CN117061140A - 一种渗透防御方法和相关装置 - Google Patents
一种渗透防御方法和相关装置 Download PDFInfo
- Publication number
- CN117061140A CN117061140A CN202210493574.1A CN202210493574A CN117061140A CN 117061140 A CN117061140 A CN 117061140A CN 202210493574 A CN202210493574 A CN 202210493574A CN 117061140 A CN117061140 A CN 117061140A
- Authority
- CN
- China
- Prior art keywords
- account
- identification
- validity
- identified
- condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 505
- 230000007123 defense Effects 0.000 title claims abstract description 76
- 230000035515 penetration Effects 0.000 title claims abstract description 76
- 230000008569 process Effects 0.000 claims description 439
- 238000004891 communication Methods 0.000 claims description 67
- 230000004044 response Effects 0.000 claims description 30
- 238000012545 processing Methods 0.000 claims description 25
- 230000000977 initiatory effect Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 6
- 230000006399 behavior Effects 0.000 abstract description 90
- 230000002159 abnormal effect Effects 0.000 abstract description 30
- 238000005516 engineering process Methods 0.000 abstract description 26
- 230000000694 effects Effects 0.000 abstract description 10
- 238000013473 artificial intelligence Methods 0.000 abstract description 2
- 238000004458 analytical method Methods 0.000 description 22
- 238000010586 diagram Methods 0.000 description 22
- 238000007726 management method Methods 0.000 description 17
- 238000012544 monitoring process Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 13
- 238000001514 detection method Methods 0.000 description 10
- 239000008186 active pharmaceutical agent Substances 0.000 description 5
- 238000001914 filtration Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 3
- 230000033001 locomotion Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 101001037160 Xenopus laevis Homeobox protein Hox-D1 Proteins 0.000 description 2
- 239000007943 implant Substances 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种渗透防御方法和相关装置,本申请实施例可应用于云技术、云安全、端点安全、数据安全、安全防护、人工智能、智慧交通、辅助驾驶等各种场景。根据认证请求的元数据对攻击者的异常认证行为进行实时识别和拦截,从域渗透攻击行为的共性着手进行渗透防御,能够针对更多样化的域渗透攻击行为,提高网络域中的终端设备的安全性,此外基于认证请求的元数据进行的渗透防御,无需获取认证请求的内容,不会因为认证请求被加密而影响渗透防御效果,拓宽了渗透防御方法的适用场景,且可以从网络层面和主机行为层面进行多维度的渗透防御,提高了异常认证行为的识别精度,全方位提高网络域中终端设备的安全性。
Description
技术领域
本申请涉及数据处理领域,特别是涉及一种渗透防御方法和相关装置。
背景技术
在计算机网络中,可以以域的形式进行用户账号和计算机等安全主体的统一组织和管理,用户账号在计算机上登录,域控制器(Domain Controller,DC)可以对用户账号进行身份验证,并为用户账号分配对域内资源的访问权限。例如Windows域可用于进行Windows用户和计算机的统一组织和管理,Windows域通常用于企业环境,可以根据企业成员进行构建。
域渗透是针对网络中域环境的攻击,降低域内数据和资源的安全性,然而相关技术中针对域渗透的防御措施作用有限,不能满足实际需求。
发明内容
为了解决上述技术问题,本申请提供了一种渗透防御方法和相关装置,从域渗透的共性着手,进行多维度的渗透防御,提高网络域的安全性。
本申请实施例公开了如下技术方案:
一方面,本申请实施例提供了一种渗透防御方法,所述方法包括:
获取网络域中终端设备发送的认证请求;
响应于所述网络域中终端设备发送的认证请求,获取所述认证请求的元数据,其中,所述元数据包括待识别账号标识和用于发起所述认证请求的待认证进程的待识别进程标识;
通过所述元数据对所述认证请求进行合法性识别,其中,所述合法性识别包括进程合法性识别或账号合法性识别中的至少一种,所述进程合法性识别用于识别所述待识别进程标识对进程合法性条件的符合情况,所述账号合法性识别用于识别所述待识别账号标识对账号合法性条件的符合情况;
在所述认证请求未通过所述合法性识别的情况下,对所述待认证进程进行通信拦截处理。
另一方面,本申请实施例提供了一种渗透防御装置,所述装置包括:
认证请求获取单元,用于获取网络域中终端设备发送的认证请求;
元数据获取单元,用于响应于所述网络域中终端设备发送的认证请求,获取所述认证请求的元数据,其中,所述元数据包括待识别账号标识和用于发起所述认证请求的待认证进程的待识别进程标识;
合法性识别单元,用于通过所述元数据对所述认证请求进行合法性识别,其中,所述合法性识别包括进程合法性识别或账号合法性识别中的至少一种,所述进程合法性识别用于识别所述待识别进程标识对进程合法性条件的符合情况,所述账号合法性识别用于识别所述待识别账号标识对账号合法性条件的符合情况;
通信拦截单元,用于在所述认证请求未通过所述合法性识别的情况下,对所述待认证进程进行通信拦截处理。
另一方面,本申请实施例提供了一种计算机设备,所述计算机设备包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行所述的渗透防御方法。
另一方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质用于存储计算机程序,所述计算机程序用于执行所述的渗透防御方法。
另一方面,本申请实施例提供了一种包括指令的计算机程序产品,当其在计算机上运行时,使得所述计算机执行所述的渗透防御方法。
由上述技术方案可以看出,获取网络域中终端设备发送的认证请求,响应于网络域中终端设备发送的认证请求,获取认证请求的元数据,认证请求的元数据包括待识别账号标识和用于发起认证请求的待认证进程的待识别进程标识,由于攻击者需要利用终端设备向域控制器进行认证才能通过该终端设备访问相应服务,即攻击者发起的域渗透攻击行为总是从认证行为开始,因此可以根据认证请求的元数据对认证请求进行合法性识别,当确定认证请求未通过合法性识别时,认为该认证行为为异常认证行为,可以对待认证进程进行通信拦截处理,即可以根据认证请求的元数据对攻击者的异常认证行为进行实时识别和拦截,从域渗透攻击行为的共性着手进行渗透防御,能够针对更多样化的域渗透攻击行为,提高网络域中的终端设备的安全性,此外基于认证请求的元数据进行的渗透防御,无需获取认证请求的内容,不会因为认证请求被加密而影响渗透防御效果,拓宽了渗透防御方法的适用场景。
其中,异常认证行为在网络层面需要利用发起的进程进行通信,在终端设备的主机行为层面需要依赖于对账号的认证,因此可以设置合法性识别包括进程合法性识别或账号合法性识别中的至少一种,进程合法性识别用于识别待识别进程标识对进程合法性条件的符合情况,账号合法性识别用于识别待识别账号标识对账号合法性条件的符合情况,这样从网络层面和主机行为层面进行多维度的渗透防御,提高了异常认证行为的识别精度,全方位提高网络域中终端设备的安全性。具体的,当确定待识别进程标识不符合进程合法性条件时,说明待认证进程不是常规发起的进程,可以拦截待认证进程的通信,从网络层面实时对域渗透攻击行为进行识别和拦截;当确定待识别账号标识不符合账号合法性条件时,说明待识别账号标识不是终端设备常规使用的账号标识,可以对待认证进程进行通信拦截处理,从终端设备的主机行为层面实时对域渗透攻击行为进行识别和拦截。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种渗透防御系统的示意图;
图2为本申请实施例提供的一种渗透防御方法的流程图;
图3为本申请实施例提供的一种基于Kerberos协议的认证流程示意图;
图4为本申请实施例提供的一种基于NTLM协议的认证流程示意图;
图5A-5D为本申请实施例提供的合法性识别的流程示意图;
图6A和6B为本申请实施例提供的又一种合法性识别的流程示意图;
图7为本申请实施例提供的又一种合法性识别的流程示意图;
图8为本申请实施例提供的又一种合法性识别的流程示意图;
图9为本申请实施例提供的一种渗透防御系统的结构框图;
图10为本申请实施例提供的一种流量监测模块的功能示意图;
图11为本申请实施例提供的一种认证协议解析模块的功能示意图;
图12为本申请实施例提供的一种渗透防御装置的结构框图;
图13为本申请实施例提供的一种终端设备的结构图;
图14为本申请实施例提供的一种服务器的结构图。
具体实施方式
本申请提供了一种渗透防御方法和相关装置,从域渗透的共性着手,进行多维度的渗透防御,提高网络域的安全性。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“对应于”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
域渗透是针对网络中域环境的攻击,降低域内数据和资源的安全性,然而相关技术中针对域渗透的防御措施作用有限,其仅能针对特定的攻击行为,且在攻击流量包含加密数据时不能识别,也不能实时阻断攻击行为,不能满足实际需求。为了提高网络域的安全性,本申请实施例提供了一种渗透防御方法和相关装置,从域渗透的共性着手,进行多维度的渗透防御,有效提高网络域的安全性。
本申请实施例所提供的一种渗透防御方法可以通过计算机设备实施,该计算机设备可以是终端设备,终端设备包括但不限于手机、电脑、智能语音交互设备、智能家电、车载终端等。终端设备以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。其中,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云安全、端点安全、数据安全、安全防护、云计算等服务的云服务器。本申请实施例可应用于各种场景,包括但不限于云技术、云安全、数据安全、安全防护、人工智能、智慧交通、辅助驾驶等。
如本申请所公开的渗透防御方法或装置,其中多个服务器可组成为一区块链,而服务器为区块链上的节点。
可以理解的是,在本申请的具体实施方式中,涉及到用户账号等相关的数据,当本申请以上实施例运用到具体产品或技术中时,需要获得用户许可或者同意,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
下面结合附图,对本申请的实施例进行描述。
本申请实施例提供的一种渗透防御方法应用于图1所述的渗透防御系统,如图所示,渗透防御系统包括服务器20和至少一个终端设备10,且客户端部署于终端设备10上,服务器20作为网络域中的域控制器,其中,客户端可以通过浏览器的形式运行于终端设备10上,也可以通过独立的应用程序(application,APP)的形式运行于终端设备10上等,对于客户端的具体展现形式,此处不做限定。渗透防御方法可以应用于终端设备10,可以部署于终端设备10中的安全防御产品中,安全防御产品例如零信任产品、企业级终端检测与响应(Endpoint Detection and Response,EDR)产品或主机杀毒软件产品等中。
在域渗透攻击中,由于攻击者需要利用终端设备10向域控制器进行认证才能通过该终端设备10访问相应服务,即攻击者发起的域渗透攻击行为总是从认证行为开始,因此可以根据认证请求的元数据对认证请求进行合法性识别。具体的,客户端可以获取网络域中终端设备10发送的认证请求,获取该认证请求的元数据,认证请求的元数据包括待识别账号标识和用于发起认证请求的待认证进程的待识别进程标识。
当确定认证请求未通过合法性识别时,认为该认证行为为异常认证行为,可以对待认证进程进行通信拦截处理,即可以根据认证请求的元数据对攻击者的异常认证行为进行实时识别和拦截,从域渗透攻击行为的共性着手进行渗透防御,能够针对更多样化的域渗透攻击行为,提高网络域中的终端设备的安全性,而基于认证请求的元数据进行的渗透防御,无需获取认证请求的内容,不会因为认证请求被加密而影响渗透防御效果,拓宽了渗透防御方法的适用场景。
其中,异常认证行为在网络层面需要利用发起的进程进行通信,在终端设备的主机行为层面需要依赖于对账号的认证,因此可以设置合法性识别包括进程合法性识别或账号合法性识别中的至少一种,进程合法性识别用于识别待识别进程标识对进程合法性条件的符合情况,账号合法性识别用于识别待识别账号标识对账号合法性条件的符合情况,这样从网络层面和主机行为层面进行多维度的渗透防御,提高了异常认证行为的识别精度,全方位提高网络域中终端设备的安全性。
具体的,当确定待识别进程标识不符合进程合法性条件时,说明待识别进程不是常规发起的进程,可以对待认证进程进行通信拦截处理,从网络层面实时对域渗透攻击行为进行识别和拦截;当确定待识别账号标识不符合账号合法性条件时,说明待识别账号标识不是终端设备10常规使用的账号标识,可以对待认证进程进行通信拦截处理,从终端设备10的主机行为层面实时对域渗透攻击行为进行识别和拦截。
结合上述介绍,下面对本申请中渗透防御方法进行介绍,参见图2,为本申请实施例提供的一种渗透防御方法的流程图,该方法包括:
S101,获取网络域中终端设备发送的认证请求。
S102,响应于网络域中终端设备发送的认证请求,获取认证请求的元数据。
S103,通过元数据对认证请求进行合法性识别,合法性识别包括进程合法性识别或账号合法性识别中的至少一种。
S104,在认证请求未通过合法性识别的情况下,对发起该认证请求的待认证进程进行通信拦截处理。
在计算机网络中,可以以域(可以称为网络域)的形式进行用户账号和计算机等安全主体的统一组织和管理,用户账号在计算机上登录,域控制器作为域内的服务器,可以对用户账号进行身份验证,并为用户账号分配对域内资源的访问权限。例如Windows域可用于进行Windows用户和计算机的统一组织和管理,Windows域通常用于企业环境,可以根据企业成员进行构建。
以Windows域为例进行说明,域控制器又被称为域控,是Windows域内的最重要的服务器,其内保存有域内用户账号和计算机的口令的哈希(Hash)值,且运行了支撑Windows活动目录(Active Directory,AD)正常工作的各种服务,例如Kerberos、轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)、域名系统(Domain Name System,DNS)、网络时间协议(Network Time Protocol,NTP)以及各种远程过程调用协议(RemoteProcedure Call Protocol,RPC)服务。其中Windows活动目录是Windows域用于用户和计算机统一管理的目录服务,可以为Windows域环境提供所需各种服务,例如可提供企业级集中化的用户账号和计算机的配置管理、软件管理、统一身份认证和权限授予功能。
域渗透是针对网络中域环境的攻击,其中横向移动是域渗透攻击中重要的环节,横向移动指攻击者在获取一台终端设备后,尝试获取网络环境内其他主机权限的行为,以进一步提升权限和扩大攻击成果,降低域内数据和资源的安全性。然而相关技术中针对域渗透的防御措施作用有限,不能满足实际需求。
作为一种攻击防御技术,基于网络流量分析的攻击防御技术主要从网络通信层面进行攻击检测,可以对网络流量进行抓取分析,通过攻击流量识别技术来判断流量是否为攻击流量,识别出攻击流量后进行告警或阻断,然而这种方式往往需要预设规则或设置流量识别模型,预设规则需要人力资源维护,且仅能针对预设规则对应的特定的攻击行为,对于其他攻击行为不能有效识别,若需要识别多种攻击行为,则需要设置大量的预设规则,此外这种攻击流量识别技术对于加密流量的识别能力有限。
作为另一种攻击防御技术,基于主机行为检测的攻击防御技术是对用户主机上进行的动态行为检测,通过识别恶意行为来检测和防御攻击的技术,主要检测主机进程的命令执行、文件访问、进程访问、注册表操作、管道操作等操作,通过操作的发起者和操作对象来判断操作是否是攻击操作。主机行为可以包括用户层行为和内核层行为,用户层行为可以通过用户层应用程序编程接口(Application Programming Interface,API)挂钩(Hook)进行检测,内核层行为可以通过API Hook、注册内核回调、Intel-VT硬件虚拟化技术(Virtualization Technology,VT)实现检测,然而主机行为检测技术需要预先预定义恶意行为规则,需要消耗人力资源维护规则,仅能针对特定的攻击手段,对于其他攻击行为不能有效识别,若需要识别多种攻击行为,则需要设置大量的恶意行为规则,此外针对不产生相关主机行为的攻击手段无防御作用。
作为又一种攻击防御技术,基于主机日志分析的攻击防御技术,基于日志分析的攻击防御技术根据日志采集的位置不同,可以分为基于终端日志分析的攻击防御技术和基于域控日志分析的攻击防御技术,然而基于日志分析的攻击防御技术中,由于日志产生的时候攻击行为通常已被执行,这种方式无法进行实时拦截,而只能进行告警和事后分析。
在一些攻击场景中,攻击者可以在受害者主机植入网络代理程序从而利用网络代理程序转发恶意攻击流量,所有网络身份认证请求和攻击流量都由代理程序代为发起,这种攻击场景下,受害者主机不会产生异常的主机行为,网络请求大多是加密的,因此基于主机行为检测的攻击防御技术难以检测到相关攻击。在另一些攻击场景中,攻击者在受害者主机运行自定义恶意程序构造网络身份认证请求,构造的网络请求也大多是加密的,利用攻击流量识别技术和基于主机行为检测的攻击防御技术难以检测到相关攻击。在又一些攻击场景中,攻击者可以借助系统API进行网络身份认证,攻击者可以在受害者主机植入木马程序,通过木马程序调用系统API,例如通过已获得的高权限用户凭据,以高权限用户身份进行身份认证、创建用户会话或执行命令,或为当前会话导入高权限用户凭据等,以利用系统进程发起或完成身份认证,这种攻击场景下,网络身份认证请求由系统进程发起,从认证流量内容上难以和正常系统进程发起的认证流量进行区分,此类攻击的检测具有一定难度。
发明人经过研究发现,在域渗透攻击中,尽管攻击手段繁多,但是各种攻击方式中,攻击者均需要利用终端设备向域控制器进行认证才能通过该终端设备访问相应服务,即攻击者发起的域渗透攻击行为总是从认证行为开始,因此可以对认证请求进行合法性识别,进而根据认证请求判断该认证请求是否为异常认证请求,若是,则可能存在攻击行为。本申请实施例中,从域渗透攻击行为的共性着手进行渗透防御,能够针对更多样化的域渗透攻击行为,在一定程度上可以防御未知域渗透攻击行为,提高网络域中的终端设备的安全性,同时可以解决基于规则检测的大量规则维护的问题,以及一些攻击手段难以开发对应规则的问题。
本申请实施例中,可以获取网络域中终端设备发送的认证请求,基于认证请求获取认证请求的元数据,根据元数据对认证请求进行合法性识别,认证请求的元数据是用于描述认证请求的数据,包括待识别账号标识和用于发起认证请求的待认证进程的待识别进程标识,其中待识别账号标识可以包括待识别账号名称、待识别终端设备名、待识别活动目录域名等中的至少一个,待识别进程标识包括待识别可执行文件名称、待识别进程签名、哈希值等中的至少一个。基于认证请求的元数据进行的渗透防御,无需获取认证请求的内容,不会因为认证请求被加密而影响渗透防御效果,拓宽了渗透防御方法的适用场景,解决加密的攻击流量难以被检测的问题。
当确定认证请求未通过合法性识别时,则确定该认证行为为异常认证行为,可以对待认证进程进行通信拦截处理,即可以根据认证请求的元数据对攻击者的异常认证行为进行实时识别和拦截。其中,异常认证行为在网络层面需要利用发起的进程进行通信,在终端设备的主机行为层面需要依赖于对账号的认证,因此可以设置合法性识别包括进程合法性识别或账号合法性识别中的至少一种,进程合法性识别用于识别待识别进程标识对进程合法性条件的符合情况,账号合法性识别用于识别待识别账号标识对账号合法性条件的符合情况,这样从网络层面和主机行为层面进行多维度的渗透防御,提高了异常认证行为的识别精度,全方位提高网络域中终端设备的安全性。
具体的,当确定待识别进程标识不符合进程合法性条件时,说明待认证进程不是常规发起的进程,而是攻击者利用终端设备建立的进程,该认证请求的发送属于异常认证行为,因此可以对待认证进程进行通信拦截处理,从网络层面实时对域渗透攻击行为进行识别和拦截,保证了网络域中终端设备的安全;当确定待识别账号标识不符合账号合法性条件时,说明待识别账号标识不是终端设备常规使用的账号标识,而是攻击者利用终端设备使用的其他账号标识,该认证请求的发送属于异常认证行为,因此可以对待认证进程进行通信拦截处理,从终端设备的主机行为层面实时对域渗透攻击行为进行识别和拦截,保证了网络域中终端设备的安全。
在S101中,可以获取网络域中终端设备发送的认证请求。具体的,认证请求所采用的认证协议的协议类型可以为第一类型,第一类型的认证协议例如可以为Kerberos类型的协议等;认证请求所采用的认证协议的协议类型也可以为第二类型,第二类型的认证协议例如可以为新技术局域网管理器(New Technology LAN Manager,NTLM)类型的协议等。其中NTLM协议是一种问询/应答身份验证协议,是一种嵌入式的认证协议,NTLM消息会被嵌入到其他协议的通信流量中,比如嵌入到服务器信息块(Server Message Block,SMB)、MS-RPC、超文本传输协议(Hyper Text Transfer Protocol,HTTP)、LDAP、DCOM、WMI、NBSS、Windows远程管理(Windows Remote Management,WinRM)等协议中。实际应用中,域渗透中最常用的攻击手法大多数依赖于Kerberos协议或NTLM协议。
Kerberos是由麻省理工学院(简称MIT)提出的一种适用于分布式网络环境的双向认证协议,它依赖于对称加密体制,允许客户端和服务端同时向对方证明自己的身份,并且为客户端提供了统一身份认证的功能,客户端仅需维护一个口令,即可向当前域中的所有服务进行身份认证。微软在MIT实现的Kerberos协议基础上新增了部分特性,并将其用作Windows域环境下的默认身份认证协议。
Kerberos协议的通信流程涉及三个实体:客户端(client)、服务端(ApplicationServer)和密钥分发中心(Key Distribution Center,简称KDC),参见图3,为本申请实施例提供的一种基于Kerberos协议的认证流程示意图,KDC包含两个关键服务:认证服务(Authentication Server,AS)和票据授予服务(Ticket Granting Server,TGS)。在Windows的实现中域控制器被作为KDC的角色,AS服务和TGS服务均位于域控制器上,作为AS服务器和TGS服务器。
参见图3,基于Kerberos协议的认证流程可以包括:AS请求(Request,REQ)/AS应答(Reply,REP)、TGS请求(Request,REQ)/TGS应答(Reply,REP)、应用服务(Application,AP)请求(Request,REQ)/AP应答(Reply,REP)三个阶段。其中,在AS-REQ/AS-REP阶段,客户端与AS服务器进行通信,客户端利用用户秘钥加密时间戳,通过AS-REQ消息将加密后的数据发送给AS服务器。KDC作为AS服务器,同样保存有用户秘钥,使用用户秘钥来解密AS-REQ中的加密数据来验证用户身份,身份验证通过后,用户登录成功,AS服务器会生成一个票据授予票据(Ticket Granting Ticket,TGT)通过AS-REP消息返回给客户端,AS-REQ消息和AS-REP消息中具有待识别账户标识和待识别域名标识,例如待识别账户标识为待识别账户名称,表示为cname,可以为Administrator。在TGS-REQ/TGS-REP阶段,客户端在用户身份认证通过后,若需要访问服务端上的服务,则需要使用已有的TGT通过TGS-REQ向TGS服务器申请一张访问该服务的服务票据(Service Ticket,ST),TGS服务器通过TG-REP向客户端发送ST,TGS-REQ消息和TGS-REP消息中具有待认证服务标识。在AP-REQ/AP-REP阶段,客户端用户在拿到ST之后,可以通过AP-REQ将ST提交给服务端,服务端会验证ST的有效性,如果票据有效,返回AP-REP,客户端用户就可以成功通过身份认证访问服务端上的服务。
Windows域环境的服务可以通过标识符表示,该标识符称为服务主体名称(Service Principal Name,SPN),SPN本质上是绑定在服务账户上的一个唯一的字符串,通常由服务名称和主机名组成,例如主机名为dc.xlab.sec的主机的SMB服务的SPN为cifs/dc.xlab.sec。
基于Kerberos协议的攻击手法可以包括AS-REP Roasting攻击、Kerberoasting攻击、Kerberos委派攻击、Kerberos证书认证攻击、票据传递攻击、黄金票据攻击等。在认证协议的协议类型为Kerberos协议时,认证请求的请求类型可以为AS-REQ或TGS-REQ中的至少一种,即可以获取网络域中终端设备发送的AS-REQ,或获取网络域中终端设备发送的TGS-REQ。
NTLM是Windows早期的认证协议,之后因兼容性考虑被保存下来,它也同样支持Windows域内统一身份认证,是Windows域默认支持的重要的身份认证协议之一。NTLM协议基于挑战响应(Challenge/Response)认证模式,认证流程主要分为三个阶段,发送NTLM_NEGOTIATE(又被称为NTLM Type1 Message)消息的协商阶段,发送NTLM_CHALLENGE(又被称为NTLM Type2 Message)消息的挑战阶段,发送NTLM_AUTH(又被称为NTLM Type3Message)消息的认证阶段。
参见图4,为本申请实施例提供的一种基于NTLM协议的认证流程示意图,在协商阶段,客户端向服务端发送NTLM_NEGOTIATE协商消息,告知服务端客户端支持的NTLM选项,比如消息签名、加密算法等。在挑战阶段,服务端接收到客户端的请求后,向客户端发送NTLM_CHALLENGE消息,消息中包含服务端支持的NTLM选项的随机数,该随机数就是服务挑战(Server Challenge),可以为8字节的随机数。在认证阶段,客户在拿到服务挑战后,使用口令声称的哈希值对服务挑战进行加密运算后,生成响应数据,并通过NTLM_AUTH将响应数据发送给服务端。服务端拿到响应数据后,通过登录(NETLOGON)协议将其提交域控制器,域控制器验证响应是否正确,如果正确,用户即可登录成功(SUCCESS)。
基于NTLM协议的攻击手法可以包括哈希传递攻击、CVE-2021-42278、CVE-2021-42287等。在认证协议的协议类型为NTLM协议时,认证请求的请求类型可以为NTLM Type3Message,即可以获取网络域中终端设备发送的NTLM Type3 Message。
认证协议的发送可以通过终端设备的端口,则可以通过终端设备的目标端口获取认证请求,目标端口可以为与认证协议对应的端口。具体实施时,可以通过对端口进行检测获取通过该端口发送的认证请求,即对终端设备的端口进行流量监测。对端口进行流量监测,可以使用过滤平台(Windows Filter Platform,WFP)网络驱动过滤技术实现,该技术所需程序可以运行在内核层,当然,流量监测也可以通过网络传输层过滤(Transport DriverInterface,TDI)技术或用户层Hook技术实现。在认证协议包括Kerberos协议和NTLM协议时,为了针对Kerberos协议和NTLM协议的流量进行检测,可以对这两个协议对应的端口进行流量监测,参见表1,为进行流量监测的端口的示例。
表1进行流量监测的端口
利用WFP进行流量监测可以具体为,通过WFP设置四个过滤点和自定义监测(callout)函数,四个过滤点可以包括FWPM_LAYER_STREAM_V4、FWPM_LAYER_STREAM_V6、FWPM_LAYER_DATAGRAM_DATA_V4和FWPM_LAYER_DATAGRAM_DATA_V6,其中,FWPM_LAYER_STREAM_V4和FWPM_LAYER_STREAM_V6用于监测IPv4/IPv6 TCP通信,FWPM_LAYER_DATAGRAM_DATA_V4和FWPM_LAYER_DATAGRAM_DATA_V6用于监测IPv4/IPv6 UDP通信。这样,不属于被监测流量的端口的流量被直接放行,而属于被监测流量的端口的流量的信息被自定义监测函数获取到。
在S102中,可以基于认证请求获取认证请求的元数据,元数据是用于描述认证请求的数据,可以包括待识别账号标识、待识别进程标识(PID)等,此外,元数据还可以包括认证协议的协议类型、源地址、目的地址、源端口、目的端口。
举例来说,认证请求的认证协议为Kerberos协议时,元数据可以包括通信协议类型(例如TCP/UDP)、请求协议类型(例如AS-REQ/TGS-REQ)、源地址、目的地址、源端口、目的端口、待识别进程标识、待识别进程命令行、待识别账号标识、待识别域名标识、待识别服务标识等,其中,认证协议的协议类型可以根据请求协议类型确定。待识别账号标识、待识别域名标识可以从AS-REQ中获得,待识别服务标识可以从TGS-REQ中获得。
认证请求的认证协议为NTLM协议时,可以从嵌入NTLM协议的其他协议的数据中获取认证请求,其他协议例如MS-RPC协议、DCOM协议、WMI协议、SMB协议、NBSS协议、WinRM协议等,元数据可以包括通信协议类型(例如TCP/UDP)、子协议类型(例如MS-RPC/DCOM/WMI/SMB/NBSS/WinRM/LDAP)、源地址、目的地址、源端口、目的端口、待识别进程标识、待识别进程命令行、待识别账号标识、待识别域名标识、待识别服务标识等,其中,认证协议的协议类型可以根据子协议类型确定。
认证请求包括经过加密的数据包,由于对认证请求的合法性识别依赖于认证请求的元数据,元数据包含大量明文数据,因此即使认证请求包括经过加密的数据包,也不影响合法性识别的准确性。
认证请求的元数据可以通过对认证请求进行解析得到,对认证请求的解析可以根据协议解析控制规则进行,协议解析控制规则用于定义需要进行解析的协议,若认证请求采用需要进行解析的协议,则获取认证请求的元数据,若认证请求的协议根据协议解析控制规则确定为不需要解析的协议,则可以不进行元数据的获取。协议解析控制规则可以由企业管理员统一管控,终端设备在需要时进行查找即可,不能通过终端设备进行配置,以保证协议解析的安全性。在对认证请求进行解析时,若认证请求的元数据不包含某字段,在获取元数据时将该字段置空即可。在嵌入NTLM协议的其他协议中可能存在加密字段,这些加密字段在进行元数据获取时可以不进行解密。
在S103中,可以通过元数据对认证请求进行合法性识别,对认证请求的合法性识别包括进程合法性识别或账号合法性识别中的至少一种,其中进程合法性识别用于识别待识别进程标识对进程合法性条件的符合情况,从而确定待认证进程是否为伪造进程,有效识别出网络代理程序创建进程进行的认证请求,以及自定义恶意程序创建进程进行的认证请求,账号合法性识别用于识别待识别账号标识对账号合法性条件的符合情况,从而确定待识别账号标识为否为合法账号,有效识别出木马程序调用系统API以已获得的高权限用户身份进行的身份认证等,其中进程合法性条件根据认证请求所采用的认证协议的协议类型确定,账号合法性条件根据终端设备确定。
具体的,可以根据认证协议确定认证协议的协议类型,并根据认证协议的协议类型确定进程合法性条件,其中,认证协议的协议类型可以为第一类型,例如认证协议为Kerberos协议,认证协议的协议类型也可以为第二类型,例如认证协议为NTLM协议。具体的,可以根据终端设备的账号信息确定账号合法性条件,终端设备的账号信息例如为终端账号绑定的合法账号标识,则账号合法性条件可以包括终端设备绑定的合法账号标识。
在一些可能的实现方式中,对认证请求的合法性识别包括进程合法性识别,参见图5A,为本申请实施例提供的一种合法性识别的示意图,认证请求的元数据还可以包括认证请求所采用的认证协议,则通过元数据对认证请求进行合法性识别,可以具体为,根据认证协议确定认证协议的协议类型,并根据认证协议的协议类型确定进程合法性条件,基于进程合法性条件,识别待识别进程标识对进程合法性条件的符合情况,当符合情况为待识别进程标识不符合进程合法性条件时,确定认证请求未通过合法性识别,当符合情况为待识别进程标识符合进程合法性条件时,确定认证请求通过合法性识别。
在另一些可能的实现方式中,对认证请求的合法性识别包括账号合法性识别,参见图5B,为本申请实施例提供的另一种合法性识别的示意图,则通过元数据对认证请求进行合法性识别,可以具体为,根据终端设备的账号信息确定账号合法性条件,基于账号合法性条件,识别待识别账号标识对账号合法性条件的符合情况,当符合情况为待识别账号标识不符合账号合法性条件时,确定认证请求未通过合法性识别,当符合情况为待识别账号标识符合账号合法性条件时,确定认证请求通过合法性识别。
在又一些可能的实现方式中,对认证请求的合法性识别包括进程合法性识别和账号合法性识别,参见图5C,为本申请实施例提供的又一种合法性识别的示意图,认证请求的元数据还可以包括认证请求所采用的认证协议,则通过元数据对认证请求进行合法性识别,可以具体为,先进行进程合法性识别,再进行账号合法性识别。具体的,可以根据认证协议确定认证协议的协议类型,并根据认证协议的协议类型确定进程合法性条件,基于进程合法性条件,识别待识别进程标识对进程合法性条件的符合情况,当该符合情况为待识别进程标识符合进程合法性条件时,根据终端设备的账号信息确定账号合法性条件,基于账号合法性条件,识别待识别账号标识对账号合法性条件的符合情况,当该符合情况为待识别账号标识不符合账号合法性条件时,确定认证请求未通过合法性识别。当然,在确定待识别进程标识不符合进程合法性条件时,确定认证请求未通过合法性识别,可以不进行账号合法性识别;在确定待识别账号标识符合账号合法性条件时,确定认证请求通过合法性识别。
在又一些可能的实现方式中,对认证请求的合法性识别包括进程合法性识别和账号合法性识别,参见图5D,为本申请实施例提供的又一种合法性识别的示意图,认证请求的元数据还可以包括认证请求所采用的认证协议,则通过元数据对认证请求进行合法性识别,可以具体为,先进行账号合法性识别,再进行进程合法性识别。具体的,可以根据终端设备的账号信息确定账号合法性条件,基于账号合法性条件,识别待识别账号标识对账号合法性条件的符合情况,当该符合情况为待识别账号标识符合账号合法性条件时,根据认证协议确定认证协议的协议类型,并根据认证协议的协议类型确定进程合法性条件,基于进程合法性条件,识别待识别进程标识对进程合法性条件的符合情况,当该符合情况为待识别进程标识不符合进程合法性条件时,确定认证请求未通过合法性识别。当然,在确定待识别账号标识不符合账号合法性条件时,确定认证请求未通过合法性识别,可以不进行进程合法性识别;在确定待识别进程标识符合进程合法性条件时,确定认证请求通过合法性识别。
其中,进程合法性识别用于识别待识别进程标识对进程合法性条件的符合情况,从而确定待认证进程是否为伪造进程。进城合法性识别可以根据不同类型的认证协议有不同的实现方式。
具体的,基于进程合法性条件识别待识别进程标识对进程合法性条件的符合情况,可以具体为,在确定认证协议的协议类型为第一类型时,确定待识别进程标识指示的待识别进程类别以及进程合法性条件,进程合法性条件可以包括第一类型对应的进程类别,基于进程合法性条件识别待识别进程类别对进程合法性条件的符合情况,当符合情况为待识别进程类别不符合进程合法性条件时,确定待识别进程标识不符合进程合法性条件。例如认证协议为Kerberos协议,属于第一类型的协议,第一类型对应的进程类别为本地安全权限服务(Local Security Authority Service,LSASS)进程类别,在待识别进程类别不为LSASS进程类别时,可以确定待识别进程标识不符合进程合法性条件。具体的,可以将元数据中的待识别进程标识与LSASS进程的进程标识(PID)进行对比来确定待识别进程类别是否为LSASS进程类别,LSASS进程的进程标识在终端设备启动时获取。
具体实施时,在确定待识别进程类别符合进程合法性条件时,可以直接确定待识别进程标识符合进程合法性条件。在确定待识别进程类别符合进程合法性条件时,还可以确定待认证进程的进程签名是否为合法签名,若否,确定待识别进程标识不符合进程合法性条件,若是,确定待识别进程标识符合进程合法性条件。例如,确定待识别进程类别为LSASS进程类别后,还可以根据LSASS进程的进程签名校验待认证进程的进程签名和哈希值,防止攻击者伪造同名进程。
具体的,基于进程合法性条件识别待识别进程标识对进程合法性条件的符合情况,可以具体为,在确定认证协议的协议类型为第二类型时,确定待识别进程标识指示的待识别进程签名以及进程合法性条件,进程合法性条件包括待认证进程在认证协议下的合法签名,识别待识别进程签名与进程合法性条件的符合情况,当符合情况为待识别进程签名不符合进程合法性条件时,确定待识别进程标识不符合进程合法性条件,当符合情况为待识别进程签名符合进程合法性条件时,确定待识别进程标识符合进程合法性条件。例如认证协议为NTLM协议,属于第二协议,NTLM协议待认证进程具有合法签名,若待认证进程不具有签名,或待识别进程签名与合法签名不同,则可以确定待识别进程签名不符合进程合法性条件。
通过账号合法性条件的识别,可以识别出终端设备的权限提升行为,权限提升行为指攻击者尝试获得与合法账号标识同级别或更改级别的其他账号标识所对应的权限。具体的,基于账号合法性条件,识别待识别账号标识对于账号合法性条件的符合情况,可以具体为,确定帐号合法性条件,账号合法性条件包括终端设备绑定的合法账号标识,基于账号合法性条件,识别待识别账号标识与账号合法性条件的符合情况。具体实施时,在待识别账号标识和合法账号标识不匹配时,可以确定待识别账号标识不符合账号合法性条件,在待识别账号标识和合法账号标识匹配时,认为待识别账号标识符合账号合法性条件。
其中,可以通过终端设备在网络域中的初始化,获取与终端设备绑定的合法账号标识,合法账号标识可以为域内账号标识或终端设备的账号标识,合法账号标识在第一次初始化时获取并存储,例如存储在注册表中,在需要使用时读取即可。也就是说,可以获取终端设备绑定的合法账号标识,在待识别账号标识指示的账号和合法账号标识不匹配时,说明待识别账号标识不为该终端设备常规使用的账号标识,往往是攻击者利用植入的木马程序调用系统API,利用其他账号进行认证,则可以确定待识别账号标识不符合账号合法性条件。
下面以合法性识别包括进程合法性识别和账号合法性识别,且先进行进程合法性识别,再进行账号合法性识别为例进行说明。
参见图6A,为本申请实施例提供的又一种合法性识别的流程示意图,在根据认证请求的元数据确定认证协议的协议类型为第一类型,例如根据AS-REQ或TGS-REQ的元数据确定认证协议的协议类型为Kerberos协议时,先进行进程合法性识别,根据认证协议确定进程合法性条件包括第一类型对应的进程类别,例如LSASS进程类别,进程合法性识别可以具体为判断待认证进程的进程类别是否为第一类型对应的进程类别,例如是否为LSASS类别进程,若否,则确定待识别进程标识不符合进程合法性条件,认证请求未通过合法性识别,若是,则确定认证请求通过进程合法性识别,可以进行账号合法性识别。在账号合法性识别中,可以根据终端的账号信息确定账号合法性条件,账号合法性条件可以包括终端绑定的合法账号标识,账号合法性识别可以具体为判断待识别账号标识是否为终端设备绑定的合法账号标识,若否,则确定待识别账号标识不符合账号合法性条件,认证请求未通过合法性识别,若是,则确定待识别账号标识符合账号合法性条件,认证请求通过合法性识别。
参见图6B,为本申请实施例提供的又一种合法性识别的流程示意图,在根据认证请求的元数据确定认证协议的类型为第二类型,例如根据NTLM Type3 Message(NTLM_AUTH)的元数据确定认证协议的协议类型为NTLM协议时,先进行进程合法性识别,根据认证协议确定进程合法性条件包括进程签名为合法签名,进程合法性识别可以具体为判断待认证进程的进程签名是否为合法签名,若否,则确定待识别进程标识不符合进程合法性条件,认证请求未通过合法性识别,若是,则确定认证请求通过进程合法性识别,可以进行账号合法性识别。在账号合法性识别中,可以根据终端的账号信息确定账号合法性条件,账号合法性条件可以包括终端绑定的合法账号标识,账号合法性识别可以具体为判断待识别账号标识是否为终端设备绑定的合法账号标识,若否,则确定待识别账号标识不符合账号合法性条件,认证请求未通过合法性识别,若是,则确定待识别账号标识符合账号合法性条件,认证请求通过合法性识别。
本申请实施例中,在确定认证请求未通过进程合法性识别时,可以确定待识别进程标识是否在安全进程列表中,若是,确定待识别进程标识所指示的进程为安全的进程,可以允许待认证进程的通信,或可以继续进行账号合法性识别,若否,确定待识别进程标识所指示的进程不为安全的进程,结合认证请求未通过合法性识别,此时认为认证请求为异常认证行为,可以确定认证请求未通过合法性识别。判断待识别进程标识是否在安全进程中,可以通过进程哈希值对比来判断。安全进程列表可以由企业管理员统一管控,终端设备在需要时进行查找即可,安全进程列表可以由使用终端设备的用户通过终端设备进行更改,并记录通过终端设备进行安全进程列表的更改信息。
本申请实施例中,元数据中还可以包括待识别服务标识,则在确定认证协议的协议类型为第一类型时,可以确定待识别服务标识是否为待认证服务列表中的服务标识,若是,确定待识别服务标识对应需要检测的服务,该服务的安全性要求较高,则可以继续进行账号合法性识别,若否,确定待识别服务标识不对应需要检测的服务,该服务的安全性要求不高,则可以不进行账号合法性识别而允许待认证进程的通信。待认证服务列表提供针对服务的细粒度的防御功能,可以由企业管理员统一管控,终端设备在需要时进行查找即可,终端设备不能对待认证服务列表进行更改,以保证域渗透攻击行为检测的准确性。
类似的,在元数据中包括待识别服务标识时,可以在认证协议的协议类型为第一类型后,确定待识别服务标识是否为安全服务列表中的服务标识,若是,确定待识别服务标识对应安全性较高的服务,则可以不进行账号合法性识别而允许待认证进程的通信,若否,确定待识别服务标识对应安全性较低的服务,则可以进行账号合法性识别。安全服务列表提供针对服务的细粒度的防御功能,可以由企业管理员统一管控,终端设备在需要时进行查找即可,终端设备不能对安全服务列表进行更改,以保证域渗透攻击行为检测的准确性。
本申请实施例中,在确定认证协议的协议类型为第二类型时,可以确定待识别账号标识是否为空,待识别账号标识在待识别账号标识指示的账号为匿名账号是被置空,若是,确定待识别账号标识所指示的账号为匿名账号,则可以不进行账号合法性识别而允许待认证进程的通信,若否,可以进行账号合法性识别。
本申请实施例中,还可以获取针对认证请求的应答消息,确定应答消息中认证结果是否是通过认证,例如,在认证请求为AS-REQ消息时,针对认证请求的应答消息为AS-REP消息,在认证请求为TGS-REQ消息时,针对认证请求的应答消息为TGS-REP消息,在认证请求为NTLM Type3 Message(NTLM_AUTH)消息时,针对认证请求的应答消息为相应的登录成功响应。若确定应答消息中的认证结果为不通过认证,则确定待识别账号标识所指示的账号不会获取后续的服务,因此可以允许待认证进程的通信,若确定应答消息中的认证结果为通过认证,则需要继续对认证请求进行合法性识别,例如可以对认证请求进行账号合法性识别。
本申请实施例中,还可以确定待识别账号标识是否为安全账号列表中的账号标识,若是,确定待识别账号标识对应安全性较高的账号,可以不进行账号合法性识别而允许待认证进程的通信,若否,确定待识别账号标识对应安全性较低的账号,则可以进行账号合法性识别。安全账号列表可以由企业管理员统一管控,终端设备在需要时进行查找即可,安全账号列表可以由使用终端设备的用户通过终端设备进行更改,并记录通过终端设备进行安全账号列表的更改信息。
以上描述的确定待识别进程标识是否在安全进程列表中、确定待识别服务标识是否为待认证服务列表中的服务标识、确定待识别账号标识是否为空、确定应答消息中认证结果是否是通过认证、确定待识别账号标识是否为安全账号列表中的账号标识等步骤,均可以在账号合法性识别之前执行,在这些确定步骤中的多个步骤被执行的场景中,被执行的步骤之间的顺序可以任意设置。
下面以执行多个上述的确定步骤为例进行说明。
参见图7,为本申请实施例提供的又一种合法性识别的流程示意图,在根据认证请求的元数据确定认证协议的协议类型为第一类型,例如根据AS-REQ或TGS-REQ的元数据确定认证协议的协议类型为Kerberos协议时,先进行进程合法性识别,根据认证协议确定进程合法性条件包括第一类型对应的进程类别,例如LSASS进程类别,进程合法性识别可以具体为判断待认证进程的进程类别是否为第一类型对应的进程类别,例如是否为LSASS类别进程,若待认证进程的进程类别不为第一类型对应的进程类别,则确定待识别进程标识不符合进程合法性条件,可以进一步确定待识别进程标识是否在安全进程列表中,若是,则进行进一步的确定,若否,则确定认证请求未通过合法性识别。
若通过前述识别确定待认证进程的进程类别为第一类型对应的进程类别,或待识别进程标识在安全进程列表中,则可以确定针对AS-REQ或TGS-REQ的应答消息AS-REP或TGS-REP中认证结果是否为通过认证,若否,则允许待认证进程的通信,若是,则进行进一步的确定。若确定应答消息AS-REP或TGS-REP中认证结果为通过认证,则可以继续确定待识别账号标识是否为安全账号列表中的账号标识,若是,则允许待认证进程的通信,若否,则进行进一步的确定。若确定待识别账号标识不为安全账号列表中的账号标识,可以继续确定待识别服务标识是否为待认证服务列表中的服务标识,若否,则允许待认证进程的通信,若是,则进行进一步的确定。若确定待识别服务标识为待认证服务列表中的服务标识,则进行账号合法性识别,根据终端的账号信息确定账号合法性条件,账号合法性条件可以包括终端绑定的合法账号标识,账号合法性识别可以具体为确定待识别账号标识是否为终端设备绑定的合法账号标识,若否,则确定待识别账号标识不符合账号合法性条件,认证请求未通过合法性识别,若是,则确定待识别账号标识符合账号合法性条件,认证请求通过合法性识别,允许待认证进程的通信。
参见图8,为本申请实施例提供的又一种合法性识别的流程示意图,在根据认证请求的元数据确定认证协议的协议类型为第二类型,例如根据NTLM Type3 Message(NTLM_AUTH)的元数据确定认证协议的协议类型为NTLM协议时,先进行进程合法性识别,根据认证协议确定进程合法性条件包括进程签名为合法签名,进程合法性识别可以具体为判断待认证进程的进程签名是否为认证协议对应的合法签名,若否,确定待识别进程标识不符合进程合法性条件,则可以进一步确定待认证进程是否在安全进程列表中,若是,则进行进一步的确定,若否,则确定认证请求未通过合法性识别。
若通过前述识别确定待认证进程的进程签名为认证协议对应的合法签名,或待识别进程标识在安全进程列表中,则可以确定针对NTLM_AUTH的应答消息中认证结果是否为通过认证,若否,则允许待认证进程的通信,若是,则进行进一步的确定。若确定应答消息中认证结果为通过认证,则可以继续确定待识别账号标识是否为空,若是,则允许待认证进程的通信,若否,则进行进一步的确定。若确定待识别账号标识不为空,则可以继续确定待识别账号标识是否为安全账号列表中的账号标识,若是,则允许待认证进程的通信,若否,则进行进一步的确定。若确定待识别账号标识不为安全账号列表中的账号标识,可以进行账号合法性识别,根据终端的账号信息确定账号合法性条件,账号合法性条件可以包括终端绑定的合法账号标识,账号合法性识别可以具体为确定待识别账号标识是否为终端设备绑定的合法账号标识,若否,则确定待识别账号标识不符合账号合法性条件,认证请求未通过合法性识别,若是,则确定待识别账号标识符合账号合法性条件,认证请求通过合法性识别,允许待认证进程的通信。
在S104中,在认证请求未通过合法性识别的情况下,确定认证请求为异常认证行为,可以对发起该认证请求的待认证进程进行通信拦截处理,参见图7和图8,从而可以及时发现异常认证行为并快速响应,拦截攻击者对该终端设备的攻击行为,同时可以拦截攻击者以该终端设备为跳板对网络域环境的攻击,防止攻击者进一步危害网络域环境中其他终端设备或提升该终端设备的权限,提高网络域中的终端设备的安全性。
在对待认证进程进行通信拦截处理之后,还可以根据合法性识别得到的符合情况在终端设备显示异常告警信息,参见图7和图8,异常告警信息可以包括异常行为和认证请求的元数据,以供终端设备的使用者及时分析和处理恶意进程,并识别攻击者意图。此外,还可以向管理设备发送异常告警信息,以便管理设备进行统一展示、处理和通报企业管理员,管理设备可以为服务端,或为登录有管理员权限的账号的终端设备。
本申请实施例中,终端设备中实现渗透防御功能的功能模块构成渗透防御系统,参见图9,为本申请实施例提供的一种渗透防御系统的结构框图,渗透防御系统包括攻击防御模块和管理模块,其中,攻击防御模块分为流量监测模块、认证协议解析模块、NTLM攻击防御模块和Kerberos攻击防御模块。流量监测模块用于监测Kerberos流量和域内常见通信协议中携带的NTLM认证流量,以获取认证请求;认证协议解析模块用于根据协议解析控制规则解析协议内容,获取协议中认证相关的元数据;NTLM攻击防御模块用于通过对认证请求进行合法性识别,防御从主机发起的NTLM认证协议相关攻击;Kerberos攻击防御模块,用于通过对认证请求进行合法性识别,防御从主机发起的Kerberos协议相关攻击。
管理模块主要用于管理列表、规则和异常告警信息,并与统一管理平台(可以为前述的管理设备)互相同步数据,该模块分为规则管理模块和异常告警模块。规则管理主要是用于同步统一管理平台下发的规则或列表,以及管理主机用户自定义的规则或列表。异常告警模块主要用于将攻击防御模块产生的告警信息上报给统一管理平台。
参见图10,为本申请实施例提供的一种流量监测模块的功能示意图,流量监测模块,主要用于监测主机对外发出的TCP和UDP流量,若认证请求采用需要进行解析的协议,则获取认证请求的元数据,若认证请求的协议根据协议解析控制规则确定为不需要解析的协议,则可以不进行元数据的获取,将获取的元数据和通信数据包内容交给认证协议解析模块进行解析。认证协议解析模块的解析结果交给NTLM攻击防御模块和Kerberos攻击防御模块,根据防御模块的识别结果来让流量检测模块决策是允许流量通行还是对流量进行拦截。
参见图11,为本申请实施例提供的一种认证协议解析模块的功能示意图,认证协议解析模块主要用于解析流量监测模块中发现的Kerberos认证协议流量、以及使用了NTLM认证的其他通信流量。因为Kerberos协议单独的TCP/UDP连接,而NTLM协议是一种嵌入式认证协议,它认证过程会被嵌入到其他通信协议中。所以协议解析模块主要分为两大部分,一部分用于解析Kerberos流量,另一部分用于处理嵌入到其他协议中的NTLM认证流量。Kerberos流量解析主要解析AS-REQ、TGS-REQ和TGS-REP三种流量,该流量中包括认证请求AS-REQ、TGS-REQ,以及响应消息TGS-REP,对流量脊形协议字段解析,从中获取Kerberos认证元数据,并向Kerberos攻击防御模块发送该元数据。NTLM认证流量会被嵌入到其他协议中,在本模块中只需要关注MS-RPC协议、DCOM协议、WMI协议、SMB协议、NBSS协议、WinRM协议即可,这些协议具有相应的解析模块,分别用于对这些流量进行解析,主要解析NTLM Type1Message、NTLM Type2 Message、NTLM Type3 Message三种流量,对流量进行协议字段解析,从中获取NTLM认证元数据,并向NTLM攻击防御模块发送该元数据。
在前述方法实施例的基础上,图12为本申请实施例提供的一种渗透防御装置的装置结构图,所述渗透防御装置1100包括:
认证请求获取单元1301,用于获取网络域中终端设备发送的认证请求;
元数据获取单元1302,用于响应于所述网络域中终端设备发送的认证请求,获取所述认证请求的元数据,其中,所述元数据包括待识别账号标识和用于发起所述认证请求的待识别进程标识;
合法性识别单元1303,用于通过所述元数据对所述认证请求进行合法性识别,其中,所述合法性识别包括进程合法性识别或账号合法性识别中的至少一种,所述进程合法性识别用于识别所述待识别进程标识对进程合法性条件的符合情况,所述账号合法性识别用于识别所述待识别账号标识对账号合法性条件的符合情况;
通信拦截单元1304,用于在所述认证请求未通过所述合法性识别的情况下,对所述待认证进程进行通信拦截处理。
可选的,所述元数据还包括所述认证请求所采用的认证协议,若所述合法性识别包括进程合法性识别,所述合法性识别单元1303,包括:
进程合法性条件确定单元,用于确定所述认证协议的协议类型,并根据所述认证协议的协议类型确定所述进程合法性条件;
进程合法性识别单元,用于基于所述进程合法性条件,识别所述待识别进程标识对所述进程合法性条件的符合情况;
进程识别结果确定单元,用于当所述符合情况为所述待识别进程标识不符合所述进程合法性条件时,确定所述认证请求未通过所述合法性识别。
可选的,若所述合法性识别包括账号合法性识别,所述合法性识别单元1303,包括:
账号合法性条件确定单元,用于根据所述终端设备的账号信息确定所述账号合法性条件;
账号合法性识别单元,用于基于所述账号合法性条件,识别所述待识别账号标识对所述账号合法性条件的符合情况;
账号识别结果确定单元,用于当所述符合情况为所述待识别账号标识不符合所述账号合法性条件时,确定所述认证请求未通过所述合法性识别。
可选的,所述元数据还包括所述认证请求所采用的认证协议,若所述合法性识别包括进程合法性识别和账号合法性识别,所述合法性识别单元1303,包括:
进程合法性条件确定单元,用于确定所述认证协议的协议类型,并根据所述认证协议的协议类型确定所述进程合法性条件;
进程合法性识别单元,用于基于所述进程合法性条件,识别所述待识别进程标识对所述进程合法性条件的符合情况;
账号合法性条件确定单元,用于当所述符合情况为所述待识别进程标识符合所述进程合法性条件时,根据所述终端设备的账号信息确定所述账号合法性条件;
账号合法性识别单元,用于基于所述账号合法性条件,识别所述待识别账号标识对所述账号合法性条件的符合情况;
合法性识别结果确定单元,用于当所述符合情况为所述待识别账号标识不符合所述账号合法性条件时,确定所述认证请求未通过所述合法性识别。
可选的,所述进程合法性识别单元,包括:
进程类别确定单元,用于在确定所述认证协议的协议类型为第一类型时,确定所述待识别进程标识指示的待识别进程类别,以及包括所述第一类型对应的进程类别的进程合法性条件;
第一符合情况识别单元,用于基于所述进程合法性条件,识别所述待识别进程类别对所述进程合法性条件的符合情况;
进程合法性识别子单元,用于当所述符合情况为所述待识别进程类别不符合所述进程合法性条件时,确定所述待识别进程标识不符合所述进程合法性条件。
可选的,所述进程合法性识别单元,包括:
进程签名确定单元,用于在确定所述认证协议的协议类型为第二类型时,确定所述待识别进程标识指示的待识别进程签名,以及包括所述待认证进程在所述认证协议下的合法签名的进程合法性条件;
第二符合情况识别单元,用于基于所述进程合法性条件,识别所述待识别进程签名与所述进程合法性条件的符合情况;
进程合法性识别子单元,用于当所述符合情况为所述待识别进程签名不符合所述进程合法性条件时,确定所述待识别进程标识不符合所述进程合法性条件。
可选的,所述账号合法性识别单元具体用于:
确定包括所述终端设备绑定的合法账号标识的账号合法性条件;
基于所述账号合法性条件,识别所述待识别账号标识与所述账号合法性条件的符合情况。
可选的,所述装置还包括:
合法账号标识获取单元,用于通过所述终端设备在所述网络域中的初始化,获取与所述终端设备绑定的合法账号标识。
可选的,所述元数据还包括待识别服务标识,所述装置还包括:
允许通信单元,用于在确定所述认证协议的协议类型为第一类型时,若确定所述待识别服务标识不为待认证服务列表中的服务标识,允许所述待认证进程的通信;
触发单元,用于若确定所述待识别服务标识为待认证服务列表中的服务标识,触发所述账号合法性识别单元。
可选的,所述装置还包括:
允许通信单元,用于在确定所述认证协议的协议类型为第二类型时,若确定所述待识别账号标识为空,允许所述待认证进程的通信;所述待识别账号标识在所述待识别账号为匿名账号时被置空;
触发单元,用于若确定所述待识别账号标识不为空,触发所述账号合法性识别单元。
可选的,所述装置还包括:
应答消息获取单元,用于获取针对所述认证请求的应答消息;
允许通信单元,用于若确定所述应答消息中的认证结果为不通过认证,允许所述待认证进程的通信;
触发单元,用于若确定所述应答消息中的认证结果为通过认证,触发所述账号合法性识别单元。
可选的,所述装置还包括:
允许通信单元,用于若确定所述待识别账号标识为安全账号列表中的账号标识,允许所述待认证进程的通信;
触发单元,用于若确定所述待识别账号标识不为安全账号列表中的账号标识,触发所述账号合法性识别单元。
可选的,所述装置还包括:
允许通信单元,用于在所述根据所述符合情况确定所述认证请求未通过所述合法性识别时,若确定所述待识别进程标识为安全进程列表中的进程标识,允许所述待认证进程的通信;
拦截触发单元,用于在所述根据所述符合情况确定所述认证请求未通过所述合法性识别时,若确定所述待识别进程标识不为安全进程列表中的进程标识,触发所述通信拦截单元。
可选的,所述认证请求获取单元具体用于:
通过所述终端设备的目标端口获取所述认证请求,所述目标端口为与所述认证协议对应的端口。
可选的,所述认证请求包括经过加密的数据包。
由上述技术方案可以看出,根据网络域中终端设备发送的认证请求,获取认证请求的元数据,认证请求的元数据包括待识别账号标识和用于发起认证请求的待认证进程的待识别进程标识,由于攻击者需要利用终端设备向域控制器进行认证才能通过该终端设备访问相应服务,即攻击者发起的域渗透攻击行为总是从认证行为开始,因此可以根据认证请求的元数据对认证请求进行合法性识别,当确定认证请求未通过合法性识别时,认为该认证行为为异常认证行为,可以对待认证进程进行通信拦截处理,即可以根据认证请求的元数据对攻击者的异常认证行为进行实时识别和拦截,从域渗透攻击行为的共性着手进行渗透防御,能够针对更多样化的域渗透攻击行为,提高网络域中的终端设备的安全性,此外基于认证请求的元数据进行的渗透防御,无需获取认证请求的内容,不会因为认证请求被加密而影响渗透防御效果,拓宽了渗透防御方法的适用场景。
其中,异常认证行为在网络层面需要发起进程,在终端设备的主机行为层面需要依赖于对账号的认证,因此可以设置合法性识别包括进程合法性识别或账号合法性识别中的至少一种,进程合法性识别用于识别待识别进程标识对进程合法性条件的符合情况,账号合法性识别用于识别待识别账号标识对账号合法性条件的符合情况,这样从网络层面和主机行为层面进行多维度的渗透防御,提高了异常认证行为的识别精度,全方位提高网络域中终端设备的安全性。具体的,当确定待识别进程标识不符合进程合法性条件时,说明待识别进程不是常规发起的进程,可以对待认证进程进行通信拦截处理,从网络层面实时对域渗透攻击行为进行识别和拦截;当确定待识别账号标识不符合账号合法性条件时,说明待识别账号标识不是终端设备常规使用的账号标识,可以对待认证进程进行通信拦截处理,从终端设备的主机行为层面实时对域渗透攻击行为进行识别和拦截。
本申请实施例还提供了一种计算机设备,该计算机设备为前述介绍的计算机设备,可以包括终端设备,前述的渗透防御装置可以配置在该计算机设备中。下面结合附图对该计算机设备进行介绍。
若该计算机设备为终端设备,请参见图13所示,本申请实施例提供了一种终端设备,以终端设备为手机为例:
图13示出的是与本申请实施例提供的终端设备相关的手机的部分结构的框图。参考图13,手机包括:射频(Radio Frequency,简称RF)电路1410、存储器1420、输入单元1430、显示单元1440、传感器1450、音频电路1460、无线保真(简称WiFi)模块1470、处理器1480、以及电源1490等部件。本领域技术人员可以理解,图13中示出的手机结构并不构成对手机的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图13对手机的各个构成部件进行具体的介绍:
RF电路1410可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,给处理器1480处理;另外,将设计上行的数据发送给基站。
存储器1420可用于存储软件程序以及模块,处理器1480通过运行存储在存储器1420的软件程序以及模块,从而执行手机的各种功能应用以及数据处理。存储器1420可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器1420可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
输入单元1430可用于接收输入的数字或字符信息,以及产生与手机的用户设置以及功能控制有关的键信号输入。具体地,输入单元1430可包括触控面板1431以及其他输入设备1432。
显示单元1440可用于显示由用户输入的信息或提供给用户的信息以及手机的各种菜单。显示单元1440可包括显示面板1441。
手机还可包括至少一种传感器1450,比如光传感器、运动传感器以及其他传感器。
音频电路1460、扬声器1461,传声器1462可提供用户与手机之间的音频接口。
WiFi属于短距离无线传输技术,手机通过WiFi模块1470可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。
处理器1480是手机的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在存储器1420内的软件程序和/或模块,以及调用存储在存储器1420内的数据,执行手机的各种功能和处理数据。
手机还包括给各个部件供电的电源1490(比如电池)。
在本实施例中,该终端设备所包括的处理器1480还具有以下功能:
获取网络域中终端设备发送的认证请求;
响应于所述网络域中终端设备发送的认证请求,获取所述认证请求的元数据,其中,所述元数据包括待识别账号标识和用于发起所述认证请求的待认证进程的待识别进程标识;
通过所述元数据对所述认证请求进行合法性识别,其中,所述合法性识别包括进程合法性识别或账号合法性识别中的至少一种,所述进程合法性识别用于识别所述待识别进程标识对进程合法性条件的符合情况,所述账号合法性识别用于识别所述待识别账号标识对账号合法性条件的符合情况;
在所述认证请求未通过所述合法性识别的情况下,对所述待认证进程进行通信拦截处理。
本申请实施例还提供一种服务器,请参见图14所示,图14为本申请实施例提供的服务器1500的结构图,服务器1500可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(Central Processing Units,简称CPU)1522(例如,一个或一个以上处理器)和存储器1532,一个或一个以上存储应用程序1542或数据1544的存储介质1530(例如一个或一个以上海量存储设备)。其中,存储器1532和存储介质1530可以是短暂存储或持久存储。存储在存储介质1530的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器1522可以设置为与存储介质1530通信,在服务器1500上执行存储介质1530中的一系列指令操作。
服务器1500还可以包括一个或一个以上电源1526,一个或一个以上有线或无线网络接口1550,一个或一个以上输入输出接口1558,和/或,一个或一个以上操作系统1541,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述实施例中由服务器所执行的步骤可以基于图14所示的服务器结构。
另外,本申请实施例还提供了一种存储介质,所述存储介质用于存储计算机程序,所述计算机程序用于执行上述实施例提供的方法。
本申请实施例还提供了一种包括指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例提供的方法。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质可以是下述介质中的至少一种:只读存储器(英文:Read-only Memory,缩写:ROM)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备及系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本申请的一种具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。而且本申请在上述各方面提供的实现方式的基础上,还可以进行进一步组合以提供更多实现方式。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (19)
1.一种渗透防御方法,其特征在于,所述方法包括:
获取网络域中终端设备发送的认证请求;
响应于所述网络域中终端设备发送的认证请求,获取所述认证请求的元数据,其中,所述元数据包括待识别账号标识和用于发起所述认证请求的待认证进程的待识别进程标识;
通过所述元数据对所述认证请求进行合法性识别,其中,所述合法性识别包括进程合法性识别或账号合法性识别中的至少一种,所述进程合法性识别用于识别所述待识别进程标识对进程合法性条件的符合情况,所述账号合法性识别用于识别所述待识别账号标识对账号合法性条件的符合情况;在所述认证请求未通过所述合法性识别的情况下,对所述待认证进程进行通信拦截处理。
2.根据权利要求1所述的方法,其特征在于,所述元数据还包括所述认证请求所采用的认证协议,若所述合法性识别包括进程合法性识别,所述通过所述元数据对所述认证请求进行合法性识别,包括:
确定所述认证协议的协议类型,并根据所述认证协议的协议类型确定所述进程合法性条件;
基于所述进程合法性条件,识别所述待识别进程标识对所述进程合法性条件的符合情况;
当所述符合情况为所述待识别进程标识不符合所述进程合法性条件时,确定所述认证请求未通过所述合法性识别。
3.根据权利要求1所述的方法,其特征在于,若所述合法性识别包括账号合法性识别,所述通过所述元数据对所述认证请求进行合法性识别,包括:
根据所述终端设备的账号信息确定所述账号合法性条件;
基于所述账号合法性条件,识别所述待识别账号标识对所述账号合法性条件的符合情况;
当所述符合情况为所述待识别账号标识不符合所述账号合法性条件时,确定所述认证请求未通过所述合法性识别。
4.根据权利要求1所述的方法,其特征在于,所述元数据还包括所述认证请求所采用的认证协议,若所述合法性识别包括进程合法性识别和账号合法性识别,所述通过所述元数据对所述认证请求进行合法性识别,包括:
确定所述认证协议的协议类型,并根据所述认证协议的协议类型确定所述进程合法性条件;
基于所述进程合法性条件,识别所述待识别进程标识对所述进程合法性条件的符合情况;
当所述符合情况为所述待识别进程标识符合所述进程合法性条件时,根据所述终端设备的账号信息确定所述账号合法性条件;
基于所述账号合法性条件,识别所述待识别账号标识对所述账号合法性条件的符合情况;
当所述符合情况为所述待识别账号标识不符合所述账号合法性条件时,确定所述认证请求未通过所述合法性识别。
5.根据权利要求2或4所述的方法,其特征在于,所述基于所述进程合法性条件,识别所述待识别进程标识对所述进程合法性条件的符合情况,包括:
在确定所述认证协议的协议类型为第一类型时,确定所述待识别进程标识指示的待识别进程类别,以及包括所述第一类型对应的进程类别的进程合法性条件;
基于所述进程合法性条件,识别所述待识别进程类别对所述进程合法性条件的符合情况;
当所述符合情况为所述待识别进程类别不符合所述进程合法性条件时,确定所述待识别进程标识不符合所述进程合法性条件。
6.根据权利要求2或4所述的方法,其特征在于,所述基于所述进程合法性条件,识别所述待识别进程标识对所述进程合法性条件的符合情况,包括:
在确定所述认证协议的协议类型为第二类型时,确定所述待识别进程标识指示的待识别进程签名,以及包括所述待认证进程在所述认证协议下的合法签名的进程合法性条件;
基于所述进程合法性条件,识别所述待识别进程签名与所述进程合法性条件的符合情况;
当所述符合情况为所述待识别进程签名不符合所述进程合法性条件时,确定所述待识别进程标识不符合所述进程合法性条件。
7.根据权利要求3或4所述的方法,其特征在于,所述基于所述账号合法性条件,识别所述待识别账号标识对所述账号合法性条件的符合情况,包括:
确定包括所述终端设备绑定的合法账号标识的账号合法性条件;
基于所述账号合法性条件,识别所述待识别账号标识与所述账号合法性条件的符合情况。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
通过所述终端设备在所述网络域中的初始化,获取与所述终端设备绑定的合法账号标识。
9.根据权利要求3或4所述的方法,其特征在于,所述元数据还包括待识别服务标识,所述方法还包括:
在确定所述认证协议的协议类型为第一类型时,若确定所述待识别服务标识不为待认证服务列表中的服务标识,允许所述待认证进程的通信;
若确定所述待识别服务标识为待认证服务列表中的服务标识,执行所述基于所述账号合法性条件,识别所述待识别账号标识对所述账号合法性条件的符合情况。
10.根据权利要求3或4所述的方法,其特征在于,所述方法还包括:
在确定所述认证协议的协议类型为第二类型时,若确定所述待识别账号标识为空,允许所述待认证进程的通信;所述待识别账号标识在所述待识别账号标识指示的账号为匿名账号时被置空;
若确定所述待识别账号标识不为空,执行所述基于所述账号合法性条件,识别所述待识别账号标识对所述账号合法性条件的符合情况。
11.根据权利要求3或4所述的方法,其特征在于,所述方法还包括:
获取针对所述认证请求的应答消息;
若确定所述应答消息中的认证结果为不通过认证,允许所述待认证进程的通信;
若确定所述应答消息中的认证结果为通过认证,执行所述基于所述账号合法性条件,识别所述待识别账号标识对所述账号合法性条件的符合情况。
12.根据权利要求3或4所述的方法,其特征在于,所述方法还包括:
若确定所述待识别账号标识为安全账号列表中的账号标识,允许所述待认证进程的通信;
若确定所述待识别账号标识不为安全账号列表中的账号标识,执行所述基于所述账号合法性条件,识别所述待识别账号标识对所述账号合法性条件的符合情况。
13.根据权利要求2所述的方法,其特征在于,在所述根据所述符合情况确定所述认证请求未通过所述合法性识别时,所述方法还包括:
若确定所述待识别进程标识为安全进程列表中的进程标识,允许所述待认证进程的通信;
若确定所述待识别进程标识不为安全进程列表中的进程标识,执行所述对所述待认证进程进行的通信拦截处理。
14.根据权利要求1-4、13任一项所述的方法,其特征在于,所述获取网络域中终端设备发送的认证请求,包括:
通过所述终端设备的目标端口获取所述认证请求,所述目标端口为与所述认证协议对应的端口。
15.根据权利要求1-4、13任一项所述的方法,其特征在于,所述认证请求包括经过加密的数据包。
16.一种渗透防御装置,其特征在于,所述装置包括:
认证请求获取单元,用于获取网络域中终端设备发送的认证请求;
元数据获取单元,用于响应于所述网络域中终端设备发送的认证请求,获取所述认证请求的元数据,其中,所述元数据包括待识别账号标识和用于发起所述认证请求的待认证进程的待识别进程标识;
合法性识别单元,用于通过所述元数据对所述认证请求进行合法性识别,其中,所述合法性识别包括进程合法性识别或账号合法性识别中的至少一种,所述进程合法性识别用于识别所述待识别进程标识对进程合法性条件的符合情况,所述账号合法性识别用于识别所述待识别账号标识对账号合法性条件的符合情况;
通信拦截单元,用于在所述认证请求未通过所述合法性识别的情况下,对所述待认证进程进行通信拦截处理。
17.一种计算机设备,其特征在于,所述计算机设备包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行权利要求1-15中任意一项所述的渗透防御方法。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储计算机程序,所述计算机程序用于执行权利要求1-15中任意一项所述的渗透防御方法。
19.一种包括指令的计算机程序产品,当其在计算机上运行时,使得所述计算机执行权利要求1-15任意一项所述的渗透防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210493574.1A CN117061140A (zh) | 2022-05-07 | 2022-05-07 | 一种渗透防御方法和相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210493574.1A CN117061140A (zh) | 2022-05-07 | 2022-05-07 | 一种渗透防御方法和相关装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117061140A true CN117061140A (zh) | 2023-11-14 |
Family
ID=88666827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210493574.1A Pending CN117061140A (zh) | 2022-05-07 | 2022-05-07 | 一种渗透防御方法和相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117061140A (zh) |
-
2022
- 2022-05-07 CN CN202210493574.1A patent/CN117061140A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230006986A1 (en) | Time-based network authentication challenges | |
| US10083290B2 (en) | Hardware-based device authentication | |
| CN109561066B (zh) | 数据处理方法、装置、终端及接入点计算机 | |
| US9942274B2 (en) | Securing communication over a network using client integrity verification | |
| CN109964196B (zh) | 多因素认证作为网络服务 | |
| US8959650B1 (en) | Validating association of client devices with sessions | |
| WO2018145605A1 (zh) | 鉴权方法及服务器、访问控制装置 | |
| US11570203B2 (en) | Edge network-based account protection service | |
| CN113347072B (zh) | Vpn资源访问方法、装置、电子设备和介质 | |
| US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
| WO2019093932A1 (en) | Lawful interception security | |
| US20170295142A1 (en) | Three-Tiered Security and Computational Architecture | |
| EP3580885A1 (en) | Private key updating | |
| US11177958B2 (en) | Protection of authentication tokens | |
| CN117061140A (zh) | 一种渗透防御方法和相关装置 | |
| CN116684113A (zh) | 一种基于软件定义边界sdp的业务处理方法及相关装置 | |
| CN116192460A (zh) | 流量转发方法、装置、存储介质及电子设备 | |
| CN115130116A (zh) | 业务资源访问方法、装置、设备、可读存储介质及系统 | |
| CN118055157A (zh) | 服务调用方法、装置、设备和存储介质 | |
| CN113726807A (zh) | 一种网络摄像机访问方法、设备、系统及存储介质 | |
| Buehrer et al. | Authentication and Lookup for Network Services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |