CN106209862B - 一种盗号防御实现方法及装置 - Google Patents
一种盗号防御实现方法及装置 Download PDFInfo
- Publication number
- CN106209862B CN106209862B CN201610557048.1A CN201610557048A CN106209862B CN 106209862 B CN106209862 B CN 106209862B CN 201610557048 A CN201610557048 A CN 201610557048A CN 106209862 B CN106209862 B CN 106209862B
- Authority
- CN
- China
- Prior art keywords
- failure
- probability
- threshold
- login
- curve
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种盗号防御实现方法及装置,该方法包括:监控各IP地址的登录数据,获取各IP地址上的登录次数和失败次数;针对每个IP地址,执行下列操作:根据获取到的登录次数和失败次数,确定获取到的登录次数对应的失败概率;判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值;所述阈值曲线为根据登录日志建立、表征登录次数和失败概率阈值对应关系的曲线;当大于时,确定该IP地址存在异常登录;当不大于时,确定该IP地址不存在异常登录。能够通过动态阈值的方式实现对黑客盗号行为的防御,能够更准确、有效的检测到盗号行为,提高网络安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤指一种盗号防御实现方法及装置。
背景技术
随着网络黑产的不断发展,许多公司的数据库都曾被黑客利用各种漏洞而发生了泄漏,存储在这些公司数据库中的帐号和密码对则在黑产中进行利用。对于大多数的用户而言,在不同的网站使用同一套用户名/密码是最简单快捷的行为,但这也造成了极大的安全隐患。比如,用户在A网站和B网站使用的是同一套用户名/密码,如果A网站被攻击而将用户的信息泄露出去,那么,黑客就可以利用在A网站获得的用户名/密码去登录B网站。这样一来,即使B网站的安全性做得再高,也不能防止用户的账户被恶意的利用。这就是通常所说的“撞库扫号”行为,而这也是目前盗号最为频繁的一个攻击方式。
目前主流的防止撞库扫号的防御办法为阈值检测。即统计某一入口或IP下,发起的登录次数以及其中的异常行为的比例,如果这个比例超过了一定的阈值,那么就可以认为这个IP是一个黑客。这么做的原理在于,黑客虽然掌握了大量的用户名/密码对,但是它并不知道用户是否在另一个网站使用了同样的信息。因此,黑客只能尝试它所拥有的所有用户名/密码来进行登录,如果登录成功就可以盗取一个帐号。因为数据量较大,黑客会以极快的速度来进行登录尝试,这样才能保证它自身的收益。而这些尝试中,又会有很大一部分是失败的,因此,失败的比例会占尝试的很大一部分。而对于正常用户而言,一来不会短时间内发起大量登录,二来不会出现大量的失败,即使有输错的情况,也不会占太大比例。通过这种行为的区别,来指定一个阈值进行区分,是一个简单易行的方法,目前也被大量的公司所采用。而对于阈值的设置,往往是根据次数来进行分段的,例如登录10次失败超过90%,登录100次失败超过70%等。
上述阈值检测的方法虽然简单易行,但存在以下几个缺点:
1)滞后性:阈值检测系统往往会对一段时间内的日志进行分析。而这也就意味着,这段时间的登录行为是不受到保护的。即使只有很短的几分钟,黑客也能够发起上万次的尝试,盗取到有价值帐号的可能性也大大增高。
2)阈值固定:阈值的设定往往是通过经验,人为的总结出来的。但是黑客本身,也能够通过其经验,去猜测目标服务器的阈值。例如,如果一个黑客在登录100次以上就被封禁,它可以猜测到阈值大致在100左右,然后通过降低攻击频率,替换IP等方式来进行规避,使得基于阈值的防御完全失效。
3)阈值不连续:阈值的分段是由于次数越多,可疑性越大,因此允许的失败比例会越低。但是,这个不连续性会造成较大的问题。例如,假如一个阈值的一个分段点为100,对于100以下的次数,允许失败率为90%,而对于100以上的次数,允许的失败率只有70%。那么对于黑客来说,一旦它猜测出了这个分段标准,它就可以把它的尝试次数设置到99,从而最大化攻击的效率。
4)阈值人为设定:阈值的设定往往是凭借人为的经验来设定的,这样一来,成本就会增加不少。另外,黑客的攻击行为是一直变化的,人为的处理方式也就意味着响应的滞后性,很可能等人为反应过来的时候,一个攻击行为已经完成了。同样的,如果想将同一套策略移植到不同的服务,则需要不同的阈值设定。这个时候,人为设定也将大大限制防御系统本身的扩展性。
发明内容
本发明实施例提供一种盗号防御实现方法及装置,用以解决现有技术中存在的盗号防御阈值固定不能实施动态调整,盗号检测准确性降低,不能有效检测到盗号行为,导致网络安全性差的问题。
一方面,本发明实施例提供了一种盗号防御实现方法,包括:
监控各IP地址的登录数据,获取各IP地址上的登录次数和失败次数;针对每个IP地址,执行下列操作:
根据获取到的登录次数和失败次数,确定获取到的登录次数对应的失败概率;
判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值;所述阈值曲线为根据登录日志建立、表征登录次数和失败概率阈值对应关系的曲线;
当大于时,确定该IP地址存在异常登录;当不大于时,确定该IP地址不存在异常登录。
在一些可选的实施例中,判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值,具体包括:
根据预先建立的阈值曲线,以该登录次数作为横坐标,获取阈值曲线上对应的纵坐标的值,得到该登录次数对应的失败概率阈值;
比较确定出的失败概率是否大于获取到的失败概率阈值。
在一些可选的实施例中,监控各IP地址的登录数据之前,还包括:
获取系统的登录日志,根据登录日志建立表征登录次数和失败概率阈值对应关系的阈值曲线。
在一些可选的实施例中,根据登录日志建立阈值曲线的过程,具体包括:
根据获取的登录日志,确定建立阈值曲线的特征值;所述特征值包括登录次数特征值和对应的失败概率特征值;
根据所述特征值,采用选定的曲线拟合算法,生成表征登录次数和失败概率阈值对应关系的阈值曲线。
在一些可选的实施例中,所述根据获取的登录日志,确定建立阈值曲线的特征值,具体包括:
统计获取的登录日志中每个IP地址的登录行为的失败次数和登录次数;
按照失败次数的大小进行排序,并判断排序后的相邻两个失败次数是否符合设定的特征值判定条件;当符合时,根据预设规则提取相邻的两个失败次数中的一个作为登录次数对应的失败次数特征值;
将登录次数作为登录次数特征值,并根据登录次数和对应的失败次数特征值确定出对应的失败概率特征值,得到建立阈值曲线的特征值。
在一些可选的实施例中,根据所述特征值生成阈值曲线的过程,具体包括:
采用最小二元法,以确定出的登录次数特征值和对应的失败概率特征值作为曲线上的已知点,拟合出包含已知点阈值曲线;或
采用三次样条插值的方式,以确定出的登录次数特征值和对应的失败概率特征值作为样点,在相邻样点之间进行插值计算,拟合出包含样点的阈值曲线。
本发明实施例还提供一种盗号防御实现装置,包括:
监控获取模块,用于监控各IP地址的登录数据,获取各IP地址上的登录次数和失败次数;
概率确定模块,用于针对每个IP地址,执行下列操作:根据获取到的登录次数和失败次数,确定获取到的登录次数对应的失败概率;
异常判断模块,用于判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值;所述阈值曲线为根据登录日志建立、表征登录次数和失败概率阈值对应关系的曲线;当大于时,确定该IP地址存在异常登录;当不大于时,确定该IP地址不存在异常登录。
在一些可选的实施例中,所述异常判断模块,具体用于:
根据预先建立的阈值曲线,以该登录次数作为横坐标,获取阈值曲线上对应的纵坐标的值,得到该登录次数对应的失败概率阈值;
比较确定出的失败概率是否大于获取到的失败概率阈值。
在一些可选的实施例中,上述装置还包括:
曲线建立模块,用于获取系统的登录日志,根据登录日志建立表征登录次数和失败概率阈值对应关系的阈值曲线。
在一些可选的实施例中,所述曲线建立模块,具体用于:
根据获取的登录日志,确定建立阈值曲线的特征值;所述特征值包括登录次数特征值和对应的失败概率特征值;
根据所述特征值,采用选定的曲线拟合算法,生成表征登录次数和失败概率阈值对应关系的阈值曲线。
上述技术方案具有如下有益效果:对各IP地址的登录次数和失败次数进行监控,根据失败概率和预先建立的阈值曲线上响应登录次数的失败概率的大小比较,确定是否存在登录异常;通过阈值曲线的形式可以实现阈值的连续性,同时根据对登录日志的监控,可以实时动态调整阈值曲线,实现基于网络中的各种状态变化的动态阈值调整,避免固定阈值所导致的防御失效,从而提高盗号检测的准确性,有效的检测到各种可能的盗号行为,提高网络的安全可靠性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一中盗号防御实现方法的流程图;
图2是本发明实施例一中预先建立的一条阈值曲线的示例图;
图3是本发明实施例二中盗号防御实现方法的流程图;
图4是本发明实施例三中阈值曲线建立方法的流程图;
图5是本发明实施例中盗号防御实现装置的结构示意图;
图6是本发明实施例中盗号防御实现系统的部署示例图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术中存在的盗号检测过程中不能实现动态阈值调整,且阈值不连续,导致检测结果准确性差,网络安全性差的问题,本发明实施例提供一种盗号防御实现方法,能够盗号检测过程中阈值的动态调整,且能够建立针对每个登录次数的连续阈值曲线,实现阈值连续,从而能够更准确、有效地检测到网络中存在的盗号行为,提高网络安全。
实施例一
本发明实施例一提供的盗号防御实现方法,其流程如图1所示,包括如下步骤:
步骤S101:监控各IP地址的登录数据,获取各IP地址上的登录次数和失败次数。
通过监控各IP地址的登录数据,统计登录次数和失败次数,实现监控其登录行为是否异常。导致登录失败的原因可能包括用户不存在,密码错误以及异地登录等等。
失败次数也可以是异常次数,登录异常可以包括登录失败和登录成功但异常。
步骤S102:针对每个IP地址,执行下列操作:
步骤S103:根据获取到的登录次数和失败次数,确定获取到的登录次数对应的失败概率。
通过统计登录次数和失败次数,即可以确定出失败次数所占的概率,得到登录次数对应的失败概率。
步骤S104:判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值。当大于时,执行步骤S105;当不大于时,执行步骤S106。
其中,阈值曲线为根据登录日志建立、表征登录次数和失败概率阈值对应关系的曲线。如图2所示,就是预先建立的一条阈值曲线的示例。当然所建立的阈值曲线不限于图2所示的曲线,阈值曲线可以根据登录日志进行实时的调整,也可以在根据登录日志建立阈值曲线后通过人工的方式在进行调整,已达到更好的盗号防御效果。
区别于传统的分段式的阈值系统,本发明中采用了一种曲线式的阈值系统。对于每一个登录次数,都对应了一个合适的阈值频率。这样一来,就有效的防止了黑客利用分段边界来获得最大收益的可能。而这个阈值曲线的生成,只需要设定几个特征值,就可以通过插值或其他方式拟合而自动生成出一条完整的曲线。如图2所示的曲线上的小圆圈极为特征值,根据这几个特征值可以拟合出阈值曲线,阈值曲线的横坐标为登录次数,纵坐标为登录次数对应的失败概率。
在进行异常判断时,根据预先建立的阈值曲线,以该登录次数作为横坐标,获取阈值曲线上对应的纵坐标的值,得到该登录次数对应的失败概率阈值;比较确定出的失败概率是否大于获取到的失败概率阈值。
步骤S105:确定该IP地址存在异常登录。
当确定出的失败概率大于阈值曲线上相同登录次数对应的失败概率阈值时,说明该IP出现登录失败的次数大于了一定的值,认为其存在异常登录行为。
步骤S106:确定该IP地址不存在异常登录。
当确定出的失败概率不大于阈值曲线上相同登录次数对应的失败概率阈值时,说明该IP出现登录失败的次数在控制范围内,认为其不存在异常登录行为。
面对黑客的攻击行为、可以使用动态智能的防盗号方法进行智能的区分,对于每一次登录行为,都进行及时的处理监控,不给黑客任何可乘之机。使用这种方法,即使在其他不同的场景,也能够自动进行识别,减少人工成本,加大扩展性,能够极大的提高每一个系统的帐号安全性。
实施例二
本发明实施例二提供的盗号防御实现方法,其流程如图3所示,包括如下步骤:
步骤S301:获取系统的登录日志。
系统的登陆日志可以来源于用户通过终端设备的各种登录行为,可以获取一段时间内的登录日志,也可以获取一定数量的登录日志。
步骤S302:根据登录日志建立表征登录次数和失败概率阈值对应关系的阈值曲线。
建立阈值曲线时,先确定几个特征值,根据特征值拟合出阈值曲线。具体的,根据获取的登录日志,确定建立阈值曲线的特征值;其中,特征值包括登录次数特征值和对应的失败概率特征值;根据确定出的特征值,采用选定的曲线拟合算法,生成表征登录次数和失败概率阈值对应关系的阈值曲线。
特征值的获取可以动态实现,当有新的登录日志时可以进行动态更新,动态更新后可以生成新的阈值曲线。本发明中阈值采用智能检测的方式来确定。在收集到一定的登录日志训练集之后,对每一个IP下的异常频率和次数进行统计。正常用户和黑客的登录行为必然会存在一定的差异,否则成本会大幅升高,黑客将无法获益,因此,从这些统计数据中,发现异常点,从而确定出一个阈值来进行准确划分。这样一来,不论黑客的行为如何变化,都能制定出合适的阈值来进行划分。
步骤S303:监控各IP地址的登录数据,获取各IP地址上的登录次数和失败次数。
该步骤和下面步骤的具体实现可参照实施例一的描述。
步骤S304:针对每个IP地址,执行下列操作:
步骤S305:根据获取到的登录次数和失败次数,确定获取到的登录次数对应的失败概率。
步骤S306:判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值。
当大于时,执行步骤S307;当不大于时,执行步骤S308。
步骤S307:确定该IP地址存在异常登录。
步骤S308:确定该IP地址不存在异常登录。
实施例三
本发明实施例三提供上述供盗号防御实现方法阈值曲线建立的一种实现过程,其流程如图4所示,包括如下步骤:
步骤S401:获取系统的登录日志。
步骤S402:根据获取的登录日志,确定建立阈值曲线的特征值。其中,特征值包括登录次数特征值和对应的失败概率特征值。
对于建立阈值曲线的特征值可以根据登录日志进行确定,在登陆日志有更新时可以动态调整更新。
确定特征值的过程包括:
统计获取的登录日志中每个IP地址的登录行为的失败次数和登录次数;
按照失败次数的大小进行排序,并判断排序后的相邻两个失败次数是否符合设定的特征值判定条件;当符合时,根据预设规则提取相邻的两个失败次数中的一个作为登录次数对应的失败次数特征值;
将登录次数作为登录次数特征值,并根据登录次数和对应的失败次数特征值确定出对应的失败概率特征值,得到建立阈值曲线的特征值。
对于曲线阈值来说,能够获取到的特征值越多,插值结果越准确。那么,对于上百次的登录行为来说,人工的方法获得的结果显然是不准确而且不全面的。因此可以采用一个智能检测方式来自动分析出样本中所包含的全部特征点。
在具体实现时,可以采用不同的实现方式,例如通过一段脚本代码,或者通过设定的数组,或者通过预先编写的小程序等等。
以采用数组方式实现为例,基于流式处理,每一个登录日志的到来,都会产生一个当前的数据结果。为了找出特征点,所采用的智能检测算法设计如下:
1)定义一个数组,每一个数组的元素为一个映射(Map)。在这个Map中,关键字(key)是IP地址,值(value)是失败次数。而数组的序号,其实就代表的登录总次数。
2)每接收到一个登录日志,从数组的第一个元素开始:如果当前元素map中存在有该IP地址,那么如果登录结果为失败,把value加1,否则不变,然后对下一个数组元素进行同样的操作;如果当前元素map不存在该IP地址,那么创建对应的IP地址,并把value根据登录结果,赋值成0或者1。
3)当处理的登录日志达到某一目标数量,或者达到设定的时间长度后,对数组中的每一个元素做如下处理:对当前map中的所有IP地址,按value的大小,从小到大进行排序,并计算平均值。从小往大遍历结果,如果当前value的值与下一个value的值的比值小于设定的比值阈值(比如50%),并且当前value值小于平均值,而下一个value值大于平均值,那么,下一个value的值就是当前登录次数对应的失败次数特征值,据此可以得到当前登录次数对应的失败概率特征值。
4)对数组每一个元素进行遍历,如果当前数据存在特征值,就会被提取出来了。对于不存在的点,也可以后期通过插值的办法求出来。
上述采用数组的方式实现时,判断排序后的相邻两个失败次数是否符合设定的特征值判定条件时,所设定的判定条件为相邻两个失败次数的比值小于设定的比值阈值,且前一个失败次数小于平均值,后一个失败次数大于平均值。可以理解的是,这只是设定的判定条件的一种举例,在实际应用中,可以根据需要选择不同的判定条件,例如判定相邻两个失败次数的差值是否符合设定条件,或者直接判定相邻两个失败次数各自满足什么条件等等。
在提取特征值时,可以如上述数组方式中那样,提取下一个value作为特征值,也可以提取当前的value作为特征值,具体提取哪一个可以根据需要设定。
步骤S403:根据确定的特征值,采用选定的曲线拟合算法,生成表征登录次数和失败概率阈值对应关系的阈值曲线。
虽然可以对海量登录数据进行处理来提高准确性,但由于数据本身的连续性是没有办法保障的,往往只能总结出某些请求次数下的频率阈值,因此要建立阈值曲线就需要一个从一些不连续的点,拟合出一段曲线。在确定特征值之后,拟合阈值曲线时,可以采用不同的拟合方法来实现,例如:
采用最小二元法,以确定出的登录次数特征值和对应的失败概率特征值作为曲线上的已知点,拟合出包含已知点阈值曲线。最小二元法是比较简单易懂的方法,通过设定一个特定的函数形式,最小二元法可以确定每一个系数a的值,使得总体的偏差为最小值。
或
采用三次样条插值的方式,以确定出的登录次数特征值和对应的失败概率特征值作为样点,在相邻样点之间进行插值计算,拟合出包含样点的阈值曲线。三次样条插值是通过一系列特征点的一条光滑曲线,数学上通过求解三弯矩方程组得出曲线函数组的过程。相比于最小二元法,三次样条插值所产生的曲线,不会局限于某一具体的模型,适用的场景更加广泛。对于每一个特征点,三次样条插值能够确保经过每一个已知的特征点。另外,它还能使得曲线在特征点的导数和二阶导数值相等,也就是说,在特征点附近的误差,也能够控制在很小的范围内。这样一来,就可以使得整个曲线阈值更加精确。
本发明方法,为了解决传统分段阈值所存在的局限性,引入了曲线阈值的概念。曲线阈值可以解决传统分段阈值由于不连续性而造成的漏洞,更好的防御黑客的攻击。同时,为了简化曲线阈值的生成过程和减少人力成本,通过一个智能检测算法,使用机器学习的办法,智能的去识别攻击行为和正常的登录行为。
基于同一发明构思,本发明实施例还提供一种盗号防御实现装置,其结构如图5所示,包括:监控获取模块501、概率确定模块502和异常判断模块503。
监控获取模块501,用于监控各IP地址的登录数据,获取各IP地址上的登录次数和失败次数。
概率确定模块502,用于针对每个IP地址,执行下列操作:根据获取到的登录次数和失败次数,确定获取到的登录次数对应的失败概率。
异常判断模块503,用于判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值;其中,阈值曲线为根据登录日志建立、表征登录次数和失败概率阈值对应关系的曲线;当大于时,确定该IP地址存在异常登录;当不大于时,确定该IP地址不存在异常登录。
优选的,上述异常判断模块503,具体用于根据预先建立的阈值曲线,以该登录次数作为横坐标,获取阈值曲线上对应的纵坐标的值,得到该登录次数对应的失败概率阈值;比较确定出的失败概率是否大于获取到的失败概率阈值。
优选的,上述盗号防御实现装置,还包括:
曲线建立模块504,用于获取系统的登录日志,根据登录日志建立表征登录次数和失败概率阈值对应关系的阈值曲线。
优选的,上述曲线建立模块504,具体用于根据获取的登录日志,确定建立阈值曲线的特征值;其中,特征值包括登录次数特征值和对应的失败概率特征值;根据确定出的特征值,采用选定的曲线拟合算法,生成表征登录次数和失败概率阈值对应关系的阈值曲线。
可选的,该盗号防御实现装置可以布置在图6所示的盗号防御实现系统中。如图6所示的系统,包括提供登录日志的终端设备(日志来源)、kafka集群、storm集群和处理结果存储器。其中,提供登录日志的终端设备可以包括个人计算机、笔记本电脑、移动终端等等;kafka集群为分布式消息发布和订阅的系统,可以收集处理各种登录日志文件;storm集群是一个免费开源、分布式、高容错的实时计算系统,盗号防御实现装置设置在该系统中,实现对登录日志的处理和对各IP地址的监控,以便更好地实现盗号防御;处理结果存储器存储各种数据。
想要实现动态的更新响应,流式处理是必不可少的,而考虑到登录日志的量级,并行化的操作也是必不可少的。例如,可以利用kafka和storm实现了一套并行的流式处理框架。在并行化方面,可以设计为了一种拓扑结构,部署在storm上。然后登录日志就会从kafka获取,分布式的流经每一个节点进行处理,最终实时的产生结果。
本发明的上述盗号防御实现方法,能够通过流式处理,采用曲线阈值实现对异常登陆行为的智能识别,起到反盗号的作用,实现网络安全防御,其识别准确度高,提高了网络安全性。由于采用了曲线阈值,可以弥补传统分段阈值的缺陷,加强阈值方法对账户安全的保护力度;此外,智能生成阈值的算法,不仅能够降低人工成本,增加准确率,在应对黑客攻击手段的变化性上,也同样能够做出有效的防御,对于建立一个安全的网络环境有着极大的帮助。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种盗号防御实现方法,其特征在于,包括:
监控各IP地址的登录数据,获取各IP地址上的登录次数和失败次数;针对每个IP地址,执行下列操作:
根据获取到的登录次数和失败次数,确定获取到的登录次数对应的失败概率;
判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值;所述阈值曲线为根据登录日志建立、表征登录次数和失败概率阈值对应关系的曲线;
当大于时,确定该IP地址存在异常登录;当不大于时,确定该IP地址不存在异常登录;
其中,判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值,具体包括:
根据预先建立的阈值曲线,以该登录次数作为横坐标,获取阈值曲线上对应的纵坐标的值,得到该登录次数对应的失败概率阈值;
比较确定出的失败概率是否大于获取到的失败概率阈值。
2.如权利要求1所述的方法,其特征在于,监控各IP地址的登录数据之前,还包括:
获取系统的登录日志,根据登录日志建立表征登录次数和失败概率阈值对应关系的阈值曲线。
3.如权利要求2所述的方法,其特征在于,根据登录日志建立阈值曲线的过程,具体包括:
根据获取的登录日志,确定建立阈值曲线的特征值;所述特征值包括登录次数特征值和对应的失败概率特征值;
根据所述特征值,采用选定的曲线拟合算法,生成表征登录次数和失败概率阈值对应关系的阈值曲线。
4.如权利要求3所述的方法,其特征在于,所述根据获取的登录日志,确定建立阈值曲线的特征值,具体包括:
统计获取的登录日志中每个IP地址的登录行为的失败次数和登录次数;
按照失败次数的大小进行排序,并判断排序后的相邻两个失败次数是否符合设定的特征值判定条件;当符合时,根据预设规则提取相邻的两个失败次数中的一个作为登录次数对应的失败次数特征值;
将登录次数作为登录次数特征值,并根据登录次数和对应的失败次数特征值确定出对应的失败概率特征值,得到建立阈值曲线的特征值。
5.如权利要求3所述的方法,其特征在于,根据所述特征值生成阈值曲线的过程,具体包括:
采用最小二元法,以确定出的登录次数特征值和对应的失败概率特征值作为曲线上的已知点,拟合出包含已知点的阈值曲线;或
采用三次样条插值的方式,以确定出的登录次数特征值和对应的失败概率特征值作为样点,在相邻样点之间进行插值计算,拟合出包含样点的阈值曲线。
6.一种盗号防御实现装置,其特征在于,包括:
监控获取模块,用于监控各IP地址的登录数据,获取各IP地址上的登录次数和失败次数;
概率确定模块,用于针对每个IP地址,执行下列操作:根据获取到的登录次数和失败次数,确定获取到的登录次数对应的失败概率;
异常判断模块,用于判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值;所述阈值曲线为根据登录日志建立、表征登录次数和失败概率阈值对应关系的曲线;当大于时,确定该IP地址存在异常登录;当不大于时,确定该IP地址不存在异常登录;
其中,所述异常判断模块,具体用于:
根据预先建立的阈值曲线,以该登录次数作为横坐标,获取阈值曲线上对应的纵坐标的值,得到该登录次数对应的失败概率阈值;
比较确定出的失败概率是否大于获取到的失败概率阈值。
7.如权利要求6所述的装置,其特征在于,还包括:
曲线建立模块,用于获取系统的登录日志,根据登录日志建立表征登录次数和失败概率阈值对应关系的阈值曲线。
8.如权利要求7所述的装置,其特征在于,所述曲线建立模块,具体用于:
根据获取的登录日志,确定建立阈值曲线的特征值;所述特征值包括登录次数特征值和对应的失败概率特征值;
根据所述特征值,采用选定的曲线拟合算法,生成表征登录次数和失败概率阈值对应关系的阈值曲线。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610557048.1A CN106209862B (zh) | 2016-07-14 | 2016-07-14 | 一种盗号防御实现方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610557048.1A CN106209862B (zh) | 2016-07-14 | 2016-07-14 | 一种盗号防御实现方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106209862A CN106209862A (zh) | 2016-12-07 |
| CN106209862B true CN106209862B (zh) | 2019-08-06 |
Family
ID=57475517
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610557048.1A Active CN106209862B (zh) | 2016-07-14 | 2016-07-14 | 一种盗号防御实现方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106209862B (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790072A (zh) * | 2016-12-21 | 2017-05-31 | 微梦创科网络科技(中国)有限公司 | 恶意登录地址识别方法及装置 |
| CN106603555A (zh) * | 2016-12-29 | 2017-04-26 | 杭州迪普科技股份有限公司 | 一种防护撞库攻击的方法及装置 |
| CN107911396B (zh) * | 2017-12-30 | 2020-12-15 | 世纪龙信息网络有限责任公司 | 登录异常检测方法和系统 |
| CN110213199B (zh) * | 2018-02-28 | 2022-05-13 | 中国移动通信集团有限公司 | 一种撞库攻击监控方法、装置、系统及计算机存储介质 |
| CN108600209B (zh) * | 2018-04-16 | 2021-06-22 | 新华三信息安全技术有限公司 | 一种信息处理方法及装置 |
| CN108924118B (zh) * | 2018-06-27 | 2021-07-02 | 亚信科技(成都)有限公司 | 一种撞库行为检测方法及系统 |
| CN110798428A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种账号暴力破解行为的检测方法、系统及相关装置 |
| CN108965330A (zh) * | 2018-08-27 | 2018-12-07 | 郑州云海信息技术有限公司 | 一种账号安全保护方法及系统 |
| WO2020074401A1 (en) * | 2018-10-11 | 2020-04-16 | Digital Tangible, S.L. | Web access control method |
| CN109714636B (zh) * | 2018-12-21 | 2021-04-23 | 武汉瓯越网视有限公司 | 一种用户识别方法、装置、设备及介质 |
| CN110012011B (zh) * | 2019-04-03 | 2021-02-26 | 奇安信科技集团股份有限公司 | 防止恶意登录的方法、装置、计算机设备及存储介质 |
| CN110247902A (zh) * | 2019-05-30 | 2019-09-17 | 中国工商银行股份有限公司 | 网站访问安全控制方法、装置及系统 |
| CN110555007B (zh) * | 2019-09-09 | 2023-09-05 | 成都西山居互动娱乐科技有限公司 | 盗号行为判别方法、装置、计算设备及存储介质 |
| CN111046373A (zh) * | 2019-11-04 | 2020-04-21 | 深圳供电局有限公司 | 一种客户服务中心的安全管理方法、系统、介质及设备 |
| CN112825519B (zh) * | 2019-11-21 | 2024-04-09 | 北京沃东天骏信息技术有限公司 | 一种识别异常登录的方法和装置 |
| CN112861120A (zh) * | 2019-11-27 | 2021-05-28 | 深信服科技股份有限公司 | 识别方法、设备及存储介质 |
| CN113810327B (zh) * | 2020-06-11 | 2023-08-22 | 中国科学院计算机网络信息中心 | 异常账户检测方法、装置及存储介质 |
| CN112613020B (zh) * | 2020-12-31 | 2024-05-28 | 中国农业银行股份有限公司 | 一种身份验证方法及装置 |
| CN113872928B (zh) * | 2021-07-28 | 2023-05-05 | 上海纽盾科技股份有限公司 | 通过网络安全防御获得收益的方法、客户端及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104811449A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 检测撞库攻击方法及系统 |
| CN105516138A (zh) * | 2015-12-09 | 2016-04-20 | 赛肯(北京)科技有限公司 | 一种基于登录日志分析的验证方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8621065B1 (en) * | 2008-10-23 | 2013-12-31 | Amazon Technologies, Inc. | Dynamic blocking of suspicious electronic submissions |
| CN102325062A (zh) * | 2011-09-20 | 2012-01-18 | 北京神州绿盟信息安全科技股份有限公司 | 异常登录检测方法及装置 |
| CN105262760A (zh) * | 2015-10-30 | 2016-01-20 | 北京奇虎科技有限公司 | 一种防止恶意访问登录/注册接口的行为的方法和装置 |
| CN105516211A (zh) * | 2016-02-06 | 2016-04-20 | 北京祥云天地科技有限公司 | 基于行为模型对访问数据库行为进行识别的方法、设备和系统 |
| CN105763548A (zh) * | 2016-02-06 | 2016-07-13 | 北京祥云天地科技有限公司 | 基于行为模型对用户登录进行识别的方法、设备和系统 |
-
2016
- 2016-07-14 CN CN201610557048.1A patent/CN106209862B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104811449A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 检测撞库攻击方法及系统 |
| CN105516138A (zh) * | 2015-12-09 | 2016-04-20 | 赛肯(北京)科技有限公司 | 一种基于登录日志分析的验证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106209862A (zh) | 2016-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106209862B (zh) | 一种盗号防御实现方法及装置 | |
| US20220078210A1 (en) | System and method for collaborative cybersecurity defensive strategy analysis utilizing virtual network spaces | |
| CN107276982B (zh) | 一种异常登录检测方法及装置 | |
| CN106411934B (zh) | DoS/DDoS攻击检测方法和装置 | |
| US20180075240A1 (en) | Method and device for detecting a suspicious process by analyzing data flow characteristics of a computing device | |
| CN104239758B (zh) | 一种人机识别方法及相应的人机识别系统 | |
| CN108989150A (zh) | 一种登录异常检测方法及装置 | |
| CN106295349A (zh) | 账号被盗的风险识别方法、识别装置及防控系统 | |
| Zhe et al. | DoS attack detection model of smart grid based on machine learning method | |
| CN110300127A (zh) | 一种基于深度学习的网络入侵检测方法、装置以及设备 | |
| CN107070940B (zh) | 一种从流式登录日志中判断恶意登录ip地址的方法及装置 | |
| CN108334758A (zh) | 一种用户越权行为的检测方法、装置及设备 | |
| US11424993B1 (en) | Artificial intelligence system for network traffic flow based detection of service usage policy violations | |
| CN110519266B (zh) | 一种基于统计学方法的cc攻击检测的方法 | |
| CN111934954A (zh) | 宽带的检测方法、装置、电子设备及存储介质 | |
| CN112688971B (zh) | 功能损害型网络安全威胁识别装置及信息系统 | |
| CN109428857A (zh) | 一种恶意探测行为的检测方法和装置 | |
| KR20160087187A (ko) | 사이버 블랙박스 시스템 및 그 방법 | |
| CN110096013A (zh) | 一种工业控制系统的入侵检测方法及装置 | |
| CN114205816B (zh) | 一种电力移动物联网信息安全架构及其使用方法 | |
| CN107231383A (zh) | Cc攻击的检测方法及装置 | |
| CN113794742A (zh) | 一种电力系统fdia高精度检测方法 | |
| CN117375889A (zh) | 一种大数据异常行为监测方法、系统、设备及存储介质 | |
| CN117527376A (zh) | 一种基于流量数据识别应用中活跃账号是否存在垂直越权的方法 | |
| CN107800683A (zh) | 一种挖掘恶意ip的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |