CN111431915B - 横向移动检测 - Google Patents

横向移动检测 Download PDF

Info

Publication number
CN111431915B
CN111431915B CN202010238842.6A CN202010238842A CN111431915B CN 111431915 B CN111431915 B CN 111431915B CN 202010238842 A CN202010238842 A CN 202010238842A CN 111431915 B CN111431915 B CN 111431915B
Authority
CN
China
Prior art keywords
login
account
security
type
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010238842.6A
Other languages
English (en)
Other versions
CN111431915A (zh
Inventor
R·S·西瓦库马尔
N·S·K·武
M·迪普拉西多
V·奈尔
A·达斯
M·斯旺
K·塞尔瓦拉杰
S·塞拉玛尼卡姆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing LLC filed Critical Microsoft Technology Licensing LLC
Publication of CN111431915A publication Critical patent/CN111431915A/zh
Application granted granted Critical
Publication of CN111431915B publication Critical patent/CN111431915B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

可以通过采用不同的检测模型对登录会话评分来执行横向移动检测。不同的检测模型可以由根据历史安全事件数据计算出的计数来实现和/或使用根据历史安全事件数据计算出的计数。不同的检测模型可以包括用于基于登录行为、在登录会话期间观察到的安全事件的序列、在登录会话期间观察到的安全事件之间的事件间时间和/或使用显式凭证登录的尝试来检测受损行为的概率入侵检测模型。由不同的检测模型输出的用于每一个登录会话的分数可组合以生成用于每一个登录会话的排名分数。可以基于用于每一个登录会话的排名分数来生成排名警报的列表以标识受损的授权帐户和/或受损的机器。可以基于受损的帐户‑机器对来自动生成攻击图以可视地显示攻击者的可能的路径。

Description

横向移动检测
本申请是申请日为2015年9月16日、申请号为201580050440.0的发明专利申请“横向移动检测”的分案申请。
背景技术
组织通常将采用各种防御机制来降低计算机网络攻击的风险。尽管采取这些预防措施,组织仍可能成为破坏其计算机网络的成功攻击的受损者。攻击者有多种方式来得到进入组织的计算机网络的立足点,例如通过在钓鱼电子邮件消息中诱导用户点击恶意链接或者通过利用已知的或未打补丁的薄弱点。当这些策略成功时,攻击者可以获得运行恶意代码且损害组织的计算机网络的能力。
在损害组织的初始计算机时,攻击者可以使用从初始受损计算机偷窃来的凭证来访问和损害计算机网络内的其它机器。通常,攻击者的目标是定位具有允许访问高价值机器(比如,基础结构服务器和域控制器)的高级许可的凭证。成功地获得域管理员凭证的攻击者可以损害组织的域内的全部计算机以及信任该组织的外部域内的全部计算机。
如果从初始受损计算机偷窃的凭证不具有高级许可,则攻击者通常将开始横向移动到可被访问和搜索额外凭证的其它连接的计算机。通常,攻击者可以使用从初始受损计算机偷窃来的本地管理员帐户凭证来访问和损害同一网络层上的其它计算机。攻击者可以继续横向移动且破坏同一网络层内的计算机,直到定位到允许特权升级且更深入网络遍历的凭证。在定位到具有提高的许可的凭证时,攻击者随后进展到下一网络层且同样进行横向移动以搜索更高的特权。
如果横向移动未被检测到,则本地损害可能扩散且变成全局入侵。因此,能够尽快检测到攻击者的横向移动而使得破坏的范围被确定且能够执行适当的遏制和补救是重要的。
发明内容
提供该发明内容以便以简化的形式来引入下面的具体实施方式中进一步描述的概念的选择。该发明内容不旨在确定所要求保护的主题的关键特征或主要特征,也不旨在用于限定所要求保护的主题的范围。
在各个实现方式中,可以通过采用不同的检测模型对包括由授权帐户对计算机网络的机器所执行的活动的登录会话评分来执行横向移动检测。不同的检测模型可以由根据历史安全事件数据计算的计数实现和/或使用根据历史安全事件数据计算的计数。不同的检测模型可以包括用于基于登录行为、在登录会话期间所观察的安全事件的序列、在登录会话期间所观察到的安全事件之间的事件间时间和/或使用显式凭证登录的尝试来检测受损行为的概率入侵检测模型。
每一个不同的检测模型可以输出用于每一个登录会话的一个或多个分数,其评估在登录会话期间所发生的一个或多个安全事件是否指示受损行为的。由不同的检测模型输出的用于每一个登录会话的分数基于不同类型的登录会话行为而提供在登录会话期间所发生的一个或多个安全事件是否指示受损行为的独立评估。
由不同的检测模型输出的用于每一个登录会话的分数可组合以生成用于每一个登录会话的排名分数。可基于用于每一个登录会话的排名分数来生成排名警报的列表以标识计算机网络的受损的帐户和/或受损的机器。可以基于受损的帐户-机器对来自动生成攻击图以可视地显示出攻击者的一个或多个可能的路径。
这些以及其它特征和优点将从以下具体实施方式的理解和随附的附图的阅览中变得显而易见。应当理解,前面的概述、下面的详细说明和随附的图仅为了说明,不是限制如所要求保护的各个方面。
附图说明
图1A 示出了可以实现所描述的主题的各方面的示范性的操作环境的实施例。
图1B示出了根据所描述的主题的各方面的示范性的体系结构的实施例。
图1C示出了根据所描述的主题的各方面的示范性的用户接口的实施例。
图1D示出了根据所描述的主题的各方面的示范性的用户接口的实施例。
图2示出了根据所描述的主题的各方面的示范性的过程的实施例。
图3示出了可以实现所描述的主题的各方面的示范性的操作环境的实施例。
图4示出了可以实现所描述的主题的各方面的示范性的计算环境的实施例。
具体实施方式
下面结合附图给出的具体实施方式旨在作为示例的描述,而不旨在表示可以构造或使用本示例的唯一形式。具体实施方式阐述了示例的功能以及用于构造和操作示例的步骤的序列。然而,不同的示例可以实现相同或等同的功能和序列。
对“一个实施例”、“实施例”、“示例实施例”、“一个实现方式”、“实现方式”、“一个示例”、“示例”等的提及表明所描述的实施例、实现方式或示例可以包括特定的特征、结构或特性,但是不一定每一个实施例、实现方式或示例都包括该特定的特征、结构或特性。而且,这些措辞不一定都是指同一实施例、实现方式或示例。此外,当结合实施例、实现方式或示例描述特定的特征、结构或特性时,应意识到该特征、结构或特性可以与其它的实施例、实现方式或示例相结合来实现,而无论是否明确地描述。
阐述了若干具体细节来提供对所描述的主题的一个或多个方面的透彻理解。然而,应当意识到,这些方面可以在没有这些具体的细节的情况下实现。虽然以框图的形式示出了一些组件来描述一个或多个方面,但是应当理解的是,通过单个组件所执行的功能可以通过多个组件来执行。类似地,单个组件可被配置为执行被描述为由多个组件所执行的功能。
现在参考附图更详细描述主题公开的各个方面,其中相似的标记在通篇通常指代相同或相应的元件。附图和具体实施方式不旨在将要求保护的主题限于所描述的特定形式。而是本发明涵盖了落入所要求保护的主题的主旨和范围内的所有的修改、等同内容和替选方案。
图1示出了操作环境100,作为可以实现所描述的主题的各方面的示范性的操作环境的实施例。应当意识到,所描述的主题的各方面可由多种类型的操作环境、计算机网络、平台、架构、计算机体系结构和/或计算设备来实现。
操作环境100可以包括用户机器110、服务器机器120和域机器130。用户机器110可以包括多种类型的面向用户的设备,比如工作站111-113、膝上型计算机114、平板式设备115、智能电话116和/或其它类型的计算设备。服务器机器120可以包括被配置为提供各种类型的服务的多个服务器计算机121-123。域机器130可以包括由被配置为用于帐户管理和认证的一个或多个服务器计算机实现的一个或多个域控制器131、132。
用户机器110、服务器机器120和域机器130可以被配置为经由任意类型的网络或网络的组合来通信,网络包括但不限于:广域网(WAN),比如因特网;局域网(LAN)、私有网、公共网、分组网络、电路交换网、有线网、和/或无线网。用户机器110、服务器机器120和域计算机130可以利用各种通信协议(例如,因特网通信协议、WAN通信协议、LAN通信协议和/或其它网络通信协议)和认证协议比如Kerberos认证、NT LAN管理器 (NTLM)认证、消化(Digest)认证、单点登录(Single Sign-On)(SSO) 认证和/或其它认证协议来相互通信。
在各个实现方式中,用户机器110、服务器机器120和域机器130可以作为组织比如企业、商业实体、公司部门、服务提供商等等的计算机网络来操作。在一些部署中,诸如工作站111-113、服务器计算机121-123和域控制器131,132的机器可以由组织的物理和/或预置资源来实现。在其它部署中,工作站111-113、服务器计算机121-123和域控制器131、132中的一个或多个可以实现为由云计算环境中的数据中心的物理资源托管的虚拟机器。
当部署在计算机网络内时,计算设备可以被分配特定的机器角色和/或与特定的机器角色相关联。示范性的机器角色可以包括但不限于:用户设备、工作站、应用服务器、web服务器、前端服务器、企业服务器、数据库(例如,SQL)服务器、域控制器、活动目录域服务(ADDS)、系统中心操作管理器(SCOM)、系统中心配置管理器(SCCM)、窗口服务器更新服务(WSUS)服务器和/或其它类型的机器角色。
各种类型的帐户(例如,用户帐户、服务帐户、管理员帐户、等等) 可以被建立和维护以允许对用户机器110、服务器机器120和/或域机器130 的受控访问。每一个帐户可由帐户名来标识且可以被分配使能对计算机网络内的特定的设备和服务的受控访问的某许可。为增强网络安全性,用户机器110、服务器机器120和域机器130可分类成要求不同许可级的不同的网络层或安全区。例如,对工作站111-113的访问会要求本地管理员特权,而对服务器计算机121-123和域控制器131,132的访问会要求高级许可,比如分别是服务器管理员特权和域管理员特权。
通过提供用户名和诸如例如明文密码的凭证,用户可以登录到用户终端110(例如,工作站111)中的一个上。在各个实现方式中,由用户提供的明文密码可以转换成密码散列值,该密码散列值可用作访问计算机网络内的各种服务的认证凭证。在计算设备当中的访问可以多种方式来认证,诸如经由密码认证、密码散列值认证、SSO认证、票据授权票据(TGT) 认证和/或其它认证机制。
各种安全事件可由如下中的一个或多个响应于访问尝试、成功访问和计算机网络资源的使用而生成:用户机器110、服务器机器120和/或域机器130。安全事件可以响应于各种类型的活动而生成,活动包括但不限于:帐户登录/退出活动、认证活动、帐户管理活动、进程创建/终止活动、目录服务活动、对象访问活动、应用活动、文件共享活动、策略改变活动、特权使用活动、系统事件活动,等等。
表1示出了可由用户机器110、服务器机器120和/或域机器130中的一个或多个生成的示范性的安全事件、安全事件标识符和安全事件数据的小样本。下面的示例仅为了说明而提供,而不旨在将所描述的主题限于特定的实现方式。
Figure BDA0002431885300000051
Figure BDA0002431885300000061
表1
在各个实现方式中,用于安全事件的生成和/或收集的策略可由域机器 130中的一个或多个来指定且传送到用户机器110和服务器机器120。可以意识到,组织将被准许监视和收集关于雇员对计算机使用的安全事件数据。然而,在一些上下文中,安全事件数据的提供商和消费者可以采用利于用户隐私和信息保护的各种机制。这些机制可以包括但不限于:要求监视、收集或报告数据的授权;使用户能够选择进入和退出数据监视、收集和报告;以及采用隐私规则来防止某些数据被监视、收集或报告;提供用于对被准许监视、收集或报告的敏感数据进行匿名化、截断或模糊化的功能;采用用于保护和清除数据的数据保留策略;等等。
在各种实现方式中,安全事件可以在所访问的机器上生成或记录并提供给安全事件监视器140用于收集和存储。当提供安全事件时,可以通过机器名称和/或网络地址(例如,IP地址)来标识机器,机器名称和/或网络地址可以被传达并且与机器角色相关联。当提供安全事件时,机器可以传达:机器角色,包括和/或标识机器角色的机器名称,和/或可以使用将机器名称与机器角色相关联的列表而映射到机器角色且可供例如域管理员使用的机器名称。
安全事件监视器140可以由集中式服务器计算机或多个服务器计算机实现,其被配置为收集和存储基于联网设备的活动生成的安全事件数据。每一个收集和存储的安全事件可以与指示安全事件的日期和时间的时间戳 (例如,MM/DD/YYYY HH:MM:SS)相关联。安全事件监视器140 可以将安全事件数据作为安全事件日志152(例如,日志文件)存储在存储系统150(例如,数据仓库、数据库、云存储、块存储等)中。在一个实施例中,存储系统150可以由被配置为跨机器群集(例如,服务器计算机) 存储大量数据的分布式的可扩展存储系统来实现。在一些实现方式中,安全事件日志152可以被分段并分发到计算机集群或云计算数据中心中的机器。
安全事件监视器140可以被配置为响应于检测到某些类型的安全事件 (例如未经授权的访问尝试、服务器健康问题、恶意代码的运行等)而生成警报和/或警报流。然而,即使当诸如认证活动的安全事件被记录时,使用被盗凭证实现的攻击者的横向移动和/或恶意活动将看起来是正常的经认证活动。为了检测这种攻击者活动,人类数据分析者在试图区分良性和恶意的“经认证”活动中将面临必须手动检查和分类许多独立的安全事件检测的沉重负担。
检测模型系统
根据所描述的主题,可以提供检测模型系统160用于结合帐户信息和/ 或上下文信息(例如,机器角色)来基于安全事件数据(例如,安全事件日志152)建立和采用一组检测模型。检测模型系统160的实施例可以在被执行以执行根据所描述主题的各方面的各种步骤、方法和/或功能的“计算机可执行指令”的一般上下文中描述。
计算机可执行指令可以以各种方式实施和/或实现,诸如通过计算机程序、软件应用、软件代码、应用代码、源代码、可执行文件、可执行组件、程序模块、例程、应用程序接口(API)、函数、方法、对象、属性、数据结构、数据类型和/或类似物。
由检测模型系统160实现的计算机可执行指令可以例如由一个或多个计算设备和/或计算机系统执行,该计算设备和/或计算机系统可以包括一个或多个处理器和存储设备(例如,存储器和磁盘驱动器)以及各种输入设备、输出设备、通信接口和/或其他类型的设备。当由计算设备、计算机系统和/或处理器执行时,由检测模型系统160实现的计算机可执行指令可以根据所描述主题的各方面来执行特定任务或实现特定数据类型。应当意识到,在各种实施例中,检测模型系统160或其部分可以通过软件、硬件、固件或其组合来实现。
在各种实现方式中,检测模型系统160可以建立和采用图1所示的一组检测模型(例如,检测模型1-N),作为检测模型161-164。检测模型161-164 中的每一个可以被配置为提供用于建模和检测与受损帐户和/或机器相关联的某种类型的行为的安全事件数据(例如,安全事件日志152)的单独和独立的统评分析和/或评估。
检测模型161-164可以从特定时间间隔(例如,最后60天)的训练数据(例如,历史安全事件数据(例如,未受损的安全事件数据))构建。在各种实施例中,检测模型161-164可以实现基线方法而不采用分类器,并且可以使用未标记的训练数据来构建,以避免生成安全事件数据的标签的代价。
检测模型161-164中的每一个可以根据采取安全事件数据中的特定值的各种变量的计数来定义和/或实现。可以使用各种类型的分析和/或提取技术从安全事件日志152获得计数。在一个实施例中,可以通过向存储系统 150提交查询和/或运行存储系统150上的过程来获得计数,存储系统150 可以由被配置为在数据中心中的计算机群集上存储大量数据的基于云的存储系统来实现。在计算之后,用于由检测模型161-164实现和/或利用的计数可以作为数据文件存储在存储系统150中,用于由一个或多个本地机器进行访问和进一步处理(例如,根据计数来估计和/或计算值)。
存储系统150可以为计算机程序(例如,数据流应用和/或脚本)提供执行环境来对存储系统150运行查询和/或运行存储系统150上的进程以获得计数。在一些实现方式中,数据流应用可以被实现为可以被调度以处理针对安全事件数据的查询的顶点或处理节点的有向无环图(DAG)。并行处理作业可以分布在计算机集群或数据中心的各种计算资源中,以有效地提供来自大规模安全事件数据的计数。用于获得计数的查询可以通过并行执行优化结构化计算(SCOPE)脚本、结构化查询语言(SQL)和/或关系数据库管理系统(RDMS)查询、映射简化函数、基于云的数据流变换和/或其他类型的数据请求来实现。
用于由检测模型161-164实现和/或利用的计数可以根据关于诸如帐户/ 帐户类型、机器角色/角色类型、登录类型、事件类型、事件序列、事件时间等的变量的安全事件数据来生成。用于计数的特定变量可以基于安全事件数据和/或被监视的计算机网络的特性。检测模型系统160可以获得或被提供有来自域机器130、安全事件监视器140和/或其他联网设备中的一个或多个的授权帐户和机器角色的列表。
当计算计数时,可以聚合某些变量值,以便保持要被计算可管理的不同计数的数量和/或在估计非常罕见的变量值组合的概率时减少噪声。例如,可以对某些帐户类型、机器角色/角色类型和/或时间戳聚合计数,而不是为每一个帐户或每一个机器维护单独的计数。在一个实现方式中,时间戳可以被分段或分箱为五分钟间隔,以将特定一天的时间戳转换为具有288个可能值的离散变量。联网机器可以按机器角色/角色类型进行分组。某些帐户可以基于群组和/或帐户特权(例如网域管理员)进行聚合。某些帐户(例如,特定管理员和/或服务帐户)可能需要单独计数,而可能不会聚合。
一旦建立,检测模型161-164可针对诸如训练、测试或现场事件监视场景的各种场景中的登录会话数据运行,以便针对异常活动对登录会话和场景评分。可以向登录模型提供从安全事件日志152、安全事件监视器140和 /或其他联网设备或源获得和/或接收的登录会话数据。登录会话数据可以与包括由计算机网络的机器上的授权帐户所执行的活动的一个或多个登录会话相关联。登录会话数据可以指示在登录会话期间发生的安全事件(例如,安全事件ID)。
用于登录会话的登录会话数据可以对应于特定帐户或特定帐户/机器对,并且包括用于特定类型的登录事件(例如,安全事件ID 4624、安全事件ID 4648等)的安全事件数据。用于登录会话的登录会话数据还可以包括在登录会话期间触发的其他安全事件的安全事件数据。在登录会话期间发生的登录事件和其他安全事件可以以各种方式相关联,例如,通过登录ID 和/或登录GUID。用于登录会话的登录会话数据可以包括在登录会话期间访问的每一个机器的标识符(例如,机器名、IP地址),其可以与每一个访问的机器的机器角色相关联。在一些实现方式中,用于登录会话的登录会话数据可以为在登录会话期间所访问的每一个机器提供机器角色。登录ID、帐户实例、角色实例对可以用作登录会话的唯一标识符。
检测模型系统160可以访问来自存储系统150的计算出的计数,并采用检测模型161-164中的一个或多个来执行各种操作以对登录会话进行评分。可以基于计算的计数和登录会话数据来执行操作,以计算针对检测模型161-164中的每一个的一个或多个计算的或估计的值。示例性的计算或估计的值可以包括:计数比率、概率(例如,条件概率)、对数概率、负对数概率、似然性、对数似然性、负对数似然性,等等。
每一个计算或估计的值可以基于各种形式的历史模型数据,并且可以对应于特定模型特征。在一个实现方式中,某些观察到的事件(例如,针对帐户/帐户类型、机器角色/角色类型、时间和/或登录类型所观察到的事件) 的历史频率或概率的负对数可以被计算且用于对新观察到的登录会话事件评分。
针对检测模型161-164中的每一个的一个或多个计算或估计值可以表示分数和/或可以被归一化以输出一个或多个归一化分数,例如z分数。检测模型161-164中的每一个可以独立地评估在特定会话中观察到的行为是否可疑,并且输出用于登录会话、帐户和/或机器的一个或多个归一化或z 分数。由检测模型161-164中的一个输出的每一个归一化或z分数可以对应于特定模型特征。
可以组合来自检测模型161-164中的每一个的归一化或z分数输出以计算登录会话、帐户和/或机器的总体排名分数。每一个登录会话、帐户和/ 或机器的排名分数可以提供对可疑行为的组合评估,并且可以用于将前K 个(例如,前10个)受损帐户和/或机器排序并呈现给人类数据分析者。排名的警报的列表可以向人类数据分析者提供用于调查的最相关的警报。
由检测模型161-164中的每一个输出的归一化分数或z分数可以根据检测流水线/组合函数的配置以各种方式计算。在一个或多个实现方式中,检测流水线可以被配置为使用基线或加权的平均组合函数,其基于要组合的z 分数的总数将相等的权重分配给每一个z分数。例如,对应于不同检测模型(例如,检测模型161-163)的七个特征的z分值Z1-Z7中的每一个可以被分配1/7加权并且组合为:1/7*Z1+1/Z2...+1/7*Z7。在这样的实现方式中,可以使用来自针对特定模型特征正被评分的新会话群体(例如,当前日的会话数据)的均值和标准差统计来计算对应于特定模型特征的每一个z分数。
在一个或多个实现方式中,检测流水线可以被配置为使用组合函数,所述组合函数基于使用机器学习的训练模型来分配特征权重。训练模型可以从模型特征中的每一个接收负对数概率作为训练输入,并且可以输出每一个模型特征的学习权重。训练模型还可以从针对特定模型特征的训练群体(例如,模型训练数据)输出每一个特定模型特征的均值和标准差统计。然后,特定模型特征的均值和标准差可以用于以针对特定模型特征的z分数形式来对会话分数(例如,负对数概率)进行归一化。例如,z分数Z1可以计算为(x11)/σ1,其中:x1=-Log(P(R|A)),μ1=Mean(Modell(-Log(R|A))),且σ1=SDEV(Modell(-Log(R|A)))。来自模型特征中的每一个的训练数据的均值和标准差统计量可以用于平均中心概率以提供z分数,其可以使用学习的模型权重来组合。组合函数可以应用学习的权重并组合z分数(例如,W1Z1+ W2Z2...+W7Z7)以产生最终加权的排名分数。
可以基于来自人类数据分析者和/或机器学习的反馈来训练、测试、评估和/或细化组合函数。在各种实现方式中,可以基于来自人类数据分析者的反馈来分配和/或更新用于组合函数的特征权重,使得组合函数随时间学习和改进。例如,由人类数据分析者评估的登录会话可以被标记为恶意或良性的并且用作组合函数的训练数据。来自人类数据分析者的关于检测的反馈可以用于训练和细化组合函数,使得触发更高保真警报。人类数据分析者的过去经验和/或偏好可以提供有价值的见解,以使得检测模型系统 160能够执行受损的帐户/机器行为的深入分析并且输送最相关的警报。可以使用各种统计和/或机器学习技术,例如交叉验证(例如,五重交叉验证) 和使用梯度下降算法和神经网络模型来学习排名函数的监督机器学习来执行对组合函数的训练、测试和/或评估。
在训练阶段之后,针对归一化分数中的每一个的特征权重(例如,分配、更新和/或细化)可以被发布到组合函数并由组合函数采用。还可以利用特征权重中的每一个公布来自训练数据的100%的均值和标准差,以针对模型群体对新观察到的负对数概率进行归一化,使得可以应用权重并且可以计算最终排名分数。
检测模型系统160和组合函数可以是可扩展的,以支持提供有意义的见解的附加类型的检测。可以添加新的检测模型以扩大检测的范围,并且可以将由新检测模型输出的归一化分数与由现有检测模型输出的归一化分数组合。此外,可以去除或替换被确定为不重要(例如,具有低于阈值的特征权重)的现有检测模型。因此,检测模型系统160可随时间演进以适应变化的攻击策略。
除了提供受损帐户和/或机器的排名的列表之外,检测模型系统160可以自动地生成和输出攻击图。在各种实现方式中,攻击图可以显示节点和边的可视表示,其以图形方式示出攻击者可能已经行进的可能路径(例如,前K个路径)。已经识别的每一个受损帐户/机器对可以用作攻击图的节点。检测模型系统160可以概率地估计节点之间的可能的攻击路径,并且执行进一步的细化以产生攻击者可能已经遍历的前K个可能的路径。
检测模型161-164可以被配置为提供用于建模和检测与受损帐户/机器相关联的某些类型的行为的安全事件数据(例如,安全事件日志152)的多个独立评估。已经使用被盗凭证被损害的帐户/机器通常将具有不同于相同类型的其他帐户/机器的活动并且不同于所讨论中的帐户/机器的历史活动的活动(例如,安全事件)。例如,使用被盗凭证的受损帐户/机器可以以不同的方式或奇怪的时间登录,访问新机器或执行触发事件的意外序列的新进程,停留或以不寻常的方式快速触发事件,通过提升特权奇怪地改变操作上下文,等等。在各种实现方式中,检测模型161-164可以对不同类型的历史行为进行建模,并且采用概率技术来估计和检测帐户/机器是否正在展示受损行为。
登录模型
在一个实施例中,检测模型161(检测模型1)可以被实现为登录模型。登录模型可以被配置为基于帐户/帐户类型(A)、机器角色/角色类型(R)、时间(T)和登录类型(L)来计算以对登录行为建模的概率入侵检测模型。
检测模型系统160可以通过确定一组帐户/帐户类型、一组确定的机器角色/角色类型、一组时间和一组登录类型来构建登录模型。该组帐户/帐户类型可以从与被监视的计算机网络相关联的授权帐户得到。在各种实现方式中,一些授权帐户可以按帐户类型分组。示例性帐户类型可以包括:用户/人类帐户、机器/自动帐户、服务帐户、管理员帐户、基于部门的帐户、基于团队的帐户、基于角色的帐户、基于作业类型的帐户、基于特权的帐户、和/或授权帐户的其他类型的分组或聚类。一组机器角色/角色类型可以从分配给被监视的计算机网络的机器的机器角色(例如,用户设备、工作站、应用服务器、web服务器、前端服务器、企业服务器、数据库(例如, SQL)服务器、域控制器、ADDS、SCOM、SCCM、WSUS等)得到。受监视的计算机网络中的机器可以按机器角色/角色类型进行分组。
可以通过将一天转换(例如,分段或分箱)为时间间隔(例如五分钟间隔),使得每一天具有一组可能的时间索引值(例如,每天288个可能的组索引值)来得到一组时间。一组登录类型可以从用户和/或帐户可以登录到特定机器的方式得到,诸如通过物理地登录到本地计算机、从网络登录到计算机、远程登录到计算机,等等。在一个实现方式中,登录类型可以包括:交互式登录(类型2)、网络登录(类型3)、批量登录(类型4)、服务登录(类型5)、代理登录(类型6)、解锁工作站(类型7)、网络清除文本登录(类型8)、新凭证登录(类型9)、远程交互式登录(类型10)、缓存交互式登录(类型11)、缓存远程交互式登录(类型12)或缓存解锁登录(类型13)。
检测模型系统160可以通过从维护在存储系统150中的安全事件日志 152中所包含的安全事件数据获得计数来计算登录模型。可以针对安全事件日志152指定时间段和/或安全事件日志152可以具有有限的存储持续时间。存储系统150可以被配置为处理针对太字节的安全事件数据运行的查询和/ 或脚本的复杂处理。在计算之后,计数可以作为数据文件存储在存储系统 150中用于进一步处理。
在一个实现方式中,可以通过获得安全事件数据中在成功登录的所有出现中观察到(A,R,T,L)的每一个可能组合的次数来计算登录模型(例如,安全事件ID 4624)。检测模型系统160可以关于针对帐户/帐户类型、机器角色/角色类型,登录类型和时间组索引的每一个组合观察到的成功登录事件计数(例如,安全事件ID 4624的发生)来查询安全事件数据。
表2示出了帐户类型、机器角色类型、登录类型、时间组索引和星期几的示例性组合的示例的计数输出。提供以下实施例用于说明并且不旨在将所描述的主题限制于特定实现方式。
Figure BDA0002431885300000141
表2
可以采用登录模型来确定帐户/帐户类型在特定时间登录到特定机器角色/角色类型的可能性。登录模型可以估计在具有特定登录类型(LT)的特定时间段(T)处针对机器角色类型(R)上的帐户类型(A)发生成功登录事件(例如,安全事件ID 4624)的概率或可能性。由于受损帐户可能登录到不同的机器和/或登录不同于他们通常所做的,登录模型可以用于确定特定登录事件是否有意义。
登录模型可以用于在诸如训练、测试或现场事件监视场景等的各种场景中对登录会话进行评分。可以向登录模型提供从安全事件日志152、安全事件监视器140和/或其他联网设备或源获得和/或接收的登录会话数据。登录会话数据可以与包括由计算机网络的机器上的授权帐户执行的活动的一个或多个登录会话相关联。登录会话数据可以指示在登录会话期间发生的安全事件(例如,安全事件ID)。
用于登录会话的登录会话数据可以对应于特定帐户或特定帐户/机器对,并且包括用于成功登录事件(例如,安全事件ID 4624)的安全事件数据。登录会话的登录会话数据还可以包括在登录会话期间触发的其他安全事件的安全事件数据。在登录会话期间发生的登录事件和其他安全事件可以以各种方式相关,例如通过登录ID和/或登录GUID。用于登录会话的登录会话数据可以包括在登录会话期间访问的每一个机器的标识符(例如,机器名、IP地址),其可以与每一个访问的机器的机器角色相关联。在一些实现方式中,用于登录会话的登录会话数据可以为在登录会话期间被访问的每一个机器提供机器角色。登录ID、帐户实例、角色实例对可以用作登录会话的唯一标识符。
检测模型系统160可以访问来自存储系统150的计算出的计数,并且使用登录模型来执行各种操作以对登录会话进行评分。可以基于计算的计数和登录会话数据来执行操作,以计算一个或多个计算的或估计的值。示例性计算或估计的值可以包括:计数比率、概率(例如,条件概率)、对数概率、负对数概率、似然性、对数似然性、负对数似然性,等等。
每一个计算或估计的值可以对应于特定的模型特征。在一个实现方式中,可以计算某些观察到的事件(例如,针对帐户/帐户类型、机器角色/ 角色类型、时间和/或登录类型观察到的成功登录事件)的历史频率或概率的负对数,并将其用于对登录会话中新观察到的事件(例如,新观察到的安全事件ID 4624)进行评分。
一个或多个计算或估计的值可以表示分数和/或可以被归一化以输出一个或多个归一化分数,例如z分数。一个或多个归一化分数(例如,z分数) 可以提供对在特定会话中观察到的行为是否指示受损行为的独立评估。由登录模型输出的每一个归一化或z分数可以对应于特定模型特征。由登录模型输出的一个或多个归一化分数或z分数还可以与从一个或多个其他检测模型(例如,检测模型162-164)输出的其他归一化分数或z分数组合,以提供用于登录会话、帐户和/或机器的排名分数。
可以以各种方式计算由登录模型输出的归一化分数或z分数。当采用基线加权时,来自每一个模型特征的当前评分日的会话数据的均值和标准差统计可以用于归一化会话分数。当采用训练过的特征权重时,来自特定模型特征的模型训练数据的均值和标准差统计可用于将会话分数归一化。
在各种实现方式中,检测模型系统160可以采用登录模型来对包括用于具有特定登录类型(LT)的特定时间段(T)内具有特定机器角色类型(R) 的机器上的特定帐户类型(A)的成功登录事件(例如,安全事件ID 4624) 的登录会话进行评分。在一个示例性的实现方式中,检测模型系统160可以采用登录模型,通过输出以下各项中的一个或多个来对登录会话进行评分:
基于在0..100的范围内给定特定帐户类型观察到成功登录事件的特定角色类型的条件概率的负对数-Log(P(R|A))的z分数(Z1);
基于在0..100的范围内给定特定角色类型观察到成功登录事件的特定登录类型的条件概率的负对数-Log(P(A|R))的z分数(Z2);
基于在0..100的范围内给定特定角色类型观察到成功登录事件的特定登录类型的条件概率的负对数-Log(P(LT|R))的z分数(Z3);以及
基于在0..100的范围内给定特定帐户类型观察到成功登录事件的特定登录类型的条件概率的负对数-Log(P(LT|A))的z分数(Z4)。
如果在对新观察到的成功登录事件(例如,安全事件ID 4624)评分时没有找到上述组合的历史发生,则可以使用100的最大-Log分数表示从未见过的事件。
事件序列模型
在一个实施例中,检测模型162(检测模型2)可以被实现为事件序列模型。事件序列模型可以被配置为基于帐户/帐户类型(A)和/或机器角色/ 角色类型(R)来计算以对登录会话行为进行建模的概率入侵检测模型。
检测模型系统160可以通过确定一组帐户/帐户类型、一组确定的机器角色/角色类型和一组事件序列来构建事件序列模型。一组帐户/帐户类型可以从与被监视的计算机网络相关联的授权帐户得到。在各种实现方式中,一些授权帐户可以按帐户类型分组。示例性帐户类型可以包括:用户/人类帐户、机器/自动帐户、服务帐户、管理员帐户、基于部门的帐户、基于团队的帐户、基于角色的帐户、基于作业类型的帐户、基于特权的帐户和/或授权帐户的其他类型的分组或聚类。一组机器角色/角色类型可以从分配给所监视的计算机网络的机器的机器角色得到。受监视的计算机网络中的机器可以按机器角色/角色类型进行分组。
一组事件序列可以从可能的安全事件得出,所述可能的安全事件可以由响应于访问尝试、成功访问和计算机网络资源的使用而由用户机器110、服务器机器120和/或域机器130中的一个或多个生成。安全事件可以对应于各种类型的活动,包括但不限于:帐户登录/注销活动、认证活动、帐户管理活动、进程创建/终止活动、目录服务活动、对象访问活动、应用活动、文件共享活动、策略改变活动、特权使用活动、系统事件活动等。该组事件序列可以基于可以生成的所有可能的安全事件的完整或部分列表。
在各种实施例中,事件序列可以使用N元模型实现为N元安全事件的序列。例如,如果长度N=3,并且如果选择160个可能的安全事件用于监视,则将有至多1603(约410万)个长度为3的可能事件序列。较高的N 值需要计算更大数量的计数,这增加了计算和存储。此外,如果用于计算计数的历史量不够长以观察某些稀有序列足够的时间来可靠地估计它们的概率,则所得到的N元模型可能是有噪声的。虽然在这方面不受限制,但是长度N通常可以是四或更少。
当使用N元模型时,可以计算所有可能序列的计数。另外,可以基于每一个帐户/帐户类型(A)和/或每一个机器角色/角色类型(R)来计算计数。为了减少计算事件序列模型的开销,可以从可能的选择中选择某些帐户/帐户类型或机器角色/角色类型,并且/或者在各种实现方式中可以基于帐户/帐户类型-角色/角色类型(A-R)对来聚合计数。一旦进行了针对长度N 和针对帐户/帐户类型和/或角色/角色类型的选择,就可以在安全事件数据 (例如,安全事件日志152)中获得针对该帐户/帐户类型和/或角色/角色类型的登录会话中已经发生的长度为N的每一个可能的安全事件ID序列的次数的计数。
检测模型系统160可以通过从维护在存储系统150中的安全事件日志 152中所包含的安全事件数据获得计数来计算事件序列模型。在一个实现方式中,事件序列模型可以通过获得已经观察到所有可能的N元安全事件的序列的次数来计算,其中N元安全事件的序列发生在相同的登录会话内。检测模型系统160可以针对在帐户/帐户类型、机器角色/角色类型和/或帐户 /帐户类型-角色/角色类型对的登录会话中观察到的每一个可能的N元安全事件的序列(例如,安全事件ID的三元序列)的计数来查询安全事件数据。
表3示出了在示例性的帐户类型-角色类型对的所有登录会话上聚合的计数的示例性输出。提供以下示例用于说明并且不旨在将所描述的主题限制于特定实现方式。
Figure BDA0002431885300000181
表3
事件序列模型可以用于确定帐户/帐户类型生成观察到的事件序列的可能性。事件序列模型可以用于估计登录会话中的事件序列的概率。对于机器角色类型(R)上的给定帐户类型(A),事件序列模型可以使用N元(例如,三元)安全事件的序列来估计整个N元安全事件的序列发生的概率或可能性。由于受损帐户执行不同于它们在过去的活动和/或偏离角色类型上的帐户类型的规范,所以事件序列模型可以用于确定观察到的事件序列是否有意义。
事件序列模型可用于在诸如训练、测试或现场事件监视场景的各种场景中对登录会话进行评分。可以向事件序列模型提供从安全事件日志152、安全事件监视器140和/或其他联网设备或源获得和/或接收的登录会话数据。登录会话数据可以与包括由计算机网络的机器上的授权帐户执行的活动的一个或多个登录会话相关联。登录会话数据可以指示在登录会话期间发生的安全事件(例如,安全事件ID)。
登录会话的登录会话数据可以对应于特定帐户或特定帐户/机器对,并且包括在登录会话期间触发的安全事件的安全事件数据。安全事件可以以各种方式在登录会话内相关,例如通过登录ID和/或登录GUID。用于登录会话的登录会话数据可以包括可以映射到机器角色的机器标识符(例如,机器名、IP地址等)和/或可以提供在登录会话期间访问的每一个机器的机器角色。登录ID、帐户实例、角色实例对可以用作登录会话的唯一标识符。
检测模型系统160可以访问来自存储系统150的计算出的计数,并且使用登录模型来执行各种操作以对登录会话进行评分。可以基于计算的计数和登录会话数据来执行操作,以计算一个或多个计算的或估计的值。示例性计算或估计的值可以包括:计数比率、概率(例如,条件概率)、对数概率、负对数概率、似然性、对数似然性、负对数似然性,等等。在一个实现方式中,在登录会话内给定安全事件ID的序列{E1,E2,...,EN},序列事件模型可以使用N元模型来估计观察到安全事件ID序列的概率。
每一个计算或估计的值可以对应于特定模型特征。在一个实现方式中,可以计算某些观察到的事件(例如,针对帐户/帐户类型和/或机器角色/角色类型观察到的安全事件的序列)的历史频率或概率的负对数,并用于对登录会话中的新观察到的事件(例如,新观察的安全事件的序列)进行评分。
当学习N元(例如,三元)事件序列的历史频率时,历史概率可除以零假设。例如,历史概率P(A|R)可以除以MAX(P|R),其是A|R的最可能的组合。该N元事件序列的-Log(P(A|R)/MAX(P|R))的值将为零。因此,当在新数据中观察到最可能的N元安全事件的序列时,每当遇到N元安全事件的序列时,它将对总体模型会话分数贡献零。
一个或多个计算或估计的值可以表示分数和/或可以被归一化以输出一个或多个归一化分数,例如z分数。一个或多个归一化分数(例如,z分数) 可以提供对在特定会话中观察到的行为是否指示受损行为的独立评估。由登录模型输出的每一个归一化或z分数可以对应于特定模型特征。由事件序列模型输出的一个或多个归一化分数或z分数还可以与从一个或多个其他检测模型(例如,检测模型161、163、164)输出的其他归一化分数或z 分数组合以提供用于登录会话、帐户和/或机器的排名分数。
可以以各种方式计算由事件序列模型输出的归一化分数或z分数。当使用基线加权时,来自每一个模型特征的当前评分日的会话数据的均值和标准差统计可以用于归一化会话分数。当采用经训练的特征权重时,来自特定模型特征的模型训练数据的均值和标准差统计可用于将会话分数归一化。
在各种实现方式中,检测模型系统160可以采用登录模型来对包括具有特定的机器角色类型(R)的机器上特定帐户类型(A)的N元安全事件的序列(例如,E1,E2,...,EN)的登录会话进行评分。在一个示例性实现方式中,检测模型系统160可以采用登录模型,通过输出以下各项中的一个或多个来对登录会话进行评分:
基于在0..100的范围内给定特定帐户类型观察到特定安全事件的序列 EN,…,E1的特定角色类型的条件概率的负对数-Log(P(EN,…,E1,|A))的z分数(Z5);以及
基于在0..100的范围内给定特定角色类型观察到特定安全事件的序列 EN,…,E1的特定帐户类型的条件概率的负对数-Log(P(EN,…,E1,|R))的z分数(Z6)。
可以使用链规则和三元近似来计算Z分数Z5和Z6,以避免链条规则的复杂性。在历史上最可能的每一个新观察到的N元安全事件的序列将计算为0的-Log分数。如果在对新观察的安全事件的序列评分时没有发现上述组合的历史出现,则可以使用100的最大-Log分数来表示从未见过的事件。
事件间时间模型
在一个实施例中,检测模型162(检测模型2)可以被实现为事件间时间模型。事件间时间可以被配置为被计算以基于帐户/帐户类型(A)来对登录会话行为建模的概率入侵检测模型。
检测模型系统160可以通过确定一组帐户/帐户类型和一组事件间时间间隔来构建事件间时间模型。一组帐户/帐户类型可以从与被监视的计算机网络相关联的授权帐户得到。在各种实现方式中,一些授权帐户可以按帐户类型分组。示例性帐户类型可以包括:用户/人类帐户、机器/自动帐户、服务帐户、管理员帐户、基于部门的帐户、基于团队的帐户、基于角色的帐户、基于作业类型的帐户、基于特权的帐户和/或授权帐户的其他类型的分组或聚类。
一组事件间时间间隔可以通过将事件间持续时间离散化为预定义持续时间DB(例如1秒)的段并且设置最大可能事件间持续时间Dmax(例如1000 秒)以建模来得到。一组事件间时间间隔可以包括Dmax/DB离散事件间时间间隔或段。
登录会话可以包括安全事件和/或安全事件ID的序列。安全事件可以对应于各种类型的活动,包括但不限于:帐户登录/注销活动、认证活动、帐户管理活动、进程创建/终止活动、目录服务活动、对象访问活动、应用活动、文件共享活动、策略改变活动、特权使用活动、系统事件活动等。
给定登录会话内的所有事件ID的序列{E1,E2,...,EN}以及它们对应的原始、未分箱的时间戳{T1,T2,...,TN},可以计算出事件间持续时间{D1, D2,...,DN-1},其中Di=Ti+1-Ti。然后,获得由DB和Dmax定义的各个段中的观察到的事件间持续时间的数量的计数。可以针对各种帐户类型单独计算计数。对于每一个帐户/帐户类型,可以输出一组计数(例如,每段一个计数)。
检测模型系统160可以通过从维护在存储系统150中的安全事件日志 152中所包含的安全事件数据获得计数来计算事件序列模型。在一个实现方式中,可以通过获得在登录会话中已经观察到所有可能的事件间时间间隔的次数来计算出事件序列模型。检测模型系统160可以针对帐户/帐户类型的登录会话中观察到的每一个可能的事件间时间间隔的计数来查询安全事件数据。
表4示出了基于段持续时间DB=1秒和最大持续时间Dmax=1000秒的示例性帐户和段索引的计数的示例性输出。应当理解,提供以下示例用于说明并且不旨在将所描述的主题限制于特定的实现方式。
Figure BDA0002431885300000211
Figure BDA0002431885300000221
表4
可以采用事件间时间模型来确定帐户/帐户类型在时间间隔中生成事件的可能性。事件间时间模型可以用于估计在登录会话中发生的事件间持续时间的概率。事件间时间模型可以使用针对给定帐户类型(A)的安全事件之间的事件间持续时间来估计安全事件被自动生成的概率或可能性以在人类帐户和自动帐户的行为之间进行区分。由于与自动化的服务帐户相比,未受损害的用户帐户具有高的事件间时间间隔,所以事件间模型可以用于确定用户帐户是否自动生成事件(例如,恶意软件脚本活动)和/或服务帐户被人类攻击者操纵。
事件间时间模型可以用于在诸如训练、测试或现场事件监视场景的各种场景中对登录会话进行评分。可以向事件间时间模型提供从安全事件日志152、安全事件监视器140和/或其他联网设备或源获得和/或接收的登录会话数据。登录会话数据可以与包括由计算机网络的机器上的授权帐户执行的活动的一个或多个登录会话相关联。登录会话数据可以指示在登录会话期间发生的安全事件(例如,安全事件ID)。
用于登录会话的登录会话数据可以对应于特定帐户或特定帐户/机器对,并且包括在登录会话期间所触发的安全事件的安全事件数据。安全事件可以以各种方式在登录会话内相关,例如通过登录ID和/或登录GUID。登录会话数据可以包括可以映射到机器角色的机器标识符(例如,机器名, IP地址)和/或可以提供在登录会话期间所访问的每一个机器的机器角色。登录ID、帐户实例、角色实例对可以用作登录会话的唯一标识符。
检测模型系统160可以访问来自存储系统150的计算出的计数,并且采用事件间时间模型来执行各种操作以对登录会话进行评分。可以基于计算的计数和登录会话数据来执行操作,以计算一个或多个计算的或估计的值。示例性计算或估计的值可以包括:计数比率、概率(例如,条件概率)、对数概率、负对数概率、似然性、对数似然性、负对数似然性,等等。在一个实现方式中,给定登录会话内的安全事件ID的序列{E1,E2,...,EN},事件间时间模型可以估计观察到特定事件间持续时间的概率。
每一个计算或估计的值可以对应于特定模型特征。在一个实现方式中,可以计算某些观察到的事件(例如,针对帐户/帐户类型观察到的事件间持续时间)的历史频率或概率的负对数,并且用于对登录会话中新观察到的事件(例如,事件间持续时间)进行评分。
一个或多个计算或估计的值可以表示分数和/或可以被归一化以输出一个或多个归一化分数,诸如z分数。一个或多个归一化分数(例如,z分数) 可以提供对在特定会话中观察到的行为是否指示受损行为的独立评估。由登录模型输出的每一个归一化或z分数可以对应于特定模型特征。由事件间时间模型输出的一个或多个归一化分数或z分数还可以与从一个或多个其他检测模型(例如,检测模型161、162、164)输出的其他归一化分数或 z分数组合以提供用于登录会话、帐户和/或机器的排名分数。
可以以各种方式计算由事件间时间模型输出的归一化分数或z分数。当采用基线加权时,来自每一个模型特征的当前评分日的会话数据的均值和标准差统计可以用于归一化会话分数。当采用经训练的特征权重时,来自特定模型特征的模型训练数据的均值和标准差统计可用于将会话分数归一化。
在各种实现方式中,检测模型系统160可以采用事件间时间模型对包括用于特定帐户类型(A)的安全事件的序列(例如,E1,E2,...,EN)的登录会话进行评分。在一个示例性实现方式中,检测模型系统160可以采用登录模型以通过输出以下来对登录会话进行评分:基于在0..100的范围内观察特定事件间时间间隔的特定帐户类型的概率的负对数-Log(P(A))的z 分数(Z7)。
如果在对新观察到的事件间持续时间进行评分时未发现上述组合的历史发生,则可以使用100的最大-Log分数来表示从未见过的事件。
显式凭证模型
在一个实施例中,检测模型164(检测模型N)可以被实现为显式凭证模型。登录模型可以被配置为基于帐户/帐户类型(A)、机器角色/角色类型 (R)和时间(T)来计算以对登录行为建模的概率入侵检测模型。
检测模型系统160可以通过确定一组帐户/帐户类型、一组确定的机器角色/角色类型和一组时间来构建显式凭证模型。一组帐户/帐户类型可以从与被监视的计算机网络相关联的授权帐户得到。在各种实现方式中,一些授权帐户可以按帐户类型分组。示例性的帐户类型可以包括:用户/人类帐户、机器/自动帐户、服务帐户、管理员帐户、基于部门的帐户、基于团队的帐户、基于角色的帐户、基于作业类型的帐户、基于特权的帐户和/或授权帐户的其他类型的分组或聚类。该组机器角色/角色类型可以从分配给所监视的计算机网络的机器的机器角色得到。受监控计算机网络中的机器可以按机器角色/角色类型进行分组。该组时间可以通过将一天转换(例如,分段或分箱)为时间间隔(例如五分钟间隔)来得到,使得每一天具有一组可能的时间索引值(例如,每天288个可能的段索引值)。
检测模型系统160可以通过从维护在存储系统150中的安全事件日志 152中所包含的安全事件数据获得计数来计算显式凭证模型。在一个实现方式中,可以通过获得安全事件数据中使用显式凭证(例如,安全事件ID 4648)进行登录尝试的所有出现中观察到(A,R,T)的每一个可能组合的次数来计算登录模型。检测模型系统160可以针对帐户/帐户类型、机器角色/角色类型和时间段索引的每一个组合所观察到的使用显式凭证的登录尝试(例如,安全事件ID 4648的发生)的计数来查询安全事件数据。
表5示出了帐户类型、机器角色类型、时间段索引和星期几的示例性组合的示范性的计数输出。提供以下实施例用于说明并且不旨在将所描述的主题限制于特定的实现方式。
Figure BDA0002431885300000241
表5
显式凭证模型可以被用于确定帐户/帐户类型例如在特定时间在特定角色/角色类型上切换凭证的可能性。显式凭证模型可以估计帐户类型(A) 特定时间段(T)内在机器角色类型(R)上尝试使用显式凭证进行登录(例如,执行表示为安全事件ID 4648的“作为管理员运行”)的概率或可能性。由于攻击者可以在横向移动期间改变上下文和/或提升自身,所以可以利用显式凭证模型来确定凭证提升是否不寻常。在数据中心设置中,凭证提升应该很少出现。
显式凭证模型可以用于在诸如训练、测试或现场事件监视场景的各种场景中对登录会话进行评分。可以向显式凭证模型提供从安全事件日志 152、安全事件监视器140和/或其他联网设备或源获得和/或接收的登录会话数据。登录会话数据可以与包括由计算机网络的机器上的授权帐户执行的活动的一个或多个登录会话相关联。登录会话数据可以指示在登录会话期间发生的安全事件(例如,安全事件ID)。
用于登录会话的登录会话数据可以对应于特定帐户或特定帐户/机器对,并且包括用于使用显式凭证(例如,安全事件ID 4648)的登录尝试的安全事件数据。用于登录会话的登录会话数据还可以包括在登录会话期间所触发的其他安全事件的安全事件数据。安全事件可以以各种方式在登录会话内相关,例如通过登录ID和/或登录GUID。用于登录会话的登录会话数据可以包括可以映射到机器角色的机器标识符(例如,机器名、IP地址) 和/或可以提供在登录会话期间所访问的每一个机器的机器角色。登录ID、帐户实例、角色实例对可以用作登录会话的唯一标识符。
检测模型系统160可以访问来自存储系统150的计算出的计数,并且使用显式凭证模型来执行各种操作以对登录会话进行评分。可以基于计算的计数和登录会话数据来执行操作,以计算一个或多个计算的或估计的值。示例性计算或估计的值可以包括:计数比率、概率(例如,条件概率)、对数概率、负对数概率、似然性、对数似然性、负对数似然性等等。
每一个计算或估计的值可以对应于特定模型特征。在一个实现方式中,可以计算某些观察到的事件(例如,使用用于帐户/帐户类型、机器角色/ 角色类型和/或时间的显式凭证的登录尝试)的历史频率或概率的负对数,并且将其用于对登录会话中新观察到的事件(例如,新观察到的安全事件 ID 4648)进行评分。
一个或多个计算或估计的值可以表示分数和/或可以被归一化以输出一个或多个归一化分数,例如z分数。一个或多个归一化分数(例如,z分数) 可以提供对在特定会话中观察到的行为是否指示受损行为的独立评估。由登录模型输出的每一个归一化或z分数可以对应于特定模型特征。由显式证书模型输出的一个或多个归一化分数或z分数还可以与从一个或多个其他检测模型(例如,检测模型161-163)输出的其他归一化分数或z分数组合来提供登录会话、帐户和/或机器的排名分数。
可以以各种方式计算由显式证书模型输出的归一化分数或z分数。当使用基线加权时,来自每一个模型特征的当前评分日的会话数据的均值和标准差统计可以用于将会话分数归一化。当采用经训练的特征权重时,来自特定模型特征的模型训练数据的均值和标准差统计可用于将会话分数归一化。
在各种实现方式中,检测模型系统160可以使用显式凭证模型来对包括对于在特定时间段(T)内具有特定机器角色类型(R)的机器上的特定帐户类型(A)使用显式凭证(例如,安全事件ID 4648)的登录尝试的登录会话进行评分。在一个示例性实现方式中,检测模型系统160可以采用显式凭证模型,以通过输出以下各项中的一个或多个来对登录会话进行评分:
基于在0..100的范围内给定特定帐户类型观察到使用显式凭证的登录尝试的特定角色类型的条件概率的负对数-Log(P(R|A))的z分数(Z8);以及
基于在0..100的范围内给定特定角色类型观察到使用显式凭证的登录尝试的特定帐户类型的条件概率的负对数-Log(P(A|R))的z分数(Z9);
如果在使用显式凭证对新观察的登录尝试进行评分时未发现上述组合的历史发生,则可使用100的最大-Log分数来表示从未见过的事件。
示例性的体系结构
图1B示出了根据所描述主题的各方面的用于横向移动检测的示例性体系结构的实施例。示例性体系结构或其部分可以由检测模型系统160实现。应当意识到,示例性的体系结构或其部分可以由一个或多个计算设备、计算机可执行指令、软件、硬件、固件或其组合来实现。
不同的检测模型161-163可以包括登录模型、事件序列模型和事件间时间模型。检测模型161-163可以按照根据关于诸如帐户/帐户类型、机器角色、登录类型、事件类型、事件序列、事件时间等的变量的安全事件数据生成的计数154来定义和/或实现。
计数154可以包括:针对帐户/帐户类型、机器角色、登录类型和时间段索引的每一个组合观察到的成功登录事件(例如,安全事件ID 4624的发生)的计数;在帐户/帐户类型、机器角色和/或帐户-角色对的登录会话中观察到的每一个可能的N元安全事件的序列(例如,安全事件ID的三元序列) 的计数;以及在帐户/帐户类型的登录会话中观察到的每一个可能的事件间时间间隔的计数。例如,可以从存储系统150访问计数154。
检测模型161-163可以被提供从安全事件日志152、安全事件监视器140 和/或其他联网设备或源获得和/或接收的登录会话数据155。登录会话数据 155可以与包括由计算机网络的机器上的授权帐户执行的活动的一个或多个登录会话相关联。登录会话数据155可以指示在登录会话期间发生的安全事件(例如,安全事件ID)。
用于登录会话的登录会话数据155可以指示在登录会话期间所触发并且经由登录ID和/或登录GUID与登录会话相关联的安全事件。用于登录会话的登录会话数据155可以包括映射到机器角色的机器标识符(例如,机器名、IP地址)和/或可以提供在登录会话期间所访问的每一个机器的机器角色。登录ID、帐户实例、角色实例对可以用作登录会话的唯一标识符。
可以采用不同的检测模型161-163来基于计数154和登录会话数据155 对登录会话进行评分。不同的检测模型161-163可以使用计数154和登录会话数据155来执行操作,以确定计算的或估计的值,诸如:针对各种类型的方案的计数比率、概率(例如,条件概率)、对数概率、负对数概率、似然性、对数似然性、负对数似然性等。
检测模型161可以计算值或分数,例如:给定特定帐户类型观察到成功登录事件的特定角色类型的条件概率的负对数,给定特定角色类型观察到成功登录事件的特定帐户类型的条件概率的负对数,给定特定角色类型观察到成功登录事件的特定登录类型的条件概率的负对数,以及给定特定帐户类型观察到成功登录事件的特定登录类型的条件概率的负对数。
检测模型162可以计算值或分数,例如:给定特定帐户类型观察到特定安全事件的序列的特定角色类型的条件概率的负对数;以及给定特定角色类型观察到特定安全事件的序列的特定帐户类型的条件概率的负对数。检测模型163可以计算值或分数,例如:观察到特定事件间时间间隔的特定帐户类型的概率的负对数。
不同的检测模型161-163可以将计算的或估计的值归一化,以输出每一个登录会话、帐户和/或机器的一个或多个归一化分数(例如,z分数)。检测模型161可以输出归一化分数或z分数Z1-Z4。检测模型162可以输出归一化分数或z分数Z5和Z6。检测模型163可以输出归一化分数或z分数Z7。归一化分数或z分数Z1-Z7中的每一个可以提供对在登录会话期间发生的一个或多个安全事件是否指示受损行为的单独评估、检测、特征化和/或警报。当丢失特定检测模型的数据时,可为该特定检测模型的一个或多个归一化分数或z分数分配零值。
可以以各种方式计算归一化分数或z分数Z1-Z7。当采用基线加权时,来自每一个模型特征的当前评分日的会话数据的均值和标准差统计可以用于将会话分数归一化。当采用经训练的特征权重时,来自特定模型特征的模型训练数据的均值和标准差统计可用于将会话分数归一化。
组合器组件165可以组合由不同检测模型161-163输出的归一化分数或 z分数Z1-Z7。组合器165可以采用包括特征权重(例如,W1-W7)的组合函数来偏置归一化分数或z分数得分Z1-Z7。当使用基线加权时,可以基于要组合的z分数的总数,将相等的权重(例如,1/7加权)分配给每一个z 分数。当采用经训练的特征权重时,每一个特征权重可以基于相应的归一化分数或z分数的相对重要性。组合器165可以基于组合的归一化分数或z 分数得分Z1-Z7来计算和输出排名分数。在一个示例性实现方式中,基于z 分数Z1-Z7的特定登录会话的排名分数可以计算为:(W1Z1+W2Z2+W3Z3+ W4Z4+W5Z5+W6Z6+W7Z7)。
呈现器组件166可以被配置和/或采用以基于每一个登录会话、帐户和/ 或机器的排名分数生成并呈现排名警报的列表。排名警报的列表可以标识计算机网络的受损的授权帐户和/或受损的机器。排名警报的列表可以呈现前K个(例如,前10个)受损帐户和/或机器,以向人类数据分析者提供需要调查的相关警报。
呈现器组件166可以被配置和/或采用以基于受损的帐户-机器对来自动生成攻击图。攻击图可以显示节点和边的可视表示,其以图形方式示出攻击者可能已经行进的一个或多个可能路径(例如,前K个路径)。已经被标识的每一个受损帐户/机器对可以用作攻击图的节点。攻击图可以概率性地估计节点之间的可能攻击路径,并显示攻击者可能已经遍历的前K个可能路径。攻击图可以可视地表示攻击者的横向移动和/或特权提升。
训练器组件167可以被配置和/或采用以训练组合函数。训练器组件167 可以基于来自人类数据分析者的反馈和/或基于各种统计和/或机器学习技术来训练、测试、评估和/或细化组合函数。训练器组件167可以从模型特征接收负对数概率作为训练输入,并且可以输出学习的权重。训练器组件 167还可以根据每一个模型特征的训练群体来输出均值和标准差统计。特定模型特征的均值和标准差可以用于计算特定模型特征的z分数。训练器组件167可更新和/或细化特征权重(例如,W1-W7)中的一个或多个,使得组合函数随时间学习和改进。
发布者组件168可以被配置和/或采用以发布用于组合函数的更新的特征权重。还可以公布来自训练数据的均值和标准差,以针对模型群体归一化新观察到的负对数概率,使得可以应用权重并且可以计算最终排名分数。发布者组件168可以向组合器组件165提供特征权重以及均值和标准差统计,以在对新的登录会话、帐户和/或机器评分时使用。
示例性的用户界面
图1C示出了根据所描述主题的各方面的作为示例性用户界面的实施例的用户界面(UI)170。在各种实施例中,UI 170可以由可由一个或多个计算设备和/或计算机系统执行的计算机可执行指令来实现。
UI 170可以基于每一个登录会话、帐户和/或机器的排名分数来呈现排名警报的列表171。排名警报的列表171可以标识计算机网络的受损的授权帐户和/或受损的机器。在各种实现方式中,每一个警报可以标识受损帐户的登录会话数据,诸如登录ID、帐户名和/或用户名、帐户类型等等。
排名警报的列表171可以呈现前K个(例如,前10个)受损帐户和/ 或机器,以向人类数据分析者提供需要调查的相关警报。从排名警报的列表171中选择特定警报可以允许人类数据分析者深入研究并获得关于受损帐户和/或机器的进一步细节。
图1D示出了根据所描述主题的各方面的作为示例性用户界面的实施例的用户界面(UI)180。在各种实施例中,UI 180可以由可由一个或多个计算设备和/或计算机系统执行的计算机可执行指令来实现。
UI 180可以呈现基于受损的帐户-机器对自动生成的攻击图181。攻击图181可以显示以图形方式示出攻击者可能已经行进的可能路径(例如,前K个路径)的节点和边的可视表示。已经标识出的每一个受损帐户/机器对可以用作攻击图的节点。
攻击图181可以概率性地估计节点之间的可能攻击路径,并显示攻击者可能已经遍历的前K个可能路径。攻击图181可以在视觉上表示攻击者的横向移动和/或特权提升。在一些实现方式中,攻击图181可以响应于从排名警报的列表171中选择特定警报而生成。
示范性的过程
图2示出了根据所描述主题的各方面的作为示例性的横向移动检测过程的实施例的计算机实现的方法200。计算机实现的方法200或其部分可以由检测模型系统160执行。应当意识到,在各个实施例中,计算机实现的方法200或其部分可以被一个或多个计算设备、计算机可执行指令、软件、硬件、固件或其组合执行。
在210中,可以构建不同的检测模型161-164。不同的检测模型161-164 可以包括用于基于登录行为、在登录会话期间观察到的安全事件的序列、在登录会话期间观察到的安全事件之间的事件间时间,和/使用显式凭证的登录尝试来检测受损行为的概率入侵检测模型。检测模型161-164可以被配置为提供用于对与受损帐户/机器相关联的某些类型的行为进行建模和检测的安全事件数据(例如,安全事件日志152)的多个独立评估。
检测模型161-164可以使用基线方法和/或未标记的安全事件训练数据来构建以学习历史比例。检测模型161-164可以按照根据关于诸如帐户/帐户类型、机器角色、登录类型、事件类型、事件序列、事件时间等的变量的安全事件数据生成的计数154来定义和/或实现。可以由响应于计算机网络的机器上的授权帐户的活动而生成的历史安全事件数据计算计数154。计数154的特定变量可以基于安全事件数据和/或被监视的计算机网络的特性(例如,授权帐户和机器角色)。
可以使用各种类型的分析和/或提取技术,例如通过向存储系统150(例如,云计算存储系统)提交查询和/或运行存储系统150上的进程,而从安全事件日志152计算计数154。当计算计数154时,某些变量值可以在某些帐户类型、机器角色/角色类型和/或时间上聚合。在计算之后,用于由检测模型161-164实现和/或利用的计数154可以作为数据文件存储在存储系统 150中,以供一个或多个本地机访问和进一步处理(例如,根据计数来估计概率)。
计数154可以包括针对帐户/帐户类型、机器角色、登录类型和时间段索引的每一个组合所观察到的成功登录事件(例如,安全事件ID 4624的发生)的计数。计数154可以包括在帐户/帐户类型、机器角色/角色类型和/ 或帐户/帐户类型-角色/角色类型对的登录会话中观察到的每一个可能的N 元安全事件的序列(例如,安全事件ID的三元序列)的计数。计数154可以包括在帐户/帐户类型的登录会话中观察到的每一个可能的事件间时间间隔的计数。计数154可以包括针对帐户/帐户类型、机器角色/角色类型和时间段索引的每一个组合所观察到的使用显式凭证的登录尝试(例如,安全事件ID 4648的发生)的计数。
在220中,可以采用不同的检测模型161-164来对登录会话进行评分。可以向不同的检测模型161-164提供从安全事件日志152、安全事件监视器 140和/或其他联网设备或源获得和/或接收的登录会话数据155。登录会话数据155可以与包括由计算机网络的机器上的授权帐户执行的活动的一个或多个登录会话相关联。登录会话数据155可以指示在登录会话期间发生的安全事件(例如,安全事件ID)。
用于登录会话的登录会话数据155可以对应于特定帐户或特定帐户/机器对,并且包括用于特定类型的安全事件(例如,安全事件ID 4624、安全事件ID 4648等)的安全事件数据。用于登录会话的登录会话数据155可以指示在登录会话期间被触发并且通过登录ID和/或登录GUID与登录会话相关联的安全事件。用于登录会话的登录会话数据155可以包括映射到机器角色的机器标识符(例如,机器名、IP地址)和/或可以提供在登录会话期间所访问的每一个机器的机器角色。登录ID、帐户实例、角色实例对可以用作登录会话的唯一标识符。
可以采用不同的检测模型161-164而基于计数154和登录会话数据155 对登录会话进行评分。可以从存储系统150访问计数154。可以使用计数 154和登录会话数据155来执行操作以针对各种类型的方案来计算计算的值或估计的值,例如:计数比率、概率(例如,条件概率)、对数概率、负对数概率、似然性、对数似然性、负对数似然性等。
计算的或估计的值可以包括:给定特定帐户类型观察到成功登录事件的特定角色类型的条件概率的负对数,给定特定角色类型观察到成功登录事件的特定帐户类型的条件概率的负对数,给定特定角色类型观察到成功登录事件的特定登录类型的条件概率的负对数,和/或给定特定帐户类型观察到成功登录事件的特定登录类型的条件概率的负对数。
计算的或估计的值可以包括:给定特定帐户类型观察到特定安全事件的序列的特定角色类型的条件概率的负对数和/或给定特定角色类型观察到特定安全事件的序列的特定帐户类型的条件概率的负对数。计算的或估计的值可以包括观察特定事件间时间间隔的特定帐户类型的概率的负对数。计算的或估计的值可以包括:给定特定帐户类型观察到使用显式凭证的登录尝试的特定角色类型的条件概率的负对数和/或给定特定角色类型观察到使用显式凭证的登录尝试的特定帐户类型的条件概率的负对数。
计算的或估计的值可以被归一化以输出每一个登录会话、帐户和/或机器的一个或多个归一化分数(例如,z分数)。每一个归一化分数或z分数可以基于来自登录会话数据155和/或模型训练数据的均值和标准差统计。不同的检测模型161-164中的每一个可以输出每一个登录会话的一个或多个归一化分数或z分数,其评估在登录会话期间发生的一个或多个安全事件是否指示受损的行为。每一个不同的归一化分数或z分数可以对应于由特定检测模型计算的某个计算或估计值。由不同检测模型161-164输出的每一个登录会话的归一化分数或z分数可以基于不同类型的登录会话行为提供在登录会话期间所发生的一个或多个安全事件是否指示受损行为的独立评估、检测、特征化和/或警报。
在230中,可以组合由不同检测模型161-164输出的每一个登录会话的分数,以生成每一个登录会话、帐户和/或机器的排名分数。可以使用组合函数来求和或以其他方式将由不同检测模型161-164输出的归一化分数或z 分数相加在一起。当丢失特定检测模型的数据时,可为该特定检测模型的一个或多个归一化分数或z分数分配零值。
组合函数可以使用特征权重来偏置从不同检测模型161-164输出的归一化分数或z分数得分。当使用基线加权时,可以基于要组合的z分数的总数,将相等的权重分配给每一个z分数。当采用经训练的特征权重时,可以基于归一化分数或z分数的相对重要性向每一个归一化分数或z分数分配特征权重。因此,归一化分数或z分数的总和可以被偏置以在检测受损行为时将某些归一化分数或z分数视为比其他更重要。组合的归一化或z分数可以提供每一个登录会话、帐户和/或机器的排名分数。排名分数可以通过以下来计算:将每一个归一化分数(例如,z分数)乘以分配给归一化分数的特征权重,并取加权的归一化分数的和。
在240中,可以基于每一个登录会话、帐户和/或机器的排名分数来生成排名警报的列表171。排名警报的列表171可以标识计算机网络的受损的授权帐户和/或受损的机器。每一个登录会话、帐户和/或机器的排名分数可以用于排名和呈现前K个(例如,前10个)受损帐户和/或机器,以向人类数据分析者提供需要调查的相关警报。
在250中,可以自动生成攻击图181。攻击图181可以显示以图形方式示出攻击者可能已经行进的可能路径(例如,前K个路径)的节点和边的可视表示。已经标识的每一个受损帐户/机器对可以用作攻击图181的节点。攻击图181可以概率地估计节点之间的可能攻击路径,并且显示攻击者可能已经遍历的前K个可能路径。攻击图181可以在视觉上表示攻击者的横向移动和/或特权提升。
在260中,可以训练组合函数。可以基于来自人类数据分析者的反馈来训练、测试、评估和/或细化组合函数。可以基于来自人类数据分析者的反馈来分配和/或更新归一化分数的特征权重,使得组合函数随时间学习和改进。
可以使用各种统计、人工智能和/或机器学习技术来执行训练、测试和/ 或评估组合函数。在一个实现方式中,可以使用交叉验证(例如,五重交叉验证)和监督机器学习来训练组合函数,监督机器学习采用梯度下降算法和神经网络模型来学习排序函数。
训练阶段可以从作为模型特征接收负对数概率训练输入,并且可以输出学习权重。训练阶段还可以从每一个模型特征的训练群体输出均值和标准差统计。特定模型特征的均值和标准差可以用于计算特定模型特征的z 分数。
经评估的会话可以被标记为恶意或良性的,并且用作用于细化组合函数的训练输入。使用k重交叉验证,可以阻止恶意会话集合中的1/k和良性会话集合中的1/k。剩余的恶意和良性会话可以用于生成训练对,然后使用所阻止的会话来测试训练对。例如,可以使用1/7加权来针对恶意和良性计算初始排名分数,并且可以计算初始排名分数的平均精度。
可以使用机器学习(例如,梯度下降)来在N次迭代上训练和测试排名分数以更新特征权重。可以阻止下一个1/k恶意和良性会话,并且可以重复该过程以使用1/k的恶意和良性会话中的每一个作为验证数据。可以评估组合和排序函数的性能,并且如果确定执行得好于平均排序器则用于基于100%的训练数据来训练。虽然已经描述了某些示例性训练,但是应当意识到,可以采用各种类型的统计、人工智能和/或机器学习技术。
在270中,可以公布用于组合函数的特征权重。用于归一化分数的分配的、更新的和/或细化的特征权重可以被发布到组合函数并由组合函数采用。来自训练数据的均值和标准差也可以与特征权重中的每一个一起发布,以针对模型群体对新观察的负对数概率进行归一化,使得可以应用权重并且可以计算最终排名分数。这样,组合函数可以基于人类反馈和/或机器学习而改进并且演进以适应变化的攻击策略。
可以理解,所描述的主题的各方面可以在关于功率消耗、存储器、处理器周期和/或其他计算上昂贵的资源方面的改进的效率和/或节省方面提供各种附带和/或技术优点。通过说明而非限制的方式,检测模型系统160 的方面可以提供更快的横向移动的检测和诊断,使得可以确定网络破坏的范围并且可以执行适当的遏制和补救。因此,检测模型系统160可以保护和维持网络资源的健康。
检测模型系统160的各方面可以支持用于基于各种类型的登录会话行为来检测受损行为的广泛范围,并且组合独立评估或警报以呈现标识计算机网络的受损授权帐户和/或受损机器的高保真警报的排序列表。因此,检测模型系统160可以减少人类数据分析者的负担,并最小化处理开销和网络带宽利用。
检测模型系统160的方面可以通过根据未标记的安全事件数据来构建检测模型、聚合相同类型的帐户和/或角色的计数,以及分布存储和/或处理来促进和利于安全事件数据的有效处理。因此,检测模型系统160可以高效地对大量数据执行分析和缩放。
检测模型系统160的方面可以促进有意义的入侵检测。检测模型系统 160可以应用来自人类数据分析者和机器学习的反馈以触发高保真警报。可以分配和/或更新归一化分数的特征权重,使得组合函数随时间学习和改进。可以添加新的检测模型以扩大检测的范围,并且由新的检测模型输出的归一化分数可以与由现有检测模型输出的归一化分数组合。被确定为不重要的现有检测模型可以被移除或替换。因此,检测模型系统160可以随时间改进和演变以提供最有意义类型的检测。
示例性的操作环境
可以针对各种操作环境、计算机网络、平台、架构、计算机体系结构和/或计算设备来实现和/或通过各种操作环境、计算机网络、平台、架构、计算机体系结构和/或计算设备来实现所描述的主题的各方面以提供横向移动检测和/或其他类型的入侵检测。所描述的主题的方面可以由计算机可执行指令来实现,所述计算机可执行指令可以由一个或多个计算设备、计算机系统和/或处理器执行。
在其最基本的配置中,计算设备和/或计算机系统可以包括至少一个处理单元(例如,单处理器单元、多处理器单元、单核单元和/或多核单元) 和存储器。取决于计算机系统或计算设备的确切配置和类型,由计算设备和/或计算机系统实现的存储器可以是易失性的(例如,随机存取存储器 (RAM)),非易失性的(例如只读存储器(ROM),闪存等)或其组合。
计算设备和/或计算机系统可以具有附加的特征和/或功能。例如,计算设备和/或计算机系统可以包括诸如附加存储(例如,可移动和/或不可移动) 的硬件,包括但不限于:固态、磁盘、光盘或磁带。
计算设备和/或计算机系统通常可以包括或可以访问各种计算机可读介质。例如,计算机可读介质可以体现用于由计算设备和/或计算机系统执行的计算机可执行指令。计算机可读介质可以是可由计算设备和/或计算机系统访问的任何可用介质,并且包括易失性和非易失性介质以及可移动和不可移动介质。如本文所使用的,术语“计算机可读介质”包括计算机可读存储介质和通信介质。
如本文所使用的术语“计算机可读存储介质”包括用于存储诸如计算机可执行指令、数据结构、程序模块或其它数据的信息的易失性和非易失性、可移动和不可移动的介质。计算机可读存储介质的示例包括但不限于:诸如RAM、ROM、电可擦除程序只读存储器(EEPROM)、半导体存储器、动态存储器(例如动态随机存取存储器(DRAM)、同步动态随机存取存储器(SDRAM)、双数据速率同步动态随机存取存储器(DDR SDRAM)等) 的存储器存储设备、集成电路、固态驱动器、闪存(例如,基于NAN的闪存),存储器芯片、存储卡、记忆棒、拇指驱动器等;诸如蓝光光盘、数字视频盘(DVD)、光盘(CD)、CD-ROM、光盘盒等的光学存储介质;包括硬盘驱动器、软盘、柔性盘、磁带盒、磁带等的磁存储介质;和其他类型的计算机可读存储设备。可以意识到,各种类型的计算机可读存储介质(例如,存储器和附加硬件存储装置)可以是计算设备和/或计算机系统的一部分。
在各种实施例中,所描述的主题的方面可以由存储在一个或多个计算机可读存储介质上的计算机可执行指令来实现。如本文所使用的,术语“计算机可读存储介质”和“计算机可读存储媒介”不是指并且不包括传播信号、调制数据信号、载波或任何其它类型的暂态计算机可读存储介质。
通信介质通常将计算机可执行指令、数据结构、程序模块或其他数据体现在诸如载波或其它传输机制的调制数据信号中并且包括任何信息传递介质。术语“调制数据信号”意指以将信息编码在信号中的方式来设置或改变其特性中的一个或多个的信号。作为示例而非限制,通信介质包括诸如有线网络或直接有线连接的有线介质以及诸如声学、射频、红外线和其他无线介质的无线介质。
计算设备和/或计算机系统可以包括各种输入设备、输出设备、通信接口和/或其他类型的设备。示例性输入设备包括但不限于:用户接口、键盘/ 键板、触摸屏、触摸板、笔、鼠标、轨迹球、遥控器、游戏控制器、相机、条形码读取器、麦克风或其他语音输入设备、视频输入设备、激光测距仪、运动感测设备、手势检测设备和/或其他类型的输入机制和/或设备。示例性输出设备包括但不限于:显示器、投影仪、扬声器、打印机和/或其他类型的输出机制和/或设备。
计算设备可以被配置为根据实现以各种方式接收和响应输入。响应可以以各种形式呈现,包括例如:呈现用户界面、输出诸如图像、视频、多媒体对象、文档和/或其他类型的对象的对象;输出文本响应;提供与响应内容相关联的链接;输出计算机生成的语音响应或其他音频;或响应的其他类型的视觉和/或音频呈现。
计算设备和/或计算机系统可以包括允许在其他计算设备和/或计算机系统之间和/或之中进行通信的一个或多个通信接口。通信接口可以在各种计算设备和/或计算机系统之间的网络通信的上下文中使用。通信接口可以允许计算设备和/或计算机系统与其他设备、其他计算机系统、web服务(例如,附属的web服务、第三方web服务、远程web服务等)、web服务应用和/或信息源(例如,附属信息源、第三方信息源、远程信息源等)通信。因此,通信接口可以在访问各种类型的资源、从各种类型的资源获得数据和/或与各种类型的资源协作的上下文中使用。
通信接口还可以在通过网络分布计算机可执行指令的上下文中使用。例如,可以使用远程计算机和存储设备来组合或分布计算机可执行指令。本地或终端计算机可以访问远程计算机或远程存储设备并下载计算机程序或计算机程序的一个或多个部分以供执行。还可以意识到,计算机可执行指令的执行可以通过在本地终端处执行一些指令并在远程计算机执行某些指令来分布。
计算设备可以由移动计算设备实现,例如,移动电话(例如,蜂窝电话、智能电话,例如
Figure BDA0002431885300000371
电话、苹果iPhone、
Figure BDA0002431885300000372
电话、实现
Figure BDA0002431885300000373
Android TM操作系统的电话、实现
Figure BDA0002431885300000375
操作系统的电话、或实现移动操作系统的其他类型的电话)、平板计算机(例如,
Figure BDA0002431885300000374
设备、Apple iPadTM、三星Galaxy
Figure BDA0002431885300000376
Pro或其他类型的平板设备)、膝上型计算机、笔记本计算机、上网本计算机、个人数字助理(PDA)、便携式媒体播放器、手持游戏控制台、可穿戴计算设备(例如,智能手表、包括智能眼镜(例如,
Figure BDA0002431885300000377
)、可佩戴式监视器等)的头戴式设备)、个人导航设备、车辆计算机(例如,车载导航系统)、照相机或其它类型的移动设备。
计算设备可以由固定计算设备来实现,诸如:台式计算机、个人计算机、服务器计算机、娱乐系统设备、媒体播放器、媒体系统或控制台、视频游戏系统或控制台、多功能系统或控制台(例如,组合的多媒体和视频游戏系统或控制台、例如
Figure BDA0002431885300000381
系统或控制台、
Figure BDA0002431885300000382
Figure BDA0002431885300000383
系统或控制台、
Figure BDA0002431885300000384
系统或控制台或其它类型的多功能游戏系统或控制台)、机顶盒、器具(例如,电视、冰箱、烹饪器具等)或其他类型的固定计算设备。
计算设备还可以由其他类型的基于处理器的计算设备来实现,包括数字信号处理器、现场可编程门阵列(FPGA)、程序特定集成电路和专用集成电路(PASIC/ASIC)、程序特定标准产品和应用特定标准产品(PSSP/ ASSP)、片上系统(SoC)、复杂可编程逻辑器件(CPLD),等等。
计算设备可以包括和/或运行例如由计算设备的软件、固件、硬件、逻辑和/或电路实现的一个或多个计算机程序。计算机程序可以以各种方式分布到计算设备和/或安装在计算设备上。例如,计算机程序可以由原始设备制造商(OEM)预先安装在计算设备上,作为安装另一计算机程序的一部分安装在计算设备上,从应用商店下载并安装在计算设备上,由系统管理员使用企业网络管理工具分布和/或安装,并且根据实现方式以各种其他方式分布和/或安装。
由计算设备实现的计算机程序可以包括一个或多个操作系统。示例性操作系统包括但不限于:
Figure BDA0002431885300000385
操作系统(例如,
Figure BDA0002431885300000386
操作系统)、
Figure BDA0002431885300000387
操作系统(例如,
Figure BDA0002431885300000388
Chrome OSTM操作系统或
Figure BDA00024318853000003810
AndroidTM操作系统)、苹果(Apple)操作系统(例如,Mac
Figure BDA0002431885300000389
或Apple iOSTM操作系统)、开放源操作系统或适于在移动、固定和/或基于处理器的计算设备上运行的任何其他操作系统。
由计算设备实现的计算机程序可以包括一个或多个客户端应用。示例性的客户端应用包括但不限于:web浏览应用、通信应用(例如,电话应用、电子邮件应用、文本消息传递应用、即时消息传递应用等)、媒体应用 (例如,视频应用、电影服务应用、电视服务应用、音乐服务应用、电子书应用、照片应用等)、日历应用、个人助理或其他类型的对话应用、游戏应用、图形应用、购物应用、支付应用、社交媒体应用、社交网络应用、新闻应用、体育应用、天气应用、地图应用、导航应用、旅行应用、餐馆应用、娱乐应用、保健应用、生活方式应用、参考应用、财务应用、商业应用、教育应用、生产力应用(例如,文字处理应用、电子表格应用、幻灯片放映演示应用、笔记应用程序等)、安全应用、工具应用、实用程序应用和/或适于在移动、固定和/或基于处理器的计算设备上运行的任何其他类型的应用、应用程序和/或app。
由计算设备实现的计算机程序可以包括一个或多个服务器应用。示例性的服务器应用包括但不限于:与上述各种类型的示例性客户端应用中的任何一种相关联的一个或多个服务器托管的、基于云的和/或在线应用;上述各种类型的示例性客户端应用中的任何一个的一个或多个服务器托管的、基于云的和/或在线版本;被配置为提供web服务、网站、网页、web 内容等的一个或多个应用;配置成提供和/或访问信息源、数据仓库、数据库,储存库等的一个或多个应用;和/或适合于在计算设备上运行的其他类型的应用、应用程序和/或app。
计算机系统可以由诸如服务器计算机的计算设备或者被配置为实现其中一个或多个适当配置的计算设备可以执行一个或多个处理步骤的服务的多个计算设备来实现。计算机系统可以被实现为分布式计算系统,其中组件位于通过网络(例如,有线和/或无线)和/或其他形式的直接和/或间接连接彼此连接的不同计算设备上。计算机系统还可以经由其中通过共享数据中心递送服务的基于云的体系结构(例如,公共的、私有的或其组合)来实现。计算机系统的一些组件可以被布置在云中,而其他组件被布置在云的外部。
图3示出了作为可以实现所描述主题的各方面的示例性操作环境的实施例的操作环境300。如图所示,操作环境可以包括通信地耦合到存储系统 330的计算设备310。
在各种实现方式中,存储系统330可以被配置为存储依据所描述的主题的方面的一个或多个类型的数据,例如,安全事件数据、安全事件日志 152、计数154、登录会话数据155和/或其他类型的数据。存储系统330可以提供任何合适类型的数据存储,例如,数据库存储、块存储、云存储等等。存储系统330可以由一个或多个计算设备来实现,例如,数据中心中的计算机集群。
计算设备310可以通过网络340与存储系统330通信。网络340可以由适于在计算设备310和存储系统330之间提供通信的任何类型的网络或网络的组合来实现。网络340可以包括例如但不限于:诸如因特网的广域网(WAN)、局域网(LAN)、专用网络、公共网络、分组网络、电路交换网络、有线网络和/或无线网络。计算设备310和存储系统330可以使用各种通信协议和/或数据类型通过网络340进行通信。
计算设备310可以被配置为实现和/或执行所描述的主题的一个或多个方面。计算设备310可以包括处理器311和存储器312。计算设备310还可以包括附加的硬件存储器313。应当理解,计算机可读存储介质包括存储器 312和硬件存储设备313。
计算设备310可以包括输入设备314和输出设备315。输入设备314 可以包括上述示例性输入设备中的一个或多个和/或其他类型的输入机制和 /或设备。输出设备315可以包括一个或多个上述示例性输出设备和/或其他类型的输出机制和/或设备。
计算设备310可以包含允许计算设备310通过网络340与其他计算设备和/或计算机系统通信的一个或多个通信接口316。在各种实现方式中,计算设备310可以在通过网络340与存储系统330通信的上下文中采用通信接口316。通信接口316还可以在通过网络340分布计算机可执行指令的上下文中使用。
计算设备310可以包括和/或运行例如由计算设备310的软件、固件、硬件、逻辑和/或电路实现的一个或多个计算机程序317。计算机程序317 可以包括操作系统318,操作系统例如由上述的一个或多个示例性操作系统和/或适合于在计算设备310上运行的其他类型的操作系统实现。计算机程序317可以包括例如由上述一个或多个示例性应用和/或适合于在计算设备 310上运行的其他类型的应用实现的一个或多个应用319。
计算机程序317可以经由一个或多个合适的接口(例如,应用编程接口(API)或其他数据连接)来配置成与一个或多个资源通信和/或协作。资源的示例包括计算设备310的本地计算资源和/或远程计算资源,诸如服务器托管资源、基于云的资源、在线资源、远程数据存储、远程数据库、远程仓库、web服务、web网站、web网页、web内容和/或其他类型的远程资源。
计算机程序317可以实现存储在例如诸如存储器312或硬件存储装置 313的计算机可读存储介质中的计算机可执行指令。由计算机程序317实现的计算机可执行指令可以被配置为结合、支持和/或增强操作系统318和应用319中的一个或多个来工作。由计算机程序317实现的计算机可执行指令还可以被配置为提供一个或多个单独的服务。
计算机程序317可以使用任何各种类型的合适的编程和/或标记语言来实现计算机可执行指令,诸如:可扩展应用标记语言(XAML)、XML、XBL HTML、XHTML、XSLT、XMLHttpRequestObject、CSS、文档对象模型 (DOM)、
Figure BDA0002431885300000411
JavaScript、JavaScript对象符号(JSON)、Jscript、 ECMAScript、Ajax、
Figure BDA0002431885300000412
SilverlightTM、Visual
Figure BDA0002431885300000413
VBScript、 PHP、ASP、
Figure BDA0002431885300000414
Python、
Figure BDA0002431885300000415
C、Objective-C、C++、C#/.net 和/或其他。
计算设备310和/或计算机程序317可以实现和/或执行所描述的主题的各方面。如图所示,计算设备310和/或计算机程序317可以包括检测模型代码320。在各种实施例中,检测模型代码320可以包括存储在计算机可读存储介质上并且被配置为实现一个或多个所描述的主题的各方面的计算机可执行指令。作为示例而非限制,检测模型代码320可以实现检测模型系统160、检测模型161-164和/或计算机实现的方法200的一个或多个方面。
示例性的计算环境
图4示出了作为可以实现所描述主题的各方面的示例性计算环境的实施例的计算环境400。如图所示,计算环境400包括计算机410形式的通用计算设备。在各种实现方式中,计算机410可以是计算设备310的示例。
计算机410可以包括各种组件,其包括但不限于:处理单元420(例如,一个或多个处理器或类型的处理单元)、系统存储器430和系统总线421、系统总线421耦合包括系统存储器430到处理单元420的各种系统组件。
系统总线421可以是若干类型的总线结构中的任一种,包括存储器总线或存储器控制器、外围总线和使用各种总线体系结构中的任一种的本地总线。作为示例而非限制,这样的体系结构包括工业标准体系结构(ISA) 总线、微通道体系结构(MCA)总线、增强型ISA(EISA)总线、视频电子标准协会(VESA)本地总线和外围部件互连(PCI)总线(也称为夹层总线)。
系统存储器430包括诸如ROM 431和RAM 432的易失性和/或非易失性存储器形式的计算机存储介质。基本输入/输出系统(BIOS)433包含有助于在计算机410内的元件之间传递信息的基本例程,例如在启动期间, BIOS 433通常存储在ROM 431中。RAM 432通常包含处理单元420可立即访问和/或当前正在操作的数据和/或程序模块。作为示例,但不限于,示出了操作系统434、应用程序435、其他程序模块436和程序数据437。
计算机410还可以包括其他可移动/不可移动和/或易失性/非易失性计算机存储介质。仅作为示例,图4示出了从不可移动、非易失性磁介质读取或向其写入的硬盘驱动器441,从可移动、非易失性磁盘452读取或向其写入的磁盘驱动器451,以及从可移动、非易失性光盘456诸如CD ROM 或其它光学介质读取或向其写入的光盘驱动器455。可以在示例性操作环境中使用的其他可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于磁带盒、闪存卡、数字多功能盘、数字视频带、固态RAM、固态ROM 等。硬盘驱动器441通常通过诸如接口440的不可移动存储器接口连接到系统总线421,并且磁盘驱动器451和光盘驱动器455通常通过可移动存储器接口(诸如接口450)连接到系统总线421。
可替代地或者另外地,本文所描述的功能性可至少部分地由一个或一个硬件逻辑组件执行。例如但不限于,可以使用的硬件逻辑组件的说明性类型包括例如FPGA、PASIC/ASIC、PSSP/ASSP、SoC和CPLD。
以上讨论并在图4中示出的驱动器及其相关联的计算机存储介质提供了用于计算机410的计算机可读指令、数据结构、程序模块和其它数据的存储。例如,硬盘驱动器441被示为存储操作系统444、应用程序445、其它程序模块446和程序数据447。注意,这些组件可以与操作系统434、应用程序435、其它程序模块436和程序数据437相同或不同。操作系统444、应用程序445、其他程序模块446和程序数据447这里被给予不同的数字来说明至少它们是不同的副本。
用户可以通过诸如键盘462、麦克风463和定点设备461(诸如鼠标、轨迹球或触摸板)的输入设备将命令和信息输入到计算机410中。其它输入设备(未示出)可以包括触摸屏操纵杆、游戏板、卫星盘、扫描仪或诸如此类的。这些以及其它输入设备通常通过与系统总线耦合的用户输入接口460来与处理单元420连接,但是可以通过其它接口和总线结构如并行端口、游戏端口或通用串行总线(USB)来连接。
可视显示器491或其它类型的显示设备也经由诸如视频接口490的接口来与系统总线421连接。除了监视器之外,计算机还可以包括其它外围输出设备如扬声器497和打印机496,它们可通过输出外围接口495连接。
计算机410在联网环境中使用到一个或多个远程计算机(诸如远程计算机480)的逻辑连接来操作。远程计算机480可以是个人计算机、手持设备、服务器、路由器、网络PC、对等设备或其它公共网络节点来操作,并且通常包括相对于计算机410在上面描述的许多或所有元件。所示的逻辑连接包括局域网(LAN)471和广域网(WAN)473,但也可以包括其他网络。这样的网络环境在办公室、企业范围的计算机网络、内联网和因特网中是常见的。
当在LAN网络环境中使用时,计算机410通过网络接口或适配器470 与LAN 471连接。当在WAN网络环境中使用时,计算机410通常包括调制解调器472或其它用于建立经由诸如因特网的WAN 473的通信的单元。可以在内部或外部的调制解调器472可以经由用户输入接口460或其它适合的机制连接到系统总线421。在联网环境中,相对于计算机410所描绘的程序模块或其部分可以存储在远程存储器存储设备中。通过示例而非限制的方式,示出了位于远程计算机480上的远程应用程序485。将意识到,所示的网络连接是示范性的,并且可使用建立计算机之间的通信链路的其它手段。
以上结合附图提供的具体实施方式旨在作为示例的描述,并且不旨在表示可以构造或利用本示例的仅有的形式。
应当理解,本文描述的配置和/或方法本质上是示例性的,并且所描述的实施例、实现方式和/或示例不应被认为是限制性的,因为许多变化是可能的。本文所描述的具体过程或方法可以表示任何数量的处理策略中的一个或多个。因此,示出和/或描述的各种操作可以以所示和/或描述的顺序,以其他顺序、并行来执行或省略。同样,可以改变上述过程的顺序。
虽然以特定于结构特征和/或方法动作的语言描述了主题,但是应当理解的是,在随附的权利要求中限定的主题不一定限于上述的特定的特征或动作。相反,上述的具体特征和动作被公开作为实现权利要求的示例的形式。

Claims (20)

1.一种计算机实现的用于在具有多个计算设备的计算机网络中执行网络入侵检测的方法,所述方法包括:
访问历史登录会话数据,所述历史登录会话数据与在所述计算机网络中的相应计算设备上的登录会话期间,结合多个授权帐户执行的活动有关,所述历史登录会话数据包括表示响应于相应的授权帐户访问所述计算机网络中的计算设备之一而在每个登录会话期间触发的安全事件的数据;并且
基于接收的历史登录会话数据而生成多个模型,每个模型被配置为输出概率值,所述概率值指示与结合所述多个授权帐户之一的新登录会话有关的一个或多个安全事件是否指示受损行为,生成的模型单独地包括在各个登录会话期间触发的安全事件的不同组合的历史发生值。
2.根据权利要求1所述的计算机实现的方法,其中,所述安全事件能够包括以下事件中的至少一些:帐户登录/注销、认证、帐户管理、进程创建、进程终止、目录服务、对象访问、应用发起、应用终止、文件共享、策略改变、特权使用、或系统事件。
3.根据权利要求1所述的计算机实现的方法,其中,安全事件变量的不同组合之一被配置为评估登录行为是否指示受损行为,所述安全事件变量的不同组合包括以下中的至少一些:帐户、帐户类型、机器角色、机器角色类型、登录时间、或登录类型。
4.根据权利要求1所述的计算机实现的方法,其中,安全事件变量的不同组合之一被配置为基于在先前登录会话期间观察到的安全事件序列的历史发生值,评估在所述登录会话期间观察到的相同安全事件序列是否指示受损行为。
5.根据权利要求4所述的计算机实现的方法,其中,在先前登录会话期间观察到的所述相同安全事件序列的历史发生值包括在先前登录会话期间观察到的所述相同安全事件序列的计数。
6.根据权利要求1所述的计算机实现的方法,其中,安全事件变量的不同组合之一被配置为评估安全事件之间的事件间时间是否指示受损行为,所述安全事件变量的不同组合包括:帐户或帐户类型、以及相关联的安全事件序列、以及序列中连续安全事件之间的相应事件间时间。
7.根据权利要求1所述的计算机实现的方法,其中,安全事件变量的不同组合之一被配置为评估在所述登录会话期间使用显式凭证登录的尝试是否指示受损行为,所述安全事件变量的不同组合包括以下中的至少一些:帐户、帐户类型、机器角色、机器角色类型、与使用显式凭证的登录尝试有关的尝试登录的时间。
8.根据权利要求1所述的计算机实现的方法,其中,安全事件变量的不同组合之一包括以下至少之一:以下中的至少一些的组合:帐户、帐户类型、机器角色、机器角色类型、登录时间、或登录类型;以下中的至少一些的组合:帐户、帐户类型、机器角色、或机器角色类型、以及安全事件序列;以下的组合:帐户或帐户类型、以及相关联的安全事件序列、以及序列中连续安全事件之间的相应事件间时间;或以下中的至少一些的组合:帐户、帐户类型、机器角色、机器角色类型、与使用显式凭证的登录尝试有关的尝试登录的时间。
9.一种包含多个其他计算设备的计算机网络中的计算设备,所述计算设备包括:
处理器,其用于执行计算机可执行指令;以及
存储器,其存储计算机可执行指令,所述计算机可执行指令能够由所述处理器执行以使所述处理器执行以下操作:
访问历史登录会话数据,所述历史登录会话数据与在所述计算机网络中的相应计算设备上的登录会话期间,结合多个授权帐户执行的活动有关,所述历史登录会话数据包括表示响应于相应的授权帐户访问所述计算机网络中的计算设备之一而在每个登录会话期间触发的安全事件的数据;以及
基于接收的历史登录会话数据而生成一个或多个模型,所述一个或多个模型单独地被配置为输出概率值,所述概率值指示与结合所述多个授权帐户之一的新登录会话有关的一个或多个安全事件是否指示受损行为,生成的一个或多个模型单独地包括在各个登录会话期间触发的安全事件的不同组合的历史发生值。
10.根据权利要求9所述的计算设备,其中,所述安全事件能够包括以下事件中的至少一些:帐户登录/注销、认证、帐户管理、进程创建、进程终止、目录服务、对象访问、应用发起、应用终止、文件共享、策略改变、特权使用、或系统事件。
11.根据权利要求9所述的计算设备,其中,安全事件变量的不同组合之一被配置为评估登录行为是否指示受损行为,所述安全事件变量的不同组合包括以下中的至少一些:帐户、帐户类型、机器角色、机器角色类型、登录时间、或登录类型。
12.根据权利要求9所述的计算设备,其中,安全事件变量的不同组合之一被配置为基于在先前登录会话期间观察到的安全事件序列的历史发生值,评估在所述登录会话期间观察到的相同安全事件序列是否指示受损行为。
13.根据权利要求12所述的计算设备,其中,在先前登录会话期间观察到的所述相同安全事件序列的历史发生值包括在先前登录会话期间观察到的所述相同安全事件序列的计数。
14.根据权利要求9所述的计算设备,其中,安全事件变量的不同组合之一被配置为评估安全事件之间的事件间时间是否指示受损行为,所述安全事件变量的不同组合包括:帐户或帐户类型、以及相关联的安全事件序列、以及序列中连续安全事件之间的相应事件间时间。
15.根据权利要求9所述的计算设备,其中,安全事件变量的不同组合之一被配置为评估在所述登录会话期间使用显式凭证登录的尝试是否指示受损行为,所述安全事件变量的不同组合包括以下中的至少一些:帐户、帐户类型、机器角色、机器角色类型、与使用显式凭证的登录尝试有关的的尝试登录的时间。
16.根据权利要求9所述的计算设备,其中,安全事件变量的不同组合之一包括以下至少之一:以下中的至少一些的组合:帐户、帐户类型、机器角色、机器角色类型、登录时间、或登录类型;以下中的至少一些的组合:帐户、帐户类型、机器角色、或机器角色类型、以及安全事件序列;以下的组合:帐户或帐户类型、以及相关联的安全事件序列、以及序列中连续安全事件之间的相应事件间时间;或以下中的至少一些的组合:帐户、帐户类型、机器角色、机器角色类型、与使用显式凭证的登录尝试有关的尝试登录的时间。
17.一种用于在具有多个计算设备的计算机网络中执行网络入侵检测的计算机实现的方法,所述方法包括:
接收登录会话数据,所述登录会话数据是与在所述计算机网络中的相应计算设备上的登录会话期间,关于授权帐户执行的活动的数据,所述登录会话数据包括表示响应于所述授权帐户访问所述计算机网络中的相应计算设备而在所述登录会话期间触发的安全事件的数据;
基于所述登录会话数据与安全事件变量的不同组合的比较、以及与所述安全事件变量的各个不同组合相对应的历史发生值,得出与各个登录会话有关的一个或多个入侵概率,各个入侵概率指示与各个登录会话有关的一个或多个安全事件是否指示受损行为;
将得出的一个或多个入侵概率组合为与各个登录会话有关的总体概率;并且
基于与所述各个登录会话有关的总体概率,通过所述计算机网络中的相应计算设备上的授权帐户来识别以下中的一个或多个:受损的授权帐户或所述计算机网络中的受损的计算设备。
18.根据权利要求17所述的计算机实现的方法,其中:与所述各个登录会话中的一个登录会话相对应的每个总体概率被分配有加权因子;并且将得出的多个概率进行组合包括使用所述加权因子而对得出的多个概率进行组合。
19.根据权利要求17所述的计算机实现的方法,其中,安全事件变量的不同组合包括以下中的至少一些:以下中的至少一些的组合:帐户、帐户类型、机器角色、机器角色类型、登录时间、或登录类型;以下中的至少一些的组合:帐户、帐户类型、机器角色、或机器角色类型、以及安全事件序列;以下的组合:帐户或帐户类型、以及相关联的安全事件序列、以及序列中连续安全事件之间的相应事件间时间;或以下中的至少一些的组合:帐户、帐户类型、机器角色、机器角色类型、与使用显式凭证的登录尝试有关的尝试登录的时间。
20.根据权利要求17所述的计算机实现的方法,其中,所述安全事件变量的一种不同组合被配置为基于在先前登录会话期间观察到的安全事件序列的历史发生值,评估在所述登录会话期间观察到的相同安全事件序列是否指示受损行为。
CN202010238842.6A 2014-09-18 2015-09-16 横向移动检测 Active CN111431915B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US14/490,594 2014-09-18
US14/490,594 US9591006B2 (en) 2014-09-18 2014-09-18 Lateral movement detection
PCT/US2015/050312 WO2016044359A1 (en) 2014-09-18 2015-09-16 Lateral movement detection
CN201580050440.0A CN106716958B (zh) 2014-09-18 2015-09-16 横向移动检测

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201580050440.0A Division CN106716958B (zh) 2014-09-18 2015-09-16 横向移动检测

Publications (2)

Publication Number Publication Date
CN111431915A CN111431915A (zh) 2020-07-17
CN111431915B true CN111431915B (zh) 2022-08-26

Family

ID=54293327

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201580050440.0A Active CN106716958B (zh) 2014-09-18 2015-09-16 横向移动检测
CN202010238842.6A Active CN111431915B (zh) 2014-09-18 2015-09-16 横向移动检测

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201580050440.0A Active CN106716958B (zh) 2014-09-18 2015-09-16 横向移动检测

Country Status (4)

Country Link
US (2) US9591006B2 (zh)
EP (1) EP3195560B1 (zh)
CN (2) CN106716958B (zh)
WO (1) WO2016044359A1 (zh)

Families Citing this family (87)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11507663B2 (en) 2014-08-11 2022-11-22 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US9710648B2 (en) 2014-08-11 2017-07-18 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US9614853B2 (en) * 2015-01-20 2017-04-04 Enzoo, Inc. Session security splitting and application profiler
US20210409449A1 (en) * 2015-10-28 2021-12-30 Qomplx, Inc. Privilege assurance of enterprise computer network environments using logon session tracking and logging
US10110626B2 (en) 2016-04-26 2018-10-23 International Business Machines Corporation Biology based techniques for handling information security and privacy
US10542044B2 (en) * 2016-04-29 2020-01-21 Attivo Networks Inc. Authentication incident detection and management
US10686792B1 (en) * 2016-05-13 2020-06-16 Nuvolex, Inc. Apparatus and method for administering user identities across on premise and third-party computation resources
WO2018004600A1 (en) * 2016-06-30 2018-01-04 Sophos Limited Proactive network security using a health heartbeat
GB2572471B (en) * 2016-06-30 2020-10-21 Sophos Ltd Detecting lateral movement by malicious applications
WO2018017151A1 (en) * 2016-07-21 2018-01-25 Level 3 Communications, Llc System and method for voice security in a telecommunications network
US10965693B2 (en) * 2016-07-31 2021-03-30 Fenror7 Ltd Method and system for detecting movement of malware and other potential threats
US10162962B1 (en) * 2016-09-14 2018-12-25 Symantec Corporation Systems and methods for detecting credential theft
US11818228B2 (en) * 2016-09-22 2023-11-14 Microsoft Technology Licensing, Llc Establishing user's presence on internal on-premises network over time using network signals
US10534925B2 (en) 2016-10-05 2020-01-14 Microsoft Technology Licensing, Llc Detection of compromised devices via user states
GB2543952B (en) * 2016-10-07 2019-05-01 F Secure Corp Advanced local-network threat response
US10915622B2 (en) * 2016-10-18 2021-02-09 Microsoft Technology Licensing, Llc Detecting local user security-related anomalies using active scans
US10567420B2 (en) * 2016-11-08 2020-02-18 International Business Machines Corporation Biology based techniques with cognitive system analysis for handling information security and privacy
US11616812B2 (en) 2016-12-19 2023-03-28 Attivo Networks Inc. Deceiving attackers accessing active directory data
US11695800B2 (en) 2016-12-19 2023-07-04 SentinelOne, Inc. Deceiving attackers accessing network data
US10728262B1 (en) 2016-12-21 2020-07-28 Palantir Technologies Inc. Context-aware network-based malicious activity warning systems
US10721262B2 (en) * 2016-12-28 2020-07-21 Palantir Technologies Inc. Resource-centric network cyber attack warning system
US10397258B2 (en) * 2017-01-30 2019-08-27 Microsoft Technology Licensing, Llc Continuous learning for intrusion detection
US10356120B1 (en) * 2017-04-28 2019-07-16 EMC IP Holding Company LLC Method, apparatus and computer program product for assessing the risk of electronic communications using logon types
US10462169B2 (en) * 2017-04-29 2019-10-29 Splunk Inc. Lateral movement detection through graph-based candidate selection
US10505954B2 (en) * 2017-06-14 2019-12-10 Microsoft Technology Licensing, Llc Detecting malicious lateral movement across a computer network
US10523699B1 (en) * 2017-06-20 2019-12-31 Amazon Technologies, Inc. Privilege escalation vulnerability detection using message digest differentiation
WO2019010100A1 (en) * 2017-07-01 2019-01-10 Shape Security, Inc. DETECTION OF IDENTIFIERS COMPROMISED DURING ATTACK BY IDENTIFIERS JAM
EP3643040A4 (en) 2017-08-08 2021-06-09 SentinelOne, Inc. METHODS, SYSTEMS AND DEVICES FOR DYNAMIC MODELING AND GROUPING OF END POINTS FOR EDGE NETWORKING
US10587611B2 (en) * 2017-08-29 2020-03-10 Microsoft Technology Licensing, Llc. Detection of the network logon protocol used in pass-through authentication
US10984099B2 (en) 2017-08-29 2021-04-20 Micro Focus Llc Unauthorized authentication events
US10824647B2 (en) * 2017-11-17 2020-11-03 Accenture Global Solutions Limited Real-time prediction and explanation of sequences of abnormal events
US10567156B2 (en) 2017-11-30 2020-02-18 Bank Of America Corporation Blockchain-based unexpected data detection
US11075820B2 (en) * 2017-12-20 2021-07-27 Cisco Technology, Inc. Automatically detecting authorized remote administration sessions in a network monitoring system
US10764309B2 (en) 2018-01-31 2020-09-01 Palo Alto Networks, Inc. Context profiling for malware detection
US11159538B2 (en) 2018-01-31 2021-10-26 Palo Alto Networks, Inc. Context for malware forensics and detection
US11470115B2 (en) 2018-02-09 2022-10-11 Attivo Networks, Inc. Implementing decoys in a network environment
US11140195B2 (en) 2018-04-04 2021-10-05 Sophos Limited Secure endpoint in a heterogenous enterprise network
US11616758B2 (en) 2018-04-04 2023-03-28 Sophos Limited Network device for securing endpoints in a heterogeneous enterprise network
US11271950B2 (en) 2018-04-04 2022-03-08 Sophos Limited Securing endpoints in a heterogenous enterprise network
US10972431B2 (en) 2018-04-04 2021-04-06 Sophos Limited Device management based on groups of network adapters
US11122064B2 (en) 2018-04-23 2021-09-14 Micro Focus Llc Unauthorized authentication event detection
US11347867B2 (en) * 2018-05-18 2022-05-31 Ns Holdings Llc Methods and apparatuses to evaluate cyber security risk by establishing a probability of a cyber-attack being successful
US11562064B2 (en) 2018-06-29 2023-01-24 Netiq Corporation Machine learning-based security alert escalation guidance
US11899763B2 (en) * 2018-09-17 2024-02-13 Microsoft Technology Licensing, Llc Supervised learning system for identity compromise risk computation
US11128629B2 (en) * 2018-09-19 2021-09-21 Google Llc Escalating user privileges in cloud computing environments
US11025657B2 (en) 2018-12-13 2021-06-01 Imperva, Inc. Selective database logging with smart sampling
US11481478B2 (en) * 2019-03-27 2022-10-25 Microsoft Technology Licensing, Llc Anomalous user session detector
CN111833861A (zh) * 2019-04-19 2020-10-27 微软技术许可有限责任公司 基于人工智能的事件评估报告生成
CN110166438B (zh) * 2019-04-19 2022-03-18 平安科技(深圳)有限公司 账户信息的登录方法、装置、计算机设备及计算机存储介质
US11397805B2 (en) 2019-05-09 2022-07-26 Microsoft Technology Licensing, Llc Lateral movement path detector
EP3973427A4 (en) 2019-05-20 2023-06-21 Sentinel Labs Israel Ltd. SYSTEMS AND METHODS FOR EXECUTABLE CODE DETECTION, AUTOMATIC FEATURE EXTRACTION, AND POSITION-INDEPENDENT CODE DETECTION
JP7302851B2 (ja) * 2019-06-04 2023-07-04 国立大学法人 筑波大学 特徴量選択支援装置、特徴量選択支援プログラム及び特徴量選択支援方法
CN110245491B (zh) * 2019-06-11 2021-01-08 国网安徽省电力有限公司 网络攻击类型的确定方法、装置以及存储器和处理器
CN110289995B (zh) * 2019-06-11 2021-02-02 同济大学 基于利用属性攻击图的社交网络行为监控方法及装置
CN113994633B (zh) * 2019-06-15 2024-03-19 诺基亚技术有限公司 通信系统中的网络功能集合的授权
TWI717831B (zh) 2019-09-11 2021-02-01 財團法人資訊工業策進會 攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體
CN112565163B (zh) * 2019-09-25 2023-03-21 深信服科技股份有限公司 一种检测加密等级降级行为的方法及装置
CN111061911B (zh) * 2019-12-17 2023-04-11 天津大学 面向多视频监控数据的目标检测与追踪方法、装置及设备
US11818157B2 (en) * 2019-12-31 2023-11-14 Microsoft Technology Licensing, Llc. Real-time detection of risky edge in lateral movement path
US11399039B2 (en) * 2020-01-30 2022-07-26 Microsoft Technology Licensing, Llc Automatic detection of illicit lateral movement
CN111371774A (zh) * 2020-02-28 2020-07-03 深信服科技股份有限公司 一种信息处理方法及装置、设备、存储介质
US20210336971A1 (en) * 2020-04-23 2021-10-28 Specter Ops, Inc. System and method for continuous collection, analysis and reporting of attack paths in a directory services environment
US11539725B2 (en) 2020-04-23 2022-12-27 Specter Ops, Inc. System and method for continuous collection, analysis and reporting of attack paths choke points in a directory services environment
US11770387B1 (en) * 2020-07-17 2023-09-26 Rapid7, Inc. Graph-based detection of lateral movement in computer networks
US11146472B1 (en) * 2020-07-21 2021-10-12 Bank Of America Corporation Artificial intelligence-based lateral movement identification tool
USD956779S1 (en) 2020-08-11 2022-07-05 Specter Ops, Inc. Display screen or portion thereof with an animated graphical user interface
USD956777S1 (en) 2020-08-11 2022-07-05 Specter Ops, Inc. Display screen or portion thereof with graphical user interface
USD956778S1 (en) 2020-08-11 2022-07-05 Specter Ops, Inc. Display screen or portion thereof with an animated graphical user interface
US11861001B2 (en) * 2020-11-23 2024-01-02 Reliaquest Holdings, Llc Threat mitigation system and method
US11579857B2 (en) 2020-12-16 2023-02-14 Sentinel Labs Israel Ltd. Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
US11606378B1 (en) 2020-12-30 2023-03-14 Rapid7, Inc. Lateral movement detection using a mixture of online anomaly scoring models
US11956212B2 (en) 2021-03-31 2024-04-09 Palo Alto Networks, Inc. IoT device application workload capture
US11811786B1 (en) * 2021-04-02 2023-11-07 Wiz, Inc. Lateral movement analysis using certificate private keys
US11811787B1 (en) * 2021-04-02 2023-11-07 Wiz, Inc. System and method for detecting lateral movement using cloud access keys
US11799874B1 (en) * 2021-04-02 2023-10-24 Wiz, Inc. System and method for detecting lateral movement using SSH private keys
US11882107B2 (en) * 2021-05-11 2024-01-23 Microsoft Technology Licensing, Llc Application single sign-on determinations based on intelligent traces
CN113364744A (zh) * 2021-05-19 2021-09-07 北京中睿天下信息技术有限公司 基于windows日志对域用户登录认证异常的检测方法及系统
US11743346B2 (en) 2021-07-08 2023-08-29 Nippon Telegraph And Telephone Corporation Detection device, detection method, and detection program
US11899782B1 (en) 2021-07-13 2024-02-13 SentinelOne, Inc. Preserving DLL hooks
US11397808B1 (en) * 2021-09-02 2022-07-26 Confluera, Inc. Attack detection based on graph edge context
US20230141928A1 (en) * 2021-10-13 2023-05-11 Oracle International Corporation Adaptive network attack prediction system
US20230134546A1 (en) * 2021-10-29 2023-05-04 Oracle International Corporation Network threat analysis system
CN114154058A (zh) * 2021-11-02 2022-03-08 支付宝(杭州)信息技术有限公司 一种账号操作者身份的预测方法及装置
US20230198978A1 (en) * 2021-12-22 2023-06-22 Mcafee, Llc Deterministic hash to secure personal data and passwords
WO2024010463A1 (en) * 2022-07-05 2024-01-11 Xero Limited Methods and systems for detecting compromised accounts and/or attempts to compromise accounts
US20240031391A1 (en) * 2022-07-22 2024-01-25 Semperis Technologies Inc. (US) Attack path monitoring and risk mitigation in identity systems
CN116319021B (zh) * 2023-03-23 2023-09-29 长扬科技(北京)股份有限公司 一种横向移动检测方法、装置、电子设备及存储介质

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020040439A1 (en) * 1998-11-24 2002-04-04 Kellum Charles W. Processes systems and networks for secure exchange of information and quality of service maintenance using computer hardware
US7076803B2 (en) * 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US7971237B2 (en) * 2003-05-15 2011-06-28 Verizon Business Global Llc Method and system for providing fraud detection for remote access services
US8191139B2 (en) 2003-12-18 2012-05-29 Honeywell International Inc. Intrusion detection report correlator and analyzer
US8528078B2 (en) * 2004-07-15 2013-09-03 Anakam, Inc. System and method for blocking unauthorized network log in using stolen password
US8533791B2 (en) * 2004-07-15 2013-09-10 Anakam, Inc. System and method for second factor authentication services
CN100512157C (zh) * 2005-01-24 2009-07-08 华为技术有限公司 基于模型转换的协议正确性验证和测试方法
US7904962B1 (en) 2005-03-10 2011-03-08 George Mason Intellectual Properties, Inc. Network attack modeling, analysis, and response
CN101233729B (zh) * 2005-06-14 2012-11-21 诺基亚公司 提供具有优选路径源路由、多保障QoS以及资源保留、管理和释放的高性能通信总线的装置、方法
US7774361B1 (en) * 2005-07-08 2010-08-10 Symantec Corporation Effective aggregation and presentation of database intrusion incidents
US7930256B2 (en) 2006-05-23 2011-04-19 Charles River Analytics, Inc. Security system for and method of detecting and responding to cyber attacks on large network systems
US8191149B2 (en) 2006-11-13 2012-05-29 Electronics And Telecommunications Research Institute System and method for predicting cyber threat
US7941382B2 (en) 2007-10-12 2011-05-10 Microsoft Corporation Method of classifying and active learning that ranks entries based on multiple scores, presents entries to human analysts, and detects and/or prevents malicious behavior
US8959618B2 (en) * 2008-02-05 2015-02-17 Red Hat, Inc. Managing password expiry
US8844033B2 (en) * 2008-05-27 2014-09-23 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for detecting network anomalies using a trained probabilistic model
US8914878B2 (en) * 2009-04-29 2014-12-16 Juniper Networks, Inc. Detecting malicious network software agents
FI20096394A0 (fi) * 2009-12-23 2009-12-23 Valtion Teknillinen Tunkeutumisen havaitseminen viestintäverkoissa
CN101801011A (zh) * 2010-01-27 2010-08-11 哈尔滨工程大学 基于信誉评测机制的wsn安全路由方法
US9621567B2 (en) * 2010-11-29 2017-04-11 Biocatch Ltd. Device, system, and method of detecting hardware components
US8850536B2 (en) * 2011-08-05 2014-09-30 Safefaces LLC Methods and systems for identity verification in a social network using ratings
WO2013029968A1 (en) * 2011-08-30 2013-03-07 Nec Europe Ltd. Method and system for detecting anomaly of user behavior in a network
CN102314569A (zh) * 2011-09-19 2012-01-11 南京大学 一种动态入侵响应的方法
CN102609785B (zh) * 2012-01-19 2015-06-03 中国科学院自动化研究所 复合事件处理系统及其部署方法
US8724455B2 (en) * 2012-01-20 2014-05-13 International Business Machines Corporation Distributed control of a fail-to-wire switch for a network communication link
US9129108B2 (en) * 2012-01-31 2015-09-08 International Business Machines Corporation Systems, methods and computer programs providing impact mitigation of cyber-security failures
US9298890B2 (en) * 2012-03-20 2016-03-29 Facebook, Inc. Preventing unauthorized account access using compromised login credentials
US8990948B2 (en) 2012-05-01 2015-03-24 Taasera, Inc. Systems and methods for orchestrating runtime operational integrity
US9661003B2 (en) * 2012-05-11 2017-05-23 Thomas W. Parker System and method for forensic cyber adversary profiling, attribution and attack identification
US9088606B2 (en) * 2012-07-05 2015-07-21 Tenable Network Security, Inc. System and method for strategic anti-malware monitoring
US20140101761A1 (en) * 2012-10-09 2014-04-10 James Harlacher Systems and methods for capturing, replaying, or analyzing time-series data
US8973141B2 (en) * 2013-03-15 2015-03-03 Click Security, Inc. Universal actor correlator
US9185136B2 (en) * 2013-11-28 2015-11-10 Cyber-Ark Software Ltd. Correlation based security risk identification
US9210183B2 (en) * 2013-12-19 2015-12-08 Microsoft Technology Licensing, Llc Detecting anomalous activity from accounts of an online service
US9621586B2 (en) * 2014-02-08 2017-04-11 International Business Machines Corporation Methods and apparatus for enhancing business services resiliency using continuous fragmentation cell technology
US9148424B1 (en) * 2015-03-13 2015-09-29 Snapchat, Inc. Systems and methods for IP-based intrusion detection

Also Published As

Publication number Publication date
US9591006B2 (en) 2017-03-07
WO2016044359A1 (en) 2016-03-24
US20160088000A1 (en) 2016-03-24
US9825978B2 (en) 2017-11-21
CN111431915A (zh) 2020-07-17
EP3195560B1 (en) 2018-06-13
EP3195560A1 (en) 2017-07-26
US20170126717A1 (en) 2017-05-04
CN106716958A (zh) 2017-05-24
CN106716958B (zh) 2020-04-14

Similar Documents

Publication Publication Date Title
CN111431915B (zh) 横向移动检测
US11212306B2 (en) Graph database analysis for network anomaly detection systems
AU2017224993B2 (en) Malicious threat detection through time series graph analysis
US10803183B2 (en) System, method, and computer program product for detecting and assessing security risks in a network
US11288111B2 (en) Entropy-based classification of human and digital entities
EP3523743B1 (en) Detection of compromised devices via user states
US10375095B1 (en) Modeling behavior in a network using event logs
EP3921750B1 (en) Dynamic cybersecurity peer identification using groups
Dykstra Essential cybersecurity science: build, test, and evaluate secure systems
Turcotte et al. Modelling user behaviour in a network using computer event logs
de la Torre-Abaitua et al. A compression based framework for the detection of anomalies in heterogeneous data sources
US10491615B2 (en) User classification by local to global sequence alignment techniques for anomaly-based intrusion detection
Berdal A holistic approach to insider threat detection
Wu et al. ChainSpot: mining service logs for cyber security threat detection
Ramaki et al. CAPTAIN: Community-based Advanced Persistent Threat Analysis in IT Networks
US11995593B2 (en) Adaptive enterprise risk evaluation
US20200167705A1 (en) Adaptive enterprise risk evaluation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant