| 参赛者姓名 | 李恒宇 | 大赛年份 | 2023年 | ||||
| 大赛届次 | 第18届 | 奖项 | 入围奖 | ||||
| 发明人姓名 | 李恒宇 | ||||||
| 技术领域 | 电子信息, | ||||||
| 应用行业 | 计算机网络安全 | ||||||
| 项目类别 | 专有技术 | ||||||
| 专利类型 | |||||||
| 专利情况 | 申请号 | 申请日期 | |||||
| 专利号 | 授权日期 | ||||||
| 计算机软件著作权证书登记号 | |||||||
| 项目简介 | 1. 发明目的、基本思路、与现有技术对比有什么改进与创新 过去几年中,全球网络威胁呈现不断演变和复杂化的趋势,尤其是零日(0day)和高级持续性威胁(APT)攻击的显著增加。在当前复杂的网络安全态势下,来自内网安全的挑战尤为突出,有效的内网安全措施至关重要。 本发明项目所设计开发的防御系统是一款基于网络流量分析和关键信息提取技术的网络入侵防御系统(NIPS)的概念原型(POC)模块,经产品化后它可以被部署在网关服务器来监控域内客户端机器到域控制器之间所有的用户认证请求和响应。该款防御系统的主要功能包括防御各种针对Kerberos票据的攻击,比如伪造票据、窃取票据、传递票据攻击(PTT)等。此外,它还能对攻击者在域内的其它冒用身份类型(如窃取密码哈希)的横向移动行为进行实时检测和拦截,并对用户常规的认证行为按照既定的规则策略进行通用化的访问控制过滤。本课题所设计开发的防御系统的主要特点和关键性技术包括:1)采用独特的消息关联技术来获取用户认证信息,而无须对Kerberos数据包进行解密;2)通过创建并维护一个内部的票据缓存来支持对认证票据的合法性进行查询验证;3)利用管理员可配置的条件访问控制策略对域内所有的用户认证请求实施访问控制过滤。 |
||||||
| 2. 已取得的社会及经济效益,如:产值、利润、节约能源及改善环境等方面 1. 本项目所防御的是针对Windows域环境基于Kerberos票据的攻击、权限提升和横向移动攻击。而其它入侵防御系统则可能针对不同环境下的其它攻击类型。 2. 本项目的部署点是在网络层,而其它入侵防御系统则可能部署在主机上或云端。 3. 本项目采用的基本检测技术是基于网络流量分析和关键信息提取来检测恶意、异常或未授权的行为。而其它解决方案包括利用操作系统本身提供的配置和策略进行主机加固,或者主机类安全产品进行基于主机行为和痕迹的检测。 4. 本项目从监控Windows用户身份认证入手来解决横向移动攻击问题。而其它同类网络安全产品则可能是针对具体的攻击手段和工具所使用的网络协议进行检测。 5. 解密Kerberos数据包的成本较高,且有泄露用户隐私的潜在担忧。本发明采用了独特的消息关联技术来获取用户认证的关键信息,从而避免了解密Kerberos数据包的需求。 6. 针对Kerberos票据的攻击、本发明特别设计了一个内部缓存用以跟踪所有合法票据。而针对防御其它冒用身份类的横向移动攻击和通用访问控制的需求,本发明引入了一个静态的条件访问控制策略来对所有的用户认证请求进行过滤。 |
|||||||
| 项目进展阶段 | 有样品 | ||||||
| 备注 | |||||||