本文針對異常訪問現狀及問題進行簡要描述，在此基礎上提出基於一元線性迴歸的最小二乘法異常訪問分析模型，通過該模型解決了異常訪問中時間與訪問間相關性問題。

異常訪問是指網路行為偏離正常範圍的訪問情況。異常訪問包含多種場景，如Web訪問、資料庫訪問、作業系統訪問、終端互動等。

異常訪問一直是網路資訊保安中備受困擾的。困擾主要體現在以下幾個方面，通過某一個模型滿足所有場景，模型缺少明確使用條件致使結果不明確，模型計算量大計算耗時長等方面。

基於以上的現狀，本文僅針對系統登入異常訪問進行分析，通過對系統登入事件與時間進行迴歸統計篩選出異常訪問時間段。

下圖為異常登入事件檢測的時序圖：

異常登入時序圖

異常登入事件模型的活動圖流程如下：

1)使用者進行登入，輸入相應的使用者名稱及口令。
2)系統進行登入驗證，判斷是否為合法使用者登入。
3)登入成功或失敗均會將本次登入行為記錄下來。
4)日誌自動傳送至分析系統。
5)分析系統對收到的日誌進行分析，分析採用最小二乘法。
6)如果發現異常登入事件則觸發告警事件。
7)最後工作人員可收到告警提示，並檢視到相應的告警。

當觸發告警後，工作人員需要在量化分析中進行進一步分系工作。通過日誌的登入事件能夠找到何人何時登入哪個系統。詳細記錄下這些資訊後方可以進行後續的時間處置工作。

異常登入模型是分析系統的一個重要分析模型。這個分析模型中採用最小二乘法對登入事件進行異常判斷。異常判斷包括成功登入的異常判斷，以及未成功登入的異常判斷兩類。

以下面的成功登入事件為例進行詳細說明：

登入統計列表

上面的表格中描述的是以5分鐘為單位時間內，系統登入成功的事件統計。
此時我們無法看出哪個時間單位記憶體在異常登入的情況。
如下圖所示：

登陸次數散點圖

首先採用“最小二乘法”對其求解。

最小二乘法

求解出直線與散點圖疊加，如下所示：

登入次數最小二乘法擬合圖

迴歸模型

經過逐一計算每個點的殘差如下：

登陸次數殘差結果表

通過上面的表格可以看到，序號為5、9、10的三個點殘差值偏離相對比較大。同時，根據經驗判斷，正常的登入事件殘差值通常在-10～+10之間。而這3個點的殘差值偏離區間明顯。殘差值分別為“15.23967”,”-16.4549”，“15.098”。

針對此登入事件我們採用的置信區間為-10～+10，置信區間可根據不同的場景進行調整。

通過採用最小二乘法的方式進行異常登入事件查詢，能夠很好的解決傳統統計表格中難以發現的問題。傳統的方式都是採用TopN的方式對登入成功、登入失敗的事件進行簡單羅列。但在眾多的登入事件中，哪些是值得工作人員關注的卻難以得到體現。

最小二乘法的引用可以從眾多的登入事件中分離出最為明顯的異常行為，通過系統的初篩能夠給工作人員提供可供量化分析能力。 工作人員通過量化分析模組能夠對相應的事件進行分析工作。同時殘差值的可定義為靈活應對分析需求提供便利條件