如何分析帐号异常?看这里!

购物、支付、游戏、社交软件帐号被盗的新闻屡见不鲜,危害之大可想而知!

常用的网络帐号,主机帐号被盗可能会造成信息泄露,资金被转走,或者被作为跳板对重要资产进行一系列的攻击行为。这些损失由谁来负责,很多行业没有明确的认定和追查方法,因而最大的受害者往往是用户本身。

一个企业有很多员工,每个人有很多类型的帐号。由于全体人员帐号总体数目较多,部分帐号被盗后,当造成明显的损失时,很容易被发现,可以采取补救措施。 但没有造成明显的损失时,有可能很长时间都不会被发现,就会被攻击者长期利用,危害可能更大。

由于帐号权限的区别,很难简单判断多大范围的活动程度被认为有违规行为,由于业务的复杂性,也很难准确地判断帐号是处于正常状态还是异常状态。

以下,我们将利用统计规律和机器学习的原理,通过FEA 建立相应的数据模型,来分析帐号的异常情况。

一、对帐号的相关数据建模

先要对历史数据进行分析和学习,刻画和建立正常行为模型。

建模,一般采用时间序列和马尔柯夫过程等方法。分析帐号的访问频率,在线持续时间,常用的登录时间段,特定内容的访问数据量等因素,根据不同方面所具有的行为特征,建立正常行为模型。

正常模型建立好以后,可以分析检测用户实际活动与正常模型偏离度,是否在一定的阈值之内,对用户的行为进行决策推断,发现行为是否有异常。

1、访问频率的模型

根据历史登录数据,结合相关的因素,建立时间序列模型。

2、活跃程度模型

根据用户常用在线时间段,在线时长,活跃程度等建立模型。

 

3、敏感数据访问量模型

基于时间序列的敏感数据访问情况,如用户访问svn服务器,下载代码的情况,重要数据的修改上传情况等建立时间序列模型。

二、对帐号的特征进行画像

根据建立的正常模型以及对帐号的使用环境的一些基本要素的判别,来对帐号进行画像。根据各种审计日志,主机日志,数据流信息,分析出过去常用的ip,常用工具,地理位置等使用环境情况,从不同的角度对用户进行勾画,以确定其基本轮廓。

1、基本要素

帐号名称、常用ip、所在城市、常用浏览器、常用的软件客户端、登录频率、活跃程度、访问协议、常用访问时间段。

2、动态更新

随着时间的变化,用户环境的变化,可能用户的行为有很大变化,原有画像有可能失效,就需要分析修正模型,并更新画像,需要有合理的判别更新的机制,提高实际应用中的准确性。

三、基于帐号的关联分析

1、业务的前后关联

实际业务中,很多用户的操作习惯存在前后关联的情况,如先用ssh或远程桌面帐号登录服务器进行一些操作,生成文件,然后用ftp,sftp帐号下载文件。

业务系统的设计逻辑也会使不同帐号业务之间存在前后序列关系, 如用http帐号访问web网站,会触发网站通过一个帐号访问后台数据库,这种业务操作之间存在关联。通过Apriori等算法,分析帐号业务操作之间的关系。

2、同帐号异地多ip, 同ip多帐号的分析

通过大量数据分析,同一个ip有多个同类型的帐号登录,公用帐号使用,异地登陆等很容易发现问题。如,一个帐号先在北京登录,5分钟后在成都登录,密码泄露的可能性较大。

3、帐号群体划分

通过对帐号进行相似度计算和聚类分析,对帐号群体进行划分,划分成不同的帐号簇群。分析容易出现异常情况的簇群,更有利于综合得出个体与群体的关系,更好地分析是用户个体行为的变化还是用户群体行为的变化。

转载于:https://my.oschina.net/u/3115904/blog/967910

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值