业务系统异常行为检测.PDF

专家视角 业务系统异常行为检测 安全服务部 姚伟 针对近年流行的盗号扫号、灌水、恶意注册等业务安全威胁，本文提出基于用户行为 的一些异常检测方法。 一. 业务安全事件 息。经公安证实，犯罪嫌疑人蒋某某、施某 作行为与历史数据有很大偏差后，能够及时 某通过收集互联网某游戏网站及其他多个网 向网站运营人员提供告警。 011 年12 月21 日下午，某著名IT 社 2区后台数据库被恶意发布到互联网上， 站泄露的用户名加密码信息，尝试登录该网 下面是异常行为检测系统的一个典型应用： 站等其他网站进行“撞库”，非法获取用户 某交易平台在处理客户海外信用卡支付 包含642 万多个用户的帐号和明文密码信 息。截至12 月29 日，国家互联网应急中心 信息牟利。 申请时发现一笔交易可疑。客户使用信用卡 (CNCERT) 通过公开渠道获得疑似泄露的 上面这两个案例都与用户数据安全紧密 支付，IP 所在地是香港，而信用卡发卡地是 数据库有26 个，涉及帐号、密码2.78 亿条。 结合，区别是：第一个案例是由于网站自身 美国加州，此信用卡前一天刚在美国境内进 其中，具有与网站、论坛相关联信息的数据 存在安全漏洞，数据被直接批量获取；第二 行过网上支付。此次支付金额超过1000 美 库有12 个，涉及数据1.36 亿条；无法判断 个案例中的数据泄漏并非是网站自身漏洞导 元，而历史交易的平均金额都在100 美元左 网站、论坛关联性的数据库有14 个，涉及 致，但作为网站运营方，也应当在攻击过程 右。此交易被系统判定是异常交易从而触发 数据1.42 亿条。 中尽早发现异常，及时阻断恶意行为。 了告警，中断了交易，客服随即通过电话联 系持卡人，最后确认是一起信用卡被盗事件。 2014 年12 月25 日，某网站大量用户 要实现上述恶意行为的检测，需要构建 数据在互联网上售卖传播，包含13 万余条 一个用户异常行为检测系统，对用户的历史 二. 业务安全威胁 账号密码、手机、身份证号、邮箱等私密信 行为进行分析和学习，当系统识别到某次操 常见的业务层面安全威胁有以下几种： 13 专家视角 盗号洗号：在经济利益驱使下，恶意用 用自动化程序，进行大量投票，这些行为会 分析平台会记录并分析用户的IP、手机 户使用木马等手段盗取帐号后，使用程序或 严重违反投票结果的公平性。 号、电子邮箱等信息，当系统检测到多个用 者手工的方式，批量对盗取的帐号和密码的 户使用相同的手机号等信息时，则增加异常 三. 异常检测原理 有效性进行检测，然后将账户内的资金转移。 行为的判定分数。 1. 设备指纹 扫号撞库：恶意用户在盗取了某网站的 5. 用户画像 客户端生成一个唯一的ID，此ID 与客 帐号密码信息后，使用这些数据再尝试登录 分析平台会记录用户访问时的键盘敲击 户端硬件绑定，用户访问时和其他业务数据 其他网站，因为很多用户在各大网站设置的 频率、鼠标移动速度，点击位置偏好等信息， 一起提交给服务端，服务端保存有客户端 密码都相同，所以此方法可获得大量有效