
基于最小二乘法的异常行为分析模型设计
本文针对异常访问现状及问题进行简要描述,在此基础上提出基于一元线性回归的最小二乘法异常访问分析模型,通过该模型解决了异常访问中时间与访问间相关性问题。
异常访问是指网络行为偏离正常范围的访问情况。异常访问包含多种场景,如Web访问、数据库访问、操作系统访问、终端交互等。
异常访问一直是网络信息安全中备受困扰的。困扰主要体现在以下几个方面,通过某一个模型满足所有场景,模型缺少明确使用条件致使结果不明确,模型计算量大计算耗时长等方面。
基于以上的现状,本文仅针对系统登录异常访问进行分析,通过对系统登录事件与时间进行回归统计筛选出异常访问时间段。
下图为异常登录事件检测的时序图:
异常登录时序图
异常登录事件模型的活动图流程如下:
1)用户进行登录,输入相应的用户名及口令。
2)系统进行登录验证,判断是否为合法用户登录。
3)登录成功或失败均会将本次登录行为记录下来。
4)日志自动发送至分析系统。
5)分析系统对收到的日志进行分析,分析采用最小二乘法。
6)如果发现异常登录事件则触发告警事件。
7)最后工作人员可收到告警提示,并查看到相应的告警。
当触发告警后,工作人员需要在量化分析中进行进一步分系工作。通过日志的登录事件能够找到何人何时登录哪个系统。详细记录下这些信息后方可以进行后续的时间处置工作。
异常登录模型是分析系统的一个重要分析模型。这个分析模型中采用最小二乘法对登录事件进行异常判断。异常判断包括成功登录的异常判断,以及未成功登录的异常判断两类。
以下面的成功登录事件为例进行详细说明:
登录统计列表
上面的表格中描述的是以5分钟为单位时间内,系统登录成功的事件统计。
此时我们无法看出哪个时间单位内存在异常登录的情况。
如下图所示:
登陆次数散点图
首先采用“最小二乘法”对其求解。
最小二乘法
求解出直线与散点图叠加,如下所示:
登录次数最小二乘法拟合图
回归模型
经过逐一计算每个点的残差如下:
登陆次数残差结果表
通过上面的表格可以看到,序号为5、9、10的三个点残差值偏离相对比较大。同时,根据经验判断,正常的登录事件残差值通常在-10~+10之间。而这3个点的残差值偏离区间明显。残差值分别为“15.23967”,”-16.4549”,“15.098”。
针对此登录事件我们采用的置信区间为-10~+10,置信区间可根据不同的场景进行调整。
通过采用最小二乘法的方式进行异常登录事件查询,能够很好的解决传统统计表格中难以发现的问题。传统的方式都是采用TopN的方式对登录成功、登录失败的事件进行简单罗列。但在众多的登录事件中,哪些是值得工作人员关注的却难以得到体现。
最小二乘法的引用可以从众多的登录事件中分离出最为明显的异常行为,通过系统的初筛能够给工作人员提供可供量化分析能力。 工作人员通过量化分析模块能够对相应的事件进行分析工作。同时残差值的可定义为灵活应对分析需求提供便利条件。
数据分析咨询请扫描二维码
若不方便扫码,搜微信号:CDAshujufenxi
在 “神经网络与卡尔曼滤波融合” 的理论基础上,Python 凭借其丰富的科学计算库(NumPy、FilterPy)、深度学习框架(PyTorch、T ...
2025-10-23在工业控制、自动驾驶、机器人导航、气象预测等领域,“状态估计” 是核心任务 —— 即从含噪声的观测数据中,精准推断系统的真 ...
2025-10-23在数据分析全流程中,“数据清洗” 恰似烹饪前的食材处理:若食材(数据)腐烂变质、混杂异物(脏数据),即便拥有精湛的烹饪技 ...
2025-10-23在人工智能领域,“大模型” 已成为近年来的热点标签:从参数超 1750 亿的 GPT-3,到万亿级参数的 PaLM,再到多模态大模型 GPT-4 ...
2025-10-22在 MySQL 数据库的日常运维与开发中,“更新数据是否会影响读数据” 是一个高频疑问。这个问题的答案并非简单的 “是” 或 “否 ...
2025-10-22在企业数据分析中,“数据孤岛” 是制约分析深度的核心瓶颈 —— 用户数据散落在注册系统、APP 日志、客服记录中,订单数据分散 ...
2025-10-22在神经网络设计中,“隐藏层个数” 是决定模型能力的关键参数 —— 太少会导致 “欠拟合”(模型无法捕捉复杂数据规律,如用单隐 ...
2025-10-21在特征工程流程中,“单变量筛选” 是承上启下的关键步骤 —— 它通过分析单个特征与目标变量的关联强度,剔除无意义、冗余的特 ...
2025-10-21在数据分析全流程中,“数据读取” 常被误解为 “简单的文件打开”—— 双击 Excel、执行基础 SQL 查询即可完成。但对 CDA(Cert ...
2025-10-21在实际业务数据分析中,我们遇到的大多数数据并非理想的正态分布 —— 电商平台的用户消费金额(少数用户单次消费上万元,多数集 ...
2025-10-20在数字化交互中,用户的每一次操作 —— 从电商平台的 “浏览商品→加入购物车→查看评价→放弃下单”,到内容 APP 的 “点击短 ...
2025-10-20在数据分析的全流程中,“数据采集” 是最基础也最关键的环节 —— 如同烹饪前需备好新鲜食材,若采集的数据不完整、不准确或不 ...
2025-10-20在数据成为新时代“石油”的今天,几乎每个职场人都在焦虑: “为什么别人能用数据驱动决策、升职加薪,而我面对Excel表格却无从 ...
2025-10-18数据清洗是 “数据价值挖掘的前置关卡”—— 其核心目标是 “去除噪声、修正错误、规范格式”,但前提是不破坏数据的真实业务含 ...
2025-10-17在数据汇总分析中,透视表凭借灵活的字段重组能力成为核心工具,但原始透视表仅能呈现数值结果,缺乏对数据背景、异常原因或业务 ...
2025-10-17在企业管理中,“凭经验定策略” 的传统模式正逐渐失效 —— 金融机构靠 “研究员主观判断” 选股可能错失收益,电商靠 “运营拍 ...
2025-10-17在数据库日常操作中,INSERT INTO SELECT是实现 “批量数据迁移” 的核心 SQL 语句 —— 它能直接将一个表(或查询结果集)的数 ...
2025-10-16在机器学习建模中,“参数” 是决定模型效果的关键变量 —— 无论是线性回归的系数、随机森林的树深度,还是神经网络的权重,这 ...
2025-10-16在数字化浪潮中,“数据” 已从 “辅助决策的工具” 升级为 “驱动业务的核心资产”—— 电商平台靠用户行为数据优化推荐算法, ...
2025-10-16在大模型从实验室走向生产环境的过程中,“稳定性” 是决定其能否实用的关键 —— 一个在单轮测试中表现优异的模型,若在高并发 ...
2025-10-15