利用各种技术手段来检测安全威胁是安全防护体系建设中重要的一部分，尤其是在大数据、人工智能等新技术不断发展和成熟的当下，各行业所面临的安全威胁复杂多样，安全形势严峻。如何高效的检测到异常和威胁并实时对安全人员发出预警，是安全技术发展的趋势和方向。

      在信息安全技术手段不断革新的当下，行为判断/鉴别是重要的发展方向之一。

什么是行为判断/鉴别

行为判断/鉴别是指结合产品UBA模型、缓慢泄漏、关联分析的数据输出，结合溯源取证能力，综合鉴别用户的异常行为，并进行归类。

行为判断/鉴别的特点与价值

用户实体行为分析（UEBA）关联了用户活动和用户相关的应用和终端等相关实体信息，通过构建起人物角色与群组关系进一步定义个体与群组的合法和正常行为。

在检测过程中，利用人物角色在群体与群体、群体与个体、个体与个体的维度上相互比对分析出远离合法和正常行为的群体与个体，将异常用户（失陷账号）和用户异常（非法行为）检测出来，从而达到检测业务欺诈、敏感数据泄露、内部恶意用户、有针对性攻击等高级威胁的目的事件，同时结合溯源取证能力，综合鉴别用户的异常行为，并进行归类。

行为判断/鉴别模型应用场景

某银行由于内部人员离职带走敏感文件，对银行造成极大损失。

行为判断/鉴别通过分析成功地帮助银行检测到该员工异常活动，登录到环境并横向移动以获取更高级别的访问权限。所有活动都有一个重点：访问私有数据或高价值资产，进行大量的拷贝行为。

应用示例

行为判断/鉴别
提供支持行为判断/鉴别的分析解决方案帮助客户实现对异常行为和安全威胁的检测。实施部署后，可通过对比员工的实时行为和系统设定的基线，判断是否存在偏差，定为异常行为和安全威胁。

行为判断/鉴别范围覆盖：

员工外发邮件的非公司邮箱的个数和邮件的数量，多次超过该用户历史外发邮件的范围，范围偏离基线；

员工发送邮件时，多次超过该用户历史邮件敏感级别，级别偏离基线； 

员工使用U盘等外设拷贝文件时，多次采用非授权外连操作，外连操作次数偏离基线；

员工多次发送邮件的接收人不是部门常用联系人账户，接收人数量偏离基线； 

员工外设拷贝文件的次数多次超过其历史次数，拷贝次数偏离基线； 

员工打印文件的次数多次超过其历史打印次数及范围，打印次数偏离基线；

      通过该员工行为预判趋势，我们可以清楚地了解员工的异常行为。并通过深入研究用户详细信息，快速看到有关该用户的所有行为操作以及对该用户预判曲线，通过关联分析还可以对行为轨迹进行溯源，了解到更多发生的情况。

      通过对行为判断与鉴别方法建模，企业能够从行为驱动方面完全触发“高危用户和资产”告警，同时还可以清楚地将事件组合在一起，以充分了解异常发生的前因后果。