用户凭证的未经授权使用在实现认证协议的网络中被检测。在网络中观察到的认证证书被唯一地标识和监测。认证证书的基线简档被生成。对于访问网络中资源的新请求,生成用于被提交的认证证书的唯一标识符。如果标识符是新的:将被提交的认证证书与基线简档进行比较,并在与基线简档的差异超过阈值时生成警报。如果用于被提交的认证证书的唯一标识符先前已经被标识并且未被包括在基线简档中,则当在到初始源的连接链中未找到与唯一标识符关联的源计算机时生成警报。源计算机时生成警报。源计算机时生成警报。
【技术实现步骤摘要】
【国外来华专利技术】流氓证书检测
技术介绍
[0001]计算机网络不断受到恶意方寻求未经授权访问其上托管的系统的威胁。恶意方用于攻击网络的策略和网络管理员用于防御攻击的策略随着策略的更新而不断发展。新的漏洞被添加到恶意方的库中,无效的漏洞被丢弃。然而,实现反措施通常是被动的,其中网络管理员必须等待标识最新的漏洞,然后再部署反措施,并在不再使用相应的漏洞时确定何时停止部署反措施。正确预测、标识和阻止新的漏洞利用对于维护网络安全至关重要。
[0002]正是关于这些考虑因素和其他考虑因素,才呈现本文所公开的内容。
技术实现思路
[0003]所公开的实施例描述了用于保护计算系统免受攻击向量的技术,其中攻击者利用私钥访问证书并使用该证书来获得对资源的未经授权访问,即使在密码改变时也是如此。用于检测来自先前未标识的来源的证书的使用的各种实施例被公开。这可以允许网络和数据中心提供改进的安全性,更有效地遵守操作目标,并提高操作效率。
[0004]在一个实施例中,可以将功能添加到使用诸如Kerberos之类的认证协议的网络中的域控制器。该功能可以添加为在域控制器上运行的应用或代理(本文中被称为“检测应用”)。检测应用可以配置为解析Kerberos认证服务器(AS)请求(包含证书的请求)并哈希证书以生成证书的唯一标识符。
[0005]然后,检测应用可以从域中的计算机跟踪和学习证书唯一标识符的使用。学习到的行为可以用于生成唯一证书标识符和使用证书的计算机的字典。
[0006]检测应用还可以学习每个证书认证机构的每个证书的以下属性,诸如签名算法、签名哈希算法、证书有效的时间段、公钥大小、主题格式、和证书模板。检测应用可以解析Kerberos票据授予服务(TGS)请求(该请求包含资源和协议)并且存储指示用于被请求的计算机到所需计算机的远程桌面连接的使用的数据。在一个示例中,远程桌面连接可以使用TERMSRV协议。
[0007]在学习期之后,检测应用可以确定证书唯一标识符并执行以下操作:
[0008]如果证书唯一标识符是新的:
·
如果证书属性与先前观察到的属性不同,则标记证书唯一标识符并生成警报。
·
如果证书属性与先前观察到的属性没有不同,则向字典添加标识符,并且检测应用继续监测网络。
[0009]如果证书唯一标识符已知:
·
如果与标识符关联的源计算机在字典中,则检测应用继续监测网络。
·
如果与标识符关联的源计算机不在字典中,则检测应用检查是否存在任何指向与标识符关联的源计算机的远程桌面连接的链。a.如果发现指向与标识符相关联的源计算机的远程桌面连接的链,则检测应用继续监测网络;b.如果未找到指向与标识符关联的源计算机的远程桌面连接的链,则生成警报。
[0010]通过提供这种用于标识证书的潜在滥用的机制,可以避免或减轻数据和服务的丢失,减少停机时间和对最终用户的影响,并为计算网络和服务提供商提供改进的安全性和操作效率。
[0011]提供本
技术实现思路
以用简化形式介绍概念的选择,这些概念将在下面的具体实施方式中进一步描述。本
技术实现思路
并非旨在标识所要求保护的技术方案的关键特征或基本特征,也不旨在使用本
技术实现思路
来限制所要求保护的技术方案的范围。此外,要求保护的技术方案不限于解决在本公开的任何部分中指出的任何或所有缺点的实现。
附图说明
[0012]参考附图描述了具体实施方式。在本文详述的描述中,参考了构成该描述的一部分的附图,并且这些附图通过图示的方式示出了具体实施例或示例。本文的附图不是按比例绘制的。在数个附图中,相同的数字表示相同的元素。
[0013]图1是图示根据本公开的实现认证协议的示例系统的图;
[0014]图2是图示根据本公开的实现认证协议的示例系统的图;
[0015]图3是图示根据本公开的数据中心的图;
[0016]图4是描绘根据本公开的用于在实现认证协议的网络中检测用户凭证的未经授权使用的示例过程的流程图;
[0017]图5是描绘根据本公开的用于在实现认证协议的网络中检测用户凭证的未经授权使用的示例过程的流程图;
[0018]图6是根据本公开的示例计算设备。
具体实施方式
[0019]用于在计算环境中提供认证的两种广泛使用的方法包括Kerberos和NT(新技术)LAN管理器(NTLM)。NTLM是由一台机器使用以向另一台机器验证自身身份的协议。域控制器验证用户和所提供的密码。Kerberos是一种认证协议,其中希望访问资源或执行任何登录的每个用户都必须向域控制器提供认证并获取验证用户身份的票据。在获得该身份的证明后,用于访问资源的请求将被提供给域控制器,域控制器处理请求并提供附加的票据以访问所需的资源。
[0020]尽管Kerberos认证保护域控制器上的用户密码,但密码在用户终端上仍然不受保护,并且可能会被猜到。已知有许多攻击试图获取用户秘密并冒充用户,包括“Pass The Hash”、“Over Pass The Hash”和“Pass The Ticket”。
[0021]Kerberos协议提供了允许用户利用证书而不是密码进行认证的扩展。这种机制使得猜测和窃取密码变得更加困难,因为每个证书都使用比密码或哈希更难猜测的私钥。只要组织中有受域控制器信任的证书认证机构服务器,组织中的每个用户都可以请求用于登录的证书。即使用户改变他们的密码,证书私钥也保持不变。此外,如果证书未被吊销或超出其有效时间范围,则证书保持有效。因此,检测和减少对证书(也被称为“票据”)的未经授权的访问和使用非常重要。
[0022]以下具体实施方式描述了通过检测新的攻击向量来保护用户凭证的技术,其中攻击者利用其关联的私钥访问用户的认证证书,并使用该证书从远程位置获得未经授权的访
问,即使用户改变密码也是如此。用于通过检测来自无法识别的来源的使用来检测未授票据书的使用的技术被描述。
[0023]如本文所使用的,域可以被定义为对应于安全边界的管理单元。域中的计算机可以共享局域网(LAN)上的物理邻近性,也可以位于世界的不同地理区域并在各种类型的物理连接(包括ISDN、光纤、以太网、令牌环、帧中继、卫星、和租用线路等)上进行通信。域管理员通常为域内的每个用户创建一个用户帐户,并且用户登录到域,而不是重复登录到域中的各种单独资源。此外,域控制器可以控制域的各个方面,诸如域上资源的单独使用。用户可以根据用户权限、特权、和系统范围的策略访问域中的资源。可能存在具有分配的用户权限集的预定义(内置)用户组,域管理员可以通过向其中一个预定义的用户组添加用户帐户或通过创建新组并向该用户组分配具体用户权限来分配用户权限。随后添加到用户组的用户可以自动获得分配给该用户组的所有用户权限。
[0024]在实施例中,代理或应用(本文中被称为“检测应用”)可以安装在域或其他计算资源组中的域控制器上。检测应用可以配置为解析网络流量,诸如Kerberos流量,并确定用于证书的基线简档及其使本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于在实现认证协议的网络中检测用户凭证的未经授权使用的方法,所述方法包括:唯一地标识在所述网络中观察到的认证证书;监测所述网络中被标识的所述认证证书的使用;基于被标识的所述认证证书的所监测到的所述使用和属性,确定被标识的所述认证证书的基线简档;访问用于访问所述网络中资源的请求,所述请求包括被提交的认证证书;生成用于被提交的所述认证证书的唯一标识符;响应于确定用于被提交的所述认证证书的所述唯一标识符是新的:将被提交的所述认证证书与所述基线简档进行比较;当所述比较指示与所述基线简档的差异超过阈值时,生成警报;以及当与所述基线简档的所述差异在所述阈值内时,向所述基线简档添加被提交的所述认证证书;响应于确定用于被提交的所述认证证书的所述唯一标识符先前已经被标识并且未被包括在所述基线简档中:标识与所述唯一标识符相关联的连接链;以及当所述标识指示在所述连接链中未找到与所述唯一标识符相关联的源计算机时,生成警报。2.根据权利要求1所述的方法,其中所述认证协议是Kerberos。3.根据权利要求1所述的方法,其中所述方法由在所述网络的域控制器中运行的应用或代理执行。4.根据权利要求1所述的方法,其中所述唯一标识符基于所述证书的哈希而被生成。5.根据权利要求1所述的方法,其中所述属性包括以下一项或多项:签名算法、签名哈希算法、所述证书有效的时间段、公钥大小、主题格式、以及证书模板。6.根据权利要求1所述的方法,还包括:当用于被提交的所述认证证书的所述唯一标识符先前已经被标识并且与所述唯一标识符相关联的源计算机在所述基线简档中时,继续监测所述网络。7.一种计算设备,所述计算设备被配置为在实现认证协议的网络中检测用户凭证的未经授权使用,所述计算设备包括:处理器;存储设备,被耦合到所述处理器;应用,被存储在所述存储设备中,其中所述处理器对所述应用的执行将所述计算设备配置为执行动作,所述动作包括:唯一地标识在所述网络中观察到的认证证书;监测所述网络中被标识的所述认证证书的使用;基于被标识的所述认证证书的所监测到的所述使用和属性,确定被标识的所述认证证书的基线简档;访问用于访问所述网络中资源的请求,所述请求包括被提交的认证证书;生成用于被提交的所述认证证书的唯一标识符;
响应于确定用于被提交的所述认证证书的所述唯一标识符是新的:将被提交的所述认证证书与所述基线简档进行比较;当所述比较指示与所述基线简档的差异超过阈值时,生成警报;以及当与所述基线简档的所述差异在所述阈值内时,向所述基线简档添加被提交的所述认证证书...
【专利技术属性】
技术研发人员:M,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。