مکانیسم کار UEBA
UEBA از مدلهای آماری مانند تجزیه و تحلیل مؤلفههای اصلی قوی (RPCA) و زنجیرههای مارکوف برای ایجاد خطوط پایه رفتاری استفاده میکند. این مدلهای تشخیص ناهنجاری به شناسایی ناهنجاریهای زمانی، شمارشی و الگویی کمک میکنند.
RPCA
این روش یکی از تکنیکهای محبوب تجزیه و تحلیل مؤلفههای اصلی است. در اینجا، الگوریتمهای ML به دادههای تاریخی نگاه میکنند تا بهترین خط را تعیین کنند (همانطور که در شکل 1 نشان داده شده است). رویدادهای مشاهدهشده به عنوان جمع ماتریسی از رویدادهای مورد انتظار و پرت در نظر گرفته میشوند. نقاط پرت که از خط پیشبینیشده منحرف میشوند، به عنوان ناهنجاری شناسایی میشوند. از روش RPCA برای شناسایی ناهنجاریهای زمانی و شمارشی استفاده میشود.
زنجیرهای مارکوف
زنجیره مارکوف با دنباله ای از رویدادها مشخص می شود که در آن احتمال رویداد بعدی کاملا به وضعیت رویداد فعلی بستگی دارد. در اینجا، الگوریتم هر عمل کاربر یا میزبان را با لیستی از اقدامات ممکن مقایسه می کند و با گذشت زمان، هر رویداد با احتمال کم را به عنوان یک ناهنجاری شناسایی می کند. با استفاده از این روش می توانید ناهنجاری های الگو را تعیین کنید.
در زنجیره های مارکوف، الگوی مورد نظر به دو عمل متوالی تقسیم می شود و الگوریتم بررسی می کند تا ببیند آیا احتمال وقوع عمل دوم پس از عمل اول به طور منطقی محتمل است یا خیر. الگوریتم برای تعیین این احتمال به رفتار تاریخی متکی است.
به عنوان مثال، جان یک نصب نرم افزار را در یک زمان غیرمعمول انجام داده است. در این حالت ، الگویی که باید تجزیه و تحلیل شود این است: نام کاربری > نام میزبان > زمان.
برای پیاده سازی زنجیره های مارکوف برای این سناریو، باید الگو را به دو بخش تقسیم کنید:
- قسمت 1: نام کاربری > نام میزبان
- قسمت 2: نام میزبان > زمان
الگوریتم ابتدا بررسی می کند که آیا احتمال دسترسی کاربر (جان) به میزبان (سرور) محتمل است یا خیر و سپس بررسی می کند که آیا دسترسی به میزبان در آن زمان خاص قابل قبول است یا خیر (شکل 2 را ببینید). اگر الگوریتم هر یک از این اقدامات را غیرمنتظره تشخیص دهد، این الگو غیرعادی تلقی می شود.
تشخیص ناهنجاری ها: چه چیزی، چرا و چگونه؟
