鉴别用户身份验证图.pptVIP

1 2 3 4 5 www.HighN www.HighN HighNova HighNova 汉诺·中国 专业音视频解决方案提供商 谢 谢 Thanks Different User Authentication Graphs鉴别用户身份验证图 www.HighN 简介 对某企业的认证环境分析 风险和结果 结论和未来工作 目录 文章背景 2013年IEEE安全隐私研讨会 作者背景 Alexander D.Kent（亚历山大） 阿拉莫斯科学实验室中的研究员 Lorie M.Liebrock（罗瑞） 新墨西哥矿业及科技学院 背景简介 主要内容 本文提出了利用图形来代表网络中的用户认证活动。在一个真正的企业网络数据集中运用这个机制，我们可以发现非特权用户和系统管理特权用户在规模和复杂性有着区别性的图形属性。此外，我们发现，用户身份验证图提供了直观的洞察到网络用户的行为。我们相信，理解这些不同甚至更高的差异细节会带来更好的用户行为分析和分析难以捉摸的检测认证证书滥用。 介绍 用户认证是现代计算机使用的一个基本方面。这种认证可以采取一个简单的用户名和密码的形式或者涉及不同因素更多身份的复杂手段。然而，在计算机的操作系统或应用程序中这些机制几乎总是成为某种形式的统一身份认证令牌。从恶意的内部人员角度看，不当的使用他自己的身份认证凭据或偷别人的是许多恶意行为的一个必要方面 Kerberos认证是集中式身份认证最广泛的例子。 Kerberos协议 Kerberos协议依赖于一个被称为密钥分发中心的中央服务器，作为用户认证的仓库。联网的计算机请求提供可信授权令牌的密钥分发中心来做身份认证。计算机向密钥分发中心发送请求来获取身份认证证书。对于用户来说，这些证书可以自动的缓存和重用。票据授予票成为用于请求未来身份验证票的本地缓存认证证书。操作系统可以使用用户缓存的票据授予票向密钥分发中心做出新的请求来得到新的认证证书也就是票据授予服务令牌以允许访问其他计算机或应用程序。 Kerberos交易过程 用户用用户名和密码登录到计算机桌面。 计算机从密钥分发中心请求一个票据授予票。 用户会尝试从一台服务器安装一个基于网络的文件系统，桌面计算机使用用户的票据授予票从密钥分发中心的文件服务器请求票据授予服务。 该密钥分发中心向文件服务器呈现具体的票据授予服务，文件服务器使用它来向文件系统验证用户的身份 这是2011年阿拉莫斯国家实验室得出来的不包含管理员权限的用户验证图。 用户总共使用6台计算机，用1台计算机连接其他5台计算机，这形成了一个最大直径为1，最大出度为5，最大入度为1的图 这是2011年阿拉莫斯国家实验室得出来的包含了管理员权限的用户验证图。 共使用22台计算机，形成了一个最大直径为4，最大出度为11，最大入度为11的图。 对一个企业认证环境的分析 我们在2011年的四个月当中分析了来自于阿拉莫斯国家实验室的密钥分配中心认证系统中的数据。7200多万个成功的票据授予票和票据授予服务请求记录的整个数据集，总结了9339个认证用户帐户使用22368台网络化的计算机的认证活动，并且这些计算机都在一个统一的、单一的Kerberos信任域。 数据的来源 通过对数据的分析，我们得到了一个有意义的验证图，这个验证图在整个计算机网络中代表总的认证活动。该图包含204838条有向边。直径是21，最大的出度是703，最大的入度是14709。 分析结果 在网络中没有任何特权或管理员访问权限的用户 有特权或有管理员访问一台或多台计算机或系统内网络的用户 有一级管理员访问权限的用户 三种用户级别 没有管理员权限的用户认证图 主机数：6 边数：5 直径：1 最大出度：5 最大入度：1 具有管理员权限的用户认证图 主机数：22 边数：76 直径：4 最大出度：11 最大入度：11 主机数：6 边数：5 直径：1 最大出度：5 最大入度：1 主机数：22 边数：76 直径：4 最大出度：11 最大入度：11 三种用户级别认证图比较 概率密度分布图 管理员与一般的用户相比，有较复杂的用户认证图，并且一级管理员会有更复杂的用户认证图。 由图可知 风险 结论 风险 管理员权限用户可以操作使用本系统下