aesmeyra/security-analytics-fraud

# 🛡️ 网络安全与欺诈情报：行为威胁狩猎 ## 📌 项目概述 本项目专注于 **Security Log Analysis**，旨在检测金融科技环境中的基础设施级威胁。利用包含 20,116 条事件日志的数据集，我设计并实现了检测逻辑，以识别在 **Application Layer** 和 **Network Sessions** 中利用漏洞的 **Attack Vectors**。 ## 🛠️ 安全基础设施与工具 - **Log Management:** ClickHouse（用于安全日志处理的高性能 OLAP 引擎）。 - **分析方法：** 通过 SQL Window Functions 进行行为分析。 - **重点：** Threat Hunting、Anomaly Detection 和 Incident Response Simulation。 ## 🔍 威胁狩猎任务 ### 1. [任务 2A] Velocity Attack（Botnet 检测） * **Attack Vector:** 僵尸网络团伙进行的自动化暴力猜解卡片测试。 * **检测逻辑：** 识别流量异常，即单个 UserID 在 **<5 分钟**内执行 **>15 次请求**，且交易金额保持不变（Exact Amount Testing）。 * **Network 影响：** 缓解 **Network Flooding** 并防止支付网关的大规模利用。 ### 2. [任务 2B] Impossible Travel（Session Hijacking 与 VPN Spoofing） * **Attack Vector:** 利用 VPN 或模拟器进行的地理位置操纵。 * **检测逻辑：** **Impossible Travel Analysis**——检测物理位移异常，即用户位置在 **<10 分钟**内在不可能的距离范围内于两个活动会话之间发生变化。 * **Network 影响：** 识别潜在的 **Account Takeover (ATO)** 和网络访问完整性违规。 ## 🌐 网络工程基础 作为一名 **Telecommunication Engineering** 毕业生，本项目实施了核心基础设施原则： * **L7 Traffic Monitoring：** 深度分析 Layer 7（Application）流量，以识别僵尸网络通信模式。 * **Log Hygiene：** 在取证调查之前，通过严格的数据清洗确保 **Digital Evidence** 的完整性。 * **Endpoint Validation：** 利用 `DeviceID` 进行 **Device Fingerprinting**，以加强 Network Access Control (NAC)。 **A. Hartanto** | *Telecommunication Engineering 毕业生 | 未来的 SOC Analyst*

标签：Botnet检测, ClickHouse, OLAP, SQL数据分析, 不可能旅行, 会话劫持, 地理位置欺骗, 多线程, 安全运营, 应用层攻击, 异常检测, 扫描框架, 撞库, 数据清洗, 欺诈检测, 窗口函数, 网络安全, 账户接管, 速率攻击, 金融科技, 金融风控, 隐私保护