本發(fā)明提供一種通過棧回溯檢測異常登錄的方法及裝置，所述方法包括：步驟S1，監(jiān)控到用戶登錄行為時，對所述登錄行為的線程對應的棧信息進行回溯，得到API調(diào)用序列；步驟S2，將得到的API調(diào)用序列與預先收集的API調(diào)用序列的白名單進行比對；步驟S3，如果比對結果為不一致，則檢測到異常登錄行為。本發(fā)明的方案具有檢出率高、低誤報、實時性等特點。

技術領域

本發(fā)明涉及計算機信息安全領域，尤其涉及一種通過棧回溯檢測異常登錄的方法及裝置。

背景技術

異常登錄行為檢測是管理員進行資產(chǎn)風險管理的一個重要環(huán)節(jié)，異常登錄包含非常用地址登錄、使用非法認證信息登錄、嘗試爆破等異常行為，而當前針對主機進行異常登錄檢測方法主要有以下幾種檢測機制。

基于簡單規(guī)則判斷：通過記錄賬號登錄歷史信息來分析登錄行為，并設置登錄檢測次數(shù)規(guī)則，從而基于常用IP地址建立白名單庫，不在白名單庫內(nèi)的登錄行為均定義為異常登錄。這種檢測機制存在明顯漏報及誤報情況。

基于手動規(guī)則匹配判斷：通過手動設置常用IP、常用地址、常用時間等規(guī)則，建立白名單庫、黑名單庫來設置異常登錄規(guī)則，基于規(guī)則的匹配方式識別異常登錄行為。由于這種檢測機制需要手動設置規(guī)則，因此在運維階段對于管理員來說是一個耗時耗力的過程，識別準確度要求越高，維護就越復雜。

基于機器學習判斷：通過建立異常概率模型，檢測IP地址、用戶、時間、服務類型等信息，計算登錄到目的IP出現(xiàn)概率、或訪問關系，并統(tǒng)計其登錄失敗率、失敗均值等信息。通過智能分析方法自動識別網(wǎng)絡中的訪問關系并檢測異常登錄行為。這種檢測機制為基于日志分析的檢測方法，如果原始數(shù)據(jù)被感染則存在誤報問題，此外也無法檢測登錄來源的合法性。

發(fā)明內(nèi)容

為解決上述技術問題，本發(fā)明提出了一種通過棧回溯檢測異常登錄的方法及裝置，用以解決現(xiàn)有技術無法有效檢測異常登錄，運維階段耗時耗力，并且無法檢測登錄來源的合法性的技術問題。

根據(jù)本發(fā)明的第一方面，提供一種通過棧回溯檢測異常登錄的方法，所述方法包括以下步驟：

步驟S1，監(jiān)控到用戶登錄行為時，對所述登錄行為的線程對應的棧信息進行回溯，得到API調(diào)用序列；

步驟S2，將得到的API調(diào)用序列與預先收集的API調(diào)用序列的白名單進行比對；

步驟S3，如果比對結果為不一致，則檢測到異常登錄行為。

進一步地，步驟S2中，所述API調(diào)用序列的白名單的獲取方法包括：收集合法登錄來源的登錄信息，得到所述合法登錄行為對應的API調(diào)用序列的白名單；所述收集合法登錄來源的登錄信息，包括：對合法登錄來源進行自動化學習，得到所述合法登錄來源的登錄信息；和/或，手工錄入所述合法登錄來源的登錄信息。

進一步地，所述合法登錄來源的登錄信息包括：登錄地址信息、登錄來源服務信息、登錄來源進程信息、登錄目的服務信息、函數(shù)調(diào)用鏈和函數(shù)相關寄存器的值。

進一步地，所述步驟S1中對所述登錄行為的線程對應的棧信息進行回溯，得到API調(diào)用序列，具體包括：根據(jù)所述登錄行為的線程當前函數(shù)調(diào)用現(xiàn)場的上下文信息進行分析，記錄棧指針的位置，確定當前函數(shù)調(diào)用前的函數(shù)調(diào)用鏈信息，得到API調(diào)用序列。

進一步地，檢測到異常登錄行為后，還包括步驟S4，立即阻止該異常登錄行為，同時將訪問源IP地址自動加入黑名單，并記錄異常登錄發(fā)生時的信息。

進一步地，所述異常登錄發(fā)生時的信息包括：異常登錄任務名稱、登錄用戶名、異常登錄函數(shù)名、API調(diào)用序列、異常登錄服務類型、異常登錄的時間。

根據(jù)本發(fā)明第二方面，提供一種通過棧回溯檢測異常登錄的裝置，所述裝置包括：

回溯模塊，用于監(jiān)控到用戶登錄行為時，對所述登錄行為的線程對應的棧信息進行回溯，得到API調(diào)用序列；