CN114205110A - Ad域威胁检测方法、装置及电子设备 - Google Patents
Ad域威胁检测方法、装置及电子设备 Download PDFInfo
- Publication number
- CN114205110A CN114205110A CN202111290735.9A CN202111290735A CN114205110A CN 114205110 A CN114205110 A CN 114205110A CN 202111290735 A CN202111290735 A CN 202111290735A CN 114205110 A CN114205110 A CN 114205110A
- Authority
- CN
- China
- Prior art keywords
- domain
- entity data
- log
- domain control
- threat detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 65
- 230000008520 organization Effects 0.000 claims abstract description 12
- 238000000034 method Methods 0.000 claims description 32
- 230000006399 behavior Effects 0.000 claims description 29
- 230000008859 change Effects 0.000 claims description 26
- 238000003860 storage Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 18
- 230000015556 catabolic process Effects 0.000 claims description 5
- 238000006731 degradation reaction Methods 0.000 claims description 5
- 238000012512 characterization method Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 description 21
- 238000010586 diagram Methods 0.000 description 16
- 238000012545 processing Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 239000003795 chemical substances by application Substances 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 230000010076 replication Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000005336 cracking Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- 230000005236 sound signal Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005422 blasting Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000010897 surface acoustic wave method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请适用于信息安全技术领域,提供了AD域威胁检测方法、装置及电子设备。上述AD域威胁检测方法包括:获取AD域的实体数据,上述实体数据包括AD域内的用户、内网设备、组织单位和配置策略中至少一种对应的数据;获取AD域中域控设备的日志和/或流量;根据实体数据并结合所述域控设备的日志和/或流量,对AD域进行威胁检测,通过AD域的实体数据来加强AD域的威胁检测能力,能够提高对AD域威胁攻击检测的准确性。
Description
技术领域
本公开涉及信息安全技术领域,尤其涉及一种AD域威胁检测方法、装置及电子设备
背景技术
为了方便对内网设备的管理,通常为内网搭建AD(Active Directory,活动目录)域。AD域中可以包括域控设备和内网设备,域控设备可以为域控主机或域控服务器,内网设备可以为内网主机或内网服务器。通过域控设备可以对AD域中的内网设备进行集中式管理。其中,AD域存储了内网中用户帐户、组织机构、内网设备、策略等相关数据,通过这些数据可以让管理员对内网进行配置和管理。
在内网设备遭到攻击时,攻击者能够获取上述相关数据,进而对内网的核心系统/数据进行窃取或修改,因此对内网的威胁检测变得尤为重要。本申请发明人在研究中发现:传统的内网威胁检测方法大都是针对内网主机侧的检测,通过检测内网主机的日志以及流量以确定是否存在威胁。然而,越来越多的AD域攻击手法是针对AD域特有的性质设定的,传统的内网威胁检测方法并不能够有效检测到对AD域的攻击。
发明内容
有鉴于此,本公开提出了一种AD域威胁检测方法、装置及电子设备,能够提高对AD域的威胁攻击检测的准确性。
第一方面,本申请实施例提供了一种AD域威胁检测方法,包括:获取AD域的实体数据,上述实体数据包括AD域内的用户、内网设备、组织单位和配置策略中至少一种对应的数据;获取AD域中域控设备的日志和/或流量;根据上述实体数据并结合上述域控设备的日志和/或流量,对AD域进行威胁检测。
上述AD域威胁检测方法,获取AD域的实体数据以及域控设备的日志和/或流量,之后根据实体数据并结合域控设备的日志和/或流量,对AD域进行威胁检测,通过AD域的实体数据来加强AD域的威胁检测能力,更加符合AD域特有的性质,能够提高对AD域的威胁攻击检测的准确性。
结合第一方面,在一些可能的实现方式中,上述获取AD域的实体数据,包括:获取上述域控设备发送的AD域的实体数据;其中,域控设备在检测到AD域的实体数据发生变化时,向服务器发送变化后的实体数据。
结合第一方面,在一些可能的实现方式中,获取AD域中域控设备的日志,包括:采集域控设备的日志;或者,接收域控设备发送的域控设备的日志。
结合第一方面,在一些可能的实现方式中,获取AD域中域控设备的流量,包括:通过旁路或agent的方式采集域控设备的流量。
结合第一方面,在一些可能的实现方式中,上述根据所述实体数据并结合所述域控设备的日志和/或流量,对AD域进行威胁检测,包括:在域控设备的日志和/或流量发生预设变化时,根据上述实体数据确定是否存在威胁AD域安全的行为。
一种场景中,上述在域控设备的日志和/或流量发生预设变化时,根据上述实体数据确定是否存在威胁AD域安全的行为,包括:若域控设备的日志表征某一计算机被注册为域控设备时,检测上述实体数据的变化信息;若上述实体数据的变化信息与预设变化信息不同,则确定存在威胁AD域安全的行为;其中,上述预设变化信息表征计算机被合法注册为域控设备时的实体数据的变化信息。
又一种场景中,上述在所述域控设备的日志和/或流量发生预设变化时,根据上述实体数据确定是否存在威胁AD域安全的行为,包括:若域控设备的流量表征存在加密降级行为时,基于上述实体数据确定计算机的操作系统的版本;若确定出的操作系统的版本与预设版本不同,则确定存在威胁AD域安全的行为。
第二方面,本申请实施例提供了一种AD域威胁检测装置,包括:实体数据获取模块,用于获取AD域的实体数据,上述实体数据包括AD域内的用户、内网设备、组织单位和配置策略中至少一种对应的数据;日志流量获取模块,用于获取AD域中域控设备的日志和/或流量;威胁检测模块,用于根据上述实体数据并结合域控设备的日志和/或流量,对AD域进行威胁检测。
第三方面,本申请实施例提供了一种电子设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,上述处理器被配置为执行上述可执行指令时实现如第一方面任一项所述的方法。
第四方面,本申请实施例提供了一种非易失性计算机可读存储介质,其上存储有计算机程序指令,上述计算机程序指令被处理器执行时实现如第一方面任一项所述的方法。
第五方面,本申请实施例提供了一种计算机程序产品,包括计算机可读存储介质,其上载有用于使处理器实现本申请的各个方面的计算机可读程序指令;当计算机程序产品在电子设备上运行时,使得电子设备执行上述第一方面中任一项所述的方法。
可以理解的是,上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
附图说明
图1为本申请实施例提供的AD域威胁检测方法的应用场景示意图;
图2为本申请实施例提供的AD域威胁检测方法的流程示意图;
图3为本申请实施例提供的AD域威胁检测装置的流程示意图;
图4为本申请实施例提供的电子设备的结构示意图;
图5为本申请实施例提供的AD域威胁检测方法所适用于的服务器的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图对本发明的具体实施方式进行说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
图1示出了本申请实施例提供的AD域威胁检测方法的应用场景示意图。参见图1,该应用场景中包括AD域和电子设备(例如服务器)。服务器获取AD域的实体数据以及域控设备的日志和流量,之后根据实体数据并结合域控设备的日志和/或流量,对AD域进行威胁检测。其中,AD域的实体数据可以包括AD域内的用户、内网设备、组织单位和配置策略中至少一种对应的数据。
其中,可以通过域控传感器获取AD域的实体数据以及域控设备的日志和流量,也可以通过旁路传感器获取AD域的实体数据以及域控设备的日志和流量。
一种场景中,服务器可以与域控设备实时通信,注入域控设备中的域控传感器组件采集AD域的实体数据以及域控设备的日志和流量,并向服务器发送AD域的实体数据以及域控设备的日志和流量。其中,服务器和域控设备可以通过API(Application ProgrammingInterface,应用程序编程接口)接口传输数据。
对于AD域的实体数据,一些示例中,域控设备可以在检测到AD域的实体数据发生变更时,将实体数据发生变更的信息告知服务器,并向服务器发送变更后的实体数据。又一些示例中,域控设备可以将AD域的实体数据实时发送给服务器,由服务器检测实体数据是否发生变更。
对于域控设备的日志,一些示例中,服务器可以通过PAI接口主动采集域控设备的日志。又一些示例中,可以利用Windows自带的功能让域控设备向服务器转发域控设备的日志。
又一种场景中,服务器可以通过旁路或agent的方式采集域控设备的流量。
例如,可以建立AD域的旁路镜像(即上述旁路传感器),服务器与该旁路镜像通信连接,通过该旁路镜像采集域控设备的流量。
本申请实施例中,域控传感器可以为注入域控设备中的组件,旁路传感器可以为计算机等硬件设备,服务器可以为AD域中的服务器,也可以为AD域之外的服务器。
以下结合图1对本申请实施例中的AD域威胁检测方法进行说明。
图2示出了本申请实施例提供的AD域威胁检测方法。参见图2,对上述AD域威胁检测方法进行如下详述说明。
步骤201,获取AD域的实体数据。
本步骤中,上述实体数据可以包括AD域内的用户、内网设备、组织单位和配置策略中至少一种对应的数据。
其中,内网设备可以包括AD域中的内网主机和内网服务器,上述用户可以为AD域中存储的所有用户或部分用户。组织单位可以为内网设备之间组成的组织关系,例如一部分内网设备之间构成IT部门,一部分内网设备之间构成信息部门,一部分内网设备之间构成人事部门等。配置策略可以为域控设备下发的为某些内网设备进行配置的策略,例如改变某个组织结构的计算机桌面的策略等。
示例性的,上述实体数据可以包括AD域内的用户、内网设备、组织单位和配置策略中的任一种数据,也可以包括其中的至少两种数据,具体可以根据需要对AD域哪些攻击手法进行威胁识别而对应选择修改。
例如,对于一些对AD域的攻击手法,通过实体数据中的一种数据就能够识别出;对于一些对AD域的攻击手法,可能通过实体数据中的多种数据才能够识别出。因此,本领域技术人员可以根据实际需要对上述实体数据所包含的具体数据进行设定,均在本申请的保护范围之内。
一些实施例中,步骤201可以包括:获取域控设备发送的AD域的实体数据。其中,域控设备在检测到AD域的实体数据发生变化时,向服务器发送变化后的实体数据。
例如,服务器可以与域控设备实时通信,注入域控设备中的域控传感器组件采集AD域的实体数据,并向服务器发送AD域的实体数据。其中,服务器和域控设备可以通过API(Application Programming Interface,应用程序编程接口)接口传输上述实体数据。
一种场景中,域控设备可以在检测到AD域的实体数据发生变更时,将实体数据发生变更的信息告知服务器,并向服务器发送变更后的实体数据。
又一种场景中,域控设备可以将AD域的实体数据实时发送给服务器,由服务器检测实体数据是否发生变更。
例如,以DCShadow对AD域的攻击为例进行说明。
DCShadow是一种后期杀伤链攻击,它允许具有特权凭据的攻击者注册“流氓”域控制器,以便通过域复制将更改推送到域。这些注入的复制事件作为合法域复制被注册、处理和提交。这允许攻击者以一种非常难以检测的方式通过复制推送更改。之所以难以检测是因为这个攻击手法一切都是正常的,不会产生可被检测的点,它所有行为产生的日志都是正常的域控注册,流量都是正常的域内复制。
使用DCShadow攻击AD域,攻击者将通过更改AD域的配置架构和工作站的SPN(Service Principal name,服务器主体名称)值,将运行它的计算机(例如工作站)注册为AD域中的域控制器。注册完成后AD域认为该工作站是一个域控制器,它可以复制或更改诸如SIDHistory(域权限维持)、AdminSDHolder(域渗透)、密码、帐户详细信息、组成员身份等之类的信息。
在攻击者将上述计算机(例如工作站)注册为AD域中的域控制器时,AD域的实体数据会发生变更。此时,域控设备可以将实体数据发生变更的信息告知服务器,并向服务器发送变更后的实体数据。或者,域控设备可以将AD域的实体数据实时发送给服务器,由服务器检测实体数据是否发生变更。
步骤202,获取AD域中域控设备的日志和/或流量。
对于域控设备的日志,服务器可以主动采集域控设备的日志,或接收域控设备发送来的域控设备的日志。
例如,服务器可以与域控设备实时通信,服务器通过API接口主动采集AD域中域控设备的日志。
例如,服务器可以与域控设备实时通信,利用Windows自带的功能使域控设备向服务器转发域控设备的日志,服务器接收该域控设备的日志。其中,可以在域控设备的日志发生变化时,域控设备向服务器转发该日志;或者,域控设备实时向服务器转发域控设备的日志。
对于域控设备的流量,服务器可以通过旁路或agent的方式采集域控设备的流量。
例如,可以建立AD域的旁路镜像,服务器与该旁路镜像通信连接,通过该旁路镜像采集域控设备的流量。
例如,可以在域控设备中设置agent监控,采集域控设备的流量,域控设备将采集到的域控设备的流量发送给服务器。
步骤203,根据上述实体数据并结合域控设备的日志和/或流量,对AD域进行威胁检测。
若想要检测是否存在对AD域的攻击威胁,只是通过域控设备的日志和/或流量在很多情况下是无法检测到威胁的。其主要原因为:攻击者对AD域的攻击所产生的日志和流量在很多情况下都是正常的无法检测到异常,或者会检测到大量的告警而无法准确检测到威胁。基于此,本申请实施例中可以在域控设备的日志和/或流量的基础上,结合域控设备的实体数据来提高对AD域威胁攻击检测的准确性。
例如,可以在域控设备的日志和/或流量发生预设变化时,根据实体数据确定是否存在威胁AD域安全的行为。
其中,通过监控到域控设备的日志和/或流量发生预设变化时,说明可能存在对AD域的威胁攻击。此时,再通过实体数据来准确判定是否存在威胁AD域安全的攻击等行为。
一种场景中,若域控设备的日志表征某一计算机被注册为域控设备时,检测实体数据的变化信息;若实体数据的变化信息与预设变化信息不同,则确定存在威胁AD域安全的行为。其中,预设变化信息表征计算机被合法注册为域控设备时的实体数据的变化信息。
示例性的,攻击者采用DCShadow方式对AD域进行攻击时,通过域控设备的日志可以检测到某一计算机被注册为AD域的域控设备,而无法确定该计算机注册为域控设备这一行为是否合法。此时,可以在检测到域控设备的日志表征新的计算机被注册为域控设备时,通过比较实体数据的变化信息与预设变化信息是否相同(即检测实体数据的变化情况是否符合合法注册域控设备的相关要求),来确定是否存在威胁AD域安全的行为。例如,通过DCShadow的方式将计算机注册为域控设备对应的实体数据,相比于与合法计算机注册为域控所产生的实体数据是不完整的,基于此即可准确检测到威胁AD域安全的攻击等行为。
又一种场景中,若域控设备的流量表征存在加密降级行为时,基于实体数据确定计算机的操作系统的版本;若操作系统的版本与预设版本不同,则确定存在威胁AD域安全的行为。其中,该预设版本为与该加密降级行为对应的操作系统版本,若确定出的操作系统的版本高于该预设版本,则可以确定存在威胁AD域安全的行为。
示例性的,Kerberoasting是针对域控设备的最常见攻击之一。它用于使用蛮力技术破解Kerberos密码,在破解成功后可以在几个小时内破解NTLM(NT LAN Manager)哈希,并为提供明文密码,然后可以使用该密码攻击域控票等。Kerberoasting整个认证请求是正常的Kerberos协议的TGT和TGS,然后使用离线爆破。
攻击者采用Kerberoasting方式对AD域进行攻击时,在域控设备的日志上通常不会检测不到任何异常。而该攻击行为和正常的Kerberos请求相比会用RC4加密票据,Win7以上默认采用AES加密票据,但是WindowsXP及以下默认会采用RC4来加密票据。因此,通过流量来检测是否存在对AD域的攻击行为时,会产生大量的告警,其中包含很多误报,因此不能够准确确定是否存在对AD域的攻击行为。
此时可以结合AD域的实体数据和域控设备的流量确定是否存在对AD域的攻击行为。例如,在流量中检测到RC4的加密降级时,结合域内的实体数据来判断该操作系统是否为Win7及以上。若该操作系统为Win7及以上,则可以判定存在对AD域的攻击行为;若该操作系统为Win7以下(不含Win7),不判定存在对AD域的攻击行为。
上述AD域威胁检测方法,获取AD域的实体数据以及域控设备的日志和/或流量,之后根据实体数据并结合域控设备的日志和/或流量,对AD域进行威胁检测,通过AD域的实体数据来加强AD域的威胁检测能力,能够准确检测到对AD域的威胁攻击。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
对应于上文实施例所述的AD域威胁检测方法,图3示出了本申请实施例提供的AD域威胁检测装置的结构框图,为了便于说明,仅示出了与本申请实施例相关的部分。
参见图3,本申请实施例中的AD域威胁检测装置可以包括实体数据获取模块301、日志流量获取模块302和威胁检测模块303。
其中,实体数据获取模块301用于获取AD域的实体数据,上述实体数据包括AD域内的用户、内网设备、组织单位和配置策略中至少一种对应的数据。日志流量获取模块302用于获取AD域中域控设备的日志和/或流量。威胁检测模块303用于根据上述实体数据并结合域控设备的日志和/或流量,对AD域进行威胁检测。
上述AD域威胁检测装置,获取AD域的实体数据以及域控设备的日志和/或流量,之后根据实体数据并结合域控设备的日志和/或流量,对AD域进行威胁检测,通过AD域的实体数据来加强AD域的威胁检测能力,能够准确检测到对AD域的威胁攻击。
可选的,实体数据获取模块301具体可以用于获取域控设备发送的AD域的实体数据;其中,上述域控设备在检测到AD域的实体数据发生变化时,向服务器发送变化后的实体数据。
可选的,日志流量获取模块302具体可以用于采集域控设备的日志;或者,接收域控设备发送的域控设备的日志。
可选的,日志流量获取模块302具体可以用于通过旁路或agent的方式采集域控设备的流量。
可选的,威胁检测模块303具体可以用于:在域控设备的日志和/或流量发生预设变化时,根据实体数据确定是否存在威胁AD域安全的行为。
一种场景中,威胁检测模块303用于:若域控设备的日志表征某一计算机被注册为域控设备时,检测实体数据的变化信息;若实体数据的变化信息与预设变化信息不同,则确定存在威胁AD域安全的行为;其中,预设变化信息表征计算机被合法注册为域控设备时的实体数据的变化信息。
又一种场景中,威胁检测模块303用于:若实体数据的流量表征存在加密降级行为时,基于实体数据确定计算机的操作系统的版本;若操作系统的版本与预设版本不同,则确定存在威胁AD域安全的行为。
需要说明的是,上述装置/单元之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
图4为本申请实施例提供的电子设备400的结构示意图。该电子设备400可以包括:至少一个处理器410、存储器420以及存储在所述存储器420中并可在所述至少一个处理器410上运行的计算机程序421,所述处理器410执行所述计算机程序时实现上述任意各个方法实施例中的步骤,例如图2所示实施例中的步骤201至步骤203。或者,处理器510执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能,例如图3所示模块301至303的功能。
示例性的,计算机程序可以被分割成一个或多个模块/单元,一个或者多个模块/单元被存储在存储器420中,并由处理器410执行,以完成本申请。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序段,该程序段用于描述计算机程序在电子设备400中的执行过程。
本领域技术人员可以理解,图4仅仅是电子设备的示例,并不构成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如输入输出设备、网络接入设备、总线等。
处理器410可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器420可以是电子设备400的内部存储单元,也可以是电子设备400的外部存储设备,例如插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)等。所述存储器420用于存储所述计算机程序以及电子设备所需的其他程序和数据。所述存储器420还可以用于暂时地存储已经输出或者将要输出的数据。
总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(ExtendedIndustry Standard Architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
图5示了本申请实施例提供的AD域威胁检测方法所适用于的服务器的结构示意图。参考图5,服务器可以包括:通信电路510、存储器520、输入单元530、显示单元540、音频电路550、无线保真(wireless fidelity,WiFi)模块560、处理器570以及电源580等部件。本领域技术人员可以理解,图5中示出的服务器结构并不构成对服务器的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
通信电路510可用于收发信息过程中,信号的接收和发送,特别地,将域控设备发送的信息接收后,给处理器570处理。通常,通信电路包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(Low Noise Amplifier,LNA)、双工器等。此外,通信电路510还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统(Global System of Mobile communication,GSM)、通用分组无线服务(General Packet Radio Service,GPRS)、码分多址(Code DivisionMultiple Access,CDMA)、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)、长期演进(Long Term Evolution,LTE))、电子邮件、短消息服务(Short MessagingService,SMS)等。
存储器520可用于存储软件程序以及模块,处理器570通过运行存储在存储器520的软件程序以及模块,从而执行AD域威胁检测程序的各种功能应用以及数据处理。存储器520可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据用户的使用所创建的数据等。此外,存储器520可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
输入单元530可用于接收输入的数字或字符信息。具体地,输入单元530可包括触控面板531以及其他输入设备532。触控面板531,也称为触摸屏,可收集用户在其上或附近的触摸操作(例如用户使用手指、触笔等任何适合的物体或附件在触控面板531上或在触控面板531附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触控面板531可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器570,并能接收处理器570发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板531。除了触控面板531,输入单元530还可以包括其他输入设备532。具体地,其他输入设备532可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元540可用于显示由用户输入的信息或提供给用户的信息,以及投射其他电子设备发送来的信息。显示单元540可包括显示面板541和投射装置,可选的,显示面板541可以采用液晶显示器(Liquid Crystal Display,LCD)、有机发光二极管(OrganicLight-Emitting Diode,OLED)等形式来配置显示面板541。进一步的,触控面板531可覆盖显示面板541,当触控面板531检测到在其上或附近的触摸操作后,传送给处理器570以确定触摸事件的类型,随后处理器570根据触摸事件的类型在显示面板541上提供相应的视觉输出。虽然在图5中,触控面板531与显示面板541是作为两个独立的部件来实现服务器的输入和输入功能,但是在某些实施例中,可以将触控面板531与显示面板541集成而实现服务器的输入和输出功能。
音频电路550可提供用户与服务器之间的音频接口。音频电路550可将接收到的音频数据转换后的电信号,传输到扬声器由扬声器转换为声音信号输出;另一方面,传声器将收集的声音信号转换为电信号,由音频电路550接收后转换为音频数据,再将音频数据输出处理器570处理后,经通信电路510以发送给例如另一电子设备,或者将音频数据输出至存储器520以便进一步处理。
WiFi属于短距离无线传输技术,通过WiFi模块560可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图5示出了WiFi模块560,但是可以理解的是,其并不属于服务器的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器570是服务器的控制中心,利用各种接口和线路连接整个服务器的各个部分,通过运行或执行存储在存储器520内的软件程序和/或模块,以及调用存储在存储器520内的数据,执行服务器的各种功能和处理数据,从而对服务器进行整体监控。可选的,处理器570可包括一个或多个处理单元;可选的,处理器570可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器570中。
服务器还包括给各个部件供电的电源580(例如电池),其中,电源680可以通过电源管理系统与处理器570逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
在示例性实施例中,还提供了一种非易失性计算机可读存储介质,例如包括计算机程序指令的存储器,上述计算机程序指令可由电子设备的处理器执行以完成上述方法。
本申请可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本申请的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本公开的各个方面。
这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (10)
1.一种AD域威胁检测方法,其特征在于,包括:
获取AD域的实体数据,所述实体数据包括AD域内的用户、内网设备、组织单位和配置策略中至少一种对应的数据;
获取AD域中域控设备的日志和/或流量;
根据所述实体数据并结合所述域控设备的日志和/或流量,对所述AD域进行威胁检测。
2.根据权利要求1所述的AD域威胁检测方法,其特征在于,所述获取AD域的实体数据,包括:
获取所述域控设备发送的AD域的实体数据;
其中,所述域控设备在检测到所述AD域的实体数据发生变化时,向服务器发送变化后的实体数据。
3.根据权利要求1所述的AD域威胁检测方法,其特征在于,获取AD域中域控设备的日志,包括:
采集所述域控设备的日志;或者,
接收所述域控设备发送的域控设备的日志。
4.根据权利要求1所述的AD域威胁检测方法,其特征在于,获取AD域中域控设备的流量,包括:
通过旁路或agent的方式采集所述域控设备的流量。
5.根据权利要求1所述的AD域威胁检测方法,其特征在于,所述根据所述实体数据并结合所述域控设备的日志和/或流量,对所述AD域进行威胁检测,包括:
在所述域控设备的日志和/或流量发生预设变化时,根据所述实体数据确定是否存在威胁AD域安全的行为。
6.根据权利要求5所述的AD域威胁检测方法,其特征在于,所述在所述域控设备的日志和/或流量发生预设变化时,根据所述实体数据确定是否存在威胁AD域安全的行为,包括:
若所述域控设备的日志表征某一计算机被注册为域控设备时,检测所述实体数据的变化信息;
若所述实体数据的变化信息与预设变化信息不同,则确定存在威胁AD域安全的行为;其中,所述预设变化信息表征计算机被合法注册为域控设备时的实体数据的变化信息。
7.根据权利要求5所述的AD域威胁检测方法,其特征在于,所述在所述域控设备的日志和/或流量发生预设变化时,根据所述实体数据确定是否存在威胁AD域安全的行为,包括:
若所述域控设备的流量表征存在加密降级行为时,基于所述实体数据确定计算机的操作系统的版本;
若所述操作系统的版本与预设版本不同,则确定存在威胁AD域安全的行为。
8.一种AD域威胁检测装置,其特征在于,包括:
实体数据获取模块,用于获取AD域的实体数据,所述实体数据包括AD域内的用户、内网设备、组织单位和配置策略中至少一种对应的数据;
日志流量获取模块,用于获取AD域中域控设备的日志和/或流量;
威胁检测模块,用于根据所述实体数据并结合所述域控设备的日志和/或流量,对所述AD域进行威胁检测。
9.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令时实现权利要求1至7中任意一项所述的方法。
10.一种非易失性计算机可读存储介质,其上存储有计算机程序指令,其特征在于,所述计算机程序指令被处理器执行时实现权利要求1至7中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111290735.9A CN114205110B (zh) | 2021-11-02 | 2021-11-02 | Ad域威胁检测方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111290735.9A CN114205110B (zh) | 2021-11-02 | 2021-11-02 | Ad域威胁检测方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114205110A true CN114205110A (zh) | 2022-03-18 |
| CN114205110B CN114205110B (zh) | 2023-11-10 |
Family
ID=80646721
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111290735.9A Active CN114205110B (zh) | 2021-11-02 | 2021-11-02 | Ad域威胁检测方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114205110B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116032660A (zh) * | 2023-02-21 | 2023-04-28 | 北京微步在线科技有限公司 | Ad域威胁识别方法、装置、电子设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110049028A (zh) * | 2019-04-03 | 2019-07-23 | 北京奇安信科技有限公司 | 监控域控管理员的方法、装置、计算机设备及存储介质 |
| CN110971579A (zh) * | 2018-09-30 | 2020-04-07 | 北京国双科技有限公司 | 一种网络攻击展示方法及装置 |
| CN112565160A (zh) * | 2019-09-25 | 2021-03-26 | 深信服科技股份有限公司 | 一种检测票证冒充行为的方法及装置 |
| CN112565163A (zh) * | 2019-09-25 | 2021-03-26 | 深信服科技股份有限公司 | 一种检测加密等级降级行为的方法及装置 |
| CN112565162A (zh) * | 2019-09-25 | 2021-03-26 | 深信服科技股份有限公司 | 一种检测账户窃取行为的方法及装置 |
| CN113364744A (zh) * | 2021-05-19 | 2021-09-07 | 北京中睿天下信息技术有限公司 | 基于windows日志对域用户登录认证异常的检测方法及系统 |
-
2021
- 2021-11-02 CN CN202111290735.9A patent/CN114205110B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110971579A (zh) * | 2018-09-30 | 2020-04-07 | 北京国双科技有限公司 | 一种网络攻击展示方法及装置 |
| CN110049028A (zh) * | 2019-04-03 | 2019-07-23 | 北京奇安信科技有限公司 | 监控域控管理员的方法、装置、计算机设备及存储介质 |
| CN112565160A (zh) * | 2019-09-25 | 2021-03-26 | 深信服科技股份有限公司 | 一种检测票证冒充行为的方法及装置 |
| CN112565163A (zh) * | 2019-09-25 | 2021-03-26 | 深信服科技股份有限公司 | 一种检测加密等级降级行为的方法及装置 |
| CN112565162A (zh) * | 2019-09-25 | 2021-03-26 | 深信服科技股份有限公司 | 一种检测账户窃取行为的方法及装置 |
| CN113364744A (zh) * | 2021-05-19 | 2021-09-07 | 北京中睿天下信息技术有限公司 | 基于windows日志对域用户登录认证异常的检测方法及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116032660A (zh) * | 2023-02-21 | 2023-04-28 | 北京微步在线科技有限公司 | Ad域威胁识别方法、装置、电子设备和存储介质 |
| CN116032660B (zh) * | 2023-02-21 | 2023-06-20 | 北京微步在线科技有限公司 | Ad域威胁识别方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114205110B (zh) | 2023-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9680849B2 (en) | Rootkit detection by using hardware resources to detect inconsistencies in network traffic | |
| AU2012347793B2 (en) | Detecting malware using stored patterns | |
| US9800606B1 (en) | Systems and methods for evaluating network security | |
| US9516062B2 (en) | System and method for determining and using local reputations of users and hosts to protect information in a network environment | |
| US20160036849A1 (en) | Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies | |
| AU2012347734B2 (en) | Detecting malware using patterns | |
| US20170308704A1 (en) | Boot security | |
| WO2013142573A1 (en) | System and method for crowdsourcing of mobile application reputations | |
| US20160094569A1 (en) | Behavioral detection of malware agents | |
| CN104871484A (zh) | 用于安全环境中的端点硬件辅助的网络防火墙的系统和方法 | |
| US9622081B1 (en) | Systems and methods for evaluating reputations of wireless networks | |
| US20210194915A1 (en) | Identification of potential network vulnerability and security responses in light of real-time network risk assessment | |
| CN114205110B (zh) | Ad域威胁检测方法、装置及电子设备 | |
| CN114143103B (zh) | Ad域威胁检测方法、装置及电子设备 | |
| Olzak | Keystroke logging (keylogging) | |
| WO2015178002A1 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
| US11126713B2 (en) | Detecting directory reconnaissance in a directory service | |
| Bakshi et al. | Improving threat detection capabilities in windows endpoints with osquery | |
| JP6900328B2 (ja) | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム | |
| US10135868B1 (en) | Defeating wireless signal interference hacks by manipulating signal strength |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |