CN112565163B - 一种检测加密等级降级行为的方法及装置 - Google Patents
一种检测加密等级降级行为的方法及装置 Download PDFInfo
- Publication number
- CN112565163B CN112565163B CN201910913741.1A CN201910913741A CN112565163B CN 112565163 B CN112565163 B CN 112565163B CN 201910913741 A CN201910913741 A CN 201910913741A CN 112565163 B CN112565163 B CN 112565163B
- Authority
- CN
- China
- Prior art keywords
- preset
- flow
- traffic
- detecting
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本申请提供了一种检测加密等级降级行为的方法及装置,其中,方法包括:获取AD域内的内网设备与域控设备间的认证流量,以及经过域控设备的第一预设端口与第二预设端口的流量;执行检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为的至少一种;本申请中的检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为都是根据攻击者所采用的攻击手段确定的,因此,本申请中所执行的检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为中的每种检测方法都具有较高的准确性,进而,本申请的检测结果具有较高地准确性。
Description
技术领域
本申请涉及信息安全领域,尤其涉及一种检测加密等级降级行为的方法及装置。
背景技术
目前,为了方便对内网设备的管理,通常为内网搭建活动目录(ActiveDirectory,AD)域,如图1所示。在图1中,包括域控设备和内网设备,其中,域控设备可以为域控主机或域控服务器(在实际中,AD域中的域控设备可以包括多个,图1中以AD域中包括一个域控设备为例)。内网设备可以为内网主机或内网服务器。通过域控设备可以实现对AD域中的内网设备进行集中式管理。
在内网设备遭到攻击者攻击的情况下,遭到攻击的内网设备与域控设备间可能会出现加密等级降级的现象。
因此,为了提高AD域的安全性,需要一种检测AD域内加密等级降级行为的方法。
发明内容
本申请提供了一种检测加密降级行为的方法及装置,目的在于检测AD域内是否存在加密降级行为。
为了实现上述目的,本申请提供了以下技术方案:
本申请提供了一种检测加密等级降级行为的方法,包括:
获取AD域内的内网设备与域控设备间的认证流量,以及经过所述域控设备的第一预设端口与第二预设端口的流量;
执行检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为的至少一种;
其中,所述检测传递哈希攻击行为用于依据所述认证流量所支持的最高加密等级的特征,检测所述传递哈希攻击行为;所述检测传递aeskey攻击行为用于依据所述认证流量支持的最高加密等级和支持的加密方式的数量的特征,检测所述传递aeskey攻击行为;所述检测万能密钥攻击行为用于依据经过所述域控设备的第一预设端口与第二预设端口的流量的特征,检测万能密钥攻击行为。
可选的,所述依据所述认证流量所支持的最高加密等级的特征,检测所述传递哈希攻击行为,包括:
在所述认证流量中存在第一目标流量的情况下,确定检测到传递哈希攻击行为;所述第一目标流量为支持的最高加密等级低于预设的加密等级的流量。
可选的,所述依据所述认证流量支持的最高加密等级和支持的加密方式的数量的特征,检测所述传递aeskey攻击行为,包括:
在所述认证流量中存在第二目标流量的情况下,确定检测到传递aeskey攻击行为;所述第二目标流量为支持的最高加密等级为预设的加密等级,且支持的加密方式的数量小于所述预设数量的流量。
可选的,所述预设数量的获取方法包括:
将所述第二目标流量指示的内网设备,在历史的第一预设时间段中AS-REQ阶段的认证流量支持的加密方式的数量,作为所述第二目标流量指示的内网设备对应的所述预设数量。
可选的,所述预设的加密等级的获取方法包括:
将历史的第一预设时间段内AS-REQ阶段的认证流量支持的加密方式的等级中的最高等级,作为所述预设的加密等级。
可选的,所述依据经过所述域控设备的第一预设端口与第二预设端口的流量的特征,检测万能密钥攻击行为,包括:
从经过所述域控设备的第一预设端口的流量中检测第一流量;所述第一流量为表示预设的目标操作的流量;
从经过所述域控设备的第二预设端口的流量中检测第二流量;所述第二流量为表示所述预设的目标操作的流量;
在所述第一流量与所述第二流量中,存在满足预设条件的流量对的情况下,将所述流量对指示的内网设备作为目标内网设备;所述预设条件包括:指示的内网设备相同且发送时刻的间隔小于预设时长;
在第二预设时间段内存在指示所述目标内网设备的第一目标流量或指示所述目标内网设备的第二目标流量的情况下,确定所述目标内网设备存在所述万能密钥攻击行为;
所述第二预设时间段包括:结束时刻,以及所述结束时刻之前的预设时长确定;所述结束时刻为最新确定出的满足所述预设条件的流量对中,各流量分别指示的时间戳中的较小时间戳;所述第一目标流量为支持的最高加密等级低于预设的加密等级的流量,所述第二目标流量为支持的最高加密等级为所述预设的加密等级,且支持的加密方式的数量小于预设数量的流量。
可选的,所述第一预设端口为用于对认证进程操作的端口,所述第二预设端口为用于调用内置函数的端口。
可选的,所述目标操作包括:svcctl管道操作。
本申请还提供了一种检测加密等级降级行为的装置,包括:
流量获取模块,用于获取AD域内的内网设备与域控设备间的认证流量,以及经过所述域控设备的第一预设端口与第二预设端口的流量;
传递哈希攻击行为检测模块、传递aeskey攻击行为检测模块、以及万能密钥攻击行为检测模块的至少一种;
其中,所述传递哈希攻击行为检测模块用于依据所述认证流量所支持的最高加密等级的特征,检测所述传递哈希攻击行为;
所述传递aeskey攻击行为检测模块用于依据所述认证流量支持的最高加密等级和支持的加密方式的数量的特征,检测所述传递aeskey攻击行为;
所述万能密钥攻击行为检测模块用于依据经过所述域控设备的第一预设端口与第二预设端口的流量的特征,检测万能密钥攻击行为。
可选的,所述传递哈希攻击行为检测模块用于依据所述认证流量所支持的最高加密等级的特征,检测所述传递哈希攻击行为,包括:
所述传递哈希攻击行为检测模块,具体用于在所述认证流量中存在第一目标流量的情况下,确定检测到传递哈希攻击行为;所述第一目标流量为支持的最高加密等级低于预设的加密等级的流量。
可选的,所述传递aeskey攻击行为检测模块用于依据所述认证流量支持的最高加密等级和支持的加密方式的数量的特征,检测所述传递aeskey攻击行为,包括:
所述传递aeskey攻击行为检测模块,具体用于在所述认证流量中存在第二目标流量的情况下,确定检测到传递aeskey攻击行为;所述第二目标流量为支持的最高加密等级为预设的加密等级,且支持的加密方式的数量小于所述预设数量的流量。
可选的,还包括:
预设数量获取模块,用于将所述第二目标流量指示的内网设备,在历史的第一预设时间段中AS-REQ阶段的认证流量支持的加密方式的数量,作为所述第二目标流量指示的内网设备对应的所述预设数量。
可选的,还包括:
预设的加密等级获取模块,用于将历史的第一预设时间段内AS-REQ阶段的认证流量支持的加密方式的等级中的最高等级,作为所述预设的加密等级。
可选的,所述万能密钥攻击行为检测模块用于依据经过所述域控设备的第一预设端口与第二预设端口的流量的特征,检测万能密钥攻击行为,包括:
所述万能密钥攻击行为检测模块,具体用于从经过所述域控设备的第一预设端口的流量中检测第一流量;所述第一流量为表示预设的目标操作的流量;
从经过所述域控设备的第二预设端口的流量中检测第二流量;所述第二流量为表示所述预设的目标操作的流量;
在所述第一流量与所述第二流量中,存在满足预设条件的流量对的情况下,将所述流量对指示的内网设备作为目标内网设备;所述预设条件包括:指示的内网设备相同且发送时刻的间隔小于预设时长;
在第二预设时间段内存在指示所述目标内网设备的第一目标流量或指示所述目标内网设备的第二目标流量的情况下,确定所述目标内网设备存在所述万能密钥攻击行为;
所述第二预设时间段包括:结束时刻,以及所述结束时刻之前的预设时长确定;所述结束时刻为最新确定出的满足所述预设条件的流量对中,各流量分别指示的时间戳中的较小时间戳;所述第一目标流量为支持的最高加密等级低于预设的加密等级的流量,所述第二目标流量为支持的最高加密等级为所述预设的加密等级,且支持的加密方式的数量小于预设数量的流量。
可选的,所述第一预设端口为用于对认证进程操作的端口,所述第二预设端口为用于调用内置函数的端口。
可选的,所述目标操作包括:svcctl管道操作。
本申请还提供了一种计算机可读存储介质,所述存储介质包括存储的程序,其中,所述程序执行上述任意一种所述的检测加密等级降级行为的方法本申请还提供了一种设备,包括:处理器、存储器和总线;所述处理器与所述存储器通过所述总线连接;
所述存储器用于存储程序,所述处理器用于运行程序,其中,所述程序运行时执行上述任意一种所述的检测加密等级降级行为的方法。
本申请提供的检测加密等级降级行为的方法及装置中,由于检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为都是根据攻击者所采用的攻击手段确定的,因此,本申请中所执行的检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为中的每种检测方法都具有较高的准确性,进而,本申请的检测结果具有较高地准确性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种应用场景示意图;
图2为本申请实施例公开的一种检测加密等级降级行为的方法的流程图;
图3为本申请实施例公开的一种检测传递哈希攻击行为的方法的流程图;
图4为本申请实施例公开的一种检测传递aeskey攻击行为的方法的流程图;
图5为本申请实施例公开的一种检测万能密钥攻击行为的方法的流程图;
图6为本申请实施例公开的又一种检测加密等级降级行为的方法的流程图;
图7为本申请实施例公开的一种检测加密等级降级行为的装置的结构示意图。
具体实施方式
发明人在研究中发现,攻击者在攻陷AD域中的内网设备后,被攻陷的内网设备就变成了“肉鸡”,攻击者可以操控该“肉鸡”,获取更高权限等级的账户。在攻击者窃取更高权限等级账户的过程中,会出现与域控设备间的加密等级降级的现象。通常所出现的加密降级方式可以概括为以下三种:
第一种、传递哈希攻击行为。
传递哈希攻击指攻击者直接通过Windows挑战与响应协议密码哈希(简称LMHash)和Windows-NT挑战与响应协议密码哈希(简称NTLM Hash)远程访问内网设备,在访问过程中无需提供远程登录的内网设备的账户的明文密码。
第二种、传递高级加密标准密钥(Advanced Encryption Standard key,aeskey)攻击行为。
传递aeskey攻击是传递哈希攻击行为的一种特例,通过攻击使得计算机系统只保留aeskey加密方式(即安全等级最高的加密方式),而放弃其它加密方式。
第三种、万能密钥攻击行为。
万能密钥攻击是一种针对登录认证的入侵技术。当攻击者进行万能密钥攻击成功后,攻击者可以采用一个万能密钥远程登录内网设备的账户,从而获取到访问AD域中资源的权限。
本申请的以下实施例中,从以上三种攻击行为出发,检测加密等级降级行为。
上述图1为本申请实施例的应用场景示意图,在该场景中,内网设备与域控设备以及内网设备与内网设备间的通信都通过核心交换机实现。本申请实施例提供的一种检测AD域内的账户窃取行为的方法或装置,需要从核心交换机上获取AD域中内网设备与域控设备间的交互流量,因此,作为方法执行主体的装置,可以设置在核心交换机上。当然,也可以设置在AD域除核心交换机外的其它设备(例如内网设备或域控设备)上,或者,作为新增的实体设备设置在AD域中,并与核心交换机相连以从核心交换机获取AD域中内网设备与域控设备间的交互流量。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
图2为本申请提供的一种检测加密等级降级行为的方法,包括以下步骤:
S201、获取内网设备与域控设备间的认证流量,以及获取经过域控设备的第一预设端口与第二预设端口的流量。
在AD域中,内网设备与内网设备之间的通信以及内网设备与域控设备之间的通信,都会经过核心交换机,其中,将经过核心交换机的通信数据称为交互流量。内网设备与域控设备间的认证流量包括:内网设备向域控设备发送且用于域控设备进行账户认证请求的流量,以及域控设备对账户认证请求的响应流量。
具体的,获取AD域中内网设备与域控设备间的认证流量的过程,可以为每隔预设时长获取一次内网设备与域控设备间的认证流量,其中,预设时长可以设置为较小数值,当然,预设时长的具体取值,需要根据实际情况确定,本实施例不对预设时长的取值作限定。当预设时长的取值为无限小时,本步骤的获取动作就可以看作是实时获取。其中,相邻两次获取内网设备与域控设备间的认证流量的时间间隔可以相同,也可以不同。
在本实施例中,从核心交换机中获取交互流量的方式可以包括:将核心交换机的交互端口的流量定向到一个其它端口,从其它端口获取到交互流量。在本步骤中,从所获取的交互流量中获取认证流量。在本实施例中,内网设备与域控设备间使用的是kerberos协议,因此,认证流量为使用kerberos协议的数据包,在本步骤中,可以从交互流量中提取具有kerberos协议的预设标志的流量为认证流量。
第一预设端口与第二预设端口为域控设备上的端口,其中,第一预设端口为域控设备上可以对认证进程进行操作的端口,例如,135端口。当然,第一预设端口也可以为其它端口,本实施例不对第一预设端口作限定,只要通过第一预设端口可以对认证进程进行操作即可。第二预设端口为域控设备上可以调用内置函数的端口,例如,445端口。当然,第二预设端口也可以为其它端口,本实施例不对第二预设端口作限定,只要通过第二预设端口可以调用内置函数即可。
对于获取经过域控设备的第一预设端口或第二预设端口的流量的过程,可以每隔预设时长获取一次,其中,预设时长可以设置为较小数值,当然,预设时长的具体取值,需要根据实际情况确定,本实施例不对预设时长的取值作限定。当预设时长的取值为无限小时,获取经过域控设备的第一预设端口或第二预设端口的流量的过程就可以看作是实时获取。其中,相邻两次获取内网设备与域控设备间的认证流量的时间间隔可以相同,也可以不同。
S202、执行检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为中的至少一种。
具体的,检测传递哈希攻击行为用于依据认证流量所支持的最高加密等级的特征,检测传递哈希攻击行为;检测传递aeskey攻击行为用于依据认证流量支持的最高加密等级和支持的加密方式的数量的特征,检测传递aeskey攻击行为;检测万能密钥攻击行为用于依据经过域控设备的第一预设端口与第二预设端口的流量的特征,检测万能密钥攻击行为。
需要说明的是,在本实施例中,S201与S202可以通过一个进程实现,具体的,该进程执行一次S201后,基于本次执行S201获取到的认证流量与经过目标端口的流量执行S202。在本实施例中,S201与S202可以为两个单独的进程,即实现S201的过程是一个进程,实现S202的过程是一个进程,这两个进程并行执行。对于后一种情况,可以通过探针-感知平台的方式实现,其中,探针为用于实现S201的内网设备,感知平台用于实现S202。
本实施例具有以下有益效果:
有益效果一、
本实施例中的检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为都是根据攻击者所采用的攻击手段确定的,因此,本实施例中所执行的检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为中的每种检测方法都具有较高的准确性,进而,本实施例的检测结果具有较高地准确性。
有益效果二、
本实施例中的检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为都是实时进行的,因此,本实施例具有较高地及时性。
具体的,以下对三种检测方法分别进行介绍。
图3为本申请实施例提供的一种检测传递哈希攻击行为的方法,包括以下步骤:
S301、获取第一预设时间段中内网设备与域控设备间支持的最高加密等级,并将支持的最高加密等级作为预设的加密等级。
第一预设时间段的起始时刻、结束时刻,以及起始时刻与结束时刻间的时长都可以根据实际需求确定。具体的,该第一预设时间段的时长可以为一周,当然,也可以为其它取值,本实施例不对该第一预设时间段的时长作限定。
具体的,对于认证请求服务(Authentication Service Request,AS-REQ)阶段的任意一条认证流量,该条认证流量中的加密类型(Encryption type,etype)字段包括:预设的加密等级列表中各加密方式是否被支持的信息(通常,字段的列表中,每个加密方式对应一个数值,使用1表示该条流量支持该加密方式,使用0表示该条流量不支持该加密方式),其中,预设的加密等级列表中的加密方式事先被设定了等级(通常,在列表中加密方式按照等级从高到低进行排列)。
因此,在本步骤中,可以通过确定第一预设时间段内AS-REQ阶段的每条认证流量的etype字段中,支持的加密方式的等级中的最高等级(简称为最高加密等级),进而,得到第一预设时间段中预设的加密等级。具体的,对于每条流量,确定一个最高加密等级,将各条流量确定的所有加密等级中,等级最高的加密等级,作为预设的加密等级。
S302、在检测到第一预设时间段后产生的认证流量中存在第一目标流量的情况下,确定第一目标流量指示的内网设备当前存在传递哈希攻击行为。
在本步骤中,第一目标流量为支持的最高加密等级低于预设的加密等级的认证流量。确定支持的最高加密等级低于预设的加密等级的一种具体方式为:检测流量中的etype字段的列表中,等级最高的加密方式对应的数值(按照加密等级从高到低排序,即数值的最高位)是否为0,如果是,则确定流量不支持最高加密等级。
具体的,在本实施例中,对第一预设时间段后产生的每条认证流量进行检测,在检测到第一目标流量的情况下,确定第一目标流量指示的内网设备当前存在传递哈希攻击行为,并继续对未检测的认证流量进行检测。在未检测到第一目标流量的情况下,继续对未检测的认证流量进行检测。
可选的,在检测到的第一目标流量的情况下,还可以输出用于表示第一目标流量指示的内网设备存在传递哈希攻击行为的信息,信息的形式可以为语音或文字等。
在本申请的实施例中,任意一条流量指示的内网设备为,IP地址包括在该条流量中的内网设备。具体的,IP地址可能是该条流量中的源IP地址,也可以是目标IP地址。
需要说明的是,本实施例是先从第一预设时间段的认证流量中,获取到预设的加密等级,然后,基于预设的加密等级检测第一预设时间段后产生的认证流量中是否存在第一目标流量,即在第一预设时间段后才开始实际检测内网设备是否存在传递哈希攻击行为。因此,相对于实际检测内网设备是否存在传递哈希攻击行为的时刻,用于获取预设的加密等级的第一预设时间段的认证流量中的第一预设时间段,可看作是历史时间。因此,该第一预设时间段可以称为历史的第一预设时间段。
当然,在实际中,预设的加密等级还可以通过人为进行设定,即无需通过第一预设时间段的认证流量中获取,直接利用人工设定的预设的加密等级,检测认证流量中是否存在第一目标流量,即真正的检测内网设备是否存在传递哈希攻击行为无需在第一预设时间后才开始执行。
综上所述,本实施例的目的是:在认证流量中存在第一目标流量的情况下,确定检测到传递哈希攻击行为,第一目标流量为支持的最高加密等级低于预设的加密等级的流量。
其中,预设的加密等级的获取方式可以包括:将历史的第一预设时间段内AS-REQ阶段的认证流量支持的加密方式的等级中的最高等级,作为预设的加密等级。
本实施例具有以下有益效果:
有益效果一、
本实施例中,通过对第一预设时间段后产生的认证流量中是否存在支持的最高加密等级低于预设的加密等级的认证流量,检测是否存在传递哈希攻击行为。由于本实施例中对传递哈希攻击行为的检测手段与攻击者使用的传递哈希攻击的手段相符合,因此,采用本实施例提供的检测传递哈希攻击的方法得到的检测结果的准确性较高(漏检率较低与误检率较低)。
有益效果二、
在本实施例中,对第一预设时间段后的每条认证流量进行检测的过程是实时进行的,因此,能够及时检测出传递哈希攻击行为。
图4为本申请实施例提供的一种检测传递aeskey攻击行为的方法,包括以下步骤:
S401、获取第一预设时间段中AS-REQ阶段的内网设备与域控设备间支持的最高加密等级以及各个内网设备支持的加密方式的数量,并将支持的最高加密等级作为预设的加密等级,将任意一个内网设备支持的加密方式的数量,作为该内网设备对应的预设数量。
其中,对于任意一个内网设备,通过统计第一预设时间段中,其在AS-REQ阶段的每条认证流量的etype字段中支持的加密方式的数量,得到该内网设备对应的预设数量。并将支持的加密方式的等级中的最高等级,作为预设的加密等级。
需要说明的是,一个内网设备在AS-REQ阶段的任意一条认证流量支持的加密方式的数量相同。
S402、在检测到第一预设时间段后产生的认证流量中存在第二目标流量的情况下,确定第二目标流量指示的内网设备当前存在传递aeskey攻击行为。
在本步骤中,第二目标流量为支持的最高加密等级为预设的加密等级且支持的加密方式的数量小于预设数量的认证流量。其中,预设数量为第二目标流量指示的内网设备对应的预设数量。第二目标流量的一个示例为:etype字段中最高等级的加密方式对应的数值为1,且其它加密方式对应的数值为0。
在本实施例中,对第一预设时间段后产生的每条认证流量进行检测,在检测到第二目标流量的情况下,确定第二目标流量指示的内网设备存在传递aeskey攻击行为,并继续对未检测的认证流量进行检测,在未检测到第二目标流量的情况下,继续对未检测的认证流量进行检测。
可选的,在检测到的第二目标流量的情况下,还可以输出用于表示第二目标流量指示的内网设备当前存在传递aeskey攻击行为的信息。
需要说明的是,本实施例是先从第一预设时间段的认证流量中,获取到预设的加密等级和预设数量,然后,基于预设的加密等级和预设数量,检测第一预设时间段后产生的认证流量中是否存在第二目标流量,即在第一预设时间段后才开始实际检测内网设备是否存在传递aeskey攻击行为。因此,相对于实际检测内网设备是否存在传递aeskey攻击行为的时刻,用于获取预设的加密等级和预设数量的第一预设时间段的认证流量中的第一预设时间段,可看作是历史时间。因此,该第一预设时间段可以称为历史的第一预设时间段。
当然,在实际中,预设的加密等级和预设数量还可以通过人为进行设定,即无需通过第一预设时间段的认证流量中获取,直接利用人工设定的预设的加密等级和预设数量,检测认证流量中是否存在第二目标流量,即真正的检测内网设备是否存在传递aeskey攻击行为无需在第一预设时间后才开始执行。
综上,本实施例的目的是:在认证流量中存在第二目标流量的情况下,确定检测到传递aeskey攻击行为,第二目标流量为支持的最高加密等级为预设的加密等级,且支持的加密方式的数量小于预设数量的流量。
其中,在检测传递aeskey攻击行为的过程中所使用的预设数量的获取方式包括:将第二目标流量指示的内网设备,在历史的第一预设时间段中AS-REQ阶段的认证流量支持的加密方式的数量,作为第二目标流量指示的内网设备对应的预设数量。
其中,在检测传递aeskey攻击行为的过程中所使用的预设的加密等级的获取方式包括:将历史的第一预设时间段内AS-REQ阶段的认证流量支持的加密方式的等级中的最高等级,作为预设的加密等级。
本实施例具有以下有益效果:
有益效果一、
本实施例中,通过对第一预设时间段后产生的认证流量中是否存在第二目标流量,检测是否存在传递aeskey攻击行为。由于本实施例中对传递aeskey攻击行为的检测手段与攻击者使用的传递aeskey攻击的手段相符合,因此,采用本实施例提供的检测传递aeskey攻击的方法得到的检测结果的准确性较高。
有益效果二、
在本实施例中,对第一预设时间段后的每条认证流量进行检测的过程是实时进行的,因此,能够及时检测出传递aeskey攻击行为。
图5为本申请实施例提供的一种检测万能密钥攻击行为的方法,包括以下步骤:
S501、从经过第一预设端口的流量中检测第一流量。
在本实施例中,第一流量为存在目标操作信息的流量。其中,流量中存在目标操作信息,即说明流量指示目标操作。第一流量既可以是由内网设备发送给域控设备且经过域控设备的第一预设端口的流量中,存在目标操作信息的流量,也可以是经过域控设备的第一预设端口发送给内网设备的流量中,存在目标操作信息的流量。
目标操作为预设的用于对服务进行处理的操作,其中,对服务进行的处理可以包括:开启、更改和关闭等操作。具体的,在本步骤中,目标操作可以为svcctl管道操作。
在本步骤中,将从经过第一预设端口的流量中,检测到的存在表示目标操作的信息的流量作为第一流量。
S502、从经过第二预设端口的流量中检测第二流量。
在本步骤中,第二流量为存在目标操作信息的流量。其中,第二流量既可以是由内网设备发送给域控设备且经过域控设备的第二预设端口的流量中,存在目标操作信息的流量,也可以是经过域控设备的第二预设端口发送给内网设备的流量中,存在目标操作信息的流量。
在本步骤中,将从经过第二预设端口的流量中,检测到的存在目标操作信息的流量作为第二流量。
S503、判断第一流量与第二流量中,是否存在满足预设条件的流量对(即目标流量对),如果是,则执行S504,如果否,则执行S503。
在本步骤中,预设条件包括:指示的内网设备相同且发送时刻的间隔小于预设时长。需要说明的是,任意一个流量对中包括一条第一流量和一条第二流量。
在本实施例中,每条认证流量都有其发出的时间戳,用于表示发出的时刻,因此,使用时间戳即可确定流量的发送时刻。具体的,满足预设条件的流量对中,第一流量与第二流量分别指示的内网设备相同,并且,第一流量与第二流量分别对应的时间戳间的时长小于预设时长。
在本步骤中,预设时长的取值可以为1s,当然,在实际中,预设时长的取值还可以为其它值,例如,2s、3s等,本实施例不对预设时长的取值作限定。
在本步骤中,如果第一流量与第二流量中不存在满足预设条件的流量对,则继续判断第一流量与第二流量中,是否存在满足预设条件的流量对。需要说明的是,此时的第一流量是截止当前时刻通过S501检测到的第一流量,此时的第二流量是截止当前时刻通过S501检测到的第二流量。
S504、将满足预设条件的流量对指示的内网设备作为目标内网设备。
其中,流量对指示的内网设备为:流量对中的各条流量均指示的内网设备。
S505、判断第二预设时间段内是否存在指示目标内网设备的第一目标流量或指示目标内网设备的第二目标流量,如果是,则执行S506,否则,执行S505。
在本步骤中,第一目标流量为支持的最高加密等级低于预设的加密等级的流量,第二目标流量为支持的最高加密等级为预设的加密等级,且支持的加密方式的数量小于预设数量的流量。具体判定流程如前述实施例。
在本步骤中,第二预设时间段包括起始时刻、结束时刻,以及由起始时刻与结束时刻构成的时长。其中,结束时刻可以为最新确定出的满足预设条件的流量对指示的时间戳中的较小时间戳,即在满足预设条件的流量对指示的时间戳中较小的时间戳之前的第二预设时长内,攻击者进行了传递哈希攻击或进行了传递aeskey攻击。第二预设时间段的时长的取值由实际情况进行确定,本实施例不对设时间范围的时长的具体取值作限定。
在本步骤中,如果第二预设时间段内不存在第一目标流量或第二目标流量,则继续判断第二预设时间段内是否存在第一目标流量或第二目标流量。
S506、确定目标内网设备存在万能密钥攻击行为。
可选的,还可以输出用于表示目标内网设备当前存在万能密钥攻击行为的信息。
本实施例具有以下有益效果:
有益效果一、
在本实施例中,万能密钥攻击行为的检测过程与攻击者采用的万能密钥攻击手段相符合,因此,本实施例提供的万能密钥攻击行为的检测方法具有较高地准确性。
有益效果二、
在本实施例中,对第一流量与第二流量进行检测的过程是实时进行的,因此,本实施例具有较高地及时性。
在实际中,图3、图4和图5分别对应的检测过程可以并行运行,为了节省计算资源,可以将图3、图4和图5分别对应的检测过程串行运行,如图6所示,为本申请提供的又一种检测加密等级降级行为的方法,包括以下步骤:
S601、在第一预设时间段中学习到预设的加密等级和各个内网设备对应的预设数量。
S602、检测第一预设时间段后产生的第i条认证流量是否为第一目标流量,如果否,则执行S603,如果是,则执行S604。
在本步骤中,i表示第一预设时间段后产生的认证流量的编号。
具体的,本步骤中的第一目标流量的定义与图3对应的实施例中的S302中的相同,这里不再赘述。
S603、检测第一预设时间段后产生的第i条认证流量是否为第二目标流量,如果是,则执行S605,如果否,则执行S606。
具体的,本步骤中的第二目标流量的定义与图4对应的实施例中的S402中的相同,这里不再赘述。
S604、确定第一目标流量指示的内网设备当前存在传递哈希攻击行为。
可选的,还可以输出用于表示第一目标流量指示的内网设备当前存在传递哈希攻击行为的信息。
执行完本步骤后,执行S607。
S605、确定第二目标流量指示的内网设备当前存在传递aeskey攻击行为。
可选的,在检测到的第二目标流量的情况下,还可以输出用于表示第二目标流量指示的内网设备当前存在传递aeskey攻击行为的信息。
执行完本步骤后,执行S607。
S606、通过i=i+1更新认证流量的编号。
执行完本步骤后,执行S601。
S607、从经过第一预设端口的流量中检测第一流量。
具体的,本步骤的实现过程与图5对应的实施例中的S501相同,这里不再赘述。
S608、从经过第二预设端口的流量中检测第二流量。
具体的,本步骤的实现过程与图5对应的实施例中的S502相同,这里不再赘述。
S609、判断第一流量与第二流量中是否存在满足目标条件的流量对,如果是,则执行S610,如果否,则执行S606。
在本步骤中,目标条件包括:指示的内网设备与目标流量指示的内网设备相同、时间戳间的时长不大于第一预设时长,并且,满足目标条件的流量对的时间戳中较小的时间戳在目标流量的时间戳之后的第二预设时长内。其中,如果在确定出第i条认证流量为第一目标流量执行本步骤的情况下,本步骤的目标条件中的目标流量为第一目标流量。如果在确定出第i条认证流量为第二目标流量执行本步骤的情况下,本步骤的目标条件中的目标流量为第二目标流量。
S610、确定满足目标条件的流量对指示的内网设备当前存在万能密钥攻击行为。
可选的,还可以输出用于表示满足目标条件的流量对指示的内网设备当前存在万能密钥攻击的信息。
在本实施例中,在第i条认证流量不是第一目标流量的情况下,即第i条认证流量指示的内网设备当前不存在传递哈希攻击行为的情况下,检测第i条认证流量是否为第二目标流量,即检测第i条认证流量指示的内网设备当前是否存在传递aeskey攻击行为,在第i条认证流量指示的内网设备当前存在传递aeskey攻击行为的情况下,检测第i条认证流量指示的内网设备是否存在万能密钥攻击行为,在这种情况下,对传递哈希攻击行为、传递aeskey攻击行为以及万能密钥攻击行为都进行了检测。在其它情况下,只需进行传递哈希攻击行为、传递aeskey攻击行为以及万能密钥攻击行为中的一种或两种的检测,因此,相比于对检测传递哈希攻击行为的方法、检测传递aeskey攻击行为的方法以及检测万能密钥攻击行为并行运行来说,本实施例节省了计算资源。
图7为本申请实施例提供的一种检测加密等级降级行为的装置,包括:流量获取模块701,以及传递哈希攻击行为检测模块702、传递aeskey攻击行为检测模块703、万能密钥攻击行为检测模块704中的至少一种。
流量获取模块701,用于获取AD域内的内网设备与域控设备间的认证流量,以及经过域控设备的第一预设端口与第二预设端口的流量。
传递哈希攻击行为检测模块702、传递aeskey攻击行为检测模块703、以及万能密钥攻击行为检测模块704的至少一种;
其中,传递哈希攻击行为检测模块702用于依据认证流量所支持的最高加密等级的特征,检测传递哈希攻击行为。传递aeskey攻击行为检测模块703用于依据认证流量支持的最高加密等级和支持的加密方式的数量的特征,检测传递aeskey攻击行为。万能密钥攻击行为检测模块704用于依据经过域控设备的第一预设端口与第二预设端口的流量的特征,检测万能密钥攻击行为。
可选的,传递哈希攻击行为检测模块702用于依据认证流量所支持的最高加密等级的特征,检测传递哈希攻击行为,包括:传递哈希攻击行为检测模块702,具体用于在认证流量中存在第一目标流量的情况下,确定检测到传递哈希攻击行为,第一目标流量为支持的最高加密等级低于预设的加密等级的流量。
可选的,传递aeskey攻击行为检测模块703用于依据认证流量支持的最高加密等级和支持的加密方式的数量的特征,检测传递aeskey攻击行为,包括:传递aeskey攻击行为检测模块703,具体用于在认证流量中存在第二目标流量的情况下,确定检测到传递aeskey攻击行为;第二目标流量为支持的最高加密等级为预设的加密等级,且支持的加密方式的数量小于预设数量的流量。
可选的,该装置还包括:预设数量获取模块705,用于将第二目标流量指示的内网设备,在历史的第一预设时间段中AS-REQ阶段的认证流量支持的加密方式的数量,作为第二目标流量指示的内网设备对应的所述预设数量。
可选的,该装置还包括预设的加密等级获取模块706,用于将历史的第一预设时间段内AS-REQ阶段的认证流量支持的加密方式的等级中的最高等级,作为预设的加密等级。
可选的,万能密钥攻击行为检测模块704用于依据经过域控设备的第一预设端口与第二预设端口的流量的特征,检测万能密钥攻击行为,包括:
万能密钥攻击行为检测模块704,具体用于从经过域控设备的第一预设端口的流量中检测第一流量,第一流量为表示预设的目标操作的流量;从经过域控设备的第二预设端口的流量中检测第二流量,第二流量为表示预设的目标操作的流量;在第一流量与所述第二流量中,存在满足预设条件的流量对的情况下,将流量对指示的内网设备作为目标内网设备,预设条件包括:指示的内网设备相同且发送时刻的间隔小于预设时长;在第二预设时间段内存在指示目标内网设备的第一目标流量或指示目标内网设备的第二目标流量的情况下,确定目标内网设备存在万能密钥攻击行为;第二预设时间段包括:结束时刻,以及结束时刻之前的预设时长确定;结束时刻为最新确定出的满足预设条件的流量对中,各流量分别指示的时间戳中的较小时间戳,第一目标流量为支持的最高加密等级低于预设的加密等级的流量,第二目标流量为支持的最高加密等级为预设的加密等级,且支持的加密方式的数量小于预设数量的流量。
可选的,第一预设端口为用于对认证进程操作的端口,第二预设端口为用于调用内置函数的端口。
可选的,目标操作包括:svcctl管道操作。
本实施例提供的检测加密等级降级行为的装置的检测原理是根据攻击者所采用的攻击手段确定的,因此,检测结果具有较高的准确性。并且,检测加密等级降级行为的装置能够对每条待检测流量进行实时检测,因此,具有较高的检测及时性。
传递哈希攻击行为检测模块的检测原理与攻击者使用的传递哈希攻击的手段相符合,因此,检测结果具有较高的检测准确性。并且,传递哈希攻击行为检测模块能够对每条认证流量进行实时检测,因此,能够及时检测出传递哈希攻击行为。
传递aeskey攻击行为检测模块的检测原理与传递aeskey攻击行为检测模块,因此,检测结果具有较高的准确性。并且,传递aeskey攻击行为检测模块能够对每条认证流量进行实时检测,因此,能够及时检测到传递aeskey攻击行为。
万能密钥攻击行为检测模块的检测原理与攻击者采用的万能密钥攻击手段相符合,因此,检测结果具有较高的准确性。并且,万能密钥攻击行为检测模块能够对第一流量和第二流量进行实时检测,因此,具有较高的检测及时性。
本申请实施例还提供了一种计算机可读存储介质,包括存储的程序,其中,程序执行上述任意一种所述的检测加密等级降级行为的方法。
本申请实施例还提供了一种设备,包括:处理器、存储器和总线;处理器与存储器通过总线连接;存储器用于存储程序,处理器用于运行程序,其中,程序运行时执行上述任意一种所述的检测加密等级降级行为的方法。
申请实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算设备可读取存储介质中。基于这样的理解,本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算设备(可以是个人计算机,服务器,移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (11)
1.一种检测加密等级降级行为的方法,其特征在于,包括:
获取AD域内的内网设备与域控设备间的认证流量,以及经过所述域控设备的第一预设端口与第二预设端口的流量,所述AD为活动目录;
执行检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为的至少一种,所述aeskey为高级加密标准密钥;
其中,所述检测传递哈希攻击行为用于依据所述认证流量所支持的最高加密等级的特征,检测所述传递哈希攻击行为;所述检测传递aeskey攻击行为用于依据所述认证流量支持的最高加密等级和支持的加密方式的数量的特征,检测所述传递aeskey攻击行为;所述检测万能密钥攻击行为用于依据经过所述域控设备的第一预设端口与第二预设端口的流量的特征,检测万能密钥攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述依据所述认证流量所支持的最高加密等级的特征,检测所述传递哈希攻击行为,包括:
在所述认证流量中存在第一目标流量的情况下,确定检测到传递哈希攻击行为;所述第一目标流量为支持的最高加密等级低于预设的加密等级的流量。
3.根据权利要求1所述的方法,其特征在于,所述依据所述认证流量支持的最高加密等级和支持的加密方式的数量的特征,检测所述传递aeskey攻击行为,包括:
在所述认证流量中存在第二目标流量的情况下,确定检测到传递aeskey攻击行为;所述第二目标流量为支持的最高加密等级为预设的加密等级,且支持的加密方式的数量小于所述预设数量的流量。
4.根据权利要求3所述的方法,其特征在于,所述预设数量的获取方法包括:
将所述第二目标流量指示的内网设备,在历史的第一预设时间段中AS-REQ阶段的认证流量支持的加密方式的数量,作为所述第二目标流量指示的内网设备对应的所述预设数量,所述AS-REQ为认证请求服务。
5.根据权利要求2~4任意一项所述的方法,其特征在于,所述预设的加密等级的获取方法包括:
将历史的第一预设时间段内AS-REQ阶段的认证流量支持的加密方式的等级中的最高等级,作为所述预设的加密等级。
6.根据权利要求1所述的方法,其特征在于,所述依据经过所述域控设备的第一预设端口与第二预设端口的流量的特征,检测万能密钥攻击行为,包括:
从经过所述域控设备的第一预设端口的流量中检测第一流量;所述第一流量为表示预设的目标操作的流量;
从经过所述域控设备的第二预设端口的流量中检测第二流量;所述第二流量为表示所述预设的目标操作的流量;
在所述第一流量与所述第二流量中,存在满足预设条件的流量对的情况下,将所述流量对指示的内网设备作为目标内网设备;所述预设条件包括:指示的内网设备相同且发送时刻的间隔小于预设时长;
在第二预设时间段内存在指示所述目标内网设备的第一目标流量或指示所述目标内网设备的第二目标流量的情况下,确定所述目标内网设备存在所述万能密钥攻击行为;
所述第二预设时间段包括:结束时刻,以及所述结束时刻之前的预设时长确定;所述结束时刻为最新确定出的满足所述预设条件的流量对中,各流量分别指示的时间戳中的较小时间戳;所述第一目标流量为支持的最高加密等级低于预设的加密等级的流量,所述第二目标流量为支持的最高加密等级为所述预设的加密等级,且支持的加密方式的数量小于预设数量的流量。
7.根据权利要求6所述的方法,其特征在于,所述第一预设端口为用于对认证进程操作的端口,所述第二预设端口为用于调用内置函数的端口。
8.根据权利要求6或7所述的方法,其特征在于,所述目标操作包括:
svcctl管道操作。
9.一种检测加密等级降级行为的装置,其特征在于,包括:
流量获取模块,用于获取AD域内的内网设备与域控设备间的认证流量,以及经过所述域控设备的第一预设端口与第二预设端口的流量;
传递哈希攻击行为检测模块、传递aeskey攻击行为检测模块、以及万能密钥攻击行为检测模块的至少一种;
其中,所述传递哈希攻击行为检测模块用于依据所述认证流量所支持的最高加密等级的特征,检测所述传递哈希攻击行为;
所述传递aeskey攻击行为检测模块用于依据所述认证流量支持的最高加密等级和支持的加密方式的数量的特征,检测所述传递aeskey攻击行为;
所述万能密钥攻击行为检测模块用于依据经过所述域控设备的第一预设端口与第二预设端口的流量的特征,检测万能密钥攻击行为。
10.一种计算机可读存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求1~8任意一项权利要求所述的检测加密等级降级行为的方法。
11.一种设备,其特征在于,包括:处理器、存储器和总线;所述处理器与所述存储器通过所述总线连接;
所述存储器用于存储程序,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1~8任意一项权利要求所述的检测加密等级降级行为的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910913741.1A CN112565163B (zh) | 2019-09-25 | 2019-09-25 | 一种检测加密等级降级行为的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910913741.1A CN112565163B (zh) | 2019-09-25 | 2019-09-25 | 一种检测加密等级降级行为的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112565163A CN112565163A (zh) | 2021-03-26 |
| CN112565163B true CN112565163B (zh) | 2023-03-21 |
Family
ID=75029471
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910913741.1A Active CN112565163B (zh) | 2019-09-25 | 2019-09-25 | 一种检测加密等级降级行为的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112565163B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114205110B (zh) * | 2021-11-02 | 2023-11-10 | 北京中安网星科技有限责任公司 | Ad域威胁检测方法、装置及电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152351A (zh) * | 2013-03-15 | 2013-06-12 | 深信服网络科技(深圳)有限公司 | 网络设备、ad 域单点登录的方法及系统 |
| CN106716958A (zh) * | 2014-09-18 | 2017-05-24 | 微软技术许可有限责任公司 | 横向移动检测 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120151565A1 (en) * | 2010-12-10 | 2012-06-14 | Eric Fiterman | System, apparatus and method for identifying and blocking anomalous or improper use of identity information on computer networks |
| US10958640B2 (en) * | 2018-02-08 | 2021-03-23 | Citrix Systems, Inc. | Fast smart card login |
-
2019
- 2019-09-25 CN CN201910913741.1A patent/CN112565163B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152351A (zh) * | 2013-03-15 | 2013-06-12 | 深信服网络科技(深圳)有限公司 | 网络设备、ad 域单点登录的方法及系统 |
| CN106716958A (zh) * | 2014-09-18 | 2017-05-24 | 微软技术许可有限责任公司 | 横向移动检测 |
Non-Patent Citations (2)
| Title |
|---|
| Preventing Pass-the-Hash and Similar Impersonation Attacks in Enterprise Infrastructures;Alexander Oberle 等;《 2016 IEEE 30th International Conference on Advanced Information Networking and Applications (AINA)》;20160523;第800-807页 * |
| 基于Metasploit下的浏览器渗透攻击;魏占祯 等;《北京电子科技学院学报》;20150615;第23卷(第2期);第16-27页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112565163A (zh) | 2021-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
| CA2973969C (en) | Session security splitting and application profiler | |
| US9369479B2 (en) | Detection of malware beaconing activities | |
| US11671402B2 (en) | Service resource scheduling method and apparatus | |
| WO2016006520A1 (ja) | 検知装置、検知方法及び検知プログラム | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| WO2018032936A1 (zh) | 一种对算法生成域名进行检测的方法及装置 | |
| CN102624677A (zh) | 一种网络用户行为监控方法及服务器 | |
| CN107347015B (zh) | 一种内容分发网络的识别方法、装置及系统 | |
| CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
| CN107426136B (zh) | 一种网络攻击的识别方法和装置 | |
| EP4050859A1 (en) | Network security protection method and protection device | |
| CN108234516B (zh) | 一种网络泛洪攻击的检测方法及装置 | |
| CN110619022B (zh) | 基于区块链网络的节点检测方法、装置、设备及存储介质 | |
| CN112565163B (zh) | 一种检测加密等级降级行为的方法及装置 | |
| CN109413022B (zh) | 一种基于用户行为检测http flood攻击的方法和装置 | |
| CN107623916B (zh) | 一种进行WiFi网络安全监控的方法与设备 | |
| CN116566739B (zh) | 一种安全检测系统、电子设备及存储介质 | |
| CN113067802A (zh) | 一种用户标识方法、装置、设备及计算机可读存储介质 | |
| KR101518468B1 (ko) | 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법 및 공인 ip 공유 상태 검출 시스템 | |
| CN113709136B (zh) | 一种访问请求验证方法和装置 | |
| CN110321287A (zh) | 一种服务器功能的检测方法、装置及电子设备 | |
| KR20200122054A (ko) | 유해 ip 판단 방법 | |
| CN112565162B (zh) | 一种检测账户窃取行为的方法及装置 | |
| CN112565160A (zh) | 一种检测票证冒充行为的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |