购物、支付、游戏、社交软件帐号被盗的新闻屡见不鲜,危害之大可想而知!
常用的网络帐号,主机帐号被盗可能会造成信息泄露,资金被转走,或者被作为跳板对重要资产进行一系列的攻击行为。这些损失由谁来负责,很多行业没有明确的认定和追查方法,因而最大的受害者往往是用户本身。
一个企业有很多员工,每个人有很多类型的帐号。由于全体人员帐号总体数目较多,部分帐号被盗后,当造成明显的损失时,很容易被发现,可以采取补救措施。 但没有造成明显的损失时,有可能很长时间都不会被发现,就会被攻击者长期利用,危害可能更大。
由于帐号权限的区别,很难简单判断多大范围的活动程度被认为有违规行为,由于业务的复杂性,也很难准确地判断帐号是处于正常状态还是异常状态。
以下,我们将利用统计规律和机器学习的原理,通过FEA 建立相应的数据模型,来分析帐号的异常情况。
一、对帐号的相关数据建模
先要对历史数据进行分析和学习,刻画和建立正常行为模型。
建模,一般采用时间序列和马尔柯夫过程等方法。分析帐号的访问频率,在线持续时间,常用的登录时间段,特定内容的访问数据量等因素,根据不同方面所具有的行为特征,建立正常行为模型。
正常模型建立好以后,可以分析检测用户实际活动与正常模型偏离度,是否在一定的阈值之内,对用户的行为进行决策推断,发现行为是否有异常。
1、访问频率的模型
根据历史登录数据,结合相关的因素,建立时间序列模型。
2、活跃程度模型
根据用户常用在线时间段,在线时长,活跃程度等建立模型。
3、敏感数据访问量模型
基于时间序列的敏感数据访问情况,如用户访问svn服务器,下载代码的情况,重要数据的修改上传情况等建立时间序列模型。
二、对帐号的特征进行画像
根据建立的正常模型以及对帐号的使用环境的一些基本要素的判别,来对帐号进行画像。根据各种审计日志,主机日志,数据流信息,分析出过去常用的ip,常用工具,地理位置等使用环境情况,从不同的角度对用户进行勾画,以确定其基本轮廓。
1、基本要素
帐号名称、常用ip、所在城市、常用浏览器、常用的软件客户端、登录频率、活跃程度、访问协议、常用访问时间段。
2、动态更新
随着时间的变化,用户环境的变化,可能用户的行为有很大变化,原有画像有可能失效,就需要分析修正模型,并更新画像,需要有合理的判别更新的机制,提高实际应用中的准确性。
三、基于帐号的关联分析
1、业务的前后关联
实际业务中,很多用户的操作习惯存在前后关联的情况,如先用ssh或远程桌面帐号登录服务器进行一些操作,生成文件,然后用ftp,sftp帐号下载文件。
业务系统的设计逻辑也会使不同帐号业务之间存在前后序列关系, 如用http帐号访问web网站,会触发网站通过一个帐号访问后台数据库,这种业务操作之间存在关联。通过Apriori等算法,分析帐号业务操作之间的关系。
2、同帐号异地多ip, 同ip多帐号的分析
通过大量数据分析,同一个ip有多个同类型的帐号登录,公用帐号使用,异地登陆等很容易发现问题。如,一个帐号先在北京登录,5分钟后在成都登录,密码泄露的可能性较大。
3、帐号群体划分
通过对帐号进行相似度计算和聚类分析,对帐号群体进行划分,划分成不同的帐号簇群。分析容易出现异常情况的簇群,更有利于综合得出个体与群体的关系,更好地分析是用户个体行为的变化还是用户群体行为的变化。