業務洞察產品

業務洞察產品

業務洞察產品

  企業在數字化轉型過程中,IT 部門的角色越來越重要,逐步從 IT 運維轉向IT 運營, 不僅要保障企業的業務系統穩定、安全和可靠地運行, 而且要提升客戶的用戶體驗和引領企業的業務創新。企業在 IT 運營中會積累大量的數據資產,充分地挖掘這些數據資產的價值, 不僅可以發現 IT 系統和應用的運行規律和異常行為,也可以洞察企業產品、服務和用戶的特征習慣和變化趨勢。

  隨著數據量和數據多樣性的增加,針對復雜和快速變化的數據集,使用傳統基于規則的分析方法和儀表盤不可能獲得實時的分析結果,需要將大數據和人工智能技術相結合。國際著名的 IT 咨詢與分析機構 Gartner 定義了“用戶和實體行為分析是基于一系列分析方法提供對用戶和其他實體(主機,應用程序,網絡流量,數據資料庫等)的分析和異常檢測,通常使用基本分析方法(例如,利用簽名,模式匹配和簡單統計的規則)和高級分析方法(例如,有監督和無監督機器學習)?!?/p>

產 品 特 點

  華青融天公司在多年應用性能管理和業務交易監控、 下一代安全運營中心產品與實踐的基礎上,推出用戶行為分析和業務洞察產品 EZUBA, 基于 IT 運營大數據和機器學習方法,幫助客戶實現用戶行為可視化、實時異常檢測、業務分析與預測,和業務風險管控。

  基于網絡流量真實數據、各類日志源實時采集的數據和第三方數據,在大數據平臺之上運用機器學習算法,在海量數據中發現業務運營模型和用戶行為習慣;

  通過實時異常檢測,發現網絡行為異常、用戶行為異常,和業務交易異常等,快速識別內外部攻擊和金融欺詐,從而實現安全事件預警和業務風險控制;發現業務變化趨勢,實現智能運營和業務預測。

產 品 架 構

  在 IT 運營過程中,會產生和獲得大量數據,這些數據是重要的 IT 資產,蘊含著巨大的價值。其中主要有兩類數據:一是網絡流量的數據,用戶所有的操作都會產生網絡流量,比如銀行的核心業務系統、手機銀行應用,電商的交易和支付系統,制造企業的 ERP 系統、政府的對外服務門戶等, 運維部門可以從網絡旁路獲得這些流量的真實數據;第二類是日志數據, 或者稱作機器數據, 機器自動產生的數據,包括主機、網絡設備、存儲、數據庫、各種安全組件和應用系統的日志。除了這兩類數據之外,還有直接來自于業務部門和業務系統的數據,對這些數據的實時采集、多維關聯分析、深度挖掘,并結合人工智能、機器學習的算法和模型,可以提供 IT 運維、安全分析和業務洞察等領域有價值的分析結果。

  針對不同的數據特征和分析目標, 可以選取不同的機器學習模型和算法,也可以結合多種模型和算法去發現潛藏在數據中的規律和價值:

1、可用時間序列來描述的數據:機器(泛指信息系統各種組件)隨時間變化的行為特征數據,如:CPU、IO、網絡流量、交易量、交易分布、響應時間等,用于發現機器和應用系統的行為習慣和異常,并通過歷史數據的學習做周期性和趨勢性預測,可以采用時間序列模型;

2、可用點來描述的數據:人(或實體)的屬性和獨立行為數據,如:管理員對系統的操作指令、 用戶的系統登錄、銀行柜員每天的操作行為、客戶在電商平臺的交易、信用卡的刷卡記錄、資產的屬性等,用于發現人或實體的行為習慣或者異常,可以采用基于點的聚類和分類模型;

3、可用圖來描述的數據:人(或實體)之間的關聯性行為數據,如:管理員訪問某個數據庫、用戶操作某個文件、設備 A 訪問設備 B、一個人向他人轉賬等,用于發現人-實體之間、人-人之間、實體-實體之間的行為習慣和異常,可以采用圖譜模型。

適 用 場 景

EZUBA 在 IT 運維、安全態勢感知、業務分析領域有很多適用場景:

1、智能運維基線和告警

  傳統基于閾值(無論是靜態閾值還是動態閾值)和規則的告警往往不有效,因為它忽視了運維監控指標的周期性和趨勢,會產生很多的誤報和漏報。一個時間序列通常由 4 種要素組成:趨勢、季節變動、循環波動和隨機波動。前三種稱為確定性變化主要由業務本身的特點決定,第四種稱為隨機性變化,又可分為系統內由于慣性產生的干擾和來自系統外部的干擾。在平穩時間序列的情況下,指影響數據變化的因素都是可統計,呈現統計規律的,根據歷史數據特征,判斷影響數據的各因素,形成時間序列模型,基于模型來預測未來數據。

  通過對歷史數據和當前數據賦予不同的貢獻度,針對數據的特點選取不同的模型, 有些模型對周期性數據效果較好,有些模型對趨勢性數據效果較好,并盡可能消除異常數據噪聲和毛刺的影響,計算性能指標的基線和合理的偏移量,自動產生智能告警,可以減低告警設置的復雜性,也可以解決傳統告警誤報率高的問題。

2、安全風險評分

  面對當前日新月異的外部攻擊手段和越來越隱蔽的內部違規行為,基于規則的分析已經遠遠不能勝任對準確性和時效性的要求,特別是對于類似 APT 攻擊這類復雜、長期的攻擊行為。這類攻擊必須從分析人的行為模式入手,需要從比較長的歷史行為中提取行為模式特征,繼而發現其中的異常。以下是采用了機器學習算法,對業務操作人員行為風險指數的實時評分結果。

  通過風險指數和風險指數的變化掌握內外部用戶風險等級和異常行為,主動地實現安全態勢感知。通過上述方法也可以應用于電商平臺反欺詐和銀行支付系統風險防控等業務場景。

3、用戶特征分析

  使用機器學習特征提取和分析引擎進行人或實體的特征畫像,同時根據多個維度對監控對象建立種群模型,使得同一種群的成員具有相同的行為模式。通過對實時用戶和實體行為數據的分析,實現離群數據和種群躍遷的的自動發現。將其中的顯著變化定位為異常。

  EZUBA 使用無監督基于密度的聚類方法進行種群分析,使用 Na?ve bayes 模型等對異常的種群變化進行檢測。

4、業務預測

  基于運營大數據平臺和機器學習模型也可以實現業務預測,以業務交易量的預測為例,從時間跨度 12 個月的歷史數據中學習,根據時間序列數據 4 個因素(長期、季節、循環、不規則)的變化趨勢,預測未來 12 個月的業務量情況。