[发明专利]非法横向移动的自动检测

说明书

通过检测工具检测联网计算机之间的横向移动并自动有效地对其评估，以区分无害活动和网络攻击。通过将有关登录的日志数据和网络流量相关，检测工具产生与个体移动对应的网络节点集。如果可以从节点集构建与攻击方倾向于使用的事件序列模式匹配的链，那么检测工具会将链报告为非法横向移动候选者。检测模式定义了非法依据，诸如数据传送大小的一致性、登录间隔的短暂、可疑协议的使用、链范围、以及管理员凭证的存在或使用。然后，检测响应可以隔离计算机，针对恶意软件或篡改检查它们，获取用于分析的取证映像，加强防渗漏过滤，并以其他方式缓解正在进行或未来的网络攻击。

背景技术

在网络攻击方获取对计算机网络的访问权之后，攻击方可以采取各种动作。机密数据可能会通过将其复制到网络外的位置而被“渗漏”。攻击方可能会对数据进行加密，以提取换取解密密钥的赎金。攻击方可能会破坏数据，也可能会篡改数据。网络的计算资源(诸如处理能力、网络带宽和数字存储)可能会被劫持，例如以生成或转发未经要求的电子邮件、以挖掘比特币、或者存储攻击方从网络外部带入的非法(illicit)或违法(illegal)内容。

在被破坏的网络中的一些攻击方行为相对容易快速和自动检测，但是许多其他行为则不然。事实上，在一些情况下，网络内存在攻击方数周甚至数月都未被检测到。此外，有些攻击只有在工作过度的安全人员手动查看设备日志时才会被发现。

因此，自动且有效地检测计算机网络中存在攻击方活动的网络安全技术进步将是有帮助的。事实上，对攻击正在进行的明确评估并不是唯一可能的成就。即使是有助于评估攻击已经发生(或正在进行)的可能性的技术进步也可能是有帮助的。

发明内容

本文档中描述的一些实施例提供了用于检测计算机网络中可能存在的攻击方活动的改进技术。特别地，一些实施例检测联网计算机之间的横向移动(lateral movement)。横向移动，也称为“网络横向移动”或“横向扩散(lateral spread)”，可能是无害的经授权活动。但是横向移动也发生在网络攻击期间，因为攻击方从一个计算机移动到另一个计算机，试图捕获管理员凭证或扩散恶意软件。一些实施例有助于将无害横向移动与非法横向移动区分开来。

一些实施例使用或提供非法横向移动的自动检测。处理步骤包括(a)至少将登录数据和网络流量(traffic)数据相关，从而产生网络节点集，每个网络节点集标识从源计算机到目标计算机的登录事件并且还标识到目标计算机的数据传送，(b)从节点集中的至少两个节点集构建链，该链表示与攻击方所使用的模式一致的事件序列，以及(c)将该链报告为非法横向移动候选者。

在这些实施例中，链的事件序列包括：从第一计算机到第二计算机的第二计算机登录，然后是将数据从第一计算机传送到第二计算机的第二计算机数据传送，然后是从第二计算机到第三计算机中的第三计算机登录，并且然后是将数据从第二计算机传送到第三计算机的第三计算机数据传送。这些实施例的特征还在于，从第一计算机被传送到第二计算机的数据的第二计算机数据传送大小、和从第二计算机被传送到第三计算机的数据的第三计算机数据传送大小的差异不多于两个传送大小中最大值的百分之十。这可能发生，例如是因为两个数据传送被执行以将给定的漏洞利用有效负载(exploit payload)发送到目标计算机，诸如被执行以从易失性存储器提取密码的有效负载。

本文教导的一些实施例至少自动地将登录数据和网络流量数据相关，从而产生网络节点集。每个节点集标识：针对到节点集的相应计算机的登录的至少两个登录时间、节点集的至少一个计算机上的至少一个管理员账户、以及节点集的计算机之间的至少一个数据传送。这些实施例从节点集中的至少两个节点集构建链，该链表示事件序列。然后这些实施例将链报告为非法横向移动候选者。

在这些实施例中的一些实施例中，事件序列包括作为第一用户登录到第一计算机，随后是向第一计算机的数据传送，随后是使用管理员凭证从第一计算机登录到第二计算机。