1. 背景

隨著互聯網、移動互聯網的發展，企業的傳統網絡邊界在逐漸消失，工業界的企業，特別是大型互聯網公司，平均每日活躍用戶上千萬，每個應用系統的日志都會高達幾百G字節，甚至達到T數量級，同時，以灰產，黑產為代表的惡意訪問占比依然居高不下，因此，不夸張的說，針對大型互聯網公司，特別是金融、電信等行業的惡意攻擊每天各個時段都在發生，并且攻擊手段在不斷推陳出新。

反觀，傳統的被動防御技術，無論是Firewall、Web應用防火墻(WAF)、入侵防御系統、入侵防御系統(IPS)還是入侵檢測系統(IDS)，本質上的工作原理，不是依據白名單，就是基于已發現攻擊總結出的規則，換句話說，傳統防御技術僅限于防御已知威脅。所以，傳統的防御技術，由于不知道何為未知的威脅，既無法檢測到，也就更談不上有效的阻斷。

瀚思以將機器學習應用于信息安全的新角度，重新審視日志信息挖掘，提出了基于日志的實時在線檢測序列異常算法。該算法能夠在線檢測出未知異常行為，并已在國內某Top10券商處上線使用。

2. 何為序列異常

序列異常是對離散異常時序事件的檢測，常應用于工業設備檢測，生物界中的氨基酸序列或基因組序列檢測，用戶行為分析等方面。舉個栗子，一個冰箱的操作日志里，如果存在“冰箱柜門打開，冰箱內物品被取走，冰箱柜門關閉”的序列，認為是正常的。而出現了“冰箱柜門關閉，冰箱內物品被取走，冰箱柜門打開”則是異常的。

簡單來說，序列異常分為兩類。第一類為位置異常，即序列是否異常取決于位置上的實際值與模型預測值間的偏差。第二類是組合異常，以符號組合為考量，對整個序列進行判斷，如果其與絕大多數不同，則被作為異常找出來。

在信息安全領域中，序列異常有很多表現形式。從傳統的SQL注入，XSS攻擊，到撞庫，灰產/黑產的薅羊毛刷單等等。

在用戶行為分析(UBA)中，異常序列一方面能夠找出異常用戶行為序列，另一方面，能更直觀地表現出其為何異常的異常點。

3. 如何找序列異常

無論是找位置異常，還是組合異常，都是找離散類型的時序異常。馬爾科夫鏈模型應用到這類應用中是十分合適的。我們使用了一種變階馬爾科夫鏈模型——Probabilistic ?Suffix Tree概率后綴樹來查找序列異常。

1) 馬爾科夫鏈模型

馬爾可夫鏈，又稱離散時間馬爾可夫鏈，因俄國數學家安德烈·馬爾可夫得名，為狀態空間中經過從一個狀態到另一個狀態的轉換的隨機過程。該過程要求具備“無記憶”的性質：下一狀態的概率分布只能由當前狀態決定，在時間序列中它前面的事件均與之無關。這種特定類型的“無記憶性”稱作馬爾可夫性質。馬爾科夫鏈作為實際過程的統計模型具有許多應用。

在馬爾可夫鏈的每一步，系統根據概率分布，可以從一個狀態變到另一個狀態，也可以保持當前狀態。狀態的改變叫做轉移，與不同的狀態改變相關的概率叫做轉移概率。隨機漫步就是馬爾可夫鏈的例子。隨機漫步中每一步的狀態是在圖形中的點，每一步可以移動到任何一個相鄰的點，在這里移動到每一個點的概率都是相同的(無論之前漫步路徑是如何的)。

舉個栗子，假設天氣在晴朗sunny，下雨rainy和多云cloudy間互相轉換。

其馬爾科夫狀態圖見下圖。可見每個狀態都可遷移到其它狀態，且概率皆不同。

其對應的一階遷移矩陣，即為下圖。

那么，今天是晴天，明天下雨的概率就是

PWeather2=rainy Weather1=sunny)=0.1

馬爾科夫鏈模型對應的異常則為遷移中概率最小的路徑。如

P( Weather1=sunny, Weather2=rainy, Weather3=cloudy, Weather4=sunny, ?Weather5=rainy )=0.1，就是5階序列中，概率最低，出現可能性最小的序列，被認為是異常。

2) Probabilistic Suffix Tree概率后綴樹

概率后綴樹是一種變階馬爾科夫鏈模型的緊湊形式，它將后綴樹作為索引結構使用。當序列集被組織在概率后綴樹中時，僅通過檢查與樹中根節點相近的點就能區分異常和非異常序列。

概率后綴樹簡單來說，就是將具有預測能力的子序列存儲在一顆后綴樹上。然后，根據序列各子序列在樹中的情況，計算整個序列的概率值。算法將歸一化后的低概率的序列，作為異常找出來。

PST樹例子

在概率后綴樹中，每個節點代表一個元素，每條邊代表一條從根節點到當前節點的路徑，換句話說，代表一個入樹的子序列。在每個節點上，均有一個概率分布。表示當前節點的下一個后綴子序列的概率。

在構建樹時，需要將沒有預測能力的的子序列和出現極少，本身就是異常的序列全部過濾掉。這樣從根節點開始，以后綴的方式逐步構建出概率后綴樹。建好樹之后，還可以自行設置更嚴格的條件對樹繼續剪枝，使得該樹具有更好的預測能力。

如何使用概率后綴樹計算序列概率值?概率后綴樹能夠利用中間條件概率，從而可以高效計算出概率值。詳細來說就是，某序列P(s)在概率后綴樹上的概率為：

PS= PS1PS2S1)…PSlS1S2…Sl-1)。

舉個栗子，P(BAAB) = P(B)P(A|B)P(A|BA)P(B|BAA)

= 0.7 * 0.5 * 0.2 * 0.7

如何利用概率后綴樹找異常?將測試序列的概率值歸一化后，低概率的序列就是異常序列。

4. 實例分析

1) 在某商業股份制銀行的Web日志中，使用序列異常檢測，發現了灰產/黑產自動化登錄攻擊實例。

在對其銀行手機銀行Web日志常規序列異常檢測中，發現存在一些登錄序列和正常序列區別很大。經過分析后發現，正常用戶登錄是無法產生該序列的。這些序列的出現，和其它證據指明，這些皆為灰產/黑產自動化登錄的產物。

2) 在某券商的Web日志中，通過使用序列異常檢測，發現了一個灰產/黑產可疑的用戶探測行為。

序列異常檢測程序發現，存在一些利用用戶檢存頁面，被惡意地作為用戶探測的手段利用了。經分析，正常用戶使用這些頁面很難產生這些序列。經過調查，以及和業務部門確認，該類序列皆為惡意用戶探測行為。

5. 結語

工業界面臨的現狀是，一方面，傳統的防護手段只能抵御“已知威脅”，迫切需要應對來自“未知威脅”的攻擊。另一方面，互聯網產品快速迭代更新，用戶行為千變萬化，攻擊手段不斷進化，急需可自學習，可實施的高效檢測手段出現。

瀚思的序列異常檢測算法，一來能夠檢測“未知威脅”，二來能夠面對快速變化的環境，進行優化后的在線學習，三來已經在一些公司實際上線，并有所斬獲。

您也可以關注我們的官方微信公眾號（ID：ctoutiao），給您更多好看的內容。