用户账号异常分析

看了一篇文章,感觉全篇都是干货 学习ing  转载自https://baijiahao.baidu.com/s?id=1570344881808397&wfr=spider&for=pc

购物、支付、游戏、社交软件帐号被盗的新闻屡见不鲜,危害之大可想而知!

常用的网络帐号,主机帐号被盗可能会造成信息泄露,资金被转走,或者被作为跳板对重要资产进行一系列的攻击行为。这些损失由谁来负责,很多行业没有明确的认定和追查方法,因而最大的受害者往往是用户本身。

一个企业有很多员工,每个人有很多类型的帐号。由于全体人员帐号总体数目较多,部分帐号被盗后,当造成明显的损失时,很容易被发现,可以采取补救措施。 但没有造成明显的损失时,有可能很长时间都不会被发现,就会被攻击者长期利用,危害可能更大。

由于帐号权限的区别,很难简单判断多大范围的活动程度被认为有违规行为,由于业务的复杂性,也很难准确地判断帐号是处于正常状态还是异常状态。

以下,我们将利用统计规律和机器学习的原理,通过FEA(有限元分析) 建立相应的数据模型,来分析帐号的异常情况。

一、对帐号的相关数据建模

先要对历史数据进行分析和学习,刻画和建立正常行为模型。

建模,一般采用时间序列和马尔柯夫过程等方法。分析帐号的访问频率在线持续时间常用的登录时间段特定内容的访问数据量等因素,根据不同方面所具有的行为特征,建立正常行为模型

正常模型建立好以后,可以分析检测用户实际活动与正常模型偏离度,是否在一定的阈值之内,对用户的行为进行决策推断,发现行为是否有异常。

1、访问频率的模型

根据历史登录数据,结合相关的因素,建立时间序列模型。

2、活跃程度模型

根据用户常用在线时间段,在线时长,活跃程度等建立模型。

3、敏感数据访问量模型

基于时间序列的敏感数据访问情况,如用户访问svn服务器,下载代码的情况,重要数据的修改上传情况等建立时间序列模型。

二、对帐号的特征进行画像

根据建立的正常模型以及对帐号的使用环境的一些基本要素的判别,来对帐号进行画像。根据各种审计日志,主机日志,数据流信息,分析出过去常用的ip,常用工具,地理位置等使用环境情况,从不同的角度对用户进行勾画,以确定其基本轮廓。

1、基本要素

帐号名称、常用ip、所在城市、常用浏览器、常用的软件客户端、登录频率、活跃程度、访问协议、常用访问时间段。

2、动态更新

随着时间的变化,用户环境的变化,可能用户的行为有很大变化,原有画像有可能失效,就需要分析修正模型,并更新画像,需要有合理的判别更新的机制,提高实际应用中的准确性。

三、基于帐号的关联分析

1、业务的前后关联

实际业务中,很多用户的操作习惯存在前后关联的情况,如先用ssh或远程桌面帐号登录服务器进行一些操作,生成文件,然后用ftp,sftp帐号下载文件。

业务系统的设计逻辑也会使不同帐号业务之间存在前后序列关系, 如用http帐号访问web网站,会触发网站通过一个帐号访问后台数据库,这种业务操作之间存在关联。通过Apriori等算法,分析帐号业务操作之间的关系。

2、同帐号异地多ip, 同ip多帐号的分析

通过大量数据分析,同一个ip有多个同类型的帐号登录,公用帐号使用,异地登陆等很容易发现问题。如,一个帐号先在北京登录,5分钟后在成都登录,密码泄露的可能性较大。

3、帐号群体划分

通过对帐号进行相似度计算和聚类分析,对帐号群体进行划分,划分成不同的帐号簇群。分析容易出现异常情况的簇群,更有利于综合得出个体与群体的关系,更好地分析是用户个体行为的变化还是用户群体行为的变化。

阅读更多

异常分析

04-24

HTTP Status 500 - rnrn--------------------------------------------------------------------------------rnrntype Exception reportrnrnmessage rnrndescription The server encountered an internal error () that prevented it from fulfilling this request.rnrnexception rnrnjava.lang.reflect.InvocationTargetExceptionrn sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)rn sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)rn sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)rn java.lang.reflect.Method.invoke(Unknown Source)rn com.opensymphony.xwork2.DefaultActionInvocation.invokeAction(DefaultActionInvocation.java:450)rn com.opensymphony.xwork2.DefaultActionInvocation.invokeActionOnly(DefaultActionInvocation.java:289)rn com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:252)rn org.apache.struts2.interceptor.debugging.DebuggingInterceptor.intercept(DebuggingInterceptor.java:256)rn com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:246)rn com.opensymphony.xwork2.interceptor.DefaultWorkflowInterceptor.doIntercept(DefaultWorkflowInterceptor.java:176)rn com.opensymphony.xwork2.interceptor.MethodFilterInterceptor.intercept(MethodFilterInterceptor.java:98)rn com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:246)rn com.opensymphony.xwork2.validator.ValidationInterceptor.doIntercept(ValidationInterceptor.java:265)rn org.apache.struts2.interceptor.validation.AnnotationValidationInterceptor.doIntercept(AnnotationValidationInterceptor.java:rnrn

异常分析..?

03-27

java.lang.ClassCastException:weblogic.transaction.internal.ServerTransactionImplrnrnat weblogic.iiop.IIOPOutputStream.writeObject(IIOPOutputStream.java:2253)rn at weblogic.utils.io.ObjectStreamClass.writeFields(ObjectStreamClass.java:413)rn at weblogic.corba.utils.ValueHandlerImpl.writeValueData(ValueHandlerImpl.java:235)rn at weblogic.corba.utils.ValueHandlerImpl.writeValueData(ValueHandlerImpl.java:225)rn at weblogic.corba.utils.ValueHandlerImpl.writeValue(ValueHandlerImpl.java:182)rn at weblogic.iiop.IIOPOutputStream.write_value(IIOPOutputStream.java:1957)rn at weblogic.iiop.IIOPOutputStream.write_value(IIOPOutputStream.java:1992)rn at weblogic.iiop.IIOPOutputStream.writeObject(IIOPOutputStream.java:2253)rn at weblogic.jdbc.common.internal.RmiDataSource_WLSkel.invoke(Unknown Source)rn at weblogic.rmi.internal.BasicServerRef.invoke(BasicServerRef.java:589)rn at weblogic.rmi.cluster.ClusterableServerRef.invoke(ClusterableServerRef.java:224)rn at weblogic.rmi.internal.BasicServerRef$1.run(BasicServerRef.java:479)rn at weblogic.security.acl.internal.AuthenticatedSubject.doAs(AuthenticatedSubject.java:363)rn at weblogic.security.service.SecurityManager.runAs(Unknown Source)rn at weblogic.rmi.internal.BasicServerRef.handleRequest(BasicServerRef.java:475)rn at weblogic.rmi.internal.BasicServerRef.access$300(BasicServerRef.java:59)rn at weblogic.rmi.internal.BasicServerRef$BasicExecuteRequest.run(BasicServerRef.java:1016)rn at weblogic.work.ExecuteThread.execute(ExecuteThread.java:200)rn at weblogic.work.ExecuteThread.run(ExecuteThread.java:172)rnrn我在做JTA时,出现这个异常信息,请问是怎么回事?rn急需答案!rn

没有更多推荐了,返回首页