本申請涉及信息安全領域，提供哈希傳遞攻擊行為的檢測方法、裝置和計算機設備，包括：判斷是否接收到客戶端發送的資源訪問請求；若是，生成隨機數并存儲；將隨機數發送給客戶端；接收客戶端返回的加密后的隨機數；向域控制器發送驗證請求；接收域控制器返回的驗證結果，判斷驗證結果是否為驗證通過；若是，向客戶端返回身份認證通過的第一信息，并放行客戶端登錄服務器的登錄權限；在客戶端成功登錄服務器后，獲取客戶端的登錄認證日志；對登錄認證日志進行日志分析，從登錄認證日志提取出指定字段；根據與指定字段信息對應的數據值，按照預設規則識別出客戶端是否存在哈希傳遞攻擊行為。本申請能準確識別出客戶端是否存在哈希傳遞攻擊行為。

技術領域

本申請涉及信息安全技術領域，具體涉及一種哈希傳遞攻擊行為的檢測方法、裝置和計算機設備。

背景技術

Pass-the-hash(哈希傳遞攻擊)是一種技術，攻擊者在獲得本地管理員權限之后，通過這種技術從被入侵的工作站或服務器上的內存中捕獲NT(LM)哈希。使用這些被盜用的憑據，他們可以代表受到威脅的用戶打開一個新的身份驗證會話，通過該身份會話實現攻擊者在網絡環境中的橫向移動。該技術對于內部網絡安全的影響較為深遠，如果缺乏對該哈希傳遞攻擊技術的檢測，會造成大量工作站或服務器上的敏感數據被盜取。

現有的檢測哈希傳遞攻擊行為的方式是依賴殺毒軟件對攻擊者在操作系統上使用的攻擊程序及執行的系統命令進行判斷。但如果攻擊者使用的攻擊程序進行更改替換時，殺毒軟件的策略無法及時更新。另外，由于執行的系統命令可進行混淆，使得殺毒軟件無法進行檢測判斷。因此，現有的檢測哈希傳遞攻擊行為的方式存在檢測困難，且檢測精度低的弊端。如何能夠實現準確地檢測出哈希傳遞攻擊行為，已成為了目前亟需解決的技術問題。

發明內容

本申請的主要目的為提供一種哈希傳遞攻擊行為的檢測方法、裝置、計算機設備和存儲介質，旨在解決現有的檢測哈希傳遞攻擊行為的方式存在檢測困難，且檢測精度低的技術問題。

本申請提出一種哈希傳遞攻擊行為的檢測方法，所述方法包括步驟：

判斷是否接收到客戶端發送的資源訪問請求；

若接收到所述客戶端發送的資源訪問請求，則生成一個指定位數的隨機數，并存儲所述隨機數；

將所述隨機數發送給所述客戶端；

接收所述客戶端返回的加密后的隨機數，其中，所述客戶端會使用預存儲的密碼哈希值對所述隨機數進行加密，生成所述加密后的隨機數；

向預設的域控制器發送驗證請求，以通過所述域控制器對所述驗證請求進行驗證處理，并返回對應的驗證結果，其中，所述驗證請求攜帶有與所述客戶端對應的客戶端用戶名，所述隨機數以及所述加密后的隨機數；

接收所述域控制器返回的所述驗證結果，并判斷所述驗證結果是否為驗證通過；

若所述驗證結果為驗證通過，則向所述客戶端返回身份認證通過的第一信息，并放行所述客戶端登錄至所述服務器的登錄權限；

在所述客戶端成功登錄至所述服務器后，獲取與所述客戶端對應的登錄認證日志；

對所述登錄認證日志進行日志分析，從所述登錄認證日志中提取出指定字段，其中，所述指定字段包括事件ID字段、登錄類型字段與登錄進程名字段；

根據與所述指定字段對應的數據值，按照預設規則識別出所述客戶端是否存在哈希傳遞攻擊行為。

可選地，所述根據與所述指定字段對應的數據值，按照預設規則識別出所述客戶端是否存在哈希傳遞攻擊行為的步驟，包括：

從所述登錄認證日志中獲取與所述事件ID字段對應的第一數據值，并判斷所述第一數據值是否為第一預設值；