UEBA中的行为基线分析

一、前言

UEBA(User Entity Behavior Analytics)作为一种异常行为分析的方法，在安全领域已经有了较为深入的应用，早在 2016 年Gartner 就已经将其作为当年十大信息安全技术之一。在SOC、SIEM等产品中集成UEBA能力已经成为时下热门的趋势。

国内主流的厂商的技术及方案不尽相同，但主要集中在企业安全这一方向，这或许是因为在企业安全的威胁场景中，UEBA的分析效果更明显。企业安全中有两个关键的要素：资产与人。在传统的解决方案（如SOC类）中更加关注资产面临的风险往往忽视了人的重要性，这在近年来不断出现的信息泄露事件中可见一斑。当然，概念再好也要在实际生产中能够落地，下面将从一个小的点切入，分享一下UEBA中典型的采用KDE算法对人员行为基线进行建模及分析的方法。

二、KDE

核密度估计(Kernel Density Estimation)是在概率论中用来估计未知的密度函数，属于非参数检验方法之一，由Rosenblatt (1955)和Emanuel Parzen(1962)提出(百科)。我的理解是该算法需要找出点的**处于某个区间的概率。例如[7,8,9,14,15,22,23,24,25]，设宽度(范围区间)为10，则采用直方图表示如下：

很显然，直方图不够平滑，受宽度影响很大，为了使分布更接近于真实，KDE采用相关的核函数计算点的密度分布，概率密度如下：

本质上KDE属于聚类算法的一种