[发明专利]非法横向移动的自动检测

权利要求书

1.一种用于非法横向移动的自动检测的系统，所述系统包括：

存储器；

与所述存储器可操作地通信的处理器，所述处理器被配置为执行用于检测计算机的网络内的非法横向移动的步骤，所述步骤包括(a)至少将登录数据和网络流量数据相关，从而产生网络节点集，每个网络节点集标识从源计算机到目标计算机的登录事件，以及还标识向所述目标计算机的数据传送，(b)从所述节点集中的至少两个节点集构建链，所述链表示事件序列，所述事件序列包括：从第一计算机到第二计算机中的第二计算机登录，然后是将数据从所述第一计算机传送到所述第二计算机的第二计算机数据传送，然后是从所述第二计算机到第三计算机中的第三计算机登录，并且然后是将数据从所述第二计算机传送到所述第三计算机的第三计算机数据传送，其中从所述第一计算机被传送到所述第二计算机的数据的第二计算机数据传送大小和从所述第二计算机被传送到所述第三计算机的数据的第三计算机数据传送大小的差异不多于两个传送大小中的最大值的百分之十，以及(c)将所述链报告为非法横向移动候选者。

2.根据权利要求1所述的系统，其特征还在于以下列方式中的至少一种方式的短计算机到计算机移动时间的模式：

所述第二计算机登录与所述第三计算机登录之间的移动时间少于到所述第二计算机的另一登录与到所述第三计算机的后续登录之间的时间；

所述第二计算机登录与所述第三计算机登录之间的移动时间少于到所述网络的计算机中的至少一些登录之间的平均时间；

所述第二计算机登录与所述第三计算机登录之间的移动时间少于预定阈值；或者

所述第二计算机登录与所述第三计算机登录之间的移动时间少于五分钟。

3.根据权利要求1所述的系统，其特征还在于管理员登录的模式，其中在所述第二计算机登录期间，第一用户作为管理员从所述第一计算机登录到所述第二计算机中，并且在所述第三计算机登录期间，第二用户作为管理员从所述第二计算机登录到所述第三计算机中。

4.根据权利要求1所述的系统，其特征还在于一致的协议选择的模式，其中被用来将数据从所述第一计算机传送到所述第二计算机的到第二计算机协议和被用来将数据从所述第二计算机传送到所述第三计算机的到第三计算机协议是相同的协议。

5.根据权利要求1所述的系统，其中至少将登录数据和网络流量数据相关包括：将防火墙流量日志与所述网络的所述计算机中的至少一个计算机的安全日志相关。

6.根据权利要求1所述的系统，其中计算机的所述网络包括以下至少一项：云网络、局域网、软件定义的网络、客户端-服务器网络、或具有至少一个信任域的网络。

7.一种检测计算机网络内的非法横向移动的方法，包括自动地：

至少将登录数据和网络流量数据相关，从而产生网络节点集，每个节点集标识：针对到所述节点集的相应计算机的登录的至少两个登录时间、所述节点集的至少一个计算机上的至少一个管理员账户、以及所述节点集的计算机之间的至少一个数据传送；

从所述节点集中的至少两个节点集构建链，所述链表示事件序列，所述事件序列包括作为第一用户到所述第一计算机的登录，随后是向所述第一计算机的数据传送，随后是使用管理员凭证从所述第一计算机到第二计算机的登录；以及

将所述链报告为非法横向移动候选者。

8.根据权利要求7所述的方法，其中将所述链报告为非法横向移动候选者包括报告非法得分，并且其中所述方法还包括至少部分地基于以下所列的依据中的至少两个依据来计算所述非法得分：

到所述链中的相邻计算机的登录之间的移动时间；

被传送到所述链中的计算机的数据的传送大小与从该计算机被传送的数据的传送大小之间的差异；

如何将数据传送到所述链中的所述计算机中的至少两个计算机的至少两个协议选择；

指示所述链中有多于三个计算机的链长度指示；

共享至少一个计算机的多个链的存在；或者

至少部分地基于所述链中至少两个计算机之间的先前通信的异常性得分。