专利背后的故事 | 一种异常信息检测方法和装置

news2024/11/18 15:47:45

Part01

专利发明的初衷

用户和实体行为分析(UEBA)在2018年入选Gartner为安全团队建议的十大新项目。UEBA近几年一直受到国内安全厂商的热捧。但是对于UEBA的理解,以及具体落实的产品方案,各厂商虽然明显不同,但在对账户的监控和保护方面,大多数参考了Windows安全矩阵的指标,通过对账户的认证过程和使用方式进行监控以发现异常。例如:

在这里插入图片描述

账户越权访问了需要更高权限才能访问的资源;

账户短时间内尝试登录了过多终端或使用大量密码尝试登录某终端。

目前监测到的APT组织,以及部分蠕虫软件、挖矿病毒,都被发现具有一定横向移动的功能。它们会获取本机的账号信息,并利用密码、证书等信息尝试横向移动,登录到所有能连接到的其他终端上。通过Windows安全矩阵中提及的技术,基本上都能实现精准的防御。例如:短时间内Windows事件日志中出现大量登录失败的日志,即表明可能存在账户被暴力破解的威胁。

然而,Windows安全矩阵技术对于一些别有用心的“合法”用户却无能为力。窥视已久的APT组织,内部员工,稍稍谨慎一些,在获取用户账户的密码或证书之外,还会获取连接信息,进而实现完全合法的连接,访问完全合乎规则的或满足权限要求的资源。另外,如果攻击者降低爆破频率,在较长一段时间内,以极低的频率尝试所有可用的账号密码,就可以获取所有可访问的资源。传统的监测技术无论是从规则上,还是从网络数据上,都会将这些攻击行为视为完全合法的行为,从而无法正确检测出攻击行为。

Part 02

专利可实现功能

本发明专利主要用于在攻击者已经掌握了一些正确的登录渠道时,提供一种内网失陷账号的检测方法及装置。旨在解决以下2个问题:

  1. 失陷账号为实际存在的账号,且拥有可访问资源的足够权限时,如何辨别该账号是否被违规使用?

  2. 攻击者通过降低攻击频率的方式,在较长的一段时间内,以较低频率逐步尝试获取的账号及口令能够访问的资源或可执行的操作时,如何发现异常的账号使用?

本发明提供了一种终端日志信息聚合的解决方案,确认终端上成功登录的账户中是否存在失陷账户。本发明能检测出的异常行为包括:

攻击者或恶意软件对企业账户的各种攻击行为,如暴力破解;

攻击者利用失陷账号进行的各种内部渗透活动,如管理员账号或用户账号密码被攻击者窃用 ,并试图访问各种服务器和端口key;

内部员工利用合法账户进行的各种非法访问,如利用自身账号登录从未登录的各种服务器或终端;

内部员工利用失陷账户进行的各种非法访问,如窃取了管理员账号登录各种服务器或终端;

新出现账户的各种非法访问,如非法接入的终端访问了企业内部网络中的其他终端;

Part 03

专利适用产品

本专利可以应用到内部威胁防御体系(ITP)上。通过异常信息检测方法和装置及时发现内部用户的异常行为,包括高危的人和设备,让一般安全管理员就可以快速地定位高风险的“坏人”背后的行为,对异常行为提前感知并阻止,防患于未然。

Part 04

专利的应用效果

本发明专利可以给用户带来以下价值:

  1. 提高检测的准确性:

以高精数据闭环构建网络安全底座,减少脏数据的影响,有效提升算法模型或者规则集的能力,增强了研判的准确性;

  1. 减少误报:

构建一套软关联、数据驱动搭建的评分框架,从而高效处理海量告警,去除误报影响;

  1. 精准发现异常

通过规则分析引擎、机器学习检测引擎,横向对比企业内部网络中所有实体、账号上发生的各类异常和活动,可精准发现异常账号;

  1. 持续检测,提前感知

通过纵向对比每个实体、账号在一段时间内发生的各类异常和活动,串联时间先后关系,可实现持续的账号行为检测;

  1. 快速研判与定位

存储丰富的数据指标,每一条告警绑定到一个用户,帮助安全管理员快速研判风险。

作者介绍

周赵军,毕业于电子科技大学,硕士学位,天空卫士成都安全实验室核心成员。目前研究方向主要是网络安全,包括网络安全的信息收集、渗透测试、恶意样本分析、后门驻留、取证、监控等等。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/670242.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Go应用性能优化的8个最佳实践,快速提升资源利用效率!

作者|Ifedayo Adesiyan 翻译|Seal软件 链接|https://earthly.dev/blog/optimize-golang-for-kubernetes/ 优化服务器负载对于确保运行在 Kubernetes 上的 Golang 应用程序的高性能和可扩展性至关重要。随着企业越来越多地采用容器化的方式和 …

HOOPS Native Platform 2023 cRACK

将高级 3D 工作流程添加到桌面和移动应用程序 HOOPS 原生平台集成了三种用于桌面和移动应用程序开发的先进 HOOPS 技术,包括高性能图形 SDK、CAD 数据访问工具包和 3D 数据发布 API。 ​ ​ 构建 3D 原生应用 借助桌面和移动设备上的 HOOPS 原生平台,快…

一个初级程序员该在哪接项目练手?

作为一个初级程序员,想要通过兼职接单赚钱,离不开项目练手。但不得不说,初级程序员想要通过接私活获取收入还是相对比较困难的,如果对接私活比较感兴趣的朋友,可以参考这条路径: 在GitHub上学习大佬的项目…

【WebLogic】WebLogic 10.3.6.0部署应用包后报错

问题背景: WebLogic 10.3.6.0部署应用包后出现报错【posted content exceeds max post size】,此报错会导致应用部署的目标服务实例无法成功启动。 报错信息截图如下所示: 根据报错信息,查询相关MOS文档,发现问题原因是…

网络能成为AI加速器吗

网络能成为AI加速器吗 摘要 人工神经网络(NNs)在许多服务和应用中扮演越来越重要的角色,并对计算基础设施的工作负载做出了重要贡献。在用于延迟敏感的服务时,NNs通常由CPU处理,因为使用外部专用硬件加速器会效率低下…

Magisk hide/Denylist 核心原理分析 ROOT隐藏的实现浅论

前言 当手机安装magisk后,全局的挂载空间会受到变更,magisk给我们挂载上了一个su二进制,这就是我们能够访问到su命令的原因 无论是Magisk hide还是Denylist,我们都可以将它们的工作分成两个部分,第一个部分是如何监控…

vue2中引入天地图及相关配置

前言 项目中需要引入特殊用途的地图,发现天地图比高德地图、百度地图要更符合需求,于是看了看天地图。 正文 vue2项目中如何引入天地图并对相关的配置进行修改使用呢?官方给的4.0版本的使用说明。 引入: 进入到public/index.html中…

使用逻辑回归LogisticRegression来对我们自己的数据excel或者csv数据进行分类--------python程序代码,可直接运行

文章目录 一、逻辑回归LogisticRegression是什么?二、逻辑回归LogisticRegression进行分类的具体步骤二、逻辑回归LogisticRegression进行二分类的详细代码三、逻辑回归LogisticRegression的广泛用途总结 一、逻辑回归LogisticRegression是什么? 逻辑回…

小白白也能学会的 PyQt 教程 —— QRadioButton 介绍以及基本使用

文章目录 一、QRadioButton快速入门1. QRadioButton简介2. QRadioButton快速上手 二、响应单选按钮点击事件1、信号和槽机制:2、创建槽函数来响应单选按钮点击:3、示例:执行特定操作或显示相关内容: 三、单选按钮的常用功能和属性…

三维形体投影面积

🎈 算法并不一定都是很难的题目,也有很多只是一些代码技巧,多进行一些算法题目的练习,可以帮助我们开阔解题思路,提升我们的逻辑思维能力,也可以将一些算法思维结合到业务代码的编写思考中。简而言之&#…

petalinux 生成SDK报错排除

AAA: 在项目文件下新建Qt5文件夹文件夹内新建文件并且设置对应参数 文件夹路径: project-spec/meta-user/recipes-qt/qt5 新建文件 vim ./qt5/qt3d_%.bbappend vim ./qt5/qtquickcontrols2_%.bbappend vim ./qt5/qtserialbus_%.bbappend 文件内容 qt3d_%.bbap…

完美解决Non-terminating decimal expansion; no exact representable decimal result.异常

我们在使用BigDecimal进行精确计算时常常会出现Non-terminating decimal expansion; no exact representable decimal result.异常。 出现这个异常的原因在于 BigDecimal 是不可变的、任意精度的有符号十进制数,所以可以做精确计算。但在除法中,准确的商…

ernie-layout笔记

1: 识别文档中文字以及准确的对这些文字排序是必须的一步骤 采用 OCR技术识别文字以及对应的图像坐标信息,光栅扫描以生成输入序列按照从左到右,从上到下的顺序;但是以上方法针对复杂的结构就会出现问题;因此文章使用了Document-P…

Spring源码核心剖析 | 京东云技术团队

前言 SpringAOP作为Spring最核心的能力之一,其重要性不言而喻。然后需要知道的是AOP并不只是Spring特有的功能,而是一种思想,一种通用的功能。而SpringAOP只是在AOP的基础上将能力集成到SpringIOC中,使其作为bean的一种&#xff…

算法程序设计 之 循环赛日程表(2/8)

一、实验目的: 理解并掌握分治算法的基本思想和设计步骤。 二、实验内容 设有n个运动员要进行网球循环赛。现要设计一个满足以下要求的比赛日程表: (1)每个选手必须与其他n-1个选手各赛一次; (2&#xff0…

HOOPS Web SDK 2023 Crack

在 HOOPS WEB 平台上释放 3D 的力量 HOOPS Web 平台加速 Web 应用程序开发,提供先进的 3D Web 可视化、准确快速的 CAD 数据访问和 3D 数据发布软件开发工具包 (SDK)。 构建 3D WEB 应用程序 借助 HOOPS Web 平台,快速构建适用于…

值得收藏的 10个 Android 手机恢复丢失文件的工具榜单

尽管我们尽可能避免这种情况,但有时我们还是会不小心删除 Android 设备上的重要文件。无论是照片、视频、文档还是任何其他形式的数据,数据丢失都会带来巨大的痛苦。不幸的是,Android 设备没有内置恢复工具。但是,有一些第三方恢复…

里程碑式突破!关键的薛定谔猫编码能带来更好的量子比特

​ 薛定谔的猫编码插图(图片来源:网络) 来自瑞士洛桑联邦理工学院(EPFL)的科学家提出了一种突破性的量子计算容错方案,称为“关键的薛定谔猫编码”。这种新颖的系统在混合状态下运行,具有强大的…

容灾与备份区别、灾备技术、容灾体系规划

1.容灾备份的区别 容灾 (Disaster Tolerance):就是在上述的灾难发生时,在保证生产系统的数据尽量少丢失的情况下,保持生存系统的业务不间断地运行。 容错 (Fault Tolerance):指在计…

激光显示技术路线之争:超级全色激光技术ALPD5.0更先进

5月以来,智能投影市场爆发的激光显示技术路线之争愈演愈烈,各厂家带领自有的技术路线你方唱罢我登场,犹如一出愈演愈烈的大戏,吸引了业内外各界的目光。 从极米在5月10日2023春季新品发布会上率先向三色激光技术发难,再到坚果投影首席产品官在朋友圈发文炮轰极米的技术路线,随…