本发明专利技术公开了一种基于多维度失陷账号的检测方法,该发明专利技术通过IPS/IDS/防火墙/防毒墙/等安全设备,得到账号安全事件信息;通过流量日志的分析,得到账号上下行流量信息;通过分析流量日志识别账号隐秘通讯信号;根据流量日志识别账号异常登录信息;根据流量日志识别账号数据泄露信息;根据流量日志得到账号在业务系统功能使用信息;根据流量日志,得到业务过程安全信息;根据所述的账号异常信息,利用机器学习,确定所述账号的风险分数值和失陷可能性。
A detection method based on multidimensional lost account
【技术实现步骤摘要】
一种基于多维度失陷账号的检测方法
本专利技术涉及一种互联网安全
,特别涉及一种基于多维度失陷账号的检测方法。
技术介绍
账号是数字时代的代表,当代社会,每个人在多种软件平台上拥有多个账号。有些不法分子盗取别人的账号,提取有价值的信息,造成社会及其个人的经济损失。所以,在账号状态和行为发生异常的时候能够及时检测出该账号异常,即为本专利技术提到的账号失陷。
技术实现思路
本专利技术公开了一种基于多维度失陷账号的检测方法,包括:通过IPS/IDS/防火墙/防毒墙/等安全设备,得到账号安全事件信息;通过流量日志的分析,得到账号上下行流量信息;通过分析流量日志识别账号隐秘通讯信号;根据流量日志识别账号异常登录信息;根据流量日志识别账号数据泄露信息;根据流量日志得到账号在业务系统功能使用信息;根据流量日志,得到业务过程安全信息;根据所述的账号异常信息,利用机器学习,确定所述账号的风险分数值和失陷可能性。实施流程:1、IPS/IDS/防火墙/防毒墙等安全设备通过对ip,端口的限制访问,tcp限制连接,模式匹配等技术,阻断非法访问并形成安全事件,生成账号安全事件告警;2、不法分子盗取个人账号后,泄露账号相关信息,该账号的上行流量会比下行流量高.通过对账号的上下行流量分析,能确定该账号的上下行流量异常信息;3、不法分子盗取个人账号时,会将盗取的个人账号和密码通过DNS隐蔽通信泄露出去,此时通过分析流量日志便可识别账号隐秘通讯信号;4、根据流量日志,分别从五个维度IP,时间,地点,设备和是否存在暴力破解识别账号异常登录信息,以此为账号失陷提供依据;5、根据流量日志识别账号数据泄露信息,以此为账号失陷提供依据;6、根据流量日志得到账号在业务系统功能使用信息;7、根据流量日志,获得业务过程安全信息;8、确定所述账号的风险分数值和失陷可能性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。图1是本专利技术提出的流程图;具体实施方式本方案具体实施流程如下:1、IPS/IDS/防火墙/防毒墙等安全设备通过对ip,端口的限制访问,tcp限制连接,模式匹配等技术,阻断非法访问并形成安全事件,生成账号安全事件告警;2、不法分子盗取个人账号后,泄露账号相关信息,该账号的上行流量会比下行流量高.通过对账号的上下行流量分析,能确定该账号的上下行流量异常信息。步骤如下:步骤一:利用机器学习构建该账号的上下行历史流量基线;步骤二:针对该账号的实时上下行流量,比对该账号的历史流量基线;步骤三:当该账号的实时上下行流量超出历史流量基线,便生成账号上下行流量异常告警。3、不法分子盗取个人账号时,会将盗取的个人账号和密码通过DNS隐蔽通信泄露出去,此时通过分析流量日志便可识别账号隐秘通讯信号;步骤一:DNS隐蔽通信将泄露的数据存储在Query.Name字段和Answer字段,可能导致DNS数据包长度增大,因此设定DNS报文阈值β,过滤出DNS报文总长度大于阈值β的数据流;隐蔽数据采用base64编码方式使分布更为随机,字符熵更大;为了避免嵌入域名过长的问题,heyoka采用二进制编码提高传输效率,导致域名中数字占比过大;因此过滤出Query.Name字段长度大于指定阈值α,Query.Name字段在正常域名白名单以外的数据流且TTL值大于指定阈值γ。步骤二:利用数据包总长度,Query.Name子域名个数,Query.Name子域名字符串长度,Query.Name域名二进制数据百分比,Query.Name域名字符熵,Sum(Answer.DataLength)应答记录长度,AnswerRRs+AuthorityRRs+AdditionalRRs全部资源记录数,(AnswerRRs,AuthorityRRs,AdditionalRRs)各段资源数,最大响应时间TTL和Query.Type,构建机器学习分类器。4、根据流量日志,分别从五个维度IP,时间,地点,设备和是否存在暴力破解识别账号异常登录信息,以此为账号失陷提供依据;①登录IP步骤一:统计该账号历史上使用的登录IP,以及该IP对应的登录次数。步骤二:当该账号在没登录过的IP上登录,便告警为该账号异常登陆。②登录时间步骤一:统计账号在规定时间段内历史登录次数,构建账号历史登陆次数基线;步骤二:当该账号登陆次数超过了历史登陆次数基线,便告警为该账号异常登陆。③登录地点步骤一:统计该账号历史上登录的城市,以及登录次数。步骤二:当该账号在没登录过的城市登录,便告警为该账号异常登陆。④登录设备步骤一:统计该账号历史上登录过的设备Mac地址;步骤二:当该账号在没登录过的设备上登录,便告警为该账号异常登陆。⑤暴力破解步骤一:解析HTTPS报文内容,从查询参数、表单数据或url信息中,使用部分匹配的方法,匹配“Login”、“Account”、“uid”、“password”等关键字,从而发现登录动作;步骤二:如果同一个账号在一个指定的时间窗口上,多次登录,且登录失败。则为账号异常登陆中的暴力破解告警。5、根据流量日志识别账号数据泄露信息,以此为账号失陷提供依据;不法分子使用账号对数据的使用情况,间接的反映了用户的权限范围或其工作涉及到的内容。以数据为中心,分析用户操作数据的权限和基线。步骤一:识别敏感数据①检测经常访问敏感文件的用户通过匹配用户的所有文件内容性信息,统计用户访问敏感文件的次数和敏感类型。②检测泄露敏感文件的用户通过解析EMAIL/HTTP/FTP等涉及到文件传输的协议,检测是否存在用户传输敏感文件的行为,若存在,即告警。(再细化后,可以做每个用户经常传输的敏感文件基线,当传输非基线敏感文件,即告警)③检测敏感文件的扭转通过解析EMAIL/HTTP/FTP等涉及到文件传输的协议,检测每一个敏感文件的传输过程,通过关系网络的方式,展示敏感文件在始发者、中间者、终结者之间的传输过程。步骤二:构建文件访问行为基线以用户为对象,计算出每个用户对于每种应用的数据行为基线。①分别采集某个用户使用的每种应用涉及到的文件②针对特定用户-特定应用涉及到的文件,进行内容性信息提取③对内容性信息进行分词④使用内置关键词库的LDA主题模型,进行内容分类(topic)和敏感词提取(关键词),这里得到两种结果:“用户-应用-敏感词(次权限)-标签(首权限)”、“标签(首权限)-敏感词(次权限)”。步骤三:检测用户本文档来自技高网...
【技术保护点】
1.一种基于多维度失陷账号的检测方法,该专利技术采用了基于多维度检测失陷账号的方案,从而实现了在账号状态和行为多维度的基础上有效检测账号失陷的目的。/n
【技术特征摘要】
1.一种基于多维度失陷账号的检测方法,该发明采用了基于多维度检测失陷账号的方案,从而实现了在账号状态和行为多维度的基础上有效检测账号失陷的目的。
2.根据权利要求1所述的一种基于多维度失陷账号的检测方法,其特征在于:采用多维度检...
【专利技术属性】
技术研发人员:杨育斌,陶彦百,柯宗贵,
申请(专利权)人:蓝盾信息安全技术股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。