CN113364725B - 一种非法探测事件检测方法、装置、设备及可读存储介质 - Google Patents
一种非法探测事件检测方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN113364725B CN113364725B CN202010146514.3A CN202010146514A CN113364725B CN 113364725 B CN113364725 B CN 113364725B CN 202010146514 A CN202010146514 A CN 202010146514A CN 113364725 B CN113364725 B CN 113364725B
- Authority
- CN
- China
- Prior art keywords
- flow
- field
- protocol
- target
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种非法探测事件检测方法,包括:获取AD域中的目标流量,确定目标流量对应的字段合法标准;利用字段合法标准对目标流量进行至少一项字段合法性检测,判断目标流量是否为合法流量;若目标流量不为合法流量,则确定AD域内出现非法探测事件;本方法利用字段合法标准对AD域中的目标流量进行检测,可以从流量中字段的内容判断AD域内是否发生非法探测事件,提高了对AD域内非法探测事件的检测能力,解决了现有检测技术的检测能力有限的问题;此外,本发明还提供了一种非法探测事件检测装置、非法探测事件检测设备及计算机可读存储介质,也具有上述有益效果。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种非法探测事件检测方法、非法探测事件检测装置、非法探测事件检测设备及计算机可读存储介质。
背景技术
在AD域场景中,当内网主机或服务器被黑客攻陷之后,会成为被黑客操纵的肉鸡,黑客利用肉鸡进行内网扩散的过程中,需要先确认内网中有哪些机器,网络结构,以及包含哪些账户等探测。
由于在AD域中,一个账号可以登录多台主机。作为黑客入侵AD域的第一步,信息收集阶段显得尤为重要,因为它是后续操作的一些信息来源。所以黑客入侵之后,先要探测域内的部署情况,账户情况,尝试去看包含了哪些账户等信息收集方法。一般黑客会进行域内主机探测,在线SMB服务主机探测,账户探测,SAMR用户组探测等行为,用于收集内网账户中的各种信息。大部分现有检测技术会检测高频率扫描或暴破行为,一般会检测基于短时间内的高频次操作,如一些常见的暴力破解的方式,当在短时间内检测到高频次的某些操作请求时,便会报出异常。但是现有检测技术的检测能力有限,非高频次的探测操作无法检测得到。
因此,如何解决现有非法探测检测技术的检测能力有限的问题,是本领域技术人员需要解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种非法探测事件检测方法、非法探测事件检测装置、非法探测事件检测设备及计算机可读存储介质,解决了现有非法探测检测技术的检测能力有限的问题。
为解决上述技术问题,本发明提供了一种非法探测事件检测方法,包括:
获取AD域中的目标流量,确定所述目标流量对应的字段合法标准;
利用所述字段合法标准对所述目标流量进行至少一项字段合法性检测,判断所述目标流量是否为合法流量;
若所述目标流量不为所述合法流量,则确定所述AD域内出现非法探测事件。
可选地,所述获取AD域中的目标流量,包括:
获取所述AD域中所有的流量;
对所述流量进行过滤,得到DNS协议流量、Kerberos协议流量和SMB协议流量;
将所述DNS协议流量、所述Kerberos协议流量和所述SMB协议流量确定为所述目标流量。
可选地,所述利用所述字段合法标准对所述目标流量进行至少一项字段合法性检测,包括:
按照所述DNS协议流量对应的第一字段合法标准判断所述DNS协议流量中第一字段的值是否为第一目标值;
若所述第一字段的值为所述第一目标值,则判断所述DNS协议流量的目的IP是否为DNS主服务器IP;
若所述DNS协议流量的目的IP为所述DNS主服务器IP,则判断所述DNS协议流量的源IP是否为DNS从服务器IP;
若所述源IP不为所述DNS从服务器IP,则判定所述目标流量不符合第一字段合法标准,未通过第一字段合法性检测。
可选地,所述利用所述字段合法标准对所述目标流量进行至少一项字段合法性检测,包括:
按照所述SMB协议流量对应的第二字段合法标准判断所述SMB协议流量是否调用了DCERPC协议;
若所述SMB协议流量调用了所述DCERPC协议,则判断所述DCERPC协议是否调用了SRVSVC协议;
若所述DCERPC协议调用了所述SRVSVC协议,则判断所述SRVSVC协议对应的第二字段的值是否为第二目标值;
若所述第二字段的值为所述第二目标值,则判定所述目标流量不符合第二字段合法标准,未通过第二字段合法性检测。
可选地,所述利用所述字段合法标准对所述目标流量进行至少一项字段合法性检测,包括:
按照所述Kerberos协议流量对应的第三字段合法标准判断所述Kerberos协议流量中第三字段的值是否为第三目标值;
若所述第三字段的值为所述第三目标值,则统计第一预设时间内所述Kerberos协议流量的第一生成频率;
判断所述第一生成频率是否大于所述第一频率字段合法标准对应的第一频率阈值;
若所述第一生成频率大于所述第一频率阈值,则判定所述目标流量不符合第三字段合法标准,未通过第三字段合法性检测。
可选地,所述利用所述字段合法标准对所述目标流量进行至少一项字段合法性检测,包括:
按照所述SMB协议流量对应的第四字段合法标准判断所述SMB协议流量是否调用了DCERPC协议;
若所述SMB协议流量调用了所述DCERPC协议,则判断所述DCERPC协议是否调用了SAMR协议;
若所述DCERPC协议调用了所述SAMR协议,则判断所述SAMR协议中第四字段的值是否为第四目标值;
若所述第四字段的值为所述第四目标值,则统计所述SMB协议流量在第二预设时间内源IP对应的第二生成频率;
判断所述SMB协议流量的第二生成频率是否大于所述第二频率字段合法标准对应的第二频率阈值;
若所述第二生成频率大于所述第二频率阈值,则判定所述目标流量不符合第四字段合法标准,未通过第四字段合法性检测。
可选地,所述判断所述目标流量是否为合法流量,包括:
统计所述目标流量对应的字段合法性检测通过数,判断所述合法性检测通过数是否大于预设阈值;
若是,则判定所述目标流量为所述合法流量;
若否,则判定所述目标流量不为所述合法流量。
可选地,还包括:
在确定所述AD域中出现所述非法探测事件之后,执行预设报警操作。
本发明还提供了一种非法探测事件检测装置,包括:
获取模块,用于获取AD域中的目标流量,确定所述目标流量对应的字段合法标准;
判断模块,用于利用所述字段合法标准对所述目标流量进行至少一项字段合法性检测,判断所述目标流量是否为合法流量;
非法探测事件确定模块,用于若所述目标流量不为所述合法流量,则确定所述AD域内出现非法探测事件。
本发明还提供了一种非法探测事件检测设备,包括存储器和处理器,其中:
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序,以实现上述的非法探测事件检测方法。
本发明还提供了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现上述的非法探测事件检测方法。
本发明提供的非法探测事件检测方法,获取AD域中的目标流量,确定目标流量对应的字段合法标准。利用字段合法标准对目标流量进行至少一项字段合法性检测,判断目标流量是否为合法流量。若目标流量不为合法流量,则确定AD域内出现非法探测事件。
可见,该方法设置有字段合法标准,可以通过流量中的字段判断流量的合法性,在获取AD域中的目标流量后,按照字段合法标准对其进行至少一项字段合法性检测,判断目标流量是否为合法流量。在判定目标流量不为合法流量时即可确定AD域内出现非法探测事件。通过对目标流量进行获取,利用包括字段合法标准的字段合法标准对AD域中的目标流量进行检测,可以从流量中字段的内容判断AD域内是否发生非法探测事件,提高了对AD域内非法探测事件的检测能力,解决了现有检测技术的检测能力有限的问题。
此外,本发明还提供了一种非法探测事件检测装置、非法探测事件检测设备及计算机可读存储介质,同样具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种非法探测事件检测方法流程图;
图2为本发明实施例提供的另一种非法探测事件检测方法流程图;
图3为本发明实施例提供的另一种非法探测事件检测方法流程图;
图4为本发明实施例提供的一种非法探测事件检测装置的结构示意图;
图5为本发明实施例提供的一种非法探测事件检测设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
请参考图1,图1为本发明实施例提供的一种非法探测事件检测方法流程图。该方法包括:
S101:获取AD域中的目标流量,确定所述目标流量对应的字段合法标准。
AD域(Active Directory)用于对域内的多台主机进行集中式管理,可以将曾经需要在多台客户端上重复进行的多次设置,转化为在AD域控制器上的一次设置,很大程度上减少了管理员的工作量。为了保证及时准确地检测到AD域内的非法探测时间,本发明实施例获取AD域内的目标流量,并确定目标流量对应的字段合法标准。
本实施例并不限定获取目标流量的具体时机,例如可以实时获取目标流量以进行后续步骤,实时对AD域进行非法探测事件检测;或者可以按照预设周期获取目标流量,预设周期的具体大小可以根据实际需要进行设置,例如为了提高AD域的安全性,可以预设周期设置的较短,或者为了减少计算资源的使用,防止对正常业务产生影响,则可以将预设周期设置的较长。需要说明的是,目标流量的具体内容本实施例不做限定,目标流量可以为AD域内的所有流量,也可以为AD域中的部分流量。目标流量可以仅包括一种流量,也可以由多种流量组成,即将AD域内的多种流量确定为目标流量。目标流量的具体确定方式本实施例不做限定,可以根据实际需要对目标流量进行确定,例如入侵者在进行非法探测时一定会改变A类流量,则将A类流量确定为目标流量;或者当入侵者在进行非法探测时可能会改变B类流量,为了提高检测精度,可以将B类流量确定为目标流量。当然,目标流量的种类越多,整个检测过程所需时间越长,而检测的准确率越高。
字段合法标准与目标流量相对应,其具体内容与目标流量的流量种类相关,需要说明的是,字段合法标准可以由操作人员或用户根据实际需要进行自定义,定义的范围可以包括需要检测的字段具体为哪些字段,这些字段的合法值和非法值分别为什么,本实施例对字段合法标准的局具体内容不做限定。利用字段合法标准可以对目标流量进行字段合法性检测,即检测流量中的字段是否合法,以便判断目标流量是否合法,进而判断是否发生了非法探测事件。需要说明的是,字段合法标准还可以用于对目标流量的其他特性进行检测,具体检测内容与对应的流量的特性相关。目标流量可以对应一项或多项字段合法标准,具体的,当目标流量仅包括一类流量时,该类流量可以对应一项字段合法标准,该类流量也可以对应多项字段合法标准;当目标流量包括多类流量时,由于各类流量对应的字段合法标准不同,因此目标流量对应多项字段合法标准,目标流量包括的各类流量可以分别对应于一项或多项字段合法标准。在本发明实施例中,对于确定目标流量的字段合法标准的具体过程本实施例不做限定,例如可以获取目标流量内流量的名称,根据该名称确定对应的字段合法标准;或者可以对各类流量进行编号,利用目标流量内流量的编号确定对应的字段合法标准。
S102:利用字段合法标准对目标流量进行至少一项字段合法性检测,判断目标流量是否为合法流量。
在确定字段合法标准后,利用字段合法标准对目标流量进行字段合法性检测,以便判断目标流量是否为合法流量。需要说明的是,字段合法性检测至少为一项,字段合法性检测的项数与字段合法标准的项数相同,例如当目标流量包括一类流量,对应的字段合法标准包括三项标准时,则需要对该目标流量进行三项字段合法性检测;或者当目标流量包括A类流量和B类流量,A类流量对应两项字段合法标准,B类流量对应一项字段合法标准时,则对A类流量进行两项字段合法性检测,对B类流量进行一项字段合法性检测,即共进行了三项字段合法性检测。
判断目标流量是否为合法流量的步骤可以在字段合法性检测的过程中进行,也可以在所有字段合法性检测均结束后进行。具体的,为了提高检测效率,防止计算资源的浪费,同时为了提高AD域内的安全性,可以在每进行一项字段合法性检测后,判断目标流量是否通过该字段合法性检测,若目标流量未通过,则可以确定该目标流量不为合法流量,停止字段合法性检测,若通过,则继续字段合法性检测;或者为了降低误检率,防止产生大量的误报,则可以完成所有字段合法性检测,在完成后根据检测结果判断目标流量是否为合法流量,并执行后续步骤。
当判定目标流量为合法流量时,可以进入S104步骤;当判定目标流量不为合法流量时,可以进入S103步骤。
S103:确定AD域内出现非法探测事件。
在判定目标流量不为合法流量时,则说明AD域内的流量出现异常,确定AD域内出现非法探测事件,即检测到AD域内的非法探测事件。
进一步,在确定AD域内出现非法探测事件后,可以执行预设报警操作,预设报警操作的具体内容本实施例不做限定,例如可以为输出报警信息,报警信息可以为文字信息或音频信息。预设报警操作还可以包括其他操作,本实施例对此不做限定。
S104:预设操作。
在判定目标流量为合法流量后,说明AD域内没有发生非法探测事件,因此可以执行预设操作,例如输出安全通知,或者可以为无操作,即不执行任何操作。
应用本发明实施例提供的非法探测事件检测方法,设置有字段合法标准,可以通过流量中的字段判断流量的合法性,在获取AD域中的目标流量后,按照字段合法标准对其进行至少一项字段合法性检测,判断目标流量是否为合法流量。在判定目标流量不为合法流量时即可确定AD域内出现非法探测事件。通过对目标流量进行获取,利用包括字段合法标准的字段合法标准对AD域中的目标流量进行检测,可以从流量中字段的内容判断AD域内是否发生非法探测事件,提高了对AD域内非法探测事件的检测能力,解决了现有检测技术的检测能力有限的问题。
实施例二:
基于上述实施例,为了提高检测效率,减少计算资源的使用,本发明实施例对对AD域中的流量进行过滤并进行后续操作。具体请参考图2,图2为本发明实施例提供的另一种非法探测事件检测方法流程图,包括:
S201:获取AD域中所有的流量。
在本发明实施例中,为了提高检测效率,目标流量并不为AD域中的所有流量。具体的,在对目标流量进行字段合法性检测池之前,先获取AD域内的所有流量,以便获取目标流量。
S202:对流量进行过滤,得到DNS协议流量、Kerberos协议流量和SMB协议流量。
在获取AD域内所有的流量后,对流量进行过滤,得到一种或多种流量。在本发明实施例中,为了保证检测准确率,对检测效果较差的流量进行过滤排除,得到NDS协议流量、Kerberos协议流量和SMB协议流量。
DNS是域名系统(Domain Name System)的缩写,其对应的协议为DNS协议。域名系统用于命名组织到域层次结构中的计算机和网络服务。域名是由圆点分开一串单词或缩写组成的,每一个域名都对应一个惟一的IP地址,在Internet上域名与IP地址之间是一一对应的,DNS就是进行域名解析的服务器。DNS命名用于Internet等TCP/IP网络中,通过用户友好的名称查找计算机和服务。DNS是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库。DNS协议对应的流量即为DNS协议流量,利用DNS协议流量可以进行DNS探测检测,DNS探测即为利用DNS协议探测AD域内包括哪些主机的行为。
Kerberos协议是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。利用Kerberos协议流量可以对账户枚举行为进行检测,账户枚举行为即利用Kerberos协议探测AD域内包含哪些账户的行为。
SMB协议(Server Message Block)为一种局域网文件共享传输协议,常被用来作为共享文件安全传输研究的平台。目前的SMB协议中采用控制文件安全传输的机制是使用客户身份验证的方式,该方式通过客户端向服务器端发送验证密码来获取文件传输的权限,不过目前针对该机制的网络攻击相对严重,攻击程序通过对验证密码的截获来窃取文件的访问权限,局域网下文件传输的安全性得不到保障。利用SMB协议流量可以对SMB会话枚举行为和目录查询行为进行检测,SMB会话枚举行为即利用SMB协议探测AD域内当前正在开启服务的主机的行为,目录查询行为为利用SMB协议探测AD域内包含哪些账户的行为。
S203:将DNS协议流量、Kerberos协议流量和SMB协议流量确定为目标流量。
在得到DNS协议流量、Kerberos协议流量和SMB协议流量后,将其确定为目标流量,具体的,可以对其进行标记,以便将其确定为目标流量。进一步,还需要确定各类流量分别对应的字段合法标准,以便利用字段合法标准进行对应的字段合法性检测。
S204:判断目标流量是否通过第一字段合法性检测。
在本发明实施例中,第一字段合法性检测对应于第一字段合法标准,第一字段合法标准对应的流量为DNS协议流量。当利用第一字段合法标准进行第一字段合法性检测时,利用字段合法标准对目标流量进行至少一项字段合法性检测的步骤,包括:
S2041:按照DNS协议流量对应的第一字段合法标准判断DNS协议流量中第一字段的值是否为第一目标值。
其中,第一字段合法标准用于对DNS协议流量中的第一字段进行检测。在本发明实施例中,第一字段合法标准规定第一字段为type字段,第一目标值为AXFR。若第一字段的值不为第一目标值,则说明该DNS协议流量为合法流量,符合第一字段合法标准,通过第一字段合法性检测;若第一字段的值为第一目标值,则说明DNS协议流量可能不为合法流量。
S2042:若第一字段的值为第一目标值,则判断DNS协议流量的目的IP是否为DNS主服务器IP。
在确定第一字段的值为第一目标值后,还需要进行二次判断,以便确定DNS协议流量是否为合法流量。二次判断过程分为两个步骤:对DNS协议流量的目的IP进行判断,以及对DNS协议流量的源IP进行判断。首先判断DNS协议流量的目的IP是否为DNS主服务器IP。当所述目的IP不为DNS主服务器IP时,即可确定DNS协议流量为合法流量,符合第一字段合法标准,通过第一字段合法性检测。
S2043:若DNS协议流量的目的IP为DNS主服务器IP,则判断DNS协议流量的源IP是否为DNS从服务器IP。
当DNS协议流量的目的IP为DNS主服务器IP时,说明DNS协议流量可能不为合法流量,因此判断DNS协议流量的源IP是否为DNS从服务器IP。若源IP为DNS从服务器IP,则确定DNS协议流量为合法流量,符合第一字段合法标准,通过第一字段合法性检测。
S2044:若源IP不为DNS从服务器IP,则判定目标流量不符合第一字段合法标准,未通过第一字段合法性检测。
若源IP不为DNS从服务器IP,说明入侵者在利用其控制的终端进行DNS探测行为,因此判定目标流量不符合第一字段合法标准,未通过第一字段合法性检测。
在本发明实施例中,为了提高检测效率,当确定目标流量不符合第一字段合法标准,则不执行后续检测步骤,进入S208步骤,即判定目标流量不为合法流量,若确定目标流量符合第一字段合法标准,则进入S205步骤。
S205:判断目标流量是否通过第二字段合法性检测。
在确定目标流量通过第一字段合法性检测后,即可进行第二字段合法性检测。在本发明实施例中,第二字段合法性检测对应于第二字段合法标准,第二字段合法标准对应的流量为SMB协议流量。当利用第二字段合法标准进行第二字段合法性检测时,利用字段合法标准对目标流量进行至少一次字段合法性检测的步骤,包括:
S2051:按照SMB协议流量对应的第二字段合法标准判断SMB协议流量是否调用了DCERPC协议。
其中,第二字段合法标准用于对SMB协议流量中的第二字段进行检测,判断SMB协议流量是否为合法流量。
在本发明实施例中,SMB协议流量包括多个字段,用于记录调用的协议类型等信息。若需要进行SMB会话枚举行为,则需要首先调用DCERPC协议。DCERPC协议全称为分布式计算环境远程过程调用协议,其为一种远程过程调用协议,RPC即为Remote ProcedureCall(远程过程调用)的缩写,DCE即为Distributed Computing Environment(分布式计算环境)的缩写。若未调用DCERPC协议,则说明SMB协议流量符合第二字段合法标准,通过第二字段合法性检测。
S2052:若SMB协议流量调用了DCERPC协议,则判断DCERPC协议是否调用了SRVSVC协议。
在确定调用了DCERPC协议后,还需要判断是否调用了SRVSVC协议。SRVSVC协议即为SERVER SERVICE协议。
进一步,为了提高判断效率,本发明实施例中优选的,将S2052步骤和S2053步骤进行统一,直接判断SMB协议流量是否调用了SRVSVC协议。具体的,可以通过查看UUID判断是否调用了SRVSVC协议。UUID(Universally Unique Identifier)为通用唯一识别码,当SMB协议流量的UUID字段中包括4B324FC8-1670-01D3-1278-5A47BF6EE188时,说明调用了SRVSVC协议。若未调用SRVSVC协议,则说明SMB协议流量符合第二字段合法标准,通过第二字段合法性检测。
S2053:若DCERPC协议调用了SRVSVC协议,则判断SRVSVC协议对应的第二字段的值是否为第二目标值。
若确定调用了SRVSVC协议,则判断SMB协议流量中的第二字段,即SRVSVC协议对应的第二字段的值是否为第二目标值。在本发明实施例中,第二字段合法标准规定第二字段为opnum字段,第二目标值为12。若第二字段的值不为第二目标值,说明未调用NetSessEnum方法,利用通过NetSessEnum方法发出的请求为NetSessEnum请求,该请求可以获取使用其IP地址和名称登录到远程系统的完整用户列表,即用于查看当前AD域内开启SMB协议的主机。
S2054:若第二字段的值为第二目标值,则判定目标流量不符合第二字段合法标准,未通过第二字段合法性检测。
若第二字段的值为第二目标值,则确定调用了NetSessEnum方法,出现了SMB会话枚举行为,因此判定目标流量不符合第二字段合法标准,未通过第二字段合法性检测。
在本发明实施例中,为了提高检测效率,当确定目标流量不符合第二字段合法标准,则不执行后续检测步骤,进入S208步骤,即判定目标流量不为合法流量,若确定目标流量符合第二字段合法标准,则进入S206步骤。
S206:判断目标流量是否通过第三字段合法性检测。
在确定目标流量通过第二字段合法性检测后,即可进行第三字段合法性检测。在本发明实施例中,第三字段合法性检测对应于第三字段合法标准,第三字段合法标准对应的流量为Kerberos协议流量。当利用第三字段合法标准进行第三字段合法性检测时,利用字段合法标准对目标流量进行至少一次字段合法性检测的步骤,包括:
S2061:按照Kerberos协议流量对应的第三字段合法标准判断Kerberos协议流量中第三字段的值是否为第三目标值。
其中,第三字段合法标准用于对Kerberos协议流量中的第三字段进行检测。
在本发明实施例中,第三字段合法标准规定第三字段为AS-KEP字段或code字段。当第三字段为AS-KEP字段时,第三目标值为KDC_ERR_C_PRINCIPAL_UNKNOWN或KRB5KDC_ERR_PREAUTH_REQUIRED;当第三字段为code字段时,第三目标值为6或25。若第三字段的值不为第三目标值,则说明Kerberos协议流量符合第三合法规则,通过第三字段合法性检测。
S2062:若第三字段的值为第三目标值,则统计第一预设时间内Kerberos协议流量的第一生成频率。
若第三字段的值为第三目标值,则说明Kerberos协议流量可能不为合法流量。因此统计第一预设时间内Kerberos协议流量的第一生成频率。第一预设时间的具体大小本实施例不做限定。
S2063:判断第一生成频率是否大于第一频率字段合法标准对应的第一频率阈值。
在得到第一生成频率后,判断其是否大于第一频率字段合法标准对应的第一频率阈值。若第一生成频率小于第一频率阈值,则说明符合第三字段合法标准,通过第三字段合法性检测。
S2064:若第一生成频率大于第一频率阈值,则判定目标流量不符合第三字段合法标准,未通过第三字段合法性检测。
若第一生成频率大于第一频率阈值,则说明出现了账户枚举行为,因此判定目标流量不符合第三字段合法标准,未通过第三字段合法性检测。
在本发明实施例中,为了提高检测效率,当确定目标流量不符合第三字段合法标准,则不执行后续检测步骤,进入S208步骤,即判定目标流量不为合法流量,若确定目标流量符合第三字段合法标准,则进入S207步骤。
S207:判断目标流量是否通过第四字段合法性检测。
在确定目标流量通过第三字段合法性检测后,即可进行第四字段合法性检测。在本发明实施例中,第四字段合法性检测对应于第四字段合法标准,第四字段合法标准对应的流量为SMB协议流量。当利用第四字段合法标准进行第四字段合法性检测时,利用字段合法标准对目标流量进行至少一项字段合法性检测的步骤,包括:
S2071:按照SMB协议流量对应的第四字段合法标准判断SMB协议流量是否调用了DCERPC协议。
其中,第四字段合法标准用于对SMB协议流量中的第四字段进行检测。在本发明实施例中,SMB协议流量包括多个字段,用于记录调用的协议类型等信息。若需要进行SMB会话枚举行为,则需要首先调用DCERPC协议。若未调用DCERPC协议,则说明SMB协议流量符合第四字段合法标准,通过第四字段合法性检测。
S2072:若SMB协议流量调用了DCERPC协议,则判断DCERPC协议是否调用了SAMR协议。
在确定调用了DCERPC协议后,还需要判断是否调用了SAMR协议。其中,SAMR协议为安全帐户管理器远程(Security Account Manager Remote)协议。
进一步,为了提高判断效率,本发明实施例中优选的,将S2072步骤和S2073步骤进行统一,直接判断SMB协议流量是否调用了SAMR协议。具体的,可以通过查看UUID判断是否调用了SAMR协议。当SMB协议流量的UUID字段中包括12345778-1234-ABCD-EF00-0123456789AC时,说明调用了SAMR协议。若未调用SAMR协议,则说明SMB协议流量符合第四字段合法标准,通过第四字段合法性检测。
S2073:若DCERPC协议调用了SAMR协议,则判断SAMR协议中第四字段的值是否为第四目标值。
在本发明实施例中,第四合法字段规定的第四字段为opnum字段,第四目标值可以为一个或多个,具体可以根据实际需要进行设置,例如为5,或者为8。当第四字段的值不为第四目标值时,则说明SMB协议流量符合第四字段合法标准,通过第四字段合法性检测。
S2074:若第四字段的值为第四目标值,则统计SMB协议流量在第二预设时间内源IP对应的第二生成频率。
需要说明的是,第二生成频率为该SMB协议流量的源IP在第二预设时间内生成SMB协议流量的频率。具体的,第二预设事件的具体大小本实施例不做限定,在实际应用中,由于目录查询功能并不是AD域内经常被使用的功能,因此可以将第二预设事件设置的较大,例如可以设置为一周。
S2075:判断SMB协议流量的第二生成频率是否大于第二频率字段合法标准对应的第二频率阈值。
在得到第二生成频率后,判断其是否大于第二频率字段合法标准对应的第二频率阈值,若不大于第二频率阈值,则说明SMB协议流量符合第四字段合法标准,通过第四字段合法性检测。
S2076:若第二生成频率大于第二频率阈值,则判定目标流量不符合第四字段合法标准,未通过第四字段合法性检测。
若第二生成频率大于第二频率阈值,则说明出现目录查询行为,可以判定目标流量不符合第四字段合法标准,未通过第四字段合法性检测。
S208:判定目标流量不为合法流量。
需要说明的是,为了提高检测效率,同时保证检测准确率,在任一项字段合法性检测未通过时均不进行后续检测,同时判定目标流量不为合法流量。
S209:判定目标流量为合法流量。
在所有字段合法性检测均通过时,即可确定目标流量为合法流量。
应用本发明实施例提供的非法探测事件检测方法,对AD域内的所有流量进行过滤得到目标流量,并利用目标流量按照串行顺序进行各项字段合法性检测。在任一项字段合法性检测未通过时均不进行后续检测,同时判定目标流量不为合法流量,可以提高检测效率,保证检测准确率。需要说明的是,本发明实施例仅为一种具体的实施方式,S204步骤、S205步骤、S206步骤和S207步骤的顺序可以改变,例如可以先执行S205步骤,再执行S207步骤,再执行S204步骤,最后执行S206步骤。或者还可以删除其中一个或多个步骤,例如可以删除S205步骤。
实施例三:
基于上述实施例,为了提高检测效率,同时保证检测的准确性,本发明实施例采用并行检测的方法对目标流量进行检测。具体请参考图3,图3为本发明实施例提供的另一种非法探测事件检测方法流程图,包括:
为了提高检测效率,同时为了保证检测准确率,本发明实施例采用并行检测的方法对目标流量进行检测。具体的,在对目标流量进行检测时,同时对目标流量进行多项字段合法性检测。本发明实施例中,字段合法性检测分为四项,具体为第一字段合法性检测、第二字段合法性检测、第三字段合法性检测和第四字段合法性检测。在开始对目标流量进行检测后同时对目标流量进行四项字段合法性检测,得到检测结果。具体的检测过程请参考实施例二中的记载,本实施例在此不再赘述。
S301:统计目标流量对应的合法性检测通过数,判断合法性检测通过数是否大于预设阈值。
在各项字段合法性检测均结束后,统计目标流量对应的合法性检测通过数,即按照检测结果统计目标流量通过的字段合法性检测数量。在得到合法性检测通过数后,判断是否大于预设阈值。需要说明的是,预设阈值用于调整检测精度。预设阈值为正整数,预设阈值越大,说明目标流量被判定为合法流量时需要通过的字段合法性检测项数越多。
S302:判定目标流量不为合法流量。
当合法性检测通过数不大于预设阈值时,说明目标流量不为合法流量。
S303:判定目标流量为合法流量。
当合法性检测通过数大于预设阈值时,说明目标流量为合法流量。
实施例四:
下面对本发明实施例提供的非法探测事件检测装置进行介绍,下文描述的非法探测事件检测装置与上文描述的非法探测事件检测方法可相互对应参照。
请参考图4,图4为本发明实施例提供的一种非法探测事件检测装置的结构示意图,包括:
获取模块410,用于获取AD域中的目标流量,确定目标流量对应的字段合法标准;
判断模块420,用于利用字段合法标准对目标流量进行至少一项字段合法性检测,判断目标流量是否为合法流量;
非法探测事件确定模块430,用于若目标流量不为合法流量,则确定AD域内出现非法探测事件。
可选地,获取模块410,包括:
流量获取单元,用于获取AD域中所有的流量;
过滤单元,用于对流量进行过滤,得到DNS协议流量、Kerberos协议流量和SMB协议流量;
确定单元,用于将DNS协议流量、Kerberos协议流量和SMB协议流量确定为目标流量。
可选地,判断模块420,包括:
第一目标值判断单元,用于按照DNS协议流量对应的第一字段合法标准判断DNS协议流量中第一字段的值是否为第一目标值;
第一IP判断单元,用于若第一字段的值为第一目标值,则判断DNS协议流量的目的IP是否为DNS主服务器IP;
第二IP判断单元,用于若DNS协议流量的目的IP为DNS主服务器IP,则判断DNS协议流量的源IP是否为DNS从服务器IP;
第一确定单元,用于若源IP不为DNS从服务器IP,则判定目标流量不符合第一字段合法标准,未通过第一字段合法性检测。
可选地,判断模块420,包括:
第一协议判断单元,用于按照SMB协议流量对应的第二字段合法标准判断SMB协议流量是否调用了DCERPC协议;
第二协议判断单元,用于若SMB协议流量调用了DCERPC协议,则判断DCERPC协议是否调用了SRVSVC协议;
第二目标值判断单元,用于若DCERPC协议调用了SRVSVC协议,则判断SRVSVC协议对应的第二字段的值是否为第二目标值;
第二确定单元,用于若第二字段的值为第二目标值,则判定目标流量不符合第二字段合法标准,未通过第二字段合法性检测。
可选地,判断模块420,包括:
第三目标值判断单元,用于按照Kerberos协议流量对应的第三字段合法标准判断Kerberos协议流量中第三字段的值是否为第三目标值;
第一频率统计单元,用于若第三字段的值为第三目标值,则统计第一预设时间内Kerberos协议流量的第一生成频率;
第一频率判断单元,用于判断第一生成频率是否大于第一频率字段合法标准对应的第一频率阈值;
第三确定单元,用于若第一生成频率大于第一频率阈值,则判定目标流量不符合第三字段合法标准,未通过第三字段合法性检测。
可选地,判断模块420,包括:
第三协议判断单元,用于按照SMB协议流量对应的第四字段合法标准判断SMB协议流量是否调用了DCERPC协议;
第四协议判断单元,用于若SMB协议流量调用了DCERPC协议,则判断DCERPC协议是否调用了SAMR协议;
第四目标值判断单元,用于若DCERPC协议调用了SAMR协议,则判断SAMR协议中第四字段的值是否为第四目标值;
第二频率统计单元,用于若第四字段的值为第四目标值,则统计SMB协议流量在第二预设时间内源IP对应的第二生成频率;
第二频率判断单元,用于判断SMB协议流量的第二生成频率是否大于第二频率字段合法标准对应的第二频率阈值;
第四确定单元,用于若第二生成频率大于第二频率阈值,则判定目标流量不符合第四字段合法标准,未通过第四字段合法性检测。
可选地,判断模块420,包括:
通过数判断单元,用于统计目标流量对应的合法性检测通过数,判断合法性检测通过数是否大于预设阈值;
合法流量确定单元,用于若是,则判定目标流量为合法流量;
不合法流量确定单元,用于若否,则判定目标流量不为合法流量。
可选地,还包括:
报警模块,用于在确定AD域中出现非法探测事件之后,执行预设报警操作。
应用本发明实施例提供的非法探测事件检测装置,设置字段合法标准,可以通过流量中的字段判断流量的合法性,在利用获取模块410获取AD域中的目标流量后,利用判断模块420按照字段合法标准对其进行至少一项字段合法性检测,判断目标流量是否为合法流量。并利用非法探测时间确定模块430在判定目标流量不为合法流量时即可确定AD域内出现非法探测事件。通过对目标流量进行获取,利用包括字段合法标准的字段合法标准对AD域中的目标流量进行检测,可以从流量中字段的内容判断AD域内是否发生非法探测事件,提高了对AD域内非法探测事件的检测能力,解决了现有检测技术的检测能力有限的问题。
实施例五:
下面对本发明实施例提供的非法探测事件检测设备进行介绍,下文描述的非法探测事件检测设备与上文描述的非法探测事件检测方法可相互对应参照。
请参考图5,图5为本发明实施例所提供的一种非法探测事件检测设备的结构示意图。其中非法探测事件检测设备500可以包括处理器501和存储器502,还可以进一步包括多媒体组件503、信息输入/信息输出(I/O)接口504以及通信组件505中的一种或多种。
其中,处理器501用于控制非法探测事件检测设备500的整体操作,以完成上述的非法探测事件检测方法中的全部或部分步骤;存储器502用于存储各种类型的数据以支持在非法探测事件检测设备500的操作,这些数据例如可以包括用于在该非法探测事件检测设备500上操作的任何应用程序或方法的指令,以及应用程序相关的数据,例如第一频率阈值、第二频率阈值。该存储器502可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,SRAM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、只读存储器(Read-Only Memory,ROM)、磁存储器、快闪存储器、磁盘或光盘中的一种或多种。
多媒体组件503可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器502或通过通信组件505发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口504为处理器501和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件505用于非法探测事件检测设备500与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near Field Communication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件705可以包括:Wi-Fi部件,蓝牙部件,NFC部件。
非法探测事件检测设备500可以被一个或多个应用专用集成电路(ApplicationSpecific Integrated Circuit,简称ASIC)、数字信号处理器(Digital SignalProcessor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述实施例给出的密文数据的访问方法。
实施例六:
下面对本发明实施例提供的计算机可读存储介质进行介绍,下文描述的计算机可读存储介质与上文描述的非法探测事件检测方法可相互对应参照。
本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述的非法探测事件检测方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应该认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系属于仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语包括、包含或者其他任何变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
以上对本发明所提供的非法探测事件检测方法、非法探测事件检测装置、非法探测事件检测设备和计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种非法探测事件检测方法,其特征在于,包括:
获取AD域中的目标流量,确定所述目标流量对应的字段合法标准;
利用所述字段合法标准对所述目标流量进行至少一项字段合法性检测,判断所述目标流量是否为合法流量;
若所述目标流量不为所述合法流量,则确定所述AD域内出现非法探测事件;
其中,所述判断所述目标流量是否为合法流量,包括:统计所述目标流量对应的字段合法性检测通过数,判断所述合法性检测通过数是否大于预设阈值;若是,则判定所述目标流量为所述合法流量;若否,则判定所述目标流量不为所述合法流量。
2.根据权利要求1所述的非法探测事件检测方法,其特征在于,所述获取AD域中的目标流量,包括:
获取所述AD域中所有的流量;
对所述流量进行过滤,得到DNS协议流量、Kerberos协议流量和SMB协议流量;
将所述DNS协议流量、所述Kerberos协议流量和所述SMB协议流量确定为所述目标流量。
3.根据权利要求2所述的非法探测事件检测方法,其特征在于,所述利用所述字段合法标准对所述目标流量进行至少一项字段合法性检测,包括:
按照所述DNS协议流量对应的第一字段合法标准判断所述DNS协议流量中第一字段的值是否为第一目标值;
若所述第一字段的值为所述第一目标值,则判断所述DNS协议流量的目的IP是否为DNS主服务器IP;
若所述DNS协议流量的目的IP为所述DNS主服务器IP,则判断所述DNS协议流量的源IP是否为DNS从服务器IP;
若所述源IP不为所述DNS从服务器IP,则判定所述目标流量不符合第一字段合法标准,未通过第一字段合法性检测。
4.根据权利要求2所述的非法探测事件检测方法,其特征在于,所述利用所述字段合法标准对所述目标流量进行至少一项字段合法性检测,包括:
按照所述SMB协议流量对应的第二字段合法标准判断所述SMB协议流量是否调用了DCERPC协议;
若所述SMB协议流量调用了所述DCERPC协议,则判断所述DCERPC协议是否调用了SRVSVC协议;
若所述DCERPC协议调用了所述SRVSVC协议,则判断所述SRVSVC协议对应的第二字段的值是否为第二目标值;
若所述第二字段的值为所述第二目标值,则判定所述目标流量不符合第二字段合法标准,未通过第二字段合法性检测。
5.根据权利要求2所述的非法探测事件检测方法,其特征在于,所述利用所述字段合法标准对所述目标流量进行至少一项字段合法性检测,包括:
按照所述Kerberos协议流量对应的第三字段合法标准判断所述Kerberos协议流量中第三字段的值是否为第三目标值;
若所述第三字段的值为所述第三目标值,则统计第一预设时间内所述Kerberos协议流量的第一生成频率;
判断所述第一生成频率是否大于第一频率字段合法标准对应的第一频率阈值;
若所述第一生成频率大于所述第一频率阈值,则判定所述目标流量不符合第三字段合法标准,未通过第三字段合法性检测。
6.根据权利要求2所述的非法探测事件检测方法,其特征在于,所述利用所述字段合法标准对所述目标流量进行至少一项字段合法性检测,包括:
按照所述SMB协议流量对应的第四字段合法标准判断所述SMB协议流量是否调用了DCERPC协议;
若所述SMB协议流量调用了所述DCERPC协议,则判断所述DCERPC协议是否调用了SAMR协议;
若所述DCERPC协议调用了所述SAMR协议,则判断所述SAMR协议中第四字段的值是否为第四目标值;
若所述第四字段的值为所述第四目标值,则统计所述SMB协议流量在第二预设时间内源IP对应的第二生成频率;
判断所述SMB协议流量的第二生成频率是否大于第二频率字段合法标准对应的第二频率阈值;
若所述第二生成频率大于所述第二频率阈值,则判定所述目标流量不符合第四字段合法标准,未通过第四字段合法性检测。
7.根据权利要求1所述的非法探测事件检测方法,其特征在于,还包括:
在确定所述AD域中出现所述非法探测事件之后,执行预设报警操作。
8.一种非法探测事件检测装置,其特征在于,包括:
获取模块,用于获取AD域中的目标流量,确定所述目标流量对应的字段合法标准;
判断模块,用于利用所述字段合法标准对所述目标流量进行至少一项字段合法性检测,判断所述目标流量是否为合法流量;
非法探测事件确定模块,用于若所述目标流量不为所述合法流量,则确定所述AD域内出现非法探测事件;
其中,判断模块包括:
通过数判断单元,用于统计目标流量对应的合法性检测通过数,判断合法性检测通过数是否大于预设阈值;
合法流量确定单元,用于若是,则判定目标流量为合法流量;
不合法流量确定单元,用于若否,则判定目标流量不为合法流量。
9.一种非法探测事件检测设备,其特征在于,包括存储器和处理器,其中:
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的非法探测事件检测方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的非法探测事件检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010146514.3A CN113364725B (zh) | 2020-03-05 | 2020-03-05 | 一种非法探测事件检测方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010146514.3A CN113364725B (zh) | 2020-03-05 | 2020-03-05 | 一种非法探测事件检测方法、装置、设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113364725A CN113364725A (zh) | 2021-09-07 |
CN113364725B true CN113364725B (zh) | 2023-02-03 |
Family
ID=77523655
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010146514.3A Active CN113364725B (zh) | 2020-03-05 | 2020-03-05 | 一种非法探测事件检测方法、装置、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113364725B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113014574B (zh) * | 2021-02-23 | 2023-07-14 | 深信服科技股份有限公司 | 一种域内探测操作检测方法、装置及电子设备 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102307099A (zh) * | 2011-09-06 | 2012-01-04 | 北京星网锐捷网络技术有限公司 | 认证方法、系统及认证服务器 |
WO2016178088A2 (en) * | 2015-05-07 | 2016-11-10 | Cyber-Ark Software Ltd. | Systems and methods for detecting and reacting to malicious activity in computer networks |
US10630706B2 (en) * | 2015-10-21 | 2020-04-21 | Vmware, Inc. | Modeling behavior in a network |
GB201603304D0 (en) * | 2016-02-25 | 2016-04-13 | Darktrace Ltd | Cyber security |
JPWO2019181005A1 (ja) * | 2018-03-19 | 2021-03-11 | 日本電気株式会社 | 脅威分析システム、脅威分析方法および脅威分析プログラム |
-
2020
- 2020-03-05 CN CN202010146514.3A patent/CN113364725B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN113364725A (zh) | 2021-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10574698B1 (en) | Configuration and deployment of decoy content over a network | |
US10891383B2 (en) | Validating computer resource usage | |
US8122493B2 (en) | Firewall based on domain names | |
US11696110B2 (en) | Distributed, crowdsourced internet of things (IoT) discovery and identification using Block Chain | |
US7331059B2 (en) | Access restriction control device and method | |
US9712532B2 (en) | Optimizing security seals on web pages | |
US8375425B2 (en) | Password expiration based on vulnerability detection | |
US10542044B2 (en) | Authentication incident detection and management | |
EP2113858A1 (en) | Remotable information cards | |
US20150281239A1 (en) | Provision of access privileges to a user | |
CN112165454B (zh) | 访问控制方法、装置、网关和控制台 | |
WO2006073784A2 (en) | System, apparatuses, and method for linking and advising of network events related to resource access | |
US9059987B1 (en) | Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network | |
KR20060134925A (ko) | 확장가능하고 안전한 원격 데스크탑 접근을 위한 방법 및장치 | |
US8949599B2 (en) | Device management apparatus, method for device management, and computer program product | |
CN112738100A (zh) | 数据访问的鉴权方法、装置、鉴权设备和鉴权系统 | |
CN111800426A (zh) | 应用程序中原生代码接口的访问方法、装置、设备及介质 | |
CN113364725B (zh) | 一种非法探测事件检测方法、装置、设备及可读存储介质 | |
CN110351719B (zh) | 一种无线网络管理方法、系统及电子设备和存储介质 | |
KR100813395B1 (ko) | 인스턴트 메신저 기반의 원격서버 감시시스템 및 방법 | |
CN114547599A (zh) | 基于ldap实体数据的域内安全扫描方法 | |
JP2005328373A (ja) | ネットワークセキュリティシステム | |
CN113992437A (zh) | 一种Modbus设备的访问控制管理方法、装置及系统 | |
CN112235437B (zh) | 防御恶意添加解析域名的方法、装置、设备及存储介质 | |
CN117061248B (zh) | 一种用于数据共享的数据安全保护方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |