【技术实现步骤摘要】
AD域威胁识别方法、装置、电子设备和存储介质
[0001]本申请涉及计算机
,具体而言,涉及一种AD域威胁识别方法、装置、电子设备和存储介质。
技术介绍
[0002]随着当前网络安全态势日益严峻,以及攻防演练的常态化,如何提升AD域的安全性,保障业务安全,是企业备受重视的核心环节。由于AD域具有天然的集权特性,无疑攻击者攻击的重点,也是企业防护的难点。
[0003]目前,现有技术中的AD域威胁分析方法存在威胁识别覆盖度低和威胁识别精确度低这一缺点。
技术实现思路
[0004]本申请实施例的目的在于提供一种AD域威胁识别方法、装置、电子设备和存储介质,用以识别AD域威胁,并提高威胁识别覆盖度和提高威胁识别精确度。
[0005]第一方面,本专利技术提供一种AD域威胁识别方法,所述方法包括:获取AD域的域控流量;基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段、权限维持阶段威胁、权限提升阶段威胁。
[0006]在本...
【技术保护点】
【技术特征摘要】
1.一种AD域威胁识别方法,其特征在于,所述方法包括:获取AD域的域控流量;基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括信息收集阶段威胁、凭证窃取阶段威胁、横向移动阶段、权限维持阶段威胁、权限提升阶段威胁。2.如权利要求1所述的方法,其特征在于,所述方法还包括:获取所述AD域的域控日志,基于所述域控流量和所述域控日志识别所述AD域是否存在所述攻击威胁。3.如权利要求2所述的方法,其特征在于,所述基于所述域控流量和所述域控日志识别所述AD域是否存在攻击威胁包括:先经过所述域控流量识别所述AD域可能存在的攻击威胁,再通过所述域控日志确认是否存在攻击威胁。4.如权利要求1所述的方法,其特征在于,所述基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括所述信息收集阶段威胁,包括:当所述域控流量包括samr协议流量时,解析所述samr协议流量以识别第一字段,并基于所述第一字段的字段值和攻击行为知识库,确定所述AD域是否存在samr侦查威胁;当所述域控流量包括kerberos协议流量时,解析所述kerberos协议流量,以识别第二字段和第三字段,并基于所述第二字段的字段值统计在第一预设时间段内AS请求的数量,当在所述第一预设时间段内AS请求的数量大于第一预设阈值,且所述第三字段的字段值在所述第一预设时间内连续变化时,则确定所述AD域存在用户名枚举威胁;当所述域控流量包括所述kerberos协议流量时,判断所述kerberos协议流量是否包括AS
‑
REP报文,若是则解析所述AS
‑
REP报文以得到第四字段和第五字段,并基于所述第四字段的字段值计算预设类型报错在第二预设时间段的出现次数,当所述预设类型报错在所述第二预设时间段的出现次数大于第二预设阈值,且所述第五字段的字段值在所述第二预设时间段连续不相同时,则确定所述AD域存在Password Spraying威胁;当所述域控流量包括LDAP协议流量时,解析所述LDAP协议流量得到第七字段,并将所述第七字段的字段值与所述攻击行为知识库进行匹配,若匹配成功,则确定所述AD域存在LDAP侦查威胁。5.如权利要求1所述的方法,其特征在于,所述基于所述域控流量,识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括凭证窃取阶段威胁,包括:判断kerberos协议流量是否包括AS
‑
REQ报文,若是则判断所述AS
‑
REQ报文是否存在第六字段和判断kerberos协议流量是否包括AS
‑
REP报文,若存在所述第六字段,且存在所述AS
‑
REP报文,则确定所述AD域存在as
‑
rep rosting威胁。6.如权利要求2所述的方法,其特征在于,所述基于所述域控流量和所述域控日志识别所述AD域是否存在攻击威胁,其中,所述攻击威胁包括凭证窃取阶段威胁,包括:当所述域控流量包括kerberos协议流量时,解析所述kerberos协议流量获取ticket票据的etype字段,通过etype字段的值确定是否存在RC4的服务票据,若存在则确定所述AD域可能存在Kerberoasting威胁;再判断所述域控日志中的ServiceName字段的字段值是否为用户账户,若是则确定所述AD域存在Kerberoasting威胁。7.如权利要求1所述的方法,其特征在于,所述基于所述域控流量...
【专利技术属性】
技术研发人员:李明郎,王鑫,樊兴华,薛锋,赵林林,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。