[发明专利]检测方法、检测装置、电子设备、介质和计算机程序

说明书

本公开提供了一种域认证协议用户枚举的检测方法、检测装置、电子设备、介质和计算机程序。检测方法和装置可用于人工智能技术领域。检测方法包括：获取m个时间段的关于用户枚举行为的m个数据信息集；将每个数据信息与黑名单数据库中的信息进行匹配；当数据信息与黑名单数据库中的信息不匹配时，则提取m个数据信息集中每个数据信息的特征信息；根据特征信息对每个时间段的数据信息集进行分类，得到多个异常数据信息子集；计算多个异常数据信息子集的并集，得到异常数据信息集；统计异常数据信息集中的同一异常数据信息出现的次数；以及当次数大于等于设定阈值时，将该异常数据信息加载到黑名单数据库。

技术领域

本公开涉及人工智能技术领域，更具体地，涉及一种域认证协议用户枚举的检测方法、检测装置、电子设备、介质和计算机程序。

背景技术

在渗透测试或攻防演练场景中，经常需要针对域认证协议(例如Kerberos协议)中发生在客户机与域认证协议的认证组件，例如AS的KRB_AS_REQ与KRB_AS_REP交互过程产生的域用户枚举行为进行检测，用于主动发现针对域账户的黑客攻击行为。渗透测试或者黑客攻击场景中，经常采用用户枚举方法进行域账号破解。由于该枚举方法在Kerberos现有协议特点上具备较强的隐藏性，现在无专门通过此类机器学习的方法或系统应用到KRB_AS_REQ与KRB_AS_REP的交互数据流量以自动判断恶意攻击行为，现有技术依靠基于规则或人工查看流量包的方法对此类恶意攻击行为进行攻击识别。

发明内容

有鉴于此，本公开提供了一种高效的、可以精准识别的域认证协议用户枚举的检测方法、检测装置、电子设备、计算机可读存储介质和计算机程序。

本公开的一个方面提供了一种域认证协议用户枚举的检测方法，包括：获取m个时间段的关于用户枚举行为的m个数据信息集，其中，m为大于等于1的整数，m个所述时间段与m个所述数据信息集一一对应，每个所述数据信息集包括至少一个数据信息；将每个所述数据信息与黑名单数据库中的信息进行匹配；当所述数据信息与所述黑名单数据库中的信息不匹配时，则提取m个所述数据信息集中每个所述数据信息的特征信息；根据所述特征信息对每个所述时间段的所述数据信息集进行分类，得到多个异常数据信息子集，其中，每个所述异常数据信息子集包括n个异常数据信息，n为大于等于0的整数；计算多个所述异常数据信息子集的并集，得到异常数据信息集；统计所述异常数据信息集中的同一异常数据信息出现的次数；以及当所述次数大于等于设定阈值时，将该异常数据信息加载到所述黑名单数据库。

根据本公开实施例的域认证协议用户枚举的检测方法，可以解决人为分析流量包存在不准确且效率差的问题，以及解决传统基于规则判断，准确率低的问题。本公开有效利用机器学习技术，可以精准识别用户枚举攻击行为，从而提升安全监测的水平。

在一些实施例中，所述数据信息包括源IP，所述提取m个所述数据信息集中每个所述数据信息的特征信息包括：提取m个所述数据信息集中每个所述源IP的特征信息。

在一些实施例中，所述特征信息包括与所述特征信息的数据信息集对应的时间段内的源IP登录错误次数、源IP登录成功次数、登录成功后的登录时长、源IP请求次数、源IP是否在黑名单和源IP是否为常用IP中的至少一个。

在一些实施例中，所述特征信息为t个，t等于1，所述根据所述特征信息对每个所述时间段的所述数据信息集进行分类，得到多个异常数据信息子集包括：根据所述特征信息对每个所述时间段的所述数据信息集进行分类，得到一个异常数据信息子集和一个正常数据信息子集，对m个时间段的m个所述数据信息集进行分类，得到m个异常数据信息子集。