网络设备、安全设备、操作系统、中间件、应用系统都具有账号，只要有账号就会涉及到异常账号（状态）与账号异常（行为）的安全监控与分析。从风险类型来说，账号异常涉及到内部违规、暴力破解、账号失陷以及程序错误等类型，在安全日常监控与态势感知中都起到非常大的作用。

账号异常与UEBA有很大的关系，UEBA也是围绕着用户（账号）与行为（操作）进行分析，不同的是UEBA除了会用到关联分析方法外，还可能会用到机器学习算法，或者将二者进行有机的结合。本文主要是针对与账号异常相关的关联分析场景进行总结。

• 场景描述：用户登陆系统的源IP不属于堡垒机IP范围，判定系统管理员违规登陆系统
• 分析方法：登陆服务器源IP地址与堡垒集IP地址不匹配
• 数据源：操作系统日志，堡垒机IP列表

• 解决方案：配置访问控制策略，仅允许从堡垒机登陆服务器

• 场景描述：服务器被安全攻击告警后发生账号创建事件，判定服务器已经失陷被控制
• 分析方法：特定时间内（1天），发生服务器遭受安全攻击，同一目的IP发生账号创建事件
• 数据源：安全设备告警（IDS、IPS等），操作系统日志

• 解决方案：检查被攻击服务器是否被控制，确认账号创建是否异常

• 场景描述：设备/系统/应用发生大量账号登陆失败事件，判定设备/系统/应用正在遭受暴力破解攻击
• 分析方法：特定时间内（10分钟），同一设备/系统/应用发生大量（大于10次）登陆失败事件
• 数据源：设备/系统/应用登陆日志

• 解决方案：排查登陆失败事件属于安全攻击还是管理员行为

针对账号登陆失败事件分析场景，除了需要特别关注安全设备，还需要特别关注暴露在互联网上的设备、系统与应用，暴露在互联网上的安全设备尤其要特别关注。

当然发生多次账号登陆失败事件，也不见得一定就是暴力破解攻击，也可能是管理员认为输错了口令而已。这时候需要综合安全设备告警，以及账号登陆失败事件的源地址和目的地址，来进行综合判断。

每个账号异常安全分析场景，都可以从同一源地址、同一目的地址、同一账号来分别建立分析规则，还可以更近一步细化出外网地址、内网地址。

并且账号异常各事件之间还可以再进行关联，这样就可以扩展出非常多的分析场景来。下面就以账号登陆失败事件为基础，列举部分典型的分析场景。

• 拓展场景1：多次发生账号登陆失败事件后，发生账号登陆成功事件，可能暴力破解成功。
• 拓展场景2：发生暴力破解成功（拓展场景1）后，发生创建新账号/修改权限/修改口令等行为事件，可能入侵后提权或进行破坏。

• 拓展场景3：发生暴力破解成功并新建账号（拓展场景2）后，发生删除账号行为事件，可能入侵结束后消除入侵痕迹。

• 拓展场景1：多次发生账号登陆失败事件后，发生账号登陆成功事件，可能暴力破解成功。
• 拓展场景2：发生暴力破解成功（拓展场景1）后，账号发生下载文件数据行为，入侵成功后窃取数据。

• 拓展场景3：发生暴力破解成功（拓展场景1）后，账号发生上传文件数据行为，入侵成功后篡改数据。

▼▼账号状态异常关联分析拓展场景

• 拓展场景1：特定时间内，同一账号在超过2个不同地点登陆，可能发生账号失陷行为。
• 拓展场景2：特定时间内，同一账号在超过2个不同设备登陆，可能发生账号串用行为。

• 拓展场景3：高价值账号（如VPN账号）在非可信地点（如境外地址）发生登陆行为，可能已经失陷。

总结：由于网络设备、安全设备、操作系统、中间件以及应用系统的日志，在安全分析的数据源中都属于高置信数据，因此账号异常相关安全分析场景效果都非常好。并且相关的安全分析场景还可以进一步深度挖掘，这样可以发现很多安全设备告警看不到的风险。