Серверы Яндекса хранят много нужной и важной для людей информации, поэтому нам необходимо надежно защищать данные наших пользователей.
В этой статье мы хотим рассказать вам о нашем исследовании, в котором изучаем, как отличить владельца аккаунта от злоумышленника.
И даже когда у обоих есть логин и пароль от аккаунта.
Мы разработали метод, основанный на анализе поведенческих характеристик пользователей.
Он использует машинное обучение и позволяет отличить поведение реального владельца аккаунта от злоумышленника по ряду характеристик.
Этот анализ основан на математической статистике и изучении данных об использовании сервисов Яндекса.
Поведенческих характеристик недостаточно для однозначной идентификации пользователя и тем самым замены использования пароля, но они позволяют обнаружить взлом после авторизации.
Таким образом, украденный пароль электронной почты не позволит никому выдать себя за его настоящего владельца.
Это действительно важный шаг, который позволит вам по-другому взглянуть на системы интернет-безопасности и решить такие сложные задачи, как определение настоящего владельца аккаунта, а также момента и характера взлома.
Принято считать, что методы распознавания человека появились относительно недавно, однако на самом деле история различных методов идентификации уходит корнями в Средние века.
Известно, что в Древнем Китае на рубеже XIV-XV веков уже разобрались в использовании отпечатков пальцев.
Правда, этот метод использовался ограниченно – купцы заключали таким образом торговые соглашения.
В конце 19 века уникальность папиллярные линии легли в основу дактилоскопии, основоположником которой был Уильям Гершель .
Именно он выдвинул теорию о том, что рисунок ладонных поверхностей человека не меняется на протяжении всей жизни.
Карта отпечатков пальцев Herschel
С развитием информационных технологий появились различные системы распознавания пользователей.
По большей части эти методы созданы для того, чтобы человек мог контролировать доступ к какой-либо системе, но на самом деле сфера идентификации и аутентификации пользователей гораздо шире.
Ученые всего мира бьются над проблемой идентификации людей по различным признакам.
Существуют разные модели и теории: от самых популярных, где для распознавания используются уже упомянутые отпечатки пальцев, радужная оболочка глаз, голос, до новых и спорных, учитывающих движения мыши, «почерк» клавиатуры и поведение на сайте.
Яндекс также активно изучает существующие модели и создает новые.
Мы находимся в самом начале нашего пути, но уже добились определенных успехов, поэтому хотим немного рассказать вам о наших экспериментах.
Мы постоянно работаем над алгоритмами защиты почтовых ящиков от взлома, спама и вредоносных действий, способных нанести вред пользователю.
Те методы контроля доступа, которые уже существуют, затрудняют проникновение злоумышленников в ваш почтовый ящик, но, увы, не решают полностью проблему взлома.
Узким местом остается использование пароля, который можно потерять, украсть, перехватить или угадать.
Например, перехват пароля может произойти, если вы используете свой пароль Яндекса на других сервисах, не поддерживающих безопасное соединение.
Мы задавались вопросом: «Можно ли отличить хакера от настоящего владельца аккаунта, если оба авторизованы одним и тем же паролемЭ» Оказалось, что да.
Наши исследования показали, что поведение владельца почтового ящика всегда отличается от поведения хакера.
В целом по поведению пользователя в почте можно выделить ряд характеристик: время входа в систему, обычное местоположение, количество авторизаций, используемые устройства и т. д. Есть операции, не характерные для конкретного человека.
Например, удаление прочитанных писем, стирание папок, отправка рассылок.
У человека может вырабатываться определенное поведение при работе с разными типами писем: чтение писем от людей, удаление рассылок, игнорирование писем из социальных сетей.
Кроме того, есть такие привычки, как «читает цепочку непрочитанных писем снизу вверх», «залогинивается и заходит сначала в Почту, потом на Диск, а потом в Новости» и так далее.
Такие модели поведения можно просчитать для многих наших сервисов.
Совокупность этих факторов создает профиль пользователя, который не дает полного представления о самом пользователе, но позволяет отличить факт взлома аккаунта от обычной авторизации.
Конечно, этот подход не может быть эффективным без использования машинного обучения.
С его помощью определяется набор факторов, влияющих на профиль, и границы определения взлома.
Суть этого метода очень проста: у каждого есть свои уникальные привычки, начиная с режима работы и отдыха, заканчивая местами, которые он посещает, и количеством используемых устройств.
Например, кто-то всегда проверяет электронную почту дома и на работе, использует два устройства, никогда не удаляет прочитанные письма и никогда не рассылает спам.
Он пользуется электронной почтой днем и никогда не проверяет ее ночью.
А кто-то на протяжении месяца часто ездит в командировки и периодически читает почту из разных стран.
У этих пользователей будут разные модели поведения, на основе которых вы сможете построить индивидуальный профиль и сравнивать с ним каждое новое посещение вашей почты.
Вот так выглядят профили двух разных людей.
Красный график показывает профиль типичного, не взломанного пользователя.
Видно, что все достаточно равномерно, резких скачков параметров нет. Синий график иллюстрирует поведение подозрительного аккаунта: все показатели сильно колеблются, виден хаотичный доступ к ресурсу.
Это дает возможность предположить факт несанкционированного доступа.
А на этом графике видно изменение профиля в момент взлома.
В синей зоне видно, что показатели в норме, а в красной зоне уже видны значительные колебания.
Кроме того, четко видны даты, когда это произошло, что может существенно упростить поиск места взлома.
Такой подход сможет защитить пользователей от кражи паролей и сессионных файлов cookie и позволит обнаружить взлом даже после авторизации в аккаунте.
Мы пока не готовы говорить о запуске полноценно работающей системы обнаружения взлома.
Еще не все части головоломки собраны — потребуется время, чтобы полностью оценить и научиться использовать преимущества этих технологий.
Но их эффективность уже очевидна: использование машинного обучения в системах информационной безопасности позволяет значительно повысить безопасность хранимых данных.
Поэтому мы продолжим работать в этом направлении.
Теги: #Машинное обучение #информационная безопасность #Интеллектуальный анализ данных #Яндекс.
почта
-
Гиперактивность
19 Oct, 24 -
Определяющие Факторы Ценообразования Seo
19 Oct, 24 -
Карты В Стиле Футуристического Трона
19 Oct, 24 -
Консультант Erp Crm — Вечный Переговорщик
19 Oct, 24 -
Телефонный Бизнес Nokia Продан Msft
19 Oct, 24
