[发明专利]基于行为的特权账户威胁告警方法

权利要求书

1.一种基于行为的特权账户威胁告警方法，其特征在于，包括如下步骤：

A)管理向特权账户威胁检测系统发送日志数据的终端IP地址与端口，以及周期性检测通信是否正常，以IP地址计数统计终端与特权账户威胁告警系统通信正常比率，实时统计各终端上传数据量与特权账户威胁告警系统总体接收数据量；

B)对接收到的终端日志数据进行处理；

C)生成威胁告警策略；

D)将告警终端信息、告警内容和特权账户受威胁情况输出为报表，并关联内置邮件网关和短信网关，及时发送概要告警信息至相关负责人。

2.根据权利要求1所述的基于行为的特权账户威胁告警方法，其特征在于，所述步骤B)进一步包括如下步骤：

B1)根据所述威胁告警策略中的过滤器对日志类型或关键字进行过滤；

B2)对过滤后的数据重新建立数据索引，存入特权账户威胁告警系统本地，与之无关的其他日志数据在日志数据引擎处理完后丢弃，优化本地日志存储空间；

B3)日志数据以时间维度为基准能自定义进行再次数据关联，所述日志数据经处理优化后支持外发备份。

3.根据权利要求2所述的基于行为的特权账户威胁告警方法，其特征在于，所述威胁告警策略生成的依据是攻击流程中与特权账户相关的场景。

4.根据权利要求3所述的基于行为的特权账户威胁告警方法，其特征在于，所述与特权账户相关的场景至少包括初始访问阶段的有效账户，常驻阶段的创建账户，提权阶段中的访问令牌操作和特权升级的剥削，防御规避阶段的访问令牌操作和绕过用户账户控制，凭证访问阶段的账户操纵、BASH历史、蛮力攻击、凭证倾销、文件中的凭据、注册表中凭据、强制认证、对证书访问利用、输入擒获、输入提示、凭证嗅探、私钥、安全记忆和双因素身份拦截，内部扫描发现阶段的账户发现、域信任发现、密码策略发现、权限组发现、查询注册表和系统所有者/用户发现，横向移动阶段的传递账户哈希和SSH劫持，收集阶段的剪贴板数据，命令控制阶段的域前端与域生成算法。

5.根据权利要求4所述的基于行为的特权账户威胁告警方法，其特征在于，所述步骤C)进一步包括如下步骤：

C1)所述威胁告警策略依据攻击阶段中与特权账户相关的场景进行实际情况模拟，搭建被攻击环境，配置相关日志数据外发至特权账户威胁告警系统；

C2)由相关渗透测试人员采用不同攻击手段进行相同目的攻击；

C3)由策略开发相关人员进行日志数据分析处理，筛选出攻击发生时的各维度日志数据，确定阈值变化区间，制定单一场景下特权账户初步告警策略；

C4)初步告警策略制定完成后，由相关渗透测试人员再次对相同被攻击环境进行不同攻击手段相同攻击目的的攻击行为，以检验告警策略是否生效触发告警，如发现问题则再次优化告警策略并复测，最终输出单一场景下威胁告警策略。