[发明专利]基于行为的特权账户威胁告警方法

说明书

本发明公开了一种基于行为的特权账户威胁告警方法，包括：管理向特权账户威胁检测系统发送日志数据的终端IP地址与端口，以及周期性检测通信是否正常，以IP地址计数统计终端与特权账户威胁告警系统通信正常比率，实时统计各终端上传数据量与特权账户威胁告警系统总体接收数据量；对接收到的终端日志数据进行处理；生成威胁告警策略；将告警终端信息、告警内容和特权账户受威胁情况输出为报表，并关联内置邮件网关和短信网关，及时发送概要告警信息至相关负责人。本发明误报率极低，部署及配置简单，通过细分对各类攻击行为中特权账户的变化情况生成告警策略，避免了对攻击报文及病毒木马等文件识别不足而造成真正攻击行为无法被预警的情况。

技术领域

本发明涉及特权账户威胁检测与分析领域，特别涉及一种基于行为的特权账户威胁告警方法。

背景技术

在信息安全的各类攻击事件中，入侵者的攻击流程与著名的“洛克希德-马丁杀伤链”的流程基本一致，攻击过程按先后顺序可以概括为：侦察探测、武器构建、载荷投递、漏洞利用、安装植入、命令与控制，最终达成目标。目前的网络安全防护措施基本围绕该杀伤链的各个环节部署实施，期望达到预先发现或阻止这类攻击的发生。一套较为完备的安全解决方案及安全设备实施部署完成后，可以对大多数安全攻击事件实现阻断，但同时也带来了新的问题。

一、各类安全设备及安全分析软硬件提供的告警信息繁多，误报率高，错误的告警会耗费安全运维人员大量精力。

二、网关类阻断设备及终端杀毒软件主要依赖已有安全特征库对攻击事件进行识别，而无法识别载荷绕过或加密类与零日漏洞类的攻击事件，导致攻击事件已达成目标而尚未被发现。

三、自有安全防护中心的数据来源庞杂，数据收集时可能受限于数据量庞大、数据加密、系统接口不完备、数据种类过多无法处理等带来的部署及分析的困难。

四、对整个攻击流程的日常关注及防护使得安全防护工作失去焦点，疲于应付。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种误报率极低，部署及配置简单，通过细分对各类攻击行为中特权账户的变化情况生成告警策略，避免了对攻击报文及病毒木马等文件识别不足而造成真正攻击行为无法被预警的情况的基于行为的特权账户威胁告警方法。

本发明解决其技术问题所采用的技术方案是：构造一种基于行为的特权账户威胁告警方法，包括如下步骤：

A)管理向特权账户威胁检测系统发送日志数据的终端IP地址与端口，以及周期性检测通信是否正常，以IP地址计数统计终端与特权账户威胁告警系统通信正常比率，实时统计各终端上传数据量与特权账户威胁告警系统总体接收数据量；

B)对接收到的终端日志数据进行处理；

C)生成威胁告警策略；

D)将告警终端信息、告警内容和特权账户受威胁情况输出为报表，并关联内置邮件网关和短信网关，及时发送概要告警信息至相关负责人。

在本发明所述的基于行为的特权账户威胁告警方法中，所述步骤B)进一步包括如下步骤：

B1)根据所述威胁告警策略中的过滤器对日志类型或关键字进行过滤；

B2)对过滤后的数据重新建立数据索引，存入特权账户威胁告警系统本地，与之无关的其他日志数据在日志数据引擎处理完后丢弃，优化本地日志存储空间；

B3)日志数据以时间维度为基准能自定义进行再次数据关联，所述日志数据经处理优化后支持外发备份。

在本发明所述的基于行为的特权账户威胁告警方法中，所述威胁告警策略生成的依据是攻击流程中与特权账户相关的场景。