公开(公告)号：CN107959673B

公开(公告)日：2020-11-10

申请号：CN201711148718.5

申请日：2017-11-17

Applicant: 广东省信息安全测评中心

Inventor： 陈志华 ,  刘超颖 ,  王文佳 ,  李佳隆 ,  张会杰

IPC: H04L29/06

Abstract: 本申请涉及一种异常登录检测方法，包括以下步骤：当检测到用户登录行为时，获取用户登录行为对应的待检测日志文件；当历史记录中存在正常登录行为时，获取上一次正常登录行为的登录日志文件；对比待检测登录日志文件和上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息；利用新的用户正常登录行为会对登录信息作出修改的登录特性，通过对比检测对比待检测登录日志文件和上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息，确定登录的用户是否绕过正常的登录机制进行登录操作，实现实时、快速判断是否存在异常登录行为。

公开(公告)号：CN107959673A

公开(公告)日：2018-04-24

申请号：CN201711148718.5

申请日：2017-11-17

Applicant: 广东省信息安全测评中心

Inventor： 陈志华 ,  刘超颖 ,  王文佳 ,  李佳隆 ,  张会杰

IPC: H04L29/06

Abstract: 本申请涉及一种异常登录检测方法，包括以下步骤：当检测到用户登录行为时，获取用户登录行为对应的待检测日志文件；当历史记录中存在正常登录行为时，获取上一次正常登录行为的登录日志文件；对比待检测登录日志文件和上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息；利用新的用户正常登录行为会对登录信息作出修改的登录特性，通过对比检测对比待检测登录日志文件和上一次正常登录日志文件中的登录记录信息与最后一次登录记录信息，确定登录的用户是否绕过正常的登录机制进行登录操作，实现实时、快速判断是否存在异常登录行为。

公开(公告)号：CN108052823A

公开(公告)日：2018-05-18

申请号：CN201711319675.2

申请日：2017-12-12

Applicant: 广东省信息安全测评中心

Inventor： 陈志华 ,  刘超颖 ,  王文佳 ,  向宇 ,  张会杰

IPC: G06F21/55 ,  G06F21/56

CPC classification number: G06F21/554 ,  G06F21/566 ,  G06F2221/033

Abstract: 本申请涉及一种检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质，其中，方法包括：实时获得进程运行时加载的动态链接库中的dll文件；将dll文件与Mimikatz‑dll特征库中的dll文件一一对比，Mimikatz‑dll特征库为Mimikatz运行时加载的dll文件组成的特征库；当dll文件中包含Mimikatz‑dll特征库中的所有dll文件时，拦截dll文件对应的进程；当拦截成功时，返回实时获得运行进程时加载的动态链接库中的dll文件。