CN111832002A - 使用事件日志检测异常账户 - Google Patents
使用事件日志检测异常账户 Download PDFInfo
- Publication number
- CN111832002A CN111832002A CN202010697549.6A CN202010697549A CN111832002A CN 111832002 A CN111832002 A CN 111832002A CN 202010697549 A CN202010697549 A CN 202010697549A CN 111832002 A CN111832002 A CN 111832002A
- Authority
- CN
- China
- Prior art keywords
- account
- login
- baseline
- event
- anomalous
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002547 anomalous effect Effects 0.000 title claims abstract description 89
- 238000000034 method Methods 0.000 claims abstract description 267
- 230000008569 process Effects 0.000 claims description 165
- 238000001514 detection method Methods 0.000 claims description 57
- 230000002159 abnormal effect Effects 0.000 claims description 55
- 238000010586 diagram Methods 0.000 description 28
- 238000001914 filtration Methods 0.000 description 25
- 238000004458 analytical method Methods 0.000 description 19
- 238000012545 processing Methods 0.000 description 17
- 238000009434 installation Methods 0.000 description 14
- 230000000694 effects Effects 0.000 description 13
- 230000006399 behavior Effects 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 11
- 238000007792 addition Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 238000012800 visualization Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 239000003550 marker Substances 0.000 description 4
- 230000026676 system process Effects 0.000 description 4
- 230000004931 aggregating effect Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000009931 harmful effect Effects 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000002650 habitual effect Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0766—Error or fault reporting or storing
- G06F11/0787—Storage of error reports, e.g. persistent data storage, storage using memory protection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/079—Root cause analysis, i.e. error or fault diagnosis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
Abstract
所要求保护的主题包括用于检测异常账户的技术。示例方法包括经由处理器接收被监测机器的列表和包括针对预定时间窗口对于被监测机器的列表的登录的事件日志。示例方法还包括经由处理器基于针对预定时间窗口的事件日志来生成基线。示例方法还包括经由处理器收集在预定时间之后的每日登录事件,并且将每日登录事件与基线相比较。该方法还包括经由处理器基于异常账户的登录事件与基线的差异来检测异常账户。该方法还包括经由处理器显示检测到的异常账户。
Description
分案申请说明
本申请是申请日为2016年05月20日、申请号为201680028017.5、发明名称为“使用事件日志检测异常账户”的中国发明专利申请的分案申请。
背景技术
事件日志提供信息技术(IT)环境内几乎完整的活动历史。事件日志可以包括登录时间、创建的过程的名称、过程的目录路径、以及用于连接到多个主机的账户。
发明内容
以下呈现创新的简化概述,以便提供对本文中描述的一些方面的基本理解。本概述不是对所要求保护的主题的广泛综述。其既不旨在标识所要求保护的主题的关键要素,也不旨在界定所要求保护的主题的范围。其唯一目的是以简化的形式呈现所要求保护的主题的一些概念,作为稍后呈现的更详细描述的序言。
实现提供了一种用于异常过程检测的系统。该系统包括日志模块,其被配置为接收多个事件日志的事件。该系统还包括过滤器模块,其被配置为基于检测到的过程创建来过滤多个事件日志。该系统还可以进一步包括接收模块,其被配置为接收针对检测到的每个过程创建的目录路径和过程名称。该系统还可以包括转换模块,其被配置为基于针对每个目录路径的每个子目录的字符计数来将目录路径转换成整数序列。该系统还可以包括检测模块,其被配置为基于匹配字符计数和匹配过程名称的阈值数目来检测异常过程。该系统还可以进一步包括显示模块,其被配置为显示检测到的异常过程。
另一实现提供了一种用于检测异常账户的系统。该系统包括接收模块,用于接收被监测机器的列表和,包括针对预定时间窗口对于被监测机器的列表的登录的事件日志。该系统还可以包括用于基于针对预定时间窗口的事件日志来生成基线的模块。该系统还可以包括收集器模块,其被配置为收集在预定时间之后的每日登录事件并且将每日登录事件与基线相比较。该系统还可以包括检测模块,其被配置为基于异常账户的登录事件与基线的差异来检测异常账户。该系统还可以包括更新模块,其被配置为通过基于预定调整时间从基线中移除较旧的事件日志,并且基于预定调整时间添加来自非异常账户的新事件日志,并且将每日登录事件与新的基线相比较,来生成新的基线。该系统还可以包括显示模块,其被配置为显示检测到的异常账户。
另一实现提供了一种用于生成气泡图的系统。该系统包括接收模块,其被配置为接收已处理事件日志,包括针对预定时间在多个机器处对登录账户的登录。该系统还可以包括聚合器模块,其被配置为聚合针对登录账户的已处理事件日志,以生成针对登录账户的登录总数、以及第一登录时间和最后登录时间。该系统还可以包括图形模块,其被配置为基于针对登录账户的登录总数以及第一登录时间和最后登录时间之间的差异以及指示针对登录账户的第一登录与最后登录之间的逆差的气泡大小来生成包括气泡的气泡图。该系统还可以包括显示模块,其被配置为显示气泡图。
另一实现提供了一种用于异常过程检测的方法。该方法可以包括经由处理器接收多个事件日志。该方法还可以包括经由处理器过滤多个事件日志以检测过程创建。该方法还可以包括经由处理器接收针对检测到的每个过程创建的目录路径和过程名称。该方法还可以进一步包括经由处理器基于字符计数来将每个目录路径转换成整数序列。该方法还可以包括经由处理器基于匹配字符计数的阈值数目来检测异常过程。该方法还可以进一步包括经由处理器显示检测到的异常过程。
另一实现提供了一种用于检测异常账户的方法。该方法可以包括经由处理器接收被监测机器的列表和包括针对预定时间窗口对于被监测机器的列表的登录的事件日志。该方法还可以包括经由处理器基于针对预定时间窗口的事件日志来生成基线。该方法还可以包括经由处理器收集在预定时间之后的每日登录事件,并且将每日登录事件与基线相比较。该方法还可以进一步包括经由处理器基于异常账户的登录事件与基线的差异来检测异常账户。该方法还可以包括经由处理器显示检测到的异常账户。
另一实现提供了一种用于生成气泡图的方法。该方法包括经由处理器接收已处理事件日志,包括针对预定时间在多个机器处对登录账户的登录。该方法还可以包括经由处理器聚合针对登录账户的已处理事件日志,以生成针对登录账户的登录总数、以及第一和最后登录时间。该方法还可以进一步包括经由处理器基于针对登录账户的登录总数以及第一登录时间与最后登录时间之间的差异来生成气泡图。该方法还可以包括经由处理器显示气泡图。
以下描述和附图详细阐述了所要求保护的主题的某些说明性方面。然而,这些方面指示可以采用创新的原理的各种方式中的一些方式,并且所要求保护的主题旨在包括所有这样的方面及其等同物。在结合附图考虑时从对创新的以下详细描述中,所要求保护的主题的其他优点和新颖特征将变得显而易见。
附图说明
图1是用于检测异常过程的示例系统的框图;
图2是用于检测异常账户的示例系统的框图;
图3是根据本文中描述的技术的示例气泡图;
图4示出了用于检测异常过程的示例方法的过程流程图;
图5示出了用于检测异常账户的示例方法的过程流程图;
图6示出了用于生成异常登录的气泡图的示例方法的过程流程图;
图7是被配置用于实现本文中描述的技术的各个方面的示例操作环境的框图;以及
图8是可以用于生成异常登录的气泡图的示例计算机可读存储介质的框图。
具体实施方式
信息技术网络中的漏洞的攻击和暴露是对企业知识产权的重大风险,并且可能影响企业有效运营的能力。通常每天收集的事件日志可以用于查看信息技术网络内几乎完整的活动历史记录,其中通常会发现攻击和恶意行为的证据。然而,事件日志数据的量、种类和速度限制了使用传统分析和数据存储对这样的活动的检测。
本公开描述了用于经由处理多个事件日志来检测异常过程和账户的技术。在一些示例中,事件日志可以包括关于过程创建、登录、以及执行过程创建或登录的账户等的信息。如本文中使用的,过程创建是指包括关于正在执行的计算机程序的实例的信息的事件类型。例如,过程创建事件可以包括账户的安全ID、账户登录名称、账户域/计算机名称、和登录ID,并且有时可以称为4688事件。如本文中使用的,登录是指将账户的尝试认证记录到机器上的事件类型。例如,登录可以包括安全ID、账户登录名、账户域/计算机名称、和登录ID,并且有时可以称为4624事件。在一些示例中,异常过程可以通过收集事件日志并且将目录路径和过程名称的字符计数相比较来检测。
在一些示例中,可以从多个账户的登录事件的时间窗口生成基线。例如,时间窗口可以是每周、每日、每小时等。可以通过将在时间窗口内访问机器列表的每个账户的登录事件与基线相比较来检测异常账户。在一些技术中,可以在预定调整时间基于从每日登录事件检测到的来自非异常账户的最近事件日志来更新基线。然后可以将每日登录事件与新基线相比较。
在一些示例中,可以针对预定时间窗口聚合来自事件日志的登录事件,并且创建用于可视化账户行为并且强调异常账户的气泡图。账户可以由图形上的气泡表示,气泡描绘账户到任何主机的登录总数与到任何机器的最近登录时间。另外,气泡的大小可以相反地指示第一登录时间与最后登录时间之间的差异。
因此,这些技术启用了对否则不能够由用户全面地分析的大量登录数据中的异常账户和活动的实时检测。例如,事件日志的大小可以是太字节(terabyte)。此外,这些技术包括分析例行地收集的现有数据。因此,这些技术不收集附加数据。这些技术还减少了检测异常行为和相关联的账户所需要的处理量。例如,可以使用压缩来最小化文件大小。此外,提高的检测效率可以通过使得用户能够使用更少的资源找到异常行为或账户来进一步节省计算机资源。此外,这些技术还启用了对可疑活动的较早检测。例如,本文中提供的对事件日志的分析和可视化可以通过使得用户能够高效地分析大量数据中的潜在威胁来提高系统安全性。这些技术在本文中被更详细地描述。
作为初步事项,一些附图在一个或多个结构部件的上下文中描述概念,其不同地被称为功能、模块、特征、元素等。附图中所示的各种部件可以以任何方式实现,诸如软件、硬件、固件或其组合。在一些情况下,附图中所示的各种部件可以反映相应部件在实际实现中的使用。在其他情况下,附图中所示的任何单个部件可以由多个实际部件来实现。附图中的任何两个或更多个单独的部件的描绘可以反映由单个实际部件执行的不同功能。下面讨论的图7提供了关于可以用于实现附图中所示的功能的一个系统的细节。
其他附图以流程图形式描述概念。在这种形式中,某些操作被描述为构成以特定顺序执行的不同框。这样的实现是示例性的而非限制性的。本文中描述的某些框可以被分组在一起并且在单个操作中被执行,某些框可以分解成多个部件框,并且某些框可以以与本文中所示的顺序不同的顺序被执行,包括执行框的并行方式。流程图中所示的框可以通过软件、硬件、固件、手动处理等来实现。如本文中使用的,硬件可以包括计算机系统、分立逻辑部件、诸如专用集成电路(ASIC)等。
关于术语,短语“被配置为”包括可以构造任何种类的功能以执行所标识的操作的任何方式。功能可以被配置为使用例如软件、硬件、固件等来执行操作。术语“逻辑”包括用于执行任务的任何功能。例如,流程图中所示的每个操作对应于用于执行该操作的逻辑。操作可以使用软件、硬件、固件等来被执行。术语“部件”、“系统”等可以是指计算机相关实体、硬件和执行中的软件、固件或其组合。部件可以是在处理器上运行的过程、对象、可执行程序、程序、函数、子例程、计算机、或软件和硬件的组合。术语“处理器”可以是指硬件部件,诸如计算机系统的处理单元。
此外,所要求保护的主题可以被实现为使用标准编程和工程技术产生用于控制计算设备实现所公开的主题的软件、固件、硬件或其任何组合的方法、装置或制品。如本文中使用的,术语“制品”旨在包括从任何计算机可读存储设备或介质可访问的计算机程序。计算机可读存储介质包括磁存储设备,例如硬盘、软盘、磁带、光盘、光碟(CD)、数字通用盘(DVD)、智能卡、闪存设备等。此外,计算机可读存储介质不包括通信介质,诸如用于无线信号的传输介质。相反,计算机可读介质(即不是存储介质)可以包括通信介质,诸如用于无线信号的传输介质。
图1是用于检测异常过程的示例系统的框图。图1的示例系统总体上由附图标记100指代。
在示例系统100中,异常检测分析模块102被连接到存储库104,存储库104中可以存储异常过程创建,如箭头106所示。具有异常具有过程创建的存储库104连接到过滤和自动分类模块108,如箭头110所示。过滤和自动分类模块108可以基于过程模式滤除已知的良性过程并且对异常进行自动分类。例如,过程的模式可以与灰色软件相关联。如本文中使用的,灰色软件是指以恶劣或不期望、然而不及恶意软件严重或麻烦的方式表现的过程。过滤和分类模块108连接到包含在过滤之后剩余的异常的存储库112,如箭头114所示。包含剩余异常的存储库112也可以由客户端116可访问,客户端116可以接收反馈118并将反馈118发送到过滤和自动分类模块108。如图1的左侧所示,异常检测分析模块102可以包括存储的每日事件拉取119。异常检测分析模块102还可以包括用于事件122的每个实例的完整目录路径120,如箭头所示。完整目录路径120可以被处理以获得目录路径124和过程名称126,如箭头128和130所示。路径中的任何已知的用户名可以被忽略。例如,完整目录路径和名称120C:\Users\[alias]\AppData\Local\c41af15c8fa9\c41af15c8fa9.exe可以被处理以获得直接路径124C:\Users\AppData\Local\c41af15c8fa9\和过程名称126c41af15c8fa9.exe。目录路径124可以被处理以获得目录路径124的每个子目录名称的字符计数132,如箭头134所示。例如,路径C:\Users\AppData\Local\c41af15c8fa9\可以使得斜杠之间的所有字符被替换为字符计数(2,5,7,5,12)。字符计数132和过程名称126被包括在要与每日事件拉取119进行的比较136中,如箭头138所示。
在示例系统100中,异常检测分析模块102可以在存储装置中接收每日事件拉取119。例如,存储装置119中的每日事件拉取119可以包括每天收集的数千到数十亿事件。事件119可以包括过程创建事件,有时称为事件4688的实例。例如,过程创建事件可以用文档记录被执行的每个程序、运行程序的账户和机器、以及开始该过程的过程。在一些示例中,所收集的每日事件拉取119的数据大小可以超过每天10太字节的原始数据。事件日志可以被推送到多个事件收集器系统并且传送到与多个示例处理系统100共享的文件夹。示例系统100可以将事件日志从本机格式(诸如可扩展标记语言(XML)格式)转换成通用结构化表格格式。然后事件日志可以被存储在每日事件拉取119的存储装置中。在一些示例中,已处理事件日志可以被压缩并且插入到存储装置中。例如,可以使用优化的行列(ORC)格式来压缩事件日志。在一些示例中,存储装置可以使用HDFS格式。此外,示例系统100可以使用错误处理和重新运行过程来防止数据的丢失或损坏。在一些示例中,链接到示例系统100的系统监测应用可以监督基础架构的健康和维护,并且提供关于操作系统服务、文件跟踪信息和系统状态的心跳的状态更新。
如图1所示,异常检测分析模块102可以每天处理记录事件122的新实例的事件日志,用于检测诸如恶意软件安装的有害活动。例如,事件实例可能包括这样的有害活动的证据。在一些示例中,过滤和自动分类模块108可以基于可能发现恶意软件的特定子目录路径来过滤过程创建。例如,目录可以包括用于特定操作系统的公共子目录。在一些示例中,异常检测分析模块102和过滤和自动分类模块108可以标记具有罕见的名称或目录路径的过程,其被定义为在IT环境中的所有主机上发生的次数少于阈值次数,如可能与恶意软件安装相关联。在一些示例中,过滤和自动分类模块108可以忽略用户标识的子目录。异常检测分析模块102还可以应用于记录目录信息的其他事件,包括新的服务安装事件,有时称为事件7045。例如,新的服务安装事件可以记录服务名称和目录信息,并且可以包括恶意软件安装的证据。在一些示例中,异常检测分析模块102可以通过比较文件夹名称124的字符计数序列132而不是文件夹名称124的字符串来确定目录路径的罕见性。例如,来自过程创建事件的目录路径120可以被转换成整数序列132,每个整数序列132表示相应子目录名称的字符数。例如,目录路径124“C:\Windows\System32\Microsoft\”可以由整数序列132(2,7,8,9)表示。“C:”可以由整数2表示,“Windows”可以由整数7表示,“System32”可以由整数8表示,并且“Microsoft”可以由整数9表示。在一些示例中,可以从目录路径中移除用户名。在一些示例中,异常检测分析模块102可以将具有发生少于阈值次数的整数序列132的事件标记为潜在恶意的。例如,可以将类似的字符计数与阈值数目相比较,以确定与目录路径相关联的过程是否可能是异常的。例如,具有唯一的目录路径并且因此具有出现少于阈值次数的字符数的过程可以被检测为异常。在一些示例中,可以比较138过程名称,并且不太常见的名称可以被检测为异常。在一些示例中,已知的良性过程可以在比较138之前被滤除。可以基于最初检测到的异常过程来接收反馈118,以从未来的检测中滤除可能是良性的附加过程。因此,本技术还可以解决如下问题:由于子目录GUID具有相同的字符长度而检测到具有带有GUID的唯一子目录路径的过多误报。结果,它们不需要相对于字符计数是罕见的,并且不需要被错误地检测为异常。
仍然参考图1,一旦异常检测分析模块102将事件标记为潜在地与恶意软件相链接,则可以应用过滤和自动分类模块108的附加查询逻辑以过滤已知的罕见但良性的过程创建和与灰色软件或广告软件相链接的过程的自动分类模式。在一些示例中,在处理事件之后,过滤和自动分类逻辑108可以发送剩余异常112以显示给安全专家用于调查。例如,剩余异常112可以在客户端116处被显示。作为回报,过滤和自动分类逻辑108可以接收误报实例并且使用误报实例来更新。
图1的图并不旨在指示示例系统100应当包括图1所示的所有部件。相反,示例系统100可以包括更少的部件或图1中未示出的附加部件(例如,附加的模块、客户端116等)。
图2是用于检测异常账户的示例系统的框图。示例系统200可以使用如下所述的计算机702来实现。
示例系统200可以包括在通信上连接到用于可视化和检测异常账户的可视化和检测逻辑204的事件存储库202。事件存储库202还可以在通信上连接到用于对照基线对异常事件进行每日检测的每日检测逻辑206。在框208,用于可视化和检测异常账户的可视化和检测逻辑204针对预定时间量聚合事件历史。在框210,可视化和检测逻辑204从聚合的登录历史创建气泡图,如箭头212所示。在框216,每日检测逻辑206构建初始基线。在框218,每日检测逻辑206通过将登录账户与初始基线相比较来执行每日检测,如箭头220所示。每日检测逻辑206还可以检测一个或多个每日异常222,如箭头224所示。在框226,每日检测逻辑206创建包括新的数据月228的新基线。图2还示出了用于初始基线216的基线开始标记230和用于初始基线216的基线结束标记232。还针对已更新基线框226示出了已更新基线开始标记234和已更新基线结束标记236。
在图2的示例系统200中,事件存储库202可以包括多个事件。例如,事件可以包括到机器列表的登录事件。机器列表可以包括信息技术机器,诸如域控制器和证书授权服务器。事件存储库202可以由用于可视化和检测异常账户的可视化和检测逻辑204访问。在框208,可视化和检测逻辑204针对一段时间聚合登录历史。例如,预定时间量可以是两个月或六个月。在一些示例中,对于给定的机器列表,从任何账户到这些主机的登录在一段时间内被收集并且存储在事件存储库202中。例如,给定列表可以包含名称包含“-dc-”的主机,其指示主机是域控制器服务器。框208然后可以聚合事件,以为每个账户提供登录总数以及跨来自列表的所有机器的最近和最早登录时间。在框210,可视化和检测逻辑204从聚合的登录历史创建气泡图,如箭头212所示。例如,气泡图可以类似于下面的图3的示例气泡图。
在一些示例中,事件存储库202可以由每日检测逻辑206访问,其可以将在一段时间内记录的事件存储为基线216。例如,基线216可以包括在六个月期间记录的从任何账户到机器的所有登录。在图2中,针对基线216的时段从基线开始时间230处开始,并且在基线结束时间232处结束。在框218,每日检测逻辑206每天收集登录事件,并且将每日登录事件与基线216相比较。每日检测逻辑206可以将尚未被检测到登录到基线中的机器上的任何账户标记为异常。在框224,每日检测逻辑206将异常账户添加到每日异常存储库222。在预定时间量之后,每日检测逻辑206可以通过移除较旧事件并且包括最近时间段的未被标记为异常的所有登录事件来更新基线216。例如,给定六个月的预定时间量,来自六个月中的第一月的事件可以被移除,并且来自最近一个月的收集的登录事件可以被添加。因此,新基线226可以包括从已更新基线开始时间234到已更新基线结束时间236的所有捕获的事件。类似于上面的示例系统100中的异常检测分析模块102,其对于任何罕见的目录和过程名称检测大体是足够的,基线216也可以基于其他类型的事件。例如,事件可以包括当成员被添加到机器的全局和/或本地组时被触发的事件。
因此,本技术节省了资源,诸如否则可能已被花费在测试误报上的处理器功率和带宽。此外,这些技术通过提供可管理的数目的每日异常以用于审查来减少未检测到的恶意行为的风险。此外,这些技术提供了针对广泛受众容易地可视化异常账户和可疑登录活动的能力。
图2的图并不旨在指示示例系统200应当包括图2所示的所有部件。相反,示例系统200可以包括更少的部件或图2中未示出的附加部件(例如,附加的事件202、逻辑、块等)。
图3是根据本文中描述的技术的示例气泡图。示例气泡图总体上由附图标记300表示。
在示例气泡图300中,纵轴302表示账户到来自主机列表的任何主机的登录总数。横轴304表示到来自主机列表的任何机器的账户登录的最近时间。两个账户306和308由气泡指示。账户306具有相反地指示账户的最近登录时间与最早登录时间之间的差异的大小310。账户306的代表性气泡的大小310大于账户308的气泡大小,其指示账户306在账户的最近登录与最早登录之间具有较少的时间差。因此,账户306比账户308更可能是异常的,因为账户306的登录历史驻留在较小的时间帧内。
在示例气泡图300中,每个账户的总登录302针对最近登录304被绘制。另外,每个气泡的大小310反映第三维度,第三维度表示特定账户的最近登录时间与该账户的最早登录时间之间的逆差。例如,在最近登录与最早登录之间具有较大差异的账户可以具有较小的气泡。气泡大小310可以反映具有较长使用历史的账户比具有较少历史的账户较不异常。此外,具有对来自列表的任何主机的较低登录总数的账户更有可能是异常的。如横轴304所示,具有较多最近登录时间的账户也被认为较不异常。因此,根据所有三种度量账户306是更加异常的:账户306具有较低的登录总数、较少最近登录时间、以及最近登录时间与最早登录时间之间的较小差异。另一方面,根据所有三种度量账户308显示为较不异常。账户308具有较高的登录总数302和较多的最近日志时间。此外,账户308由较小的气泡表示,其指示与账户308相关联的最后登录时间和与账户308相关联的最早登录时间之间的较大时间差。由于IT服务器的良性账户通常展现出一致的登录行为,所以示出高水平的异常的账户可能具有低数目的登录、指示账户长时间不活动的在遥远的过去的最近登录时间、以及最近和最早登录之间的小的时间差。因此,异常账户可以集中在图的左下角,并且与良性账户相比具有较大的气泡大小。在一些示例中,可以进行阈值选择以将账户标记为异常,并且从而进一步由安全分析师进行调查。例如,阈值可以基于登录次数和最近登录时间。因此,异常的账户将在气泡图的左下方较大和/或被分组,从而提高用户检测异常账户并提供关于账户和/或活动是良性还是恶意的反馈的能力。使用本技术可以更容易地检测证明异常的账户。
图3的图并不旨在指示示例气泡图300应当包括图3所示的所有部件。相反,示例气泡图300可以包括更少的部件或图3中未示出的附加部件(例如,附加的账户、尺寸等)。
图4示出了用于检测异常过程的示例方法的过程流程图。该方法总体上由附图标记400表示,并且可以使用如下所述的计算机702来实现。示例方法400可以由图1所示的异常检测分析模块102执行。
在框402,接收多个事件日志。例如,事件日志可以每天被拉取用于处理。事件日志可以包括多个过程创建,其具有用于每个过程创建的对应目录路径和过程名称。事件日志可以被保存到存储装置。在一些示例中,事件日志被处理和存储为通用结构化表格格式。在一些示例中,可以使用ORC格式来压缩事件日志。
在框404,基于检测到的过程创建来过滤多个事件日志。例如,过程创建可以是事件4688的实例。在一些示例中,可以基于可能找到恶意软件的特定子目录路径来过滤过程创建。例如,目录可以包括用于特定操作系统的公共子目录。在一些示例中,具有罕见名称或目录路径的过程可以被标记为潜在地与恶意软件安装相关联。在一些示例中,在过滤期间可以忽略用户标识的子目录。例如,可以从下面的框414中的反馈中接收用户标识的子目录。在一些示例中,与恶意软件或灰色软件相链接的过程模式可以被自动分类为异常。例如,灰色软件过程可以包括间谍软件或广告软件过程。在一些示例中,事件日志可以被过滤以包括诸如服务安装、来自组的成员的添加或移除的事件。例如,事件日志可以包括指示服务被安装在系统上的事件日志4697。
在框406,接收针对检测到的每个过程创建的目录路径和过程名称。例如,目录路径可以是由斜杠符号分隔的子目录串。在一些示例中,可以从目录路径中移除包括用户名的串。例如,路径“C:/root/Alice/directory”可以缩短为“C:/root/directory”。在一些示例中,可以针对检测到的每个服务安装接收目录路径和过程名称。在一些示例中,针对检测到的每个服务安装检测目录路径和过程名称。
在框408,基于针对目录路径的每个子目录的字符计数来将每个目录路径转换成整数序列。来自每个过程创建事件的目录路径120可以被转换成整数序列132,每个整数序列132表示对应子目录名称的字符数。例如,目录路径“C:/root/example/directory/”可以被表示为“(2,4,7,9)”。
在框410,基于匹配字符计数或匹配过程名称的阈值数目来检测异常过程。在一些示例中,可以通过比较文件夹名称的字符计数序列而非文件夹名称的字符串来确定异常目录路径。例如,如果序列(2,4,7,9)仅发生少于阈值次数,则具有该目录路径的对应过程可以被检测为是异常的。在一些示例中,具有整数序列的目录路径或过程名称总体上出现n次或更少次的事件可以被标记为异常,其中n是类似实例的阈值数目。在一些示例中,将过程的名称与过程名称列表相比较。例如,列表可以包括作为系统过程的过程名称。检测到的过程名称可以与过程名称列表相比较,并且也可以用于检测异常过程。例如,如果过程创建具有异常的目录路径序列和与系统过程列表相似或相同的过程名称,则这样的过程创建可以被检测为是异常的。在一些示例中,与系统过程列表类似并且与类似系统过程在相同的目录路径中的过程名称可以被检测为是异常的。到类似目录路径中的服务安装也可以被检测为是异常的。因此,由于过程名称的相似性而可能容易被人类用户忽略的过程和服务安装添加可以被检测为是异常的,并且因此经受进一步审查。
在框412,显示检测到的异常过程。例如,异常过程可以被显示在目录列表中,用于安全专家进一步调查。安全专家可以确定异常过程是否是恶意的。在一些示例中,还可以显示异常服务安装。
在框414,接收反馈作为输入以在对过滤多个活动日志中使用。例如,误报可以由安全专家标识并且由过滤和自动分类模块108接收。然后,过滤和自动分类模块108可以更新其良性过程列表并且在稍后的分析中在早期阶段过滤这样的过程。例如,具有字符计数序列和过程名称的特定组合的过程创建可以被过滤和自动分类模块108从未来的异常分析中排除。在一些示例中,被检测为异常的服务安装也可以被添加到过滤器以从未来的异常分析和检测中被排除。
该过程流程图不旨在指示方法400的框要以任何特定顺序被执行,也不旨在指示所有框在每种情况下都要被包括。此外,取决于具体实现的细节,未示出的任何数目的附加框可以被包括在方法400内。
图5示出了用于检测异常账户的示例方法的过程流程图。示例方法总体上由附图标记500表示,并且可以使用如下所述的计算机702来实现。示例方法500可以由示例系统200执行。
在框502,接收被监测机器的列表和包括针对预定时间窗口对于被监测机器的列表的登录的事件日志。例如,预定时间窗口可以是六个月。在一些示例中,事件日志可以包括向组添加新成员。例如,事件日志可以包括事件日志4728的实例,其中成员被添加到启用安全性的全局组。
在框504,基于针对预定时间窗口的事件日志来生成基线。例如,基线可以包括在预定时间窗口中未被检测为异常或被确定为误报的所有账户。在一些示例中,基线可以包括未被检测为异常或被确定为安全的成员资格添加。基线可以表示针对预定时间窗口的正常账户行为。例如,个人账户的行为可以被用于针对该账户生成基线。例如,账户可以仅登录到一个服务器。在一些示例中,可以使用多个账户的行为来生成基线。例如,很少被登录上的服务器可以被留在基线之外。在一些示例中,安全敏感服务器也可以被留在基线之外。因此,到安全敏感服务器的任何登录可以被检测为是异常的。
在框506,收集在预定时间之后的每日登录事件并且将其与基线相比较。例如,可以提取针对每个登录事件的账户ID和服务器,并且将其与所生成的基线中的账户ID和服务器相比较。在一些示例中,也可以收集在预定时间之后的成员资格添加并且将其与基线相比较。
在框508,可以基于异常账户的登录事件与基线的差异来检测异常账户。例如,如果在每日事件拉取中检测到的账户不存在于基线中,则该账户可以被标记为异常。如果在基线中发现来自每日事件拉取的账户,则该账户可以被标记为良性。在一些示例中,如果账户登录到在其正常登录基线之外的服务器,则该登录可以被检测为异常。在一些示例中,到很少被登录上的服务器的登录可以被检测为异常。在一些示例中,与基线成员资格添加不同的新成员资格添加可以被检测为异常。
在框510,通过在预定调整时间从基线中移除较旧的事件日志并且在预定调整时间从非异常账户添加新事件日志来生成新基线。例如,预定调整时间可以是一个月。给定六个月的预定时间窗口,在一些示例中,可以移除第一月的事件日志,并且将最新月份的所记录的事件日志添加到基线。因此,新的基线基于最近六个月的事件日志。在一些示例中,预定时间窗口可以是可以每小时、每天或每月重新调整的移动窗口。以这种方式,被视为账户的正常行为的活动可以随时间而改变,从而适应环境的任何变化。
在框512,显示检测到的异常账户。例如,异常账户可以被显示在一个或多个客户端机器处用于进一步分析。在一些示例中,异常账户可以根据下面在图6中描述的技术被显示在气泡图中。在一些示例中,也可以显示异常成员资格添加。
该过程流程图不旨在指示方法500的框要以任何特定顺序被执行,也不旨在指示所有框在每种情况下都要被包括。此外,取决于具体实现的细节,未示出的任何数目的附加框可以被包括在方法500内。
图6示出了用于生成异常登录的气泡图的示例方法的过程流程图。该方法总体上由附图标记600表示,并且可以使用如下所述的计算机702来实现。示例方法600可以由示例系统200执行以生成气泡图,其示例在图3中被示出。
在框602,接收已处理事件日志,包括登录账户针对预定时间段在多个机器处的登录。例如,该时间段可以是六个月。
在框604,聚合针对每个登录账户的已处理事件日志以生成每个登录账户的登录总数以及第一和最后登录时间。例如,对于给定的账户,可以针对预定时间段聚合登录总数。也可以针对预定时间段确定在预定时间段内账户的第一和最后登录时间。在一些示例中,最后登录时间与第一登录时间之间的差异也可以被计算。
在框606,基于每个登录账户的登录总数和第一和最后登录时间之间的差异来生成气泡图。例如,如上述图3所示,可以在纵轴上表示登录总数。由于常规账户展现习惯性模式,所以具有较少登录的账户可以利用更多怀疑被对待。在一些示例中,到任何机器的最近登录时间可以在横轴上被表示。长时间没有登录到任何机器上的账户可以利用更多怀疑被对待。在一些示例中,每个账户的第一和最后登录时间之间的时间差可以由所表示的账户的气泡大小来相反地表示。更准确地,气泡大小可以被定义为上次登录时间减去第一登录时间的数学倒数,以时间的一些定量测量来表达,例如,在天数、小时数、周数等方面的差异。计算这个逆差的其他公式可以包括1-(x_a/max(x_a)),其中x_a是账户a的最后和第一登录时间之间的时间差。因此,落在左下角的账户更有可能是恶意的。例如,这样的账户活动可以指示被盗账户或恶意的意图。在一些示例中,未经授权的活动也可以被发现。例如,利用大于被授权的权限对根账户的使用也可以被发现。
在框608,显示气泡图300。例如,气泡图300可以在客户端处被显示。
该过程流程图不旨在指示方法600的框要以任何特定顺序被执行,也不旨在指示所有框在每种情况下都要被包括。此外,取决于具体实现的细节,未示出的任何数目的附加框也可以被包括在方法600内。
图7旨在提供其中可以实现本文中描述的各种技术的计算环境的简要、一般的描述。例如,图1-6中描述的用于检测异常登录的方法和系统可以在这样的计算环境中实现。虽然以下在本地计算机或远程计算机上运行的计算机程序的计算机可执行指令的一般上下文中描述所要求保护的主题,但是所要求保护的主题也可以与其他程序模块结合来实现。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、部件、数据结构等。
图7是被配置用于实现本文中描述的技术的各个方面的示例操作环境的框图。示例操作环境700包括计算机702。计算机702包括处理单元704、系统存储器706和系统总线708。
系统总线708将包括但不限于系统存储器706的系统部件耦合到处理单元704。处理单元704可以是各种可用处理器中的任一个。双微处理器和其他多处理器架构也可以用作处理单元704。
系统总线708可以是几种类型的总线结构中的任一种,包括存储器总线或存储器控制器、外围总线或外部总线、以及使用本领域普通技术人员已知的任何各种可用总线架构的本地总线。系统存储器706包括计算机可读存储介质,计算机可读存储介质包括易失性存储器710和非易失性存储器712。
包含在计算机702内的元素之间传送信息的基本例程(诸如在启动期间)的基本输入/输出系统(BIOS)被存储在非易失性存储器712中。作为说明而非限制,非易失性存储器712可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪速存储器。
易失性存储器710包括充当外部高速缓冲存储器的随机存取存储器(RAM)。作为说明而非限制,RAM以许多形式可用,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双倍数据速率SDRAM(DDR SDRAM)、增强型SDRAM(ESDRAM)、SynchLinkTMDRAM(SLDRAM)、
直接RAM(RDRAM)、直接
动态RAM(DRDRAM)和
动态RAM(RDRAM)。
计算机702还包括其他计算机可读介质,诸如可移除/不可移除、易失性/非易失性计算机存储介质。图7示出了例如磁盘存储装置714。磁盘存储装置714包括但不限于各种设备,诸如磁盘驱动器、软盘驱动器、磁带驱动器、Jaz驱动器、Zip驱动器、LS-210驱动器、闪存卡或记忆棒。在一些示例中,可以使用Hadoop分布式文件系统(HDFS)来格式化磁盘存储装置714。例如,HDFS集群可以包括管理文件系统元数据的名称节点(NameNode)和存储实际数据的数据节点(DataNode)。
另外,磁盘存储装置714可以单独地或者与其他存储介质组合地包括存储介质,其他存储介质包括但不限于光盘驱动器,诸如光盘ROM设备(CD-ROM)、CD可记录驱动器(CD-R驱动器)、CD可重写驱动器(CD-RW驱动器)或数字通用盘ROM驱动器(DVD-ROM)。为了便于将磁盘存储设备714连接到系统总线708,通常使用可移除或不可移除的接口,诸如接口716。
应当理解,图7描述在合适的操作环境700中描述的用户与基本计算机资源之间的中介的软件。这样的软件包括操作系统718。可以存储在磁盘存储装置714上的操作系统718作用为控制和分配计算机702的资源。
系统应用720通过存储在系统存储器706或磁盘存储装置714中的程序模块722和程序数据724来利用操作系统718对资源的管理。应当理解,所要求保护的主题可以利用各种操作系统或操作系统的组合来实现。
用户通过输入设备726将命令或信息输入到计算机702中。输入设备726包括但不限于诸如鼠标、轨迹球、触控笔等定点设备、键盘、麦克风、操纵杆、卫星天线、扫描仪、电视调谐器卡、数码相机、数字摄像机、web摄像头等。输入设备726经由接口端口728通过系统总线708连接到处理单元704。接口端口728包括例如串行端口、并行端口、游戏端口和通用串行总线(USB)。
输出设备730使用与输入设备726相同类型的端口中的一些端口。因此,例如,可以使用USB端口来向计算机702提供输入,并且从计算机702向输出设备730输出信息。
提供输出适配器732以说明存在经由适配器可访问的一些输出设备730,诸如监视器、扬声器和打印机以及其他输出设备730。作为说明而非限制,输出适配器732包括提供输出设备730与系统总线708之间的连接手段的视频卡和声卡。可以注意到,其他设备和设备系统提供输入能力和输出能力,诸如远程计算机734。
计算机702可以是使用到一个或多个远程计算机(诸如远程计算机734)的逻辑连接来在联网环境中托管各种软件应用的服务器。远程计算机734可以是配置有web浏览器、PC应用、手机应用等的客户端系统。远程计算机734可以是个人计算机、服务器、路由器、网络PC、工作站、基于微处理器的设备、移动电话、对等设备或其他公共网络节点等,并且通常包括关于计算机702描述的元素中的许多或全部元素。
远程计算机734可以通过网络接口736逻辑地连接到计算机702,并且然后经由可以是无线的通信连接738被连接。网络接口736包括无线通信网络,诸如局域网(LAN)和广域网(WAN)。LAN技术包括光纤分布式数据接口(FDDI)、铜分布式数据接口(CDDI)、以太网、令牌环等。WAN技术包括但不限于点对点链路、诸如集成服务数字网络(ISDN)及其变型的电路交换网络、分组交换网络和数字订户线路(DSL)。
通信连接738是指用于将网络接口736连接到总线708的硬件/软件。虽然为了说明的清楚而将通信连接738示出为在计算机702内部,但是它也可以在计算机702外部。为了示例的目的,用于到网络接口736的连接的硬件/软件可以包括内部和外部技术,诸如移动电话交换机、调制解调器(包括常规电话级调制解调器、电缆调制解调器和DSL调制解调器)、ISDN适配器和以太网卡。
用于服务器的示例处理单元704可以是计算集群。此外,磁盘存储装置714可以存储用于检测异常事件和账户的各种类型的数据724。例如,磁盘存储装置714可以包括例如存储诸如事件日志的数据724的企业数据存储系统。如本文中使用的,事件日志是指包含多个记录的事件的文件。例如,日志可以以本机XML格式被接收,并且被处理为通用结构化表格格式,并且被插入到磁盘存储装置714中用于查询和分析的目的。例如,磁盘存储装置可以是Hadoop分布式文件系统(HDFS)。在一些示例中,每天处理的事件数目可以达数十亿。例如,每秒可以接收和处理数万个事件。因此,在一些示例中,事件日志可以在被插入磁盘存储装置中之前被压缩为优化的行列(ORC)格式。在一些示例中,还可以使用错误处理和重新运行程序来防止数据724的丢失或损坏。
计算机702包括被配置为执行对异常过程和账户的检测的一个或多个模块722,包括事件日志模块740、过滤器模块742、接收模块744、转换模块746、基线模块748、检测模块750、基线模块752、收集器模块754、聚合器模块756、图形模块758、更新模块760和显示模块762。事件日志模块740可以接收多个事件日志。过滤器模块742可以至少部分基于检测到的过程创建来过滤多个事件日志。接收模块744可以接收针对检测到的每个过程创建的目录路径和过程名称。目录路径是可执行文件所在的网络服务器上的位置。在一些示例中,目录路径可以是实现云服务的一个或多个节点的逻辑文件系统上的路径。例如,来自数千台机器的事件日志可以被推送到事件收集器系统,并且被传送到与处理系统共享的文件夹。在一些示例中,事件日志可以从本机XML格式被处理为通用结构化表格格式。然后事件日志可以被插入到Hadoop分布式文件系统(HDFS)存储装置中用于查询和分析目的。一旦接收模块744接收到目录路径和过程名称,则转换模块746可以基于字符计数来将每个目录路径转换成整数序列。整数序列中的每个整数描述对应子目录名称中的字符数。在一些示例中,检测模块752可以通过确定匹配序列的数目是否下降到针对给定序列的阈值匹配数目以下来检测异常过程。在一些示例中,检测模块752可以将在两个字符的错误内的过程与过程名称列表上的过程名称相匹配。在一些示例中,异常过程可以是潜在恶意活动。检测模块752可以基于匹配字符计数或匹配过程名称的阈值数目进一步检测异常过程。例如,如果过程名称在两个字符的错误内匹配过程名称列表上的过程名称,则可以检测到异常过程。显示模块762可以使得异常过程被显示,例如通过发送异常过程用于向客户端设备显示。
在一些示例中,接收模块744可以被配置为接收用户反馈作为输入以在对多个事件日志的过滤和自动分类中使用。事件日志可以包括一个或多个异常过程。例如,异常过程可以是恶意过程或可疑活动。在一些示例中,也可以基于已知的良性过程来过滤多个事件日志。例如,可以由检测模块750从客户端接收已知良性过程的列表,并且可以从多个事件日志中过滤具有相同名称的过程。在一些示例中,检测模块750可以自动分类与灰色软件相链接的过程的模式,并且基于模式来过滤多个事件日志。例如,灰色软件可以包括间谍软件、广告软件、拨号器、笑话程序、远程访问工具以及除了被设计为损害网络上的计算机性能的病毒之外的任何其他不受欢迎的文件和程序。
在一些示例中,接收模块744可以接收被监测机器的列表和包括针对预定时间窗口对被监测机器的列表的登录的事件日志。基线模块748可以基于针对预定时间窗口的事件日志来生成基线。例如,预定时间窗口可以是六个月。收集器模块754还可以收集在预定时间之后的每日登录事件,并且将每日登录事件与基线相比较。检测模块750可以基于异常账户的登录事件与基线的差异来检测异常账户。然后,显示模块762可以显示检测到的异常账户。基线模块748的操作在上面关于图2被更详细地讨论。
在一些示例中,接收模块744可以接收已处理事件日志,包括针对预定时间登录账户在多个机器处的登录。在一些示例中,聚合器模块756可以聚合针对每个登录账户的已处理事件日志以生成每个登录账户的登录总数以及第一和最后登录时间。然后,图形模块758可以基于每个登录账户的登录总数以及第一和最后登录时间之间的差异以及指示针对该登录账户的第一登录与最后登录之间的逆差的气泡大小来生成气泡图。然后,显示模块762可以在客户端上显示气泡图用于进一步分析。在一些示例中,登录账户可以是要由气泡图中的气泡表示的多个登录账户之一。在一些示例中,图形758模块可以从用户接收输入并且从图中移除气泡。在一些示例中,气泡图可以包括表示登录账户的最后登录时间的轴。在一些示例中,气泡图可以包括表示账户的登录总数的轴。图形模块758的操作在上面关于图3被更详细地讨论。
应当理解,图7的框图不旨在指示计算系统700应当包括图7所示的所有部件。相反,计算系统700可以包括更少的部件或图7中未示出的附加的部件(例如,附加应用、附加模块、附加存储器设备、附加网络接口等)。此外,事件日志模块740、过滤器模块742、接收模块744、转换模块746、基线模块748、检测模块750、基线模块752、收集器模块754、聚合器模块756、图形模块758、更新模块760和显示模块762的功能中的任何功能可以部分地或全部地在硬件和/或处理器中被实现。例如,功能可以利用专用集成电路、在处理器中实现的逻辑中、或者在任何其他设备中被实现。例如而非限制,可以使用的说明性类型的硬件逻辑部件包括现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)和复杂可编程逻辑器件(CPLD)等。
图8是示出可以用于生成异常登录的气泡图的示例有形计算机可读存储介质的框图。有形计算机可读存储介质800可以由处理器802通过计算机总线804访问。此外,有形计算机可读存储介质800可以包括指引处理器802执行当前方法的代码。例如,方法400-600的任何组合可以由处理器802执行。
如图8所示,本文中讨论的各种软件部件可以被存储在有形计算机可读存储介质800上。例如,有形计算机可读存储介质800可以包括异常过程检测器模块806、基线模块808和图形生成器模块810。在一些实现中,异常过程检测器模块806包括用于接收多个事件日志的代码。例如,事件日志可以包括针对预定时间对多个机器的登录。异常过程检测器模块806还可以包括用于基于检测到的过程创建来过滤多个事件日志的代码。异常过程检测器模块806还可以包括用于接收针对检测到的每个过程创建的目录路径和过程名称的代码。异常过程检测器模块806还可以包括用于基于针对目录路径的每个子目录的字符计数来将每个目录路径转换成整数序列的代码。异常过程检测器模块806还可以包括用于基于匹配字符计数的阈值数目来检测异常过程的代码。异常过程检测器模块806还可以包括用于显示异常过程的代码。
基线模块808包括用于接收被监测机器的列表和包括针对预定时间窗口对被监测机器的列表的登录的事件日志的代码。基线模块808还包括用于基于针对预定时间窗口的事件日志来生成基线的代码。基线模块808还可以包括用于收集在预定时间之后的每日登录事件并且将每日登录事件与基线相比较的代码。基线模块808还可以包括用于基于异常账户的登录事件与基线的差异来检测异常账户的代码。基线模块808还可以包括用于显示检测到的异常账户的代码。
图形生成器模块810包括用于基于每个登录账户的登录总数以及第一和最后登录时间之间的差异来生成气泡图的代码。图形生成器模块810还可以包括用于显示气泡图的代码。在一些示例中,气泡图可以包括具有指示每个登录账户的第一登录与最后登录之间的逆差的大小的多个气泡。
应当理解,取决于具体应用,图8中未示出的任何数目的附加软件部件可以被包括在有形计算机可读存储介质800内。尽管已经以特定于结构特征和/或方法的语言描述了主题,但是应当理解,所附权利要求中限定的主题不一定限于上述具体的结构特征或方法。相反,上述具体的结构特征和方法被公开作为实现权利要求的示例形式。
示例1
该示例提供了一种用于异常过程检测的示例系统。示例系统包括被配置为接收多个事件日志的事件日志模块。示例系统还包括基于检测到的过程创建来过滤多个事件日志的过滤器模块。示例系统还包括用于接收针对检测到的每个过程创建的目录路径和过程名称的接收模块。示例系统还包括用于基于针对目录路径的每个子目录的字符计数来将目录路径转换成整数序列的转换模块。示例系统还包括用于基于匹配字符计数和匹配过程名称的阈值数目来检测异常过程的检测模块。示例系统还包括用于显示检测到的异常过程的显示模块。备选地或附加地,接收模块还可以被配置为接收用户反馈作为输入以在对多个事件日志的过滤和自动分类中使用。备选地或附加地,检测模块还可以被配置为将在两个字符的错误内的过程与过程名称列表上的过程名称相匹配。备选地或附加地,检测模块还可以被配置为确定匹配序列的数目是否下降到针对给定序列的阈值匹配数目以下。备选地或附加地,检测模块可以被配置为对与恶意软件或灰色软件相链接的过程的模式自动分类。
示例2
该示例提供一种用于检测异常账户的示例系统。示例系统包括接收模块,其被配置为接收被监测机器的列表和包括针对预定时间窗口对于被监测机器的列表的登录的事件日志。示例系统包括被配置为基于针对预定时间窗口的事件日志来生成基线的基线模块。示例系统还包括被配置为收集在预定时间之后的每日登录事件并且将每日登录事件与基线相比较的收集器模块。示例系统还包括被配置为基于异常账户的登录事件与基线的差异来检测异常账户的检测模块。示例系统还包括更新模块,其被配置为通过基于预定调整时间从基线中移除较旧的事件日志、并且基于预定调整时间添加来自非异常账户的新事件日志来生成新基线,并且将每日登录事件与新的基线相比较的。示例系统还包括被配置为显示检测到的异常账户的显示模块。备选地或附加地,更新模块还可以被配置为通过基于预定调整时间从基线中移除较旧的事件日志并且基于预定调整时间添加来自非异常账户的新事件日志来生成新基线并且将每日登录事件与新基线相比较。备选地或附加地,示例系统还可以包括用于生成气泡图以可视化账户行为和检测到的异常账户的图形模块。备选地或附加地,基线模块还可以被配置为将事件日志格式化为表格格式。备选地或附加地,表格格式可以是优化的行列(ORC)格式。
示例3
该示例提供了一种用于生成气泡图的示例系统。示例系统包括接收模块,其被配置为接收已处理事件日志,包括针对预定时间登录账户在多个机器处的登录。示例系统还包括聚合器模块,其被配置为聚合针对登录账户的已处理事件日志以生成登录账户的登录总数以及第一和最后登录时间。示例系统还包括图形模块,其被配置为基于登录账户的登录总数以及第一和最后登录时间之间的差异以及指示登录账户的第一登录与最后登录之间的逆差的气泡大小来生成包括气泡的气泡图。示例系统还包括被配置为显示气泡图的显示模块。备选地或附加地,登录账户可以是要由气泡图中的气泡表示的多个登录账户之一。备选地或附加地,图形模块还可以被配置为接收输入并且从图中移除气泡。备选地或附加地,气泡图也可以包括表示登录账户的最后登录时间的轴。备选地或附加地,气泡图也可以包括表示账户的登录总数的轴。
示例4
该示例提供了一种用于异常过程检测的示例方法。示例方法可以包括经由处理器接收多个事件日志。示例方法还可以包括经由处理器过滤多个事件日志以检测过程创建。示例方法还可以包括经由处理器接收针对检测到的每个过程创建的目录路径和过程名称。示例方法还可以进一步包括经由处理器基于字符计数来将每个目录路径转换成整数序列。示例方法还可以包括经由处理器基于匹配字符计数的阈值数目来检测异常过程。示例方法还可以进一步包括经由处理器显示检测到的异常过程。备选地或附加地,示例方法可以包括接收用户反馈作为输入以在对多个事件日志的过滤和自动分类中使用。备选地或附加地,示例方法可以包括基于匹配过程名称来检测异常过程。备选地或附加地,示例方法可以包括。备选地或附加地,示例方法可以包括计算指示比较结果的确定性水平的置信度得分并且与相关联的比较结果一起显示置信度得分。备选地或附加地,示例方法可以包括过滤多个事件日志以检测服务安装并且基于匹配字符计数的阈值数目来检测异常服务安装。备选地或附加地,示例方法可以包括对与恶意软件或灰色软件相链接的过程的模式自动分类。
示例5
该示例提供了一种用于检测异常账户的示例方法。示例方法可以包括经由处理器接收被监测机器的列表和包括针对预定时间窗口对被监测机器的列表的登录的事件日志。示例方法还可以包括经由处理器基于在预定窗口时间内的事件日志来生成基线。示例方法还可以包括经由处理器收集在预定时间之后的每日登录事件并且将每日登录事件与基线相比较。示例方法还可以进一步包括经由处理器基于异常账户的登录事件与基线的差异来检测异常账户。示例方法还可以包括经由处理器显示检测到的异常账户。备选地或附加地,示例方法可以包括经由处理器通过基于预定调整时间从基线中移除较旧的事件日志、并且基于预定调整时间添加来自非异常账户的新事件日志来生成新的基线,并且将每日登录事件与新的基线相比较。备选地或附加地,示例方法可以包括经由处理器生成气泡图以可视化账户行为和检测到的异常账户。备选地或附加地,事件日志可以包括向组添加成员。备选地或附加地,示例方法还可以包括基于组成员资格添加与基线的检测到的差异来检测异常组成员资格添加。备选地或附加地,示例方法可以包括经由处理器将事件日志压缩为优化的行列(ORC)格式。
示例6
该示例提供了一种用于生成气泡图的示例方法。示例方法可以包括经由处理器已处理事件日志,包括针对预定时间登录账户在多个机器处的登录。示例方法还可以包括经由处理器聚合针对登录账户的已处理事件日志以生成登录账户的登录总数以及第一和最后登录时间。示例方法还可以包括经由处理器基于登录账户的登录总数和第一登录时间与最后登录时间之间的差异来生成气泡图。示例方法还可以进一步包括经由处理器显示气泡图。备选地或附加地,示例方法可以包括在气泡图中经由气泡大小来表示账户的第一和最后登录时间之间的差异。备选地或附加地,气泡大小可以指示账户的第一登录与最后登录之间的逆差。备选地或附加地,示例方法可以包括沿着气泡图的一个轴表示登录账户的最后登录时间。经由气泡大小来,示例方法可以包括沿着气泡图的一个轴表示账户的登录总数。
示例7
该示例提供了一种用于存储计算机可读指令的一个或多个计算机可读存储介质,计算机可读指令在由一个或多个处理设备执行时指令异常过程的检测。计算机可读介质包括用于接收多个事件日志的指令。计算机可读介质还包括用于基于检测到的过程创建来过滤多个事件日志的指令。计算机可读介质包括指令。此外,计算机可读介质包括用于接收针对检测到的每个过程创建的目录路径和过程名称的指令。计算机可读介质还包括用于基于针对每个目录路径的每个子目录的字符计数来将目录路径转换成整数序列的指令。计算机可读介质还包括用于基于匹配字符计数和匹配过程名称的阈值数目来检测异常过程的指令。计算机可读介质还包括用于显示检测到的异常过程的指令。替代地或另外地,计算机可读介质可以包括用于接收用户反馈作为输入以在多个事件日志的过滤和自动分类时使用的指令。备选地或附加地,计算机可读介质可以包括用于将在两个字符的错误内的过程与过程名称列表上的过程名称相匹配的指令。备选地或附加地,计算机可读介质可以包括用于确定匹配序列的数目是否下降到针对给定序列的阈值匹配数目以下的指令。备选地或附加地,计算机可读介质可以包括用于对与恶意软件或灰色软件相链接的过程的模式自动分类的指令。
示例8
该示例提供了一种用于存储计算机可读指令的一个或多个计算机可读存储介质,计算机可读指令在由一个或多个处理设备执行时指令异常账户的检测。计算机可读介质包括用于接收被监测机器的列表和包括针对预定时间窗口对被监测机器的列表的登录的事件日志的指令。计算机可读介质还包括用于基于针对预定时间窗口的事件日志来生成基线的指令。计算机可读介质包括指令。此外,计算机可读介质包括用于收集在预定时间之后的每日登录事件并且将每日登录事件与基线相比较的指令。计算机可读介质还包括用于基于异常账户的登录事件与基线的差异来检测异常账户的指令。计算机可读介质还包括用于通过基于预定调整时间从基线中移除较旧的事件日志并且基于预定调整时间添加来自非异常账户的新事件日志来生成新基线并且将每日登录事件与新基线相比较的指令。计算机可读介质还包括用于显示检测到的异常账户的指令。备选地或附加地,计算机可读介质可以包括用于基于预定调整时间从基线中移除较旧的事件日志并且基于预定调整时间添加来自非异常账户的新事件日志来生成新基线并且将每日登录事件与新基线相比较的指令。备选地或附加地,计算机可读介质可以包括用于生成气泡图以可视化账户行为和检测到的异常账户的指令。备选地或附加地,计算机可读介质可以包括用于将事件日志格式化为表格格式的指令。备选地或附加地,表格格式可以是优化的行列(ORC)格式。
示例9
该示例提供了一种用于存储计算机可读指令的一个或多个计算机可读存储介质,计算机可读指令在由一个或多个处理设备执行时指令气泡图的生成。计算机可读介质包括用于接收已处理事件日志(包括针对预定时间登录账户在多个机器处的登录)的指令。计算机可读介质还包括用于聚合针对登录账户的已处理事件日志以生成登录账户的登录总数以及第一和最后登录时间的指令。计算机可读介质包括用于基于登录账户的登录总数和第一和最后登录时间之间的差异以及指示登录账户的第一登录与最后登录之间的逆差的气泡大小来生成包括气泡的气泡图的指令。此外,计算机可读介质包括用于显示气泡图的指令。备选地或附加地,登录账户可以是由气泡图中的气泡表示的多个登录账户之一。备选地或附加地,计算机可读介质可以包括用于接收输入并且从图中移除气泡的指令。备选地或附加地,计算机可读介质可以包括用于生成表示登录账户的最后登录时间的轴的指令。备选地或附加地,计算机可读介质可以包括用于生成表示账户的登录总数的轴的指令。
以上已经描述的内容包括所要求保护的主题的示例。当然,不可能为了描述所要求保护的主题的目的而描述部件或方法的每个可设想的组合,但是本领域普通技术人员可以认识到,所要求保护的主题的许多进一步的组合和排列是可能的。因此,所要求保护的主题旨在包括落在所附权利要求的精神和范围内的所有这样的改变、修改和变型。
特别地,关于由上述部件、设备、电路、系统等执行的各种功能,用于描述这样的部件的术语(包括对“装置”的引用)旨在对应于(除非另有说明)执行所述部件的指定功能的任何部件,例如功能等同物,即使在结构上不等同于所公开的结构,其执行在所要求保护的主题的本文中示出的示例性方面中的功能。在这方面,还将认识到,创新包括用于执行所要求保护的主题的各种方法的动作和事件的系统以及具有用于执行所要求保护的主题的各种方法的动作和事件的计算机可执行指令的计算机可读存储介质。
存在实现所要求保护的主题的多种方式,例如适当的API、工具包、驱动器代码、操作系统、控制、独立或可下载的软件对象等,其使得应用和服务能够使用本文中描述的技术。所要求保护的主题从API(或其他软件对象)的观点以及从根据本文中阐述的技术来操作的软件或硬件对象来考虑使用。因此,本文中描述的所要求保护的主题的各种实现可以具有完全在硬件中、部分在硬件中并且部分在软件中、以及完全在软件中的方面。
已经关于若干部件之间的交互描述了前述系统。可以理解,这样的系统和部件可以包括那些部件或指定的子部件、一些指定的部件或子部件、以及附加部件,并且根据前述的各种排列和组合。子部件也可以被实现为在通信上耦合到其他部件的部件,而非被包括在父部件(层级)中。
另外,可以注意到,一个或多个部件可以被组合成提供聚合功能的单个部件,或者被分成若干单独的子部件,并且可以提供任何一个或多个中间层(诸如管理层)以在通信上耦合到这样的子部件以便提供集成的功能。本文中描述的任何部件还可以与本文中未具体描述但是本领域技术人员通常已知的一种或多种其他部件交互。
此外,虽然所要求保护的主题的特定特征可以已经关于若干实现之一被公开,但是这样的特征可以与其他实现的一个或多个其他特征组合,这对于任何给定或特定应用可以是期望的和有利的。此外,在详细描述或权利要求书中使用术语“包括(includes)”、“包括(including)”、“具有(has)”、“含有(contains)”、其变型和其他类似词语的程度上,这些术语旨在以类似于术语“包括(comprising)”作为开放转换词而不排除任何附加或其他元素的方式是包括性的。
Claims (4)
1.一种用于异常过程检测的系统,所述系统包括:
处理器;以及
存储指令的存储器设备,所述指令当由所述处理器执行时,使所述处理器:
接收被监测机器的列表和事件日志,所述事件日志包括针对预定时间窗口对于所述被监测机器的列表的登录;
基于针对所述预定时间窗口的所述事件日志来生成基线;
收集在所述预定时间之后的每日登录事件,并且将所述每日登录事件与所述基线相比较;
基于异常账户的登录事件与所述基线的差异来检测所述异常账户;
通过基于预定调整时间从所述基线中移除较旧事件日志,并且基于所述预定调整时间添加来自非异常帐户的新事件日志,并且将每日登录事件与新基线相比较,来生成所述新基线;以及
显示检测到的所述异常账户。
2.根据权利要求1所述的系统,其中所述指令将使所述处理器生成气泡图以可视化账户行为和检测到的所述异常账户。
3.根据权利要求1所述的系统,其中所述指令将使所述处理器进一步将所述事件日志格式化为表格格式。
4.根据权利要求3所述的系统,其中所述表格格式包括优化的行列(ORC)格式。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/723,648 | 2015-05-28 | ||
| US14/723,648 US9760426B2 (en) | 2015-05-28 | 2015-05-28 | Detecting anomalous accounts using event logs |
| CN201680028017.5A CN107667370B (zh) | 2015-05-28 | 2016-05-20 | 用于异常过程检测的方法和系统 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680028017.5A Division CN107667370B (zh) | 2015-05-28 | 2016-05-20 | 用于异常过程检测的方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111832002A true CN111832002A (zh) | 2020-10-27 |
Family
ID=56101801
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680028017.5A Active CN107667370B (zh) | 2015-05-28 | 2016-05-20 | 用于异常过程检测的方法和系统 |
| CN202010697549.6A Pending CN111832002A (zh) | 2015-05-28 | 2016-05-20 | 使用事件日志检测异常账户 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680028017.5A Active CN107667370B (zh) | 2015-05-28 | 2016-05-20 | 用于异常过程检测的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US9760426B2 (zh) |
| EP (1) | EP3304397B1 (zh) |
| CN (2) | CN107667370B (zh) |
| WO (1) | WO2016191231A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113918937A (zh) * | 2021-09-10 | 2022-01-11 | 广州博依特智能信息科技有限公司 | 一种基于大数据的非法事件识别方法及系统 |
Families Citing this family (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10216938B2 (en) * | 2014-12-05 | 2019-02-26 | T-Mobile Usa, Inc. | Recombinant threat modeling |
| US10574675B2 (en) | 2014-12-05 | 2020-02-25 | T-Mobile Usa, Inc. | Similarity search for discovering multiple vector attacks |
| US9760426B2 (en) | 2015-05-28 | 2017-09-12 | Microsoft Technology Licensing, Llc | Detecting anomalous accounts using event logs |
| US10516684B1 (en) * | 2016-04-21 | 2019-12-24 | Instart Logic, Inc. | Recommending and prioritizing computer log anomalies |
| WO2017197526A1 (en) * | 2016-05-20 | 2017-11-23 | Roman Czeslaw Kordasiewicz | Systems and methods for graphical exploration of forensic data |
| US10740409B2 (en) | 2016-05-20 | 2020-08-11 | Magnet Forensics Inc. | Systems and methods for graphical exploration of forensic data |
| US10108534B2 (en) * | 2016-10-19 | 2018-10-23 | Red Hat, Inc. | Automatically validated release candidates for data-driven applications by automated publishing of integration microservice and data container tuple |
| US10440037B2 (en) * | 2017-03-31 | 2019-10-08 | Mcafee, Llc | Identifying malware-suspect end points through entropy changes in consolidated logs |
| US11005864B2 (en) * | 2017-05-19 | 2021-05-11 | Salesforce.Com, Inc. | Feature-agnostic behavior profile based anomaly detection |
| US10462162B2 (en) * | 2017-07-24 | 2019-10-29 | Rapid7, Inc. | Detecting malicious processes based on process location |
| CN108345793A (zh) * | 2017-12-29 | 2018-07-31 | 北京物资学院 | 一种软件检测特征的提取方法及装置 |
| AT520746B1 (de) * | 2018-02-20 | 2019-07-15 | Ait Austrian Inst Tech Gmbh | Verfahren zur Erkennung von anormalen Betriebszuständen |
| CN108449327B (zh) * | 2018-02-27 | 2020-06-23 | 平安科技(深圳)有限公司 | 一种账号清理方法、装置、终端设备及存储介质 |
| US11070632B2 (en) * | 2018-10-17 | 2021-07-20 | Servicenow, Inc. | Identifying computing devices in a managed network that are involved in blockchain-based mining |
| AT522281B1 (de) * | 2019-04-02 | 2022-12-15 | Ait Austrian Inst Tech Gmbh | Verfahren zur Charakterisierung des Betriebszustands eines Computersystems |
| US11483143B2 (en) * | 2019-04-15 | 2022-10-25 | Smart Security Systems, Llc | Enhanced monitoring and protection of enterprise data |
| US20220200973A1 (en) * | 2019-04-15 | 2022-06-23 | Bear System, LLC | Blockchain schema for secure data transmission |
| CN110191097B (zh) * | 2019-05-05 | 2023-01-10 | 平安科技(深圳)有限公司 | 登录页面安全性的检测方法、系统、设备及存储介质 |
| CN110309032A (zh) * | 2019-07-05 | 2019-10-08 | 上海富欣智能交通控制有限公司 | 数据管理方法、装置及电子设备 |
| CN110427432A (zh) * | 2019-08-08 | 2019-11-08 | 英华达(上海)科技有限公司 | 基于区块链的违章事件处理方法、系统、设备及存储介质 |
| CN112445785A (zh) * | 2019-08-30 | 2021-03-05 | 深信服科技股份有限公司 | 一种账号爆破检测方法及相关装置 |
| CN110620768A (zh) * | 2019-09-16 | 2019-12-27 | 北京方研矩行科技有限公司 | 一种用于物联网智能终端的基线安全检测方法及装置 |
| US11537498B2 (en) | 2020-06-16 | 2022-12-27 | Microsoft Technology Licensing, Llc | Techniques for detecting atypical events in event logs |
| AT523829B1 (de) * | 2020-07-28 | 2021-12-15 | Ait Austrian Inst Tech Gmbh | Verfahren zur Detektion von anomalen Betriebszuständen eines Computersystems |
| CN112070458A (zh) * | 2020-08-07 | 2020-12-11 | 新华三信息安全技术有限公司 | 一种账号识别方法及装置 |
| CN112052109B (zh) * | 2020-08-28 | 2022-03-04 | 西安电子科技大学 | 基于日志分析的云服务平台事件异常检测方法 |
| AT523948B1 (de) * | 2020-09-01 | 2022-03-15 | Ait Austrian Inst Tech Gmbh | Verfahren zur Detektion von anomalen Betriebszuständen eines Computersystems |
| CN112231698B (zh) * | 2020-09-29 | 2023-03-31 | 新华三信息安全技术有限公司 | 一种攻击检测方法、装置及存储介质 |
| CN112612765A (zh) * | 2020-12-21 | 2021-04-06 | 山东理工大学 | 一种基于漂移检测的流程变体差异分析方法与系统 |
| US11943235B2 (en) | 2021-01-04 | 2024-03-26 | Saudi Arabian Oil Company | Detecting suspicious user logins in private networks using machine learning |
| US20220253788A1 (en) * | 2021-02-08 | 2022-08-11 | Nice Ltd. | Cross-tenant data processing for agent data comparison in cloud computing environments |
| US11797480B2 (en) * | 2021-12-31 | 2023-10-24 | Tsx Inc. | Storage of order books with persistent data structures |
| US20230315884A1 (en) * | 2022-04-01 | 2023-10-05 | Blackberry Limited | Event data processing |
| CN115374443A (zh) * | 2022-10-24 | 2022-11-22 | 北京智芯微电子科技有限公司 | 检测文件篡改的方法、装置、电子设备及可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090254313A1 (en) * | 2008-04-08 | 2009-10-08 | Microsoft Corporation | Determining computer system usage from logged events |
| CN101741633A (zh) * | 2008-11-06 | 2010-06-16 | 北京启明星辰信息技术股份有限公司 | 一种海量日志关联分析方法及系统 |
| CN102356390A (zh) * | 2009-03-16 | 2012-02-15 | 微软公司 | 诸如用于Web服务器的灵活的日志记录 |
| CN103049702A (zh) * | 2013-01-05 | 2013-04-17 | 浪潮电子信息产业股份有限公司 | 一种基于服务器层的安全加固策略 |
| CN103765820A (zh) * | 2011-09-09 | 2014-04-30 | 惠普发展公司,有限责任合伙企业 | 基于依照事件序列中时间位置的参考基线评估事件的系统和方法 |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5675510A (en) | 1995-06-07 | 1997-10-07 | Pc Meter L.P. | Computer use meter and analyzer |
| US5857190A (en) | 1996-06-27 | 1999-01-05 | Microsoft Corporation | Event logging system and method for logging events in a network system |
| US6125392A (en) | 1996-10-11 | 2000-09-26 | Intel Corporation | Method and apparatus for high speed event log data compression within a non-volatile storage area |
| US5987611A (en) | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
| US6928549B2 (en) * | 2001-07-09 | 2005-08-09 | International Business Machines Corporation | Dynamic intrusion detection for computer systems |
| US7778979B2 (en) | 2002-03-26 | 2010-08-17 | Nokia Siemens Networks Oy | Method and apparatus for compressing log record information |
| KR100508432B1 (ko) * | 2002-06-21 | 2005-08-17 | 황장미 | 인터넷상의 포워딩 경로 및 표시 문자 변경이 가능한플레시 파일을 이용한 광고 방법 |
| US20050010610A1 (en) * | 2003-07-08 | 2005-01-13 | Konica Minolta Business Technologies, Inc. | File management system, file management apparatus and image forming apparatus |
| US7472422B1 (en) | 2003-09-10 | 2008-12-30 | Symantec Corporation | Security management system including feedback and control |
| US7653633B2 (en) | 2005-11-12 | 2010-01-26 | Logrhythm, Inc. | Log collection, structuring and processing |
| US7809670B2 (en) | 2005-12-09 | 2010-10-05 | Microsoft Corporation | Classification of malware using clustering that orders events in accordance with the time of occurance |
| US8181248B2 (en) * | 2006-11-23 | 2012-05-15 | Electronics And Telecommunications Research Institute | System and method of detecting anomaly malicious code by using process behavior prediction technique |
| US9152789B2 (en) | 2008-05-28 | 2015-10-06 | Zscaler, Inc. | Systems and methods for dynamic cloud-based malware behavior analysis |
| JP5468837B2 (ja) | 2009-07-30 | 2014-04-09 | 株式会社日立製作所 | 異常検出方法、装置、及びプログラム |
| US20120137367A1 (en) | 2009-11-06 | 2012-05-31 | Cataphora, Inc. | Continuous anomaly detection based on behavior modeling and heterogeneous information analysis |
| US8566956B2 (en) | 2010-06-23 | 2013-10-22 | Salesforce.Com, Inc. | Monitoring and reporting of data access behavior of authorized database users |
| WO2012027669A1 (en) | 2010-08-26 | 2012-03-01 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
| US8776227B1 (en) | 2010-10-21 | 2014-07-08 | Symantec Corporation | User interface based malware detection |
| US8806593B1 (en) | 2011-05-19 | 2014-08-12 | Zscaler, Inc. | Guest account management using cloud based security services |
| CN102325062A (zh) | 2011-09-20 | 2012-01-18 | 北京神州绿盟信息安全科技股份有限公司 | 异常登录检测方法及装置 |
| KR20130040049A (ko) | 2011-10-13 | 2013-04-23 | 주식회사 네오플 | 비정상 계정 검출 장치 및 방법 |
| RU2485577C1 (ru) | 2012-05-11 | 2013-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ увеличения надежности определения вредоносного программного обеспечения |
| US20140230051A1 (en) | 2013-02-08 | 2014-08-14 | Apple Inc. | Fraud detection for identity management systems |
| CN104378361A (zh) * | 2014-10-24 | 2015-02-25 | 苏州阔地网络科技有限公司 | 一种网络入侵检测方法及系统 |
| US9148424B1 (en) * | 2015-03-13 | 2015-09-29 | Snapchat, Inc. | Systems and methods for IP-based intrusion detection |
| US9760426B2 (en) | 2015-05-28 | 2017-09-12 | Microsoft Technology Licensing, Llc | Detecting anomalous accounts using event logs |
-
2015
- 2015-05-28 US US14/723,648 patent/US9760426B2/en active Active
-
2016
- 2016-05-20 CN CN201680028017.5A patent/CN107667370B/zh active Active
- 2016-05-20 EP EP16727273.1A patent/EP3304397B1/en active Active
- 2016-05-20 CN CN202010697549.6A patent/CN111832002A/zh active Pending
- 2016-05-20 WO PCT/US2016/033392 patent/WO2016191231A1/en unknown
-
2017
- 2017-08-08 US US15/672,025 patent/US9910727B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090254313A1 (en) * | 2008-04-08 | 2009-10-08 | Microsoft Corporation | Determining computer system usage from logged events |
| CN101741633A (zh) * | 2008-11-06 | 2010-06-16 | 北京启明星辰信息技术股份有限公司 | 一种海量日志关联分析方法及系统 |
| CN102356390A (zh) * | 2009-03-16 | 2012-02-15 | 微软公司 | 诸如用于Web服务器的灵活的日志记录 |
| CN103765820A (zh) * | 2011-09-09 | 2014-04-30 | 惠普发展公司,有限责任合伙企业 | 基于依照事件序列中时间位置的参考基线评估事件的系统和方法 |
| US20140165140A1 (en) * | 2011-09-09 | 2014-06-12 | Anurag Singla | Systems and methods for evaluation of events based on a reference baseline according to temporal position in a sequence of events |
| CN103049702A (zh) * | 2013-01-05 | 2013-04-17 | 浪潮电子信息产业股份有限公司 | 一种基于服务器层的安全加固策略 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113918937A (zh) * | 2021-09-10 | 2022-01-11 | 广州博依特智能信息科技有限公司 | 一种基于大数据的非法事件识别方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3304397A1 (en) | 2018-04-11 |
| US9910727B2 (en) | 2018-03-06 |
| US9760426B2 (en) | 2017-09-12 |
| CN107667370B (zh) | 2020-08-21 |
| EP3304397B1 (en) | 2019-06-26 |
| WO2016191231A1 (en) | 2016-12-01 |
| US20170344415A1 (en) | 2017-11-30 |
| CN107667370A (zh) | 2018-02-06 |
| US20160350165A1 (en) | 2016-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107667370B (zh) | 用于异常过程检测的方法和系统 | |
| US10867034B2 (en) | Method for detecting a cyber attack | |
| US9479518B1 (en) | Low false positive behavioral fraud detection | |
| US9590880B2 (en) | Dynamic collection analysis and reporting of telemetry data | |
| US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
| US20180075240A1 (en) | Method and device for detecting a suspicious process by analyzing data flow characteristics of a computing device | |
| US10565172B2 (en) | Adjusting application of a set of data quality rules based on data analysis | |
| Sindhu et al. | Digital forensics and cyber crime datamining | |
| EP2566130A1 (en) | Automatic analysis of security related incidents in computer networks | |
| JP2022533552A (ja) | システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法 | |
| EP3567509B1 (en) | Systems and methods for tamper-resistant activity logging | |
| JP7451476B2 (ja) | 根本原因解析のために経時的にフォレンジックスナップショットを相互参照するためのシステムおよび方法 | |
| De La Torre-Abaitua et al. | On the application of compression-based metrics to identifying anomalous behaviour in web traffic | |
| Alazab et al. | A Review on the Internet of Things (IoT) Forensics: Challenges, Techniques, and Evaluation of Digital Forensic Tools | |
| KR102311997B1 (ko) | 인공지능 행위분석 기반의 edr 장치 및 방법 | |
| US20140208427A1 (en) | Apparatus and methods for detecting data access | |
| EP4254239A1 (en) | Event data processing | |
| WO2023192037A1 (en) | Event data processing | |
| Singh et al. | A review of network intrusion detection system based on KDD dataset | |
| Sumalatha et al. | Data collection and audit logs of digital forensics in cloud | |
| CN115085956A (zh) | 入侵检测方法、装置、电子设备及存储介质 | |
| US20230104516A1 (en) | System and method for detecting system executable abnormalities | |
| US20230315603A1 (en) | Event data processing | |
| US11888817B2 (en) | Filtering data logs from disparate data sources for processing by a security engine | |
| Perumal | A Comprehensive Survey and Analysis on Multi-Domain Digital Forensic Tools, Techniques and Issues |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |