CN112565162A - 一种检测账户窃取行为的方法及装置 - Google Patents

一种检测账户窃取行为的方法及装置 Download PDF

Info

Publication number
CN112565162A
CN112565162A CN201910913734.1A CN201910913734A CN112565162A CN 112565162 A CN112565162 A CN 112565162A CN 201910913734 A CN201910913734 A CN 201910913734A CN 112565162 A CN112565162 A CN 112565162A
Authority
CN
China
Prior art keywords
target
flow
behavior
preset
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910913734.1A
Other languages
English (en)
Other versions
CN112565162B (zh
Inventor
孟翔
张斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN201910913734.1A priority Critical patent/CN112565162B/zh
Publication of CN112565162A publication Critical patent/CN112565162A/zh
Application granted granted Critical
Publication of CN112565162B publication Critical patent/CN112565162B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种检测账户窃取行为的方法及装置,其中方法包括:获取AD域中内网设备与域控设备间的认证流量,以及经过域控设备的目标端口的流量,执行密码***行为检测、密码哈希窃取行为检测和进程注入行为检测中的至少一项。由于本申请提供的密码***行为检测、密码哈希窃取行为检测和进程注入行为检测,都是针对攻击者进行账户窃取的典型行为确定的,因此,本申请提供的密码***行为检测、密码哈希窃取行为检测和进程注入行为检测的针对性更强,因此,本申请提供的检测AD域内的账户窃取行为具有更好的检出率,从而能够有效降低漏检率,并且,还能够有效降低误检率。

Description

一种检测账户窃取行为的方法及装置
技术领域
本申请涉及信息安全领域,尤其涉及一种检测账户窃取行为的方法及装置。
背景技术
目前,为了方便对内网设备的管理,通常为内网搭建AD(Active Directory,活动目录)域,如图1所示。在图1中,包括域控设备和内网设备,其中,域控设备可以为域控主机或域控服务器(在实际中,AD域中的域控设备可以包括多个,图1中以AD域中包括一个域控设备为例),内网设备可以为内网主机或内网服务器。通过域控设备可以实现对AD域中的内网设备进行集中式管理。例如,只需在域控设备上进行某项设置,即可实现对每个内网设备进行该项设置。在AD域内,域控设备除了可以对该AD域中的内网设备进行集中式管理外,还可以对预设的多个账户进行管理,例如,对于任意一个账户,都事先为成功登录该账户的内网设备在该AD域中能访问的资源进行分配。
当域控设备对内网设备登录的账户名称和账户密码的认证通过后,内网设备才可以成功登录账户,成功登录账户后无需向域控设备认证即可访问账户对应的资源。因此,一旦黑客窃取到一个账户后,就可以在AD域中访问该账户所对应的资源,具有较大的危害。因此,检测AD域的账户窃取行为,对防止黑客窃取账户具有重要意义。
目前,AD域内的账户窃取行为的检测方式检测结果准确性较低(包括漏检率高和误检率高)。
发明内容
本申请提供了一种检测账户窃取行为的方法及装置,目的在于解决现有的检测方法检测结果准确性低的问题。
为了实现上述目的,本申请提供了以下技术方案:
本申请提供了一种检测账户窃取行为的方法,包括:
获取AD域中内网设备与域控设备间的认证流量,以及经过所述域控设备的目标端口的流量;
执行密码***行为检测、密码哈希窃取行为检测和进程注入行为检测的至少一项;
其中,所述密码***行为检测用于依据时间窗口中的所述认证流量的特征,检测密码***行为;所述密码哈希窃取行为检测用于依据所述认证流量的特征,检测密码哈希窃取行为;所述进程注入行为检测用于依据所述经过所述域控设备的目标端口的流量,检测进程注入行为。
可选的,所述密码***行为检测包括:
如果满足预设条件,则确定检测到密码***行为;
所述预设条件包括:在预设数量的连续时间窗口中的每一个时间窗口内的第一目标流量的数量大于第一预设阈值、且所述预设数量的连续时间窗口内的流量相似,所述第一目标流量为所述认证流量中第一设备发送至域控设备的流量,所述第一设备为所述AD域中的任意一个内网设备。
可选的,确定所述预设数量的连续时间窗口内的流量相似的过程,包括:
从所述预设数量的连续时间窗口内的流量中,提取出属于kerberos协议中第一个阶段和第二个阶段的流量为待处理流量;
对所述待处理流量进行聚类,得到每个类的聚类中心,以及每个类包含的流量的数量;
若所述聚类中心间的距离小于预设距离阈值,则确定所述预设数量的连续时间窗口内的流量相似;
若所述聚类中心间的距离不小于所述预设距离阈值且得到的类中存在目标类,则确定所述预设数量的连续时间窗口内的流量相似;所述目标类为包含的流量的数量与其它任意一类包含的流量的数量之差大于预设阈值的类。
可选的,所述预设条件还包括:
在所述预设数量的连续时间窗口中的每一个时间窗口内,所述域控设备向所述第一设备发送的认证流量中,表示认证失败的认证流量的数量大于第二预设阈值。
可选的,所述密码哈希窃取行为检测包括:
在所述认证流量中存在第二目标流量的情况下,确定检测到密码哈希窃取行为;所述第二目标流量为支持的最高加密等级低于预设的加密等级的流量。
可选的,所述预设的加密等级为所述AD域中的内网设备与域控设备,在预设的学习时间段的认证流量支持的加密方式的等级中的最高加密等级。
可选的,所述进程注入行为检测包括:
如果从经过所述目标端口的流量中检测到第三目标流量,确定检测到进程注入行为,所述目标端口为所述域控设备上用于远程操控的端口;所述第三目标流量为包含远程调用操作信息的流量。
可选的,在所述确定检测到进程注入行为之后,还包括:
若目标内网设备在所述第三目标流量被检测到后的预设时间段内产生的流量中,存在包含表示所述目标内网设备存在登录行为的信息的流量,则确定所述目标内网设备在进程注入行为后的预设时间段内存在登录行为;所述目标内网设备为所述第三目标流量指示的内网设备。
可选的,在所述确定检测到进程注入行为之后,还包括:
若目标内网设备在所述第三目标流量被检测到后的预设时间段内产生的流量中,未存在包含表示所述目标内网设备存在登录行为的信息的流量,则确定所述目标内网设备在进程注入行为后的预设时间段内不存在登录行为;所述目标内网设备为所述第三目标流量指示的内网设备。
本申请还提供了一种检测账户窃取行为的装置,包括:
获取模块,用于获取AD域中内网设备与域控设备间的认证流量,以及经过所述域控设备的目标端口的流量;
密码***行为检测模块、密码哈希窃取行为检测模块和进程注入行为检测模块的至少一项;
所述密码***行为检测模块用于依据时间窗口中的所述认证流量的特征,检测密码***行为;
所述密码哈希窃取行为检测模块用于依据所述认证流量的特征,检测密码哈希窃取行为;
所述进程注入行为检测模块用于依据所述经过所述域控设备的目标端口的流量,检测进程注入行为。
可选的,所述密码***行为检测模块用于依据时间窗口中的所述认证流量的特征,检测密码***行为,包括:
所述密码***行为检测模块,具体用于如果满足预设条件,则确定检测到密码***行为;所述预设条件包括:在预设数量的连续时间窗口中的每一个时间窗口内的第一目标流量的数量大于第一预设阈值、且所述预设数量的连续时间窗口内的流量相似,所述第一目标流量为所述认证流量中第一设备发送至域控设备的流量,所述第一设备为所述AD域中的任意一个内网设备。
可选的,还包括:确定模块,用于从所述预设数量的连续时间窗口内的流量中,提取出属于kerberos协议中第一个阶段和第二个阶段的流量为待处理流量;对所述待处理流量进行聚类,得到每个类的聚类中心,以及每个类包含的流量的数量;若所述聚类中心间的距离小于预设距离阈值,则确定所述预设数量的连续时间窗口内的流量相似;若所述聚类中心间的距离不小于所述预设距离阈值且得到的类中存在目标类,则确定所述预设数量的连续时间窗口内的流量相似;所述目标类为包含的流量的数量与其它任意一类包含的流量的数量之差大于预设阈值的类。
可选的,所述预设条件还包括:
在所述预设数量的连续时间窗口中的每一个时间窗口内,所述域控设备向所述第一设备发送的认证流量中,表示认证失败的认证流量的数量大于第二预设阈值。
可选的,所述密码哈希窃取行为检测模块用于依据所述认证流量的特征,检测密码哈希窃取行为,包括:
所述密码哈希窃取行为检测模块,具体用于在所述认证流量中存在第二目标流量的情况下,确定检测到密码哈希窃取行为;所述第二目标流量为支持的最高加密等级低于预设的加密等级的流量。
可选的,所述预设的加密等级为所述AD域中的内网设备与域控设备,在预设的学习时间段的认证流量支持的加密方式的等级中的最高加密等级。
可选的,所述进程注入行为检测模块用于依据所述经过所述域控设备的目标端口的流量,检测进程注入行为,包括:
如果从经过所述目标端口的流量中检测到第三目标流量,确定检测到进程注入行为,所述目标端口为所述域控设备上用于远程操控的端口;所述第三目标流量为包含远程调用操作信息的流量。
可选的,还包括:
登录行为检测模块,用于在所述进程注入行为检测模块确定检测到进程注入行为之后,若目标内网设备在所述第三目标流量被检测到后的预设时间段内产生的流量中,存在包含表示所述目标内网设备存在登录行为的信息的流量,则确定所述目标内网设备在进程注入行为后的预设时间段内存在登录行为;所述目标内网设备为所述第三目标流量指示的内网设备。
可选的,所述登录行为检测模块,还用于在所述进程注入行为检测模块确定检测到进程注入行为之后,若目标内网设备在所述第三目标流量被检测到后的预设时间段内产生的流量中,未存在包含表示所述目标内网设备存在登录行为的信息的流量,则确定所述目标内网设备在进程注入行为后的预设时间段内不存在登录行为;所述目标内网设备为所述第三目标流量指示的内网设备。
本申请还提供了一种计算机可读存储介质,所述存储介质包括存储的程序,其中,所述程序执行上述任意一种所述的检测账户窃取行为的方法。
本申请还提供了一种设备,包括:处理器、存储器和总线;所述处理器与所述存储器通过所述总线连接;
所述存储器用于存储程序,所述处理器用于运行程序,其中,所述程序运行时执行上述任意一种所述的检测账户窃取行为的方法。
本申请所述的检测AD域内的账户窃取行为的方法及装置中,密码***行为检测、密码哈希窃取行为检测和进程注入行为检测,都是针对攻击者进行账户窃取的典型行为确定的,因此,本申请提供的密码***行为检测、密码哈希窃取行为检测和进程注入行为检测的针对性更强,因此,本申请提供的检测AD域内的账户窃取行为具有更好的检出率,从而能够有效降低漏检率,并且,还能够有效降低误检率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例公开的场景示意图;
图2为本申请实施例公开的一种检测账户窃取行为方法的流程图;
图3为本申请实施例公开的一种密码***行为的检测方法的流程图;
图4为本申请实施例公开的一种密码哈希窃取行为的检测方法的流程图;
图5为本申请实施例公开的一种进程注入行为的检测方法的流程图;
图6为本申请实施例公开的又一种检测账户窃取行为方法的流程图;
图7为本申请实施例公开的一种检测账户窃取行为装置的结构示意图。
具体实施方式
黑客在攻陷AD域中的内网设备后,被攻陷的内网设备就变成了“肉鸡”,黑客可以操控该“肉鸡”,获取更高权限等级的账户。
本申请的发明人在研究中发现,黑客通过操控“肉鸡”窃取更高权限等级的账户时,通常所采用的窃取方式可以概括为以下三种:
第一种、密码***。
密码***指对所需窃取的账户的密码进行暴力破解。具体的,可以在黑客操控“肉鸡”登录待窃取的账户时,采用程序在短时间内通过枚举不同字符串的方式输入不同的密码,直至域控设备对所输入的账户认证成功。通过该方式窃取账户的难度最小,是黑客最容易窃取的行为。
第二种、密码哈希窃取。
密码哈希指对账户的密码进行一次加密处理(可以为哈希计算),得到的由杂乱字符串构成的密码。在内网设备登录某账户的过程中,域控设备对账户名称与账户密码进行认证时,该账户的密码哈希的功效等同于该账户的密码。所以,从某种意义上来说,黑客获取到待窃取账户的密码哈希,也就相当于获取到待窃取账户的密码。
第三种、进程注入。
进程注入指将恶意代码注入到域控设备的认证进程的过程。其中,恶意代码的功能可以使域控设备对待登录账户的认证失效,从而使得即使待登录账户的密码错误,域控设备也可以通过该待登录账户的认证。
本申请的以下实施例中,从以上三种行为出发,检测AD域内的账户窃取行为。
上述图1为本申请实施例的应用场景,在该场景中,内网设备与域控设备以及内网设备与内网设备间的通信都通过核心交换机实现。本申请实施例提供的一种检测AD域内的账户窃取行为的方法或装置,需要从核心交换机上获取AD域中内网设备与域控设备间的交互流量,因此,作为方法执行主体的装置,可以设置在核心交换机上。当然,也可以设置在AD域的其它设备(包括域控设备和内网设备)上,或者,作为新增的实体设备设置在AD域中,并与核心交换机相连以从核心交换机获取AD域中内网设备与域控设备间的交互流量。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
本申请的发明人针对黑客窃取账户的三种方式,提供了检测AD域内的账户窃取行为的方法。具体的,图2为本申请实施例提供的一种检测账户窃取行为的方法,可以包括以下步骤:
S201、获取AD域中内网设备与域控设备间的认证流量,以及获取经过域控设备的目标端口的流量。
具体的,获取AD域中内网设备与域控设备间的认证流量的过程,可以为每隔预设时长获取一次内网设备与域控设备间的认证流量,其中,预设时长可以设置为较小数值,当然,预设时长的具体取值,需要根据实际情况确定,本实施例不对预设时长的取值作限定。当预设时长的取值为无限小时,本步骤的获取动作就可以看作是实时获取。其中,相邻两次获取内网设备与域控设备间的认证流量的时间间隔可以相同,也可以不同。
在AD域中,内网设备与内网设备之间的通信以及内网设备与域控设备之间的通信,都会经过核心交换机,其中,将经过核心交换机的通信数据称为交互流量。其中,认证流量包括:内网设备向域控设备发送且用于域控设备进行账户认证请求的流量,以及域控设备对账户认证请求的响应流量。
在本实施例中,从核心交换机中获取交互流量的方式可以包括:将核心交换机的交互端口的流量定向到一个其它端口,从其它端口获取到交互流量。在本步骤中,从所获取的交互流量中获取认证流量。在本实施例中,内网设备与域控设备间使用的是kerberos协议,因此,认证流量为使用kerberos协议的流量,在本步骤中,可以从交互流量中提取具有kerberos协议的预设标志的流量为认证流量。
对于获取经过域控设备的目标端口(与前述其它端口不同)的流量的过程,可以每隔预设时长获取一次,其中,预设时长可以设置为较小数值,当然,预设时长的具体取值,需要根据实际情况确定,本实施例不对预设时长的取值作限定。当预设时长的取值为无限小时,本步骤的获取动作就可以看作是实时获取。其中,相邻两次获取内网设备与域控设备间的认证流量的时间间隔可以相同,也可以不同。
目标端口为域控设备上的一个端口,目标端口为通过远程方式向域控设备发送流量所需经过的端口,通过目标端口向域控设备发送的流量为向域控设备注入程序所使用的流量。具体的,目标端口可以为135端口。
S202、执行密码***行为检测、密码哈希窃取行为检测与进程注入行为检测中的至少一种。
具体的,密码***行为检测用于依据时间窗口中的认证流量的特征,检测密码***行为;密码哈希窃取行为检测用于依据认证流量的特征,检测密码哈希窃取行为;进程注入行为检测用于依据经过域控设备的目标端口的流量,检测进程注入行为。
从图2给出的检测流程可以看出,本实施例所述的方法,针对总结出的账户窃取的典型行为进行检测,针对性更强,因此具有更好的检出率,从而能够有效降低漏检率。并且,还能够有效降低误检率。
需要说明的是,在本实施例中,S201与S202可以通过一个进程实现,具体的,该进程执行一次S201后,基于本次执行S201获取到的认证流量与经过目标端口的流量执行S202。在本实施例中,S201与S202可以为两个单独的进程,即实现S201的过程是一个进程,实现S202的过程是一个进程,这两个进程并行执行。对于后一种情况,可以通过探针-感知平台的方式实现,其中,探针为用于实现S201的内网设备,感知平台用于实现S202。探针-感知平台的方式,易于实现且与现有***兼容。
下面将对图2中所述的三种检测流程分别进行详细的说明。
图3为图1中所述的密码***行为的检测方法,包括以下步骤:
在实际中,AD域中一般存在多个内网设备。在本实施例中,以任意一个内网设备为例,介绍检测该内网设备是否存在密码***行为的过程,为了描述方便,将该内网设备称为第一设备。具体的,检测该第一设备是否存在密码***行为的过程,可以包括S301~S311:
S301、获取第i个时间窗口内第一设备向域控设备发送的认证流量,得到第一设备在第i个时间窗口的第一目标流量。
在本实施例中,时间窗口的时长可以根据实际情况设定,本实施例不对时间窗口的时长作限定。在本实施例中,i是一个变量,表示时间窗口的编号,并且i的初始值为1。在本实施例中,每个时间窗口包括起始时刻与结束时刻,其中,为了提高检测效率,进一步减少漏检,可以将第i个时间窗口的结束时刻设置为第i+1个时间窗口的起始时刻。
具体的,获取第一设备在第i个时间窗口的第一目标流量的方式包括:获取位于第i个时间窗口内、源地址为第一设备的IP地址,以及目的地址为域控设备的IP地址的认证流量。
S302、判断第一设备在第i个时间窗口的第一目标流量的数量是否大于预设第一阈值,如果是,则执行S303,如果否,则执行S310。
S303、获取第一设备在第i个时间窗口内域控设备向第一设备发送的认证流量中,认证失败的认证流量的数量。
在本实施例中,第i个时间窗口内的认证流量包括:第一设备在第i个时间窗口的第一目标流量,以及在第i个时间窗口内域控设备向第一设备发送的认证流量。其中,域控设备向第一设备发送的认证流量表示:域控设备对第一设备发送的第一目标流量的响应结果,其中,响应结果包括:认证成功和认证失败,响应结果为认证失败的认证流量为认证失败的认证流量,响应结果为认证成功的认证流量为认证成功的认证流量。
具体的,获取第i个时间窗口内的认证失败的认证流量的方式包括:位于第i个时间窗口内、源地址为域控设备的IP地址、目的地址为第一设备的IP地址,以及存在表示认证失败的信息。
在本实施例中,为了提高检测结果的准确性,将本步骤所确定的认证失败的认证流量的数量,作为检测第一设备是否存在密码***行为的一个判断条件,具体的,判断过程如下S304。
S304、判认证失败的认证流量的数量是否大于第二预设阈值,如果是,则执行S305,如果否,则执行S310。
S305、将第一设备的时间窗口数量的当前值加1。
在本实施例中,时间窗口数量为一个变量,该变量的初始值设置为0,并且,每个内网设备都对应一个时间窗口数量这一变量。在本步骤中,在第一设备的时间窗口数量的当前值的基础上加1,并将加1后的时间窗口数量的取值作为第一设备的时间窗口数量的当前值。
S306、判断第一设备的时间窗口数量的当前值是否不大于预设数量阈值,如果是,执行S307,如果否,执行S308。
在本实施例中,由于第一设备的时间窗口同时满足S302、S304和S305为是的情况下,第一设备的时间窗口的数量才会增加,因此,第一设备的时间窗口的数量的当前值不小于预设数量阈值时,表明第一设备可能存在密码***行为,因此,在本步骤中,判断第一设备的时间窗口数量的当前取值是否不大于预设数量阈值。如果第一设备的时间窗口数量的当前值不大于预设数量阈值的情况下,需要执行S307,否则,执行S308来进一步判断第一设备是否存在密码***行为。
S307、通过i=i+1更新时间窗口编号的取值。
在本步骤中,将时间窗口的编号的取值加1,并将加1后的取值作为时间窗口编号的当前值。
在本实施例中,本步骤更新前的第i个时间窗口的结束时刻与本步骤更新后的第i个时间窗口的起始时刻相同。
执行完本步骤后,返回执行S301。
由于已得到本步骤更新后的第i个时间窗口的起始时刻,再依据本实施例对时间窗口的时长所设定的取值,可以得到本步骤更新后的第i个时间窗口的结束时刻。因此,返回执行S301可以得到第一设备在本步骤更新后的第i个时间窗口中的第一目标流量。
S308、判断第一设备的时间窗口序列中,第一设备与域控设备间的认证流量间是否相似,如果是,执行S309,如果否,执行S311。
在本步骤中,第一设备的时间窗口序列指包含当前时间窗口在内的顺序连续的预设数量的时间窗口。第一设备的时间窗口序列中,第一设备与域控设备间的认证流量包括:第一设备在第一设备的时间窗口序列中的第一目标流量,以及在第一设备的时间窗口序列中域控设备向第一设备发送的认证流量。
具体的,确定第一设备的时间窗口序列中第一设备与域控设备间的认证流量间相似的方式可以包括:
从第一设备的时间窗口序列中第一设备与域控设备间的认证流量中,提取出属于Kerberos协议中第一个阶段和第二个阶段的认证流量,并将提取到的流量作为待处理流量。对待处理流量进行聚类,得到每个类的聚类中心,以及每个类包含的认证流量的数量。在实际中,一般将待处理流量聚成两类。
若得到的聚类中心间的距离小于预设距离阈值,则确定第一设备的时间窗口序列中第一设备与域控设备间的认证流量间相似。
若聚类中心间的距离不小于预设距离阈值且得到的类中存在目标类,则确定第一设备的时间窗口序列中第一设备与域控设备间的认证流量相似。其中,目标类为包含的流量的数量与其它任意一类中包含的流量的数量之差大于预设阈值的类,预设阈值可以根据实际情况确定,通常取较大数值,即目标类中的流量的数量远大于其它任意一类。本实施例不对预设阈值的取值作限定。
S309、确定第一设备存在密码***行为。
可选的,还可以输出表示第一设备存在密码***行为的信息。
在执行完本步骤后,再执行S310。
S310、将第一设备的时间窗口数量的当前值更新为0。
执行完本步骤中,返回执行S307。
S311、将第一设备的时间窗口数量的当前值减1。
假设本实施例的预设数量阈值为5,第一设备在第一个时间窗口、第二个时间窗口……,第五个时间窗口中,每个时间窗口中的第一目标流量的数量都大于第一预设阈值、认证失败的认证流量的数量都大于第二预设阈值,以及,这5个时间窗口中第一设备与域控设备的认证流量相似。但是,第一设备在第六个时间窗口的第一目标流量的数量大于第一预设阈值,并且,在第六个时间窗口中认证失败的认证流量的数量大于第二预设阈值,并且,在第二个时间窗口、第三个时间窗口……,第六个时间窗口内第一设备与域控设备的认证流量相似,此时,可以确定第一设备存在密码***行为。
因此,为了避免对第一设备的密码***行为的漏检情况,即提高对第一设备的密码***行为的检测准确性,在本实施例中,在第一设备的时间窗口数量的当前值不小于预设数量阈值,并且,第一设备的时间窗口序列中,第一设备与域控设备间的认证流量不相似的情况下,执行本步骤。并在执行完本步骤后,执行S307。
上述S301~S311是以任意一个内网设备为例,检测该内网设备是否存在密码***行为的过程,在实际中,可以对该AD域中的每个内网设备按照上述检测过程进行检测。
通过该实施例,可以看出,在第一设备与域控设备间的认证流量满足以下预设条件的情况下,确定检测到内网设备存在密码***行为。其中,预设条件包括:在预设数量的连续时间窗口中的每一个时间窗口内的第一目标流量的数量大于第一预设阈值、且预设数量的连续时间窗口内的流量相似,以及预设数量的连续时间窗口中的每一个时间窗口内,域控设备向第一设备发送的认证流量中,表示认证失败的认证流量的数量大于第二预设阈值。
需要说明的是,在实际中,预设条件中预设数量的连续时间窗口中的每一个时间窗口内,域控设备向第一设备发送的认证流量中,表示认证失败的认证流量的数量大于第二预设阈值是可选的条件。在预设条件包含可选的条件的情况下,确定第一设备存在密码***行为的准确性更高。
本实施例具有以下有益效果:
有益效果一、
在本实施例中,在第一设备的时间窗口序列中,即在顺序连续的预设数量时间窗口中,每个时间窗口的第一目标流量的数量都大于第一预设阈值、每个时间窗口内认证失败的认证流量的数量都大于第二预设阈值,并且,该顺序连续的预设数量时间窗口中,第一设备与域控设备的认证流量相似的情况下,才确定第一设备存在密码***行为。其中,确定第一设备存在密码***行为所需满足的条件是针对黑客所使用的密码***的特点所确定的,因此,本实施例的检测结果的准确性得到提高。
有益效果二、
在本实施例中,即使在检测到第一设备存在密码***行为后,还接着对后续的时间窗口中第一设备与域控设备的认证流量进行密码***行为检测。因此,本实施例提供的密码***行为检测是一个实时检测的过程,进而,使得本实施例提供的密码***行为检测具有较高的及时性。
图4为本申请实施例提供的密码哈希窃取行为的检测方法,包括以下步骤:
S401、确定预设的学习时间段内,AD域中内网设备与域控设备在该学习时间段的认证流量支持的最高加密等级为预设的加密等级。
在本实施例中,预设的学习时间段的起始时刻、结束时刻,以及起始时刻与结束时刻间的时长都可以根据实际需求确定。具体的,该学习时间段的时长可以为一周,当然,也可以为其它取值,本实施例不对该学习时间段的时长作限定。
在本步骤中,对于内网设备与域控设备间的一条认证流量,该认证流量存在加密等级字段,加密等级字段的值中包括加密等级列表。其中,加密等级列表由预设等级的多个加密方式组成。在加密等级字段的值中还包括:该认证流量指示的内网设备与域控设备间,对加密等级列表中各个加密方式是否支持的信息(通常,字段的列表中,每个加密方式对应一个数值,使用1表示该条流量支持该加密方式,使用0表示该条流量不支持该加密方式)。因此,通过该认证流量中加密等级字段的值,可以确定出该认证流量指示的内网设备与域控设备间支持的加密等级(通常,在列表中加密方式按照等级从高到低进行排列)。
在本步骤中,将AD域中的内网设备与域控设备,在预设的学习时间段的认证流量支持的加密方式的等级中的最高加密等级,作为预设的加密等级。
需要说明的是,本实施例中的S401给出了一种确定预设的加密等级的方式,在实际中,除了采用S401的方式确定预设的加密等级之外,还可以人为设定预设的加密等级。
S402、在预设学习时间段后产生的认证流量中存在第二目标流量的情况下,确定第二目标流量所指示的内网设备存在密码哈希窃取行为。
在本步骤中,第二目标流量为指示的加密等级低于预设的加密等级的认证流量。在本步骤中,对在预设学习时间段后产生的每条认证流量,判断是否为第二目标流量。
具体的,针对在预设学习时间段后产生的任意一条认证流量,判断该条认证流量是否为第二目标流量的过程包括:
A1、确定该条认证流量支持的最高加密等级。
在每条认证流量中存在一个表示加密等级的字段,在本步骤中,可以通过表示加密等级的字段的值,确定该条认证流量支持的最高加密等级。
A2、判断该条认证流量支持的最高加密等级是否低于预设的加密等级,如果否,则执行A3,如果是,则执行A4。
在本步骤中,将支持的最高加密等级低于预设的加密等级的认证流量作为目标认证流量。
A3、确定该条认证流量不是第二目标流量。
A4、确定该条认证流量为第二目标流量。
可选的,还可以输出用于表示第二目标流量指示的内网设备存在密码哈希窃取行为的信息。
需要说明的是,在人为设定预设的加密等级的情况下,可以对内网设备与域控设备间的每条认证流量进行密码哈希窃取行为检测,而不局限于对预设学习时间段后产生的认证流量进行密码哈希窃取行为检测。
本实施例具有以下有益效果:
有益效果一、
本实施例提供的密码哈希窃取行为的检测方法的本质是:检测认证流量是否出现加密等级降级,由于认证流量出现加密等级降级是黑客采用密码哈希的方式窃取账户的行为,因此,本实施例提供的密码哈希窃取行为的检测方法,对黑客所采用的密码哈希窃取方式更有针对性,进而,使得本实施例提供的密码哈希窃取行为的检测方法的准确性较高。
有益效果二、
在本实施例中,确定出预设的加密等级后,针对每条认证流量,判断是否为第二目标流量,进而使得本实施例检测AD域中是否存在密码哈希窃取行为,具有较高的及时性。
图5为本申请实施例提供的进程注入行为的检测方法,包括以下步骤:
S501、针对经过域控设备的目标端口的每条流量,判断是否为第三目标流量,如果是,执行S502,如果否,执行S501。
在本步骤中,第三目标流量为存在表示目标操作信息的流量。目标操作表示向认证进程中注入预设代码的操作,其中,认证进程为域控设备对内网设备进行认证的进程。预设代码为用于使得域控设备对内网设备认证失效的代码,即使内网设备输入的账户密码是错误的,域控设备也可以认证通过。
在本步骤中,目标操作可以为net_rpclogon操作。其中,net_rpclogon是服务为域控制器注册所有的srv资源纪录的一种程序。
在本步骤中,需要对经过域控设备的目标端口的每条流量进行判断,具体的,判断任意一条流量是否为第三目标流量的方式包括:判断该条认证流量中是否存在表示目标操作的信息。在判断出任意一条流量为第三目标流量的情况下,执行S502,否则,通过流量的产生时间戳确定未检测的流量,并对未检测的流量进行判断。
S502、确定目标内网设备存在进程注入行为。
在本步骤中,目标内网设备为第三目标流量所指示的内网设备。
可选的,还可以输出表示目标内网设备存在进程注入行为的信息。
S503、判断目标内网设备在第三目标流量被检测到后的预设时间段内产生的流量中,是否存在包含表示目标内网设备存在登录行为的信息的流量,如果是,则执行S504,如果否,执行S505。
黑客在向域控设备的认证进程中注入预设代码后,黑客可以登录待窃取的更高权限等级的账户,此时,域控设备对黑客所输入的账户认证通过,使得黑客可以成功登录该更高权限等级的账户,进而,可以从该AD域内访问该更高权限等级账户对应的资源。当然,黑客在向域控设备的认证进程中注入预设代码后,也可能不登录该更高权限等级的账户。
因此,在本步骤中,判断在检测到第三目标流量后的预设时间段内产生的流量中,是否存在包含表示目标内网设备存在登录行为信息的流量。其中,在本步骤中的预设时间段的时长可以根据实际需求进行设置,例如,可以为5分钟,本实施例不对该预设时间段的时长作限定。
S504、确定目标内网设备在进程注入行为后的预设时间段内存在登录行为。
可选的,还可以输出表示目标内网设备在进程注入行为后的预设时间段内存在登录行为的信息。例如,可以通过语音的方式进行提示,也可以通过文字的方式进行提示等。
S505、确定目标内网设备在进程注入行为后的预设时间段内不存在登录行为。
可选的,还可以输出表示目标内网设备在进程注入行为后的预设时间段内不存在登录行为的信息。例如,可以通过语音的方式进行提示,也可以通过文字的方式进行提示等。
S503-S505为可选步骤,也可以不执行。
从S503-S505可以看出:若目标内网设备在第三目标流量被检测到后的预设时间段内产生的流量中,存在包含表示目标内网设备存在登录行为的信息的流量,则确定目标内网设备在进程注入行为后的预设时间段内存在登录行为,目标内网设备为第三目标流量指示的内网设备。
若目标内网设备在第三目标流量被检测到后的预设时间段内产生的流量中,未存在包含表示目标内网设备存在登录行为的信息的流量,则确定目标内网设备在进程注入行为后的预设时间段内不存在登录行为,目标内网设备为第三目标流量指示的内网设备。
本实施例具有以下有益效果:
有益效果一、
本实施例提供的进程注入行为的检测方法的本质是检测经过域控设备的目标端口的流量是否为存在用于向认证进程中注入预设代码的流量,该本质符合黑客采用进程注入的方式窃取账户的行为,因此,本实施例提供的进程注入行为的检测方法,对黑客所采用的进程注入更有针对性,进而,使得本实施例提供的进程注入行为的检测方法的准确性较高。
有益效果二、
在本实施例中,对经过域控设备的目标端口的每条流量,判断是否为第三目标流量,如果不是第三目标流量的情况下,继续对未检测的流量进行判断,使得本实施例对经过目标端口流量的进行是否为第三目标流量的判断是一个实时的过程,进而使得本实施例在检测AD域中是否存在进程注入行为的检测过程,具有较高的及时性。
上述图3~图5对应的实施例分别介绍的密码***行为检测方法、密码哈希窃取行为检测方法,以及进程注入行为检测方法,可以并行执行。在此情况下,检测准确性最高。
但在实际中,为了节省资源,对内网设备进行账户窃取行为检测时,可以顺序执行密码***行为检测方法、密码哈希窃取行为检测方法、以及进程注入行为检测方法。如图6,为本申请实施例提供的又一种检测账户窃取行为的方法,以一个内网设备(为了描述方便称为目标设备)为例,介绍本实施例的实现过程,具体包括以下步骤:
S601、获取第i个时间窗口内目标设备向域控设备发送的认证流量,得到目标设备在第i个时间窗口的第一目标流量,以及获取第i个时间窗口内域控设备向目标设备发送的认证失败的认证流量的数量。
在本步骤中,获取第i个时间窗口内目标设备向域控设备发送的认证流量,得到目标设备在第i个时间窗口的第一目标流量的具体实现过程,可以参考图3对应的实施例中的S301。获取第i个时间窗口内域控设备向目标设备发送的认证失败的认证流量的数量的具体实现过程,可以参考图3对应的实施例中的S303,这里不再赘述。
S602、判断目标设备在第i个时间窗口的第一目标流量的数量是否大于预设第一阈值,且在第i个时间窗口内认证失败的流量的数量是否大于预设第二阈值,如果是,执行S603,如果否,执行S608。
在本步骤中,判断目标设备在第i个时间窗口的第一目标流量的数量是否大于预设第一阈值的具体实现过程,可以参考图3对应的实施例中的S302。判断在第i个时间窗口内认证失败的流量的数量是否大于预设第二阈值的具体实现过程,可以参考图3对应的实施例中的S304,这里不再赘述。
S603、将目标设备的时间窗口数量的当前值加1。
本步骤的具体实现过程,可以参考图3对应的实施例中的S305,这里不再赘述。
S604、判断目标设备的时间窗口数量的当前取值是否不大于预设数量阈值,如果是,执行S605,如果否,执行S606。
本步骤的具体实现过程,可以参考图3对应的实施例中的S306,这里不再赘述。
S605、通过i=i+1更新时间窗口编号的取值。
本步骤的具体实现过程,可以参考图3对应的实施例中的S307,这里不再赘述。
执行完本步骤后,返回执行S601。
S606、对目标设备的第一时间窗口序列中,目标设备与域控设备间的认证流量是否相似,如果是,执行S607,如果否,执行S609。
在本步骤中,第一时间窗口序列指包含当前时间窗口在内的顺序连续的预设数量时间窗口。具体的实现过程,可以参考图3对应的实施例中的S308,这里不再赘述。
S607、确定目标设备存在密码***行为,并将目标设备的时间窗口数量的当前值更新为0。
可选的,还可以输出表示目标设备存在密码***行为的信息。
执行完本步骤后,执行S605。
S608、对目标设备的第二时间窗口序列中,目标设备与域控设备间的每条认证流量进行密码哈希窃取行为检测,并将目标设备的时间窗口数量的当前值更新为0。
在本步骤中,第二时间窗口序列指包含当前时间窗口在内的顺序连续的目标数量时间窗口,其中,目标数量为目标设备的时间窗口数量的当前值加1。
在本步骤中,对第二时间窗口序列中,目标设备与域控设备间的每条认证流量,进行密码哈希窃取行为检测。具体的,对任意一条认证流量进行密码哈希窃取行为检测的过程包括:判断该条认证流量的加密等级是否低于预设的加密等级,如果是,则确定该条认证流量指示的内网设备存在密码哈希窃取行为,可选的,还可以输出表示该条认证流量指示的内网设备存在密码哈希窃取行为的信息。
S609、对目标设备的第一时间窗口序列中,目标设备与域控设备间的每条认证流量进行密码哈希窃取行为检测,并将目标设备的时间窗口数量的当前值减1。
具体的,对该预设数量的时间窗口所指示的每条认证流量进行密码哈希窃取行为检测的过程,与S608相同,这里不再赘述。
执行完本步骤后,执行S610。
S610、判断是否检测出目标设备存在密码哈希窃取行为,如果是,执行S605,如果否,执行S611。
S611、对经过域控设备的目标端口的每条流量,进行进程注入行为检测。
具体的,如果通过S608执行本步骤,则在本步骤中,对第二时间窗口序列中经过域控设备的目标端口的每条流量,进行进程注入行为检测。如果通过S609执行本步骤,则在本步骤中,对第一时间窗口序列中经过域控设备的目标端口的每条流量,进行进程注入行为检测。
具体的,对任意一条流量进行进程注入行为检测的过程,可以参考图5对应的实施例中的S501中判断任意一条流量是否为第三目标流量的过程,这里不再赘述。
执行完本步骤后,执行S605。
在本实施例中,三种检测方法的优先级由高到低的顺序依次为:密码***行为检测、密码哈希窃取行为检测和进程注入行为检测。即在一个时间窗口中目标设备的第一目标流量的数量不大于预设第一阈值、目标设备的认证失败的认证流量的数量不大于预设第二阈值,或者,在目标设备的时间窗口数量的当前值不小于预设数量阈值且预设数量的时间窗口的认证流量不相似的情况下,说明已确定出目标设备不存在密码***行为,在该情况下对目标设备进行密码哈希窃取行为检测,如果检测到目标设备存在密码哈希窃取行为,则无需对目标设备进行进程注入行为检测。如果没有检测到目标设备存在密码哈希窃取行为,则对该目标设备进行进程注入行为检测。
因此,相对于并行对目标设备进行密码***行为检测、密码哈希窃取行为检测以及进程注入行为检测,本实施例可能对目标设备执行这三种检测方法中的一种或两种的情况下,就已经确定出该目标设备存在账户窃取行为,此时,未执行的检测方法就无需执行,进而使得本实施例更加节省计算资源。
图7为本申请实施例提供的一种检测账户窃取行为的装置,包括:获取模块701,以及密码***行为检测模块702、密码哈希窃取行为检测模块703和进程注入行为检测模块704中的至少一项。
其中,获取模块701用于获取AD域中内网设备与域控设备间的认证流量,以及经过域控设备的目标端口的流量。密码***行为检测模块702用于依据时间窗口中的认证流量的特征,检测密码***行为。密码哈希窃取行为检测模块703用于依据认证流量的特征,检测密码哈希窃取行为。进程注入行为检测模块704用于依据经过域控设备的目标端口的流量,检测进程注入行为。
可选的,密码***行为检测模块702用于依据时间窗口中的认证流量的特征,检测密码***行为,包括:
密码***行为检测模块702具体用于如果满足预设条件,则确定检测到密码***行为,预设条件包括:在预设数量的连续时间窗口中的每一个时间窗口内的第一目标流量的数量大于第一预设阈值、且所预设数量的连续时间窗口内的流量相似,第一目标流量为认证流量中第一设备发送至域控设备的流量,第一设备为AD域中的任意一个内网设备。
可选的,该装置还包括确定模块705,确定模块705,用于从预设数量的连续时间窗口内的流量中,提取出属于kerberos协议中第一个阶段和第二个阶段的流量为待处理流量;对待处理流量进行聚类,得到每个类的聚类中心,以及每个类包含的流量的数量;若聚类中心间的距离小于预设距离阈值,则确定预设数量的连续时间窗口内的流量相似;若聚类中心间的距离不小于预设距离阈值且得到的类中存在目标类,则确定预设数量的连续时间窗口内的流量相似;目标类为包含的流量的数量与其它任意一类包含的流量的数量之差大于预设阈值的类。
可选的,预设条件还包括:在预设数量的连续时间窗口中的每一个时间窗口内,域控设备向第一设备发送的认证流量中,表示认证失败的认证流量的数量大于第二预设阈值。
可选的,密码哈希窃取行为检测模块703用于依据认证流量的特征,检测密码哈希窃取行为,包括:密码哈希窃取行为检测模块703,具体用于在认证流量中存在第二目标流量的情况下,确定检测到密码哈希窃取行为,第二目标流量为支持的最高加密等级低于预设的加密等级的流量。
可选的,预设的加密等级为AD域中的内网设备与域控设备,在预设的学习时间段的认证流量支持的加密方式的等级中的最高加密等级。
可选的,进程注入行为检测模块704用于依据经过域控设备的目标端口的流量,检测进程注入行为,包括:进程注入行为检测模块704,具体用于如果从经过目标端口的流量中检测到第三目标流量,确定检测到进程注入行为,目标端口为所述域控设备上用于远程操控的端口,第三目标流量为包含远程调用操作信息的流量。
可选的,该装置还包括:登录行为检测模块706,用于在进程注入行为检测模块704确定检测到进程注入行为之后,若目标内网设备在第三目标流量被检测到后的预设时间段内产生的流量中,存在包含表示目标内网设备存在登录行为的信息的流量,则确定目标内网设备在进程注入行为后的预设时间段内存在登录行为,目标内网设备为第三目标流量指示的内网设备。
可选的,登录行为检测模块706,还用于在进程注入行为检测模块704确定检测到进程注入行为之后,若目标内网设备在第三目标流量被检测到后的预设时间段内产生的流量中,未存在包含表示目标内网设备存在登录行为的信息的流量,则确定目标内网设备在进程注入行为后的预设时间段内不存在登录行为,目标内网设备为第三目标流量指示的内网设备。
本实施例提供的检测账户窃取行为的装置的检测原理是针对账户窃取的典型行为确定的,因此,具有更好的检出率,从而能够有效降低漏检率和误检率。
另外,密码***行为检测模块在确定第一设备存在密码***行为所需满足的预设条件,是针对黑客所使用的密码***的特点所确定的,因此,密码***行为检测模块的检测结果的准确性得到提高。并且,密码***行为检测模块在检测到第一设备存在密码***行为后,能够继续对第一设备与域控设备间的认证流量进行检测,因此,检测具有较高的及时性。
密码哈希窃取行为检测模块的检测原理对黑客所采用的密码哈希窃取方式更有针对性,因此,检测结果的准确性较高。并且,密码哈希窃取行为检测模块,能够针对每条认证流量进行检测,因此,具有较高的及时性。
进程注入行为检测模块的检测原理符合黑客采用进程注入的方式窃取账户的行为,因此,进程注入行为检测模块的检测结果具有较高的准确性。并且,进程注入行为检测模块能够对经过域控设备的目标端口的每条流量进行检测,因此,具有较高的检测及时性。
本申请实施例还提供了一种计算机可读存储介质,包括存储的程序,其中,程序执行上述任意一种检测账户窃取行为的方法。
本申请实施例还提供了一种设备,包括:处理器、存储器和总线;处理器与存储器通过总线连接;
存储器用于存储程序,处理器用于运行程序,其中,程序运行时执行上述任意一种检测账户窃取行为的方法。
本申请实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算设备可读取存储介质中。基于这样的理解,本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算设备(可以是个人计算机,服务器,移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (12)

1.一种检测账户窃取行为的方法,其特征在于,包括:
获取AD域中内网设备与域控设备间的认证流量,以及经过所述域控设备的目标端口的流量;
执行密码***行为检测、密码哈希窃取行为检测和进程注入行为检测的至少一项;
其中,所述密码***行为检测用于依据时间窗口中的所述认证流量的特征,检测密码***行为;所述密码哈希窃取行为检测用于依据所述认证流量的特征,检测密码哈希窃取行为;所述进程注入行为检测用于依据所述经过所述域控设备的目标端口的流量,检测进程注入行为。
2.根据权利要求1所述的方法,其特征在于,所述密码***行为检测包括:
如果满足预设条件,则确定检测到密码***行为;
所述预设条件包括:在预设数量的连续时间窗口中的每一个时间窗口内的第一目标流量的数量大于第一预设阈值、且所述预设数量的连续时间窗口内的流量相似,所述第一目标流量为所述认证流量中第一设备发送至域控设备的流量,所述第一设备为所述AD域中的任意一个内网设备。
3.根据权利要求2所述的方法,其特征在于,确定所述预设数量的连续时间窗口内的流量相似的过程,包括:
从所述预设数量的连续时间窗口内的流量中,提取出属于kerberos协议中第一个阶段和第二个阶段的流量为待处理流量;
对所述待处理流量进行聚类,得到每个类的聚类中心,以及每个类包含的流量的数量;
若所述聚类中心间的距离小于预设距离阈值,则确定所述预设数量的连续时间窗口内的流量相似;
若所述聚类中心间的距离不小于所述预设距离阈值且得到的类中存在目标类,则确定所述预设数量的连续时间窗口内的流量相似;所述目标类为包含的流量的数量与其它任意一类包含的流量的数量之差大于预设阈值的类。
4.根据权利要求2所述的方法,其特征在于,所述预设条件还包括:
在所述预设数量的连续时间窗口中的每一个时间窗口内,所述域控设备向所述第一设备发送的认证流量中,表示认证失败的认证流量的数量大于第二预设阈值。
5.根据权利要求1所述的方法,其特征在于,所述密码哈希窃取行为检测包括:
在所述认证流量中存在第二目标流量的情况下,确定检测到密码哈希窃取行为;所述第二目标流量为支持的最高加密等级低于预设的加密等级的流量。
6.根据权利要求5所述的方法,其特征在于,所述预设的加密等级为所述AD域中的内网设备与域控设备,在预设的学习时间段的认证流量支持的加密方式的等级中的最高加密等级。
7.根据权利要求1所述的方法,其特征在于,所述进程注入行为检测包括:
如果从经过所述目标端口的流量中检测到第三目标流量,确定检测到进程注入行为,所述目标端口为所述域控设备上用于远程操控的端口;所述第三目标流量为包含远程调用操作信息的流量。
8.根据权利要求7所述的方法,其特征在于,在所述确定检测到进程注入行为之后,还包括:
若目标内网设备在所述第三目标流量被检测到后的预设时间段内产生的流量中,存在包含表示所述目标内网设备存在登录行为的信息的流量,则确定所述目标内网设备在进程注入行为后的预设时间段内存在登录行为;所述目标内网设备为所述第三目标流量指示的内网设备。
9.根据权利要求7所述的方法,其特征在于,在所述确定检测到进程注入行为之后,还包括:
若目标内网设备在所述第三目标流量被检测到后的预设时间段内产生的流量中,未存在包含表示所述目标内网设备存在登录行为的信息的流量,则确定所述目标内网设备在进程注入行为后的预设时间段内不存在登录行为;所述目标内网设备为所述第三目标流量指示的内网设备。
10.一种检测账户窃取行为的装置,其特征在于,包括:
获取模块,用于获取AD域中内网设备与域控设备间的认证流量,以及经过所述域控设备的目标端口的流量;
密码***行为检测模块、密码哈希窃取行为检测模块和进程注入行为检测模块的至少一项;
所述密码***行为检测模块用于依据时间窗口中的所述认证流量的特征,检测密码***行为;
所述密码哈希窃取行为检测模块用于依据所述认证流量的特征,检测密码哈希窃取行为;
所述进程注入行为检测模块用于依据所述经过所述域控设备的目标端口的流量,检测进程注入行为。
11.一种计算机可读存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求1~9任意一项权利要求所述的检测账户窃取行为的方法。
12.一种设备,其特征在于,包括:处理器、存储器和总线;所述处理器与所述存储器通过所述总线连接;
所述存储器用于存储程序,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1~9任意一项权利要求所述的检测账户窃取行为的方法。
CN201910913734.1A 2019-09-25 2019-09-25 一种检测账户窃取行为的方法及装置 Active CN112565162B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910913734.1A CN112565162B (zh) 2019-09-25 2019-09-25 一种检测账户窃取行为的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910913734.1A CN112565162B (zh) 2019-09-25 2019-09-25 一种检测账户窃取行为的方法及装置

Publications (2)

Publication Number Publication Date
CN112565162A true CN112565162A (zh) 2021-03-26
CN112565162B CN112565162B (zh) 2023-09-08

Family

ID=75029564

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910913734.1A Active CN112565162B (zh) 2019-09-25 2019-09-25 一种检测账户窃取行为的方法及装置

Country Status (1)

Country Link
CN (1) CN112565162B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114205110A (zh) * 2021-11-02 2022-03-18 北京中安网星科技有限责任公司 Ad域威胁检测方法、装置及电子设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140325223A1 (en) * 2010-11-29 2014-10-30 Biocatch Ltd. Device, system, and method of visual login and stochastic cryptography
CN106856471A (zh) * 2015-12-09 2017-06-16 北京艾科网信科技有限公司 802.1x下ad域登录认证方法
CN107204965A (zh) * 2016-03-18 2017-09-26 阿里巴巴集团控股有限公司 一种密码破解行为的拦截方法及***

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140325223A1 (en) * 2010-11-29 2014-10-30 Biocatch Ltd. Device, system, and method of visual login and stochastic cryptography
CN106856471A (zh) * 2015-12-09 2017-06-16 北京艾科网信科技有限公司 802.1x下ad域登录认证方法
CN107204965A (zh) * 2016-03-18 2017-09-26 阿里巴巴集团控股有限公司 一种密码破解行为的拦截方法及***

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
无: "针对微软活动目录(AD)的七大高级攻击技术及相应检测方法", 《安全客》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114205110A (zh) * 2021-11-02 2022-03-18 北京中安网星科技有限责任公司 Ad域威胁检测方法、装置及电子设备
CN114205110B (zh) * 2021-11-02 2023-11-10 北京中安网星科技有限责任公司 Ad域威胁检测方法、装置及电子设备

Also Published As

Publication number Publication date
CN112565162B (zh) 2023-09-08

Similar Documents

Publication Publication Date Title
US11637824B2 (en) Multi-factor authentication devices
US9794228B2 (en) Security challenge assisted password proxy
CN107211016B (zh) 会话安全划分和应用程序剖析器
JP5613855B1 (ja) ユーザ認証システム
CN105939326B (zh) 处理报文的方法及装置
US10142308B1 (en) User authentication
US10867048B2 (en) Dynamic security module server device and method of operating same
US9462011B2 (en) Determining trustworthiness of API requests based on source computer applications' responses to attack messages
CN102624677A (zh) 一种网络用户行为监控方法及服务器
CN105429943B (zh) 一种信息处理方法及其终端
CN114553540B (zh) 基于零信任的物联网***、数据访问方法、装置及介质
CN111581616B (zh) 一种多端登录控制的方法及装置
CN112653679B (zh) 一种动态身份认证方法、装置、服务器及存储介质
CN106878335A (zh) 一种用于登录验证的方法及***
CN103888465A (zh) 一种网页劫持检测方法及装置
CN112565162B (zh) 一种检测账户窃取行为的方法及装置
CN109547427A (zh) 黑名单用户识别方法、装置、计算机设备及存储介质
CN112565163B (zh) 一种检测加密等级降级行为的方法及装置
CN115168830A (zh) 一种检测用户登录环境的登录方法及登录装置
CN112565160A (zh) 一种检测票证冒充行为的方法及装置
CN112910905A (zh) 安全验证方法和装置
CN104717641A (zh) 一种基于sim卡的数字签名生成方法以及sim卡
US20220400108A1 (en) Tokenizing authentication information
CN117540433A (zh) 用户隐私保护方法、服务器、用户终端及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant