异常行为分析模型设计
本文针对异常访问现状及问题进行简要描述,在此基础上提出基于一元线性回归的最小二乘法异常访问分析模型,通过该模型解决了异常访问中时间与访问间相关性问题。
异常访问是指网络行为偏离正常范围的访问情况。异常访问包含多种场景,如Web访问、数据库访问、操作系统访问、终端交互等。
异常访问一直是网络信息安全中备受困扰的。困扰主要体现在以下几个方面,通过某一个模型满足所有场景,模型缺少明确使用条件致使结果不明确,模型计算量大计算耗时长等方面。
基于以上的现状,本文仅针对系统登录异常访问进行分析,通过对系统登录事件与时间进行回归统计筛选出异常访问时间段。
下图为异常登录事件检测的时序图:
![](http://blog.nsfocus.net/wp-content/uploads/2016/04/%E5%BC%82%E5%B8%B8%E7%99%BB%E5%BD%95%E6%97%B6%E5%BA%8F%E5%9B%BE.jpg)
异常登录时序图
异常登录事件模型的活动图流程如下:
1)用户进行登录,输入相应的用户名及口令。
2)系统进行登录验证,判断是否为合法用户登录。
3)登录成功或失败均会将本次登录行为记录下来。
4)日志自动发送至分析系统。
5)分析系统对收到的日志进行分析,分析采用最小二乘法。
6)如果发现异常登录事件则触发告警事件。
7)最后工作人员可收到告警提示,并查看到相应的告警。
当触发告警后,工作人员需要在量化分析中进行进一步分系工作。通过日志的登录事件能够找到何人何时登录哪个系统。详细记录下这些信息后方可以进行后续的时间处置工作。
异常登录模型是分析系统的一个重要分析模型。这个分析模型中采用最小二乘法对登录事件进行异常判断。异常判断包括成功登录的异常判断,以及未成功登录的异常判断两类。
以下面的成功登录事件为例进行详细说明:
![](http://blog.nsfocus.net/wp-content/uploads/2016/04/%E7%99%BB%E5%BD%95%E7%BB%9F%E8%AE%A1%E5%88%97%E8%A1%A8.jpg)
登录统计列表
上面的表格中描述的是以5分钟为单位时间内,系统登录成功的事件统计。
此时我们无法看出哪个时间单位内存在异常登录的情况。
如下图所示:
![](http://blog.nsfocus.net/wp-content/uploads/2016/04/%E7%99%BB%E9%99%86%E6%AC%A1%E6%95%B0%E6%95%A3%E7%82%B9%E5%9B%BE.jpg)
登陆次数散点图
首先采用“最小二乘法”对其求解。
![](http://blog.nsfocus.net/wp-content/uploads/2016/04/%E6%9C%80%E5%B0%8F%E4%BA%8C%E4%B9%98%E6%B3%95.jpg)
最小二乘法
求解出直线与散点图叠加,如下所示:
![](http://blog.nsfocus.net/wp-content/uploads/2016/04/%E7%99%BB%E5%BD%95%E6%AC%A1%E6%95%B0%E6%9C%80%E5%B0%8F%E4%BA%8C%E4%B9%98%E6%B3%95%E6%8B%9F%E5%90%88%E5%9B%BE.jpg)
登录次数最小二乘法拟合图
![](http://blog.nsfocus.net/wp-content/uploads/2016/04/%E5%9B%9E%E5%BD%92%E6%A8%A1%E5%9E%8B.jpg)
回归模型
经过逐一计算每个点的残差如下:
![](http://blog.nsfocus.net/wp-content/uploads/2016/04/%E7%99%BB%E9%99%86%E6%AC%A1%E6%95%B0%E6%AE%8B%E5%B7%AE%E7%BB%93%E6%9E%9C%E8%A1%A8.jpg)
登陆次数残差结果表
通过上面的表格可以看到,序号为5、9、10的三个点残差值偏离相对比较大。同时,根据经验判断,正常的登录事件残差值通常在-10~+10之间。而这3个点的残差值偏离区间明显。残差值分别为“15.23967”,”-16.4549”,“15.098”。
针对此登录事件我们采用的置信区间为-10~+10,置信区间可根据不同的场景进行调整。
通过采用最小二乘法的方式进行异常登录事件查询,能够很好的解决传统统计表格中难以发现的问题。传统的方式都是采用TopN的方式对登录成功、登录失败的事件进行简单罗列。但在众多的登录事件中,哪些是值得工作人员关注的却难以得到体现。
最小二乘法的引用可以从众多的登录事件中分离出最为明显的异常行为,通过系统的初筛能够给工作人员提供可供量化分析能力。 工作人员通过量化分析模块能够对相应的事件进行分析工作。同时残差值的可定义为灵活应对分析需求提供便利条件
异常行为分析模型设计相关推荐
- C++ 异常机制分析
C++ 异常机制分析 参考文章: (1)C++ 异常机制分析 (2)https://www.cnblogs.com/QG-whz/p/5136883.html 备忘一下.
- 二月技术通讯.pdf丨核心数据库一波三折异常重启分析
每月关注:55 页 干货,汇总一个月数据库行业热点事件.新的产品特性,包括重要数据库产品发布.警报.更新.新版本.补丁等. 亲爱的读者朋友: 为了及时共享行业案例,通知共性问题,达成共享和提前预防,以 ...
- XXX数据仓库分析模型设计文档
XXX 分析模型说明 目 录 1 共享数据表结构描述 3 2 XXXXXXXXX 4 2.1 XXXXXXXX 4 2.1.1 总体设计 4 2.1.2 具体分析模型设计 4 2.1.3 相应数据仓库 ...
- php js 报错信息,JavaScript中错误异常的分析(附示例)
本篇文章给大家带来的内容是关于JavaScript中错误异常的分析(附示例),有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助. 我的建议是不要隐藏错误,勇敢地抛出来.没有人会因为代码出现 ...
- 基于UEBA的用户上网异常行为分析
1. 引言 1.1 项目介绍 ✅ 随着企业信息化水平的不断提升,数据作为一种资产成为越来越多企业的共识,企业在产业与服务.营销支持.业务运营.风险管控.信息纰漏等生产.经营.管理活动中涉及到大量的商业 ...
- CCF的基于UEBA的用户上网异常行为分析baseline(线上0.9263)
基于UEBA的用户上网异常行为分析 比赛地址链接:https://www.datafountain.cn/competitions/520 数据: 代码: import pandas as pd im ...
- 2021 CCF基于UEBA的用户上网异常行为分析baseline线上0.90
2021CCF BDCI 今年CCF又来了,每年都有大佬选手夺冠,也有黑马新人突出重围,对于新人来说一份baseline是很好的起点,可以更快入门数据竞赛.(大佬请忽略!!!) 基于UEBA的用户上网 ...
- Java遍历List和Map出现ConcurrentModificationException异常原因分析及解决方法
Java遍历 List 和 Map 出现 ConcurrentModificationException 异常原因分析及解决方法 一.单线程 异常情况举例 只要抛出出现异常,可以肯定的是代码一定有错误 ...
- linux vip切换后不通,keepalived主备节点都配置vipvip切换异常案例分析
keepalived主备节点都配置vipvip切换异常案例分析 keepalived主备节点都配置vip,vip切换异常案例分析 故障现象:主机名director-Adirector-B IP192. ...
最新文章
- 如何让SELECT 查询结果额外增加自动递增序号
- 前端开发知识总结思维导图
- InnoDB与MyISAM对比
- 关于MonoBehaviour的单例通用规则
- 如何判断微信内置浏览器(JS PHP)
- Python实现Kubernetes Operator
- Eclipse 取消import自动补全具体的类名
- 【二分答案】【Heap-Dijkstra】bzoj2709 [Violet 1]迷宫花园
- ubuntu下caffe的FCN8模型训练
- matlab作图函数的总结与分析.pdf,Matlab作图函数的总结与分析_黄琼湘
- 阿里巴巴上市路演ppt 官方完整版
- L1W3 用1层隐藏层的神经网络分类二维数据
- ad9854matlab仿真,AD9854 | 直接数字频率合成器 | 亚德诺(ADI)半导体
- MATLAB 3db波束宽度提取,秒换算毫秒(3db波束宽度估算公式)
- 做B端产品经理好还是做C端产品经理好?
- MQTT下载安装和简单使用
- word论文排版插件_推荐一款强大的Word插件,一键搞定上万字论文的排版问题
- 超简单MySql的DATEDIFF函数计算某个时间距离当前时间多少天。
- Java MVC 架构初学者指南
- 流程DEMO-付款申请单