本公開提供了一種域認證協議用戶枚舉的檢測方法、檢測裝置、電子設備、介質和計算機程序。檢測方法和裝置可用于人工智能技術領域。檢測方法包括：獲取m個時間段的關于用戶枚舉行為的m個數據信息集；將每個數據信息與黑名單數據庫中的信息進行匹配；當數據信息與黑名單數據庫中的信息不匹配時，則提取m個數據信息集中每個數據信息的特征信息；根據特征信息對每個時間段的數據信息集進行分類，得到多個異常數據信息子集；計算多個異常數據信息子集的并集，得到異常數據信息集；統計異常數據信息集中的同一異常數據信息出現的次數；以及當次數大于等于設定閾值時，將該異常數據信息加載到黑名單數據庫。

技術領域

本公開涉及人工智能技術領域，更具體地，涉及一種域認證協議用戶枚舉的檢測方法、檢測裝置、電子設備、介質和計算機程序。

背景技術

在滲透測試或攻防演練場景中，經常需要針對域認證協議(例如Kerberos協議)中發生在客戶機與域認證協議的認證組件，例如AS的KRB_AS_REQ與KRB_AS_REP交互過程產生的域用戶枚舉行為進行檢測，用于主動發現針對域賬戶的黑客攻擊行為。滲透測試或者黑客攻擊場景中，經常采用用戶枚舉方法進行域賬號破解。由于該枚舉方法在Kerberos現有協議特點上具備較強的隱藏性，現在無專門通過此類機器學習的方法或系統應用到KRB_AS_REQ與KRB_AS_REP的交互數據流量以自動判斷惡意攻擊行為，現有技術依靠基于規則或人工查看流量包的方法對此類惡意攻擊行為進行攻擊識別。

發明內容

有鑒于此，本公開提供了一種高效的、可以精準識別的域認證協議用戶枚舉的檢測方法、檢測裝置、電子設備、計算機可讀存儲介質和計算機程序。

本公開的一個方面提供了一種域認證協議用戶枚舉的檢測方法，包括：獲取m個時間段的關于用戶枚舉行為的m個數據信息集，其中，m為大于等于1的整數，m個所述時間段與m個所述數據信息集一一對應，每個所述數據信息集包括至少一個數據信息；將每個所述數據信息與黑名單數據庫中的信息進行匹配；當所述數據信息與所述黑名單數據庫中的信息不匹配時，則提取m個所述數據信息集中每個所述數據信息的特征信息；根據所述特征信息對每個所述時間段的所述數據信息集進行分類，得到多個異常數據信息子集，其中，每個所述異常數據信息子集包括n個異常數據信息，n為大于等于0的整數；計算多個所述異常數據信息子集的并集，得到異常數據信息集；統計所述異常數據信息集中的同一異常數據信息出現的次數；以及當所述次數大于等于設定閾值時，將該異常數據信息加載到所述黑名單數據庫。

根據本公開實施例的域認證協議用戶枚舉的檢測方法，可以解決人為分析流量包存在不準確且效率差的問題，以及解決傳統基于規則判斷，準確率低的問題。本公開有效利用機器學習技術，可以精準識別用戶枚舉攻擊行為，從而提升安全監測的水平。

在一些實施例中，所述數據信息包括源IP，所述提取m個所述數據信息集中每個所述數據信息的特征信息包括：提取m個所述數據信息集中每個所述源IP的特征信息。

在一些實施例中，所述特征信息包括與所述特征信息的數據信息集對應的時間段內的源IP登錄錯誤次數、源IP登錄成功次數、登錄成功后的登錄時長、源IP請求次數、源IP是否在黑名單和源IP是否為常用IP中的至少一個。

在一些實施例中，所述特征信息為t個，t等于1，所述根據所述特征信息對每個所述時間段的所述數據信息集進行分類，得到多個異常數據信息子集包括：根據所述特征信息對每個所述時間段的所述數據信息集進行分類，得到一個異常數據信息子集和一個正常數據信息子集，對m個時間段的m個所述數據信息集進行分類，得到m個異常數據信息子集。