使用者賬號異常分析

購物、支付、遊戲、社交軟體帳號被盜的新聞屢見不鮮，危害之大可想而知!

常用的網路帳號，主機帳號被盜可能會造成資訊洩露，資金被轉走，或者被作為跳板對重要資產進行一系列的攻擊行為。這些損失由誰來負責，很多行業沒有明確的認定和追查方法，因而最大的受害者往往是使用者本身。

乙個企業有很多員工，每個人有很多態別的帳號。由於全體人員帳號總體數目較多，部分帳號被盜後，當造成明顯的損失時，很容易被發現，可以採取補救措施。但沒有造成明顯的損失時，有可能很長時間都不會被發現，就會被攻擊者長期利用，危害可能更大。

由於帳號許可權的區別，很難簡單判斷多大範圍的活動程度被認為有違規行為，由於業務的複雜性，也很難準確地判斷帳號是處於正常狀態還是異常狀態。

以下，我們將利用統計規律和機器學習的原理，通過fea（有限元分析）建立相應的資料模型，來分析帳號的異常情況。

一、對帳號的相關資料建模

先要對歷史資料進行分析和學習，刻畫和建立正常行為模型。

正常模型建立好以後，可以分析檢測使用者實際活動與正常模型偏離度，是否在一定的閾值之內，對使用者的行為進行決策推斷，發現行為是否有異常。

1、訪問頻率的模型

根據歷史登入資料，結合相關的因素，建立時間序列模型。

2、活躍程度模型

3、敏感資料訪問量模型

二、對帳號的特徵進行畫像

根據建立的正常模型以及對帳號的使用環境的一些基本要素的判別，來對帳號進行畫像。根據各種審計日誌，主機日誌，資料流資訊，分析出過去常用的ip,常用工具，地理位置等使用環境情況，從不同的角度對使用者進行勾畫，以確定其基本輪廓。

1、基本要素

帳號名稱、常用ip、所在城市、常用瀏覽器、常用的軟體客戶端、登入頻率、活躍程度、訪問協議、常用訪問時間段。

2、動態更新

隨著時間的變化，使用者環境的變化，可能使用者的行為有很大變化，原有畫像有可能失效，就需要分析修正模型，並更新畫像，需要有合理的判別更新的機制，提高實際應用中的準確性。

三、基於帳號的關聯分析

1、業務的前後關聯

業務系統的設計邏輯也會使不同帳號業務之間存在前後序列關係，如用http帳號訪問web**，會觸發**通過乙個帳號訪問後台資料庫，這種業務操作之間存在關聯。通過apriori等演算法，分析帳號業務操作之間的關係。

2、同帳號異地多ip，同ip多帳號的分析

通過大量資料分析，同乙個ip有多個同型別的帳號登入，公用帳號使用，異地登陸等很容易發現問題。如，乙個帳號先在北京登入，5分鐘後在成都登入，密碼洩露的可能性較大。

3、帳號群體劃分

通過對帳號進行相似度計算和聚類分析，對帳號群體進行劃分，劃分成不同的帳號簇群。分析容易出現異常情況的簇群，更有利於綜合得出個體與群體的關係，更好地分析是使用者個體行為的變化還是使用者群體行為的變化。