基于windows日志對域用戶登錄認(rèn)證異常的檢測方法及系統(tǒng)

基本信息

申請?zhí)?/td> CN202110547611.8 申請日 -
公開(公告)號 CN113364744A 公開(公告)日 2021-09-07
申請公布號 CN113364744A 申請公布日 2021-09-07
分類號 H04L29/06(2006.01)I;G06F16/14(2019.01)I;G06F16/18(2019.01)I 分類 電通信技術(shù);
發(fā)明人 張力 申請(專利權(quán))人 北京中睿天下信息技術(shù)有限公司
代理機(jī)構(gòu) 北京知呱呱知識產(chǎn)權(quán)代理有限公司 代理人 杜立軍
地址 100085北京市海淀區(qū)農(nóng)大南路1號院8號樓2層201號101
法律狀態(tài) -

摘要

摘要 本申請實施例公開了基于windows日志對域用戶登錄認(rèn)證異常的檢測方法及系統(tǒng),通過獲取目標(biāo)日志事件的存儲狀態(tài);根據(jù)存儲狀態(tài)判斷所述目標(biāo)日志事件是否屬于所需事件日志列表;所述所需事件日志列表包括創(chuàng)建計劃任務(wù)事件、清除事件日志、登錄成功事件、登錄失敗事件、TGT請求事件、ST請求事件、NTLM認(rèn)證事件和權(quán)限分配事件;設(shè)置審核策略和事件日志,并記錄事件日志;根據(jù)哈希傳遞日志特征、票據(jù)傳遞日志特征、ms14?068日志特征判斷是否存在異常日志;若有異常日志,檢查是否為運維人員操作,若不是,確認(rèn)為攻擊行為,對目標(biāo)日志事件對應(yīng)的資產(chǎn)做應(yīng)急處理。從而實現(xiàn)更靈活、更高效、更精準(zhǔn)的對基于windows日志對域用戶登錄認(rèn)證異常進(jìn)行檢測。