基于最小二乘法的異常行為分析模型設(shè)計(jì)

本文針對異常訪問現(xiàn)狀及問題進(jìn)行簡要描述，在此基礎(chǔ)上提出基于一元線性回歸的最小二乘法異常訪問分析模型，通過該模型解決了異常訪問中時間與訪問間相關(guān)性問題。

異常訪問是指網(wǎng)絡(luò)行為偏離正常范圍的訪問情況。異常訪問包含多種場景，如Web訪問、數(shù)據(jù)庫訪問、操作系統(tǒng)訪問、終端交互等。

異常訪問一直是網(wǎng)絡(luò)信息安全中備受困擾的。困擾主要體現(xiàn)在以下幾個方面，通過某一個模型滿足所有場景，模型缺少明確使用條件致使結(jié)果不明確，模型計(jì)算量大計(jì)算耗時長等方面。

基于以上的現(xiàn)狀，本文僅針對系統(tǒng)登錄異常訪問進(jìn)行分析，通過對系統(tǒng)登錄事件與時間進(jìn)行回歸統(tǒng)計(jì)篩選出異常訪問時間段。

下圖為異常登錄事件檢測的時序圖：

異常登錄時序圖

異常登錄事件模型的活動圖流程如下：

1)用戶進(jìn)行登錄，輸入相應(yīng)的用戶名及口令。

2)系統(tǒng)進(jìn)行登錄驗(yàn)證，判斷是否為合法用戶登錄。

3)登錄成功或失敗均會將本次登錄行為記錄下來。

4)日志自動發(fā)送至分析系統(tǒng)。

5)分析系統(tǒng)對收到的日志進(jìn)行分析，分析采用最小二乘法。

6)如果發(fā)現(xiàn)異常登錄事件則觸發(fā)告警事件。

7)最后工作人員可收到告警提示，并查看到相應(yīng)的告警。

當(dāng)觸發(fā)告警后，工作人員需要在量化分析中進(jìn)行進(jìn)一步分系工作。通過日志的登錄事件能夠找到何人何時登錄哪個系統(tǒng)。詳細(xì)記錄下這些信息后方可以進(jìn)行后續(xù)的時間處置工作。

異常登錄模型是分析系統(tǒng)的一個重要分析模型。這個分析模型中采用最小二乘法對登錄事件進(jìn)行異常判斷。異常判斷包括成功登錄的異常判斷，以及未成功登錄的異常判斷兩類。

以下面的成功登錄事件為例進(jìn)行詳細(xì)說明：

登錄統(tǒng)計(jì)列表

上面的表格中描述的是以5分鐘為單位時間內(nèi)，系統(tǒng)登錄成功的事件統(tǒng)計(jì)。

此時我們無法看出哪個時間單位內(nèi)存在異常登錄的情況。

如下圖所示：

登陸次數(shù)散點(diǎn)圖

首先采用“最小二乘法”對其求解。

最小二乘法

求解出直線與散點(diǎn)圖疊加，如下所示：

登錄次數(shù)最小二乘法擬合圖

回歸模型

經(jīng)過逐一計(jì)算每個點(diǎn)的殘差如下：

登陸次數(shù)殘差結(jié)果表

通過上面的表格可以看到，序號為5、9、10的三個點(diǎn)殘差值偏離相對比較大。同時，根據(jù)經(jīng)驗(yàn)判斷，正常的登錄事件殘差值通常在-10～+10之間。而這3個點(diǎn)的殘差值偏離區(qū)間明顯。殘差值分別為“15.23967”,”-16.4549”，“15.098”。

針對此登錄事件我們采用的置信區(qū)間為-10～+10，置信區(qū)間可根據(jù)不同的場景進(jìn)行調(diào)整。

通過采用最小二乘法的方式進(jìn)行異常登錄事件查詢，能夠很好的解決傳統(tǒng)統(tǒng)計(jì)表格中難以發(fā)現(xiàn)的問題。傳統(tǒng)的方式都是采用TopN的方式對登錄成功、登錄失敗的事件進(jìn)行簡單羅列。但在眾多的登錄事件中，哪些是值得工作人員關(guān)注的卻難以得到體現(xiàn)。

最小二乘法的引用可以從眾多的登錄事件中分離出最為明顯的異常行為，通過系統(tǒng)的初篩能夠給工作人員提供可供量化分析能力。 工作人員通過量化分析模塊能夠?qū)ο鄳?yīng)的事件進(jìn)行分析工作。同時殘差值的可定義為靈活應(yīng)對分析需求提供便利條件。