一种检测加密等级降级行为的方法及装置制造方法及图纸

本申请提供了一种检测加密等级降级行为的方法及装置，其中，方法包括：获取AD域内的内网设备与域控设备间的认证流量，以及经过域控设备的第一预设端口与第二预设端口的流量；执行检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为的至少一种；本申请中的检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为都是根据攻击者所采用的攻击手段确定的，因此，本申请中所执行的检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为中的每种检测方法都具有较高的准确性，进而，本申请的检测结果具有较高地准确性。请的检测结果具有较高地准确性。请的检测结果具有较高地准确性。

【技术实现步骤摘要】
一种检测加密等级降级行为的方法及装置


[0001]本申请涉及信息安全领域，尤其涉及一种检测加密等级降级行为的方法及装置。

技术介绍

[0002]目前，为了方便对内网设备的管理，通常为内网搭建活动目录(Active Directory，AD)域，如图1所示。在图1中，包括域控设备和内网设备，其中，域控设备可以为域控主机或域控服务器(在实际中，AD域中的域控设备可以包括多个，图1中以AD域中包括一个域控设备为例)。内网设备可以为内网主机或内网服务器。通过域控设备可以实现对AD域中的内网设备进行集中式管理。
[0003]在内网设备遭到攻击者攻击的情况下，遭到攻击的内网设备与域控设备间可能会出现加密等级降级的现象。
[0004]因此，为了提高AD域的安全性，需要一种检测AD域内加密等级降级行为的方法。

技术实现思路

[0005]本申请提供了一种检测加密降级行为的方法及装置，目的在于检测AD域内是否存在加密降级行为。
[0006]为了实现上述目的，本申请提供了以下技术方案：
[0007]本申请提供了一种检测加密等级降级行为的方法，包括：
[0008]获取AD域内的内网设备与域控设备间的认证流量，以及经过所述域控设备的第一预设端口与第二预设端口的流量；
[0009]执行检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为的至少一种；
[0010]其中，所述检测传递哈希攻击行为用于依据所述认证流量所支持的最高加密等级的特征，检测所述传递哈希攻击行为；所述检测传递aeskey攻击行为用于依据所述认证流量支持的最高加密等级和支持的加密方式的数量的特征，检测所述传递aeskey攻击行为；所述检测万能密钥攻击行为用于依据经过所述域控设备的第一预设端口与第二预设端口的流量的特征，检测万能密钥攻击行为。
[0011]可选的，所述依据所述认证流量所支持的最高加密等级的特征，检测所述传递哈希攻击行为，包括：
[0012]在所述认证流量中存在第一目标流量的情况下，确定检测到传递哈希攻击行为；所述第一目标流量为支持的最高加密等级低于预设的加密等级的流量。
[0013]可选的，所述依据所述认证流量支持的最高加密等级和支持的加密方式的数量的特征，检测所述传递aeskey攻击行为，包括：
[0014]在所述认证流量中存在第二目标流量的情况下，确定检测到传递aeskey攻击行为；所述第二目标流量为支持的最高加密等级为预设的加密等级，且支持的加密方式的数量小于所述预设数量的流量。
[0015]可选的，所述预设数量的获取方法包括：
[0016]将所述第二目标流量指示的内网设备，在历史的第一预设时间段中AS-REQ阶段的认证流量支持的加密方式的数量，作为所述第二目标流量指示的内网设备对应的所述预设数量。
[0017]可选的，所述预设的加密等级的获取方法包括：
[0018]将历史的第一预设时间段内AS-REQ阶段的认证流量支持的加密方式的等级中的最高等级，作为所述预设的加密等级。
[0019]可选的，所述依据经过所述域控设备的第一预设端口与第二预设端口的流量的特征，检测万能密钥攻击行为，包括：
[0020]从经过所述域控设备的第一预设端口的流量中检测第一流量；所述第一流量为表示预设的目标操作的流量；
[0021]从经过所述域控设备的第二预设端口的流量中检测第二流量；所述第二流量为表示所述预设的目标操作的流量；
[0022]在所述第一流量与所述第二流量中，存在满足预设条件的流量对的情况下，将所述流量对指示的内网设备作为目标内网设备；所述预设条件包括：指示的内网设备相同且发送时刻的间隔小于预设时长；
[0023]在第二预设时间段内存在指示所述目标内网设备的第一目标流量或指示所述目标内网设备的第二目标流量的情况下，确定所述目标内网设备存在所述万能密钥攻击行为；
[0024]所述第二预设时间段包括：结束时刻，以及所述结束时刻之前的预设时长确定；所述结束时刻为最新确定出的满足所述预设条件的流量对中，各流量分别指示的时间戳中的较小时间戳；所述第一目标流量为支持的最高加密等级低于预设的加密等级的流量，所述第二目标流量为支持的最高加密等级为所述预设的加密等级，且支持的加密方式的数量小于预设数量的流量。
[0025]可选的，所述第一预设端口为用于对认证进程操作的端口，所述第二预设端口为用于调用内置函数的端口。
[0026]可选的，所述目标操作包括：svcctl管道操作。
[0027]本申请还提供了一种检测加密等级降级行为的装置，包括：
[0028]流量获取模块，用于获取AD域内的内网设备与域控设备间的认证流量，以及经过所述域控设备的第一预设端口与第二预设端口的流量；
[0029]传递哈希攻击行为检测模块、传递aeskey攻击行为检测模块、以及万能密钥攻击行为检测模块的至少一种；
[0030]其中，所述传递哈希攻击行为检测模块用于依据所述认证流量所支持的最高加密等级的特征，检测所述传递哈希攻击行为；
[0031]所述传递aeskey攻击行为检测模块用于依据所述认证流量支持的最高加密等级和支持的加密方式的数量的特征，检测所述传递aeskey攻击行为；
[0032]所述万能密钥攻击行为检测模块用于依据经过所述域控设备的第一预设端口与第二预设端口的流量的特征，检测万能密钥攻击行为。
[0033]可选的，所述传递哈希攻击行为检测模块用于依据所述认证流量所支持的最高加
密等级的特征，检测所述传递哈希攻击行为，包括：
[0034]所述传递哈希攻击行为检测模块，具体用于在所述认证流量中存在第一目标流量的情况下，确定检测到传递哈希攻击行为；所述第一目标流量为支持的最高加密等级低于预设的加密等级的流量。
[0035]可选的，所述传递aeskey攻击行为检测模块用于依据所述认证流量支持的最高加密等级和支持的加密方式的数量的特征，检测所述传递aeskey攻击行为，包括：
[0036]所述传递aeskey攻击行为检测模块，具体用于在所述认证流量中存在第二目标流量的情况下，确定检测到传递aeskey攻击行为；所述第二目标流量为支持的最高加密等级为预设的加密等级，且支持的加密方式的数量小于所述预设数量的流量。
[0037]可选的，还包括：
[0038]预设数量获取模块，用于将所述第二目标流量指示的内网设备，在历史的第一预设时间段中AS-REQ阶段的认证流量支持的加密方式的数量，作为所述第二目标流量指示的内网设备对应的所述预设数量。
[0039]可选的，还包括：
[0040]预设的加密等级获取模块，用于将历史的第一预设时间段内AS-REQ阶段的认证流量支持的加密方式的等级中的最高等级，作为所述预设的加密等级。
[0041]可选的，所述万能密钥攻击行为检测模块用于依据经过所述域控设备的第一预设端口与第二预设本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种检测加密等级降级行为的方法，其特征在于，包括：获取AD域内的内网设备与域控设备间的认证流量，以及经过所述域控设备的第一预设端口与第二预设端口的流量；执行检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为的至少一种；其中，所述检测传递哈希攻击行为用于依据所述认证流量所支持的最高加密等级的特征，检测所述传递哈希攻击行为；所述检测传递aeskey攻击行为用于依据所述认证流量支持的最高加密等级和支持的加密方式的数量的特征，检测所述传递aeskey攻击行为；所述检测万能密钥攻击行为用于依据经过所述域控设备的第一预设端口与第二预设端口的流量的特征，检测万能密钥攻击行为。2.根据权利要求1所述的方法，其特征在于，所述依据所述认证流量所支持的最高加密等级的特征，检测所述传递哈希攻击行为，包括：在所述认证流量中存在第一目标流量的情况下，确定检测到传递哈希攻击行为；所述第一目标流量为支持的最高加密等级低于预设的加密等级的流量。3.根据权利要求1所述的方法，其特征在于，所述依据所述认证流量支持的最高加密等级和支持的加密方式的数量的特征，检测所述传递aeskey攻击行为，包括：在所述认证流量中存在第二目标流量的情况下，确定检测到传递aeskey攻击行为；所述第二目标流量为支持的最高加密等级为预设的加密等级，且支持的加密方式的数量小于所述预设数量的流量。4.根据权利要求3所述的方法，其特征在于，所述预设数量的获取方法包括：将所述第二目标流量指示的内网设备，在历史的第一预设时间段中AS-REQ阶段的认证流量支持的加密方式的数量，作为所述第二目标流量指示的内网设备对应的所述预设数量。5.根据权利要求2～4任意一项所述的方法，其特征在于，所述预设的加密等级的获取方法包括：将历史的第一预设时间段内AS-REQ阶段的认证流量支持的加密方式的等级中的最高等级，作为所述预设的加密等级。6.根据权利要求1所述的方法，其特征在于，所述依据经过所述域控设备的第一预设端口与第二预设端口的流量的特征，检测万能密钥攻击行为，包括：从经过所述域控设备的第一预设端口的流量中检测第一流量；所述第一流量为表示预设的目标操作的流量；从经过所述域控设备的第二预设端口的流量中检测第二流量；所述第二流量为表示所述预设的目标操...

【专利技术属性】
技术研发人员：孟翔，张斌，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：