横向移动检测制造技术

可以通过采用不同的检测模型对登录会话评分来执行横向移动检测。不同的检测模型可以由根据历史安全事件数据计算出的计数来实现和/或使用根据历史安全事件数据计算出的计数。不同的检测模型可以包括用于基于登录行为、在登录会话期间观察到的安全事件的序列、在登录会话期间观察到的安全事件之间的事件间时间和/或使用显式凭证登录的尝试来检测受损行为的概率入侵检测模型。由不同的检测模型输出的用于每一个登录会话的分数可组合以生成用于每一个登录会话的排名分数。可以基于用于每一个登录会话的排名分数来生成排名警报的列表以标识受损的授权帐户和/或受损的机器。可以基于受损的帐户‑机器对来自动生成攻击图以可视地显示攻击者的可能的路径。

【技术实现步骤摘要】
横向移动检测本申请是申请日为2015年9月16日、申请号为201580050440.0的专利技术专利申请“横向移动检测”的分案申请。
技术介绍
组织通常将采用各种防御机制来降低计算机网络攻击的风险。尽管采取这些预防措施，组织仍可能成为破坏其计算机网络的成功攻击的受损者。攻击者有多种方式来得到进入组织的计算机网络的立足点，例如通过在钓鱼电子邮件消息中诱导用户点击恶意链接或者通过利用已知的或未打补丁的薄弱点。当这些策略成功时，攻击者可以获得运行恶意代码且损害组织的计算机网络的能力。在损害组织的初始计算机时，攻击者可以使用从初始受损计算机偷窃来的凭证来访问和损害计算机网络内的其它机器。通常，攻击者的目标是定位具有允许访问高价值机器(比如，基础结构服务器和域控制器)的高级许可的凭证。成功地获得域管理员凭证的攻击者可以损害组织的域内的全部计算机以及信任该组织的外部域内的全部计算机。如果从初始受损计算机偷窃的凭证不具有高级许可，则攻击者通常将开始横向移动到可被访问和搜索额外凭证的其它连接的计算机。通常，攻击者可以使用从初始受损计算机偷窃来的本地管理员帐户凭证来访本文档来自技高网...

【技术保护点】
1.一种计算机实现的用于在具有多个计算设备的计算机网络中执行网络入侵检测的方法，所述方法包括：/n访问历史登录会话数据，所述历史登录会话数据与在所述计算机网络中的相应计算设备上的登录会话期间，结合多个授权帐户执行的活动有关，所述历史登录会话数据包括表示响应于相应的授权帐户访问所述计算机网络中的计算设备之一而在每个登录会话期间触发的安全事件的数据；并且/n基于接收的历史登录会话数据而生成模型，每个模型被配置为输出概率值，所述概率值指示与结合所述多个授权帐户之一的新登录会话有关的一个或多个安全事件是否指示受损行为，生成的模型单独地包括在各个登录会话期间触发的安全事件的不同组合的历史发生值。/n

【技术特征摘要】
20140918 US 14/490,5941.一种计算机实现的用于在具有多个计算设备的计算机网络中执行网络入侵检测的方法，所述方法包括：
访问历史登录会话数据，所述历史登录会话数据与在所述计算机网络中的相应计算设备上的登录会话期间，结合多个授权帐户执行的活动有关，所述历史登录会话数据包括表示响应于相应的授权帐户访问所述计算机网络中的计算设备之一而在每个登录会话期间触发的安全事件的数据；并且
基于接收的历史登录会话数据而生成模型，每个模型被配置为输出概率值，所述概率值指示与结合所述多个授权帐户之一的新登录会话有关的一个或多个安全事件是否指示受损行为，生成的模型单独地包括在各个登录会话期间触发的安全事件的不同组合的历史发生值。


2.根据权利要求1所述的计算机实现的方法，其中，所述安全事件能够包括以下事件中的至少一些：帐户登录/注销、认证、帐户管理、进程创建、进程终止、目录服务、对象访问、应用发起、应用终止、文件共享、策略改变、特权使用、或系统事件。


3.根据权利要求1所述的计算机实现的方法，其中，安全事件变量的不同组合之一被配置为评估登录行为是否指示受损行为，所述安全事件变量的不同组合包括以下中的至少一些：帐户、帐户类型、机器角色、机器角色类型、登录时间、或登录类型。


4.根据权利要求1所述的计算机实现的方法，其中，安全事件变量的不同组合之一被配置为基于在先前登录会话期间观察到的安全事件序列的历史发生值，评估在所述登录会话期间观察到的相同安全事件序列是否指示受损行为。


5.根据权利要求4所述的计算机实现的方法，其中，在先前登录会话期间观察到的所述相同安全事件序列的历史发生值包括在先前登录会话期间观察到的所述相同安全事件序列的计数。


6.根据权利要求1所述的计算机实现的方法，其中，安全事件变量的不同组合之一被配置为评估安全事件之间的事件间时间是否指示受损行为，所述安全事件变量的不同组合包括：帐户或帐户类型、以及相关联的安全事件序列、以及序列中连续安全事件之间的相应事件间时间。


7.根据权利要求1所述的计算机实现的方法，其中，安全事件变量的不同组合之一被配置为评估在所述登录会话期间使用显式凭证登录的尝试是否指示受损行为，所述安全事件变量的不同组合包括以下中的至少一些：帐户、帐户类型、机器角色、机器角色类型、与使用显式凭证的登录尝试有关的尝试登录的时间。


8.根据权利要求1所述的计算机实现的方法，其中，安全事件变量的不同组合之一包括以下至少之一：以下中的至少一些的组合：帐户、帐户类型、机器角色、机器角色类型、登录时间、或登录类型；以下中的至少一些的组合：帐户、帐户类型、机器角色、或机器角色类型、以及安全事件序列；以下的组合：帐户或帐户类型、以及相关联的安全事件序列、以及序列中连续安全事件之间的相应事件间时间；或以下中的至少一些的组合：帐户、帐户类型、机器角色、机器角色类型、与使用显式凭证的登录尝试有关的尝试登录的时间。


9.一种包含多个其他计算设备的计算机网络中的计算设备，所述计算设备包括：
处理器，其用于执行计算机可执行指令；以及
存储器，其存储计算机可执行指令，所述计算机可执行指令能够由所述处理器执行以使所述处理器执行以下操作：
访问历史登录会话数据，所述历史登录会话数据与在所述计算机网络中的相应计算设备上的登录会话期间，结合多个授权帐户执行的活动有关，所述历史登录会话数据包括表示响应于相应的授权帐户访问所述计算机网络中的计算设备之一而在每个登录会话期间触发的安全事件的数据；以及
基于接收的历史登录会话数据而生成一个或多个模型，所述一个或多个模型单独地被配置为输出概率值，所述概率值指示与结合所述多个授权帐户之一的新登录会话有关的一个或多个安全事件是否指示受损行为，生成的一个或多个模型单独地包括在各个登录会话期间触发的安全事件的不同组合的历史发生值。


10.根据权利要求9所述的计算设备，其中，所述安全事件能够包括以下事件中的至少一些：帐户登录/注销、认证、帐户管理、进...

【专利技术属性】
技术研发人员：R·S·西瓦库马尔，N·S·K·武，M·迪普拉西多，V·奈尔，A·达斯，M·斯旺，K·塞尔瓦拉杰，S·塞拉玛尼卡姆，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国;US