用戶行為分析的5個方面用戶分析從幾個方面

2026-05-10 生活百科

用戶分析從幾個方面(用戶行為分析的5個方面)，小編帶你了解更多信息。
網絡安全威脅正以一種驚人的速度發展，據Gartner分析，用戶行為分析（UBA）市場在2015年后正以48%的年復合增長率急劇增長。因此，如果您對UBA還不熟悉，那么是時候了解一下了。以下內容將帶您了解UBA 。

用戶行為分析的5個方面用戶分析從幾個方面

文章插圖

1. UBA會為您帶來什么？
行為分析最開始應用于營銷領域，目的是幫助公司了解和預測消費者的購買模式。如今，行為分析已被廣泛用于檢測網絡安全中的潛在威脅。2018年Verizon數據泄露調查報告揭示了UBA為何如此受歡迎。

28%的數據泄露事件涉及到了內部員工行為。現有的網絡安全解決方案主要用于保護企業免受外部網絡攻擊，而忽略了一部分受信任的群體-公司內部員工。重點放在關注外部威脅上時，內部人員濫用特權的情況往往會被忽視。當攻擊者侵入公司內部網絡，他們非常善于模仿普通員工的行為，進而利用特權進行一些違規操作。這就是UBA不同于傳統安全解決方案的地方，通過關注企業內部用戶的行為，UBA可提供一套針對內部威脅的防御機制。
68%的內部用戶違規行為需要一個月甚至更長時間才能發現。這種威脅檢測的延遲是因為現有安全解決方案會產生大量誤報，導致IT安全人員在大量的無關緊要的告警中錯過了某些關鍵告警。設置較低的告警閾值和觸發大量含有誤報的告警，或配置較高的閾值都會面臨潛在的風險，IT安全人員往往傾向于選擇前者。UBA解決方案可以在一定程度上減少誤報的數量，從而為IT安全人員騰出足夠的時間專注于那些真正的網絡威脅告警。
2. UBA工作原理

UBA解決方案首先會收集整個公司用戶在較長時間內的工作行為。然后，為他們建立一個特定于每個用戶的“正?！被顒幽Ｐ?。最后，只要有偏離正常活動規范的情況發生，UBA就會及時通知到相關管理員。
現有的網絡安全解決方案通常是人為定義的一個靜態閾值來區分正常和不正常的用戶行為，而UBA解決方案使用的是動態分析方法（數據分析和機器學習相結合），根據用戶行為的真實情況去定義不同的動態閾值。
UBA解決方案的秘訣是不同員工行為難以模仿。因此，即使外部攻擊者侵入公司內部網絡，他們也很難模仿某個真實員工的日常工作行為。

用戶行為分析的5個方面用戶分析從幾個方面

文章插圖

通過舉例UBA解決方案如何檢測現有安全解決方案檢測不到的內部用戶違規行為，我們可以更好地了解UBA 。以下幾個攻擊場景可以涵蓋安全威脅的整個范圍：從內部人員成為攻擊者，到攻擊者使用泄露的內部特權用戶憑據，再到來自外部的攻擊行為。
3. UBA vs 文件復制異常指標監控

經典場景

一名心懷不滿的員工從公司離職前決定帶走一些公司敏感數據，他知道公司重要文檔的存儲位置，也很聰明地決定只復制其中少數而且最重要的文件，因為他知道復制太多文件可能會超出管理員設置的基于文件活動量的閾值，從而觸發告警系統暴露自己。

泄露指標：異常文件活動行為閾值
UBA如何解決該問題？

上述講到的如果文件活動量較少，傳統的安全解決方案很難發現此種用戶違規行為，這對企業來說是一項風險很高的內部威脅。但是UBA解決方案可以學習用戶過去一段時間的行為，知道用戶通常在一天中的特定時間訪問多少文件，以及訪問什么文件，哪些文件。然后在員工離職的那幾天，如果與過去相比，文件活動次數明顯增加，UBA會認為這是一項異常的用戶行為，因此會實時通知到相關的IT安全人員。

用戶行為分析的5個方面用戶分析從幾個方面

文章插圖

4. UBA vs 登陸異常指標監控

經典場景

獲得特權賬戶憑據的攻擊者總是希望擴大其在網絡中的控制范圍，最常見的是他會使用RDP掃描其他系統，以獲得對網絡上其他主機的遠程訪問。攻擊者知道管理員通常會檢查大量的登錄失敗記錄以檢測此類攻擊，因此攻擊者也會很聰明地避免失敗的登錄，防止觸發基于登錄失敗次數的告警。

危害指標：首次遠程訪問主機時出現異常登錄活動
UBA如何解決該問題？

由于登錄失敗次數很少，因此此種行為并不會被現有安全解決方案所關注。但是，UBA解決方案會檢測到某位員工在某個時段通過遠程方式訪問了某臺重要主機，且是首次訪問，這樣一來，UBA解決方案就會及時通知管理員。

推薦閱讀

上一篇：扇貝怎么洗扇貝怎么洗才干凈

下一篇：為啥風象星座老是吸引土象風象星座被土象吸引