Day-283-UEBA 用户实体行为分析

# Day 304: UEBA 用户实体行为分析 - 基线建模/异常检测

> 安全运维系列第 14 天 | 预计阅读时间：25 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [UEBA 概述](#ueba-概述)
2. [基线建模](#基线建模)
3. [异常检测](#异常检测)
4. [风险评分](#风险评分)
5. [应用场景](#应用场景)
6. [实施实践](#实施实践)
7. [总结与思考](#总结与思考)
8. [参考资料](#参考资料)

---

## UEBA 概述

### 什么是 UEBA

**UEBA (User and Entity Behavior Analytics)** 用户和实体行为分析，是一种基于行为分析的安全检测方法。

**核心理念**：
- 建立正常行为基线
- 检测偏离基线的异常
- 评估风险等级

**与传统检测的区别**：
| 传统检测 | UEBA |
|----------|------|
| 基于规则 | 基于行为 |
| 检测已知威胁 | 检测未知威胁 |
| 高误报率 | 低误报率 |
| 单事件分析 | 多事件关联 |

### UEBA 架构

```
┌─────────────────────────────────────────────────────────────┐
│                      UEBA 架构                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  数据源 → 数据采集 → 特征工程 → 基线建模 → 异常检测         │
│                              ↓                              │
│                        风险评分                             │
│                              ↓                              │
│                        告警输出                             │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 基线建模

### 基线类型

**个体基线**：
```
为每个用户/实体建立独立基线

示例 - 用户 A 基线：
- 登录时间：9:00-18:00 (95% 置信区间)
- 登录地点：北京办公室 (90%)
- 访问系统：OA、邮件、CRM
- 操作类型：文档编辑、邮件发送
- 数据访问量：< 100MB/天
```

**群体基线**：
```
为同类用户/实体建立群体基线

示例 - 开发人员基线：
- 工作时间：9:00-21:00
- 访问系统：代码库、构建服务器、测试环境
- 操作类型：代码提交、构建、部署
```

**功能基线**：
```
为特定功能/角色建立基线

示例 - 管理员基线：
- 特权操作频率
- 配置变更模式
- 系统访问范围
```

### 特征工程

**时间特征**：
```
- 登录小时
- 工作日/周末
- 节假日标志
- 时间段 (工作时间/非工作时间)
```

**位置特征**：
```
- 登录国家/城市
- IP 段
- 办公室/远程
- 地理位置变化
```

**行为特征**：
```
- 访问系统列表
- 操作类型分布
- 数据访问量
- 会话时长
```

**关系特征**：
```
- 同事关系
- 上下级关系
- 系统访问关系
- 数据流向关系
```

### 建模方法

**统计方法**：
```python
# 高斯分布建模
class GaussianBaseline:
    def fit(self, data):
        self.mean = np.mean(data)
        self.std = np.std(data)
    
    def is_anomaly(self, value, threshold=3):
        z_score = abs((value - self.mean) / self.std)
        return z_score > threshold
```

**机器学习方法**：
```python
# 孤立森林
from sklearn.ensemble import IsolationForest

model = IsolationForest(contamination=0.01)
model.fit(normal_behavior_data)

# 检测异常
predictions = model.predict(new_behavior)
# -1 = 异常，1 = 正常
```

**深度学习方法**：
```python
# 自编码器
autoencoder = Sequential([
    Dense(64, activation='relu'),
    Dense(32, activation='relu'),
    Dense(64, activation='relu'),
    Dense(input_dim)
])

# 训练正常行为
autoencoder.fit(normal_data)

# 重构误差大 = 异常
reconstruction_error = mse(normal_data, autoencoder.predict(normal_data))
```

---

## 异常检测

### 异常类型

**点异常**：
```
单个行为明显偏离基线

示例：
- 凌晨 3 点登录
- 从朝鲜 IP 登录
- 一次性下载 10GB 数据
```

**上下文异常**：
```
在特定上下文中异常

示例：
- 财务人员访问代码库 (角色异常)
- 实习生访问 CEO 邮箱 (权限异常)
- 周末访问数据库 (时间异常)
```

**群体异常**：
```
群体行为模式异常

示例：
- 整个部门登录时间异常
- 多个用户访问同一敏感系统
- 集体数据下载
```

### 检测方法

**阈值检测**：
```
IF 行为值 > 基线阈值
THEN 异常

示例：
IF 登录失败次数 > 基线均值 + 3σ
THEN 异常
```

**聚类检测**：
```
将行为聚类，远离簇心的为异常

示例：
K-Means 聚类：
- 簇心 1: 正常工作行为
- 簇心 2: 加班工作行为
- 远离所有簇心 = 异常
```

**序列检测**：
```
检测行为序列异常

示例：
正常序列：登录 → 查看邮件 → 访问 OA → 登出
异常序列：登录 → 访问数据库 → 大量下载 → 登出
```

---

## 风险评分

### 评分模型

**加权评分**：
```
风险分数 = Σ(指标权重 × 指标得分)

示例：
- 时间异常：权重 20%, 得分 80 → 16 分
- 地点异常：权重 25%, 得分 90 → 22.5 分
- 行为异常：权重 30%, 得分 70 → 21 分
- 数据异常：权重 25%, 得分 60 → 15 分

总分 = 74.5 分 (高风险)
```

**风险等级**：
```
0-20:   低风险 (绿色)
21-40:  中低风险 (蓝色)
41-60:  中风险 (黄色)
61-80:  高风险 (橙色)
81-100: 严重风险 (红色)
```

### 风险因子

**用户风险因子**：
```
- HR 状态 (离职倾向、处分记录)
- 角色变更 (权限提升、转岗)
- 历史行为 (违规记录、异常历史)
```

**行为风险因子**：
```
- 时间异常程度
- 地点异常程度
- 行为偏离程度
- 数据敏感程度
```

**上下文风险因子**：
```
- 当前威胁环境
- 行业攻击趋势
- 组织安全事件
```

---

## 应用场景

### 内部威胁检测

**检测指标**：
```
- 离职员工异常访问
- 权限滥用
- 数据窃取
- 报复行为
```

**典型案例**：
```
场景：员工准备离职前窃取客户数据

检测信号：
1. HR 系统：提交离职申请 (风险 +30)
2. 行为异常：访问平时不访问的客户数据库 (风险 +25)
3. 数据异常：导出大量客户记录 (风险 +30)
4. 时间异常：下班后操作 (风险 +15)

总分：100 → 严重风险告警
```

### 凭证泄露检测

**检测指标**：
```
- 异地同时登录
- 登录模式突变
- 多系统快速访问
```

**典型案例**：
```
场景：员工凭证在暗网出售后被使用

检测信号：
1. 地点异常：10:00 北京登录，10:05 美国登录 (风险 +40)
2. 行为异常：访问模式与历史不符 (风险 +25)
3. 设备异常：新设备首次登录 (风险 +20)
4. 时间异常：非工作时间 (风险 +15)

总分：100 → 凭证泄露告警
```

### APT 检测

**检测指标**：
```
- 长期潜伏行为
- 低频慢速攻击
- 多阶段攻击链
```

---

## 实施实践

### 实施步骤

**阶段 1：数据准备 (2-4 周)**
```
- 识别数据源
- 部署数据采集
- 数据质量评估
- 特征工程
```

**阶段 2：基线建立 (4-8 周)**
```
- 收集历史数据
- 训练基线模型
- 验证基线准确性
- 调整参数
```

**阶段 3：检测调优 (4-8 周)**
```
- 部署检测模型
- 收集告警反馈
- 调整阈值
- 降低误报
```

**阶段 4：运营优化 (持续)**
```
- 持续监控效果
- 定期模型更新
- 知识库积累
- 流程优化
```

### 成功要素

**数据质量**：
- 足够的历史数据 (至少 3 个月)
- 数据完整性 (> 95%)
- 数据准确性

**模型选择**：
- 根据场景选择合适算法
- 不过度依赖单一模型
- 持续验证和优化

**运营流程**：
- 明确的告警处置流程
- 分析师培训
- 反馈机制

---

## 总结与思考

### 核心要点回顾

1. **UEBA 概述**：基于行为分析，检测未知威胁
2. **基线建模**：个体/群体/功能基线，统计/ML/DL 方法
3. **异常检测**：点异常/上下文异常/群体异常
4. **风险评分**：加权评分，风险等级划分
5. **应用场景**：内部威胁、凭证泄露、APT 检测
6. **实施实践**：分阶段实施，关注成功要素

### 深入思考

**UEBA 的挑战**
- 需要大量历史数据
- 模型训练时间长
- 误报仍需人工分析

**发展方向**
- 自动化特征工程
- 可解释 AI
- 实时检测

---

## 参考资料

### 学习资源

- **Gartner UEBA Market Guide**
- **NIST UEBA Guidelines**

### 工具资源

- **Exabeam**: https://www.exabeam.com
- **Splunk UBA**: https://www.splunk.com
- **Microsoft Sentinel UEBA**: https://azure.microsoft.com

---

*Day 304 完成 | UEBA 用户实体行为分析详解 | 字数：约 10,000 字*