不可能旅行检测
不可能旅行检测 是什么?
不可能旅行检测检测同一身份连续登录的地理位置是否在两次时间间隔内无法以合理方式抵达的安全机制。
不可能旅行检测会比较同一用户两次成功认证的 IP 地理位置,计算隐含的位移速度。例如该用户在 09:00 UTC 从纽约登录,10:30 UTC 又在新加坡登录,所需速度远超民航客机,因此第二次事件被视为可疑。Microsoft Entra ID、Okta ThreatInsight、Google Workspace 以及大多数 SIEM 都内置了"非典型旅行"或"异常位置"分析,通常结合 VPN 和 Tor 出口节点声誉列表来减少误报。该信号通常不会单独定案——现代响应流程会用它触发分级认证或会话吊销,对应 MITRE ATT&CK 技术 T1078(有效账户)。
● 示例
- 01
Entra ID 风险登录在 30 分钟内同一账号先后从巴黎和圣保罗登录而触发"非典型旅行"。
- 02
Okta ThreatInsight 在地理速度超过 800 km/h 时撤销会话的策略。
● 常见问题
不可能旅行检测 是什么?
检测同一身份连续登录的地理位置是否在两次时间间隔内无法以合理方式抵达的安全机制。 它属于网络安全的 身份与访问 分类。
不可能旅行检测 是什么意思?
检测同一身份连续登录的地理位置是否在两次时间间隔内无法以合理方式抵达的安全机制。
不可能旅行检测 是如何工作的?
不可能旅行检测会比较同一用户两次成功认证的 IP 地理位置,计算隐含的位移速度。例如该用户在 09:00 UTC 从纽约登录,10:30 UTC 又在新加坡登录,所需速度远超民航客机,因此第二次事件被视为可疑。Microsoft Entra ID、Okta ThreatInsight、Google Workspace 以及大多数 SIEM 都内置了"非典型旅行"或"异常位置"分析,通常结合 VPN 和 Tor 出口节点声誉列表来减少误报。该信号通常不会单独定案——现代响应流程会用它触发分级认证或会话吊销,对应 MITRE ATT&CK 技术 T1078(有效账户)。
如何防御 不可能旅行检测?
针对 不可能旅行检测 的防御通常结合技术控制与运营实践,详见上方完整定义。
不可能旅行检测 还有哪些其他名称?
常见的别称包括: 非典型旅行, 地理速度异常。
● 相关术语
- identity-access№ 015
自适应认证
一种根据设备、位置、行为等信号在实时变化的身份认证方式,会动态调整所需的认证因素强度和数量。
- identity-access№ 940
基于风险的认证 (RBA)
一种为每次登录实时计算风险分数,并据此决定放行、挑战或拒绝的认证策略。
- identity-access№ 1103
分级提升认证 (Step-Up)
一种在用户执行比当前会话原本被授权的更高风险操作时,要求附加或更强认证因素的模式。
- attacks№ 010
账户接管 (ATO)
犯罪者非法控制合法用户账户,用以盗取资金、数据或实施进一步欺诈的攻击。
- attacks№ 1016
会话劫持
通过窃取或伪造会话标识符,接管受害者已认证的会话,使攻击者无需密码即可冒充其身份的攻击。
- defense-ops№ 1189
UEBA(用户与实体行为分析)
一种检测技术,通过为用户和实体建立正常行为基线,利用统计或机器学习识别可能预示入侵或内部威胁的异常。