从历史上看,企业组织没有充分监控员工在内部业务应用程序中的活动。他们本质上(并且盲目地)信任他们的员工。不幸的是,由于一些恶意内部人员的行为,这种信任造成了严重的商业损失。
当用于检测业务应用程序中的恶意活动的现有解决方案主要基于必须为每个应用程序单独编写和维护的规则时,监控很困难。 这是因为每个应用程序都有一组定制的活动和日志格式。 基于规则的检测解决方案还会产生许多误报(即错误警报)和漏报(即恶意活动未被检测到)。
检测需要与应用程序活动的含义无关,以便它可以应用于任何业务应用程序。
这一挑战的解决方案在于分析活动序列,而不是单独分析每个活动。 这意味着我们应该分析用户旅程(即会话)以监控业务应用程序中经过身份验证的用户。 A 检测引擎 了解每个用户或群组的所有典型旅程,并使用它们来检测偏离典型旅程的旅程。
检测引擎需要解决的两个主要挑战是:
- 每个应用程序都有一组不同的活动和日志格式。
- 我们需要准确地了解每个应用程序中以及跨应用程序的典型用户旅程。
标准化检测模型
为了将一种检测模型应用于任何应用层日志,我们可以从每个旅程中提取以下三个基于序列的特征(即特征):
- 一组活动,每个活动都用数字代码表示。
- 会话中执行活动的顺序。
- 会话期间活动之间的时间间隔。
这三个特性可以应用到 任何 应用程序会话,甚至跨应用程序的会话。
下图说明了基于五个活动的用户旅程的三个特征,每个活动都用一个数字表示,因为从模型的角度来看,活动是一个数字代码。
学习跨应用程序的典型用户旅程
如上所述,异常行程的检测是基于学习的 所有 典型的用户旅程。 聚类技术将相似的数据点进行分组,以了解这些用户旅程,并为每组相似的旅程生成典型的用户旅程。 当新的日志数据可用时,此过程会持续运行。
一旦系统了解了用户的典型旅程,检测解决方案就可以检查每一个新的旅程,看看它是否与之前学习的旅程相似。如果当前旅程与过去的会话不同,解决方案会将其标记为异常。还可以将当前旅程与与相关的旅程进行比较 用户所属的群组.
检测解决方案必须基于专为序列聚类定制的极其准确的聚类引擎,同时在其聚类的旅程数量上仍然保持几乎线性,并且不需要先验知识来生成多少个聚类。此外,它还必须检测异常值,将其从数据集中删除以提高聚类准确性,并将这些异常值识别为异常。这就是生成相似用户旅程组的集群引擎也可以检测历史数据中的异常用户旅程并将其报告为异常的原因。
