[发明专利]横向移动检测

说明书

可以通过采用不同的检测模型对登录会话评分来执行横向移动检测。不同的检测模型可以由根据历史安全事件数据计算出的计数来实现和/或使用根据历史安全事件数据计算出的计数。不同的检测模型可以包括用于基于登录行为、在登录会话期间观察到的安全事件的序列、在登录会话期间观察到的安全事件之间的事件间时间和/或使用显式凭证登录的尝试来检测受损行为的概率入侵检测模型。由不同的检测模型输出的用于每一个登录会话的分数可组合以生成用于每一个登录会话的排名分数。可以基于用于每一个登录会话的排名分数来生成排名警报的列表以标识受损的授权帐户和/或受损的机器。可以基于受损的帐户‑机器对来自动生成攻击图以可视地显示攻击者的可能的路径。

本申请是申请日为2015年9月16日、申请号为201580050440.0的发明专利申请“横向移动检测”的分案申请。

背景技术

组织通常将采用各种防御机制来降低计算机网络攻击的风险。尽管采取这些预防措施，组织仍可能成为破坏其计算机网络的成功攻击的受损者。攻击者有多种方式来得到进入组织的计算机网络的立足点，例如通过在钓鱼电子邮件消息中诱导用户点击恶意链接或者通过利用已知的或未打补丁的薄弱点。当这些策略成功时，攻击者可以获得运行恶意代码且损害组织的计算机网络的能力。

在损害组织的初始计算机时，攻击者可以使用从初始受损计算机偷窃来的凭证来访问和损害计算机网络内的其它机器。通常，攻击者的目标是定位具有允许访问高价值机器(比如，基础结构服务器和域控制器)的高级许可的凭证。成功地获得域管理员凭证的攻击者可以损害组织的域内的全部计算机以及信任该组织的外部域内的全部计算机。

如果从初始受损计算机偷窃的凭证不具有高级许可，则攻击者通常将开始横向移动到可被访问和搜索额外凭证的其它连接的计算机。通常，攻击者可以使用从初始受损计算机偷窃来的本地管理员帐户凭证来访问和损害同一网络层上的其它计算机。攻击者可以继续横向移动且破坏同一网络层内的计算机，直到定位到允许特权升级且更深入网络遍历的凭证。在定位到具有提高的许可的凭证时，攻击者随后进展到下一网络层且同样进行横向移动以搜索更高的特权。

如果横向移动未被检测到，则本地损害可能扩散且变成全局入侵。因此，能够尽快检测到攻击者的横向移动而使得破坏的范围被确定且能够执行适当的遏制和补救是重要的。

发明内容

提供该发明内容以便以简化的形式来引入下面的具体实施方式中进一步描述的概念的选择。该发明内容不旨在确定所要求保护的主题的关键特征或主要特征，也不旨在用于限定所要求保护的主题的范围。

在各个实现方式中，可以通过采用不同的检测模型对包括由授权帐户对计算机网络的机器所执行的活动的登录会话评分来执行横向移动检测。不同的检测模型可以由根据历史安全事件数据计算的计数实现和/或使用根据历史安全事件数据计算的计数。不同的检测模型可以包括用于基于登录行为、在登录会话期间所观察的安全事件的序列、在登录会话期间所观察到的安全事件之间的事件间时间和/或使用显式凭证登录的尝试来检测受损行为的概率入侵检测模型。

每一个不同的检测模型可以输出用于每一个登录会话的一个或多个分数，其评估在登录会话期间所发生的一个或多个安全事件是否指示受损行为的。由不同的检测模型输出的用于每一个登录会话的分数基于不同类型的登录会话行为而提供在登录会话期间所发生的一个或多个安全事件是否指示受损行为的独立评估。

由不同的检测模型输出的用于每一个登录会话的分数可组合以生成用于每一个登录会话的排名分数。可基于用于每一个登录会话的排名分数来生成排名警报的列表以标识计算机网络的受损的帐户和/或受损的机器。可以基于受损的帐户-机器对来自动生成攻击图以可视地显示出攻击者的一个或多个可能的路径。

这些以及其它特征和优点将从以下具体实施方式的理解和随附的附图的阅览中变得显而易见。应当理解，前面的概述、下面的详细说明和随附的图仅为了说明，不是限制如所要求保护的各个方面。

附图说明