提供了用于檢測網絡中使用客戶端終端的憑證來訪問服務提供服務器的惡意嘗試的方法，該方法由分析網絡上傳輸的分組的惡意事件檢測服務器來執行，包括：分析與獲得認證以訪問服務提供服務器的嘗試相關聯的至少一個登陸憑證，以確定登錄憑證是否與蜜標憑證集合中的無效登錄憑證匹配，其中的蜜標憑證集合存儲在客戶端終端的本地存儲器上，其中的蜜標憑證集合包括無效登錄憑證以及有效登錄憑證，其中的無效登錄憑證對客戶端終端訪問服務提供服務器的認證無效以及有效登陸憑證對客戶端終端訪問服務提供服務器的認證有效；以及當登錄憑證匹配無效登錄憑證時標識惡意事件。

技術領域

本公開實施例涉及計算機領域，更具體地，涉及用于檢測使用用戶的憑證以獲得認證來訪問服務提供服務器的惡意嘗試地方法和系統。

背景技術

蜜標(honeytoken)是植入在屬于保護網絡內的計算機資產中的虛假條目，并且監測其使用。盡管合法用戶在計算機網絡內只使用合法條目，并且不期望使用蜜標，但惡意實體可能嘗試使用蜜標來執行惡意行為。因此，當檢測到蜜標的使用時，蜜標被使用的電腦被認為是受到了感染。

蜜標的示例是諸如域控制器(DC)的植入在管理員服務器上的虛假賬戶(例如，人類用戶，或者計算客戶端的虛假賬戶)。當惡意實體嘗試使用虛假賬戶時，例如，嘗試訪問限制數據，可以檢測到惡意實體。

發明內容

如本文所用的，術語有效登錄憑證(valid login-credential)可以指可以被用于標識用戶以進行認證和/或授權的用戶(例如，人類，客戶端終端)相關的標識數據和/或(多個)登錄憑證，諸如用以獲得由服務提供服務器提供的數據和/或服務的訪問?？蛇x地，用戶登錄憑證是具有在網絡管理數據庫中的條目的真實用戶的用戶ID(例如，用戶名，登錄名)。

如本文所用的，術語無效登錄憑證(invalid login-credential)可以指不能夠被用于標識用戶以進行認證和/或授權(可選地，由服務提供服務器提供的對數據和/或服務的訪問)的用戶相關標識數據和/或(多個)登錄憑證，因為無效登錄憑證是虛假的?？蛇x地，無效登錄憑證與關聯于用戶ID的密碼相關，例如，無效登錄憑證可以是虛假密碼，和/或來源于密碼(例如，根據密碼計算，例如散列值，和/或使用密碼訪問的，和/或包含密碼)，例如，公鑰基礎設施(PKI)證書，令牌以及票據(例如，Kerberos票據)。

如本文所用的，術語蜜標憑證(honeytoken-credentials)(集合)可以指(多個)無效登錄憑證的集合(可選地，虛假密碼或者與密碼有關的虛假的數據)以及(多個)有效登錄憑證(可選地，如用戶名的真實用戶ID)。如本文所述，蜜標憑證被存儲在客戶端終端的存儲器中。

一些實施例的方面涉及到將蜜標存儲代碼分配至一個或多個客戶端的系統和/或方法(例如，由服務器的處理器執行的存儲在程序存儲設備中的代碼)。存儲代碼的蜜標憑證包括當由各自客戶端終端處理器執行時在相應客戶端終端的本地存儲器上存儲蜜標憑證的指令。蜜標憑證包括有效登錄憑證(例如，用戶名，用戶ID)以及無效登錄憑證(例如，虛假密碼)。

一些實施例的方面涉及到對使用包括有效登錄憑證以及無效登錄憑證的蜜標憑證訪問服務提供服務器的惡意嘗試進行檢測的系統和/或方法(例如，由服務器的處理器執行的存儲在程序存儲設備中的代碼)，其中蜜標憑證被存儲在有效用戶的(多個)有效客戶端終端的存儲器中(例如，通過蜜標憑證存儲代碼)。

執行網絡等級監測(例如，由惡意事件檢測服務器)以檢測無效登錄憑證的網絡等級使用(可選地，蜜標憑證的使用包括有效登錄憑證以及無效登錄憑證集合)，可選地，在嘗試獲得對服務提供服務器的訪問中，例如，通過分析當使用假的密碼或者與密碼相關的假數據進行嘗試時那些可能已經被拒絕的票據，密碼，和/或對服務器質詢的響應。