1. 定义行为
   1. 六元组模型
      1. 时间，地点，人/ID，作用域，动作，结果
2. 行为分析
   1. 无监督学习
      1. 个群对比
         1. 步骤
            1. 先对用户进行行为建模
            2. 进行空间特征繁华
            3. 个群对比分析
         2. 优点
            1. 无需标注样本，自动识别
            2. 无需被动依赖规则，自动识别
      2. 聚类分析
         1. 作用
            1. 通过聚类特征方法，对多源低频团伙进行行为识别
            2. 发现深层次异常行为
            3. 发现团伙异常行为
            4. 发现低频异常行为
            5. 发现代理池异常行为
      3. 规律学习
         1. 通过学习数据的历史行为内在规律的计算概率模型
            1. 文本规律
            2. 路径规律
         2. 然后基于这些概率模型构建集成学习分类算法
   2. 半监督学习
      1. Active Learning
         1. 先用CNN训练少量样本模型，通过模型串接，修正原有分析结果，最终提升算法准确率
3. 案例：巨人网络
   1. 撞库攻击
      1. 1. 通过傅里叶变换进行时频域转换
      2. 2. 攻击者使用伪装UA不断更换UserID进行撞库
      3. 3. 攻击者访问频率不高，几百次访问/小时
      4. 4. 攻击者破译签名算法，获取到正确的签名
      5. 5. 通过个群对比，确认被撞库攻击
   2. 游戏外挂
      1. 1. 通过时间轴线行为建模分析24小时行为走势
      2. 2. 对比正常用户，攻击者行为熵较小
      3. 3. 对比正常用户，攻击者时间轴方差较小
      4. 4. 攻击者整体行为，尤其夜间行为异于正常用户
      5. 5. 通过个群对比，发现是游戏外挂
   3. CC攻击
      1. 1. 通过特征泛化将用户行为归一化
      2. 2. 攻击者伪造FireFox User Agent
      3. 3. 通过多维度建模，发现攻击者在多个关键维度与正常用户群体存在差异
      4. 4. 通过个群对比，确认是针对登录接口的CC攻击
4. 当前风险
   1. 安全风险
      1. 云化导致传统安全设备失效
         1. 传统安全设备失效
         2. 共计成本降低，弹性IP 1元/天
         3. 多数私有云裸奔
      2. 开源导致攻击技术门槛降低
         1. 模拟浏览器行为(UA,Reference伪造)
         2. JavaScript处理能力(PhantomJS)
      3. 团伙作案成主流
      4. 异常行为从传统流量向应用层集中
         1. 90%威胁是针对业务层
   2. 典型应用层攻击
      1. 攻击类型
         1. 针对游戏接口的CC攻击
         2. 针对账号系统的撞库攻击
         3. 针对道具交易的量化攻击
      2. 关键技术
         1. 代理集群，肉鸡
         2. 接码平台
         3. 多源低频
         4. 人机交互
         5. 比价系统
         6. 爬虫池
   3. 传统安全系统问题
      1. 过度依赖情报中心
         1. 滞后性，误报率高
      2. 依赖设备指纹识别
         1. 无法解决搜索引擎，API合法调用等误判问题
      3. 完全依靠规则
         1. 依赖人工，可维护性差，无法发现未知威胁
      4. 串行/嵌入模式
         1. 接入复杂，存在延迟，有可能中断正常业务
      5. 7层阻断
         1. 阻断性能低，容易将负载均衡打满