基于windows日志对域用户登录认证异常的检测方法及系统与流程

1.本技术实施例涉及网络安全技术领域，具体涉及基于windows日志对域用户登录认证异常的检测方法及系统。


背景技术：

2.对于域用户登录认证异常的主要检测方法是从windows日志、账户登录和行为创建三个方向出发。在后渗透攻击中，应用最多的是域控攻击，由于域控攻击并不是利用协议缺陷并且在域控中大多流量是加密的很难从流量层面对域控攻击行为进行检测，这就要从系统本身出发。持续的攻击是为了获得更多有价值的东西，在计算机中越有价值的东西需要越高的权限。域控攻击就是为了获得高权限用户控制系统，从windows日志中可以检测账户中权限授予情况、账户登录情况以及行为权限创建情况，以日常行为做基线就可检测形同中横向攻击行为。
3.微软中高级威胁分析(ata)平台就是利用这个方法对域控攻击进行检测。ata利用专用网络分析引擎来捕获和分析多个协议(例如kerberos、dns、rpc、ntlm等等)的网络流量以进行身份验证、授权信息和信息收集；同时ata从网络中的日志事件等多个数据源获取信息来了解组织中用户和其它实体的行为、并生成关于他们的行为配置文件。从这两方面收集信息后，通过与内部内置规则进行比对异常行为进行检测。
4.微软的ata技术的实现需要在域控上进行部署ata轻型网关，增加了系统的运行压力；同时ata从流量和日志两方面出发，需要非常了解微软自身的认证协议，对运维人员的分析能力要求增加，增加了运维人员的成本；微软的内置定义可定制行差，无法适应多变的网络环境；同时监控界面繁琐，不便于监控；同时，ata收费昂贵。


技术实现要素：

5.为此，本技术实施例提供基于windows日志对域用户登录认证异常的检测方法及系统，更灵活、更高效、更精准的对基于windows日志对域用户登录认证异常进行检测。
6.为了实现上述目的，本技术实施例提供如下技术方案：
7.根据本技术实施例的第一方面，提供了基于windows日志对域用户登录认证异常的检测方法，所述方法包括：
8.步骤a：获取目标日志事件的存储状态；
9.步骤b：根据存储状态判断所述目标日志事件是否属于所需事件日志列表，若不属于，执行步骤c；若属于，执行步骤d；所述所需事件日志列表包括创建计划任务事件、清除事件日志、登录成功事件、登录失败事件、tgt请求事件、st请求事件、ntlm认证事件和权限分配事件；
10.步骤c：设置审核策略和事件日志，并记录事件日志；
11.步骤d：根据哈希传递日志特征、票据传递日志特征、ms14
‑
068日志特征判断是否存在异常日志；
12.步骤e：若有异常日志，检查是否为运维人员操作，若不是，确认为攻击行为，对目标日志事件对应的资产做应急处理。
13.可选地，所述根据哈希传递日志特征、票据传递日志特征、ms14
‑
068日志特征判断是否存在异常日志，包括：
14.开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过哈希传递日志检测规则对数据检索匹配，产生告警；和/或
15.开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过票据传递日志检测规则对数据检索匹配，产生告警；和/或
16.开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过ms14
‑
068日志检测规则对数据检索匹配，产生告警。
17.可选地，所述设置事件日志，包括：
18.通过以下步骤检查和更改最大日志大小和事件日志的存档循环设置：
19.从事件查看器中选择windows日志属性查看和安全性属性查看；
20.在最大日志大小kb中更改事件日志文件的最大大小的值；
21.选择不覆盖事件的归档日志，以归档日志。
22.可选地，所述方法还包括：所述步骤d和步骤e按照设定周期定期进行。
23.根据本技术实施例的第二方面，提供了基于windows日志对域用户登录认证异常的检测系统，所述系统包括：
24.日志事件获取模块，用于执行步骤a：获取目标日志事件的存储状态；
25.日志类型判断模块，用于执行步骤b：根据存储状态判断所述目标日志事件是否属于所需事件日志列表，若不属于，执行步骤c；若属于，执行步骤d；所述所需事件日志列表包括创建计划任务事件、清除事件日志、登录成功事件、登录失败事件、tgt请求事件、st请求事件、ntlm认证事件和权限分配事件；
26.设置模块，用于执行步骤c：设置审核策略和事件日志，并记录事件日志；
27.日志异常检测模块，用于执行步骤d：根据哈希传递日志特征、票据传递日志特征、ms14
‑
068日志特征判断是否存在异常日志；
28.结果判定模块，用于执行步骤e：若有异常日志，检查是否为运维人员操作，若不是，确认为攻击行为，对目标日志事件对应的资产做应急处理。
29.可选地，所述日志异常检测模块，具体用于：
30.开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过哈希传递日志检测规则对数据检索匹配，产生告警；和/或
31.开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过票据传递日志检测规则对数据检索匹配，产生告警；和/或
32.开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过ms14
‑
068日志检测规则对数据检索匹配，产生告警。
33.可选地，所述设置模块，具体用于：
34.通过以下步骤检查和更改最大日志大小和事件日志的存档循环设置：
35.从事件查看器中选择windows日志属性查看和安全性属性查看；
36.在最大日志大小kb中更改事件日志文件的最大大小的值；
37.选择不覆盖事件的归档日志，以归档日志。
38.可选地，所述系统还包括：周期执行模块，用于按照设定周期定期执行所述步骤d和步骤e。
39.根据本技术实施例的第三方面，提供了一种设备，所述设备包括：数据采集装置、处理器和存储器；所述数据采集装置用于采集数据；所述存储器用于存储一个或多个程序指令；所述处理器，用于执行一个或多个程序指令，用以执行第一方面任一项所述的方法。
40.根据本技术实施例的第四方面，提供了一种计算机可读存储介质，所述计算机存储介质中包含一个或多个程序指令，所述一个或多个程序指令用于执行如第一方面任一项所述的方法。
41.综上所述，本技术实施例提供了一种基于windows日志对域用户登录认证异常的检测方法及系统，步骤a：获取目标日志事件的存储状态；步骤b：根据存储状态判断所述目标日志事件是否属于所需事件日志列表，若不属于，执行步骤c；若属于，执行步骤d；所述所需事件日志列表包括创建计划任务事件、清除事件日志、登录成功事件、登录失败事件、tgt请求事件、st请求事件、ntlm认证事件和权限分配事件；步骤c：设置审核策略和事件日志，并记录事件日志；步骤d：根据哈希传递日志特征、票据传递日志特征、ms14
‑
068日志特征判断是否存在异常日志；步骤e：若有异常日志，检查是否为运维人员操作，若不是，确认为攻击行为，对目标日志事件对应的资产做应急处理。从而实现更灵活、更高效、更精准的对基于windows日志对域用户登录认证异常进行检测。
附图说明
42.为了更清楚地说明本发明的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引伸获得其它的实施附图。
43.本说明书所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本发明可实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本发明所能产生的功效及所能达成的目的下，均应仍落在本发明所揭示的技术内容能涵盖的范围内。
44.图1为本技术实施例提供的基于windows日志对域用户登录认证异常的检测方法流程示意图；
45.图2为本技术实施例提供的域成员主机infecte
‑
ws通过ntlm去接管域成员clean
‑
ws；
46.图3为本技术实施例提供的模拟infected向clean
‑
ws进行rdp认证流程；
47.图4为本技术实施例提供的哈希传递日志示意图；
48.图5为本技术实施例提供的错误代码0x3c示意图；
49.图6为本技术实施例提供的错误代码0x3c示意图；
50.图7为本技术实施例提供的错误代码oxe示意图；
51.图8为本技术实施例提供的第一次kerberos认证示意图；
52.图9为本技术实施例提供的第二次kerberos认证示意图；
53.图10为本技术实施例提供的4624登录示意图；
54.图11为本技术实施例提供的爬取条件示意图；
55.图12为本技术实施例提供的筛选结果示意图；
56.图13为本技术实施例提供的检索示意图；
57.图14为本技术实施例提供的检测结果示意图；
58.图15为本技术实施例提供的基于windows日志对域用户登录认证异常的检测系统框图。
具体实施方式
59.以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
60.首先对本技术实施例可能涉及的技术词汇进行解释说明。
61.pass
‑
the
‑
hash:哈希传递攻击，一种攻击技术，允许攻击者通过使用先前抓到的用户密码的ntlm或lanman hash来验证远程服务器/服务，而不需要输入明文密码进行登陆。
62.pass
‑
the
‑
ticket:票据传递攻击，类似于pass
‑
the
‑
hash，但是使用kerberos票据而不使用nt hash。
63.credentials:认证凭证，不仅仅局限于明文密码，可以使windows ntlm hash或kerberos ticket。具体是什么取决去采用何种windows身份认证协议。
64.有些情况下，windows将登陆凭证缓存在内存中用于提供单点登陆功能。重点介绍的是tgt和kerberos票据。
65.tgt and st kerberos tickets:tgt和服务票据是kerberos协议的一部分。
66.kdc：密钥分发中心。
67.kerberos是windows在基于域的环境中使用的首选身份验证机制，并且可以与其他操作系统支持的kerberos实现互操作。
68.ntlm使用在windows nt和windows 2000server(or later)工作组环境中(kerberos用在域模式下)。在ad域环境中，如果需要认证windows nt系统，也必须采用ntlm。较之kerberos，基于ntlm的认证过程要简单很多。ntlm采用一种质询/应答(challenge/response)消息交换模式。
69.在域渗透中，获取域控制权限是最终的目标，获取域控制权限有多种方式，大致分为(pth)pass
‑
the
‑
hash和(ptt)pass
‑
the
‑
ticket，也称为哈希传递和票据传递攻击。哈希传递攻击、票据传递攻击没有实质区别。事实上，这两种攻击并没有利用协议的缺陷，因此没有预定义的规则检测它们，也就是说从协议包的传递过程中通过hash传递攻击和正常的smb链接请求是一样的，所以无法设置ids规则，通过网络流量去检测横向移动的攻击行为。
70.但是，这两种攻击在行为级别创建异常，因此可以通过特定高权限账户的登录行为判断是否存在异常情况，举例说明，如果域管理员账户my
‑
admin只能从特定的工作站使用，则my
‑
admin账户如果登录其它机器，则有较大可能存在问题，表面存在潜在的横向移动
攻击。可以依据此方向结合具体攻击手法做出如下日志异常检测方式。
71.图1示出了本技术实施例提供的一种基于windows日志对域用户登录认证异常的检测方法，所述方法包括：
72.步骤101：获取目标日志事件的存储状态；
73.步骤102：根据存储状态判断所述目标日志事件是否属于所需事件日志列表，若不属于，执行步骤103；若属于，执行步骤104；所述所需事件日志列表包括创建计划任务事件、清除事件日志、登录成功事件、登录失败事件、tgt请求事件、st请求事件、ntlm认证事件和权限分配事件；
74.步骤103：设置审核策略和事件日志，并记录事件日志；
75.步骤104：根据哈希传递日志特征、票据传递日志特征、ms14
‑
068日志特征判断是否存在异常日志；
76.步骤105：若有异常日志，检查是否为运维人员操作，若不是，确认为攻击行为，对目标日志事件对应的资产做应急处理。
77.在一种可能的实施方式中，在步骤104中，所述根据哈希传递日志特征、票据传递日志特征、ms14
‑
068日志特征判断是否存在异常日志，包括：开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过哈希传递日志检测规则对数据检索匹配，产生告警；和/或开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过票据传递日志检测规则对数据检索匹配，产生告警；和/或开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过ms14
‑
068日志检测规则对数据检索匹配，产生告警。
78.在一种可能的实施方式中，在步骤103中，所述设置事件日志，包括：通过以下步骤检查和更改最大日志大小和事件日志的存档循环设置：从事件查看器中选择windows日志属性查看和安全性属性查看；在最大日志大小kb中更改事件日志文件的最大大小的值；选择不覆盖事件的归档日志，以归档日志。
79.在一种可能的实施方式中，所述方法还包括：所述步骤104和步骤105按照设定周期定期进行。
80.在一种可能的实施例中，通过哈希传递日志检测、ms14
‑
068日志检测、黄金/白银票据日志检测，这三种检测方法在检查可疑日志中体现，具体的日志检测流程包括如下步骤：
81.步骤a：获取日志事件的存储状态；
82.步骤b：调查所需日志是否已经存储，调查所需事件的日志是否已经保存，是否记录了附录2中描述的事件，若没有记录，执行步骤c；若记录了，执行步骤d；
83.步骤c：参照以下内容设置事件日志：附录1用于保存事件日志的设置；附录2设置审核策略，以记录事件日志；
84.步骤d：通过参考以下内容判断是否存在可疑日志：哈希传递日志特征、票据传递日志特征、ms14
‑
068日志特征；并检查认证日志。
85.步骤e：检测是否有异常，若有，进行攻击事件确认，确认该行为是否为运维人员操作；若否，确认为攻击行为，需要对目标资产做应急处理。
86.上述步骤d和步骤e按照设定周期定期进行。
87.附录1：用于保存事件日志的设置。
88.可以通过以下过程检查和更改最大日志大小和事件日志的存档(循环)设置：
89.1、从事件查看器中选择“windows日志”和“安全性”，然后单击鼠标右键以显示属性。
90.2、在“最大日志大小(kb)”中更改事件日志文件的最大大小的值。
91.3、归档日志，则选择“不覆盖事件的归档日志”。
92.附录2：设置审核策略以记录事件日志。表1示出调查所需的事件日志示例。
93.表1
94.活动编号说明4698创建计划任务1102清除事件日志4624登录成功4625登录失败4768kerberos认证(tgt请求)4769kerberos认证(st请求)4776ntlm认证4672权限分配
95.下面对本技术实施例提供的方法进行解释说明。
96.第一方面，检测ntlm横向移动说明(pass
‑
the
‑
has)。
97.图2为域成员主机infecte
‑
ws通过ntlm去接管域成员clean
‑
ws。
98.1、4648事件(显示凭据尝试登录)，首先infected向cleam
‑
ws发起接管请求，在infected
‑
ws上记录4648使用显示凭据尝试登录目标主机(针对哈希传递攻击该事件记录取决于攻击者手法，如果直接用具有管理员权限的cmd发起psexec.exe\\target cmd.exe将不会产生该事件id记录)在日志中记录了目的主机名clean
‑
ws。
99.2、4776事件(域控制器试图验证账户凭据)，第一个4776事件，在机器验证过程中生成，clean
‑
ws到域控制器，该事件对哈希传递攻击检测没用，第二个4776表示当访问目标工作站clean
‑
ws时，账户my
‑
admin的确认信息，该事件表示存在横向移动行为，为监控横向移动攻击的关键事件。
100.3、4624事件(成功登录账户)表示目标用户my
‑
admin在目标工作站上clean
‑
ws成功登录。针对哈希传递攻击4624/4625(登录失败)对于取证非常有用，他们提供了登录类型以及攻击者的网络地址。
101.4、4634/4647:已注销账户/已启动账户，该事件表明攻击者已注销，可以通过事件4624的登录id值和此事件来确定攻击的完整会话。
102.综上所述，哈希传递攻击属于典型的ntlm横向移动攻击方法，利用提前注入好的ntlm hash向目标主机发起连接操作，该攻击事件日志中没有4648产生，直接为4776事件，随后是4624，针对该事件主要监控4776事件、4624事件和4625事件，然后对日志进行检测。
103.表2
104.日志产生主机event id理由dc4776关注特权账户的横向移动信息
ws4624/4625记录异常登录行为
105.第二方面，kerberos横向移动(pass
‑
the
‑
ticket)。图3示出了模拟infected向clean
‑
ws进行rdp认证流程。
106.1、4768事件(请求kerberos身份验证票据(tgt))可能在票据传递攻击过程中看不到，因为tgt票据先前被抓到注入在攻击请求中，不会向kerberos密钥分发中心和域控制器发起新的请求。
107.2、4796事件(请求kerberos服务票据)可用于检测横向移动行为。
108.3、4624事件(成功登录账户)表示目标用户my
‑
admin在目标工作站上clean
‑
ws成功登录。针对哈希传递攻击4624/4625(登录失败)对于取证非常有效，可以提供登录类型以及攻击者发起攻击的网络地址。
109.4、4634/4647事件：表示已注销账户/已启动账户，该事件表明攻击者已注销，可以通过事件4624的登录id值和此事件来确定攻击的完整会话。
110.kerberos横向移动攻击常见的有ms
‑
14
‑
068和金票/银票攻击，利用提前注入内存的tgt票据发起获取服务请求，需要关注的事件有4769和潜在4768，并且关注4624和4625记录账户登录异常行为。
111.表3
[0112][0113]
在本技术实施例提供的方法中的哈希传递日志检测，首先开启日志事件登录审计，通过winlog转发收集日志，然后传入es数据库，然后通过elk进行日志展示，通过哈希传递日志检测规则进行对数据检索匹配，产生告警。
[0114]
在攻击者获取域内一台主机权限情况下，可能使用哈希传递的方式抓取域控管理员存在域成员机器上哈希获取域控制权限。图4示出了哈希传递日志示意图。表4示出了认证异常对应日志情况。
[0115]
表4
[0116][0117]
在本技术实施例提供的方法中的ms14
‑
068日志检测，首先开启日志事件登录审计，通过winlog转发收集日志然后传入es数据库，然后通过elk进行日志展示，通过ms14
‑
068日志检测规则进行对数据检索匹配，产生告警。
[0118]
进行利用ms14
‑
068漏洞攻击时，攻击失败会记录在相应的安全日志中。表5示出了ms14
‑
068事件日志调查详情。
[0119]
图5示出了错误代码0x3c示意图。图6示出了错误代码oxe示意图。
[0120]
表5
[0121][0122]
在本技术实施例提供的方法中的黄金/白银票据日志检测，首先开启日志事件登录审计，通过winlog转发收集日志，然后传入es数据库，然后通过elk进行日志展示，通过黄金/白银票据日志检测规则进行对数据检索匹配，产生告警。
[0123]
当使用特定攻击工具的较旧版本创建的golden ticket/silber ticket时，身份验证事件中可能会记录一个特殊字符串。表6示出了票据传递事件日志调查详情。
[0124]
表6
[0125][0126]
图7示出了票据攻击流程示意图，该截图为票据传递攻击过程中windows域控机器产生的日志。图8示出了第一次kerberos认证示意图，选取第一个id为4769的事件，该日志记录了有成员使用administrator管理员账号登录，并且记录ip登录ip为192.168.52.143,
该事件为域成员向域控请求tgs票据的事件。图9示出了第二次kerberos认证示意图，该事件为第二个4769事件，并且记录信息同第一个相同，但表示为服务器对域成员请求tgs票据的响应。图10示出了4624登录示意图，该事件表示，域成员获取了tgs票据，成功使用administratr账号登录目标主机，并记录了登录时攻击者的ip。
[0127]
下面对本技术实施例提供的方法的实施效果进行说明。
[0128]
假设在一个域控环境中，该域控通过elk系统进行日志收集，通过脚本定期爬取elk日志收集系统检索符合上述规则的日志，进行内网横向移动来监控，如下是检测的结果。
[0129]
第一方面，哈希传递攻击检测。
[0130]
通过检测发现域控存在横向移动攻击被10.1.10.176通过administrator成功登录。图11示出了爬取条件，通过检索事件id为4776和4624和4625事件进行检索，看是否有该事件产生。图12示出了筛选结果，通过匹配到的日志可以发现test03成功使用administrator账号成功登录目标用户，存在哈希传递。
[0131]
第二方面，票据传递通用规则检测。
[0132]
通过检测发现域控存在票据传递攻击，域控被网络地址10.1.10.176利用administrator账户成功登录。图13示出了通过检索事件id为4769和4624和4625事件进行检索，看是否有该事件产生。图14示出了检测结果。通过匹配到的日志可以发现10.1.10.176成功使用administrator账号成功登录目标用户，存在票据传递。
[0133]
可以通过以下过程检查和更改最大日志大小和事件日志的存档设置：
[0134]
1、从事件查看器中选择“windows日志”和“安全性”，然后单击鼠标右键以显示属性。
[0135]
2、在“最大日志大小(kb)”中更改事件日志文件的最大大小的值。
[0136]
3、要归档日志，请选中“不覆盖事件的归档日志”。
[0137]
*如果通过启用此项超过了最大日志大小
[0138]
有关以“archive
‑
system
‑
yyyy
‑
mm
‑
dd
‑
hh
‑
mm
‑
ss
‑
nnn.evt”名称进行归档的详细说明，请参见microsoft信息。
[0139]
附录3：对active directory攻击验证结果：
[0140]
第一方面：漏洞环境：
[0141]
域控windows server 2008 r2 ip 192.168.52.138
[0142]
域成员1 windows 2007
ꢀꢀꢀꢀꢀꢀꢀꢀ
ip 192.168.52.143
[0143]
域成员2 windows server 2003 ip 192.168.52.145
[0144]
第二方面：哈希与票据传递：
[0145]
(1)在域成员1上使用mimikatz抓取域管理员哈希。
[0146]
(2)使用mimikatz执行privilege::pth提示权限。
[0147]
(3)使用mimikatz执行sekurlsa::pth/user:administrator/domain:workgroup/ntlm:抓取到的ntlm注入到lsass中。
[0148]
(4)在弹出的cmd中执行dir\\owa\c$(owa域控主机名)进行验证。
[0149]
第三方面：ms14
‑
068漏洞复现：该漏洞复现使用ms14
‑
068.exe和mimikatz工具。
[0150]
1、首先在域成员1进行对域控使用dir\\owa\c$(owa域控主机名)进行验证，发现
没有权限。
[0151]
2、使用命令whoami/all>1.txt获取域成员1的sid并输出到1.txt中。
[0152]
3、使用工具ms14
‑
068生成票据。ms14
‑
068.exe
‑
u域成员名@域名
‑
s域成员sid
‑
d域控制器ip地址
‑
p域成员密码。
[0153]
4、使用mimikatz清除域成员现有票据，进入mimikatz执行kerberos::qurge清除票据。
[0154]
5、mimikatz#kerberos::ptc票据文件//将票据注入到内存中。
[0155]
6、dir\\owa\c$(owa域控主机名)进行验证权限。
[0156]
第四方面：白银票据。该漏洞复现使用mimikatz工具。
[0157]
1、使用mimikatz执行privilege::mimikatz和sekurlsa::logonpasswords抓取hash
[0158]
2、使用mimikatz生成票据。kerberos::golden/domain:域控域名/sid:域的sid/target:域控机器的名称即fqdn(全称)/rc4:抓取的hash/service:可利用的服务，这里是cifs/user:要伪造的用户名，任意填写/ptt。
[0159]
3、dir\\owa\c$验证票据权限。
[0160]
第五方面，黄金票据复现。该漏洞复现使用mimikatz工具。
[0161]
1、在域控上使用mimikatz中的lsadump::lsaa/patch抓取krbtgt账号哈希和sid。
[0162]
2、在域用户1使用mimikatz生成票据。
[0163]
kerberos::golden/user:需要伪造的域管理员用户名/domain:demo.com/sid:域sid/krbtgt:krbtgt用户的hash/ticket:ticket.kirbi。
[0164]
3、使用mimikatz将生成的票据注入内存；
[0165]
kerberos::ptt<票据文件>。
[0166]
4、使用mimikatz查看生成的tgt票据kerberos::list。
[0167]
5、在cmd下使用命令dir\\owa\c$(owa域控计算机名称)验证权限。
[0168]
综上所述，本技术实施例提供了一种基于windows日志对域用户登录认证异常的检测方法，步骤a：获取目标日志事件的存储状态；步骤b：根据存储状态判断所述目标日志事件是否属于所需事件日志列表，若不属于，执行步骤c；若属于，执行步骤d；所述所需事件日志列表包括创建计划任务事件、清除事件日志、登录成功事件、登录失败事件、tgt请求事件、st请求事件、ntlm认证事件和权限分配事件；步骤c：设置审核策略和事件日志，并记录事件日志；步骤d：根据哈希传递日志特征、票据传递日志特征、ms14
‑
068日志特征判断是否存在异常日志；步骤e：若有异常日志，检查是否为运维人员操作，若不是，确认为攻击行为，对目标日志事件对应的资产做应急处理。从而实现更灵活、更高效、更精准的对基于windows日志对域用户登录认证异常进行检测。
[0169]
基于相同的技术构思，本技术实施例还提供了基于windows日志对域用户登录认证异常的检测系统，如图15所示，所述系统包括：
[0170]
日志事件获取模块1501，用于执行步骤a：获取目标日志事件的存储状态；
[0171]
日志类型判断模块1502，用于执行步骤b：根据存储状态判断所述目标日志事件是否属于所需事件日志列表，若不属于，执行步骤c；若属于，执行步骤d；所述所需事件日志列表包括创建计划任务事件、清除事件日志、登录成功事件、登录失败事件、tgt请求事件、st
请求事件、ntlm认证事件和权限分配事件；
[0172]
设置模块1503，用于执行步骤c：设置审核策略和事件日志，并记录事件日志；
[0173]
日志异常检测模块1504，用于执行步骤d：根据哈希传递日志特征、票据传递日志特征、ms14
‑
068日志特征判断是否存在异常日志；
[0174]
结果判定模块1505，用于执行步骤e：若有异常日志，检查是否为运维人员操作，若不是，确认为攻击行为，对目标日志事件对应的资产做应急处理。
[0175]
在一种可能的实施方式中，所述日志异常检测模块1504，具体用于：
[0176]
开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过哈希传递日志检测规则对数据检索匹配，产生告警；和/或开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过票据传递日志检测规则对数据检索匹配，产生告警；和/或开启日志事件登录审计，通过winlog转发收集日志，传入es数据库，通过elk进行日志展示，通过ms14
‑
068日志检测规则对数据检索匹配，产生告警。
[0177]
在一种可能的实施方式中，所述设置模块1503，具体用于：通过以下步骤检查和更改最大日志大小和事件日志的存档循环设置：从事件查看器中选择windows日志属性查看和安全性属性查看；在最大日志大小kb中更改事件日志文件的最大大小的值；选择不覆盖事件的归档日志，以归档日志。
[0178]
在一种可能的实施方式中，所述系统还包括：周期执行模块，用于按照设定周期定期执行所述步骤d和步骤e。
[0179]
基于相同的技术构思，本技术实施例还提供了一种设备，所述设备包括：数据采集装置、处理器和存储器；所述数据采集装置用于采集数据；所述存储器用于存储一个或多个程序指令；所述处理器，用于执行一个或多个程序指令，用以执行所述的方法。
[0180]
基于相同的技术构思，本技术实施例还提供了一种计算机可读存储介质，所述计算机存储介质中包含一个或多个程序指令，所述一个或多个程序指令用于执行所述的方法。
[0181]
本说明书中上述方法的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。相关之处参见方法实施例的部分说明即可。
[0182]
需要说明的是，尽管在附图中以特定顺序描述了本发明方法的操作，但这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
[0183]
虽然本技术提供了如实施例或流程图的方法操作步骤，但基于常规或者无创造性的手段可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的装置或客户端产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境，甚至为分布式数据处理环境)。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、产品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、产品或者设备所固
有的要素。在没有更多限制的情况下，并不排除在包括所述要素的过程、方法、产品或者设备中还存在另外的相同或等同要素。
[0184]
上述实施例阐明的单元、装置或模块等，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本技术时可以把各模块的功能在同一个或多个软件和/或硬件中实现，也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0185]
本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内部包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
[0186]
本技术可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构、类等等。也可以在分布式计算环境中实践本技术，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
[0187]
通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，移动终端，服务器，或者网络设备等)执行本技术各个实施例或者实施例的某些部分所述的方法。
[0188]
本说明书中的各个实施例采用递进的方式描述，各个实施例之间相同或相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。本技术可用于众多通用或专用的计算机系统环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的电子设备、网络pc、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
[0189]
以上所述的具体实施例，对本技术的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本技术的具体实施例而已，并不用于限定本技术的保护范围，凡在本技术的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。