Date post: | 14-Feb-2017 |
Category: |
Software |
Upload: | mailru-group |
View: | 5,522 times |
Download: | 1 times |
Детектирование взломов почтовых
аккаунтов
Mail.Ru Group Antispam Team
• Поиск ценной информации
• Рассылка спама
• Получение доступа к аккаунтам из списка контактов
• Мошенничество от лица владельца аккаунта
Для чего взламывают аккаунты?
Как взламывают аккаунты?• Брутфорс паролей
• Крадут базы паролей внешних сервисов
• Фишинг
• Вирусы и уязвимости
Как распознать взломщика?
Как описать поведение?• Действия пользователя на проекте
• Устройства
• Гео-признаки
• Переходы в смежные сервисы
• Печатный почерк
• Движения мышкой
Как описать поведение?• Действия пользователя на проекте
• Устройства
• Гео-признаки
• Переходы в смежные сервисы
• Печатный почерк
• Движения мышкой
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
Лог действий
1. check2. read3. send
Уникальные действия
1. check2. 3. 4. 5. 6. 7.
Возможные паттерны
Алгоритм построения профиля
Метод поиска ассоциативных правил
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
Лог действий
1. check2. read3. send
Уникальные действия
1. check2. read3. 4. 5. 6. 7.
Возможные паттерны
Алгоритм построения профиля
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
Лог действий
1. check2. read3. send
Уникальные действия
1. check2. read3. send 4. 5. 6. 7.
Возможные паттерны
Алгоритм построения профиля
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
Лог действий
1. check2. read3. send
Уникальные действия
1. check2. read3. send 4. check, read5. 6. 7.
Возможные паттерны
Алгоритм построения профиля
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
Лог действий
1. check2. read3. send
Уникальные действия
1. check2. read3. send 4. check, read5. check, send6. 7.
Возможные паттерны
Алгоритм построения профиля
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
Лог действий
1. check2. read3. send
Уникальные действия
1. check2. read3. send 4. check, read5. check, send6. read, send7.
Возможные паттерны
Алгоритм построения профиля
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
Лог действий
1. check2. read3. send
Уникальные действия
1. check2. read3. send4. check, read5. check, send6. read, send7. check, read, send
Возможные паттерны
Алгоритм построения профиля
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
Лог действий
1. check2. read3. send
Уникальные действия
1. check2. read3. send4. check, read5. check, send6. read, send7. check, read, send
Возможные паттерны
Алгоритм построения профиля
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
1. read, check, check2. 3. 4. 5. 6. 7. 8. 9. 10.
Лог действий Транзакции
Алгоритм построения профиля
Сэмплированиепо гамма-распределению
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
1. read, check, check2. send, send, check3. 4. 5. 6. 7. 8. 9. 10.
Лог действий
Сэмплированиепо гамма-распределению
Транзакции
Алгоритм построения профиля
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
1. read, check, check2. send, send, check3. send, check4. 5. 6. 7. 8. 9. 10.
Лог действий Транзакции
Алгоритм построения профиля
Сэмплированиепо гамма-распределению
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. 6. 7. 8. 9. 10.
Лог действий Транзакции
Алгоритм построения профиля
Сэмплированиепо гамма-распределению
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. 7. 8. 9. 10.
Лог действий Транзакции
Алгоритм построения профиля
Сэмплированиепо гамма-распределению
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. 8. 9. 10.
Лог действий Транзакции
Алгоритм построения профиля
Сэмплированиепо гамма-распределению
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. 9. 10.
Лог действий Транзакции
Алгоритм построения профиля
Сэмплированиепо гамма-распределению
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. read, check9. 10.
Лог действий Транзакции
Алгоритм построения профиля
Сэмплированиепо гамма-распределению
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. read, check9. send, check, check10.
Лог действий Транзакции
Алгоритм построения профиля
Сэмплированиепо гамма-распределению
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. read, check9. send, check, check10. send, send, check
Лог действий Транзакции
Алгоритм построения профиля
Сэмплированиепо гамма-распределению
1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check
1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. read, check9. send, check, check10. send, send, check
Лог действий Транзакции
Алгоритм построения профиля
Сэмплированиепо гамма-распределению
4. check, read
Пример паттерна
1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. read, check9. send, check, check10. send, send, check
Транзакции
4. check, read ~ 0.4
Алгоритм построения профиля
4. check, read
Пример паттерна
1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. read, check9. send, check, check10. send, send, check
Транзакции
4. check, read ~ 0.4
Алгоритм построения профиля
1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. read, check9. send, check, check10. send, send, check
Транзакции
1. check2. read3. send4. check, read5. check, send6. read, send7. check, read, send
Возможные паттерны
1. check ~ 0.92. read ~ 0.43. send ~ 0.74. check, read ~ 0.45. check, send ~ 0.76. read, send ~ 0.17. check, read, send ~ 0.1
Уровень опоры
Алгоритм построения профиля
1. check ~ 0.92. read ~ 0.43. send ~ 0.74. check, read ~ 0.45. check, send ~ 0.76. read, send ~ 0.17. check, read, send ~ 0.1
Уровень опоры
Алгоритм построения профиля
1. check ~ 0.92. send ~ 0.73. check, send ~ 0.7
Профиль
1. check ~ 0.92. read ~ 0.43. send ~ 0.74. check, read ~ 0.45. check, send ~ 0.76. read, send ~ 0.17. check, read, send ~ 0.1
Уровень опоры
Алгоритм построения профиля
1. check ~ 0.92. send ~ 0.73. check, send ~ 0.7
Профиль
1. check ~ 0.92. send ~ 0.73. check, send ~ 0.7
Профиль
search, search, send
Тестируемая транзакция
Сравнение действий с профилем
1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. read, check9. send, check, check10. send, send, check
Транзакции
1. 0.62. 0.123. 0.124. 0.285. 0.386. 0.67. 0.128. 0.69. 0.1210. 0.12
Suspicious Scores
Сравнение действий с профилем
1. check ~ 0.92. send ~ 0.73. check, send ~ 0.7
Профиль
search, search, send
Тестируемая транзакция
Сравнение действий с профилем
1. check ~ 0.92. send ~ 0.73. check, send ~ 0.7
Профиль
search, search, send
Тестируемая транзакция
Сравнение действий с профилем
Транзакция подозрительна, так как превышено пороговое значение 0.6.
Детектирование взлома
РеализацияProfileBuilder
ActionsAnalyzer
Actions Log Profile Storage
DBHDFS
“взломан”/“не взломан”
HDFStraining
prediction
Pig Latin + Python
Pig Latin + Python
Оценка fpr на бою
Результаты• Месячная активная аудитория: 77.1 млн. аккаунтов
• Корреляция количества блокировок с количеством взломов
• Количество блокировок в сутки: top secret
• FPR: 0.2%
• Инструмент для расследования взломов и спам-атак