详细内容或原文请订阅后点击阅览
以 SMART 方式检测异常(第二部分)
关于查找异常用户的帖子系列的第二部分。
来源:Another Datum这篇文章最初由我发表在 Fortscale 博客上。Fortscale 的产品通过检测异常用户行为帮助组织消除内部威胁。
这篇文章最初由我发表在 Fortscale 博客上。 Fortscale 博客 Fortscale 的产品通过检测异常用户行为帮助组织消除内部威胁。在本系列的上一篇文章中,我描述了 Fortscale 如何使用个性化自适应阈值来触发警报。每个用户的活动都被分配一个风险分数(称为 SMART 值),当超过用户的阈值时会触发 SMART 警报。我们解释了用户在一段时间内执行的异常活动越多,他的阈值就越高。这产生了预期的效果,即只有当该用户执行真正异常的活动时,分析师才会收到有关该用户的通知,即使对他来说也是如此。
上一篇文章此外,我们解释了为什么以及如何将整个组织的异常活动纳入用户的阈值,这样分析师就不会被那些与其他用户相比异常程度不够的用户发出的警报所困扰。
在这篇文章中,我将深入探讨我们如何实施 SMART 方法的技术细节。更具体地说,我将描述贝叶斯推理框架,并详细说明我们如何利用它来创建个性化的自适应用户阈值。
贝叶斯推理是一种计算概率的方法。我们案例中感兴趣的概率是给定用户执行具有相对较高 SMART 值的异常活动的概率。如果我们可以估计这个概率,我们将能够使用它来为每个活动分配适当的分数。
为了计算概率,我们首先需要对数据进行建模。让我们将我们某位客户的所有组织用户收集的 SMART 值可视化:
这样更好。现在我们可以在数据中看到两种模式: