mjay-kerberos/threat-intel-behavioral-detection

# 行为威胁情报分析 **作者：** Juliet Meza **数据集：** 126,959 个 Web 流量会话 —— 电商平台产品发布期间 14 天的时间窗口 ## 项目简介 针对虚构电商平台（ShopNova.com）遭受的多向量机器人攻击进行的完整威胁情报调查。该分析识别了攻击模式，将僵尸网络归因于单一操作者，绘制了完整的攻击路径，并量化了业务影响。 这是一项作为技术评估完成的工作。其方法论 —— 基于行为信号分析而非 IP 信誉 —— 反映了生产环境检测系统如何处理在基础设施层面看似合法的现代机器人攻击。 ## 关键发现 - 发布前 76–90% 的流量为恶意流量 - 机器人按固定时间表运行：每天 UTC 时间凌晨 2 点和下午 2 点 - 单一僵尸网络（canvas FP `c9a2b147`）使用了 8,614 个轮换 IP，归因于一名租用 Google Cloud VM（ASN 15169）的操作者 - 完成了 1,931 笔确认的欺诈交易 - 主要僵尸网络 ASN 在公共欺诈数据库中的风险评分为 0/100 —— 仅通过行为信号捕获 - 13.8% 的 Google 付费广告点击为欺诈；Bing DSA 国内营销活动的机器人流量占比达到 62.6% ## 攻击向量 | 向量 | 证据 | |---|---| | 账户接管 | /account/login 接口 788 次命中，凭证填充模式 | | 库存囤积 | /products/browse 接口 887 次命中，购物车操纵 | | 虚假账户创建 | 创建了 4,431 个账户，仅 11.7% 经过验证 | | 广告点击欺诈 | Google 营销活动中 3,884 次恶意付费点击 | ## 文件 | 文件 | 描述 | |---|---| | `threat_intel_assignment.ipynb` | 完整分析笔记本 | | `ShopNova_ThreatIntel_JulietMeza.pdf` | 演示幻灯片 |

标签：ASN分析, ATO, Bot攻击, Canvas指纹, Google Cloud, IP信誉, NoSQL, Web流量分析, 业务影响评估, 代码示例, 僵尸网络, 凭证填充, 多向量攻击, 威胁情报, 广告欺诈, 库存囤积, 开发者工具, 恶意检测, 数据分析, 流量清洗, 点击欺诈, 电商安全, 网络安全, 虚假账号, 设备指纹, 账户接管, 逆向工具, 隐私保护, 风控检测