購物、支付、遊戲、社交軟件帳號被盜的新聞屢見不鮮,危害之大可想而知!
常用的網絡帳號,主機帳號被盜可能會造成信息泄露,資金被轉走,或者被作爲跳板對重要資產進行一系列的攻擊行爲。這些損失由誰來負責,很多行業沒有明確的認定和追查方法,因而最大的受害者往往是用戶本身。
一個企業有很多員工,每個人有很多類型的帳號。由於全體人員帳號總體數目較多,部分帳號被盜後,當造成明顯的損失時,很容易被發現,可以採取補救措施。 但沒有造成明顯的損失時,有可能很長時間都不會被發現,就會被攻擊者長期利用,危害可能更大。
由於帳號權限的區別,很難簡單判斷多大範圍的活動程度被認爲有違規行爲,由於業務的複雜性,也很難準確地判斷帳號是處於正常狀態還是異常狀態。
以下,我們將利用統計規律和機器學習的原理,通過FEA 建立相應的數據模型,來分析帳號的異常情況。
一、對帳號的相關數據建模
先要對歷史數據進行分析和學習,刻畫和建立正常行爲模型。
建模,一般採用時間序列和馬爾柯夫過程等方法。分析帳號的訪問頻率,在線持續時間,常用的登錄時間段,特定內容的訪問數據量等因素,根據不同方面所具有的行爲特徵,建立正常行爲模型。
正常模型建立好以後,可以分析檢測用戶實際活動與正常模型偏離度,是否在一定的閾值之內,對用戶的行爲進行決策推斷,發現行爲是否有異常。
1、訪問頻率的模型
根據歷史登錄數據,結合相關的因素,建立時間序列模型。
2、活躍程度模型
根據用戶常用在線時間段,在線時長,活躍程度等建立模型。
3、敏感數據訪問量模型
基於時間序列的敏感數據訪問情況,如用戶訪問svn服務器,下載代碼的情況,重要數據的修改上傳情況等建立時間序列模型。
二、對帳號的特徵進行畫像
根據建立的正常模型以及對帳號的使用環境的一些基本要素的判別,來對帳號進行畫像。根據各種審計日誌,主機日誌,數據流信息,分析出過去常用的ip,常用工具,地理位置等使用環境情況,從不同的角度對用戶進行勾畫,以確定其基本輪廓。
1、基本要素
帳號名稱、常用ip、所在城市、常用瀏覽器、常用的軟件客戶端、登錄頻率、活躍程度、訪問協議、常用訪問時間段。
2、動態更新
隨着時間的變化,用戶環境的變化,可能用戶的行爲有很大變化,原有畫像有可能失效,就需要分析修正模型,並更新畫像,需要有合理的判別更新的機制,提高實際應用中的準確性。
三、基於帳號的關聯分析
1、業務的前後關聯
實際業務中,很多用戶的操作習慣存在前後關聯的情況,如先用ssh或遠程桌面帳號登錄服務器進行一些操作,生成文件,然後用ftp,sftp帳號下載文件。
業務系統的設計邏輯也會使不同帳號業務之間存在前後序列關係, 如用http帳號訪問web網站,會觸發網站通過一個帳號訪問後臺數據庫,這種業務操作之間存在關聯。通過Apriori等算法,分析帳號業務操作之間的關係。
2、同帳號異地多ip, 同ip多帳號的分析
通過大量數據分析,同一個ip有多個同類型的帳號登錄,公用帳號使用,異地登陸等很容易發現問題。如,一個帳號先在北京登錄,5分鐘後在成都登錄,密碼泄露的可能性較大。
3、帳號羣體劃分
通過對帳號進行相似度計算和聚類分析,對帳號羣體進行劃分,劃分成不同的帳號簇羣。分析容易出現異常情況的簇羣,更有利於綜合得出個體與羣體的關係,更好地分析是用戶個體行爲的變化還是用戶羣體行爲的變化。