Детектирование взломов почтовых

аккаунтов

Mail.Ru Group Antispam Team

• Поиск ценной информации

• Рассылка спама

• Получение доступа к аккаунтам из списка контактов

• Мошенничество от лица владельца аккаунта

Для чего взламывают аккаунты?

Как взламывают аккаунты?• Брутфорс паролей

• Крадут базы паролей внешних сервисов

• Фишинг

• Вирусы и уязвимости

Как распознать взломщика?

Как описать поведение?• Действия пользователя на проекте

• Устройства

• Гео-признаки

• Переходы в смежные сервисы

• Печатный почерк

• Движения мышкой

Как описать поведение?• Действия пользователя на проекте

• Устройства

• Гео-признаки

• Переходы в смежные сервисы

• Печатный почерк

• Движения мышкой

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

Лог действий

1. check2. read3. send

Уникальные действия

1. check2. 3. 4. 5. 6. 7.

Возможные паттерны

Алгоритм построения профиля

Метод поиска ассоциативных правил

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

Лог действий

1. check2. read3. send

Уникальные действия

1. check2. read3. 4. 5. 6. 7.

Возможные паттерны

Алгоритм построения профиля

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

Лог действий

1. check2. read3. send

Уникальные действия

1. check2. read3. send 4. 5. 6. 7.

Возможные паттерны

Алгоритм построения профиля

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

Лог действий

1. check2. read3. send

Уникальные действия

1. check2. read3. send 4. check, read5. 6. 7.

Возможные паттерны

Алгоритм построения профиля

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

Лог действий

1. check2. read3. send

Уникальные действия

1. check2. read3. send 4. check, read5. check, send6. 7.

Возможные паттерны

Алгоритм построения профиля

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

Лог действий

1. check2. read3. send

Уникальные действия

1. check2. read3. send 4. check, read5. check, send6. read, send7.

Возможные паттерны

Алгоритм построения профиля

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

Лог действий

1. check2. read3. send

Уникальные действия

1. check2. read3. send4. check, read5. check, send6. read, send7. check, read, send

Возможные паттерны

Алгоритм построения профиля

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

Лог действий

1. check2. read3. send

Уникальные действия

1. check2. read3. send4. check, read5. check, send6. read, send7. check, read, send

Возможные паттерны

Алгоритм построения профиля

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

1. read, check, check2. 3. 4. 5. 6. 7. 8. 9. 10.

Лог действий Транзакции

Алгоритм построения профиля

Сэмплированиепо гамма-распределению

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

1. read, check, check2. send, send, check3. 4. 5. 6. 7. 8. 9. 10.

Лог действий

Сэмплированиепо гамма-распределению

Транзакции

Алгоритм построения профиля

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

1. read, check, check2. send, send, check3. send, check4. 5. 6. 7. 8. 9. 10.

Лог действий Транзакции

Алгоритм построения профиля

Сэмплированиепо гамма-распределению

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. 6. 7. 8. 9. 10.

Лог действий Транзакции

Алгоритм построения профиля

Сэмплированиепо гамма-распределению

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. 7. 8. 9. 10.

Лог действий Транзакции

Алгоритм построения профиля

Сэмплированиепо гамма-распределению

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. 8. 9. 10.

Лог действий Транзакции

Алгоритм построения профиля

Сэмплированиепо гамма-распределению

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. 9. 10.

Лог действий Транзакции

Алгоритм построения профиля

Сэмплированиепо гамма-распределению

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. read, check9. 10.

Лог действий Транзакции

Алгоритм построения профиля

Сэмплированиепо гамма-распределению

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. read, check9. send, check, check10.

Лог действий Транзакции

Алгоритм построения профиля

Сэмплированиепо гамма-распределению

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. read, check9. send, check, check10. send, send, check

Лог действий Транзакции

Алгоритм построения профиля

Сэмплированиепо гамма-распределению

1. check2. read3. read4. check5. check6. send7. send8. send9. check10. check

1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. read, check9. send, check, check10. send, send, check

Лог действий Транзакции

Алгоритм построения профиля

Сэмплированиепо гамма-распределению

4. check, read

Пример паттерна

1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. read, check9. send, check, check10. send, send, check

Транзакции

4. check, read ~ 0.4

Алгоритм построения профиля

4. check, read

Пример паттерна

1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. read, check9. send, check, check10. send, send, check

Транзакции

4. check, read ~ 0.4

Алгоритм построения профиля

1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. read, check9. send, check, check10. send, send, check

Транзакции

1. check2. read3. send4. check, read5. check, send6. read, send7. check, read, send

Возможные паттерны

1. check ~ 0.92. read ~ 0.43. send ~ 0.74. check, read ~ 0.45. check, send ~ 0.76. read, send ~ 0.17. check, read, send ~ 0.1

Уровень опоры

Алгоритм построения профиля

1. check ~ 0.92. read ~ 0.43. send ~ 0.74. check, read ~ 0.45. check, send ~ 0.76. read, send ~ 0.17. check, read, send ~ 0.1

Уровень опоры

Алгоритм построения профиля

1. check ~ 0.92. send ~ 0.73. check, send ~ 0.7

Профиль

1. check ~ 0.92. read ~ 0.43. send ~ 0.74. check, read ~ 0.45. check, send ~ 0.76. read, send ~ 0.17. check, read, send ~ 0.1

Уровень опоры

Алгоритм построения профиля

1. check ~ 0.92. send ~ 0.73. check, send ~ 0.7

Профиль

1. check ~ 0.92. send ~ 0.73. check, send ~ 0.7

Профиль

search, search, send

Тестируемая транзакция

Сравнение действий с профилем

1. read, check, check2. send, send, check3. send, check4. read, check, check, send5. send, send6. check, read, read7. check, send, send, send8. read, check9. send, check, check10. send, send, check

Транзакции

1. 0.62. 0.123. 0.124. 0.285. 0.386. 0.67. 0.128. 0.69. 0.1210. 0.12

Suspicious Scores

Сравнение действий с профилем

1. check ~ 0.92. send ~ 0.73. check, send ~ 0.7

Профиль

search, search, send

Тестируемая транзакция

Сравнение действий с профилем

1. check ~ 0.92. send ~ 0.73. check, send ~ 0.7

Профиль

search, search, send

Тестируемая транзакция

Сравнение действий с профилем

Транзакция подозрительна, так как превышено пороговое значение 0.6.

Детектирование взлома

РеализацияProfileBuilder

ActionsAnalyzer

Actions Log Profile Storage

DBHDFS

“взломан”/“не взломан”

HDFStraining

prediction

Pig Latin + Python

Pig Latin + Python

Оценка fpr на бою

Результаты• Месячная активная аудитория: 77.1 млн. аккаунтов

• Корреляция количества блокировок с количеством взломов

• Количество блокировок в сутки: top secret

• FPR: 0.2%

• Инструмент для расследования взломов и спам-атак