备份操作员将拥有移动大量数据的人的权限和行为标记。就像任何没有专门的备份操作员的系统管理员一样。

斯诺登是一名系统管理员。他会知道所有的保护协议。他可以从任何区域冒充任何人，下载东西，冒充下一个，然后继续这样做。

如果众所周知没有针对专用攻击者的防弹保护，那么想象一下具有系统管理员权限的受信任的内部专用攻击者。

像 Beehive 这样的异常检测系统比以前更容易挖掘大量数据并检测可疑行为。这意味着分析师可以专注于更相关的数据，在更短的时间内处理更多数据，并使用更详细的输入数据进行分析。这种方式比以前有人可以检测到不需要的行为的机会更高。

Beehive 论文中声称（我没有理由怀疑这一说法）该系统可以检测到比通常使用的系统更多的事件 - 但没有声称该系统可以检测到每个事件，甚至所有事件中的多少它可以检测到。因此，其他系统可能只检测到所有事件的 10%，而 Beehive 检测到 20%，这很好，但并不真正令人满意。

这样的系统能检测到像斯诺登这样的人吗？这在很大程度上取决于收集数据的数量、种类和详细信息以进行分析，现有安全策略的严格程度如何才能记录策略违规行为以及非法的程度（如 NSA 所见）斯诺登的活动不同于他平时的工作活动。它越不同，就越有可能被异常检测系统检测到。但就记录的数据而言，非法和合法活动越相似，非法活动被报告为异常的可能性就越小。

换句话说：它可以帮助检测一些斯诺登类型的动作，但它不会检测到所有斯诺登类型的动作。阻止此类行动将更加困难，更有可能在已经造成一些伤害后更早地发现，从而限制影响。

斯诺登的意图是数据泄露，他也是一名系统管理员。因此，他可以访问普通用户无法访问的大量数据，而且他与网络的交互方式也会有所不同。如果 Beehive 到位，它可能记录了他正在做某事，但任何有数据泄露意图的人都知道如何绕过警报：从系统开始接受训练时就让你的数据泄露模式“正常”它不会被标记为异常活动。斯诺登本可以每天将 16GB 的数据转储到 USB 拇指驱动器，但只要他没有突然改变自己的技术，Beehive 就不会标记他。

我正在研究一些自定义方法来检测这种模式。但是，现在我不知道有什么自动化的东西会做得很好。

不，它不能。

你引用的引文清楚地解释了为什么不这样做，以及人们如何声称它可以。

Beehive 可能会告诉您发生了斯诺登式的攻击。（即使是@ThoriumBR 的 thoguh 也不会阻止 SNOWDEN）

你（或那个人）声称它可以防止这样的攻击，这是非常非常不同的。Beehive 正在抓取日志，并且（也许，没有读太多）将其与一些高级分析相结合。这意味着即使您的分析和标记系统正在实时运行，也可能为时已晚。

[想象一下蜂巢的作用：

可疑动作 -> 安全程序 -> 日志 -> 蜂箱提取数据 -> 蜂箱分析 -> 抛出标志 -> 干预？

这太晚了（它假设日志是实时评估的）

日志用于追溯调查，而不是实时干预。

您可以做的是为任何操作生成一个伪日志，让 Beehive 对其进行分析，并且只有在绿灯亮起时才会执行该操作。但是，巨大的开销和明显的延迟将使这种方法对任何经理都很难推销。[另外，不使用日志而是在您的平台中构建评估机制会好得多]