的应用场景存在偏差。
5-部分算法缺乏合理的表达展示和对用户的说服力,算法结果和用户理解存在偏差。
6-算法和数据上可以帮助快速体现和发现潜在的威胁因子之间的相关性,这种威胁因子之间的相关性和现实中的应用场景存在偏差。
UEBA中引入安全专家的专业视野、知识和经验,是非常必要的。
本专利设计了一种将网络安全专家的领域知识与用户(实体)行为数据有效结合的检测方法,最终给出用户(实体)行为异常程度量化评分的方法ERS(Expert Risk Score)。具有以下优点和价值:
根据安全领域的专家经验,构建不同的威胁场景;
依照专家模型风险模式设计,收集相关的策略数据;
建立用于识别异常的行为机制和员工基本的行为准则;
利用贝叶斯信念网络以及专家经验对收集到的数据对员工行为进行评估,得出风险得分。
Part 02
专利可实现功能
目前,检测行为异常的方式主要通过规则匹配完成,即为异常配置对应的规则,当检测到的一具体行为(用户行为和/或实体行为)满足该规则时,则确定该行为异常。现有的这种行为异常检测方式,由于参考标准比较单一,会导致误报或虚报,对检测结果展示内容和举证不够丰富和充分。
本专利主要包含产品功能有:
引入安全专家的专业视野、知识和经验,由安全专家构建和确定基于场景的威胁因子变量间的拓扑关系,实现用户风险场景化威胁评估,为异常检测结果提供量化得分,提高检测精度,扩展检测范围,丰富报告结果。
以场景和威胁因子的方式为用户呈现专家安全视野,描述和展示内部危险因素的真实日志证据。使用户能够更加直观和充分地理解内部安全威胁和风险情况。
Part 03
专利适用产品
本专利应用于内部威胁防护(ITP)产品。ITP基于现有的统一内容安全(UCS)技术和内部威胁管理(ITM)技术相结合实现对内部用户的行为和意图进行监控和预测,在 APT 攻击的早期阶段通过分析用户的“非正常”数据流行为来锁定 APT 的潜在威胁,实现对内部异常用户行为的主动防御。而本专利-行为异常检测方法和装置可以协助ITP及时发现内部高风险的人和设备,对高风险用户进行实时风险控制,抓住“坏人”、主动出击。
Part 04
专利的应用效果
引入安全专家的专业视野、知识和经验,由安全专家构建和确定基于场景的威胁因子变量间的拓扑关系,实现用户风险场景化威胁评估,为异常检测结果提供量化得分,提高检测精度,扩展检测范围,丰富报告结果。
以场景和威胁因子的方式为用户呈现专家安全视野,描述和展示内部危险因素的真实日志证据。使用户能够更加直观和充分地理解内部安全威胁和风险情况。
作者介绍
吴雪阳,毕业于国防科技大学系统工程专业,工学硕士,高级工程师。主要从事数据安全治理、UEBA、邮件安全等方向的研究和应用,目前在天空卫士负责开发国内领先的基于异常行为分析的内部威胁管理(ITM)产品,拥有多项国家发明专利。