(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111478095.4 (22)申请日 2021.12.0 6 (71)申请人 北京中安网星科技有限责任公司 地址 100016 北京市朝阳区酒仙桥路甲16 号星泰中心12层120 6室 (72)发明人 戴志斌　李佳峰　杨常城　 (74)专利代理 机构 北京市鼎立 东审知识产权代 理有限公司 1 1751 代理人 朱慧娟 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 AD域威胁检测方法、 装置及电子设备 (57)摘要 本申请适用于信息安全技术领域， 提供了AD 域威胁检测方法、 装置及电子设备。 上述AD域威 胁检测方法包括： 获取AD域中域控设备的日志和 流量； 基于所述域控设备的日志和流量， 确定是 否存在蜜罐账号使用预设凭据进行登陆； 若存在 蜜罐账号使用所述预设凭据进行登陆， 则确定所 述AD域中的终端存在PTH威胁。 本申请通过检测 蜜罐账户是否存在活动来确定AD域环境中是否 存在PTH威胁， 能够大幅度提高监测AD域环境P TH 威胁的时效性和准确率， 从而 提高AD域环 境防御 PTH攻击横向移动的安全能力。 权利要求书2页 说明书12页 附图3页 CN 114143103 A 2022.03.04 CN 114143103 A 1.一种AD域 威胁检测方法， 其特 征在于， 包括： 获取AD域中域控设备的日志和流 量； 基于所述 域控设备的日志和流 量， 确定是否存在蜜罐 账号使用预设凭据进行登陆； 若存在蜜罐 账号使用所述预设凭据进行登陆， 则确定所述AD域中的终端存在PTH威胁。 2.根据权利要求1所述的AD域 威胁检测方法， 其特 征在于， 所述方法还 包括： 在所述域控设备中部署蜜罐账户， 并将所述蜜罐账户对应的所述预设凭据下发到AD域 内的各个终端中。 3.根据权利要求1或2所述的AD域威胁检测方法， 其特征在于， 所述基于所述域控设备 的日志和流 量， 确定是否存在蜜罐 账号使用预设凭据进行登陆， 包括： 检测所述 域控设备的日志和流 量中是否存在与蜜罐 账号相关的目标 数据； 若存在与蜜罐 账号相关的目标 数据， 从所述数据中检测是否存在所述预设凭据； 若存在所述预设凭据， 则确定存在蜜罐 账号使用预设凭据登陆AD域中的终端。 4.根据权利要求3所述的AD域威胁检测方法， 其特征在于， 所述确定所述AD域中的终端 存在PTH威胁， 包括： 确定所述目标 数据对应的AD域中的目标终端； 将所述目标终端确定为所述AD域中存在PTH威胁的终端。 5.根据权利要求1所述的AD域威胁检测方法， 其特征在于， 获取AD域中域控设备的日 志， 包括： 采集所述 域控设备的日志； 或者， 接收所述 域控设备发送的域控设备的日志。 6.根据权利要求1所述的AD域威胁检测方法， 其特征在于， 获取AD域中域控设备的流 量， 包括： 通过旁路或agent的方式采集所述 域控设备的流 量。 7.根据权利要求1所述的AD域 威胁检测方法， 其特 征在于， 所述方法还 包括： 获取AD域的实体数据， 根据所述实体数据并结合所述域控设备的日志和流量， 对所述 AD域进行威胁检测； 其中， 所述实体数据包括AD域内的用户、 内网设备、 组织单位和 配置策 略中至少一种对应的数据。 8.一种AD域 威胁检测装置， 其特 征在于， 包括： 日志流量获取模块， 用于获取AD域中域控设备的日志和流 量； 登录确定模块， 用于基于所述域控设备的日志和流量， 确定是否存在蜜罐账号使用预 设凭据进行登陆； 威胁确定模块， 用于在所述登录确定模块确定存在蜜罐账号使用所述预设凭据进行登 陆时， 确定所述AD域中的终端存在PTH威胁。 9.一种电子设备， 其特 征在于， 包括： 处理器； 用于存储处理器可执行指令的存 储器； 其中， 所述处理器被配置为执行所述可执行指令时实现权利要求1至7中任意一项所述 的方法。 10.一种非易失性计算机可读存储介质， 其上存储有计算机程序指令， 其特征在于， 所权　利　要　求　书 1/2 页 2 CN 114143103 A 2述计算机程序指令被处 理器执行时实现权利要求1至7中任意 一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114143103 A 3