基于windows日志对域用户登录认证异常的检测方法及系统技术方案

本申请实施例公开了基于windows日志对域用户登录认证异常的检测方法及系统，通过获取目标日志事件的存储状态；根据存储状态判断所述目标日志事件是否属于所需事件日志列表；所述所需事件日志列表包括创建计划任务事件、清除事件日志、登录成功事件、登录失败事件、TGT请求事件、ST请求事件、NTLM认证事件和权限分配事件；设置审核策略和事件日志，并记录事件日志；根据哈希传递日志特征、票据传递日志特征、ms14

【技术实现步骤摘要】
基于windows日志对域用户登录认证异常的检测方法及系统


[0001]本申请实施例涉及网络安全
，具体涉及基于windows日志对域用户登录认证异常的检测方法及系统。

技术介绍

[0002]对于域用户登录认证异常的主要检测方法是从windows日志、账户登录和行为创建三个方向出发。在后渗透攻击中，应用最多的是域控攻击，由于域控攻击并不是利用协议缺陷并且在域控中大多流量是加密的很难从流量层面对域控攻击行为进行检测，这就要从系统本身出发。持续的攻击是为了获得更多有价值的东西，在计算机中越有价值的东西需要越高的权限。域控攻击就是为了获得高权限用户控制系统，从windows日志中可以检测账户中权限授予情况、账户登录情况以及行为权限创建情况，以日常行为做基线就可检测形同中横向攻击行为。
[0003]微软中高级威胁分析(ATA)平台就是利用这个方法对域控攻击进行检测。ATA利用专用网络分析引擎来捕获和分析多个协议(例如kerberos、DNS、RPC、NTLM等等)的网络流量以进行身份验证、授权信息和信息收集；同时ATA从网络中的日志事件等多个数据源获取信息来了解组织中用户和其它实体的行为、并生成关于他们的行为配置文件。从这两方面收集信息后，通过与内部内置规则进行比对异常行为进行检测。
[0004]微软的ATA技术的实现需要在域控上进行部署ATA轻型网关，增加了系统的运行压力；同时ATA从流量和日志两方面出发，需要非常了解微软自身的认证协议，对运维人员的分析能力要求增加，增加了运维人员的成本；微软的内置定义可定制行差，无法适应多变的网络环境；同时监控界面繁琐，不便于监控；同时，ATA收费昂贵。

技术实现思路

[0005]为此，本申请实施例提供基于windows日志对域用户登录认证异常的检测方法及系统，更灵活、更高效、更精准的对基于windows日志对域用户登录认证异常进行检测。
[0006]为了实现上述目的，本申请实施例提供如下技术方案：
[0007]根据本申请实施例的第一方面，提供了基于windows日志对域用户登录认证异常的检测方法，所述方法包括：
[0008]步骤a：获取目标日志事件的存储状态；
[0009]步骤b：根据存储状态判断所述目标日志事件是否属于所需事件日志列表，若不属于，执行步骤c；若属于，执行步骤d；所述所需事件日志列表包括创建计划任务事件、清除事件日志、登录成功事件、登录失败事件、TGT请求事件、ST请求事件、NTLM认证事件和权限分配事件；
[0010]步骤c：设置审核策略和事件日志，并记录事件日志；
[0011]步骤d：根据哈希传递日志特征、票据传递日志特征、ms14
‑
068日志特征判断是否存在异常日志；
[0012]步骤e：若有异常日志，检查是否为运维人员操作，若不是，确认为攻击行为，对目标日志事件对应的资产做应急处理。
[0013]可选地，所述根据哈希传递日志特征、票据传递日志特征、ms14
‑
068日志特征判断是否存在异常日志，包括：
[0014]开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过哈希传递日志检测规则对数据检索匹配，产生告警；和/或
[0015]开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过票据传递日志检测规则对数据检索匹配，产生告警；和/或
[0016]开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过Ms14
‑
068日志检测规则对数据检索匹配，产生告警。
[0017]可选地，所述设置事件日志，包括：
[0018]通过以下步骤检查和更改最大日志大小和事件日志的存档循环设置：
[0019]从事件查看器中选择Windows日志属性查看和安全性属性查看；
[0020]在最大日志大小KB中更改事件日志文件的最大大小的值；
[0021]选择不覆盖事件的归档日志，以归档日志。
[0022]可选地，所述方法还包括：所述步骤d和步骤e按照设定周期定期进行。
[0023]根据本申请实施例的第二方面，提供了基于windows日志对域用户登录认证异常的检测系统，所述系统包括：
[0024]日志事件获取模块，用于执行步骤a：获取目标日志事件的存储状态；
[0025]日志类型判断模块，用于执行步骤b：根据存储状态判断所述目标日志事件是否属于所需事件日志列表，若不属于，执行步骤c；若属于，执行步骤d；所述所需事件日志列表包括创建计划任务事件、清除事件日志、登录成功事件、登录失败事件、TGT请求事件、ST请求事件、NTLM认证事件和权限分配事件；
[0026]设置模块，用于执行步骤c：设置审核策略和事件日志，并记录事件日志；
[0027]日志异常检测模块，用于执行步骤d：根据哈希传递日志特征、票据传递日志特征、ms14
‑
068日志特征判断是否存在异常日志；
[0028]结果判定模块，用于执行步骤e：若有异常日志，检查是否为运维人员操作，若不是，确认为攻击行为，对目标日志事件对应的资产做应急处理。
[0029]可选地，所述日志异常检测模块，具体用于：
[0030]开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过哈希传递日志检测规则对数据检索匹配，产生告警；和/或
[0031]开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过票据传递日志检测规则对数据检索匹配，产生告警；和/或
[0032]开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过Ms14
‑
068日志检测规则对数据检索匹配，产生告警。
[0033]可选地，所述设置模块，具体用于：
[0034]通过以下步骤检查和更改最大日志大小和事件日志的存档循环设置：
[0035]从事件查看器中选择Windows日志属性查看和安全性属性查看；
[0036]在最大日志大小KB中更改事件日志文件的最大大小的值；
[0037]选择不覆盖事件的归档日志，以归档日志。
[0038]可选地，所述系统还包括：周期执行模块，用于按照设定周期定期执行所述步骤d和步骤e。
[0039]根据本申请实施例的第三方面，提供了一种设备，所述设备包括：数据采集装置、处理器和存储器；所述数据采集装置用于采集数据；所述存储器用于存储一个或多个程序指令；所述处理器，用于执行一个或多个程序指令，用以执行第一方面任一项所述的方法。
[0040]根据本申请实施例的第四方面，提供了一种计算机可读存储介质，所述计算机存储介质中包含一个或多个程序指令，所述一个或本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于windows日志对域用户登录认证异常的检测方法，其特征在于，所述方法包括：步骤a：获取目标日志事件的存储状态；步骤b：根据存储状态判断所述目标日志事件是否属于所需事件日志列表，若不属于，执行步骤c；若属于，执行步骤d；所述所需事件日志列表包括创建计划任务事件、清除事件日志、登录成功事件、登录失败事件、TGT请求事件、ST请求事件、NTLM认证事件和权限分配事件；步骤c：设置审核策略和事件日志，并记录事件日志；步骤d：根据哈希传递日志特征、票据传递日志特征、ms14
‑
068日志特征判断是否存在异常日志；步骤e：若有异常日志，检查是否为运维人员操作，若不是，确认为攻击行为，对目标日志事件对应的资产做应急处理。2.如权利要求1所述的方法，其特征在于，所述根据哈希传递日志特征、票据传递日志特征、ms14
‑
068日志特征判断是否存在异常日志，包括：开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过哈希传递日志检测规则对数据检索匹配，产生告警；和/或开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过票据传递日志检测规则对数据检索匹配，产生告警；和/或开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过Ms14
‑
068日志检测规则对数据检索匹配，产生告警。3.如权利要求1所述的方法，其特征在于，所述设置事件日志，包括：通过以下步骤检查和更改最大日志大小和事件日志的存档循环设置：从事件查看器中选择Windows日志属性查看和安全性属性查看；在最大日志大小KB中更改事件日志文件的最大大小的值；选择不覆盖事件的归档日志，以归档日志。4.如权利要求1所述的方法，其特征在于，所述方法还包括：所述步骤d和步骤e按照设定周期定期进行。5.基于windows日志对域用户登录认证异常的检测系统，其特征在于，所述系统包括：日志事件获取模块，用于执行步骤a：获取目标日志事件的存储状态；日志类型判断模块，用于执行步骤b：根据存储状态判断所述目标日志事件是否属于所需事件日志列表，若不属于，...

【专利技术属性】
技术研发人员：张力，
申请(专利权)人：北京中睿天下信息技术有限公司，
类型：发明
国别省市：