[发明专利]使用先进网络决策平台检测并减缓伪造认证对象攻击

说明书

提供了一种用于检测并减缓伪造认证对象攻击的系统，包括：认证对象检查器，配置用于观察由身份提供者产生的新认证对象，并检索新认证对象；以及散列引擎，配置用于从认证对象检查器检索新认证对象，计算用于新认证对象的加密散列，并在数据存储中存储用于新认证对象的加密散列；其中通过比较用于每个认证对象的散列与之前产生的散列而验证伴有认证对象的后续访问请求。

与申请相关的交叉引用

本申请是2017年12月11日提交的名为“DETECTING AND MITIGATING FORGEDAUTHENTICATION OBJECT ATTACKS USING AN ADVANCED CYBER DECISION PLATFORM”的美国专利申请序列号15/837,845的PCT申请并要求其优先权，其要求享有2017年12月7日提交的名为“DETECTING AND MITIGATING FORGED AUTHENTICATION OBJECT ATTACKS USING ANADVANCED CYBER DECISION PLATFORM”的美国临时专利申请序列号62/596,105的权益和优先权，在此通过全文引用的方式将每一个的全部说明书并入本文。

技术领域

本公开涉及网络安全领域，特别是检测并减缓涉及伪造认证对象的攻击。

背景技术

随着计算远离物理和本地部署企业而更多地朝向基于云和联合的服务供应，出现了对于单点登录协议的需求，诸如安全断言置标语言(SAML)以跨联合服务供应提供用户友好的单点登录体验。SAML例如使用身份提供者以产生认证对象，其中用户可以使用以在域内访问多个联合服务供应，无需认证每个单独服务。SAML是本领域广泛使用的协议，且使用的应用诸如但不限于微软公司的ACTIVE DIRECTORY FEDERATED SERVICES,AZURE AD,OKTA,网络浏览器单点登录,以及许多云服务提供者(诸如AMAZON、AWS、ZURE、GOOGLE服务等等。尽管方便，这产生了安全弱点：一旦身份提供者受入侵，攻击者可以产生伪造认证对象并假冒成任何用户，潜在地获得了自由支配以在联合附图提供者的域内随心所欲。尽管传统的网络安全方案可以在其中注意到了可疑活动的情形中是足够的，足够机智以将他们的活动与普通业务混合的攻击者可以使用该伪造认证对象而长时间未被发现。

需要一种可以验证认证对象的确实性并自动地行动以减缓由伪造认证对象所滋生的攻击。

发明内容

因此，本发明已经设计并付诸实践了一种用于检测并减缓伪造认证对象攻击的系统和方法。

在典型的实施例中，一种用于检测并减缓伪造认证对象攻击的系统用作用于使用了使用普通身份提供者的联合服务的现有实施方式的外部和无阻塞验证服务。系统提供服务以产生对于合法产生的认证对象的加密散列，且也用于针对之前产生的认证对象的加密散列的数据库而检查输入的认证对象(并通过检测认证对象散列的数据库中认证对象的加密散列不存在的尝试而检测欺诈性基于SAML的认证尝试)。系统也可以允许设置多个规则以在满足了某些条件之后触发事件。

在本发明的一个特征方面中，一种用于检测并减缓伪造认证对象攻击的系统包括，认证对象检查器，包括至少处理器、存储器和存储在存储器中并运行在处理器上的多个编程指令，其中当运行在处理器上时可编程指令使得处理器：观察由身份提供者所产生的新认证对象，并检索新认真对象；以及散列引擎，包括至少处理器、存储器、和存储在存储器中并运行在处理器上的多个编程指令，其中当运行在处理器上时可编程指令使得处理器：从认证对象检查器检索新认证对象，通过至少对新认证对象执行多个计算和变换而计算对于新认证对象的加密散列，并在数据存储中存储用于新认证对象的加密散列；其中，一旦观察到对于与身份提供者相关联的联合服务的后续访问请求并由第二认证对象完成，认证对象检查器检索第二认证对象并发送认证对象至散列引擎，以及散列引擎产生用于第二认证对象的加密散列，并通过将对于即将来到的认证对象的加密散列与数据存储中之前已产生的加密散列比较而验证输入的认证对象。