[发明专利]一种基于多维度失陷账号的检测方法

说明书

本发明公开了一种基于多维度失陷账号的检测方法，该发明通过IPS/IDS/防火墙/防毒墙/等安全设备，得到账号安全事件信息；通过流量日志的分析，得到账号上下行流量信息；通过分析流量日志识别账号隐秘通讯信号；根据流量日志识别账号异常登录信息；根据流量日志识别账号数据泄露信息；根据流量日志得到账号在业务系统功能使用信息；根据流量日志，得到业务过程安全信息；根据所述的账号异常信息，利用机器学习，确定所述账号的风险分数值和失陷可能性。

技术领域

本发明涉及一种互联网安全技术领域，特别涉及一种基于多维度失陷账号的检测方法。

背景技术

账号是数字时代的代表，当代社会，每个人在多种软件平台上拥有多个账号。有些不法分子盗取别人的账号，提取有价值的信息，造成社会及其个人的经济损失。所以，在账号状态和行为发生异常的时候能够及时检测出该账号异常，即为本发明提到的账号失陷。

发明内容

本发明公开了一种基于多维度失陷账号的检测方法，包括：通过IPS/IDS/防火墙/防毒墙/等安全设备，得到账号安全事件信息；通过流量日志的分析，得到账号上下行流量信息；通过分析流量日志识别账号隐秘通讯信号；根据流量日志识别账号异常登录信息；根据流量日志识别账号数据泄露信息；根据流量日志得到账号在业务系统功能使用信息；根据流量日志，得到业务过程安全信息；根据所述的账号异常信息，利用机器学习，确定所述账号的风险分数值和失陷可能性。

实施流程：

1、IPS/IDS/防火墙/防毒墙等安全设备通过对ip，端口的限制访问，tcp限制连接，模式匹配等技术，阻断非法访问并形成安全事件，生成账号安全事件告警；

2、不法分子盗取个人账号后，泄露账号相关信息，该账号的上行流量会比下行流量高.通过对账号的上下行流量分析，能确定该账号的上下行流量异常信息；

3、不法分子盗取个人账号时，会将盗取的个人账号和密码通过DNS隐蔽通信泄露出去，此时通过分析流量日志便可识别账号隐秘通讯信号；

4、根据流量日志，分别从五个维度IP，时间，地点，设备和是否存在暴力破解识别账号异常登录信息，以此为账号失陷提供依据；

5、根据流量日志识别账号数据泄露信息，以此为账号失陷提供依据；

6、根据流量日志得到账号在业务系统功能使用信息；

7、根据流量日志，获得业务过程安全信息；

8、确定所述账号的风险分数值和失陷可能性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1是本发明提出的流程图；

具体实施方式

本方案具体实施流程如下：

1、IPS/IDS/防火墙/防毒墙等安全设备通过对ip，端口的限制访问，tcp限制连接，模式匹配等技术，阻断非法访问并形成安全事件，生成账号安全事件告警；

2、不法分子盗取个人账号后，泄露账号相关信息，该账号的上行流量会比下行流量高.通过对账号的上下行流量分析，能确定该账号的上下行流量异常信息。步骤如下：

步骤一：利用机器学习构建该账号的上下行历史流量基线；

步骤二：针对该账号的实时上下行流量，比对该账号的历史流量基线；

步骤三：当该账号的实时上下行流量超出历史流量基线，便生成账号上下行流量异常告警。