如何分析賬號異常？看這裏！

購物、支付、遊戲、社交軟件賬號被盜的新聞家常便飯，危害之大可想而知!

經常使用的網絡賬號，主機賬號被盜可能會形成信息泄露，資金被轉走，或者被做爲跳板對重要資產進行一系列的攻擊行爲。這些損失由誰來負責，不少行業沒有明確的認定和追查方法，於是最大的受害者每每是用戶自己。

一個企業有不少員工，每一個人有不少類型的賬號。因爲全體人員賬號整體數目較多，部分賬號被盜後，當形成明顯的損失時，很容易被發現，能夠採起補救措施。 但沒有形成明顯的損失時，有可能很長時間都不會被發現，就會被攻擊者長期利用，危害可能更大。

因爲賬號權限的區別，很難簡單判斷多大範圍的活動程度被認爲有違規行爲，因爲業務的複雜性，也很難準確地判斷賬號是處於正常狀態仍是異常狀態。

如下，咱們將利用統計規律和機器學習的原理，經過FEA 創建相應的數據模型，來分析賬號的異常狀況。

1、對賬號的相關數據建模

先要對歷史數據進行分析和學習，刻畫和創建正常行爲模型。

建模，通常採用時間序列和馬爾柯夫過程等方法。分析賬號的訪問頻率，在線持續時間，經常使用的登陸時間段，特定內容的訪問數據量等因素，根據不一樣方面所具備的行爲特徵，創建正常行爲模型。

正常模型創建好之後，能夠分析檢測用戶實際活動與正常模型偏離度，是否在必定的閾值以內，對用戶的行爲進行決策推斷，發現行爲是否有異常。

一、訪問頻率的模型

根據歷史登陸數據，結合相關的因素，創建時間序列模型。

二、活躍程度模型

根據用戶經常使用在線時間段，在線時長，活躍程度等創建模型。

 

三、敏感數據訪問量模型

基於時間序列的敏感數據訪問狀況，如用戶訪問svn服務器，下載代碼的狀況，重要數據的修改上傳狀況等創建時間序列模型。

2、對賬號的特徵進行畫像

根據創建的正常模型以及對賬號的使用環境的一些基本要素的判別，來對賬號進行畫像。根據各類審計日誌，主機日誌，數據流信息，分析出過去經常使用的ip,經常使用工具，地理位置等使用環境狀況，從不一樣的角度對用戶進行勾畫，以肯定其基本輪廓。

一、基本要素

賬號名稱、經常使用ip、所在城市、經常使用瀏覽器、經常使用的軟件客戶端、登陸頻率、活躍程度、訪問協議、經常使用訪問時間段。

二、動態更新

隨着時間的變化，用戶環境的變化，可能用戶的行爲有很大變化，原有畫像有可能失效，就須要分析修正模型，並更新畫像，須要有合理的判別更新的機制，提升實際應用中的準確性。

3、基於賬號的關聯分析

一、業務的先後關聯

實際業務中，不少用戶的操做習慣存在先後關聯的狀況，如先用ssh或遠程桌面賬號登陸服務器進行一些操做，生成文件，而後用ftp,sftp賬號下載文件。

業務系統的設計邏輯也會使不一樣賬號業務之間存在先後序列關係， 如用http賬號訪問web網站，會觸發網站經過一個賬號訪問後臺數據庫，這種業務操做之間存在關聯。經過Apriori等算法，分析賬號業務操做之間的關係。

二、同賬號異地多ip， 同ip多賬號的分析

經過大量數據分析，同一個ip有多個同類型的賬號登陸，公用賬號使用，異地登錄等很容易發現問題。如，一個賬號先在北京登陸，5分鐘後在成都登陸，密碼泄露的可能性較大。

三、賬號羣體劃分

經過對賬號進行類似度計算和聚類分析，對賬號羣體進行劃分，劃分紅不一樣的賬號簇羣。分析容易出現異常狀況的簇羣，更有利於綜合得出個體與羣體的關係，更好地分析是用戶個體行爲的變化仍是用戶羣體行爲的變化。