CN112383535A

CN112383535A - 哈希传递攻击行为的检测方法、装置和计算机设备

Info

Publication number: CN112383535A
Application number: CN202011247779.9A
Authority: CN
Inventors: 刘超
Original assignee: Ping An Puhui Enterprise Management Co Ltd
Current assignee: Ping An Puhui Enterprise Management Co Ltd
Priority date: 2020-11-10
Filing date: 2020-11-10
Publication date: 2021-02-19
Anticipated expiration: 2040-11-10
Also published as: CN112383535B

Abstract

本申请涉及信息安全领域，提供哈希传递攻击行为的检测方法、装置和计算机设备，包括：判断是否接收到客户端发送的资源访问请求；若是，生成随机数并存储；将随机数发送给客户端；接收客户端返回的加密后的随机数；向域控制器发送验证请求；接收域控制器返回的验证结果，判断验证结果是否为验证通过；若是，向客户端返回身份认证通过的第一信息，并放行客户端登录服务器的登录权限；在客户端成功登录服务器后，获取客户端的登录认证日志；对登录认证日志进行日志分析，从登录认证日志提取出指定字段；根据与指定字段信息对应的数据值，按照预设规则识别出客户端是否存在哈希传递攻击行为。本申请能准确识别出客户端是否存在哈希传递攻击行为。

Description

哈希传递攻击行为的检测方法、装置和计算机设备

技术领域

本申请涉及信息安全技术领域，具体涉及一种哈希传递攻击行为的检测方法、装置和计算机设备。

背景技术

Pass-the-hash(哈希传递攻击)是一种技术，攻击者在获得本地管理员权限之后，通过这种技术从被入侵的工作站或服务器上的内存中捕获NT(LM)哈希。使用这些被盗用的凭据，他们可以代表受到威胁的用户打开一个新的身份验证会话，通过该身份会话实现攻击者在网络环境中的横向移动。该技术对于内部网络安全的影响较为深远，如果缺乏对该哈希传递攻击技术的检测，会造成大量工作站或服务器上的敏感数据被盗取。

现有的检测哈希传递攻击行为的方式是依赖杀毒软件对攻击者在操作系统上使用的攻击程序及执行的系统命令进行判断。但如果攻击者使用的攻击程序进行更改替换时，杀毒软件的策略无法及时更新。另外，由于执行的系统命令可进行混淆，使得杀毒软件无法进行检测判断。因此，现有的检测哈希传递攻击行为的方式存在检测困难，且检测精度低的弊端。如何能够实现准确地检测出哈希传递攻击行为，已成为了目前亟需解决的技术问题。

发明内容

本申请的主要目的为提供一种哈希传递攻击行为的检测方法、装置、计算机设备和存储介质，旨在解决现有的检测哈希传递攻击行为的方式存在检测困难，且检测精度低的技术问题。

本申请提出一种哈希传递攻击行为的检测方法，所述方法包括步骤：

判断是否接收到客户端发送的资源访问请求；

若接收到所述客户端发送的资源访问请求，则生成一个指定位数的随机数，并存储所述随机数；

将所述随机数发送给所述客户端；

接收所述客户端返回的加密后的随机数，其中，所述客户端会使用预存储的密码哈希值对所述随机数进行加密，生成所述加密后的随机数；

向预设的域控制器发送验证请求，以通过所述域控制器对所述验证请求进行验证处理，并返回对应的验证结果，其中，所述验证请求携带有与所述客户端对应的客户端用户名，所述随机数以及所述加密后的随机数；

接收所述域控制器返回的所述验证结果，并判断所述验证结果是否为验证通过；

若所述验证结果为验证通过，则向所述客户端返回身份认证通过的第一信息，并放行所述客户端登录至所述服务器的登录权限；

在所述客户端成功登录至所述服务器后，获取与所述客户端对应的登录认证日志；

对所述登录认证日志进行日志分析，从所述登录认证日志中提取出指定字段，其中，所述指定字段包括事件ID字段、登录类型字段与登录进程名字段；

根据与所述指定字段对应的数据值，按照预设规则识别出所述客户端是否存在哈希传递攻击行为。

可选地，所述根据与所述指定字段对应的数据值，按照预设规则识别出所述客户端是否存在哈希传递攻击行为的步骤，包括：

从所述登录认证日志中获取与所述事件ID字段对应的第一数据值，并判断所述第一数据值是否为第一预设值；

若所述第一数据值为所述第一预设值，则从所述登录认证日志中获取与所述登录类型字段对应的第二数据值；

判断所述第二数据值是否为第二预设值；

若所述第二数据值为所述第二预设值，则从所述登录认证日志中获取与所述登录进程名字段对应的第三数据值；

判断所述第三数据值是否为第三预设值；

若所述第三数据值为所述第三预设值，则判定所述客户端存在哈希传递攻击行为；

若所述第三数据值不为所述第三预设值，则判定所述客户端不存在哈希传递攻击行为。

可选地，所述从所述登录认证日志中获取与所述事件ID字段对应的第一数据值，并判断所述第一数据值是否为第一预设值的步骤之后，包括：

若所述第一数据值不为所述第一预设值，则判断所述第一数据值是否为第四预设值；

若所述第一数据值为所述第四预设值，则从所述登录认证日志中获取与所述登录类型字段对应的第四数据值；

判断所述第四数据值是否为第五预设值；

若所述第四数据值为所述第五预设值，则从所述登录认证日志中获取与所述登录进程名字段对应的第五数据值；

判断所述第五数据值是否为第六预设值；

若所述第五数据值为所述第六预设值，则判定所述客户端存在哈希传递攻击行为；

若所述第五数据值不为所述第六预设值，则判定所述客户端不存在哈希传递攻击行为。

可选地，所述判断所述第二数据值是否为第二预设值的步骤之后，包括：

若所述第二数据值不为所述第二预设值，则判断所述第二数据值是否为第七预设值；

若所述第二数据值为所述第七预设值，则从所述登录认证日志中获取与所述登录进程名字段对应的第六数据值；

判断所述第六数据值是否为第八预设值；

若所述第六数据值为所述第八预设值，则判定所述客户端存在哈希传递攻击行为；

若所述第六数据值不为所述第八预设值，则判定所述客户端不存在哈希传递攻击行为。

可选地，所述接收所述域控制器返回的所述验证结果，并判断所述验证结果是否为验证通过的步骤之后，包括：

若所述验证结果不为验证通过，则生成身份认证未通过的第二信息；

向所述客户端返回所述第二信息；

限制对所述资源访问请求进行响应。

可选地，所述所述根据与所述指定字段对应的数据值，按照预设规则识别出所述客户端是否存在哈希传递攻击行为的步骤之后，包括：

若所述客户端不存在哈希传递攻击行为，则获取与所述资源访问请求对应的服务数据；

将所述服务数据发送给所述客户端。

可选地，所述根据与所述指定字段对应的数据值，按照预设规则识别出所述客户端是否存在哈希传递攻击行为的步骤之后，包括：

若所述客户端存在哈希传递攻击行为，则限制对所述资源访问请求进行响应；

从所述登录认证日志中获取源网络IP地址字段信息；

将所述源网络IP地址字段信息作为哈希传递的攻击来源信息；以及，

将所述源网络IP地址字段信息存储于预设的攻击黑名单内。

本申请还提供一种哈希传递攻击行为的检测装置，应用于服务器，包括：

第一判断模块，用于判断是否接收到客户端发送的资源访问请求；

第一生成模块，用于若接收到所述客户端发送的资源访问请求，则生成一个指定位数的随机数，并存储所述随机数；

第一发送模块，用于将所述随机数发送给所述客户端；

第一接收模块，用于接收所述客户端返回的加密后的随机数，其中，所述客户端会使用预存储的密码哈希值对所述随机数进行加密，生成所述加密后的随机数；

第二发送模块，用于向预设的域控制器发送验证请求，以通过所述域控制器对所述验证请求进行验证处理，并返回对应的验证结果，其中，所述验证请求携带有与所述客户端对应的客户端用户名，所述随机数以及所述加密后的随机数；

第二判断模块，用于接收所述域控制器返回的所述验证结果，并判断所述验证结果是否为验证通过；

第一返回模块，用于若所述验证结果为验证通过，则向所述客户端返回身份认证通过的第一信息，并放行所述客户端登录至所述服务器的登录权限；

第一获取模块，用于在所述客户端成功登录至所述服务器后，获取与所述客户端对应的登录认证日志；

提取模块，用于对所述登录认证日志进行日志分析，从所述登录认证日志中提取出指定字段，其中，所述指定字段包括事件ID字段、登录类型字段与登录进程名字段；

识别模块，用于根据与所述指定字段对应的数据值，按照预设规则识别出所述客户端是否存在哈希传递攻击行为。

本申请还提供一种计算机设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时实现上述方法的步骤。

本申请还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述方法的步骤。

本申请中提供的哈希传递攻击行为的检测方法、装置、计算机设备和存储介质，具有以下有益效果：

本申请中提供的哈希传递攻击行为的检测方法、装置、计算机设备和存储介质，本申请在客户端发出资源访问请求且该客户端通过了域控制器的身份认证后，并不会立即对该资源访问请求进行响应，而是会在客户端成功登陆了服务器后，通过获取与客户端对应的登录认证日志，再按照预设规则对该登录认证日志中包含的指定字段信息，即事件ID、登陆类型以及登陆进程名信息进行分析匹配，进而根据得到的分析匹配结果来实现智能、准确且快速地识别出客户端是否存在哈希传递攻击行为，有效地提高了哈希传递攻击行为的识别效率与识别准确性。

附图说明

图1是本申请一实施例的哈希传递攻击行为的检测方法的流程示意图；

图2是本申请一实施例的哈希传递攻击行为的检测装置的结构示意图；

图3是本申请一实施例的计算机设备的结构示意图。

本申请目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用于解释本申请，并不用于限定本申请。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)，具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语，应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样被特定定义，否则不会用理想化或过于正式的含义来解释。

参照图1，本申请一实施例的哈希传递攻击行为的检测方法，包括：

S1：判断是否接收到客户端发送的资源访问请求；

S2：若接收到所述客户端发送的资源访问请求，则生成一个指定位数的随机数，并存储所述随机数；

S3：将所述随机数发送给所述客户端；

S4：接收所述客户端返回的加密后的随机数，其中，所述客户端会使用预存储的密码哈希值对所述随机数进行加密，生成所述加密后的随机数；

S5：向预设的域控制器发送验证请求，以通过所述域控制器对所述验证请求进行验证处理，并返回对应的验证结果，其中，所述验证请求携带有与所述客户端对应的客户端用户名，所述随机数以及所述加密后的随机数；

S6：接收所述域控制器返回的所述验证结果，并判断所述验证结果是否为验证通过；

S7：若所述验证结果为验证通过，则向所述客户端返回身份认证通过的第一信息，并放行所述客户端登录至所述服务器的登录权限；

S8：在所述客户端成功登录至所述服务器后，获取与所述客户端对应的登录认证日志；

S9：对所述登录认证日志进行日志分析，从所述登录认证日志中提取出指定字段，其中，所述指定字段包括事件ID字段、登录类型字段与登录进程名字段；

S10：根据与所述指定字段对应的数据值，按照预设规则识别出所述客户端是否存在哈希传递攻击行为。

如上述步骤S1至S10所述，本方法实施例的执行主体为一种哈希传递攻击行为的检测装置。在实际应用中，上述哈希传递攻击行为的检测装置可以通过虚拟装置，例如软件代码实现，也可以通过写入或集成有相关执行代码的实体装置实现，且可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。具体地，上述哈希传递攻击行为的检测装置可为服务器。本实施例中的哈希传递攻击行为的检测装置，能够实现智能、准确且快速地识别出客户端是否存在哈希传递攻击行为。具体地，首先判断是否接收到客户端发送的资源访问请求。其中，当客户端具有访问服务器资源的需求时，需要向服务器发送一个对应的资源访问请求，该资源访问请求中包含以明文表示的客户端用户名，以及所需的资源信息。如果接收到上述客户端发送的资源访问请求，则生成一个指定位数的随机数，并存储上述随机数。其中，对于上述指定位数不作具体限定，可根据实际需求进行设置，例如可设为16位。上述随机数被称为Challenge或者Nonce。然后将上述随机数发送给上述客户端，并接收上述客户端返回的加密后的随机数，其中，上述客户端会使用预存储的密码哈希值对上述随机数进行加密，生成上述加密后的随机数。另外，上述随机数是以明文的形式发送的。具体的，客户端存在两种身份，第一种身份是属于正常的客户端，如果客户端是正常的客户端，用户会通过输入正确的Windows帐号和密码登录客户端。在用户成功登录之前，客户端会缓存输入的密码的哈希值，即上述密码哈希值。第二种身份则是使用了Pass-the-hash技术的攻击者可以通过类型木马病毒的形式获得客户端的本地管理员权限，从而可以成功登录客户端，之后通过Pass-the-hash技术从被入侵的客户端上的内存中捕获NT(LM)哈希。通过使用这些被盗用的凭据，便可以代表受到威胁的用户打开一个新的身份验证会话，通过该身份会话实现攻击者在网络环境中的横向移动。对于攻击者而言，攻击者在接收到服务器发回的随机数后，通过对客户端进行hash dump操作，便可以获取到客户端上预存储的密码哈希值。在得到了上述加密后的随机数后，再向预设的域控制器发送验证请求，以通过上述域控制器对上述验证请求进行验证处理，并返回对应的验证结果。其中，上述验证请求携带有与上述客户端对应的客户端用户名，上述随机数以及上述加密后的随机数。具体的，域控制器也可称为DC(域控制器)，域控制器对上述验证请求进行验证处理的过程包括：首先根据验证请求中的客户端用户名来获取与该客户端用户名对应的指定密码哈希值，然后使用该指定密码哈希值来对上述随机数进行加密，得到对应的指定随机数，之后判断该指定随机数与上述加密后的随机数是否相同，如果两者相同，则表明客户端具有正确的密码，并生成验证通过的验证结果。而如果两者不相同，则表明客户端不具有正确的密码，并生成验证不通过的验证结果。在生成了验证结果后，域控制器会将该验证结果发回给服务器，并通过服务器最终反馈给客户端。之后接收上述域控制器返回的上述验证结果，并判断上述验证结果是否为验证通过。如果上述验证结果为验证通过，则向上述客户端返回身份认证通过的第一信息，并放行上述客户端登录至上述服务器的登录权限。在上述客户端成功登录至上述服务器后，获取与上述客户端对应的登录认证日志。其中，可以预先在客户端中部署终端日志收集器，从而通过该终端日志收集器来收集客户端的登录认证日志并传送会服务器上，以实现服务器对于与上述客户端对应的登录认证日志的获取。在得到了上述登录认证日志后，再对上述登录认证日志进行日志分析，从上述登录认证日志中提取出指定字段，其中，上述指定字段包括事件ID字段、登录类型字段与登录进程名字段。另外，在客户端通过了域控制器的身份验证后，便可使用客户端用户身份认证成功登录服务器，且会生成对应的登录认证日志，且该登录认证日志是指与本次登录至服务器所相关的日志数据。登录认证日志中至少包含有事件ID字段、登录类型字段、登录进程名字段等字段信息。通过对该登录认证日志进行日志分析，便可获得所需的字段信息。最后根据与上述指定字段对应的数据值，按照预设规则识别出上述客户端是否存在哈希传递攻击行为。其中，事件ID字段对应EventID字段，登录类型字段对应LogonType字段，登录进程名字段对应LogonProcessName字段。具体的，根据与上述指定字段对应的数据值，按照预设规则识别出上述客户端是否存在哈希传递攻击行为的识别过程可包括：通过对与客户端对应的登录认证日志中包含的事件ID字段对应的数据值、登录类型字段对应的数据值以及登录进程名字段对应的数据值进行匹配分析处理，只有当在上述登录认证日志中出现以下三种情况中的任意一种情况时，才会判定客户端存在哈希传递攻击行为。第一种情况：同时满足EventID字段对应的数据值为成功登录账户事件所对应的数值，LogonType字段对应的数据值为网络登录类型所对应的数值，LogonProcessName字段对应的数据值为使用Ntlm协议进行身份验证所对应的值；第二种情况：同时满足EventID字段对应的数据值为成功登录账户事件所对应的数值，LogonType字段对应的数据值为NewCredential登录类型所对应的数值，LogonProcessName字段对应的数据值为使用seclogo进行身份验证所对应的值；第三种情况：同时满足EventID字段对应的数据值为账户无法登录事件所对应的数值，LogonType字段对应的数据值为网络登录类型所对应的数值，LogonProcessName字段对应的数据值为使用Ntlm协议进行身份验证所对应的值。而如果上述登录认证日志中没有出现三种情况中的任意一种情况时。则会判定客户端不存在哈希传递攻击行为。在实际应用中，具体的，EventID字段对应的数据值为4624表示成功登录账户事件，EventID字段对应的数据值为4625表示账户无法登录事件，LogonType字段对应的数据值为3表示网络登录类型，LogonType字段对应的数据值为9表示NewCredential登录类型，LogonProcessName字段对应的数据值为NtlmSsp表示使用Ntlm协议进行身份验证，LogonProcessName字段对应的数据值为seclogo表示使用seclogo进行身份验证。本实施例在客户端发出资源访问请求且该客户端通过了域控制器的身份认证后，并不会立即对该资源访问请求进行响应。而是会在客户端成功登陆了服务器后，通过获取与客户端对应的登录认证日志以及该登录认证日志中的指定字段，再按照预设规则对该登录认证日志中包含的指定字段所对应的数据值，即分别与事件ID、登陆类型以及登陆进程名信息对应的数据值进行分析匹配处理，进而根据得到的分析匹配结果来实现智能、准确且快速地识别出客户端是否存在哈希传递攻击行为，有效地提高了哈希传递攻击行为的识别效率与识别准确性。

进一步地，本申请一实施例中，上述步骤S10，包括：

S100：从所述登录认证日志中获取与所述事件ID字段对应的第一数据值，并判断所述第一数据值是否为第一预设值；

S101：若所述第一数据值为所述第一预设值，则从所述登录认证日志中获取与所述登录类型字段对应的第二数据值；

S102：判断所述第二数据值是否为第二预设值；

S103：若所述第二数据值为所述第二预设值，则从所述登录认证日志中获取与所述登录进程名字段对应的第三数据值；

S104：判断所述第三数据值是否为第三预设值；

S105：若所述第三数据值为所述第三预设值，则判定所述客户端存在哈希传递攻击行为；

S106：若所述第三数据值不为所述第三预设值，则判定所述客户端不存在哈希传递攻击行为。

如上述步骤S100至S106所述，上述根据与上述指定字段对应的数据值，按照预设规则识别出上述客户端是否存在哈希传递攻击行为的步骤，具体可包括：首先从上述登录认证日志中获取与上述事件ID字段对应的第一数据值，并判断上述第一数据值是否为第一预设值。其中，上述第一预设值是用于指代成功登录账户事件所对应的数值，该第一预设值具体可为4624。如果上述第一数据值为上述第一预设值，则从上述登录认证日志中获取与上述登录类型字段对应的第二数据值。然后判断上述第二数据值是否为第二预设值。其中，上述第二预设值是用于指代网络登录类型所对应的数值，该第二预设值具体可为3。如果上述第二数据值为上述第二预设值，则从上述登录认证日志中获取与上述登录进程名字段对应的第三数据值。其中，上述第三预设值是用于指代使用Ntlm协议进行身份验证所对应的值，该第三预设值具体可为NtlmSsp。之后判断上述第三数据值是否为第三预设值。如果上述第三数据值为上述第三预设值，则判定上述客户端存在哈希传递攻击行为。而如果上述第三数据值不为上述第三预设值，则判定上述客户端不存在哈希传递攻击行为。本实施例在上述客户端成功登录至上述服务器后，通过对获取得到的客户端对应的登录认证日志进行日志分析，并从上述登录认证日志中提取出指定字段，即事件ID字段、登录类型字段与登录进程名字段。之后通过进一步对事件ID字段、登录类型字段与登录进程名字段所对应的具体数据值进行分析匹配处理，当检测出登录认证日志中存在事件ID字段对应的第一数据值为第一预设值(成功登录账户事件所对应的数值)，且与上述登录类型字段对应的第二数据值为第二预设值(网络登录类型所对应的数值)，以及与上述登录进程名字段对应的第三数据值为第三预设值(使用Ntlm协议进行身份验证所对应的值)，此时便会判定上述客户端存在哈希传递攻击行为，以实现智能、准确且快速地识别出客户端是否存在哈希传递攻击行为，有效地提高了哈希传递攻击行为的识别效率与识别准确性。

进一步地，本申请一实施例中，上述步骤S100之后，包括：

S1000：若所述第一数据值不为所述第一预设值，则判断所述第一数据值是否为第四预设值；

S1001：若所述第一数据值为所述第四预设值，则从所述登录认证日志中获取与所述登录类型字段对应的第四数据值；

S1002：判断所述第四数据值是否为第五预设值；

S1003：若所述第四数据值为所述第五预设值，则从所述登录认证日志中获取与所述登录进程名字段对应的第五数据值；

S1004：判断所述第五数据值是否为第六预设值；

S1005：若所述第五数据值为所述第六预设值，则判定所述客户端存在哈希传递攻击行为；

S1006：若所述第五数据值不为所述第六预设值，则判定所述客户端不存在哈希传递攻击行为。

如上述步骤S1000至S1006所述，除了可以对登录认证日志中的事件ID字段对应的数据值为第一预设值的第一事件(成功登录账户)进行关于登录类型字段对应的数据值，与登录进程名字段对应的数据值的匹配分析处理，来识别客户端是否存在哈希传递攻击行为。但如果登录认证日志中的事件ID字段对应的数据值不为第一预设值，则还可以进一步对登录认证日志中的事件ID字段对应的数据值为与账户无法登录事件所对应的数值的第二事件进行关于登录类型字段对应的数据值，与登录进程名字段对应的数据值的匹配分析处理，来识别客户端是否存在哈希传递攻击行为。具体地，上述从上述登录认证日志中获取与上述事件ID字段对应的第一数据值，并判断上述第一数据值是否为第一预设值的步骤之后，可包括：如果上述第一数据值不为上述第一预设值，则判断上述第一数据值是否为第四预设值。其中，上述第四预设值是用于指代账户无法登录事件所对应的数值，该第四预设值具体可为4625。如果上述第一数据值为上述第四预设值，则从上述登录认证日志中获取与上述登录类型字段对应的第四数据值。然后判断上述第四数据值是否为第五预设值。其中，上述第五预设值是用于指代网络登录类型所对应的数值，该第五预设值具体可为3。如果上述第四数据值为上述第五预设值，则从上述登录认证日志中获取与上述登录进程名字段对应的第五数据值。之后判断上述第五数据值是否为第六预设值。其中，上述第六预设值是用于指代使用Ntlm协议进行身份验证所对应的值，该第六预设值具体可为NtlmSsp。如果上述第五数据值为上述第六预设值，则判定上述客户端存在哈希传递攻击行为。其中，出现事件ID字段对应的数据值为上述第四预设值(4625)的情况主要为攻击者在内部网络进行大规模的哈希传递攻击，但所使用的登录账户不属于当前客户端，因而会出现账号无法登录的事件。而如果上述第五数据值不为上述第六预设值，则判定上述客户端不存在哈希传递攻击行为。本实施例在客户端发出资源访问请求且该客户端通过了域控制器的身份认证后，并不会立即对该资源访问请求进行响应。而是会在客户端成功登陆了服务器后，通过获取与客户端对应的登录认证日志以及该登录认证日志中的指定字段，再按照预设规则对该登录认证日志中包含的指定字段所对应的数据值，即分别与事件ID、登陆类型以及登陆进程名信息对应的数据值进行分析匹配处理，当检测出登录认证日志中存在事件ID字段对应的第一数据值为第四预设值(账户无法登录事件所对应的数值)，且与上述登录类型字段对应的第四数据值为第五预设值(网络登录类型所对应的数值)，以及与上述登录进程名字段对应的第五数据值为第六预设值(使用Ntlm协议进行身份验证所对应的值)，此时便会判定上述客户端存在哈希传递攻击行为，以实现智能、准确且快速地识别出客户端是否存在哈希传递攻击行为，有效地提高了哈希传递攻击行为的识别效率与识别准确性。

进一步地，本申请一实施例中，上述步骤S102之后，包括：

S1020：若所述第二数据值不为所述第二预设值，则判断所述第二数据值是否为第七预设值；

S1021：若所述第二数据值为所述第七预设值，则从所述登录认证日志中获取与所述登录进程名字段对应的第六数据值；

S1022：判断所述第六数据值是否为第八预设值；

S1023：若所述第六数据值为所述第八预设值，则判定所述客户端存在哈希传递攻击行为；

S1024：若所述第六数据值不为所述第八预设值，则判定所述客户端不存在哈希传递攻击行为。

如上述步骤S1020至S1024所述，对于事件ID字段对应的数据值为第一预设值，除了可以通过检测与上述登录类型字段对应的数据值是否为第二预设值(网络登录类型所对应的数值)，以及与上述登录进程名字段对应的数据值是否为第三预设值(使用Ntlm协议进行身份验证所对应的值)的方式来识别出客户端存在哈希传递攻击行为，进一步还可以在事件ID字段对应的数据值为第一预设值的基础上，通过检测与上述登录类型字段对应的数据值是否为第七预设值(NewCredential登录类型所对应的数值)，以及与上述登录进程名字段对应的数据值是否为第八预设值(使用seclogo进行身份验证所对应的值)的方式来识别出客户端存在哈希传递攻击行为。具体地，上述判断上述第二数据值是否为第二预设值的步骤之后，还可包括：如果上述第二数据值不为上述第二预设值，则判断上述第二数据值是否为第七预设值。其中，上述第七预设值是用于指代NewCredential登录类型所对应的数值，该第七预设值具体可为9。如果上述第二数据值为上述第七预设值，则从上述登录认证日志中获取与上述登录进程名字段对应的第六数据值。然后判断上述第六数据值是否为第八预设值。其中，上述第八预设值是用于指代使用seclogo进行身份验证所对应的值，该第八预设值具体可为seclogo。如果上述第六数据值为上述第八预设值，则判定上述客户端存在哈希传递攻击行为。而上述第六数据值不为上述第八预设值，则判定上述客户端不存在哈希传递攻击行为。本实施例在客户端发出资源访问请求且该客户端通过了域控制器的身份认证后，并不会立即对该资源访问请求进行响应。而是会在客户端成功登陆了服务器后，通过获取与客户端对应的登录认证日志以及该登录认证日志中的指定字段，再按照预设规则对该登录认证日志中包含的指定字段所对应的数据值，即分别与事件ID、登陆类型以及登陆进程名信息对应的数据值进行分析匹配处理，当检测出登录认证日志中存在事件ID字段对应的第一数据值为第一预设值(成功登录账户事件所对应的数值)，且与上述登录类型字段对应的第二数据值为第七预设值(NewCredential登录类型所对应的数值)，以及与上述登录进程名字段对应的第六数据值为第八预设值(使用seclogo进行身份验证所对应的值)，此时便会判定上述客户端存在哈希传递攻击行为，以实现智能、准确且快速地识别出客户端是否存在哈希传递攻击行为，有效地提高了哈希传递攻击行为的识别效率与识别准确性。

进一步地，本申请一实施例中，上述步骤S6之后，包括：

S60：若所述验证结果不为验证通过，则生成身份认证未通过的第二信息；

S61：向所述客户端返回所述第二信息；

S62：限制对所述资源访问请求进行响应。

如上述步骤S60至S62所述，在通过域控制器对上述验证请求进行验证处理的过程中，除了会出现验证通过的验证结果，还可能出现验证未通过的验证结果，即验证结果不为验证通过的情况。具体地，上述接收上述域控制器返回的上述验证结果，并判断上述验证结果是否为验证通过的步骤之后，还可包括：若上述验证结果不为验证通过，则生成身份认证未通过的第二信息。在得到了上述第二信息后，再向上述客户端返回上述第二信息。同时还会限制对上述资源访问请求进行响应。本实施例在域控制器对上述验证请求进行验证处理后并返回验证未通过的验证结果，即该验证结果不为验证通过时，表明客户端当前没有通过身份权限认证，即客户端当前不具备访问服务器资源的访问权限，则会智能地向客户端返回身份认证未通过的第二信息，以实现对于客户端无权限访问的提醒。另外通过限制对上述资源访问请求进行响应，能够有效避免出现服务器上的重要数据或敏感数据被不合法的攻击者盗取的情形，保证了服务器在数据传输过程中的数据安全性。

进一步地，本申请一实施例中，上述步骤S10之后，包括：

S110：若上述客户端不存在哈希传递攻击行为，则获取与上述资源访问请求对应的服务数据；

S111：将上述服务数据发送给上述客户端。

如上述步骤S110至S111上述，在根据与上述指定字段对应的数据值，按照预设规则识别出上述客户端是否存在哈希传递攻击行为后，进而可以根据得到的识别结果对上述资源访问请求进行相对应的处理。具体地，上述根据与上述指定字段对应的数据值，按照预设规则识别出上述客户端是否存在哈希传递攻击行为的步骤之后，包括：如果上述客户端不存在哈希传递攻击行为，则获取与上述资源访问请求对应的服务数据。在得到了上述服务数据时，再将上述服务数据发送给上述客户端。本实施例只有在识别出客户端不存在哈希传递攻击行为时，即判定客户端当前具备访问服务器资源的访问权限，后续才会对客户端发出的资源访问请求进行响应，进而将与该资源访问请求对应的服务数据返回给客户端，有效地保证了服务器在数据传输过程中的数据安全性。

进一步地，本申请一实施例中，上述步骤S10之后，包括：

S112：若所述客户端存在哈希传递攻击行为，则限制对所述资源访问请求进行响应；

S113：从所述登录认证日志中获取源网络IP地址字段信息；

S114：将所述源网络IP地址字段信息作为哈希传递的攻击来源信息；以及，

S115：将所述源网络IP地址字段信息存储于预设的攻击黑名单内。

如上述步骤S112至S115所述，在根据与上述指定字段对应的数据值，按照预设规则识别出上述客户端是否存在哈希传递攻击行为后，进而可以根据得到的识别结果对上述资源访问请求进行相对应的处理。上述根据与上述指定字段对应的数据值，按照预设规则识别出上述客户端是否存在哈希传递攻击行为的步骤之后，具体可包括：如果上述客户端存在哈希传递攻击行为，则限制对上述资源访问请求进行响应。然后从上述登录认证日志中获取源网络IP地址字段信息。在得到了上述源网络IP地址字段信息后，再将上述源网络IP地址字段信息作为哈希传递的攻击来源信息。以及将上述源网络IP地址字段信息存储于预设的攻击黑名单内。本实施例在识别出客户端存在哈希传递攻击行为时，表明客户端当前遭受到了攻击者的入侵控制，此时则会智能地限制对上述资源访问请求进行响应，以有效避免出现服务器上的重要数据或敏感数据被不合法的攻击者盗取的情形，提高服务器在数据传输过程中的数据安全性。另外，通过从上述登录认证日志中获取源网络IP地址字段信息，进而可以根据该源网络IP地址字段信息来跟踪是哪个IP执行了哈希传递攻击，可以用于进一步的攻击溯源调查。并且会将源网络IP地址字段信息存储于预设的黑名单内，以便后续可以直接对该源网络IP地址进行限制访问处理，确保该不合法的源网络IP地址无法从服务器中获取到资源数据，进一步提高服务器在数据传输过程中的数据安全性。

本申请实施例中的哈希传递攻击行为的检测方法还可以应用于区块链领域，如将上述指定字段信息等数据存储于区块链上。通过使用区块链来对上述指定字段信息进行存储和管理，能够有效地保证上述指定字段信息的安全性与不可篡改性。

上述区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。

区块链底层平台可以包括用户管理、基础服务、智能合约以及运营监控等处理模块。其中，用户管理模块负责所有区块链参与者的身份信息管理，包括维护公私钥生成(账户管理)、密钥管理以及用户真实身份和区块链地址对应关系维护(权限管理)等，并且在授权的情况下，监管和审计某些真实身份的交易情况，提供风险控制的规则配置(风控审计)；基础服务模块部署在所有区块链节点设备上，用来验证业务请求的有效性，并对有效请求完成共识后记录到存储上，对于一个新的业务请求，基础服务先对接口适配解析和鉴权处理(接口适配)，然后通过共识算法将业务信息加密(共识管理)，在加密之后完整一致的传输至共享账本上(网络通信)，并进行记录存储；智能合约模块负责合约的注册发行以及合约触发和合约执行，开发人员可以通过某种编程语言定义合约逻辑，发布到区块链上(合约注册)，根据合约条款的逻辑，调用密钥或者其它的事件触发执行，完成合约逻辑，同时还提供对合约升级注销的功能；运营监控模块主要负责产品发布过程中的部署、配置的修改、合约设置、云适配以及产品运行中的实时状态的可视化输出，例如：告警、监控网络情况、监控节点设备健康状态等。

参照图2，本申请一实施例中还提供了一种哈希传递攻击行为的检测装置，应用于服务器，包括：

第一判断模块1，用于判断是否接收到客户端发送的资源访问请求；

第一生成模块2，用于若接收到所述客户端发送的资源访问请求，则生成一个指定位数的随机数，并存储所述随机数；

第一发送模块3，用于将所述随机数发送给所述客户端；

第一接收模块4，用于接收所述客户端返回的加密后的随机数，其中，所述客户端会使用预存储的密码哈希值对所述随机数进行加密，生成所述加密后的随机数；

第二发送模块5，用于向预设的域控制器发送验证请求，以通过所述域控制器对所述验证请求进行验证处理，并返回对应的验证结果，其中，所述验证请求携带有与所述客户端对应的客户端用户名，所述随机数以及所述加密后的随机数；

第二判断模块6，用于接收所述域控制器返回的所述验证结果，并判断所述验证结果是否为验证通过；

第一返回模块7，用于若所述验证结果为验证通过，则向所述客户端返回身份认证通过的第一信息，并放行所述客户端登录至所述服务器的登录权限；

第一获取模块8，用于在所述客户端成功登录至所述服务器后，获取与所述客户端对应的登录认证日志；

提取模块9，用于对所述登录认证日志进行日志分析，从所述登录认证日志中提取出指定字段，其中，所述指定字段包括事件ID字段、登录类型字段与登录进程名字段；

识别模块10，用于根据与所述指定字段对应的数据值，按照预设规则识别出所述客户端是否存在哈希传递攻击行为。

本实施例中，上述哈希传递攻击行为的检测装置中的第一判断模块、第一生成模块、第一发送模块、第一接收模块、第二发送模块、第二判断模块、第一返回模块、第一获取模块、提取模块与识别模块的功能和作用的实现过程具体详见上述哈希传递攻击行为的检测方法中对应步骤S1至S10的实现过程，在此不再赘述。

进一步地，本申请一实施例中，上述识别模块，包括：

第一判断单元，用于从所述登录认证日志中获取与所述事件ID字段对应的第一数据值，并判断所述第一数据值是否为第一预设值；

第一获取单元，用于若所述第一数据值为所述第一预设值，则从所述登录认证日志中获取与所述登录类型字段对应的第二数据值；

第二判断单元，用于判断所述第二数据值是否为第二预设值；

第二获取单元，用于若所述第二数据值为所述第二预设值，则从所述登录认证日志中获取与所述登录进程名字段对应的第三数据值；

第三判断单元，用于判断所述第三数据值是否为第三预设值；

第一判定单元，用于若所述第三数据值为所述第三预设值，则判定所述客户端存在哈希传递攻击行为；

第二判定单元，用于若所述第三数据值不为所述第三预设值，则判定所述客户端不存在哈希传递攻击行为。

本实施例中，上述哈希传递攻击行为的检测装置中的第一判断单元、第一获取单元、第二判断单元、第二获取单元、第三判断单元、第一判定单元与第二判定单元的功能和作用的实现过程具体详见上述哈希传递攻击行为的检测方法中对应步骤S100至S106的实现过程，在此不再赘述。

进一步地，本申请一实施例中，上述识别模块，包括：

第四判断单元，用于若所述第一数据值不为所述第一预设值，则判断所述第一数据值是否为第四预设值；

第三获取单元，用于若所述第一数据值为所述第四预设值，则从所述登录认证日志中获取与所述登录类型字段对应的第四数据值；

第五判断单元，用于判断所述第四数据值是否为第五预设值；

第四获取单元，用于若所述第四数据值为所述第五预设值，则从所述登录认证日志中获取与所述登录进程名字段对应的第五数据值；

第六判断单元，用于判断所述第五数据值是否为第六预设值；

第三判定单元，用于若所述第五数据值为所述第六预设值，则判定所述客户端存在哈希传递攻击行为；

第四判定单元，用于若所述第五数据值不为所述第六预设值，则判定所述客户端不存在哈希传递攻击行为。

本实施例中，上述哈希传递攻击行为的检测装置中的第四判断单元、第三获取单元、第五判断单元、第四获取单元、第六判断单元、第三判定单元与第四判定单元的功能和作用的实现过程具体详见上述哈希传递攻击行为的检测方法中对应步骤S1000至S1006的实现过程，在此不再赘述。

进一步地，本申请一实施例中，上述识别模块，包括：

第七判断单元，用于若所述第二数据值不为所述第二预设值，则判断所述第二数据值是否为第七预设值；

第五获取单元，用于若所述第二数据值为所述第七预设值，则从所述登录认证日志中获取与所述登录进程名字段对应的第六数据值；

第八判断单元，用于判断所述第六数据值是否为第八预设值；

第五判定单元，用于若所述第六数据值为所述第八预设值，则判定所述客户端存在哈希传递攻击行为；

第六判定单元，用于若所述第六数据值不为所述第八预设值，则判定所述客户端不存在哈希传递攻击行为。

本实施例中，上述哈希传递攻击行为的检测装置中的第七判断单元、第五获取单元、第八判断单元、第五判定单元与第六判定单元的功能和作用的实现过程具体详见上述哈希传递攻击行为的检测方法中对应步骤S1020至S1024的实现过程，在此不再赘述。

进一步地，本申请一实施例中，上述哈希传递攻击行为的检测装置，包括：

第二生成模块，用于若所述验证结果不为验证通过，则生成身份认证未通过的第二信息；

第二返回模块，用于向所述客户端返回所述第二信息；

第一处理模块，用于限制对所述资源访问请求进行响应。

本实施例中，上述哈希传递攻击行为的检测装置中的第二生成模块、第二返回模块与第一处理模块的功能和作用的实现过程具体详见上述哈希传递攻击行为的检测方法中对应步骤S60至S62的实现过程，在此不再赘述。

第二获取模块，用于若所述客户端不存在哈希传递攻击行为，则获取与所述资源访问请求对应的服务数据；

第三发送模块，用于将所述服务数据发送给所述客户端。

本实施例中，上述哈希传递攻击行为的检测装置中的第二获取模块与第三发送模块的功能和作用的实现过程具体详见上述哈希传递攻击行为的检测方法中对应步骤S110至S111的实现过程，在此不再赘述。

进一步地，本申请一实施例中，上述哈希传递攻击行为的检测装置，还包括：

第二处理模块，用于若所述客户端存在哈希传递攻击行为，则限制对所述资源访问请求进行响应；

第四获取模块，用于从所述登录认证日志中获取源网络IP地址字段信息；

确定模块，用于将所述源网络IP地址字段信息作为哈希传递的攻击来源信息；以及，

存储模块，用于将所述源网络IP地址字段信息存储于预设的攻击黑名单内。

本实施例中，上述哈希传递攻击行为的检测装置中的第二处理模块、第四获取模块、确定模块与存储模块的功能和作用的实现过程具体详见上述哈希传递攻击行为的检测方法中对应步骤S112至S115的实现过程，在此不再赘述。

参照图3，本申请实施例中还提供一种计算机设备，该计算机设备可以是服务器，其内部结构可以如图3所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏、输入装置和数据库。其中，该计算机设备设计的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储资源访问请求、随机数、加密后的随机数、登录认证日志指定字段、以及数据值等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机设备的显示屏是计算机中必不可少的一种图文输出设备，用于将数字信号转换为光信号，使文字与图形在显示屏的屏幕上显示出来。该计算机设备的输入装置是计算机与用户或其他设备之间进行信息交换的主要装置，用于把数据、指令及某些标志信息等输送到计算机中去。该计算机程序被处理器执行时以实现一种哈希传递攻击行为的检测方法。

上述处理器执行上述哈希传递攻击行为的检测方法的步骤：

判断是否接收到客户端发送的资源访问请求；

将所述随机数发送给所述客户端；

本领域技术人员可以理解，图3中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的装置、计算机设备的限定。

本申请一实施例还提供一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现一种哈希传递攻击行为的检测方法，具体为：

判断是否接收到客户端发送的资源访问请求；

将所述随机数发送给所述客户端；

综上所述，本申请实施例中提供的哈希传递攻击行为的检测方法、装置、计算机设备和存储介质，在客户端发出资源访问请求且该客户端通过了域控制器的身份认证后，并不会立即对该资源访问请求进行响应。而是会在客户端成功登陆了服务器后，通过获取与客户端对应的登录认证日志以及该登录认证日志中的指定字段，再按照预设规则对该登录认证日志中包含的指定字段所对应的数据值，即分别与事件ID、登陆类型以及登陆进程名信息对应的数据值进行分析匹配处理，进而根据得到的分析匹配结果来实现智能、准确且快速地识别出客户端是否存在哈希传递攻击行为，有效地提高了哈希传递攻击行为的识别效率与识别准确性。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储与一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的和实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM通过多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双速据率SDRAM(SSRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。

以上所述仅为本申请的优选实施例，并非因此限制本申请的专利范围，凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本申请的专利保护范围内。

Claims

1.一种哈希传递攻击行为的检测方法，应用于服务器，其特征在于，包括：

判断是否接收到客户端发送的资源访问请求；

将所述随机数发送给所述客户端；

2.根据权利要求1所述的哈希传递攻击行为的检测方法，其特征在于，所述根据与所述指定字段对应的数据值，按照预设规则识别出所述客户端是否存在哈希传递攻击行为的步骤，包括：

判断所述第二数据值是否为第二预设值；

判断所述第三数据值是否为第三预设值；

3.根据权利要求2所述的哈希传递攻击行为的检测方法，其特征在于，所述从所述登录认证日志中获取与所述事件ID字段对应的第一数据值，并判断所述第一数据值是否为第一预设值的步骤之后，包括：

判断所述第四数据值是否为第五预设值；

判断所述第五数据值是否为第六预设值；

4.根据权利要求2所述的哈希传递攻击行为的检测方法，其特征在于，所述判断所述第二数据值是否为第二预设值的步骤之后，包括：

判断所述第六数据值是否为第八预设值；

5.根据权利要求1所述的哈希传递攻击行为的检测方法，其特征在于，所述接收所述域控制器返回的所述验证结果，并判断所述验证结果是否为验证通过的步骤之后，包括：

向所述客户端返回所述第二信息；

限制对所述资源访问请求进行响应。

6.根据权利要求1所述的哈希传递攻击行为的检测方法，其特征在于，所述根据与所述指定字段对应的数据值，按照预设规则识别出所述客户端是否存在哈希传递攻击行为的步骤之后，包括：

将所述服务数据发送给所述客户端。

7.根据权利要求1所述的哈希传递攻击行为的检测方法，其特征在于，所述根据与所述指定字段对应的数据值，按照预设规则识别出所述客户端是否存在哈希传递攻击行为的步骤之后，包括：

从所述登录认证日志中获取源网络IP地址字段信息；

将所述源网络IP地址字段信息存储于预设的攻击黑名单内。

8.一种哈希传递攻击行为的检测装置，应用于服务器，其特征在于，包括：

第一发送模块，用于将所述随机数发送给所述客户端；

9.一种计算机设备，包括存储器和处理器，所述存储器中存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。