[发明专利]用于使用客户端蜜标检测先进攻击者的系统以及方法

说明书

提供了用于检测网络中使用客户端终端的凭证来访问服务提供服务器的恶意尝试的方法，该方法由分析网络上传输的分组的恶意事件检测服务器来执行，包括：分析与获得认证以访问服务提供服务器的尝试相关联的至少一个登陆凭证，以确定登录凭证是否与蜜标凭证集合中的无效登录凭证匹配，其中的蜜标凭证集合存储在客户端终端的本地存储器上，其中的蜜标凭证集合包括无效登录凭证以及有效登录凭证，其中的无效登录凭证对客户端终端访问服务提供服务器的认证无效以及有效登陆凭证对客户端终端访问服务提供服务器的认证有效；以及当登录凭证匹配无效登录凭证时标识恶意事件。

技术领域

本公开实施例涉及计算机领域，更具体地，涉及用于检测使用用户的凭证以获得认证来访问服务提供服务器的恶意尝试地方法和系统。

背景技术

蜜标(honeytoken)是植入在属于保护网络内的计算机资产中的虚假条目，并且监测其使用。尽管合法用户在计算机网络内只使用合法条目，并且不期望使用蜜标，但恶意实体可能尝试使用蜜标来执行恶意行为。因此，当检测到蜜标的使用时，蜜标被使用的电脑被认为是受到了感染。

蜜标的示例是诸如域控制器(DC)的植入在管理员服务器上的虚假账户(例如，人类用户，或者计算客户端的虚假账户)。当恶意实体尝试使用虚假账户时，例如，尝试访问限制数据，可以检测到恶意实体。

发明内容

如本文所用的，术语有效登录凭证(valid login-credential)可以指可以被用于标识用户以进行认证和/或授权的用户(例如，人类，客户端终端)相关的标识数据和/或(多个)登录凭证，诸如用以获得由服务提供服务器提供的数据和/或服务的访问。可选地，用户登录凭证是具有在网络管理数据库中的条目的真实用户的用户ID(例如，用户名，登录名)。

如本文所用的，术语无效登录凭证(invalid login-credential)可以指不能够被用于标识用户以进行认证和/或授权(可选地，由服务提供服务器提供的对数据和/或服务的访问)的用户相关标识数据和/或(多个)登录凭证，因为无效登录凭证是虚假的。可选地，无效登录凭证与关联于用户ID的密码相关，例如，无效登录凭证可以是虚假密码，和/或来源于密码(例如，根据密码计算，例如散列值，和/或使用密码访问的，和/或包含密码)，例如，公钥基础设施(PKI)证书，令牌以及票据(例如，Kerberos票据)。

如本文所用的，术语蜜标凭证(honeytoken-credentials)(集合)可以指(多个)无效登录凭证的集合(可选地，虚假密码或者与密码有关的虚假的数据)以及(多个)有效登录凭证(可选地，如用户名的真实用户ID)。如本文所述，蜜标凭证被存储在客户端终端的存储器中。

一些实施例的方面涉及到将蜜标存储代码分配至一个或多个客户端的系统和/或方法(例如，由服务器的处理器执行的存储在程序存储设备中的代码)。存储代码的蜜标凭证包括当由各自客户端终端处理器执行时在相应客户端终端的本地存储器上存储蜜标凭证的指令。蜜标凭证包括有效登录凭证(例如，用户名，用户ID)以及无效登录凭证(例如，虚假密码)。

一些实施例的方面涉及到对使用包括有效登录凭证以及无效登录凭证的蜜标凭证访问服务提供服务器的恶意尝试进行检测的系统和/或方法(例如，由服务器的处理器执行的存储在程序存储设备中的代码)，其中蜜标凭证被存储在有效用户的(多个)有效客户端终端的存储器中(例如，通过蜜标凭证存储代码)。

执行网络等级监测(例如，由恶意事件检测服务器)以检测无效登录凭证的网络等级使用(可选地，蜜标凭证的使用包括有效登录凭证以及无效登录凭证集合)，可选地，在尝试获得对服务提供服务器的访问中，例如，通过分析当使用假的密码或者与密码相关的假数据进行尝试时那些可能已经被拒绝的票据，密码，和/或对服务器质询的响应。