什么是UEBA系统

lishengli • 2022年11月27日 pm1:44 • 网安资讯 • 阅读 199

“内鬼泄密”是一个令人头疼的问题。特别是当今的信息时代，数据就是财产，信息就是价值。单位里“内鬼泄密”不仅会造成企业经济损失、也会对企业形象和品牌以及关联事项带来无法预估的风险。这也反映出企业对内部人员异常的信息访问行为缺乏有效的监管手段。传统的安全设备更多的是防护外部的威胁攻击，对内部人员异常行为缺乏识别手段，内部人员可以绕过安全防护机制直接接触核心资产。万物互联时代又提供了更多方便的渠道进行数据外发，加大了“内鬼泄密”排查的难度。

举个比较典型的项目需求案例，一家大型政府单位，核心应用部署在内部网络与外部互联网隔离，整体网络环境也都遵循《等保2.0》的规范进行部署，所以整体上不太担心遭遇外部攻击事件导致数据被窃取。但是由于其核心应用数据的敏感性，用户希望有一套完善的内部泄密的防护方案，将“内鬼泄密”的可能性及其影响降至最低。

经过与公司内多个产品线的技术沟通，还真找到了一款完美符合用户需求的软件——北信源UEBA系统。

北信源UEBA系统建设之初的目标就是内部人员行为监控，发现内部人员异常泄密行为，并提供追溯分析的手段。北信源UEBA系统基于几十种信息泄漏场景全方面采集内部人员的日常行为信息，针对日常的行为数据进行特征提取和行为指标建模。基于构建的行为指标体系，对人员日常的行为进行刻画。采用机器学习算法进行历史基线、群体基线及分群分析，找出可疑信息泄露主体并提供追溯和下钻分析的手段。

总体来说，北信源UEBA系统具有以下几个特性：

分布式系统架构：系统采用分布式系统架构，将系统整体划分为若干业务领域划分模块的、小的自治服务，每个服务都是自我包含的，并且实现了单一的业务功能。

分布式全文检索引擎：引擎提供亿级日志数据秒级检索能力。引擎具备单机部署、多机部署两种模式。当性能产出瓶颈时，可直接水平扩展。最高可扩展是PB级别、100多台节点。

可视化组件库：内置丰富的可视化组件，包括：饼图、柱状图、折线图、雷达图、散点图、热力图等。多类数据源，结合丰富的可视化组件，灵活组装，多维度分析、展示各类数据主题。

综合风险分析：采用分布式存储系统对海量人员行为数据进行存储，构建安全大数据仓库，利用SPARK、FLINK等大数据分析技术结合孤立森林、SVM， K-Means聚类等机器学习算法进行各类行为分析，挖掘异常行为主体。

对象轨迹探索图形化：以人或者设备为出发点分析并展示通过各类日志、基础数据构建的安全知识图谱。并以图形方式进行展示。支持知识图谱图形的持续探索。

重点对象监控取证：灵活设定重点可疑对象的监控策略，即时下达，即时执行截屏、录屏等取证操作。