[发明专利]一种检测加密等级降级行为的方法及装置

说明书

本申请提供了一种检测加密等级降级行为的方法及装置，其中，方法包括：获取AD域内的内网设备与域控设备间的认证流量，以及经过域控设备的第一预设端口与第二预设端口的流量；执行检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为的至少一种；本申请中的检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为都是根据攻击者所采用的攻击手段确定的，因此，本申请中所执行的检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为中的每种检测方法都具有较高的准确性，进而，本申请的检测结果具有较高地准确性。

技术领域

本申请涉及信息安全领域，尤其涉及一种检测加密等级降级行为的方法及装置。

背景技术

目前，为了方便对内网设备的管理，通常为内网搭建活动目录(ActiveDirectory，AD)域，如图1所示。在图1中，包括域控设备和内网设备，其中，域控设备可以为域控主机或域控服务器(在实际中，AD域中的域控设备可以包括多个，图1中以AD域中包括一个域控设备为例)。内网设备可以为内网主机或内网服务器。通过域控设备可以实现对AD域中的内网设备进行集中式管理。

在内网设备遭到攻击者攻击的情况下，遭到攻击的内网设备与域控设备间可能会出现加密等级降级的现象。

因此，为了提高AD域的安全性，需要一种检测AD域内加密等级降级行为的方法。

发明内容

本申请提供了一种检测加密降级行为的方法及装置，目的在于检测AD域内是否存在加密降级行为。

为了实现上述目的，本申请提供了以下技术方案：

本申请提供了一种检测加密等级降级行为的方法，包括：

获取AD域内的内网设备与域控设备间的认证流量，以及经过所述域控设备的第一预设端口与第二预设端口的流量；

执行检测传递哈希攻击行为、检测传递aeskey攻击行为与检测万能密钥攻击行为的至少一种；

其中，所述检测传递哈希攻击行为用于依据所述认证流量所支持的最高加密等级的特征，检测所述传递哈希攻击行为；所述检测传递aeskey攻击行为用于依据所述认证流量支持的最高加密等级和支持的加密方式的数量的特征，检测所述传递aeskey攻击行为；所述检测万能密钥攻击行为用于依据经过所述域控设备的第一预设端口与第二预设端口的流量的特征，检测万能密钥攻击行为。

可选的，所述依据所述认证流量所支持的最高加密等级的特征，检测所述传递哈希攻击行为，包括：

在所述认证流量中存在第一目标流量的情况下，确定检测到传递哈希攻击行为；所述第一目标流量为支持的最高加密等级低于预设的加密等级的流量。

可选的，所述依据所述认证流量支持的最高加密等级和支持的加密方式的数量的特征，检测所述传递aeskey攻击行为，包括：

在所述认证流量中存在第二目标流量的情况下，确定检测到传递aeskey攻击行为；所述第二目标流量为支持的最高加密等级为预设的加密等级，且支持的加密方式的数量小于所述预设数量的流量。

可选的，所述预设数量的获取方法包括：

将所述第二目标流量指示的内网设备，在历史的第一预设时间段中AS-REQ阶段的认证流量支持的加密方式的数量，作为所述第二目标流量指示的内网设备对应的所述预设数量。

可选的，所述预设的加密等级的获取方法包括：

将历史的第一预设时间段内AS-REQ阶段的认证流量支持的加密方式的等级中的最高等级，作为所述预设的加密等级。

可选的，所述依据经过所述域控设备的第一预设端口与第二预设端口的流量的特征，检测万能密钥攻击行为，包括：