CN112565160A - 一种检测票证冒充行为的方法及装置 - Google Patents
一种检测票证冒充行为的方法及装置 Download PDFInfo
- Publication number
- CN112565160A CN112565160A CN201910912613.5A CN201910912613A CN112565160A CN 112565160 A CN112565160 A CN 112565160A CN 201910912613 A CN201910912613 A CN 201910912613A CN 112565160 A CN112565160 A CN 112565160A
- Authority
- CN
- China
- Prior art keywords
- ticket
- authentication
- traffic
- behavior
- masquerading
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 78
- 230000006399 behavior Effects 0.000 claims abstract description 189
- 238000001514 detection method Methods 0.000 claims abstract description 128
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 claims abstract description 60
- 239000010931 gold Substances 0.000 claims abstract description 60
- 229910052737 gold Inorganic materials 0.000 claims abstract description 60
- 230000005540 biological transmission Effects 0.000 claims abstract description 18
- 238000000819 phase cycle Methods 0.000 claims description 16
- 238000012546 transfer Methods 0.000 claims description 11
- 230000006870 function Effects 0.000 claims description 2
- 230000008569 process Effects 0.000 description 31
- 230000009286 beneficial effect Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 5
- 230000002452 interceptive effect Effects 0.000 description 5
- 241000287828 Gallus gallus Species 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种检测票证冒充行为的方法及装置,其中,方法包括:获取内网设备与域控设备间的认证流量,执行传递票证冒充行为检测、黄金票证冒充行为检测以及MS14‑068漏洞利用行为检测中的至少一种。由于本申请中,检测传递票证冒充行为、检测黄金票证冒充行为与检测MS14‑068漏洞利用行为都是根据攻击者所采用的攻击手段确定的,因此,所执行的检测传递票证冒充行为、检测黄金票证冒充行为与检测MS14‑068漏洞利用行为中的每种检测方法都具有较高的准确性,进而,本实施例的检测结果具有较高地准确性(漏检和误检的可能性较低)。
Description
技术领域
本申请涉及信息安全领域,尤其涉及一种检测票证冒充行为的方法及装置。
背景技术
目前,为了方便对内网设备的管理,通常为内网搭建活动目录(ActiveDirectory,AD)域,如图1所示。在图1中,包括域控设备和内网设备,其中,域控设备可以为域控主机或域控服务器(在实际中,AD域中的域控设备可以包括多个,图1中以AD域中包括一个域控设备为例)。内网设备可以为内网主机或内网服务器。通过域控设备可以实现对AD域中的内网设备进行集中式管理。
在内网设备登录账户的过程中,需要域控设备对内网设备待登录的账户进行认证,在认证通过后的一段时间中内网设备获取到账户的票证。当黑客窃取到账户的票证后,在账户的票证的有效期内冒充内网设备登录账户(为了描述方便,称为票证冒充行为),进而获取到账户的资源,带来较大的危害。
为了提高AD域的安全性,需要一种检测票证冒充行为的方法。
发明内容
本申请提供了一种检测票证冒充行为的方法及装置,目的在于检测是否存在票证冒充行为。
为了实现上述目的,本申请提供了以下技术方案:
本申请提供了一种检测票证冒充行为的方法,包括:
获取AD域中内网设备与域控设备间的认证流量;
执行传递票证冒充行为检测、黄金票证冒充行为检测以及MS14-068漏洞利用行为检测的至少一种;
其中,所述传递票证冒充行为检测用于依据所述认证流量中的收发地址和票证字段中的加密票证的特征,检测所述传递票证冒充行为;
所述黄金票证冒充行为检测用于依据所述认证流量中的收发地址、票证字段中的加密票证和票证用户名的特征,检测所述黄金票证冒充行为;
所述MS14-068漏洞利用行为检测用于依据所述认证流量中AS-REQ阶段和TGS-REQ阶段产生的认证流量的特征,检测所述MS14-068漏洞利用行为。
可选的,所述依据所述认证流量中的收发地址和票证字段中的加密票证的特征,检测所述传递票证冒充行为,包括:
在所述认证流量中存在第一目标流量的情况下,确定检测到所述传递票证冒充行为,所述第一目标流量包括的票证字段中的加密票证为TGS-REP阶段传递的加密票证,且所述第一目标流量的收发地址与所述TGS-REP阶段传递所述加密票证使用的认证流量中的收发地址不同。
可选的,所述依据所述认证流量中的收发地址、票证字段中的加密票证和票证用户名的特征,检测所述黄金票证冒充行为,包括:
在所述认证流量中存在所述第一目标流量且所述第一目标流量中的所述票证字段中的票证用户名具有管理员权限的情况下,确定检测到所述黄金票证冒充行为。
可选的,所述第一目标流量的确定方法包括:
在候选认证流量满足预设条件的情况下,将所述候选流量作为所述第一目标流量,所述候选认证流量为所述认证流量中的任意一条;
所述预设条件包括:所述候选认证流量中的所述票证字段中的加密票证存在于字典中,并且,所述候选认证流量中的源IP地址与所述加密票证在所述字典中对应的源IP地址不同,和/或,所述候选认证流量中的目的IP地址与所述加密票证在所述字典中对应的目的IP地址不同;
所述字典通过对所述TGS-REP阶段的认证流量中的票证字段的值、源IP地址和目的IP地址进行对应保存得到。
可选的,所述依据所述认证流量中AS-REQ阶段和TGS-REQ阶段产生的认证流量的特征,检测所述MS14-068漏洞利用行为,包括:
在所述目标内网设备在预设认证阶段序列中的TGS-REQ阶段产生的认证流量中存在第二目标流量,且所述第二目标流量中加密认证数据字段的值的长度大于预设长度的情况下,确定检测到所述MS14-068漏洞利用行为;所述目标内网设备为AS-REQ阶段的认证流量中,加密等级字段的值表示支持一种加密方式且PAC特权字段的值为错误的流量指示的内网设备;所述第二目标流量为PAC特权字段的值表示错误的认证流量;所述预设认证阶段序列由包含所述AS-REQ阶段和TGS-REQ阶段的连续的预设数量阶段构成。
可选的,所述预设认证阶段序列包括:
内网设备与域控设备间采用的kerberos协议包括的连续的六个阶段中,包含所述AS-REQ阶段、TGS-REQ阶段和TGS-REP阶段的四个阶段。
可选的,所述MS14-068漏洞利用行为检测还包括:
在检测到所述目标内网设备存在所述MS14-068漏洞利用行为的情况下,若所述目标内网设备在所述预设认证阶段序列的TGS-REP阶段的认证流量中,票证字段中的票证用户名具有管理员权限,则确定所述目标内网设备利用MS14-068漏洞成功。
可选的,所述MS14-068漏洞利用行为检测还包括:
在检测到所述目标内网设备存在所述MS14-068漏洞利用行为的情况下,若所述目标内网设备在所述预设认证阶段序列的TGS-REP阶段的认证流量中,票证字段中的票证用户名不是所述AD域中具有管理员权限的账户的用户名,则确定所述目标内网设备利用MS14-068漏洞失败。
本申请还提供了一种检测票证冒充行为的装置,包括:
获取模块,用于获取AD域中内网设备与域控设备间的认证流量;
票证冒充行为检测模块、黄金票证冒充行为检测模块以及MS14-068漏洞利用行为检测模块的至少一种;
其中,所述票证冒充行为检测模块用于依据所述认证流量中的收发地址和票证字段中的加密票证的特征,检测所述传递票证冒充行为;
所述黄金票证冒充行为检测模块用于依据所述认证流量中的收发地址、票证字段中的加密票证和票证用户名的特征,检测所述黄金票证冒充行为;
所述MS14-068漏洞利用行为检测模块用于依据所述认证流量中AS-REQ阶段和TGS-REQ阶段产生的认证流量的特征,检测所述MS14-068漏洞利用行为。
可选的,所述票证冒充行为检测模块用于依据所述认证流量中的收发地址和票证字段中的加密票证的特征,检测所述传递票证冒充行为,包括:
所述票证冒充行为检测模块,具体用于在所述认证流量中存在第一目标流量的情况下,确定检测到所述传递票证冒充行为,所述第一目标流量包括的票证字段中的加密票证为TGS-REP阶段传递的加密票证,且所述第一目标流量的收发地址与所述TGS-REP阶段传递所述加密票证使用的认证流量中的收发地址不同。
可选的,所述黄金票证冒充行为检测模块用于依据所述认证流量中的收发地址、票证字段中的加密票证和票证用户名的特征,检测所述黄金票证冒充行为,包括:
所述黄金票证冒充行为检测模块,具体用于在所述认证流量中存在所述第一目标流量且所述第一目标流量中的所述票证字段中的票证用户名具有管理员权限的情况下,确定检测到所述黄金票证冒充行为。
可选的,还包括:
第一目标流量确定模块,用于在候选认证流量满足预设条件的情况下,将所述候选流量作为所述第一目标流量,所述候选认证流量为所述认证流量中的任意一条;
所述预设条件包括:所述候选认证流量中的所述票证字段中的加密票证存在于字典中,并且,所述候选认证流量中的源IP地址与所述加密票证在所述字典中对应的源IP地址不同,和/或,所述候选认证流量中的目的IP地址与所述加密票证在所述字典中对应的目的IP地址不同;
所述字典通过对所述TGS-REP阶段的认证流量中的票证字段的值、源IP地址和目的IP地址进行对应保存得到。
可选的,所述MS14-068漏洞利用行为检测模块用于依据所述认证流量中AS-REQ阶段和TGS-REQ阶段产生的认证流量的特征,检测所述MS14-068漏洞利用行为,包括:
所述MS14-068漏洞利用行为检测模块,具体用于在所述目标内网设备在预设认证阶段序列中的TGS-REQ阶段产生的认证流量中存在第二目标流量,且所述第二目标流量中加密认证数据字段的值的长度大于预设长度的情况下,确定检测到所述MS14-068漏洞利用行为;所述目标内网设备为AS-REQ阶段的认证流量中,加密等级字段的值表示支持一种加密方式且PAC特权字段的值为错误的流量指示的内网设备;所述第二目标流量为PAC特权字段的值表示错误的认证流量;所述预设认证阶段序列由包含所述AS-REQ阶段和TGS-REQ阶段的连续的预设数量阶段构成。
可选的,所述预设认证阶段序列包括:
内网设备与域控设备间采用的kerberos协议包括的连续的六个阶段中,包含所述AS-REQ阶段、TGS-REQ阶段和TGS-REP阶段的四个阶段。
可选的,所述MS14-068漏洞利用行为检测模块,还用于在检测到所述目标内网设备存在所述MS14-068漏洞利用行为的情况下,若所述目标内网设备在所述预设认证阶段序列的TGS-REP阶段的认证流量中,票证字段中的票证用户名具有管理员权限,则确定所述目标内网设备利用MS14-068漏洞成功。
可选的,所述MS14-068漏洞利用行为检测模块,还用于在检测到所述目标内网设备存在所述MS14-068漏洞利用行为的情况下,若所述目标内网设备在所述预设认证阶段序列的TGS-REP阶段的认证流量中,票证字段中的票证用户名不是所述AD域中具有管理员权限的账户的用户名,则确定所述目标内网设备利用MS14-068漏洞失败。
本申请还提供了一种计算机可读存储介质,所述存储介质包括存储的程序,其中,所述程序执行上述任意一种所述的检测票证冒充行为的方法。
本申请还提供了一种设备,包括:处理器、存储器和总线;所述处理器与所述存储器通过所述总线连接;
所述存储器用于存储程序,所述处理器用于运行程序,其中,所述程序运行时执行上述任意一种所述的检测票证冒充行为的方法。
本申请所述的检测票证冒充行为的方法及装置中,获取AD域中内网设备与域控设备间的认证流量,执行传递票证冒充行为检测、黄金票证冒充行为检测以及MS14-068漏洞利用行为检测中的至少一种。其中,检测传递票证冒充行为、检测黄金票证冒充行为与检测MS14-068漏洞利用行为都是根据攻击者所采用的攻击手段确定的,因此,所执行的检测传递票证冒充行为、检测黄金票证冒充行为与检测MS14-068漏洞利用行为中的每种检测方法都具有较高的准确性,进而,本实施例的检测结果具有较高地准确性(漏检和误检的可能性较低)。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例公开的一种应用场景示意图;
图2为本申请实施例公开的一种检测票证冒充行为的方法的流程图;
图3为本申请实施例公开的一种检测传递票证冒充行为的方法的流程图;
图4为本申请实施例公开的一种检测黄金票证冒充行为的方法的流程图;
图5为本申请实施例公开的一种检测MS14-068漏洞利用行为的方法的流程图;
图6为本申请实施例公开的又一种检测票证冒充行为的方法的流程图;
图7为本申请实施例公开的一种检测票证冒充行为的装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
发明人在研究中发现,攻击者在攻陷AD域中的内网设备后,被攻陷的内网设备就变成了“肉鸡”,攻击者可以操控该“肉鸡”,获取更高权限等级的账户的票证,以便冒充该账户。通常票证冒充行为可以概括为以下三种:
第一种、通过窃取传递票证进行票证冒充。
传递票证是指已登录过的账户(待窃取的更高权限等级的账户)的票证。
第二种、通过窃取黄金票证进行票证冒充。
黄金票证是指AD域内具有管理员权限的账户的票证。黄金票证是传递票证中的一种。
第三种、通过利用域控设备的MS14-068漏洞,获取黄金票证,进行票证冒充。
本申请的以下实施例中,从以上三种票证冒充行为出发,检测票证冒充行为。
上述图1为本申请实施例的应用场景示意图,在该场景中,内网设备与域控设备以及内网设备与内网设备间的通信都通过核心交换机实现。本申请实施例提供的一种检测票证冒充行为的方法或装置,需要从核心交换机上获取AD域中内网设备与域控设备间的认证流量,因此,作为方法执行主体的装置,可以设置在核心交换机上。当然,也可以设置在AD域除核心交换机外的其它设备(例如内网设备或域控设备)上,或者,作为新增的实体设备设置在AD域中,并与核心交换机相连以从核心交换机获取AD域中内网设备与域控设备间的认证流量。
图2为本申请实施例提供的一种检测票证冒充行为的方法,包括以下步骤:
S201、获取内网设备与域控设备间的认证流量。
在AD域中,内网设备与内网设备之间的通信以及内网设备与域控设备之间的通信,都会经过核心交换机,其中,将经过核心交换机的通信数据称为交互流量。
在本实施例中,从核心交换机中获取交互流量的方式可以包括:将核心交换机的交互端口的流量定向到一个其它端口,从其它端口获取到交互流量。在本步骤中,从所获取的交互流量中获取认证流量。在本实施例中,内网设备与域控设备间使用的是kerberos协议,因此,认证流量为使用kerberos协议的数据包,在本步骤中,可以从交互流量中提取具有kerberos协议的预设标志的流量为认证流量。
在本步骤中,获取AD域中内网设备与域控设备间的认证流量的过程,可以为每隔预设时长获取一次内网设备与域控设备间的认证流量,其中,预设时长可以设置为较小数值,当然,预设时长的具体取值,需要根据实际情况确定,本实施例不对预设时长的取值作限定。当预设时长的取值为无限小时,本步骤的获取动作就可以看作是实时获取。其中,相邻两次获取内网设备与域控设备间的认证流量的时间间隔可以相同,也可以不同。
S202、执行传递票证冒充行为检测、黄金票证冒充行为检测,以及MS14-068漏洞利用行为检测中的至少一种。
具体的,传递票证冒充行为检测用于依据认证流量中的收发地址和票证字段中的加密票证的特征,检测传递票证冒充行为;黄金票证冒充行为检测用于依据认证流量中的收发地址、票证字段中的加密票证和票证用户名的特征,检测黄金票证冒充行为;MS14-068漏洞利用行为检测用于依据认证流量中AS-REQ阶段和TGS-REQ阶段产生的认证流量的特征,检测MS14-068漏洞利用行为。
需要说明的是,在本实施例中,S201与S202可以通过一个进程实现,具体的,该进程执行一次S201后,基于本次执行S201获取到的认证流量执行S202。在本实施例中,S201与S202可以为两个单独的进程,即实现S201的过程是一个进程,实现S202的过程是一个进程,这两个进程并行执行。对于后一种情况,可以通过探针-感知平台的方式实现,其中,探针为用于实现S201的内网设备,感知平台用于实现S202。
本实施例具有以下有益效果:
有益效果一、
本实施例中的检测传递票证冒充行为、检测黄金票证冒充行为与检测MS14-068漏洞利用行为都是根据攻击者所采用的攻击手段确定的,因此,本实施例中所执行的检测传递票证冒充行为、检测黄金票证冒充行为与检测MS14-068漏洞利用行为中的每种检测方法都具有较高的准确性,进而,本实施例的检测结果具有较高地准确性(漏检和误检的可能性较低)。
有益效果二、
本实施例中的检测传递票证冒充行为、检测黄金票证冒充行为与检测MS14-068漏洞利用行为都是实时进行的,因此,本实施例具有较高地及时性。
具体的,以下对三种检测方法分别进行介绍。
图3为本申请实施例提供的一种检测传递票证冒充行为的方法,包括以下步骤:
S301、依据内网设备与域控设备间在TGS-REP阶段的认证流量,构建字典。
票证授权服务请求(Ticket Granting Service Request,TGS-REP)阶段是内网设备与域控设备间所采用的Kerberos协议中的一个阶段(第四个阶段)。在TGS-REP阶段中,域控设备向内网设备发送票证字段的值。其中,通过内网设备与域控设备间的认证流量中表示阶段的阶段字段的值,确定认证流量是否为TGS-REP阶段的流量,具体的,在认证流量的阶段字段的值为TGS-REP的情况下,确定该认证流量为TGS-REP阶段的流量。
具体的,在TGS-REP阶段,域控设备向内网设备发送的任意一条认证流量包括:用于表示票证的票证字段、源IP地址(即域控设备的IP地址)、目的IP地址(即作为接收方的内网设备的IP地址),以及认证流量的时间戳。其中,票证字段的值包括加密票证和票证的用户名。
在本步骤中,将TGS-REP阶段中域控设备向内网设备发送的每条认证流量中的加密票证为键(key),以源IP地址、目的IP地址、票证的用户名和认证流量时间戳为键值(value),进行保存。在本实施例中,将截止当前时刻所保存的键及各键分别对应的键值作为一个字典。
需要说明的是,随着时间的增长,字典中的键及键值越来越多,并且,实际中,账户的票证一般具有一定的有效期限,因此,为了提高字典内信息的有效性,在本实施例中,字典中的任意一个键及对应的键值的有效期限为预设时长,即对于任意一个键及对应的键值保存在字典的时长为预设时长的情况下,该键及对应的键值失效。具体的,可以从字典中删除失效的键以及失效的键对应的键值。
在本实施例中,预设时长可以为1小时,当然,预设时长的取值还可以为其它值,本实施例不对预设时长的具体取值作限定,只要预设时长不小于票证的有效期限的时长即可。
S302、判断内网设备与域控设备间的认证流量中,是否存在目标认证流量,如果是,则执行S303,如果否,则执行S302。
在本步骤中,对内网设备与域控设备间的每条认证流量进行判断。
在本实施例中,目标认证流量对应于图2对应的实施例中的第一目标流量,即本实施例中的目标认证流量与图2对应的实施例中第一目标流量的含义相同。在本实施例中的以下部分未做说明的情况下,所提到的目标认证流量都与图2对应的实施例中的第一目标流量对应。
具体的,对于任意一条认证流量,为了描述方便,称为候选认证流量。通过判断候选认证流量是否满足预设条件,判断候选认证流量是否为目标认证流量。其中,预设条件包括:票证字段中的加密票证存在于字典中,并且,源IP地址与字典中该加密票证对应的源IP地址不同,和/或,目的IP地址和该加密票证对应的目的IP地址不同。在候选认证流量为目标认证流量的情况下,执行S303,否则,继续对未判断的候选认证流量进行判断。
S302的目的是:在候选认证流量满足预设条件的情况下,将候选流量作为第一目标流量,候选认证流量为认证流量中的任意一条。
预设条件包括:候选认证流量中的票证字段中的加密票证存在于字典中,并且,候选认证流量中的源IP地址与加密票证在字典中对应的源IP地址不同,和/或,候选认证流量中的目的IP地址与该加密票证在字典中对应的目的IP地址不同。字典通过对TGS-REP阶段的认证流量中的票证字段的值、源IP地址和目的IP地址进行对应保存得到。
需要说明的是,在本实施例中,S301和S302可以并行执行。S301依据TGS-REP阶段的认证流量,构建字典。S302针对任意一条认证流量,判断该条认证流量是否为第一目标流量。其中,在判断该条认证流量是否为第一目标流量的过程中,可以依据S301得到的字典进行判断。
S303、确定目标认证流量指示的内网设备存在传递票证冒充行为。
目标认证流量指示的内网设备为,IP地址为目标认证流量中的目的IP地址或源IP地址的内网设备。
可选的,还可以输出用于表示目标认证流量指示的内网设备存在传递票证冒充行为的信息。例如,以语音的方式进行提示,也可以以文字的方式进行提示等。
在本实施例中,构建字典的目的是得到TGS-REP阶段中域控设备向内网设备发送的每条认证流量中的加密票证、源IP地址、目的IP地址、票证的用户名和认证流量时间戳等信息。因此,在实际中,还可以直接保存这些信息即可。然后,对认证流量进行传递票证冒充行为。
综上所述,本实施例的目的是:在认证流量中存在第一目标流量的情况下,确定检测到传递票证冒充行为,第一目标流量包括的票证字段中的加密票证为TGS-REP阶段传递的加密票证,且第一目标流量的收发地址与该TGS-REP阶段传递该加密票证使用的认证流量中的收发地址不同。
本实施例具有以下有益效果:
有益效果一、
本实施例检测是否存在传递票证冒充行为的过程,是针对攻击者冒充传递票证的行为确定的,因此,本实施例检测传递票证冒充行为具有较强的针对性,进而,本实施例的检测过程具有较高的准确性(减少漏检与误检的可能性)。
有益效果二、
在本实施例中,对内网设备与域控设备间的认证流量进行传递票证冒充行为检测的过程是实时进行的。因此,本实施例具有较高的及时性。
图4为本申请实施例提供的一种检测黄金票证冒充行为的方法,包括以下步骤:
S401、依据内网设备与域控设备间在TGS-REP阶段的认证流量,构建字典。
本步骤的实现过程与图3对应的实施例中的S301相同,这里不再进行赘述。
S402、判断内网设备与域控设备间的认证流量中,是否存在目标认证流量,如果是,则执行S403,如果否,则执行S402。
在本实施例中,目标认证流量对应于图2对应的实施例中的第一目标流量,在本实施例中的以下部分未做说明的情况下,所提到的目标认证流量都对应于图2对应的实施例中的第一目标流量。
本步骤的实现过程与图3对应的实施例中的S302相同,这里不再进行赘述。
需要说明的是,在本实施例中,S401和S402可以并行执行。
S403、判断目标认证流量中的票证字段的值中的票证用户名是否为预设用户名,如果是,则执行S404,如果否,则执行S405。
在本步骤中,预设用户名为具有管理员权限的账户的票证用户名。
S404、确定目标认证流量指示的内网设备存在黄金票证冒充行为。
可选的,还可以输出用于表示目标认证流量指示的内网设备存在黄金票证冒充行为的信息。例如,以语音的方式进行提示,也可以以文字的方式进行提示等。
S405、确定目标认证流量指示的内网设备存在传递票证冒充行为。
本步骤的实现过程与图3对应的实施例中的S303相同,这里不再进行赘述。
综上,本实施例的目的是:在认证流量中存在第一目标流量且第一目标流量中的票证字段中的票证用户名具有管理员权限的情况下,确定检测到黄金票证冒充行为。
本实施例具有以下有益效果:
有益效果一、
本实施例检测是否存在黄金票证冒充行为的过程,是针对攻击者冒充黄金票证的行为确定的,因此,本实施例检测黄金票证冒充行为具有较强的针对性,进而,本实施例的检测过程具有较高的准确性(漏检与误检的可能性较低)。
有益效果二、
在本实施例中,对内网设备与域控设备间的认证流量进行黄金票证冒充行为检测的过程是实时进行的。因此,本实施例具有较高的及时性。
图5为本申请实施例提供的一种检测MS14-068漏洞利用行为的方法,包括以下步骤:
S501、判断内网设备与域控设备间在AS-REQ阶段的认证流量中,是否存在第一认证流量,如果是,则执行S502,如果否,则执行S501。
在本实施例中,内网设备与域控设备所采用的Kerberos协议包括六个阶段。其中,认证请求服务(Authentication Service Request,AS-REQ)阶段为内网设备与域控设备所采用的Kerberos协议中的第一个阶段。
在AS-REQ阶段的流量中存在表示内网设备与域控设备所支持的加密等级的加密等级字段。具体的,加密等级字段的值中存在一个加密等级列表,该加密等级列表由预先设定等级的多种加密方式构成,并且,在加密等级字段的值中还存在表示加密等级列表中每种加密方式是否被支持的信息。
在本步骤中,第一认证流量为加密等级字段的值表示只支持一种加密方式的认证流量。
S502、判断第一认证流量是否为第二认证流量,如果是,则执行S503,如果否,则执行S502。
在本步骤中,若第一认证流量中存在表示特权属性证书(Privilege AttributeCertificate,PAC)的PAC特权字段,并且,PAC特权字段的值表示错误,例如,值为“false”,则确定第一认证流量为第二认证流量。
在本步骤中,在第一认证流量不为第二认证流量的情况下,继续判断S501中最新确定出的第一认证流量是否为第二认证流量。
S503、确定第二认证流量指示的内网设备为目标内网设备。
S504、判断在目标内网设备的预设认证阶段序列中TGS-REQ阶段的认证流量中,是否存在第三认证流量,如果是,则执行S505,如果否,则执行S504。
在本实施例中,内网设备与域控设备所采用的Kerberos协议一般包括六个阶段。在本实施例中,将目标内网设备与域控设备在Kerberos协议中,包含第二认证流量所属的AS-REQ阶段和TGS-REQ阶段的连续的预设数量阶段构成的序列,称为目标内网设备的预设认证阶段序列。其中,连续的预设数量阶段可以为第二认证流量所属的AS-REQ阶段到TES-REP阶段连续的四个阶段,当然,连续的预设数量阶段也可以为第二认证流量所属的AS-REQ阶段到TES-REQ阶段连续的三个阶段,本实施例不对预设数量的具体取值作限定。
在本实施例中,TGS-REQ(Ticket Granting Service Request,TGS-REQ)阶段为内网设备与域控设备所采用的Kerberos协议中的第三个阶段。
在本步骤中,第三认证流量与图2对应的实施例中的第二目标流量对应,即第三认证流量与图2对应的实施例中的第二目标流量所代表的含义相同。
在本步骤中,第三认证流量为存在PAC特权字段并且PAC特权字段的值表示错误的认证流量。
S505、判断第三认证流量是否满足目标条件,如果是,则执行S506,如果否,则执行S505。
在本步骤中,目标条件包括:ENC-Authorization-β(加密认证数据)字段的值的长度大于预设长度。预设长度的取值可以为1000,还可以为1200,预设长度的取值一般在1000~1500之间,本实施例不对预设长度的具体取值作限定。
S506、确定目标内网设备正在利用MS14-068漏洞。
可选的,还可以输出用于表示目标内网设备当前正在利用MS14-068漏洞的信息。
上述S501~S506的目的是:在目标内网设备在预设认证阶段序列中的TGS-REQ阶段产生的认证流量中存在第二目标流量,且第二目标流量中加密认证数据字段的值的长度大于预设长度的情况下,确定检测到所述MS14-068漏洞利用行为;目标内网设备为AS-REQ阶段的认证流量中,加密等级字段的值表示支持一种加密方式且PAC特权字段的值为错误的流量指示的内网设备;第二目标流量为PAC特权字段的值表示错误的认证流量;预设认证阶段序列由包含该AS-REQ阶段和TGS-REQ阶段的连续的预设数量阶段构成。
S507、判断目标内网设备的认证流量中的TGS-REP阶段的认证流量中,票证用户名是否为预设用户名,如果是,则执行S508,如果否,则执行S509。
在本实施例中,内网设备与域控设备间所采用的Kerberos协议包括六个阶段,TGS-REP(Ticket Granting Service Request,TGS-REP)阶段是内网设备与域控设备间所采用的Kerberos协议中的第四个阶段。在TGS-REP阶段中域控设备向内网设备发送票证。
在本步骤中,如果S504中预设认证阶段序列为包含第二认证流量所属的AS-REQ阶段到第四个阶段(TES-REP阶段)的连续的四个阶段,本步骤中的TGS-REP阶段就是所该预设认证阶段序列中的TGS-REP阶段。如果S504中预设认证阶段序列为包含第二认证流量所属的AS-REQ阶段到第三个阶段(TES-REQ阶段)的连续的三个阶段,则本步骤中的TGS-REP阶段就是与预设认证阶段序列中的TGS-REQ阶段相邻的TGS-REP阶段。
其中,TGS-REP阶段中的任意一条认证流量中存在用于表示票证的票证字段,具体的,票证字段的值包括:票证用户名和加密票证。
预设用户名为AD域中具有管理员权限的账户的用户名,具体的,预设用户名可以为“krbtgt”。
S508、确定目标内网设备利用MS14-068漏洞成功。
可选的,还可以输出用于表示目标内网设备利用MS14-068漏洞成功的信息。
在预设认证阶段序列包括TGS-REP阶段的情况下,上述S507和S508的目的是:在检测到目标内网设备存在MS14-068漏洞利用行为的情况下,若目标内网设备在预设认证阶段序列的TGS-REP阶段的认证流量中,票证字段中的票证用户名具有管理员权限,则确定目标内网设备利用MS14-068漏洞成功。
S509、确定目标内网设备利用MS14-068漏洞失败。
可选的,还可以输出用于表示目标内网设备利用MS14-068漏洞失败的信息。
在预设认证阶段序列包括TGS-REP阶段的情况下,上述S507和S509的目的是:在检测到目标内网设备存在MS14-068漏洞利用行为的情况下,若目标内网设备在预设认证阶段序列的TGS-REP阶段的认证流量中,票证字段中的票证用户名不是AD域中具有管理员权限的账户的用户名,则确定目标内网设备利用MS14-068漏洞失败。
本实施例具有以下有益效果:
有益效果一、
本实施例检测是否存在MS14-068漏洞利用行为的过程,是针对攻击者利用MS14-068漏洞获取黄金票证的行为确定的,因此,本实施例的检测MS14-068漏洞利用行为具有较强的针对性,进而,本实施例的检测过程具有较高的准确性(漏检与误检的可能性较低)。
有益效果二、
在本实施例中,对内网设备与域控设备间的认证流量进行MS14-068漏洞利用检测的过程是实时进行的。因此,本实施例具有较高的及时性。
在实际中,图3、图4和图5分别对应的检测过程可以并行运行,为了节省计算资源,可以将图3、图4和图5分别对应的检测过程串行运行,如图6所示,为本申请实施例提供的又一种检测票证冒充行为的方法,包括以下步骤:
S601、判断第i个时间段中内网设备与域控设备间在AS-REQ阶段的认证流量中,是否存在第一认证流量,如果是,则执行S602,如果否,则执行S610。
本实施例中,i是一个变量,表示时间段的编号。第i个时间段包括起始时刻、结束时刻以及从起始时刻到结束时刻间的时长。其中,起始时刻可以为本实施例的检测程序开始运行的时刻。当然,第i个时间段的起始时刻与时长都需要根据实际情况确定,本实施例不作限定。
本步骤与图5对应的实施例中的S501的区别在于:本步骤是针对第i个时间段中内网设备与域控设备间的认证流量进行判断,以及在不存在第一认证流量的情况下,需要执行S610。其它内容参考图5对应的实施例中的S501即可,这里不再赘述。
S602、判断第一认证流量是否为第二认证流量,如果是,则执行S603,如果否,则执行S610。
本步骤与图5对应的实施例中的S502的区别仅在于:本步骤中,在第一认证流量不是第二认证流量的情况下,执行S610。其它内容参考图5对应的实施例中的S502即可,这里不再赘述。
S603、确定第二认证流量指示的内网设备为目标内网设备。
S604、判断在目标内网设备的预设认证阶段序列中的TGS-REQ阶段的认证流量中,是否存在第三认证流量,如果是,则执行S605,如果否,则执行S610。
本步骤与图5对应的实施例中的S504的区别仅在于:本步骤中,不存在第三认证流量的情况下,执行S610。其它内容参考图5对应的实施例中的S504即可,这里不再赘述。
S605、判断第三认证流量是否满足目标条件,如果是,则执行S606,如果否,则执行S610。
本步骤与图5对应的实施例中的S505的区别仅在于:本步骤中,在第三认证流量不满足目标条件的情况下,执行S610。其它内容参考图5对应的实施例中的S505即可,这里不再赘述。
S606、确定目标内网设备正在利用MS14-068漏洞。
本步骤的实现过程与图5对应的实施例中的S506相同,这里不再赘述。
S607、判断目标内网设备的认证流量中的TGS-REP阶段的认证流量中,票证用户名是否为预设用户名,如果是,则执行S608,如果否,则执行S609。
本步骤的实现过程与图5对应的实施例中的S507相同,这里不再赘述。
S608、确定目标内网设备利用MS14-068漏洞成功。
执行完本步骤后,执行S615。
S609、确定目标内网设备利用MS14-068漏洞失败。
执行完本步骤后,执行S615。
S610、依据在第i个时间段中内网设备在TGS-REP阶段的认证流量,构建字典。
本步骤的实现过程与图4对应的实施例中的S401的区别在于:本步骤是对第i个时间段中内网设备在TGS-REP阶段的认证流量,构建字典。其它内容参考图4对应的实施例中的S401即可,这里不再赘述。
S611、判断在第i个时间段中内网设备的认证流量中,是否存在目标认证流量,如果是,则执行S612,如果否,则执行S615。
本步骤的实现过程与图4对应的实施例中的S402的区别在于:本步骤是对第i个时间段中内网设备的认证流量中,是否存在目标认证流量。其它内容参考图4对应的实施例中的S402即可,这里不再赘述。
S612、判断目标认证流量中的票证字段中的票证用户名是否为预设用户名,如果是,则执行S613,如果否,则执行S614。
本步骤的实现过程与图4对应的实施例中的S403相同,这里不再赘述。
S613、确定目标认证流量指示的内网设备存在黄金票证冒充行为。
本步骤执行完成后,执行S615。
S614、确定目标认证流量指示的内网设备存在传递票证冒充行为。
本步骤执行完成后,执行S615。
S615、通过i=i+1更新时间段的编号。
在本实施例中,第i+1个时间段的起始时刻为第i个时间段的结束时刻。
执行完本步骤后,再执行S601。
在本实施例中,只有第i个时间段中不存在内网设备利用MS14-068漏洞的情况下,才会判断第i个时间段中是否存在传递票证冒充行为以及黄金票证冒充行为。因此,与并行执行检测传递票证冒充行为、检测黄金票证冒充行为以及检测MS14-068漏洞利用行为相比,本实施例能够节省计算资源。
图7为本申请实施例提供的一种检测票证冒充行为的装置,包括:获取模块701,以及票证冒充行为检测模块702、黄金票证冒充行为检测模块703和MS14-068漏洞利用行为检测模块704中的至少一种。
其中,获取模块701,用于获取AD域中内网设备与域控设备间的认证流量;票证冒充行为检测模块702用于依据认证流量中的收发地址和票证字段中的加密票证的特征,检测传递票证冒充行为;黄金票证冒充行为检测模块703用于依据认证流量中的收发地址、票证字段中的加密票证和票证用户名的特征,检测黄金票证冒充行为;MS14-068漏洞利用行为检测模块704用于依据认证流量中AS-REQ阶段和TGS-REQ阶段产生的认证流量的特征,检测MS14-068漏洞利用行为。
可选的,票证冒充行为检测模块702用于依据认证流量中的收发地址和票证字段中的加密票证的特征,检测传递票证冒充行为,包括:票证冒充行为检测模块702,具体用于在认证流量中存在第一目标流量的情况下,确定检测到传递票证冒充行为,第一目标流量包括的票证字段中的加密票证为TGS-REP阶段传递的加密票证,且第一目标流量的收发地址与TGS-REP阶段传递加密票证使用的认证流量中的收发地址不同。
可选的,黄金票证冒充行为检测模块703用于依据认证流量中的收发地址、票证字段中的加密票证和票证用户名的特征,检测黄金票证冒充行为,包括:黄金票证冒充行为检测模块703,具体用于在认证流量中存在第一目标流量且第一目标流量中的票证字段中的票证用户名具有管理员权限的情况下,确定检测到黄金票证冒充行为。
可选的,该装置还可以包括:第一目标流量确定模块705,用于在候选认证流量满足预设条件的情况下,将候选流量作为第一目标流量,候选认证流量为认证流量中的任意一条;预设条件包括:候选认证流量中的票证字段中的加密票证存在于字典中,并且,候选认证流量中的源IP地址与加密票证在字典中对应的源IP地址不同,和/或,候选认证流量中的目的IP地址与加密票证在所述字典中对应的目的IP地址不同;字典通过对TGS-REP阶段的认证流量中的票证字段的值、源IP地址和目的IP地址进行对应保存得到。
可选的,MS14-068漏洞利用行为检测模块704用于依据认证流量中AS-REQ阶段和TGS-REQ阶段产生的认证流量的特征,检测MS14-068漏洞利用行为,包括:MS14-068漏洞利用行为检测模块704,具体用于在目标内网设备在预设认证阶段序列中的TGS-REQ阶段产生的认证流量中存在第二目标流量,且第二目标流量中加密认证数据字段的值的长度大于预设长度的情况下,确定检测到MS14-068漏洞利用行为;目标内网设备为AS-REQ阶段的认证流量中,加密等级字段的值表示支持一种加密方式且PAC特权字段的值为错误的流量指示的内网设备;第二目标流量为PAC特权字段的值表示错误的认证流量;预设认证阶段序列由包含AS-REQ阶段和TGS-REQ阶段的连续的预设数量阶段构成。
可选的,预设认证阶段序列包括:内网设备与域控设备间采用的kerberos协议包括的连续的六个阶段中,包含AS-REQ阶段、TGS-REQ阶段和TGS-REP阶段的四个阶段。
可选的,MS14-068漏洞利用行为检测模块704,还用于在检测到目标内网设备存在MS14-068漏洞利用行为的情况下,若目标内网设备在预设认证阶段序列的TGS-REP阶段的认证流量中,票证字段中的票证用户名具有管理员权限,则确定目标内网设备利用MS14-068漏洞成功。
可选的,MS14-068漏洞利用行为检测模块704,还用于在检测到目标内网设备存在MS14-068漏洞利用行为的情况下,若目标内网设备在预设认证阶段序列的TGS-REP阶段的认证流量中,票证字段中的票证用户名不是AD域中具有管理员权限的账户的用户名,则确定目标内网设备利用MS14-068漏洞失败。
本实施例提供的检测票证冒充行为的装置的检测原理是根据攻击者所采用的攻击手段确定的,因此,检测结果具有较高的准确性。并且,检测票证冒充行为的装置能够实现实时检测,因此,具有较高的检测及时性。
票证冒充行为检测模块的检测原理是针对攻击者冒充传递票证的行为确定的,因此,检测结果具有较高的准确性。并且,票证冒充行为检测模块能够实时对每条认证流量进行检测,因此,具有较高的检测及时性。
黄金票证冒充行为检测模块的检测原理是针对攻击者冒充黄金票证的行为确定的,因此,检测结果具有较高的准确性。并且,黄金票证冒充行为检测模块能够实时对每条认证流量进行检测,因此,具有较高的检测及时性。
MS14-068漏洞利用行为检测模块的检测原理是针对攻击者利用MS14-068漏洞获取黄金票证的行为确定的,因此,检测结果具有较高的准确性。并且,MS14-068漏洞利用行为检测模块能够实时对每条认证流量进行检测,因此,具有较高的检测及时性。
本申请实施例还提供了一种计算机可读存储介质,包括存储的程序,其中,程序执行上述任意一种所述的检测票证冒充行为的方法。
本申请实施例还提供了一种设备,包括:处理器、存储器和总线;处理器与存储器通过总线连接;存储器用于存储程序,处理器用于运行程序,其中,程序运行时执行上述任意一种所述的检测票证冒充行为的方法。
本申请实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算设备可读取存储介质中。基于这样的理解,本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算设备(可以是个人计算机,服务器,移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (11)
1.一种检测票证冒充行为的方法,其特征在于,包括:
获取AD域中内网设备与域控设备间的认证流量;
执行传递票证冒充行为检测、黄金票证冒充行为检测以及MS14-068漏洞利用行为检测的至少一种;
其中,所述传递票证冒充行为检测用于依据所述认证流量中的收发地址和票证字段中的加密票证的特征,检测所述传递票证冒充行为;
所述黄金票证冒充行为检测用于依据所述认证流量中的收发地址、票证字段中的加密票证和票证用户名的特征,检测所述黄金票证冒充行为;
所述MS14-068漏洞利用行为检测用于依据所述认证流量中AS-REQ阶段和TGS-REQ阶段产生的认证流量的特征,检测所述MS14-068漏洞利用行为。
2.根据权利要求1所述的方法,其特征在于,所述依据所述认证流量中的收发地址和票证字段中的加密票证的特征,检测所述传递票证冒充行为,包括:
在所述认证流量中存在第一目标流量的情况下,确定检测到所述传递票证冒充行为,所述第一目标流量包括的票证字段中的加密票证为TGS-REP阶段传递的加密票证,且所述第一目标流量的收发地址与所述TGS-REP阶段传递所述加密票证使用的认证流量中的收发地址不同。
3.根据权利要求1所述的方法,其特征在于,所述依据所述认证流量中的收发地址、票证字段中的加密票证和票证用户名的特征,检测所述黄金票证冒充行为,包括:
在所述认证流量中存在所述第一目标流量且所述第一目标流量中的所述票证字段中的票证用户名具有管理员权限的情况下,确定检测到所述黄金票证冒充行为。
4.根据权利要求2或3所述的方法,其特征在于,所述第一目标流量的确定方法包括:
在候选认证流量满足预设条件的情况下,将所述候选流量作为所述第一目标流量,所述候选认证流量为所述认证流量中的任意一条;
所述预设条件包括:所述候选认证流量中的所述票证字段中的加密票证存在于字典中,并且,所述候选认证流量中的源IP地址与所述加密票证在所述字典中对应的源IP地址不同,和/或,所述候选认证流量中的目的IP地址与所述加密票证在所述字典中对应的目的IP地址不同;
所述字典通过对所述TGS-REP阶段的认证流量中的票证字段的值、源IP地址和目的IP地址进行对应保存得到。
5.根据权利要求1所述的方法,其特征在于,所述依据所述认证流量中AS-REQ阶段和TGS-REQ阶段产生的认证流量的特征,检测所述MS14-068漏洞利用行为,包括:
在所述目标内网设备在预设认证阶段序列中的TGS-REQ阶段产生的认证流量中存在第二目标流量,且所述第二目标流量中加密认证数据字段的值的长度大于预设长度的情况下,确定检测到所述MS14-068漏洞利用行为;所述目标内网设备为AS-REQ阶段的认证流量中,加密等级字段的值表示支持一种加密方式且PAC特权字段的值为错误的流量指示的内网设备;所述第二目标流量为PAC特权字段的值表示错误的认证流量;所述预设认证阶段序列由包含所述AS-REQ阶段和TGS-REQ阶段的连续的预设数量阶段构成。
6.根据权利要求5所述的方法,其特征在于,所述预设认证阶段序列包括:
内网设备与域控设备间采用的kerberos协议包括的连续的六个阶段中,包含所述AS-REQ阶段、TGS-REQ阶段和TGS-REP阶段的四个阶段。
7.根据权利要求6所述的方法,其特征在于,所述MS14-068漏洞利用行为检测还包括:
在检测到所述目标内网设备存在所述MS14-068漏洞利用行为的情况下,若所述目标内网设备在所述预设认证阶段序列的TGS-REP阶段的认证流量中,票证字段中的票证用户名具有管理员权限,则确定所述目标内网设备利用MS14-068漏洞成功。
8.根据权利要求6所述的方法,其特征在于,所述MS14-068漏洞利用行为检测还包括:
在检测到所述目标内网设备存在所述MS14-068漏洞利用行为的情况下,若所述目标内网设备在所述预设认证阶段序列的TGS-REP阶段的认证流量中,票证字段中的票证用户名不是所述AD域中具有管理员权限的账户的用户名,则确定所述目标内网设备利用MS14-068漏洞失败。
9.一种检测票证冒充行为的装置,其特征在于,包括:
获取模块,用于获取AD域中内网设备与域控设备间的认证流量;
票证冒充行为检测模块、黄金票证冒充行为检测模块以及MS14-068漏洞利用行为检测模块的至少一种;
其中,所述票证冒充行为检测模块用于依据所述认证流量中的收发地址和票证字段中的加密票证的特征,检测所述传递票证冒充行为;
所述黄金票证冒充行为检测模块用于依据所述认证流量中的收发地址、票证字段中的加密票证和票证用户名的特征,检测所述黄金票证冒充行为;
所述MS14-068漏洞利用行为检测模块用于依据所述认证流量中AS-REQ阶段和TGS-REQ阶段产生的认证流量的特征,检测所述MS14-068漏洞利用行为。
10.一种计算机可读存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求1~8任意一项权利要求所述的检测票证冒充行为的方法。
11.一种设备,其特征在于,包括:处理器、存储器和总线;所述处理器与所述存储器通过所述总线连接;
所述存储器用于存储程序,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1~8任意一项权利要求所述的检测票证冒充行为的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910912613.5A CN112565160A (zh) | 2019-09-25 | 2019-09-25 | 一种检测票证冒充行为的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910912613.5A CN112565160A (zh) | 2019-09-25 | 2019-09-25 | 一种检测票证冒充行为的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112565160A true CN112565160A (zh) | 2021-03-26 |
Family
ID=75029373
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910912613.5A Pending CN112565160A (zh) | 2019-09-25 | 2019-09-25 | 一种检测票证冒充行为的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112565160A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114205110A (zh) * | 2021-11-02 | 2022-03-18 | 北京中安网星科技有限责任公司 | Ad域威胁检测方法、装置及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152351A (zh) * | 2013-03-15 | 2013-06-12 | 深信服网络科技(深圳)有限公司 | 网络设备、ad 域单点登录的方法及系统 |
| US9807104B1 (en) * | 2016-04-29 | 2017-10-31 | STEALTHbits Technologies, Inc. | Systems and methods for detecting and blocking malicious network activity |
| US20170324758A1 (en) * | 2015-05-07 | 2017-11-09 | Cyber-Ark Software Ltd. | Detecting and reacting to malicious activity in decrypted application data |
| CN110233831A (zh) * | 2019-05-21 | 2019-09-13 | 深圳壹账通智能科技有限公司 | 恶意注册的检测方法及装置 |
-
2019
- 2019-09-25 CN CN201910912613.5A patent/CN112565160A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152351A (zh) * | 2013-03-15 | 2013-06-12 | 深信服网络科技(深圳)有限公司 | 网络设备、ad 域单点登录的方法及系统 |
| US20170324758A1 (en) * | 2015-05-07 | 2017-11-09 | Cyber-Ark Software Ltd. | Detecting and reacting to malicious activity in decrypted application data |
| US9807104B1 (en) * | 2016-04-29 | 2017-10-31 | STEALTHbits Technologies, Inc. | Systems and methods for detecting and blocking malicious network activity |
| CN110233831A (zh) * | 2019-05-21 | 2019-09-13 | 深圳壹账通智能科技有限公司 | 恶意注册的检测方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114205110A (zh) * | 2021-11-02 | 2022-03-18 | 北京中安网星科技有限责任公司 | Ad域威胁检测方法、装置及电子设备 |
| CN114205110B (zh) * | 2021-11-02 | 2023-11-10 | 北京中安网星科技有限责任公司 | Ad域威胁检测方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2571721C2 (ru) | Система и способ обнаружения мошеннических онлайн-транзакций | |
| US8819803B1 (en) | Validating association of client devices with authenticated clients | |
| US11140150B2 (en) | System and method for secure online authentication | |
| US10630676B2 (en) | Protecting against malicious discovery of account existence | |
| EP2346207A1 (en) | A method for authenticating a trusted platform based on the tri-element peer authentication (tepa) | |
| CN110177124B (zh) | 基于区块链的身份认证方法及相关设备 | |
| US10142308B1 (en) | User authentication | |
| CN110113366B (zh) | Csrf漏洞的检测方法及装置,计算设备和存储介质 | |
| RU2584506C1 (ru) | Система и способ защиты операций с электронными деньгами | |
| CN112491776B (zh) | 安全认证方法及相关设备 | |
| US20200351263A1 (en) | Dynamic user id | |
| CN110958119A (zh) | 身份验证方法和装置 | |
| CN107733853B (zh) | 页面访问方法、装置、计算机和介质 | |
| KR102372503B1 (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
| CN110943840B (zh) | 一种签名验证方法 | |
| CN110113351A (zh) | Cc攻击的防护方法及装置、存储介质、计算机设备 | |
| CN106789858B (zh) | 一种访问控制方法和装置以及服务器 | |
| CN110619022B (zh) | 基于区块链网络的节点检测方法、装置、设备及存储介质 | |
| US8875244B1 (en) | Method and apparatus for authenticating a user using dynamic client-side storage values | |
| US20120204242A1 (en) | Protecting web authentication using external module | |
| CN105577606B (zh) | 一种实现认证器注册的方法和装置 | |
| CN112565160A (zh) | 一种检测票证冒充行为的方法及装置 | |
| Pippal et al. | Enhanced time-bound ticket-based mutual authentication scheme for cloud computing | |
| CN108833410B (zh) | 一种针对HTTP Flood攻击的防护方法及系统 | |
| Tan et al. | Securing password authentication for web-based applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210326 |