CN116032660B - Ad域威胁识别方法、装置、电子设备和存储介质 - Google Patents
Ad域威胁识别方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN116032660B CN116032660B CN202310140460.3A CN202310140460A CN116032660B CN 116032660 B CN116032660 B CN 116032660B CN 202310140460 A CN202310140460 A CN 202310140460A CN 116032660 B CN116032660 B CN 116032660B
- Authority
- CN
- China
- Prior art keywords
- threat
- domain
- field
- attack
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种AD域威胁识别方法、装置、电子设备和存储介质,其中,AD域威胁识别方法包括:获取AD域的域控流量;基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段、权限维持阶段威胁、权限提升阶段威胁。本申请能够识别AD域威胁,并提高威胁识别覆盖度和提高威胁识别精确度。
Description
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种AD域威胁识别方法、装置、电子设备和存储介质。
背景技术
随着当前网络安全态势日益严峻,以及攻防演练的常态化,如何提升AD域的安全性,保障业务安全,是企业备受重视的核心环节。由于AD域具有天然的集权特性,无疑攻击者攻击的重点,也是企业防护的难点。
目前,现有技术中的AD域威胁分析方法存在威胁识别覆盖度低和威胁识别精确度低这一缺点。
发明内容
本申请实施例的目的在于提供一种AD域威胁识别方法、装置、电子设备和存储介质,用以识别AD域威胁,并提高威胁识别覆盖度和提高威胁识别精确度。
第一方面,本发明提供一种AD域威胁识别方法,所述方法包括:
获取AD域的域控流量;
基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段、权限维持阶段威胁、权限提升阶段威胁。
在本申请第一方面中,通过获取AD域的域控流量,进而能够基于域控流量识别AD域是否存在攻击威胁,其中,攻击威胁包括信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段、权限维持阶段威胁、权限提升阶段威胁。
在可选的实施方式中,所述方法还包括:获取所述AD域的域控日志,基于所述域控流量和所述域控日志识别所述AD域是否存在攻击威胁。
本可选的实施方式通过获取AD域的域控流量和域控日志,进而能够基于域控流量和域控日志识别AD域是否存在攻击威胁。与现有技术相比,本申请能够将域控流量结合域控日志进行综合分析,进而具有更高的检测视角,进而由于有更高的检测视角,可提高识别到覆盖度和精确度。
在可选的实施方式中,所述基于所述域控流量和所述域控日志识别所述AD域是否存在攻击威胁包括:先经过所述域控流量识别所述AD域可能存在的攻击威胁,再通过所述域控日志确认是否存在攻击威胁。
在可选的实施方式中,所述基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括信息收集阶段威胁,包括:
当所述域控流量包括samr协议流量时,解析所述samr协议流量以识别第一字段,并基于所述第一字段的字段值和攻击行为知识库,确定所述AD域是否存在samr侦查威胁;
当所述域控流量包括kerberos协议流量时,解析所述kerberos协议流量,以识别第二字段和第三字段,并基于所述第二字段的字段值统计在第一预设时间段内AS请求的数量,当在所述第一预设时间段内AS请求的数量大于第一预设阈值,且所述第三字段的字段值在所述第一预设时间内连续变化时,则确定所述AD域存在用户名枚举威胁;
当所述域控流量包括所述kerberos协议流量时,判断所述kerberos协议流量是否包括AS-REP报文,若是则解析所述AS-REP报文以得到第四字段和第五字段,并基于所述第四字段的字段值计算预设类型报错在第二预设时间段的出现次数,当所述预设类型报错在所述第二预设时间段的出现次数大于第二预设阈值,且所述第五字段的字段值在所述第二预设时间段连续不相同时,则确定所述AD域存在Password Spraying威胁;
当所述域控流量包括LDAP协议流量时,解析所述LDAP协议流量得到第七字段,并将所述第七字段的字段值与所述攻击行为知识库进行匹配,若匹配成功,则确定所述AD域存在LDAP侦查威胁。
在上述可选的实施方式,通过第一字段的字段值和攻击行为知识库能够识别samr侦查威胁,通过第二字段的字段值和第二字段的字段值能够识别AD域中的用户名枚举威胁。另一方面,通过AS-REP报文中的第四字段和第五字段能够识别AD域中的PasswordSpraying威胁。此外,通过第七字段的字段值和所述攻击行为知识库,可确定所述AD域是否存在LDAP侦查威胁。
在可选的实施方式中,所述基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括凭证窃取阶段威胁,包括:
判断所述kerberos协议流量是否包括AS-REQ报文,若是则判断所述AS-REQ报文是否存在第六字段和判断kerberos协议流量是否包括AS-REP报文,若存在所述第六字段,且存在所述AS-REP报文,则确定所述AD域存在as-rep rosting威胁。
在上述可选的实施方式中,通过AS-REP报文和第六字段能够识别AD域中的 as-rep rosting威胁。
在可选的实施方式中,所述基于所述域控流量和所述域控日志识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括凭证窃取阶段威胁,还包括:
当所述域控流量包括所述kerberos协议流量时,解析kerberos协议流量获取ticket票据的etype字段,通过etype字段的值确定是否存在RC4的服务票据,若存在则确定所述AD域可能存在Kerberoasting威胁;
再判断所述域控日志中的ServiceName字段的字段值是否为用户账户,若是则确定所述AD域存在Kerberoasting威胁。
在可选的实施方式中,所述基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括横向移动阶段威胁,包括:
当所述域控流量包括kerberos协议流量时,获取所述kerberos协议流量中的TGS-REQ报文,并确定所述TGS-REQ报文的加密类型,判断所述加密类型的加密等级是否小于所述TGS-REQ报文支持的最高加密等级,若是则确定所述AD域存在Kerberos票据加密方式降级威胁。
在可选的实施方式中,所述基于所述域控流量和所述域控日志,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括权限维持阶段威胁,包括:
基于所述域控流量提取AP-REQ报文;
判断所述AP-REQ报文中的票据是否经过rc4算法加密,若是则基于所述域控日志判断在第三预设时间段内,是否出现了Event ID为 4672的目标日志,若出现了所述目标日志,则获取所述目标日志中的登录账号和sid值,并判断所述sid值的格式是否为预设格式和判断所述登录账号是否为非预期账户,若所述登录账号为非预期账户且所述sid值的格式为预设格式,则确定所述AD域存在黄金票据威胁;
以及,所述基于所述域控流量和所述域控日志,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括权限维持阶段威胁,还包括:
当所述域控流量包括dcerpc协议流量时,判断所述dcerpc协议流量是否调用了DRSU目录复制服务,若是则判断所述域控日志中是否存在Event ID为4929的日志和EventID为4742的日志,若存在则确定所述AD域存在DCShadow威胁。
在可选的实施方式中,基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括权限提升阶段威胁,包括:
当所述域控流量存在kerberos协议流量时,解析所述kerberos协议流量并提取第七字段;
以及,所述基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括权限提升阶段威胁,还包括:
通过识别域控流量中NTLM认证的字段,对所述字段进行对比,当字段重复或缺失,判断所述AD域是否存在NTLM Relay漏洞威胁。
在可选的实施方式中,所述方法还包括:
获取所述信息收集阶段威胁、所述凭证窃取阶段威胁、所述横向移动阶段、所述权限维持阶段威胁和所述权限提升阶段威胁的攻击者信息和受害者信息;
基于所述攻击者信息和受害者信息按照威胁阶段的攻击顺序对所述AD的威胁识别结果进行聚合分析,以生成AD域威胁攻击链。
在上述可选的实施方式中,通过攻击威胁的攻击者信息、所述攻击威胁的受害者信息能够生成AD域威胁攻击链。
第二方面,本发明提供一种AD域威胁识别装置,所述装置包括:
获取模块,用于获取AD域的域控流量;
识别模块,用于基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段、权限维持阶段威胁、权限提升阶段威胁。
本申请第二方面的装置通过执行AD域威胁识别方法,能够获取AD域的域控流量,进而能够基于域控流量识别AD域是否存在攻击威胁,其中,攻击威胁包括信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段、权限维持阶段威胁、权限提升阶段威胁。
第三方面,本发明提供一种电子设备,包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如前述实施方式任一项所述的AD域威胁识别方法。
本申请第三方面的电子设备通过执行AD域威胁识别方法,能够获取AD域的域控流量,进而能够基于域控流量识别AD域是否存在攻击威胁,其中,攻击威胁包括信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段、权限维持阶段威胁、权限提升阶段威胁。
第四方面,本发明提供一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如前述实施方式任一项所述的AD域威胁识别方法。
本申请第四方面的存储介质通过执行AD域威胁识别方法,能够获取AD域的域控流量,进而能够基于域控流量识别AD域是否存在攻击威胁,其中,攻击威胁包括信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段、权限维持阶段威胁、权限提升阶段威胁。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本申请实施例公开的一种AD域威胁识别方法的流程示意图;
图2是本申请实施例公开的一种AD域威胁识别装置的结构示意图;
图3是本申请实施例公开的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一
请参阅图1,图1是本申请实施例公开的一种AD域威胁识别方法的流程示意图,如图1所示,本申请实施例的方法包括以下步骤:
101、获取AD域的域控流量;
102、基于域控流量,识别AD域是否存在攻击威胁,其中,攻击威胁包括信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段、权限维持阶段威胁、权限提升阶段威胁。
在本申请实施例中,能够获取AD域的域控流量,进而能够基于域控流量识别AD域是否存在攻击威胁,其中,攻击威胁包括信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段、权限维持阶段威胁、权限提升阶段威胁。
在本申请实施例中,针对步骤101,AD域是指ActiveDirectory Domain,AD域是Windows网络中独立运行的单位,其中,域之间相互访问则需要建立信任关系(即TrustRelation)。
在本申请实施例中,域控流量是指经过域控服务器的流量,其中,域控服务器可以是NIDS设备(Network Intrusion Detection System,网络入侵检测系统)或NDR类设备。进一步地,NDR类设备是指安装有高级持续性威胁预警系统的设备。IDS设备可通过交换机对域控的日志进行接收和存储。需要说明的是,NIDS设备是IDS设备中的一种。另一方面NIDS设备或NDR类设备可以是硬件设备,也可以是软件化部署。
在本申请实施例中,本申请实施例的方法还包括:对采集到的域控流量进行过滤和识别,例如过滤识别域控流量中采用kerberos,http,smb,ldap等协议的流量。
在本申请实施例中,本申请实施例的AD域威胁识别方法可以应用在威胁检测与响应平台,例如的,威胁检测与响应平台收集域控流量和域控日志,从而对域控流量和域控日志进行分析。
在本申请实施例中,为了提高日志收集效率,可只获取特定类型的域控日志,例如,只获取event id为4768、4769、4692、4928、4929的域控日志。
在本申请实施例中,作为一种可选的实施方式,本申请实施例的方法还包括:获取AD域的域控日志,基于域控流量和域控日志识别AD域是否存在攻击威胁。
本可选的实施方式通过获取AD域的域控流量和域控日志,进而能够基于域控流量和域控日志识别AD域是否存在攻击威胁。与现有技术相比,本申请能够将域控流量结合域控日志进行综合分析,进而具有更高的检测视角,进而由于有更高的检测视角,可提高识别到覆盖度和精确度。
在本申请实施例中,作为一种可选的实施方式,基于域控流量和域控日志识别AD域是否存在攻击威胁包括:先经过域控流量识别AD域可能存在的攻击威胁,再通过域控日志确认是否存在攻击威胁。
在本申请实施例中,作为一种可选的实施方式,基于域控流量,识别AD域是否存在攻击威胁,其中,攻击威胁包括信息收集阶段威胁,包括:
当域控流量包括samr协议流量时,解析samr协议流量以识别第一字段,并基于第一字段的字段值和攻击行为知识库,确定AD域是否存在samr侦查威胁。例如,当第一字段的字段值为A,而攻击行为知识库中A时,则可以确定AD域存在samr侦查威胁;
当域控流量包括kerberos协议流量时,解析kerberos协议流量,以识别第二字段和第三字段,并基于第二字段的字段值统计在第一预设时间段内AS请求的数量,当在第一预设时间段内AS请求的数量大于第一预设阈值,且第三字段的字段值在第一预设时间内连续变化时,则确定AD域存在用户名枚举威胁;
当域控流量包括kerberos协议流量时,判断kerberos协议流量是否包括AS-REP报文,若是则解析AS-REP报文以得到第四字段和第五字段,并基于第四字段的字段值计算预设类型报错在第二预设时间段的出现次数,当预设类型报错在第二预设时间段的出现次数大于第二预设阈值,且第五字段的字段值在第二预设时间段连续不相同时,则确定AD域存在Password Spraying威胁;
当域控流量包括LDAP协议流量时,解析LDAP协议流量得到第七字段,并将第七字段的字段值与攻击行为知识库进行匹配,若匹配成功,则确定AD域存在LDAP侦查威胁。
在上述可选的实施方式中,第三字段可以是cname字段,第四字段可以是error-code字段,第五字段可以是cname字段。
在上述可选的实施方式中,samr协议是指安全账户管理器远程协议。
在上述可选的实施方式中,针对用户名枚举威胁,当攻击者在域外的情况下(机器没有加域,不是域账户登录),可通过这种方式对域内用户名进行穷举,其中,通过对内网流量的收集,kerberos流量解析,提取字段,计算,如果一定时间内出现大量的AS请求,且cname连续变化,则判定为存在此威胁。
在上述可选的实施方式中,针对Password Spraying威胁,当域用户账号已知的情况下,可以尝试对用户名密码进行“喷洒式攻击”,即使用同一个密码去尝试登录多个账号,这种方式可以防止爆破一个账号导致账号被封。通过对 kerberos协议进行解析,识别出AS-REP响应阶段,对该响应进行解析,判断响应的信息,若短时间内出现多次error-code为KDC_ERR_PREAUTH_FAILED,且cname连续不相同,从而达到精准识别出此类攻击。
在上述可选的实施方式,通过第一字段的字段值和攻击行为知识库能够识别samr侦查威胁,通过第二字段的字段值和第二字段的字段值能够识别AD域中的用户名枚举威胁。另一方面,通过AS-REP报文中的第四字段和第五字段能够识别AD域中的PasswordSpraying威胁。
在本申请实施例中,作为一种可选的实施方式,基于域控流量,识别AD域是否存在攻击威胁,其中,攻击威胁包括凭证窃取阶段威胁,包括:
判断kerberos协议流量是否包括AS-REQ报文,若是则判断AS-REQ报文是否存在第六字段和判断kerberos协议流量是否包括AS-REP报文,若存在第六字段,且存在AS-REP报文,则确定AD域存在as-rep rosting威胁。
在上述可选的实施方式中,通过AS-REP报文和第六字段能够识别AD域中的as-reprosting威胁。
在上述可选的实施方式,判断AS-REQ报文是否存在第六字段的一种具体方式为:判断AS-REQ报文中的padata的pA-ENC-TIMESTAMP是否存在,如果存在则确定AS-REQ报文存在第六字段,相应地,第六字段可以是指pA-ENC-TIMESTAMP字段。
在本申请实施例中,作为一种可选的实施方式,基于域控流量和域控日志识别AD域是否存在攻击威胁,其中,攻击威胁包括凭证窃取阶段威胁,还包括:
当域控流量包括kerberos协议流量时,解析kerberos协议流量获取ticket票据的etype字段,通过etype字段的值确定是否存在RC4的服务票据,若存在则确定AD域可能存在Kerberoasting威胁;
再判断域控日志中的ServiceName字段的字段值是否为用户账户,若是则确定AD域存在Kerberoasting威胁。
在上述可选的实施方式中,具体地,针对Kerberoasting威胁(攻击),其原理为:此攻击针对tgs票据阶段,需要一张有效的tgt票据,根据rc4算法来推出服务账户的密码,即从y=f(s,key)的过程中计算出key。通过在流量侧对LDAP协议的解析,查询语句的匹配,来对Kerberoasting的侦查进行威胁识别,精准告警。之后通过在流量侧产生RC4的服务票据,则进行设置一个预过滤条件,之后结合短时间内,产生4769日志,并且判断日志ServiceName账户类型,若为用户账户则进行威胁告警,此过程为Kerberoasting攻击实施过程的威胁检测。
在上述可选的实施方式中,具体地,针对as rep-roasting攻击,该攻击要求受害账户未开启 KerberosPre-Authentication,若攻击成功可以使攻击者控制受害账户。此步骤域控根据不含有预认证的请求返回了 RC4加密的 AS-REP,攻击者将有能力离线破解加密信息并获得账户控制权。通过在流量侧对 kerberos协议进行识别,解析,在AS-REQ阶段,判断 padata中的pA-ENC-TIMESTAMP,若不存在并且返回了 AS-REP,则告警检出威胁,通过这种流程来对 as rep-roasting的攻击实施进行准确检测。
在上述可选的实施方式中,通过域控日志中的ServiceName字段能够识别AD域中的Kerberoasting威胁,通过AP-REQ报文中的票据和目标日志中的登录账号和sid值,能够识别AD中的黄金票据威胁。
在上述可选的实施方式中,具体地,针对黄金票据,黄金票据作为后门,可以长期控制域服务器,具有极强的隐蔽性,是长期控制一个域的不二之选。因此,黄金票据的危害是巨大的、长期的、普遍的,针对黄金票据的检测也是刻不容缓。此类域内威胁采用的检测方法为流量侧中首先检查,AP-REQ中的票据是否为 rc4加密,并且设置一个预过滤条件,之后通过判断短时间内是否产生日志 Event ID 4672,若出现则判断登录账号和 sid值,如果账户 sid值的格式为 S-1-5-domain-500且非预期账户,则对此类事件进行威胁告警。
在本申请实施例中,作为一种可选的实施方式,基于域控流量,识别AD域是否存在攻击威胁,其中,攻击威胁包括横向移动阶段威胁,包括:
当域控流量包括kerberos协议流量时,获取kerberos协议流量中的TGS-REQ报文,并确定TGS-REQ报文的加密类型,判断加密类型的加密等级是否小于TGS-REQ报文支持的最高加密等级,若是则确定AD域存在Kerberos票据加密方式降级威胁。
在上述可选的实施方式中,具体地,针对加密降级攻击,此类攻击是一种削弱Kerberos的方法,具体实施步骤是降低协议中不同字段的加密级别(通常使用最高级加密进行加密),弱化的加密字段成为暴力破解的目标,通过对流量侧的 kerberos协议的识别,解析,分析,对 TGS-REQ和 TGS-REP阶段的加密降级进行检测,若 TGS-REQ阶段的etype支持更高级别的加密方式,而返回的票据是RC4加密的票据,则直接告警检出此威胁。
在本申请实施例中,作为一种可选的实施方式,基于域控流量和域控日志,识别AD域是否存在攻击威胁,其中,所述攻击威胁包括权限维持阶段威胁,包括:
基于域控流量提取AP-REQ报文;
判断AP-REQ报文中的票据是否经过rc4算法加密,若是则基于域控日志判断在第三预设时间段内,是否出现了Event ID为 4672的目标日志,若出现了目标日志,则获取目标日志中的登录账号和sid值,并判断sid值的格式是否为预设格式和判断登录账号是否为非预期账户,若登录账号为非预期账户且sid值的格式为预设格式,则确定AD域存在黄金票据威胁;
以及,基于域控流量和域控日志,识别AD域是否存在攻击威胁,其中,攻击威胁包括权限维持阶段威胁,还包括:
当域控流量包括dcerpc协议流量时,判断dcerpc协议流量是否调用了DRSU目录复制服务,若是则判断域控日志中是否存在Event ID为4929的日志和Event ID为4742的日志,若存在则确定AD域存在DCShadow威胁。
在上述可选的实施方式中,具体地,针对DCShadow威胁,由于域内允许存在多个域控制器,从而达到周期性的同步数据。DCShadow的基本原理就是通过伪造一个域控制器,在这个域控制器上修改 object数据,从而同步到其他的服务器,实现对域内数据的修改。此类域内威胁通过对dcerpc协议进行识别,分析对 DRSU目录复制服务的调用,此过程为流量的设置预过滤过程,之后结合短时间内4929,4742日志的产生,即可精准的识别出此攻击。
在本申请实施例中,作为一种可选的实施方式,基于域控流量,识别AD域是否存在攻击威胁,其中,攻击威胁还包括权限提升阶段威胁,包括:
当域控流量存在kerberos协议流量时,解析kerberos协议流量并提取第七字段;
基于第七字段判断AD域是否存在Kerberos约束委派滥用威胁;
以及,基于域控流量,识别AD域是否存在攻击威胁,其中,所述攻击威胁包括权限提升阶段威胁,还包括:
通过识别域控流量中NTLM认证的字段,对字段进行对比,当字段重复或缺失,判断AD域是否存在NTLM Relay漏洞威胁。
在上述可选的实施方式中,基于第七字段判断AD域是否存在Kerberos约束委派滥用威胁的一种具体方式为:
通过识别kerberos认证中的S4u2self阶段,判断用户权限,若为高权限,存在Kerberos约束委派滥用威胁。
在上述可选的实施方式中,具体地,针对域控中的Kerberos约束委派滥用威胁,域委派是指将域账号的权限委派给服务账户,从而使服务账户能够模拟域账户的权限开展域内的活动,此威胁可通过使用流量来直接检出威胁,包括基于资源的约束性委派和约束性委派。通过深入分析流量包,对其中的字段名称进行提取,比对,从而识别出此类风险。
在本申请实施例中,作为一种可选的实施方式,本申请实施例的方法还包括以下步骤:
获取信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段、权限维持阶段威胁、权限提升阶段威胁的攻击者信息和受害者信息;
基于攻击者信息和受害者信息按照威胁阶段的攻击顺序,对AD的威胁识别结果进行聚合分析,以生成AD域威胁攻击链。
在上述可选的实施方式中,通过攻击威胁的攻击者信息、攻击威胁的受害者信息、第二类威胁的攻击者信息和第二类威胁的受害者信息,能够生成AD域威胁攻击链。
针对上述可选的实施方式,攻击者的攻击顺序一般是:信息收集、凭证窃取阶、横向移动、权限维持、权限提升,按照此顺序进行聚合分析,以生成AD域威胁攻击链,用于威胁识别的后续告警或处置。
在本申请实施例中,作为一种示例,本申请实施例的方法可应用在情报驱动的新一代网络流量检测与响应(NDR)产品、基于旁路流量的全方位威胁检测与响应平台,进而广泛覆盖传统僵木蠕、APT、Web和非Web攻击、业务风险挖掘、资产梳理等应用场景,从而深度研判流量载荷,自动地基于被动流量和日志来识别域内威胁。
实施例二
请参阅图2,图2是本申请实施例公开的一种AD域威胁识别装置的结构示意图,如图2所示,本申请实施例的装置包括以下功能模块:
获取模块201,用于获取AD域的域控流量;
识别模块202,用于基于域控流量,识别AD域是否存在攻击威胁,其中,攻击威胁包括信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段、权限维持阶段威胁、权限提升阶段威胁。
本申请实施例的装置通过执行AD域威胁识别方法,能够获取AD域的域控流量,进而能够基于域控流量识别AD域是否存在攻击威胁,其中,攻击威胁包括信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段、权限维持阶段威胁、权限提升阶段威胁。
实施例三
请参阅图3,图3是本申请实施例公开的一种电子设备的结构示意图,如图3所示,本申请实施例的电子设备包括:
处理器301;以及
存储器302,配置用于存储机器可读指令,指令在由处理器301执行时,执行如前述实施方式任一项的AD域威胁识别方法。
本申请实施例的电子设备通过执行AD域威胁识别方法,能够获取AD域的域控流量,进而能够基于域控流量识别AD域是否存在攻击威胁,其中,攻击威胁包括信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段、权限维持阶段威胁、权限提升阶段威胁。
实施例四
本申请实施例提供一种存储介质,存储介质存储有计算机程序,计算机程序被处理器执行如前述实施方式任一项的AD域威胁识别方法。
本申请实施例的存储介质通过执行AD域威胁识别方法,能够获取AD域的域控流量,进而能够基于域控流量识别AD域是否存在攻击威胁,其中,攻击威胁包括信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段、权限维持阶段威胁、权限提升阶段威胁。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (12)
1.一种活动目录AD域威胁识别方法,其特征在于,所述方法包括:
获取AD域的域控流量;
基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段威胁、权限维持阶段威胁、权限提升阶段威胁;
以及,所述基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括所述信息收集阶段威胁,包括:
当所述域控流量包括samr协议流量时,解析所述samr协议流量以识别第一字段,并基于所述第一字段的字段值和攻击行为知识库,确定所述AD域是否存在samr侦查威胁;
当所述域控流量包括kerberos协议流量时,解析所述kerberos协议流量,以识别第二字段和第三字段,并基于所述第二字段的字段值统计在第一预设时间段内AS请求的数量,当在所述第一预设时间段内AS请求的数量大于第一预设阈值,且所述第三字段的字段值在所述第一预设时间内连续变化时,则确定所述AD域存在用户名枚举威胁;
当所述域控流量包括所述kerberos协议流量时,判断所述kerberos协议流量是否包括AS-REP报文,若是则解析所述AS-REP报文以得到第四字段和第五字段,并基于所述第四字段的字段值计算预设类型报错在第二预设时间段的出现次数,当所述预设类型报错在所述第二预设时间段的出现次数大于第二预设阈值,且所述第五字段的字段值在所述第二预设时间段连续不相同时,则确定所述AD域存在Password Spraying威胁;
当所述域控流量包括LDAP协议流量时,解析所述LDAP协议流量得到第七字段,并将所述第七字段的字段值与所述攻击行为知识库进行匹配,若匹配成功,则确定所述AD域存在LDAP侦查威胁。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:获取所述AD域的域控日志,基于所述域控流量和所述域控日志识别所述AD域是否存在所述攻击威胁。
3.如权利要求2所述的方法,其特征在于,所述基于所述域控流量和所述域控日志识别所述AD域是否存在攻击威胁包括:先经过所述域控流量识别所述AD域可能存在的攻击威胁,再通过所述域控日志确认是否存在攻击威胁。
4.如权利要求1所述的方法,其特征在于,所述基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括凭证窃取阶段威胁,包括:
判断kerberos协议流量是否包括AS-REQ报文,若是则判断所述AS-REQ报文是否存在第六字段和判断kerberos协议流量是否包括AS-REP报文,若存在所述第六字段,且存在所述AS-REP报文,则确定所述AD域存在as-rep rosting威胁。
5.如权利要求2所述的方法,其特征在于,所述基于所述域控流量和所述域控日志识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括凭证窃取阶段威胁,包括:
当所述域控流量包括kerberos协议流量时,解析所述kerberos协议流量获取ticket票据的etype字段,通过etype字段的值确定是否存在RC4的服务票据,若存在则确定所述AD域可能存在Kerberoasting威胁;
再判断所述域控日志中的ServiceName字段的字段值是否为用户账户,若是则确定所述AD域存在Kerberoasting威胁。
6.如权利要求1所述的方法,其特征在于,所述基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括横向移动阶段威胁,包括:
当所述域控流量包括kerberos协议流量时,获取所述kerberos协议流量中的TGS-REQ报文,并确定所述TGS-REQ报文的加密类型,判断所述加密类型的加密等级是否小于所述TGS-REQ报文支持的最高加密等级,若是则确定所述AD域存在Kerberos票据加密方式降级威胁。
7.如权利要求2所述的方法,其特征在于,所述基于所述域控流量和所述域控日志,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括权限维持阶段威胁,包括:
基于所述域控流量提取AP-REQ报文;
判断所述AP-REQ报文中的票据是否经过rc4算法加密,若是则基于所述域控日志判断在第三预设时间段内,是否出现了Event ID为 4672的目标日志,若出现了所述目标日志,则获取所述目标日志中的登录账号和sid值,并判断所述sid值的格式是否为预设格式和判断所述登录账号是否为非预期账户,若所述登录账号为非预期账户且所述sid值的格式为预设格式,则确定所述AD域存在黄金票据威胁;
以及,所述基于所述域控流量和所述域控日志,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括权限维持阶段威胁,还包括:
当所述域控流量包括dcerpc协议流量时,判断所述dcerpc协议流量是否调用了DRSU目录复制服务,若是则判断所述域控日志中是否存在Event ID为4929的日志和Event ID为4742的日志,若存在则确定所述AD域存在DCShadow威胁。
8.如权利要求1所述的方法,其特征在于,所述基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括权限提升阶段威胁,包括:
当所述域控流量存在kerberos协议流量时,解析所述kerberos协议流量并提取第七字段;
基于所述第七字段判断所述AD域是否存在Kerberos约束委派滥用威胁;
以及,所述基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括权限提升阶段威胁,还包括:
通过识别域控流量中NTLM认证的字段,对所述字段进行对比,当字段重复或缺失,判断所述AD域是否存在NTLM Relay漏洞威胁。
9.如权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述信息收集阶段威胁、所述凭证窃取阶段威胁、所述横向移动阶段威胁、所述权限维持阶段威胁和所述权限提升阶段威胁的攻击者信息和受害者信息;
基于所述攻击者信息和所述受害者信息按照威胁阶段的攻击顺序对所述AD域的威胁识别结果进行聚合分析,以生成AD域威胁攻击链。
10.一种活动目录AD域威胁识别装置,其特征在于,所述装置包括:
获取模块,用于获取AD域的域控流量;
识别模块,用于基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段威胁、权限维持阶段威胁、权限提升阶段威胁;
以及,所述识别模块具体用于:
当所述域控流量包括samr协议流量时,解析所述samr协议流量以识别第一字段,并基于所述第一字段的字段值和攻击行为知识库,确定所述AD域是否存在samr侦查威胁;
当所述域控流量包括kerberos协议流量时,解析所述kerberos协议流量,以识别第二字段和第三字段,并基于所述第二字段的字段值统计在第一预设时间段内AS请求的数量,当在所述第一预设时间段内AS请求的数量大于第一预设阈值,且所述第三字段的字段值在所述第一预设时间内连续变化时,则确定所述AD域存在用户名枚举威胁;
当所述域控流量包括所述kerberos协议流量时,判断所述kerberos协议流量是否包括AS-REP报文,若是则解析所述AS-REP报文以得到第四字段和第五字段,并基于所述第四字段的字段值计算预设类型报错在第二预设时间段的出现次数,当所述预设类型报错在所述第二预设时间段的出现次数大于第二预设阈值,且所述第五字段的字段值在所述第二预设时间段连续不相同时,则确定所述AD域存在Password Spraying威胁;
当所述域控流量包括LDAP协议流量时,解析所述LDAP协议流量得到第七字段,并将所述第七字段的字段值与所述攻击行为知识库进行匹配,若匹配成功,则确定所述AD域存在LDAP侦查威胁。
11.一种电子设备,其特征在于,包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如权利要求1-9任一项所述的AD域威胁识别方法。
12.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器时,执行如权利要求1-9任一项所述的AD域威胁识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310140460.3A CN116032660B (zh) | 2023-02-21 | 2023-02-21 | Ad域威胁识别方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310140460.3A CN116032660B (zh) | 2023-02-21 | 2023-02-21 | Ad域威胁识别方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116032660A CN116032660A (zh) | 2023-04-28 |
| CN116032660B true CN116032660B (zh) | 2023-06-20 |
Family
ID=86070800
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310140460.3A Active CN116032660B (zh) | 2023-02-21 | 2023-02-21 | Ad域威胁识别方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116032660B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1771719A (zh) * | 2003-03-12 | 2006-05-10 | 佳能株式会社 | 图像通信方法和设备 |
| CN111641634A (zh) * | 2020-05-28 | 2020-09-08 | 东北大学 | 一种基于蜜网的工业控制网络主动防御系统及其方法 |
| CN113037477A (zh) * | 2021-03-08 | 2021-06-25 | 北京工业大学 | 一种基于Intel SGX的Kerberos安全增强方法 |
| US11159576B1 (en) * | 2021-01-30 | 2021-10-26 | Netskope, Inc. | Unified policy enforcement management in the cloud |
| CN113612797A (zh) * | 2021-08-23 | 2021-11-05 | 金陵科技学院 | 一种基于国密算法的Kerberos身份认证协议改进方法 |
| CN114143103A (zh) * | 2021-12-06 | 2022-03-04 | 北京中安网星科技有限责任公司 | Ad域威胁检测方法、装置及电子设备 |
| CN114205110A (zh) * | 2021-11-02 | 2022-03-18 | 北京中安网星科技有限责任公司 | Ad域威胁检测方法、装置及电子设备 |
| CN115664868A (zh) * | 2022-12-28 | 2023-01-31 | 北京微步在线科技有限公司 | 安全等级确定方法、装置、电子设备和存储介质 |
-
2023
- 2023-02-21 CN CN202310140460.3A patent/CN116032660B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1771719A (zh) * | 2003-03-12 | 2006-05-10 | 佳能株式会社 | 图像通信方法和设备 |
| CN111641634A (zh) * | 2020-05-28 | 2020-09-08 | 东北大学 | 一种基于蜜网的工业控制网络主动防御系统及其方法 |
| US11159576B1 (en) * | 2021-01-30 | 2021-10-26 | Netskope, Inc. | Unified policy enforcement management in the cloud |
| CN113037477A (zh) * | 2021-03-08 | 2021-06-25 | 北京工业大学 | 一种基于Intel SGX的Kerberos安全增强方法 |
| CN113612797A (zh) * | 2021-08-23 | 2021-11-05 | 金陵科技学院 | 一种基于国密算法的Kerberos身份认证协议改进方法 |
| CN114205110A (zh) * | 2021-11-02 | 2022-03-18 | 北京中安网星科技有限责任公司 | Ad域威胁检测方法、装置及电子设备 |
| CN114143103A (zh) * | 2021-12-06 | 2022-03-04 | 北京中安网星科技有限责任公司 | Ad域威胁检测方法、装置及电子设备 |
| CN115664868A (zh) * | 2022-12-28 | 2023-01-31 | 北京微步在线科技有限公司 | 安全等级确定方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116032660A (zh) | 2023-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10949534B2 (en) | Method for predicting and characterizing cyber attacks | |
| JP6894003B2 (ja) | Apt攻撃に対する防御 | |
| Ashoor et al. | Importance of intrusion detection system (IDS) | |
| US8931099B2 (en) | System, method and program for identifying and preventing malicious intrusions | |
| KR101689296B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| US7523499B2 (en) | Security attack detection and defense | |
| US6405318B1 (en) | Intrusion detection system | |
| US7925883B2 (en) | Attack resistant phishing detection | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| CN105430000A (zh) | 云计算安全管理系统 | |
| CN113672663B (zh) | 一种工业企业碳账户系统 | |
| JP2002342279A (ja) | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN113438249B (zh) | 一种基于策略的攻击溯源方法 | |
| Basholli et al. | Detection and prevention of intrusions into computer systems | |
| KR20220081145A (ko) | Ai 기반 이상징후 침입 탐지 및 대응 시스템 | |
| Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
| US11916953B2 (en) | Method and mechanism for detection of pass-the-hash attacks | |
| Kotlaba et al. | Active Directory Kerberoasting Attack: Detection using Machine Learning Techniques. | |
| Shrivastava et al. | Network forensics: Today and tomorrow | |
| KR101900494B1 (ko) | 계정 도용 탐지 방법 및 장치 | |
| CN116032660B (zh) | Ad域威胁识别方法、装置、电子设备和存储介质 | |
| Rosenthal | Intrusion Detection Technology: Leveraging the Organization's Security Posture. | |
| Ikuomola et al. | A framework for collaborative, adaptive and cost sensitive intrusion response system | |
| JP2023055581A (ja) | 不正検知装置、不正検知方法及び不正検知プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |