[发明专利]一种基于windows登陆信息发现内网攻击者的方法

说明书

本发明提供了一种基于windows登陆信息发现内网攻击者的方法，该方法为：在企业内网中，各服务器均安装有windows操作系统，设置一台agent服务器，在每一台防护范围内的服务器中安装agent客户端程序；agent服务器负责维护登陆信息白名单列表，并分别下发登陆信息白名单列表到每一台防护范围内的服务器中的agent客户端程序；每一台防护范围内的服务器中的agent客户端程序负责检测自身的登陆信息，若登陆信息不在白名单列表内判断为攻击者，则拒绝登陆，并第一时间向agent服务器推送告警信息。本发明通过维护一个登陆信息白名单列表来发现攻击者，不需要进行海量日志分析，简单、效率高、安全性好。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于windows登陆信息发现内网攻击者的方法。

背景技术

随着全球信息化的飞速发展以及信息化技术的深入研究，网络安全越来越成为人们关注的重要问题。网络攻击无论是对个人还是企业，都是时刻存在着的潜在威胁。如果企业内网被非法入侵，那么可能带来无可估量的损失。企业内网攻击的发现手段，一般有以下几种：蜜罐、杀毒软件以及EDR等。蜜罐技术本质上是专门设置用来诱使攻击者对其进行攻击的，通过对攻击行为进行捕获和分析，从而了解攻击方所使用的工具与方法，推测攻击意图和动机。还可以通过窃听黑客之间的联系，收集黑客所用的工具，并且掌握他们的社交网络。杀毒软件对一切已知的对计算机有危害的程序代码进行清除，通常具有集成监控识别、病毒扫描及清除、自动升级、主动防御等功能，病毒库会及时更新，有的杀毒软件还带有数据恢复、防范黑客入侵、网络流量控制等功能。未来，杀毒软件将无法有效地处理日益增多的恶意程序。EDR通过对端点进行持续检测，发现异常行为并进行实时干预，同时通过应用程序对操作系统调用等异常行为分析，检测和防护未知威胁，通常结合机器学习和人工智能辅助判断。

中国专利申请文献CN201780082931.2中提供了攻击检测装置、攻击检测方法和攻击检测程序。攻击检测装置包括：白名单存储部，按照每个系统状态，对应地存储有白名单，白名单定义了在系统状态下被许可的系统信息；状态估计部，根据在服务器装置与设备之间通信的通信数据，估计控制系统当前的系统状态；攻击判定部，从白名单存储部取得与当前系统状态对应的白名单，根据所取得的白名单和当前系统状态下的系统信息，判断是否检测到攻击。攻击检测方法包括：攻击判定部从白名单存储部取得与当前系统状态对应的白名单，根据所取得的白名单和当前系统状态下的系统信息是否匹配，判断是否检测到攻击。在此公开文件中，针对不同的系统状态，需要存储不同的白名单，实现和维护都比较复杂，同时需要实时估计当前系统状态，再去白名单存储部取得与当前系统状态对应的白名单，实现复杂，耗时更长，导致系统效率降低。

综上所述，现有技术至少存在以下不足：

1.大型企业内网防护通常会向日志服务器发送自身的日志进行日志备份，日志服务器需要维护海量日志信息，业务量大，防护线长的短板，数据的汇总和分析工作复杂，难度很大，效率低。

2.蜜罐本身可能会被当做跳板攻击其他用户，带来无法挽回的损失，并可能带来法律责任问题；

3.杀毒软件有可能会被黑客杀软，在病毒查杀过程中还存在着文件误杀和数据破坏的问题。同时，杀毒软件并不能杀掉所有病毒，病毒库的及时更新是存在的问题；

4.EDR需要专门的安全运营团队人工调查事件警报，人工成本很高。控制台对海量信息进行异常登录日志筛选并发出警报，安全团队往往会被来自多个安全控制台的海量警报狂轰滥炸，调查决策可能是在信息不足的情况下做出的，也可能是仓促的即审判决，决策不够精准；

5.现有技术的处理方式较多依赖于攻击者的技术水平，存在可能被绕过的可能。

因此，针对现有技术不足，提供一种基于windows登陆信息发现内网攻击者的方法以克服现有技术不足甚为必要。

发明内容