帮助文档

异常模型的训练阶段

本页内容

概述

本页概述了在Log360 Cloud中使用UEBA的先决条件,并解释了其机器学习模型如何检测不同类型的异常。内容还包括激活此功能所需的条件,以及时间、计数和模式异常检测模型如何进行训练和应用。

先决条件

请注意,Log360 Cloud的UEBA功能仅适用于 Professional计划、Zoho One和MSSP 用户。如果您未使用这些计划中的任何一个,请将您的实例升级到这些计划。

注意:一旦Professional计划到期,机器学习模型将停止接收日志进行分析。时间异常模型的所有训练数据将在计划到期后14天内删除,计划续订后需重新训练以进行异常检测。

使用机器学习检测异常

ManageEngine Log360 Cloud的UEBA使用无监督学习来检测异常。每种异常检测方法的训练细节如下:

注意: 在初始训练阶段,机器学习模型可能会产生误报,因为它仍处于学习基线行为模式的过程中。随着模型处理更多数据并完善理解,异常检测的准确性会提高,误报会减少。

基于时间的异常:

基于时间的异常是指明显偏离预期行为的异常数据点。这些异常通过分析随时间收集的数据,寻找偏离已建立趋势或其他时间模式的情况来识别。

细分如下:

  • 数据点: 在15分钟内接收的所有日志将视为一个数据点。UEBA模块需要用 一天的数据 进行训练,以理解并建立每个用户和实体及其相关操作的正常行为基线。
  • 正常行为: 在时间序列数据中观察到的正常、重复模式
  • 偏差: 与该预期行为明显不同的数据点或数据点序列。

可基于此方法检测的异常:

例如,异常登录时间。用户通常在上午8点登录,突然在晚上10点登录。这类偏差会被标记并通知为异常。

基于计数的异常:

基于计数的异常,也称为基于频率的异常,是指事件发生频率异常的数据点,与预期或正常计数相比明显异常。

细分如下:

  • 数据点: 对于基于计数的异常检测,UEBA模块需要14个数据点进行训练。在此情况下,一个数据点代表一小时内收集的日志。
  • 关注多少次: 该模块不是关注数据点的值(如基于时间的异常),而是观察 某事件在一个数据点中 发生的频率。
  • 异常频率: 当事件发生次数远高于通常观察到的次数时,检测到异常。

可基于此方法检测的异常:

例如,登录失败次数。主机通常面临的登录失败次数是5到10次。该次数的突然激增可能提示异常行为,最终表现为诸如暴力破解攻击等攻击。

基于模式的异常:

基于模式的异常是指偏离既定事件序列的异常。

与只针对落入特定数据点范围事件数的时间和计数异常不同,基于模式的异常涉及一系列连续动作的整体情况。

细分如下:

  • 训练阶段: 为检测基于模式的异常,Log360 Cloud的UEBA模块应至少用2,000个事件或大约7天的数据进行训练,以先满足者为准。
  • 关注序列: 这些异常不是指单个数据点异常,而是这种事件序列的发生概率极低。
  • 已建立的模式: 这是从历史数据中学习到的正常、重复的序列或结构。可能涉及事件的特定顺序、共现或周期性行为。
  • 序列偏差: 当观察到的事件序列在已学习的模式中发生概率较低时,即视为异常。

可基于此方法检测的异常:

例如,常用登录设备。用户通常使用特定机器-例如Host1、Host2、Host3登录。如果同一用户偏离了这种常见行为模式,登录Host4机器,则被检测为模式异常,因为其行为序列被打乱。设备/机器使用频率突然激增也会被检测为异常。例如,Host3通常使用较少,若其使用突然明显增加,也将被视为异常。

注意:

在时间和计数异常检测中,存在旧日志相关的限制。例如,计划任务每小时运行一次以处理事件。任务在上午10点运行时,会处理上午8点至9点的日志。逾期(对应时间窗口处理已开始或完成后)的日志将被跳过,不予处理。常见情况有:

  • 代理曾短暂断开或无连接,导致日志上传迟延。
  • 存储空间已满,日志在空间释放后才上传。
  • 日志收集间隔本身超过1小时。
  • 通过导入流程导入旧日志。

工作日配置的限制:

如果用户在产品中更改了工作日配置,而UEBA功能已激活,则所有先前训练的模型将由机器学习模型删除,更改配置后需重新开始训练。更改配置时会弹出如下错误消息:

工作日配置的限制

另请参阅

本文档详细说明了Log360 Cloud UEBA异常模型的先决条件和训练阶段。欲充分利用UEBA功能,请参阅以下文章:

© 2025 Zoho Corporation Pvt. Ltd. 版权所有。