[发明专利]一种基于多维度失陷账号的检测方法

权利要求书

1.一种基于多维度失陷账号的检测方法，采用了基于多维度检测失陷账号的方案，从而实现了在账号状态和行为多维度的基础上有效检测账号失陷的目的，包括以下步骤：

步骤1、IPS/IDS/防火墙/防毒墙安全设备通过对ip，端口的限制访问，tcp限制连接，模式匹配技术，阻断非法访问并形成安全事件，生成账号安全事件告警；

步骤2、不法分子盗取个人账号后，泄露账号相关信息，该账号的上行流量会比下行流量高.通过对账号的上下行流量分析，能确定该账号的上下行流量异常信息；其包括以下步骤：步骤一：利用机器学习构建该账号的上下行历史流量基线；步骤二：针对该账号的实时上下行流量，比对该账号的历史流量基线；步骤三：当该账号的实时上下行流量超出历史流量基线，便生成账号上下行流量异常告警；

步骤3、不法分子盗取个人账号时，会将盗取的个人账号和密码通过DNS隐蔽通信泄露出去，此时通过分析流量日志便可识别账号隐秘通讯信号；其包括以下步骤：步骤一：DNS隐蔽通信将泄露的数据存储在Query.Name字段和Answer字段，可能导致DNS数据包长度增大，因此设定DNS报文阈值β，过滤出DNS报文总长度大于阈值β的数据流；隐蔽数据采用base64编码方式使分布更为随机，字符熵更大；为了避免嵌入域名过长的问题，heyoka采用二进制编码提高传输效率，导致域名中数字占比过大；因此过滤出Query.Name字段长度大于指定阈值α，Query.Name字段在正常域名白名单以外的数据流且TTL值大于指定阈值γ；步骤二：利用数据包总长度，Query.Name子域名个数，Query.Name子域名字符串长度，Query.Name域名二进制数据百分比，Query.Name域名字符熵，Sum(Answer.DataLength)应答记录长度，AnswerRRs+AuthorityRRs+AdditionalRRs全部资源记录数，(Answer RRs,AuthorityRRs,AdditionalRRs)各段资源数，最大响应时间TTL和Query.Type，构建机器学习分类器；

步骤4、根据流量日志，分别从五个维度IP，时间，地点，设备和是否存在暴力破解识别账号异常登录信息，以此为账号失陷提供依据；

①登录IP包括：步骤一：统计该账号历史上使用的登录IP，以及该IP对应的登录次数；步骤二：当该账号在没登录过的IP上登录，便告警为该账号异常登陆；

②登录时间包括：步骤一：统计账号在规定时间段内历史登录次数，构建账号历史登陆次数基线；步骤二：当该账号登陆次数超过了历史登陆次数基线，便告警为该账号异常登陆；

③登录地点包括：步骤一：统计该账号历史上登录的城市，以及登录次数；步骤二：当该账号在没登录过的城市登录，便告警为该账号异常登陆；

④登录设备包括：步骤一：统计该账号历史上登录过的设备Mac地址；步骤二：当该账号在没登录过的设备上登录，便告警为该账号异常登陆；

⑤暴力破解包括：步骤一：解析HTTPS报文内容，从查询参数、表单数据或url信息中，使用部分匹配的方法，匹配“Login”、“Account”、“uid”、“password”关键字，从而发现登录动作；步骤二：如果同一个账号在一个指定的时间窗口上，多次登录，且登录失败；则为账号异常登陆中的暴力破解告警；

步骤5、根据流量日志识别账号数据泄露信息，以此为账号失陷提供依据；

不法分子使用账号对数据的使用情况，间接的反映了用户的权限范围或其工作涉及到的内容；以数据为中心，分析用户操作数据的权限和基线；包括：

步骤一：识别敏感数据；

①检测经常访问敏感文件的用户；

通过匹配用户的所有文件内容性信息，统计用户访问敏感文件的次数和敏感类型；

②检测泄露敏感文件的用户；

通过解析EMAIL/HTTP/FTP涉及到文件传输的协议，检测是否存在用户传输敏感文件的行为，若存在，即告警；

③检测敏感文件的扭转；

通过解析EMAIL/HTTP/FTP涉及到文件传输的协议，检测每一个敏感文件的传输过程，通过关系网络的方式，展示敏感文件在始发者、中间者、终结者之间的传输过程；

步骤二：构建文件访问行为基线；

以用户为对象，计算出每个用户对于每种应用的数据行为基线；

①分别采集某个用户使用的每种应用涉及到的文件；

②针对特定用户-特定应用涉及到的文件，进行内容性信息提取；

③对内容性信息进行分词；

④使用内置关键词库的LDA主题模型，进行内容分类(topic)和敏感词提取(关键词)，这里得到两种结果：“用户-应用-敏感词(次权限)-标签(首权限)”、“标签(首权限)-敏感词(次权限)”；

步骤三：检测用户访问；

①获取用户在该应用行操作的文件；

②进行内容性信息提取；

③对内容性信息分词；

④分词结果与“标签(首权限)-敏感词(次权限)”表进行匹配，找出文件属于每一类标签的概率；

⑤根据文件的类标签列表，与该用户的标签列表进行匹配，确定与该有用户的标签列表重合程度；如重合程度低，则告警；即用户访问了不合规的文件；

步骤6、根据流量日志得到账号在业务系统功能使用信息；

从业务系统功能的参数合规性和权限合规性来评判业务系统功能的使用异常情况：

参数合规性：

针对该账号在业务系统的每一个业务功能，建立每个IP的行为基线；

检测步骤：

步骤一：将get/post当成同一种处理方式，提取查询/表单参数的keyvalue对；对于get型即url问号后面的查询参数，对于post型即查询参数和表单数据；

步骤二：对每一种字段名，进行统计，统计value的长度范围、value类型；用以检测每个IP的特定业务功能传输的参数是否合规、合法；

权限合规性：

针对每一个用户而言，描述其使用业务的哪些功能、或拥有业务的哪些权限，构建业务功能基线；鉴于针对单个账号判断其权限存在一定的误差范围，故根据所使用的应用功能，对账号进行群体划分，同一群体中所有账号使用的业务功能当作群体中每一位成员的行为基线；

检测步骤：

步骤一：使用HTTP协议数据，拆分IP和URL，找出用户、应用、动作；

步骤二：计算用户行为UV矩阵；

步骤三：根据UV矩阵使用聚类方法，找出行为相似的用户群；

步骤四：统计同一组内所有成账号的业务功能种类、发生次数；

步骤五：将上述步骤的统计结果，作为该组账号的行为基线；

步骤7、根据流量日志，获得业务过程安全信息；

针对业务系统的每一个业务功能，建立业务功能基线；用以检测业务功能的某些特定请求是否合规、合法，检测对象有参数类型、PV、是否存在多IP窃取数据的情况；

①将get/post当成同一种处理方式，对于get型即取url问号后面的查询参数，对于post型即取查询参数和表单数据，构建提取查询/表单参数的keyvalue对基线，当违背了历史键值对基线，则进行告警；

②对每一种字段名，进行统计，统计value的长度范围、value类型，以此作为基线；用以业务功能传输的参数是否合规、合法，当业务功能传输的参数违背所构建的基线，则告警；

③统计每一种业务功能在指定时间窗口的访问的IP个数和每个IP的访问量；设置阈值α，当业务访问IP数超过α，即可告警；设置阈值β，当每个IP的访问量超过β，则告警；

步骤8、确定所述账号的风险分数值和失陷可能性；

将上述7种行为的异常情况，通过威胁分数值叠加的方式，进行账号总体风险分数评价；

结合账号失陷模型报出来的失陷结果和客户手动确认的失陷结果，我们将这些带特征和标签的样本数据，通过机器学习的方式，反馈式地训练账号失陷每个模型的得分权重；

从账号失陷的每个样本结果，获取到以下7大特征：

①是否发生安全事件；

②是否发生上下行流量异常；

③是否发生隐蔽信道；

④是否发生异常登录；

⑤是否发生数据泄露事件；

⑥是否发生异常业务功能；

⑦是否发生异常业务过程参数请求；

当某个特征发生了即为1，否则为0，当客户手动修改了账号失陷的结果时，即修改了结果值，那么采用客户的确认结果；上述每种行为的发生都能够作为其中一个风险分数值，通过威胁分数值叠加的方式，进行账号总体风险分数评价。