如何分析帐号异常？看这里！

购物、支付、游戏、社交软件帐号被盗的新闻屡见不鲜，危害之大可想而知!

常用的网络帐号，主机帐号被盗可能会造成信息泄露，资金被转走，或者被作为跳板对重要资产进行一系列的攻击行为。这些损失由谁来负责，很多行业没有明确的认定和追查方法，因而最大的受害者往往是用户本身。

一个企业有很多员工，每个人有很多类型的帐号。由于全体人员帐号总体数目较多，部分帐号被盗后，当造成明显的损失时，很容易被发现，可以采取补救措施。 但没有造成明显的损失时，有可能很长时间都不会被发现，就会被攻击者长期利用，危害可能更大。

由于帐号权限的区别，很难简单判断多大范围的活动程度被认为有违规行为，由于业务的复杂性，也很难准确地判断帐号是处于正常状态还是异常状态。

以下，我们将利用统计规律和机器学习的原理，通过FEA 建立相应的数据模型，来分析帐号的异常情况。

一、对帐号的相关数据建模

先要对历史数据进行分析和学习，刻画和建立正常行为模型。

建模，一般采用时间序列和马尔柯夫过程等方法。分析帐号的访问频率，在线持续时间，常用的登录时间段，特定内容的访问数据量等因素，根据不同方面所具有的行为特征，建立正常行为模型。

正常模型建立好以后，可以分析检测用户实际活动与正常模型偏离度，是否在一定的阈值之内，对用户的行为进行决策推断，发现行为是否有异常。

1、访问频率的模型

根据历史登录数据，结合相关的因素，建立时间序列模型。

2、活跃程度模型

根据用户常用在线时间段，在线时长，活跃程度等建立模型。

 

3、敏感数据访问量模型

基于时间序列的敏感数据访问情况，如用户访问svn服务器，下载代码的情况，重要数据的修改上传情况等建立时间序列模型。

二、对帐号的特征进行画像

根据建立的正常模型以及对帐号的使用环境的一些基本要素的判别，来对帐号进行画像。根据各种审计日志，主机日志，数据流信息，分析出过去常用的ip,常用工具，地理位置等使用环境情况，从不同的角度对用户进行勾画，以确定其基本轮廓。

1、基本要素

帐号名称、常用ip、所在城市、常用浏览器、常用的软件客户端、登录频率、活跃程度、访问协议、常用访问时间段。

2、动态更新

随着时间的变化，用户环境的变化，可能用户的行为有很大变化，原有画像有可能失效，就需要分析修正模型，并更新画像，需要有合理的判别更新的机制，提高实际应用中的准确性。

三、基于帐号的关联分析

1、业务的前后关联

实际业务中，很多用户的操作习惯存在前后关联的情况，如先用ssh或远程桌面帐号登录服务器进行一些操作，生成文件，然后用ftp,sftp帐号下载文件。

业务系统的设计逻辑也会使不同帐号业务之间存在前后序列关系， 如用http帐号访问web网站，会触发网站通过一个帐号访问后台数据库，这种业务操作之间存在关联。通过Apriori等算法，分析帐号业务操作之间的关系。

2、同帐号异地多ip， 同ip多帐号的分析

通过大量数据分析，同一个ip有多个同类型的帐号登录，公用帐号使用，异地登陆等很容易发现问题。如，一个帐号先在北京登录，5分钟后在成都登录，密码泄露的可能性较大。

3、帐号群体划分

通过对帐号进行相似度计算和聚类分析，对帐号群体进行划分，划分成不同的帐号簇群。分析容易出现异常情况的簇群，更有利于综合得出个体与群体的关系，更好地分析是用户个体行为的变化还是用户群体行为的变化。