【技术实现步骤摘要】
失陷计算机的识别方法和失陷计算机的识别设备
[0001]本申请涉及计算机网络
,进一步涉及人工智能(artificial intelligence,AI)技术在计算机网络领域中的应用,尤其涉及一种失陷计算机的识别方法、一种失陷计算机的识别设备和一种失陷计算机的识别系统。
技术介绍
[0002]活动目录(active directory,AD)是微软(Microsoft)公司为基于Windows域管理的网络而开发的目录服务。其中,Windows域是计算机网络的一种管理形式,这种计算机网络中的各网络对象(例如用户账号、计算机、打印机等设备)都在域控制器上进行注册和身份认证。其中,域控制器位于一个服务器上、或者位于一个或多个中央计算机群集上。域控制器上的中央数据库用于支持上述注册和身份认证过程。在Windows域(后面简称为“域”)中使用计算机的每个人会收到一个唯一的用户账号,继而该账号被分配了对域中资源的访问权。域控制器根据网络对象与账号操作、身份认证、资源访问相关的各种行为、或者各种行为的结果生成对应的Windows事件。AD日志包含域控制器产生的Windows事件,因此也可以说AD日志中包括Windows域中网络对象的历史认证信息。
[0003]在攻击者(或称黑客)在入侵企业网络的过程中,通常会先设法获取一个计算机的控制权。在获取一个计算机的控制权之后,攻击者以控制权被获取的计算机作为源进行侦测活动,或者以控制权被获取的计算机作为跳板继续攻击企业网络中的其他计算机。其中,控制权被攻击者获取的计算机被称为 ...
【技术保护点】
【技术特征摘要】
1.一种失陷计算机的识别方法,其特征在于,包括:获得活动目录AD日志,所述AD日志中记录有多个认证事件、以及所述多个认证事件中的每个认证事件的生成时间,其中所述每个认证事件是根据受控计算机集合中的计算机在检测时段内的认证行为生成的,所述检测时段包括多个单位时间;根据所述AD日志,从所述受控计算机集合中确定失陷计算机,所述失陷计算机在所述检测时段中的一个单位时间对应的特征向量属于特征向量集合中的离群点,其中,所述特征向量集合中包括多个特征向量,所述多个特征向量包括所述受控计算机集合中的每个计算机在所述检测时段中的各个单位时间分别对应的特征向量、且所述特征向量集合中的每个特征向量包括对应的计算机在单位时间内认证失败的次数、以及在单位时间内通过对应的计算机认证失败的用户的数量。2.根据权利要求1所述的识别方法,其特征在于,所述根据所述AD日志,从所述受控计算机集合中确定失陷计算机,包括:根据所述AD日志中记录的认证事件,获取所述特征向量集合;根据预定异常检测算法,从所述特征向量集合中确定异常特征向量;从所述异常特征向量对应的计算机中确定失陷计算机。3.根据权利要求2所述的识别方法,其特征在于,所述根据AD日志中记录的认证事件,获取特征向量集合,包括:从所述受控计算机集合中选择一个计算机,对选择的计算机执行以下操作,直到处理完所述受控计算机集合的每个计算机为止,从而获得所述每个计算机在检测时段中的各个单位时间分别对应的特征向量:针对所述检测时段中的第一单位时间,从所述AD日志中获取一个或多个目标认证事件,所述目标认证事件的生成时间属于所述第一单位时间、且所述目标认证事件中包括的作为事件源的计算机名代表的计算机为所述选择的计算机;根据获取的一个或多个目标认证事件中的用户名和行为结果,获得第一特征向量,所述第一特征向量包括所述选择的计算机在所述第一单位时间内认证失败的次数、以及所述第一单位时间内通过所述选择的计算机认证失败的用户的数量;以此类推,采用类似方式获得所述选择的计算机在所述检测时段中除所述第一单位时间之外的每个其他单位时间分别对应的特征向量。4.根据权利要求2或3所述的识别方法,其特征在于,所述预定异常检测算法包括局部异常因子算法,所述根据预定异常检测算法,从所述特征向量集合中确定异常特征向量,包括:将所述受控计算机集合中每个计算机在检测时段中的各个单位时间分别对应的特征向量输入局部离群因子LOF算法,获得所述LOF算法针对每个特征向量分别输出的对应的局部离群因子值,其中,所述局部离群因子值大于1、且与1的差值越大,指示对应的所述特征向量的异常度越高;根据所述LOF算法针对每个特征向量分别输出的对应的局部离群因子值,从特征向量集合中选择部分特征向量从而生成目标特征向量集合,所述目标特征向量集合中的特征向量对应的局部离群因子值大于1、且大于所述特征向量集合中未被选择的特征向量对应的局部离群因子值;
从所述目标特征向量集合包含的特征向量中,确定异常特征向量。5.根据权利要求4所述的识别方法,其特征在于,所述从所述目标特征向量集合包含的特征向量中,确定异常特征向量,包括:从所述目标特征向量集合中选择一个特征向量,对于选择出特征向量执行以下处理,直到处理完所述目标特征向量集合中的每个特征向量为止,从而获得异常特征向量:根据所述选择的特征向量,获取第一计算机在第二单位时间内认证失败的次数,其中所述选择的特征向量包括所述第一计算机在所述第二单位时间内认证失败的次数、以及在所述第二单位时间内通过所述第一计算机认证失败的用户数量;判断所述第一计算机在所述第二单位时间内认证失败的次数是否属于第一平均值的N倍标准差范围内,所述第一平均值是根据所述特征向量集合中的各特征向量分别指示的认证失败次数计算出的,其中N的取值为1、2、或3;如果所述第一计算机在所述第二单位时间内认证失败的次数不属于所述第一平均值N倍标准差范围内,则确定所述选择的特征向量为异常特征向量。6.根据权利要求4所述的识别方法,其特征在于,所述从所述目标特征向量集合包含的特征向量中,确定异常特征向量,包括:从所述目标特征向量集合中选择一个特征向量,对于选择出的特征向量执行以下处理,直到处理完所述目标特征向量集合中的每个特征向量为止,从而获得异常特征向量:根据所述选择的特征向量,获取在所述第三单位时间内通过第二计算机认证失败的用户数量,其中所述选择的特征向量包括所述第二计算机在第三单位时间内认证成功的次数、以及所述第三单位时间内通过所述第二计算机认证失败的用户数量;判断在所述第三单位时间内通过所述第二计算机认证失败的用户数量是否属于第二平均值的N倍标准差范围内,所述第二平均值是根据所述特征向量集合中的各特征向量分别指示的认证失败的用户数量计算出的,其中N的取值为1、2、或3;如果在所述第三单位时间内通过所述第二计算机认证失败的用户数量不属于所述第二平均值N倍标准差范围内,则确定所述选择的特征向量为异常特征向量。7.根据权利要求2至6任一所述的方法,其特征在于,所述从所述异常特征向量对应的计算机中确定失陷计算机,包括:从所述异常特征向量中选择一个异常特征向量,其中,选择出的所述异常特征向量是第三计算机在第四单位时间对应的特征向量;根据所述AD日志,获得第一目标用户名集合,所述第一目标用户名集合中包括在第四单位时间和/或在第四单位时间之后通过所述第三计算机认证的用户名;从所述第一目标用户名集合中选择一个用户名,确定选择出的用户名是否为异常用户名,直到异常用户名的数量超过第一数量阈值或者处理完所述第一目标用户名集合中的每个用户名为止,所述异常用户名是基于对所述AD日志的分析,确认发起过认证行为、但认证行为从未成功过的用户名;如果所述异常用户名的数量超过第一数量阈值,则确定所述第三计算机为失陷计算机。8.根据权利要求7所述的方法,其特征在于,所述方法还包括:如果所述异常用户名的数量不超过第二数量阈值,则从所述异常特征向量中删除所述
选择的异常特征向量。9.根据权利要求2至6任一所述的方法,其特征在于,所述从所述异常特征向量对应的计算机中确定失陷计算机,包括:从所述异常特征向量中选择一个异常特征向量,其中,选择出的所述异常特征向量是第四计算机在第五单位时间对应的特征向量;根据所述AD日志,获得第二目标用户名集合,所述第二目标用户名集合中包括在第五单位时间和/或在第五单位时间之后通过所述第四计算机认证、且认证行为失败的用户名;从所述第二目标用户名集合中选择一个用户名,确定选择出的用户名是否为被利用的用户名,直到找到一个被利用的用户名或者处理完所述第二目标用户名集合...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。