失陷计算机的识别方法和失陷计算机的识别设备技术

本发明专利技术公开了一种失陷计算机的识别方法和失陷计算机的识别设备。用以提高识别失陷计算机的准确性。该方法包括：获得AD日志，AD日志中记录有多个认证事件，每个认证事件是根据受控计算机集合中的计算机在检测时段内的认证行为生成的；根据所述AD日志，从受控计算机集合中确定失陷计算机，确定的失陷计算机在检测时段中的一个单位时间对应的特征向量属于特征向量集合中的离群点，其中，特征向量集合中包括多个特征向量，多个特征向量包括受控计算机集合中的每个计算机在检测时段中的各个单位时间分别对应的特征向量、且每个特征向量包括对应的计算机在单位时间内认证失败的次数、以及在单位时间内通过对应的计算机认证失败的用户的数量。的用户的数量。的用户的数量。

【技术实现步骤摘要】
失陷计算机的识别方法和失陷计算机的识别设备


[0001]本申请涉及计算机网络
，进一步涉及人工智能(artificial intelligence，AI)技术在计算机网络领域中的应用，尤其涉及一种失陷计算机的识别方法、一种失陷计算机的识别设备和一种失陷计算机的识别系统。

技术介绍

[0002]活动目录(active directory，AD)是微软(Microsoft)公司为基于Windows域管理的网络而开发的目录服务。其中，Windows域是计算机网络的一种管理形式，这种计算机网络中的各网络对象(例如用户账号、计算机、打印机等设备)都在域控制器上进行注册和身份认证。其中，域控制器位于一个服务器上、或者位于一个或多个中央计算机群集上。域控制器上的中央数据库用于支持上述注册和身份认证过程。在Windows域(后面简称为“域”)中使用计算机的每个人会收到一个唯一的用户账号，继而该账号被分配了对域中资源的访问权。域控制器根据网络对象与账号操作、身份认证、资源访问相关的各种行为、或者各种行为的结果生成对应的Windows事件。AD日志包含域控制器产生的Windows事件，因此也可以说AD日志中包括Windows域中网络对象的历史认证信息。
[0003]在攻击者(或称黑客)在入侵企业网络的过程中，通常会先设法获取一个计算机的控制权。在获取一个计算机的控制权之后，攻击者以控制权被获取的计算机作为源进行侦测活动，或者以控制权被获取的计算机作为跳板继续攻击企业网络中的其他计算机。其中，控制权被攻击者获取的计算机被称为失陷计算机(或者失陷主机)。例如，攻击者通过失陷计算机作为跳板，采用暴力破解的方式攻击企业网络中的其他计算机。暴力破解的原理是攻击者尝试所有可能的用户名和密码组合登录目标计算机，直到找到正确的用户名和密码为止。
[0004]在暴力破解过程中，域控制器会产生大量的用于指示认证失败的Windows事件并在AD日志中记录这些事件。因此对AD日志进行分析为识别失陷计算机提供了可能性。较为容易被采用的方案是将AD日志中得到的历史认证信息与阈值进行比较，根据比较结果来识别失陷计算机。例如，为网络中计算机设置对应的失败次数阈值，如果通过分析AD日志发现网络中的一台计算机(如计算机A)发起的认证中，认证失败的次数超过设定的失败次数阈值，则确定计算机A为失陷计算机。
[0005]然而，采用上述方案识别失陷计算机的准确性不佳。

技术实现思路

[0006]本申请实施例提供一种失陷计算机的识别方法，用以提高现有技术识别失陷计算机的准确性。
[0007]第一方面，提供了一种失陷计算机的识别方法。
[0008]该方法包括：获得AD日志，所述AD日志中记录有多个认证事件、以及所述多个认证事件中的每个认证事件的生成时间，其中所述每个认证事件是根据受控计算机集合中的计
算机在检测时段内的认证行为生成的，所述检测时段包括多个单位时间；
[0009]根据所述AD日志，从所述受控计算机集合中确定失陷计算机，所述失陷计算机在所述检测时段中的一个单位时间对应的特征向量属于特征向量集合中的离群点，其中，所述特征向量集合中包括多个特征向量，所述多个特征向量包括所述受控计算机集合中的每个计算机在所述检测时段中的各个单位时间分别对应的特征向量、且所述特征向量集合中的每个特征向量包括对应的计算机在单位时间内认证失败的次数、以及在单位时间内通过对应的计算机认证失败的用户的数量。
[0010]本申请实施例提供的识别方法以检测时段中的单位时间、受控计算机集合中的单个计算机为粒度，对AD日志中记录的大量认证事件进行向量化处理得到特征向量集合。通过上述向量化处理，特征向量集合中的每个特征向量能够反映某个特定单位时间内，作为分析对象的单个计算机作为事件源的所有认证事件中认证失败的次数，以及通过该计算机机认证失败的用户的数量。识别设备进一步基于特征向量集合，使用AI技术从受控计算机集合中得到失陷计算机。与传统方案相比，能够降低误报，提升识别准确性。而且能够根据AD日志中的认证事件自动完成识别失陷计算机的过程，无需考虑如何设置认证失败次数阈值。与传统方案相比，实施难度低。
[0011]可选地，在一种可能的实现方式中，所述根据所述AD日志，从所述受控计算机集合中确定失陷计算机，包括：
[0012]根据所述AD日志中记录的认证事件，获取所述特征向量集合；
[0013]根据预定异常检测算法，从所述特征向量集合中确定异常特征向量；
[0014]从所述异常特征向量对应的计算机中确定失陷计算机。
[0015]在本申请实施例中异常检测算法也被称为离群点检测算法，用于从给定的数据中检测出那些在行为或特征参数方面，与正常数据差别较大的异常数据。异常检测算法例如高斯混合模型(gaussian mixed model，GMM)或局部异常因子(local outlier factor，LOF)算法
[0016]可选地，在一种可能的实现方式中，所述根据AD日志中记录的认证事件，获取特征向量集合，包括：从所述受控计算机集合中选择一个计算机，对选择的计算机执行以下操作，直到处理完所述受控计算机集合的每个计算机为止，从而获得所述每个计算机在检测时段中的各个单位时间分别对应的特征向量：
[0017]针对所述检测时段中的第一单位时间，从所述AD日志中获取一个或多个目标认证事件，所述目标认证事件的生成时间属于所述第一单位时间、且所述目标认证事件中包括的作为事件源的计算机名代表的计算机为所述选择的计算机；
[0018]根据获取的一个或多个目标认证事件中的用户名和行为结果，获得第一特征向量，所述第一特征向量包括所述选择的计算机在所述第一单位时间内认证失败的次数、以及所述第一单位时间内通过所述选择的计算机认证失败的用户的数量；
[0019]以此类推，采用类似方式获得所述选择的计算机在所述检测时段中除所述第一单位时间之外的每个其他单位时间分别对应的特征向量。
[0020]可选地，在一种可能的实现方式中，所述预定异常检测算法包括局部异常因子算法，所述根据预定异常检测算法，从所述特征向量集合中确定异常特征向量，包括：
[0021]将所述受控计算机集合中每个计算机在检测时段中的各个单位时间分别对应的
特征向量输入LOF算法，获得所述LOF算法针对每个特征向量分别输出的对应的局部离群因子值，其中，所述局部离群因子值大于1、且与1的差值越大，指示对应的所述特征向量的异常度越高；
[0022]根据所述LOF算法针对每个特征向量分别输出的对应的局部离群因子值，从特征向量集合中选择部分特征向量从而生成目标特征向量集合，所述目标特征向量集合中的特征向量对应的局部离群因子值大于1、且大于所述特征向量集合中未被选择的特征向量对应的局部离群因子值；
[0023]从所述目标特征向量集合包含的特征向量中，确定异常特征向量。
[0024]可选地，在一种可能的实现方式中，所述从所述目标特征向量本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种失陷计算机的识别方法，其特征在于，包括：获得活动目录AD日志，所述AD日志中记录有多个认证事件、以及所述多个认证事件中的每个认证事件的生成时间，其中所述每个认证事件是根据受控计算机集合中的计算机在检测时段内的认证行为生成的，所述检测时段包括多个单位时间；根据所述AD日志，从所述受控计算机集合中确定失陷计算机，所述失陷计算机在所述检测时段中的一个单位时间对应的特征向量属于特征向量集合中的离群点，其中，所述特征向量集合中包括多个特征向量，所述多个特征向量包括所述受控计算机集合中的每个计算机在所述检测时段中的各个单位时间分别对应的特征向量、且所述特征向量集合中的每个特征向量包括对应的计算机在单位时间内认证失败的次数、以及在单位时间内通过对应的计算机认证失败的用户的数量。2.根据权利要求1所述的识别方法，其特征在于，所述根据所述AD日志，从所述受控计算机集合中确定失陷计算机，包括：根据所述AD日志中记录的认证事件，获取所述特征向量集合；根据预定异常检测算法，从所述特征向量集合中确定异常特征向量；从所述异常特征向量对应的计算机中确定失陷计算机。3.根据权利要求2所述的识别方法，其特征在于，所述根据AD日志中记录的认证事件，获取特征向量集合，包括：从所述受控计算机集合中选择一个计算机，对选择的计算机执行以下操作，直到处理完所述受控计算机集合的每个计算机为止，从而获得所述每个计算机在检测时段中的各个单位时间分别对应的特征向量：针对所述检测时段中的第一单位时间，从所述AD日志中获取一个或多个目标认证事件，所述目标认证事件的生成时间属于所述第一单位时间、且所述目标认证事件中包括的作为事件源的计算机名代表的计算机为所述选择的计算机；根据获取的一个或多个目标认证事件中的用户名和行为结果，获得第一特征向量，所述第一特征向量包括所述选择的计算机在所述第一单位时间内认证失败的次数、以及所述第一单位时间内通过所述选择的计算机认证失败的用户的数量；以此类推，采用类似方式获得所述选择的计算机在所述检测时段中除所述第一单位时间之外的每个其他单位时间分别对应的特征向量。4.根据权利要求2或3所述的识别方法，其特征在于，所述预定异常检测算法包括局部异常因子算法，所述根据预定异常检测算法，从所述特征向量集合中确定异常特征向量，包括：将所述受控计算机集合中每个计算机在检测时段中的各个单位时间分别对应的特征向量输入局部离群因子LOF算法，获得所述LOF算法针对每个特征向量分别输出的对应的局部离群因子值，其中，所述局部离群因子值大于1、且与1的差值越大，指示对应的所述特征向量的异常度越高；根据所述LOF算法针对每个特征向量分别输出的对应的局部离群因子值，从特征向量集合中选择部分特征向量从而生成目标特征向量集合，所述目标特征向量集合中的特征向量对应的局部离群因子值大于1、且大于所述特征向量集合中未被选择的特征向量对应的局部离群因子值；
从所述目标特征向量集合包含的特征向量中，确定异常特征向量。5.根据权利要求4所述的识别方法，其特征在于，所述从所述目标特征向量集合包含的特征向量中，确定异常特征向量，包括：从所述目标特征向量集合中选择一个特征向量，对于选择出特征向量执行以下处理，直到处理完所述目标特征向量集合中的每个特征向量为止，从而获得异常特征向量：根据所述选择的特征向量，获取第一计算机在第二单位时间内认证失败的次数，其中所述选择的特征向量包括所述第一计算机在所述第二单位时间内认证失败的次数、以及在所述第二单位时间内通过所述第一计算机认证失败的用户数量；判断所述第一计算机在所述第二单位时间内认证失败的次数是否属于第一平均值的N倍标准差范围内，所述第一平均值是根据所述特征向量集合中的各特征向量分别指示的认证失败次数计算出的，其中N的取值为1、2、或3；如果所述第一计算机在所述第二单位时间内认证失败的次数不属于所述第一平均值N倍标准差范围内，则确定所述选择的特征向量为异常特征向量。6.根据权利要求4所述的识别方法，其特征在于，所述从所述目标特征向量集合包含的特征向量中，确定异常特征向量，包括：从所述目标特征向量集合中选择一个特征向量，对于选择出的特征向量执行以下处理，直到处理完所述目标特征向量集合中的每个特征向量为止，从而获得异常特征向量：根据所述选择的特征向量，获取在所述第三单位时间内通过第二计算机认证失败的用户数量，其中所述选择的特征向量包括所述第二计算机在第三单位时间内认证成功的次数、以及所述第三单位时间内通过所述第二计算机认证失败的用户数量；判断在所述第三单位时间内通过所述第二计算机认证失败的用户数量是否属于第二平均值的N倍标准差范围内，所述第二平均值是根据所述特征向量集合中的各特征向量分别指示的认证失败的用户数量计算出的，其中N的取值为1、2、或3；如果在所述第三单位时间内通过所述第二计算机认证失败的用户数量不属于所述第二平均值N倍标准差范围内，则确定所述选择的特征向量为异常特征向量。7.根据权利要求2至6任一所述的方法，其特征在于，所述从所述异常特征向量对应的计算机中确定失陷计算机，包括：从所述异常特征向量中选择一个异常特征向量，其中，选择出的所述异常特征向量是第三计算机在第四单位时间对应的特征向量；根据所述AD日志，获得第一目标用户名集合，所述第一目标用户名集合中包括在第四单位时间和/或在第四单位时间之后通过所述第三计算机认证的用户名；从所述第一目标用户名集合中选择一个用户名，确定选择出的用户名是否为异常用户名，直到异常用户名的数量超过第一数量阈值或者处理完所述第一目标用户名集合中的每个用户名为止，所述异常用户名是基于对所述AD日志的分析，确认发起过认证行为、但认证行为从未成功过的用户名；如果所述异常用户名的数量超过第一数量阈值，则确定所述第三计算机为失陷计算机。8.根据权利要求7所述的方法，其特征在于，所述方法还包括：如果所述异常用户名的数量不超过第二数量阈值，则从所述异常特征向量中删除所述
选择的异常特征向量。9.根据权利要求2至6任一所述的方法，其特征在于，所述从所述异常特征向量对应的计算机中确定失陷计算机，包括：从所述异常特征向量中选择一个异常特征向量，其中，选择出的所述异常特征向量是第四计算机在第五单位时间对应的特征向量；根据所述AD日志，获得第二目标用户名集合，所述第二目标用户名集合中包括在第五单位时间和/或在第五单位时间之后通过所述第四计算机认证、且认证行为失败的用户名；从所述第二目标用户名集合中选择一个用户名，确定选择出的用户名是否为被利用的用户名，直到找到一个被利用的用户名或者处理完所述第二目标用户名集合...

【专利技术属性】
技术研发人员：焦雪丽，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：