購物、支付、遊戲、社交軟體帳號被盜的新聞屢見不鮮,危害之大可想而知!
常用的網路帳號,主機帳號被盜可能會造成資訊洩露,資金被轉走,或者被作為跳板對重要資產進行一系列的攻擊行為。這些損失由誰來負責,很多行業沒有明確的認定和追查方法,因而最大的受害者往往是使用者本身。
乙個企業有很多員工,每個人有很多態別的帳號。由於全體人員帳號總體數目較多,部分帳號被盜後,當造成明顯的損失時,很容易被發現,可以採取補救措施。 但沒有造成明顯的損失時,有可能很長時間都不會被發現,就會被攻擊者長期利用,危害可能更大。
由於帳號許可權的區別,很難簡單判斷多大範圍的活動程度被認為有違規行為,由於業務的複雜性,也很難準確地判斷帳號是處於正常狀態還是異常狀態。
以下,我們將利用統計規律和機器學習的原理,通過fea(有限元分析) 建立相應的資料模型,來分析帳號的異常情況。
一、對帳號的相關資料建模
先要對歷史資料進行分析和學習,刻畫和建立正常行為模型。
正常模型建立好以後,可以分析檢測使用者實際活動與正常模型偏離度,是否在一定的閾值之內,對使用者的行為進行決策推斷,發現行為是否有異常。
1、訪問頻率的模型
根據歷史登入資料,結合相關的因素,建立時間序列模型。
2、活躍程度模型
3、敏感資料訪問量模型
二、對帳號的特徵進行畫像
根據建立的正常模型以及對帳號的使用環境的一些基本要素的判別,來對帳號進行畫像。根據各種審計日誌,主機日誌,資料流資訊,分析出過去常用的ip,常用工具,地理位置等使用環境情況,從不同的角度對使用者進行勾畫,以確定其基本輪廓。
1、基本要素
帳號名稱、常用ip、所在城市、常用瀏覽器、常用的軟體客戶端、登入頻率、活躍程度、訪問協議、常用訪問時間段。
2、動態更新
隨著時間的變化,使用者環境的變化,可能使用者的行為有很大變化,原有畫像有可能失效,就需要分析修正模型,並更新畫像,需要有合理的判別更新的機制,提高實際應用中的準確性。
三、基於帳號的關聯分析
1、業務的前後關聯
業務系統的設計邏輯也會使不同帳號業務之間存在前後序列關係, 如用http帳號訪問web**,會觸發**通過乙個帳號訪問後台資料庫,這種業務操作之間存在關聯。通過apriori等演算法,分析帳號業務操作之間的關係。
2、同帳號異地多ip, 同ip多帳號的分析
通過大量資料分析,同乙個ip有多個同型別的帳號登入,公用帳號使用,異地登陸等很容易發現問題。如,乙個帳號先在北京登入,5分鐘後在成都登入,密碼洩露的可能性較大。
3、帳號群體劃分
通過對帳號進行相似度計算和聚類分析,對帳號群體進行劃分,劃分成不同的帳號簇群。分析容易出現異常情況的簇群,更有利於綜合得出個體與群體的關係,更好地分析是使用者個體行為的變化還是使用者群體行為的變化。
建立使用者賬號
建立使用者賬號 使用者賬號是被服務共享的,即james的服務通常共享同乙個使用者儲存空間。也就是說,一旦你已經建立了乙個pop3的郵件賬號並設定了密碼,那麼該賬號也可以通過 tp和nntp的認證。準備工作 在james中,使用者賬號是通過遠端管理建立的。因此,在完成安裝之後,新增使用者所要完成的第一...
使用者賬號配置
安裝oracle之後建立資料庫時預設的dba有 sys 和 system 兩個賬號,為了使用oracle,使用者可能需要為自己的資料建立乙個模式。建立自己的模式是很重要的,因為使用者應避免使用oracle提供的system等系統賬號,建立乙個屬於自己的模式從某種意義上來講,也就是建立乙個使用者賬戶。...
使用者賬號組
linux基於使用者身份對資源訪問進行控制 使用者帳號 超級使用者 root 普通使用者 程式使用者 組帳號 基本組 是私有組,必須有 附加組 是共有組,不必需有 uid和gid uid user ldentity,使用者標識號 gid group identify,組標識號 etc passwd ...