为什么账号异常 账号异常相关安全分析场景

网络设备、安全设备、操作系统、中间件、应用系统都具有账号，只要有账号就会涉及到异常账号（状态）与账号异常（行为）的安全监控与分析。从风险类型来说，账号异常涉及到内部违规、暴力破解、账号失陷以及程序错误等类型，在安全日常监控与态势感知中都起到非常大的作用。

账号异常与UEBA有很大的关系，UEBA也是围绕着用户（账号）与行为（操作）进行分析，不同的是UEBA除了会用到关联分析方法外，还可能会用到机器学习算法，或者将二者进行有机的结合。本文主要是针对与账号异常相关的关联分析场景进行总结。

▼▼场景一：绕过堡垒机违规登陆服务器行为检测 ▼▼场景二：服务器发生安全攻击事件后创建新账号 ▼▼场景三：设备/系统/应用遭受暴力破解攻击分析

针对账号登陆失败事件分析场景，除了需要特别关注安全设备，还需要特别关注暴露在互联网上的设备、系统与应用，暴露在互联网上的安全设备尤其要特别关注。

当然发生多次账号登陆失败事件，也不见得一定就是暴力破解攻击，也可能是管理员人为输错了口令而已。这时候需要综合安全设备告警，以及账号登陆失败事件的源地址和目的地址，来进行综合判断。

还有一个情况需要注意，如果账号登陆失败事件发生的特别有规律，比如每个一个小时，每次都是整点，每次事件次数相同，则有可能是由于程序配置错误引起，需要由运维人员进行排查。

每个账号异常安全分析场景，都可以从同一源地址、同一目的地址、同一账号来分别建立分析规则，还可以更近一步细化出外网地址、内网地址。

并且账号异常各事件之间还可以再进行关联，这样就可以扩展出非常多的分析场景来。下面就以账号登陆失败事件为基础，列举部分典型的分析场景。

▼▼通用账号异常关联分析拓展场景 ▼▼FTP账号异常关联分析拓展场景

▼▼账号状态异常关联分析拓展场景

总结：由于网络设备、安全设备、操作系统、中间件以及应用系统的日志，在安全分析的数据源中都属于高置信数据，因此账号异常相关安全分析场景效果都非常好。并且相关的安全分析场景还可以进一步深度挖掘，这样可以发现很多安全设备告警看不到的风险。

扩展 • 本文相关链接

•威胁情报相关的安全分析场景

•攻击链在大数据安全分析中的应用

•复杂事件处理（CEP）引擎简介

•复杂事件处理（CEP）简介

•关联分析简介