基于最小二乘法的異常行為分析模型設計

本文針對異常訪問現狀及問題進行簡要描述，在此基礎上提出基于一元線性回歸的最小二乘法異常訪問分析模型，通過該模型解決了異常訪問中時間與訪問間相關性問題。

異常訪問是指網絡行為偏離正常范圍的訪問情況。異常訪問包含多種場景，如Web訪問、數據庫訪問、操作系統訪問、終端交互等。

異常訪問一直是網絡信息安全中備受困擾的。困擾主要體現在以下幾個方面，通過某一個模型滿足所有場景，模型缺少明確使用條件致使結果不明確，模型計算量大計算耗時長等方面。

基于以上的現狀，本文僅針對系統登錄異常訪問進行分析，通過對系統登錄事件與時間進行回歸統計篩選出異常訪問時間段。

下圖為異常登錄事件檢測的時序圖：

異常登錄時序圖

異常登錄事件模型的活動圖流程如下：

1)用戶進行登錄，輸入相應的用戶名及口令。

2)系統進行登錄驗證，判斷是否為合法用戶登錄。

3)登錄成功或失敗均會將本次登錄行為記錄下來。

4)日志自動發送至分析系統。

5)分析系統對收到的日志進行分析，分析采用最小二乘法。

6)如果發現異常登錄事件則觸發告警事件。

7)最后工作人員可收到告警提示，并查看到相應的告警。

當觸發告警后，工作人員需要在量化分析中進行進一步分系工作。通過日志的登錄事件能夠找到何人何時登錄哪個系統。詳細記錄下這些信息后方可以進行后續的時間處置工作。

異常登錄模型是分析系統的一個重要分析模型。這個分析模型中采用最小二乘法對登錄事件進行異常判斷。異常判斷包括成功登錄的異常判斷，以及未成功登錄的異常判斷兩類。

以下面的成功登錄事件為例進行詳細說明：

登錄統計列表

上面的表格中描述的是以5分鐘為單位時間內，系統登錄成功的事件統計。

此時我們無法看出哪個時間單位內存在異常登錄的情況。

如下圖所示：

登陸次數散點圖

首先采用“最小二乘法”對其求解。

最小二乘法

求解出直線與散點圖疊加，如下所示：

登錄次數最小二乘法擬合圖

回歸模型

經過逐一計算每個點的殘差如下：

登陸次數殘差結果表

通過上面的表格可以看到，序號為5、9、10的三個點殘差值偏離相對比較大。同時，根據經驗判斷，正常的登錄事件殘差值通常在-10～+10之間。而這3個點的殘差值偏離區間明顯。殘差值分別為“15.23967”,”-16.4549”，“15.098”。

針對此登錄事件我們采用的置信區間為-10～+10，置信區間可根據不同的場景進行調整。

通過采用最小二乘法的方式進行異常登錄事件查詢，能夠很好的解決傳統統計表格中難以發現的問題。傳統的方式都是采用TopN的方式對登錄成功、登錄失敗的事件進行簡單羅列。但在眾多的登錄事件中，哪些是值得工作人員關注的卻難以得到體現。

最小二乘法的引用可以從眾多的登錄事件中分離出最為明顯的異常行為，通過系統的初篩能夠給工作人員提供可供量化分析能力。 工作人員通過量化分析模塊能夠對相應的事件進行分析工作。同時殘差值的可定義為靈活應對分析需求提供便利條件。