什么是行为分析?
什么是行为分析?
行为分析
为什么要收集行为数据?
如下图所示,数据创造在过去十年呈爆炸性增长,并预测将保持指数级增长。图表预测,到2028年,全球数据领域将达到近400ZB。Zettabyte是一个难以想象的庞大单位,如果用一公里表示每个字节,那么一个Zettabyte相当于往返太阳3,333,333,333次。据估计,只有15%的创建数据会被存储,但这个数量仍然非常庞大。
存储行为数据面临一些重大挑战:
- 部分生成的数据可能难以捕获和存储,这主要是由于数据工程的局限性。
- 由于创建的数据量巨大,数据存储成为一个挑战。
- 以成本效益高且易于访问的方式存储数据相当困难。目前,只有一小部分创建的数据会被存储。
行为数据主要通过人们与软件或服务器的互动来获取。例如,上传数据到网站或在网站上选择产品都是互动的例子。这些事件会被存储在本地数据库中,或更常见的是存储在公司拥有的服务器中,并附有日期和时间戳,以便于访问。
整个行业都是围绕收集数据并利用这些数据而建立的。以下是一些可能不为人知的数据收集示例:
- 公司硬件使用:先进的软件程序已被开发出来,让企业能够追踪员工如何使用公司硬件(例如电脑、打印机和服务器)的行为分析,其细致程度令人惊讶。此软件通常用于检测可能显示员工或黑客欺诈或恶意行为的可疑行为。
- 网站会话:您知道您今天访问的每个网站如何通知您它使用cookie来为您提供卓越的体验吗?如果您将其翻译成外行术语,这通常意味着网站会记录您的浏览会话,以分析您的行为,从而找到优化网站设计的方法。因此,下次您看到正在浏览的网站上弹出该通知时,只需知道稍后可能会有人查看您的浏览会话。
- 生物识别:随着物联网成为主流(想想智能手表),心率、体温和步数等生物识别技术也变得更加容易收集。此外,越来越多的人对DNA测试感兴趣,目的是为了健康或祖先研究。这些DNA数据和生物识别技术可以用来训练行为机器学习模型,以提升个人洞察力的能力。
- 睡眠应用程序:许多应用程序都是为了改善个人睡眠而设计的(祝有小孩的朋友好运),它们会追踪睡眠周期,并在您进入慢波睡眠阶段时叫醒您,让您醒来时感觉更精神。这些应用程序使用您的智能手机收集加速度计数据、噪音数据或两者都有。收集到的数据可以存储在智能手机的本地或公司服务器上,具体取决于应用程序制造商的条款与条件。
如何在网络安全中使用行为分析
历史上,网络安全仅使用规则驱动的框架来检测潜在的网络威胁。例如,如果在半夜下载大量数据,这个动作可能会触发违反规则的情况,进而提醒安全团队。这种基于规则的方法在今天仍然是分层分析安全方法的重要部分;然而,聪明的黑客可以避免触发这些系统中设置的许多规则,而且也很难发现有恶意行为的员工(也就是所谓的内部威胁)。行为分析可以通过使用复杂的机器学习算法来分析整个企业的用户和实体数据,从而实现以人为中心的防御。
在网络安全方面,行为分析可以筛选组织的大部分数据,以开发高质量的线索供安全分析师评估,从而节省大量的时间和金钱。强大的行为分析解决方案可以让安全团队更有效地降低公司参与激烈的安全人才竞争的压力。
行为分析在网络安全方面最大的应用之一就是检测内部威胁。内部威胁是指来自组织员工的攻击,其动机可能是为了金钱利益,也可能是为了报复公司。由于员工已经可以访问他们在工作中使用的敏感信息,因此不需要黑客就可以从公司窃取这些信息。因此,安全规则通常不会被触发。然而,行为分析可以识别员工的异常行为,并提醒安全团队。
行为分析在网络安全方面的另一个常见应用是检测高级持续性威胁(APT)。APT发生在黑客长时间访问组织的服务器时。使用传统方法检测这些攻击尤其困难,因为APT会刻意避免触发一般规则,以确保其访问的持久性。然而,行为分析可以检测APT,因为其算法可以监控APT所展现的非正常活动。
行为分析也擅长检测零时差攻击。零时差攻击是以前未曾使用过的新攻击,因此不会写入任何规则来检测它们。由于行为分析会使用先前的行为数据来评估哪些行为是不正常的,因此这些新的攻击通常都能被检测到,因为这些攻击通常会使用新的可执行文件和方法来突破公司的安全防线。
行为分析和物联网
物联网或IoT是指连接到互联网和其他设备的周边设备网络,以建立联网设备。物联网在过去十年经历了显著的增长,这在许多行业中都可以看到,包括制造业、供应链和消费性产品。许多这些IoT设备会收集行为数据,并使用这些数据执行分析,以获得洞察力或适当的行动。
智能手表的普及是消费性产品增长最明显的例子之一。就在几年前,智能手表还非常罕见,只有前沿的科技爱好者才会购买这些设备,但随着越来越多公司投入这个产业,智能手表和其他IoT设备已经变得更加主流。如今,物联网设备已经非常普遍,即使是随便玩玩的电玩串流玩家也会配戴心率监测器,显示给观众看。收集行为数据的面向消费者IoT应用示例有:
- 可追踪生物特征的智能手表。
- 门铃摄像头可追踪到住宅大门的人流。
- 可追踪全天温度偏好的智能恒温器。
- 智能语音助手,可以在您要求动作时学习。
企业也在研究使用物联网与行为分析来增强现有能力。企业之所以寻求IoT来改善运营,主要是因为IoT可以降低成本、更精准的预测交货时间,以及提供更优质的产品服务。与消费者领域相比,专门收集行为数据的设备较少,但也有几种:
- 供应链:用于跟踪工业驾驶员驾驶行为的传感器,以确保符合政策和安全驾驶。
- 医疗保健:医院可以使用物联网设备来识别患者的健康状况,并在必要时提醒护士和医生。
随着物联网设备数量的持续增长,行为分析在为消费者和企业提供的价值方面将变得越来越重要。
行为分析和大数据
今天生成和存储的数据量远超过任何其他一代,以至于“大数据”一词被创造出来。大数据是指数据科学家或统计学家使用大量数据的方法。通常,假定数据质量相同,数据越多,分析的有效性就越高。许多更强大的算法(如神经网络)在少量数据下无效,但在大量数据下变得更加有效。
有些行业比其他行业更能接受大数据,网站广告就是一个很好的例子。例如,A/B测试等网站广告测试可以快速收集和分析数据,从而得出比较广告的效果指标。由于产生的数据量、数据付费墙或数据法规使实体数据的收集和使用变得困难,许多行业在采用大数据方法上举步维艰。
行为分析非常适合大数据类别,因为行为数据会生成大量数据,通常可以收集数据,并且通常可以为每个用户进行跟踪。当您导航到网站并看到有关使用cookie追踪您的体验的警告时,它们通常会追踪您在网站上的行为,以优化网站设计。如前所述,最丰富的行为数据来源之一是物联网,以至于整个公司都只专注于从生成的物联网数据中运行行为分析。
行为分析和机器学习
机器学习是一类算法,它使用输入数据,有时也会使用预期的数据输出,来微调模型参数的准确性。机器学习特别有助于分析和分类大量数据,因为算法可以处理的数据量远超过人类。行为分析通常使用机器学习来获得洞察力或自动化决策。
行为分析和机器学习用例的一些示例包括:
- 内部威胁:内部威胁是指员工通过窃取数据或公司知识产权,对所属公司采取恶意行为的安全问题。安全程序可以使用机器学习来识别可能显示内部威胁的异常行为。
- 客户细分:客户有不同的购买行为,表现出不同的偏好。机器学习可用于细分客户环境,以确定组织最有价值的客户。
- 面部情绪检测:使用复杂的机器学习,结合面部识别与分类,这些系统现在可以检测到人们的情绪。
电子商务中的行为分析
亚马逊成为市场上占据主导地位的电子商务平台的原因之一是它将注意力集中在分析消费者的浏览习惯和消费习惯上,这二者都被归类为行为分析。
通过评估消费者的购买习惯,公司可以找出产品促销和捆绑销售的最佳机会。在亚马逊的产品页面中,在最初的详细信息下方,就是一个由行为分析决定捆绑销售的好例子。通常,捆绑商品包括一些其他人与相同商品一起购买的其他商品。购买捆绑商品可以在所有商品上获得少许折扣。
购买习惯数据还可以使用聚类等无监督机器学习方法进行客户细分。客户细分有助于公司了解群体的一般购买习惯,从而更好地找出迎合广大群体的方法。
金融行为分析
在全球范围内,欺诈每年给全球经济造成数万亿美元的损失。不出所料,金融机构投入了大量资金来捕捉从异常消费者行为中发现的欺诈活动,以降低欺诈造成的成本,并为客户提供更安全的体验。
欺诈交易是利用行为机器学习算法来建立正常行为,以便在发生不寻常交易时将其标记为可能的欺诈行为。通常,金融机构会在可能的欺诈活动发生时联系客户,以验证交易是否真的是欺诈。
例如,如果消费者在洛杉矶购买咖啡,20分钟后又在伦敦购买甜甜圈,这种不寻常的行为可能显示欺诈。不可能以那么快的速度同时购买两件东西。另一个例子是,如果消费者在从未到过的地方购买了从未买过的昂贵物品。例如,如果一个消费者住在加拿大,却用他的财务凭证在巴西购买了50张床垫。
了解行为分析与UEBA之间的关系
行为分析包括对用户、客户或系统随时间的行为的广泛研究,通过分析模式来获得营销、产品开发和用户体验等不同领域中有意义的洞察力。行为分析是许多专门应用程序的基础,其中一个是针对网络安全情境的用户与实体行为分析(UEBA),它将这些原则特别应用于网络安全情境。一般的行为分析可能会追踪用户偏好或参与模式,而UEBA则将焦点缩小为安全相关行为和异常检测。要了解行为分析原则如何应用于网络安全情境,请访问我们的用户与实体行为分析(UEBA)页面。
行为分析常见问题集
问:什么是行为分析?
答:行为分析包括收集和分析大量用户和实体数据,以找出模式、趋势和异常现象。通过利用人工智能和大数据技术,它可提供可行的洞察力,改善多个领域的决策,包括网络安全、电子商务和医疗保健。
问:行为分析与传统数据分析有何不同?
答:传统的数据分析通常依赖于预定义的规则或假设驱动的方法,而行为分析则着重于了解特定用户或实体的“正常”表现。因此,它能更有效地检测出微妙的偏差和新出现的模式,使其在发现内部威胁、零时差攻击或不断演变的消费者偏好方面具有无价之宝。
问:为什么行为分析对网络安全很重要?
答:在网络安全方面,攻击者通常会运用复杂的策略,绕过固定的规则或标识符。行为分析可识别异常的用户或实体行为(例如意外的数据传输、异常的访问时间或非典型的浏览模式),帮助检测这些高级威胁,并在重大损害发生前向安全团队发出警报。
问:行为分析与UEBA(用户与实体行为分析)有何关联?
答:UEBA是专门针对安全情境的行为分析应用。一般行为分析可应用于营销、产品优化或医疗保健,而UEBA则专注于识别并降低组织数字环境中的威胁。通过分析用户和设备行为的正常模式,UEBA能够突出可能代表泄露或恶意内部人员的异常信号。
问:机器学习和人工智能在行为分析中扮演什么角色?
答:机器学习和AI算法是行为分析不可或缺的部分。这些技术能够以远超过人类能力的规模处理大型复杂数据集,从而发现模式、建立行为基线,并随着新数据流的涌入不断调整。因此,检测变得更加精确、及时和主动。
问:行为分析能帮助改善客户体验吗?
答:没错。在电子商务和其他面向客户的行业中,了解用户行为(例如浏览习惯或购买模式)有助于企业提供个性化的服务、改善网站设计和优化营销策略。久而久之,客户满意度、忠诚度和盈利能力都会提高。
问:行为分析与IoT设备之间有何关联?
答:物联网设备会产生大量的行为数据,这些数据来自可穿戴设备、智能家居系统、制造业传感器等。行为分析可让组织处理这些数据,以改善运营、加强安全并提供个性化服务——无论是监控智能手表的健康状况,还是通过工业IoT传感器确保符合企业的驾驶政策。
立即开始使用行为分析
随着机器学习算法的改进,以及数据在数据孤立的行业中变得更加社会化,行为分析将继续变得更加有用。随着行为分析机会的增加,企业以合规和尊重的方式使用数据的责任也越来越大。
当今企业面临的网络威胁日益增加,因此必须采取更多预防措施,以确保宝贵数据的安全,并防止黑客入侵内部网络。OpenText CoreThreat Detection and Response 使用行为分析来检测可能显示恶意行为的异常现象。它在检测内部威胁、零时差攻击,甚至咄咄逼人的红队攻击方面都有良好的记录。踏出保护组织安全的第一步。