• 账户越权访问了需要更高权限才能访问的资源；

• 账户短时间内尝试登录了过多终端或使用大量密码尝试登录某终端。

目前监测到的APT组织，以及部分蠕虫软件、挖矿病毒，都被发现具有一定横向移动的功能。它们会获取本机的账号信息，并利用密码、证书等信息尝试横向移动，登录到所有能连接到的其他终端上。通过Windows安全矩阵中提及的技术，基本上都能实现精准的防御。例如：短时间内Windows事件日志中出现大量登录失败的日志，即表明可能存在账户被暴力破解的威胁。

然而，Windows安全矩阵技术对于一些别有用心的“合法”用户却无能为力。窥视已久的APT组织，内部员工，稍稍谨慎一些，在获取用户账户的密码或证书之外，还会获取连接信息，进而实现完全合法的连接，访问完全合乎规则的或满足权限要求的资源。另外，如果攻击者降低爆破频率，在较长一段时间内，以极低的频率尝试所有可用的账号密码，就可以获取所有可访问的资源。传统的监测技术无论是从规则上，还是从网络数据上，都会将这些攻击行为视为完全合法的行为，从而无法正确检测出攻击行为。

1. 失陷账号为实际存在的账号，且拥有可访问资源的足够权限时，如何辨别该账号是否被违规使用？

2. 攻击者通过降低攻击频率的方式，在较长的一段时间内，以较低频率逐步尝试获取的账号及口令能够访问的资源或可执行的操作时，如何发现异常的账号使用？

本发明提供了一种终端日志信息聚合的解决方案，确认终端上成功登录的账户中是否存在失陷账户。本发明能检测出的异常行为包括：

• 攻击者或恶意软件对企业账户的各种攻击行为，如暴力破解；

• 攻击者利用失陷账号进行的各种内部渗透活动，如管理员账号或用户账号密码被攻击者窃用 ，并试图访问各种服务器和端口key；

• 内部员工利用合法账户进行的各种非法访问，如利用自身账号登录从未登录的各种服务器或终端；

• 内部员工利用失陷账户进行的各种非法访问，如窃取了管理员账号登录各种服务器或终端；

• 新出现账户的各种非法访问，如非法接入的终端访问了企业内部网络中的其他终端；