[发明专利]用于使用客户端蜜标检测先进攻击者的系统以及方法

权利要求书

1.一种计算机实现方法，用于检测使用网络中用户的凭证以获得认证来访问服务提供服务器的恶意尝试，所述方法由分析所述网络上传输的分组的恶意事件检测服务器分组来执行，所述方法包括：

经由网络监测设备，监测所述网络上传输的所述分组来标识至少一个登录凭证，所述登录凭证包括与获得认证来访问所述服务提供服务器的尝试相关联的密码；

分析所述至少一个密码来确定接收的所述密码是否与无效登录凭证匹配，所述无效登录凭证包括包含在蜜标凭证集合中的无效蜜标密码，其中所述蜜标凭证集合包括所述用户的无效蜜标密码以及包括所述用户的用户名的有效登录凭证，其中所述无效蜜标密码对于访问所述服务提供服务器的所述用户的认证无效并且有效用户名对于访问所述服务提供服务器的所述用户的认证有效；

其中包括所述用户的所述无效蜜标密码以及所述用户的所述有效用户名的所述蜜标凭证集合通过由管理服务器在所述网络上分发的蜜标凭证存储码被存储在客户端终端的本地存储器上；

其中与所述客户端终端的所述本地存储器上存储的所述有效用户名对应的所述用户的所述无效蜜标密码不同于与安全认证服务器上存储的所述用户的所述有效用户名对应的有效密码，所述安全认证服务器根据所述有效用户名和所述有效密码执行用于访问所述服务提供服务器的所述用户的认证；

当接受的所述登录凭证匹配所述蜜标凭证集合中的所述无效登录凭证时，标识恶意事件；以及

输出恶意事件指示，其触发由所述恶意事件检测服务器进行的安全进程。

2.根据权利要求1所述的计算机实现方法，进一步包括：

接收与获得认证以访问所述服务提供服务器的所述尝试相关联的第二登录凭证；

分析所述第二登录凭证来确定接收的所述第二登录凭证是否与被存储在与存储的所述蜜标凭证集合相关联的所述客户端终端的所述本地存储器的所述有效登录凭证相匹配；并且

其中标识进一步包括当所述第二登录凭证匹配所述有效登录凭证时标识所述恶意事件。

3.根据权利要求1所述的计算机实现方法，进一步包括：

基于至少一个传输的分组的分析来标识登录失败事件，其中所述登录失败事件表示了所述用户获得认证来在所述网络上远程登录访问所述服务提供服务器的失败；并且

其中所述登录凭证与标识的所述登录失败事件相关联。

4.根据权利要求1所述的计算机实现方法：

其中获得认证来访问所述服务提供服务器的所述尝试包括由Kerberos服务器拒绝认证由所述客户端终端传输的认证服务请求(AS-REQ)；

其中接收的所述登录凭证包括用于在所述AS-REQ中加密时间戳的密码；

其中所述蜜标凭证集合包括作为有效登录凭证的蜜标密码；以及进一步包括：

使用所述蜜标密码解密在所述AS-REQ中加密的时间戳；以及

当所述蜜标密码成功解密所述时间戳时标识所述恶意事件，所述蜜标密码成功解密所述时间戳指示所述时间戳使用与所述蜜标密码相匹配的所述密码来被加密。

5.根据权利要求1所述的计算机实现方法：

其中获得认证来访问所述服务提供服务器的所述尝试包括NT LAN管理(NTLM)服务器拒绝认证对于由所述客户端终端传输的质询的响应；

其中接收的所述登录凭证包括用于加密从所述NTLM服务器接收的所述质询的用户密码的散列；

其中所述蜜标凭证集合的所述无效登录凭证包括所述用户密码的蜜标散列；以及

进一步包括：

通过使用所述蜜标散列加密所述质询来计算对所述质询的响应；以及

当使用所述蜜标散列加密的所述质询与由所述客户端终端传输的使用所述用户密码的所述散列加密的所述质询匹配时，标识所述恶意事件。

6.根据权利要求1所述的计算机实现方法，进一步包括通过从定义用于存储所述登录凭证的字段明文提取，来从至少一个网络业务分组中提取所述登录凭证，所述至少一个网络业务分组与获得认证来访问所述服务提供服务器的所述尝试相关联。