红沙漠>论坛 红沙漠法律问答 网络纠纷
发新帖 返回列表
查看: 82|回复: 0

人工智能时代的大数据网络安全-零信任与用户行为分析

[复制链接]
邢雨

2

主题

3

帖子

7

积分

新手上路

Rank: 1

积分
7
发表于 2023-1-19 12:30:23 | 显示全部楼层 |阅读模式
领域应用背景
随着云计算、大数据、物联网等新兴技术的不断兴起,多层面的大数据网络安全威胁和安全风险也在不断增加,网络攻击行为向着分布化、规模化、复杂化的趋势发展,仅仅靠单一的网 络设备监测处置已不能满足网络安全的需求,越来越多的企业与系统采用了“零信任”的理念来进行安全防范与管理。
在电信及互联网企业总体网络规模不断扩大的同时,数据网络安全架构正在从“有边界”向“无边界”转变,传统的安全边界逐渐瓦解。随着以5G、工业互联网为代表的新基建的不断推进,还会进一步加速“无边界”的进化过程。与此同时,零信任安全逐渐进入人们的视野,成为解决新时代网络安全问题的新理念、新架构。
什么是零信任?
零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。


如何零信任?
顾名思义,企业不应该默认信任网络内部或外部的任何人、设备、系统和应用,而是应该基于认证和授权重构访问控制的信任基础,并且基于尽可能多的数据源对访问者进行持续的可信度评估,根据评估结果动态地调整授权和访问控制策略。
在人工智能算法领域中,也有针对零信任的一些切实有效的解决方案。本文主要分享应用广泛的用户行为分析(UEBA)领域。
用户行为分析
起初用户行为分析主要用于通过对用户行为监测获得的数据进行分析,可以让企业更加详细、清楚地了解用户的行为习惯,从而找出网站、推广渠道等企业营销环境存在的问题,有助于企业发掘高转化率页面,在公司业务领域构建用户画像进行分析,让企业的营销更加精准、有效,提高业务转化率,从而提升企业的收益。
伴随着零信任和网络安全的发展,用户行为分析的高性能、高效率以及高鲁棒性让它在数据安全领域也能发光发热。以用户和实体为对象,结合规则以及机器学习模型,对用户行为进行分析和异常检测,尽可能快速地感知内部用户的可疑非法行为。
算法应用介绍
用户行为分析离不开用户高危操作的检测,目前在网络安全内我们可以获取到用户行为的历史日志信息,并对历史日志信息进行数据标准化处理,得到目标信息,包括操作时间、操作对象IP(即用户IP)、 用户名、操作内容、登录状态、操作结果等,并根据目标信息获取服务器操作习惯特征和操作指令习惯特征。其中,服务器操作习惯特征不限于统计操作次数、单用户单日操作总次数、用户操作的服务器数量、用户的上线次数(上升沿触发)、是否有未操作的服务器等行为特征。操作指令习惯特征包括每个用户的每日指令记录中各linux指令开头的指令数量与操作类型,还可以对操作指令进行去重处理并进行莱文斯坦距离或者最长公共子序列的计算,得到更多的指令数量特征。通过获得更多的用户特征可以让我们丰富用户的画像广度和深度,从而得到更复杂的零信任体系。


获得上述特征后我们可以通过很多算法进行用户状态的分析,比如我们可以通过隐马尔可夫(HMM)进行用户隐藏状态的挖掘
用户隐藏状态的挖掘
马尔可夫算法因安德烈·马尔可夫(A.A.Markov,1856-1922)得名,是指数学中具有马尔可夫性质的离散事件随机过程。在给定当前知识或信息的情况下,过去(即当前以前的历史状态)对于预测将来(即当前以后的未来状态)是无关的。该过程中,每个状态的转移只依赖于之前的n个状态,这个过程被称为1个n阶的模型,其中n是影响转移状态的数目。最简单的马尔科夫过程就是一阶过程,每一个状态的转移只依赖于其之前的那一个状态。数学的解释是晦涩的,其实马尔可夫就是在说一件事情的发生只依赖于它之前的n次的情况。而隐马尔可夫则定义了一个隐藏状态的概念,它假设在我们表面看到的事情背后有个隐藏的状态在起作用,那么整件事情的发生概率都取决于这个隐藏状态有关,而与上一次的发生事件无关。


它还有一个假设,就是这个背后的状态变化是满足马尔可夫定律的。假定背后操纵者为用户的危险程度,那么用户从安全到高危是有一定概率的,且和其之前的n次状态有关,同样从安全到保持住安全的状态也是有概率的。
隐马尔可夫现有的隐马尔可夫的定义和三个矩阵有关:状态转移矩阵、观测概率 分布矩阵和初始概率分布矩阵,分别为A、B、pi。 其主要解决三个问题:
(a)概率计算问题
(b)学习问题
(c)预测问题


其中,概率计算问题,通过前向算法和后向算法实现;学习问题可通过监督学习进行极大似然估计,或者通过Baum-Welch 算法利用em算法进行迭代;预测问题通过viterbi算法进行最短状态路径的计算。


除了对用户的隐藏状态进行挖掘,我们还可以对用户的操作指令习惯进行异常分析,包括但不限于粒子群优化的自编码模型以及One-class SVM等


综上所述,通过对用户数据的分析及时发现用户异常行为,实时掌握网络安全状况,将之前亡羊补牢式的事中、事后处理,逐步转向事前自动分析预测,事中动态处置,从而降低网络安全风险。
人工智能时代的零信任发展
目前,我们已经进入到一个高速发展的数字时代,云计算、大数据、AI等新兴技术的蓬勃发展,使得企业机构的平台、业务、用户、终端、网络环境等呈现复杂化、多样化的发展趋势,安全风险随之而生,安全态势也愈发复杂。零信任也将与人工智能、大数据等技术与业务高度融合,通过连续认证实现动态行为监控,通过规则引擎来实现动态授权,通过机器学习引擎来发现新的风险,从而实时发现并解决用户的行为风险,成为未来大数据网络安全的大趋势之一。

回复

使用道具 举报

发新帖 返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表