CN106817364A - 一种暴力破解的检测方法及装置 - Google Patents
一种暴力破解的检测方法及装置 Download PDFInfo
- Publication number
- CN106817364A CN106817364A CN201611249809.3A CN201611249809A CN106817364A CN 106817364 A CN106817364 A CN 106817364A CN 201611249809 A CN201611249809 A CN 201611249809A CN 106817364 A CN106817364 A CN 106817364A
- Authority
- CN
- China
- Prior art keywords
- characteristic vector
- data
- connection
- setting time
- time length
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种暴力破解的检测方法及装置,所述方法包括:确定每次数据传输过程对应的特征向量,其中每个特征向量中包含该数据传输过程中连接发起者发送和接收的数据包数量、数据包大小;针对设定时间长度确定的半径参数和密度阈值,对所述设定时间长度内的特征向量进行聚类处理;针对每个聚类,根据处于该聚类中的每个特征向量,对该特征向量对应的连接发起者和连接响应者的可疑次数更新,当更新后的可疑次数大于预设次数阈值时,确定连接发起者对连接响应者进行暴力破解。由于在本发明实施例中,电子设备根据连接发起者发送和接收的数据包数量、数据包大小,通过聚类处理进行暴力破解的检测,因此不需要检测包内容即可实现暴力破解的检测。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种暴力破解的检测方法及装置。
背景技术
近年来,随着互联网技术的快速发展,越来越多的传统行业融合互联网发展新形态、新业态,如今许多企业的业务开展都离不开互联网技术的支持,互联网在提供便捷性的同时,也存在不小的安全隐患。由于互联网的开放性和访问的便捷性,互联网一直是黑客的重点攻击对象。黑客通过暴力破解,攻击互联网,给很多企业带来损失,因此,对暴力破解的检测尤为重要。
在现有技术中,暴力破解的检测主要基于数据包的检测,需要检测数据包内容中是否有已知的一些威胁特征,例如针对SSH暴力破解,如果检测到数据包内容中有“Permission denied,please try again”这样的威胁特征,则确定当前存在暴力破解。但是在互联网中,有大量的数据包,基于数据包内容检测暴力破解效率较低,另外,如果互联网中的数据包内容被加密,则无法检测数据包内容,因此,基于数据包内容无法实现暴力破解的检测。
发明内容
本发明实施例提供一种暴力破解的检测方法及装置,用以实现基于流特征的暴力破解的检测,并提高暴力破解的检测效率。
本发明方法包括一种暴力破解的检测方法及装置,该方法包括:
统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输,确定每次数据传输过程对应的特征向量,其中每个特征向量中包含该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小;
采用预设的密度聚类算法,及针对该设定时间长度确定的半径参数和密度阈值,对所述设定时间长度内的特征向量进行聚类处理;
针对每个聚类,根据处于该聚类中的每个特征向量,对该特征向量对应的连接发起者和连接响应者的可疑次数更新,判断更新后的可疑次数是否大于预设次数阈值,如果是,确定所述连接发起者对所述连接响应者进行暴力破解。
进一步地,所述统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输,确定每次数据传输过程对应的特征向量包括:
将数据传输的单向网络流程序netflow拼接为双向流,根据所述双向流,统计设定时间长度内数据包的传输,确定连接发起者和连接响应者;
针对在设定时间长度内进行数据传输的每个连接发起者与每个连接响应者,根据每次数据传输过程中传输的数据包的数量和数据包的大小,确定每次数据传输过程对应的特征向量。
进一步地,确定半径参数和密度阈值的过程包括:
根据保存的特征向量的数量与密度阈值的对应关系,确定该特征向量的数量对应的密度阈值;
针对每个特征向量,确定与该特征向量对应的第一特征点距离较小的密度阈值的第二特征点,将该第一特征点与第二特征点的距离最大值,确定为目标距离;
根据每个特征向量对应的目标距离,确定所述半径参数。
进一步地,所述预设的密度聚类算法包括:
基于密度的应用与噪声的空间聚类DBSCAN算法。
进一步地,所述确定每次数据传输过程对应的特征向量之后,采用预设的密度聚类算法,及针对该设定时间长度确定的半径参数和密度阈值,对所述设定时间长度内的特征向量进行聚类处理之前,所述方法还包括:
对每个特征向量中包含的该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小进行数据标准化处理。
另一方面,本发明实施例提供了一种暴力破解的检测装置,所述装置包括:
第一确定模块,用于统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输,确定每次数据传输过程对应的特征向量,其中每个特征向量中包含该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小;
第一处理模块,用于采用预设的密度聚类算法,及针对该设定时间长度确定的半径参数和密度阈值,对所述设定时间长度内的特征向量进行聚类处理;
第二确定模块,用于针对每个聚类,根据处于该聚类中的每个特征向量,对该特征向量对应的连接发起者和连接响应者的可疑次数更新,判断更新后的可疑次数是否大于预设次数阈值,如果是,确定所述连接发起者对所述连接响应者进行暴力破解。
进一步地,所述第一确定模块,具体用于将数据传输的单向网络流程序netflow拼接为双向流,根据所述双向流,统计设定时间长度内数据包的传输,确定连接发起者和连接响应者;针对在设定时间长度内进行数据传输的每个连接发起者与每个连接响应者,根据每次数据传输过程中传输的数据包的数量和数据包的大小,确定每次数据传输过程对应的特征向量。
进一步地,所述第一处理模块,具体用于根据保存的特征向量的数量与密度阈值的对应关系,确定该特征向量的数量对应的密度阈值;针对每个特征向量,确定与该特征向量对应的第一特征点距离较小的密度阈值的第二特征点,将该第一特征点与第二特征点的距离最大值,确定为目标距离;根据每个特征向量对应的目标距离,确定所述半径参数。
进一步地,所述第一处理模块,具体用于采用基于密度的应用与噪声的空间聚类DBSCAN算法,及针对该设定时间长度确定的半径参数和密度阈值,对所述设定时间长度内的特征向量进行聚类处理。
进一步地,所述装置还包括:
第二处理模块,用于对每个特征向量中包含的该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小进行数据标准化处理。
本发明实施例提供一种暴力破解的检测方法及装置,所述方法包括:统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输,确定每次数据传输过程对应的特征向量,其中每个特征向量中包含该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小;采用预设的密度聚类算法,及针对该设定时间长度确定的半径参数和密度阈值,对所述设定时间长度内的特征向量进行聚类处理;针对每个聚类,根据处于该聚类中的每个特征向量,对该特征向量对应的连接发起者和连接响应者的可疑次数更新,判断更新后的可疑次数是否大于预设次数阈值,如果是,确定所述连接发起者对所述连接响应者进行暴力破解。由于在本发明实施例中根据连接发起者和连接响应者之间的每次数据传输,确定对应的特征向量,并根据确定的特征向量确定半径参数和密度阈值,从而采用密度聚类算法进行聚类,识别出每个聚类中包含的特征向量,进而检测暴力破解,因此,本发明实施例提供的暴力破解的检测方法不需要检测数据包内容,仅根据特征向量的分布,即可实现暴力破解的检测,同时,也提高了在高速网络中进行暴力破解的检测效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1提供的一种暴力破解的检测过程示意图;
图2为本发明实施例3提供的确定特征向量对应的目标距离示意图;
图3为本发明实施例3提供的一种暴力破解的检测过程示意图;
图4为本发明实施例4提供的对特征向量进行聚类处理示意图;
图5为本发明实施例4提供的一种暴力破解的检测过程示意图;
图6为本发明实施例提供的一种暴力破解的检测装置结构示意图。
具体实施方式
下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例1:
图1为本发明实施例提供的一种暴力破解的检测过程示意图,该过程包括以下步骤:
S101:统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输,确定每次数据传输过程对应的特征向量,其中每个特征向量中包含该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小。
本发明实施例提供的暴力破解的检测方法应用于电子设备,所述电子设备可以为PC、平板电脑及手机等设备。
暴力破解时,连接发起者一般使用脚本进行自动化暴力破解,所以发送和接收的数据包数量通常都比较具有周期性,而发送的数据包大小和接收的数据包大小也会比较类似,站在密度的角度来看,在正常情况下进行数据包的发送和接收将会比较离散,密度较小;而暴力破解时的数据包的发送和接收则会比较集中,密度会较大。
在本发明实施例中预先设定了时间长度,每个连接发起者与每个连接响应者之间存在数据包的传输,所述电子设备统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输,其中,设定时间长度可以为2分钟、5分钟、8分钟等。通过统计每个连接发起者与每个连接响应者之间数据包的传输,可以确定每次数据传输过程对应的特征向量,其中每个特征向量中包含该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,连接响应者发送的数据包数量、发送的数据包大小。所述连接发起者发送的数据包大小可以为该设定时间长度内该连接发起者在进行此次数据传输时,发送的数据包的平均大小,连接响应者发送的发送的数据包大小可以为该设定时间长度内连接连接响应者进行此次数据传输时,发送的数据包的平均大小。
例如,以统计时间长度为5分钟为例,电子设备统计5分钟内每个连接发起者与每个连接响应者之间数据包的传输,将该5分钟内连接发起者每次发送的数据包数量、发送的数据包大小,连接响应者每次发送的数据包数量和发送的数据包大小确定为每次数据传输过程对应的特征向量,假设在某一次数据传输过程中,连接发起者发送了3个数据包,3个数据包的平均大小为100,连接响应者发送了3个数据包,三个数据包的平均大小为85,则,该数据传输过程对应的特征向量中包含的连接发起者发送的数据包数量、发送的数据包大小,连接响应者发送的数据包数量和发送的数据包大小分别为3,100,3,85。
具体的统计每次数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小为现有技术,在本发明实施例中对该过程不进行赘述。
S102:采用预设的密度聚类算法,及针对该设定时间长度确定的半径参数和密度阈值,对所述设定时间长度内的特征向量进行聚类处理。
根据上述分析可知,暴力破解时,连接发起者一般使用脚本进行自动化暴力破解,所以发送和接收的数据包数量通常都比较具有周期性,对应的特征向量的密度将会比较大,如果不存在暴力破解,则对应的特征向量的密度将会比较小。在本发明实施例中,根据特征向量的密度分布,确定是否存在暴力破解。
具体的,为了确定特征向量的密度分布,采用预设的密度聚类算法,并根据针对该设定时间长度确定的半径参数和密度阈值,对该设定时间长度内的特征向量进行聚类处理。
在根据密度聚类算法,对设定时间长度内的特征向量进行聚类处理时,需要预先确定半径参数和密度阈值,半径参数和密度阈值可以根据经验值确定。这是因为暴力破解具有一定的周期性,通过特征向量的分布密度大小可以确定出是否存在暴力破解,因此可以针对暴力破解,确定如果在设定时间长度内存在暴力破解,该暴力破解对应的半径参数和密度阈值是多少,将其预先保存,以便后续分析使用。
在进行聚类处理时,每个特征向量中包含四个参数值,分别为连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小,可以根据每个特征向量在一个四维空间中,确定每个特征向量对应的特征点。根据每个特征点及预设的密度聚类算法,可以对每个特征向量进行聚类处理。
S103:针对每个聚类,根据处于该聚类中的每个特征向量,对该特征向量对应的连接发起者和连接响应者的可疑次数更新,判断更新后的可疑次数是否大于预设次数阈值,如果是,确定所述连接发起者对所述连接响应者进行暴力破解。
因为特征向量是根据连接发起者与连接响应者之间数据包的传输过程确定的,一个特征向量对应一个连接发起者和一个连接响应者,因此如果某一特征向量位于聚类中,则说明该设定时间长度内该连接发起者对该连接响应者可能存在暴力破解,因此将特征向量对应的该连接发起者和该连接响应者的可疑次数更新。
电子设备可以对特征向量对应的连接发起者和连接响应者的可疑次数更新,例如,电子设备统计第一个5分钟内每个连接发起者与每个连接响应者之间数据包的传输,将聚类中的特征向量对应的特征属性存入可疑事件表,其中该特征属性为该特征向量对应的连接发起者和连接响应者的信息,并确定该特征向量对应的连接发起者和连接响应者的可疑次数为1。当电子设备统计第二个5分钟内每个连接发起者与每个连接响应者之间数据包的传输,根据聚类中的特征向量对应的特征属性,识别可疑事件表中是否存在于该特征属性相同的特征向量,如果存在,将该特征向量对应的可以次数更新为2,否则,将该特征向量及该特征向量对应的特征属性添加到可疑事件表,并确定该特征向量对应的连接发起者和连接响应者的可疑次数为1,依次类推,判断更新后的可疑次数是否大于预设次数阈值,如果是,确定所述连接发起者对所述连接响应者进行暴力破解。
另外,在确定所述连接发起者对所述连接响应者进行暴力破解后,电子设备可以通过显示界面将连接发起者对所述连接响应者进行暴力破解的信息展示给用户,具体的,可以将该连接发起者的IP地址、连接响应者IP地址、连接响应者端口等信息展示给用户。
由于在本发明实施例中,电子设备能够根据连接发起者和连接响应者之间的每次数据传输,确定对应的特征向量,并根据确定的特征向量确定半径参数和密度阈值,从而采用密度聚类算法进行聚类,识别出每个聚类中包含的特征向量,进而确定暴力破解,因此,本发明实施例提供的暴力破解的检测方法不需要检测数据包内容,仅根据特征向量的分布,即可实现暴力破解的检测,同时,也提高了在高速网络中进行暴力破解的检测效率。
实施例2:
在上述实施例的基础上,为了确定每次数据传输过程对应的特征向量,在本发明实施例中,统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输,确定每次数据传输过程对应的特征向量包括:
将数据传输的单向网络流程序(NETwork FLOW routine、netflow)拼接为双向流,根据所述双向流,统计设定时间长度内数据包的传输,确定连接发起者和连接响应者;
针对在设定时间长度内进行数据传输的每个连接发起者与每个连接响应者,根据每次数据传输过程中传输的数据包的数量和数据包的大小,确定每次数据传输过程对应的特征向量。
电子设备将数据传输的单向netflow流拼接为双向流,根据所述双向流,统计设定时间长度内数据包的传输,确定连接发起者和连接响应者。具体的,在将数据传输的单向netflow拼接为双向流时,电子设备中保存有netflow表,所述netflow表中含有数据传输过程中的源IP地址、目的IP地址、不重复源端口数、发送握手信号syn包数和发送请求数等信息。针对每个设备根据该设备与其他每个设备进行数据传输,保存有该两个设备对应的信息记录表a,其中信息记录表a中记录有该设备在该设定时间长度内向其他设备发送数据的参数信息,具体的在信息记录a表中保存有源IP地址、目的IP地址、不重复源端口数、发送握手信号syn包数和发送请求数等信息。
例如IP地址为1的设备在该设定的时间长度内分别与IP地址为2、3、4的设备进行数据传输,则针对IP地址为1的设备保存有3个信息记录表a,其中第一个信息记录表a中记录有IP地址为1的设备每次与IP地址为2的设备进行数据传输的信息,第二个信息记录表a中记录有IP地址为1的设备每次与IP地址为3的设备进行数据传输的信息,第三个信息记录表a中记录有IP地址为1的设备每次与IP地址为4的设备进行数据传输的信息.
因此通过查找针对每个设备保存的信息记录表a中的源IP地址与目的IP地址,如果两个信息记录表a中目的IP地址与源IP地址相同,则拼接得到双向流。
根据所述拼接得到的双向流,电子设备根据netflow表中的不重复源端口数、发送握手信号syn包数和发送请求数确定连接发起者和连接响应者,具体的,由于,在一般情况下连接发起者对应的步重复源端口数、发送握手信号syn包数和发送请求数会多于连接响应者,因此将不重复源端口数、发送握手信号syn包数和发送请求数较多的一方确定为连接发起者,另一方确定为连接响应者。
另外,在确定连接发起者和连接响应者时,还可以采用现有技术进行确定,在此对确定连接发起者和连接响应者的过程不再赘述。
确定连接发起者和连接响应者之后,电子设备针对在设定时间长度内进行数据传输的每个连接发起者与每个连接响应者,根据每次数据传输过程中传输的数据包的数量和数据包的大小,确定每次数据传输过程对应的特征向量,其中每个特征向量中包含该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,连接响应者发送的数据包数量和接收的数据包大小。
由于在本发明实施例中,电子设备将数据传输的单向网络流netflow拼接为双向流,根据所述双向流,统计设定时间长度内数据包的传输,确定连接发起者和连接响应者,进而针对在设定时间长度内进行数据传输的每个连接发起者与每个连接响应者,可以确定每次数据传输过程对应的特征向量。
实施例3:
在上述实施例的基础上,为了更加准确的确定半径参数和密度阈值,在本发明实施例中,确定半径参数和密度阈值的过程包括:
根据保存的特征向量的数量与密度阈值的对应关系,确定该特征向量的数量对应的密度阈值;
针对每个特征向量,确定与该特征向量对应的第一特征点距离较小的密度阈值的第二特征点,将该第一特征点与第二特征点的距离最大值,确定为目标距离;
根据每个特征向量对应的目标距离,确定所述半径参数。
电子设备中保存有特征向量的数量与密度阈值的对应关系,根据设定时间长度内统计的特征向量的数量,及所述保存的对应关系,可以确定密度阈值,特征向量的数量与密度阈值的对应关系如下公式所示:
式中,minpts为密度阈值;
num为特征向量的数量。
还以设定时间长度为5分钟为例,电子设备统计5分钟内连接发起者和连接响应者发送的数据包数量和数据包大小,将5分钟内统计的连接发起者和连接响应者发送的数据包数量和数据包大小的数量作为特征向量的数量,假设统计出的5分钟内的特征向量的数量为100个,则根据上式得出,密度阈值为4。
电子设备确定出密度阈值之后,针对每个特征向量,确定与该特征向量对应的第一特征点距离较小的密度阈值的第二特征点,将该第一特征点与第二特征点的距离最大值,确定为目标距离。如图2所示,以一个特征向量对应的第一特征点p为例,假设确定出的密度阈值为4,则针对图中所示第一特征点p,确定与该第一特征点p距离较小的三个第二特征点,将该第一特征点p与三个第二特征点的距离最大值,确定为该第一特征点p对应的特征向量对应的目标距离。
针对于每个特征向量,可以确定出该特征向量对应的目标距离,根据每个特征向量对应的目标距离,确定半径参数。具体的,在针对于每个特征向量,确定出该特征向量对应的目标距离后,将确定出的目标距离按照从小到大排序,取第95%个目标距离作为半径参数,确定半径参数的公式如下:
i=n×95%
若i为整数,则将第i与第i+1对应的目标距离的均值确定为半径参数,若i不是整数,则将i向上取整,将大于i的毗邻整数对应的目标距离的均值确定为半径参数。例如特征向量的数量为100个,针对于每个特征向量确定出该特征向量对应的目标距离,从小到大排序为0.1,0.2,0.5,……,5.0,5.1,5.3,5.4,5.6,5.7,根据上述公式确定出i=95,其中第95个目标距离为5.0,第96个目标距离为5.1,第95个目标距离与第96个目标距离的均值为5.05,因此确定出的半径参数为5.05;若特征向量的个数为105个,针对于每个特征向量确定出该特征向量对应的目标距离,从小到大排序为0.1,0.2,0.5,……,5.0,5.1,5.3,5.4,5.6,5.7,根据上述公式确定出i=99.75,因此取第100个目标距离作为半径参数,第100个目标距离为5.0,因此确定出的半径参数为5.0。
图3为本发明实施例提供的一种暴力破解的检测过程示意图,该过程包括以下步骤:
S301:统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输,确定每次数据传输过程对应的特征向量,其中每个特征向量中包含该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小。
S302:根据保存的特征向量的数量与密度阈值的对应关系,确定该特征向量的数量对应的密度阈值。
S303:针对每个特征向量,确定与该特征向量对应的第一特征点距离较小的密度阈值的第二特征点,将该第一特征点与第二特征点的距离最大值,确定为目标距离。
S304:根据每个特征向量对应的目标距离,确定所述半径参数。
S305:采用预设的密度聚类算法,根据所述半径参数及所述密度阈值对该设定时间长度内的特征向量进行聚类处理。
S306:针对每个聚类,根据处于该聚类中的每个特征向量,对该特征向量对应的连接发起者和连接响应者的可疑次数更新,判断更新后的可疑次数是否大于预设次数阈值,如果是,确定所述连接发起者对所述连接响应者进行暴力破解。
由于在本发明实施例中,电子设备根据保存的特征向量的数量与密度阈值的对应关系,确定该特征向量的数量对应的密度阈值,保证了确定的密度阈值的准确性,因此能够准确的对特征向量进行聚类处理,从而准确的识别出暴力破解。
实施例4:
在上述实施例的基础上,为了使电子设备对设定时间长度内的特征向量进行聚类处理更加准确,在本发明实施例中,该预设的密度聚类算法包括:基于密度的应用与噪声的空间聚类(Density-Based Spatial Clustering of Applications with Noise,DBSCAN)算法。
具体基于DBSCAN算法,及针对该设定时间长度确定的半径参数和密度阈值,对所述设定时间长度内的特征向量进行聚类处理包括以下步骤:
A、针对每个特征向量对应的第三特征点,识别与该第三特征点的距离在所述半径参数内的第四特征点的数量是否大于等于所述密度阈值;
B、如果是,将每个第四特征点对应的特征向量添加到聚类处理后第三特征点得到的聚类中,将每个第四特征点作为第三特征点,返回A;
C:如果否,针对该第三特征点的聚类处理过程结束。
电子设备确定出半径参数及密度阈值后,根据所述半径参数及密度阈值,采用DBSCAN算法对该设定时间长度内的特征向量进行聚类处理。具体的,在进行聚类处理时,针对每个特征向量对应的第三特征点识别与该第三特征点的距离在所述半径参数内的第四特征点,并判断所述第四特征点的数量是否大于等于所述密度阈值;如果所述第四特征点的数量大于等于所述密度阈值,将每个第四特征点对应的特征向量添加到聚类处理后第三特征点得到的聚类中,并将每个第四特征点作为第三特征点,继续聚类;当识别与第三特征点的距离在所述半径参数内的第四特征点的数量小于所述密度阈值时,针对该第三特征点的聚类处理过程结束,确定出处于聚类中的特征向量。
下面以一个具体的例子进行说明。如图4所示的聚类处理示意图,假设有20个特征向量,密度阈值为2,针对特征向量对应的第三特征点a以半径参数为半径作圆,识别圆内的特征向量对应的第四特征点的数量为3个,大于密度阈值,因此将每个第四特征点对应的特征向量添加到聚类处理后第三特征点得到的聚类中,将每个第四特征点作为第三特征点,继续聚类。如图4所示,针对第三特征点b以半径参数为半径作圆,识别圆内的特征向量为3个,大于密度阈值;针对第三特征点c以半径参数为半径作圆,识别圆内的特征向量为4个,大于密度阈值;针对第三特征点d以半径参数为半径作圆,识别圆内的特征向量为3个,大于密度阈值;针对第三特征点e以半径参数为半径作圆,识别圆内的特征向量为3个,大于密度阈值。针对每个特征向量对应的第三特征点,识别与该第三特征点的距离在所述半径参数内的第四特征点的数量小于所述密度阈值时,针对该第三特征点的聚类处理过程结束,从而可以得到聚类处理的过程。
具体的,确定了特征向量后,基于DBSCAN算法对特征向量进行聚类处理的过程属于现有技术,在本发明实施例中不再进行赘述。
图5为本发明实施例提供的一种暴力破解的检测过程示意图,该过程包括以下步骤:
S501:统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输,确定每次数据传输过程对应的特征向量,其中每个特征向量中包含该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小。
S502:针对每个特征向量对应的第三特征点,识别与该第三特征点的距离在所述半径参数内的第四特征点的数量是否大于等于所述密度阈值,如果是,进行步骤S503,否则,进行步骤S504。
S503:将每个第四特征点对应的特征向量添加到聚类处理后第三特征点得到的聚类中,将每个第四特征点作为第三特征点,返回步骤S502。
S504:针对该第三特征点的聚类处理过程结束。
S505:针对每个聚类,根据处于该聚类中的每个特征向量,对该特征向量对应的连接发起者和连接响应者的可疑次数更新,判断更新后的可疑次数是否大于预设次数阈值,如果是,确定所述连接发起者对所述连接响应者进行暴力破解。
由于在本发明实施例中,电子设备根据确定出的密度阈值和半径参数,针对每个特征向量通过采用DBSCAN算法能够更加准确的进行聚类处理,进而为暴力破解的检测提供了前提条件。
实施例5:
在上述实施例的基础上,为了更加准确的确定密度阈值和半径参数,所述确定每次数据传输过程对应的特征向量,其中每个特征向量中包含该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小之后,采用预设的密度聚类算法,及针对该设定时间长度确定的半径参数和密度阈值,对所述设定时间长度内的特征向量进行聚类处理之前,所述方法还包括:
对每个特征向量中包含的该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小进行数据标准化处理。
电子设备统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输,确定每次数据传输过程对应的特征向量,其中每个特征向量中包含四个特征参数值,分别为该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小,针对每个特征向量中包含的该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小特征向量进行数据标准化处理。
具体的,可以采用离差min-max标准化的方法进行处理,min-max标准化的计算公式如下所示:
X′=(X-Xmin)/(Xmax-Xmin+1)
式中,X为每个特征向量中包含的每个参数值;
Xmin为X对应的参数值中的最小值;
Xmax为X对应的参数值中的最大值。
以连接发起者发送的数据包大小为例,通过统计5分钟内连接发起者每次发送的数据包大小的平均值,识别出数据包大小的平均值中最大值为150,最小值为90,对5分钟内连接发起者每次发送的数据包大小进行标准化处理,例如,连接发起者某一次发送的数据包大小的平均值为120,根据上述公式,X=120,Xmin=90,Xmax=150,经过计算,连接发起者该次发送的数据包大小的平均值经过数据标准化为0.49。
通过对每个特征向量中包含的该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小特征向量进行数据标准化处理,将所述特征向量统一映射到[0,1]区间上,将所述特征向量进行数据标准化之后,根据所述特征向量的数量,和预设的算法确定半径参数和密度阈值。
由于在本发明实施例中,电子设备统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输,确定每次数据传输过程对应的特征向量之后,对所述特征向量进行数据标准化处理,将所述特征向量统一映射到[0,1]区间上,使得之后确定的确定密度阈值和半径参数更加准确。
图6为本发明实施例提供的一种暴力破解的检测装置结构示意图,该装置包括:
第一确定模块61,用于统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输,确定每次数据传输过程对应的特征向量,其中每个特征向量中包含该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小;
第一处理模块62,用于采用预设的密度聚类算法,及针对该设定时间长度确定的半径参数和密度阈值,对所述设定时间长度内的特征向量进行聚类处理;
第二确定模块63,用于针对每个聚类,根据处于该聚类中的每个特征向量,对该特征向量对应的连接发起者和连接响应者的可疑次数更新,判断更新后的可疑次数是否大于预设次数阈值,如果是,确定所述连接发起者对所述连接响应者进行暴力破解。
所述第一确定模块61,具体用于将数据传输的单向网络流程序netflow拼接为双向流,根据所述双向流,统计设定时间长度内数据包的传输,确定连接发起者和连接响应者;针对在设定时间长度内进行数据传输的每个连接发起者与每个连接响应者,根据每次数据传输过程中传输的数据包的数量和数据包的大小,确定每次数据传输过程对应的特征向量。
所述第一处理模块62,具体用于根据保存的特征向量的数量与密度阈值的对应关系,确定该特征向量的数量对应的密度阈值;针对每个特征向量,确定与该特征向量对应的第一特征点距离较小的密度阈值的第二特征点,将该第一特征点与第二特征点的距离最大值,确定为目标距离;根据每个特征向量对应的目标距离,确定所述半径参数。
所述第一处理模块62,具体用于采用基于密度的应用与噪声的空间聚类DBSCAN算法,及针对该设定时间长度确定的半径参数和密度阈值,对所述设定时间长度内的特征向量进行聚类处理。
所述装置还包括:
第二处理模块64,用于对每个特征向量中包含的该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小进行数据标准化处理。
本发明实施例提供一种暴力破解的检测方法及装置,所述方法包括:统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输,确定每次数据传输过程对应的特征向量,其中每个特征向量中包含该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小;采用预设的密度聚类算法,及针对该设定时间长度确定的半径参数和密度阈值,对所述设定时间长度内的特征向量进行聚类处理;针对每个聚类,根据处于该聚类中的每个特征向量,对该特征向量对应的连接发起者和连接响应者的可疑次数更新,判断更新后的可疑次数是否大于预设次数阈值,如果是,确定所述连接发起者对所述连接响应者进行暴力破解。由于在本发明实施例中,电子设备能够根据连接发起者和连接响应者之间的每次数据传输,确定对应的特征向量,并根据确定的特征向量确定半径参数和密度阈值,从而采用密度聚类算法进行聚类,识别出每个聚类中包含的特征向量,进而确定暴力破解,因此,本发明实施例提供的暴力破解的检测方法不需要检测数据包内容,仅根据特征向量的分布,即可实现暴力破解的检测,同时,也提高了在高速网络中进行暴力破解的检测效率。
对于系统/装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种暴力破解的检测方法,其特征在于,应用于电子设备,所述方法包括:
统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输,确定每次数据传输过程对应的特征向量,其中每个特征向量中包含该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小;
采用预设的密度聚类算法,及针对该设定时间长度确定的半径参数和密度阈值,对所述设定时间长度内的特征向量进行聚类处理;
针对每个聚类,根据处于该聚类中的每个特征向量,对该特征向量对应的连接发起者和连接响应者的可疑次数更新,判断更新后的可疑次数是否大于预设次数阈值,如果是,确定所述连接发起者对所述连接响应者进行暴力破解。
2.如权利要求1所述的方法,其特征在于,所述统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输,确定每次数据传输过程对应的特征向量包括:
将数据传输的单向网络流程序netflow拼接为双向流,根据所述双向流,统计设定时间长度内数据包的传输,确定连接发起者和连接响应者;
针对在设定时间长度内进行数据传输的每个连接发起者与每个连接响应者,根据每次数据传输过程中传输的数据包的数量和数据包的大小,确定每次数据传输过程对应的特征向量。
3.如权利要求1所述的方法,其特征在于,确定半径参数和密度阈值的过程包括:
根据保存的特征向量的数量与密度阈值的对应关系,确定该特征向量的数量对应的密度阈值;
针对每个特征向量,确定与该特征向量对应的第一特征点距离较小的密度阈值的第二特征点,将该第一特征点与第二特征点的距离最大值,确定为目标距离;
根据每个特征向量对应的目标距离,确定所述半径参数。
4.如权利要求1所述的方法,其特征在于,所述预设的密度聚类算法包括:
基于密度的应用与噪声的空间聚类DBSCAN算法。
5.如权利要求1所述的方法,其特征在于,所述确定每次数据传输过程对应的特征向量之后,采用预设的密度聚类算法,及针对该设定时间长度确定的半径参数和密度阈值,对所述设定时间长度内的特征向量进行聚类处理之前,所述方法还包括:
对每个特征向量中包含的该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小进行数据标准化处理。
6.一种暴力破解的检测装置,其特征在于,所述装置包括:
第一确定模块,用于统计设定时间长度内每个连接发起者与每个连接响应者之间数据包的传输,确定每次数据传输过程对应的特征向量,其中每个特征向量中包含该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小;
第一处理模块,用于采用预设的密度聚类算法,及针对该设定时间长度确定的半径参数和密度阈值,对所述设定时间长度内的特征向量进行聚类处理;
第二确定模块,用于针对每个聚类,根据处于该聚类中的每个特征向量,对该特征向量对应的连接发起者和连接响应者的可疑次数更新,判断更新后的可疑次数是否大于预设次数阈值,如果是,确定所述连接发起者对所述连接响应者进行暴力破解。
7.如权利要求6所述的装置,其特征在于,所述第一确定模块,具体用于将数据传输的单向网络流程序netflow拼接为双向流,根据所述双向流,统计设定时间长度内数据包的传输,确定连接发起者和连接响应者;针对在设定时间长度内进行数据传输的每个连接发起者与每个连接响应者,根据每次数据传输过程中传输的数据包的数量和数据包的大小,确定每次数据传输过程对应的特征向量。
8.如权利要求6所述的装置,其特征在于,所述第一处理模块,具体用于根据保存的特征向量的数量与密度阈值的对应关系,确定该特征向量的数量对应的密度阈值;针对每个特征向量,确定与该特征向量对应的第一特征点距离较小的密度阈值的第二特征点,将该第一特征点与第二特征点的距离最大值,确定为目标距离;根据每个特征向量对应的目标距离,确定所述半径参数。
9.如权利要求6所述的装置,其特征在于,所述第一处理模块,具体用于采用基于密度的应用与噪声的空间聚类DBSCAN算法,及针对该设定时间长度确定的半径参数和密度阈值,对所述设定时间长度内的特征向量进行聚类处理。
10.如权利要求6所述的装置,其特征在于,所述装置还包括:
第二处理模块,用于对每个特征向量中包含的该数据传输过程中连接发起者发送的数据包数量、发送的数据包大小,接收的数据包数量和接收的数据包大小进行数据标准化处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611249809.3A CN106817364B (zh) | 2016-12-29 | 2016-12-29 | 一种暴力破解的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611249809.3A CN106817364B (zh) | 2016-12-29 | 2016-12-29 | 一种暴力破解的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106817364A true CN106817364A (zh) | 2017-06-09 |
| CN106817364B CN106817364B (zh) | 2020-02-07 |
Family
ID=59109292
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611249809.3A Active CN106817364B (zh) | 2016-12-29 | 2016-12-29 | 一种暴力破解的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106817364B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110995738A (zh) * | 2019-12-13 | 2020-04-10 | 北京天融信网络安全技术有限公司 | 暴力破解行为识别方法、装置、电子设备及可读存储介质 |
| CN111224756A (zh) * | 2019-12-26 | 2020-06-02 | 东软集团股份有限公司 | 确定数据传输异常的方法、装置、存储介质及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101032405A (zh) * | 2007-03-21 | 2007-09-12 | 汤一平 | 基于全方位计算机视觉的安全驾驶辅助装置 |
| CN101169868A (zh) * | 2006-10-25 | 2008-04-30 | 爱克发医疗保健公司 | 用于分割数字医学图像的方法 |
| CN102523202A (zh) * | 2011-12-01 | 2012-06-27 | 华北电力大学 | 钓鱼网页的深度学习智能检测方法 |
| CN105843851A (zh) * | 2016-03-16 | 2016-08-10 | 新浪网技术(中国)有限公司 | 欺诈邮件分析与提取方法和装置 |
| CN105959270A (zh) * | 2016-04-25 | 2016-09-21 | 盐城工学院 | 一种基于谱聚类算法的网络攻击检测方法 |
-
2016
- 2016-12-29 CN CN201611249809.3A patent/CN106817364B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101169868A (zh) * | 2006-10-25 | 2008-04-30 | 爱克发医疗保健公司 | 用于分割数字医学图像的方法 |
| CN101032405A (zh) * | 2007-03-21 | 2007-09-12 | 汤一平 | 基于全方位计算机视觉的安全驾驶辅助装置 |
| CN102523202A (zh) * | 2011-12-01 | 2012-06-27 | 华北电力大学 | 钓鱼网页的深度学习智能检测方法 |
| CN105843851A (zh) * | 2016-03-16 | 2016-08-10 | 新浪网技术(中国)有限公司 | 欺诈邮件分析与提取方法和装置 |
| CN105959270A (zh) * | 2016-04-25 | 2016-09-21 | 盐城工学院 | 一种基于谱聚类算法的网络攻击检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李丹: "《基于流聚类的网络业务识别关键技术研究》", 《CNKI优秀博士学位论文全文库》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110995738A (zh) * | 2019-12-13 | 2020-04-10 | 北京天融信网络安全技术有限公司 | 暴力破解行为识别方法、装置、电子设备及可读存储介质 |
| CN110995738B (zh) * | 2019-12-13 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 暴力破解行为识别方法、装置、电子设备及可读存储介质 |
| CN111224756A (zh) * | 2019-12-26 | 2020-06-02 | 东软集团股份有限公司 | 确定数据传输异常的方法、装置、存储介质及电子设备 |
| CN111224756B (zh) * | 2019-12-26 | 2022-07-12 | 东软集团股份有限公司 | 确定数据传输异常的方法、装置、存储介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106817364B (zh) | 2020-02-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10084822B2 (en) | Intrusion detection and prevention system and method for generating detection rules and taking countermeasures | |
| CN101202652B (zh) | 网络应用流量分类识别装置及其方法 | |
| US20110261710A1 (en) | Analysis apparatus and method for abnormal network traffic | |
| WO2019160641A1 (en) | Unsupervised spoofing detection from traffic data in mobile networks | |
| CN106850687A (zh) | 用于检测网络攻击的方法和装置 | |
| US10805327B1 (en) | Spatial cosine similarity based anomaly detection | |
| Kostas et al. | IoTDevID: A behavior-based device identification method for the IoT | |
| CN106790175B (zh) | 一种蠕虫事件的检测方法及装置 | |
| CN106506557B (zh) | 一种端口扫描检测方法及装置 | |
| Wang et al. | Design and implementation of an intrusion detection system by using extended BPF in the Linux kernel | |
| CN106789876A (zh) | 一种云终端服务器的认证方法及其装置 | |
| CN111181930A (zh) | DDoS攻击检测的方法、装置、计算机设备及存储介质 | |
| Juvonen et al. | An efficient network log anomaly detection system using random projection dimensionality reduction | |
| CN106817364A (zh) | 一种暴力破解的检测方法及装置 | |
| CN106790299A (zh) | 一种在无线接入点ap上应用的无线攻击防御方法和装置 | |
| US20160127290A1 (en) | Method and system for detecting spam bot and computer readable storage medium | |
| CN116455649A (zh) | 一种进出口贸易数据交换系统 | |
| CN116915442A (zh) | 漏洞测试方法、装置、设备和介质 | |
| Ageyev et al. | Traffic monitoring and abnormality detection methods analysis | |
| CN113268735A (zh) | 分布式拒绝服务攻击检测方法、装置、设备和存储介质 | |
| Jyothsna et al. | A flow-based network intrusion detection system for high-speed networks using meta-heuristic scale | |
| CN114422207B (zh) | 基于多模态的c&c通信流量检测方法及装置 | |
| Zhou et al. | IoT unbalanced traffic classification system based on Focal_Attention_LSTM | |
| CN110348450A (zh) | 用于图像验证码的安全评估方法、装置和计算机系统 | |
| Yoon et al. | DDoS attacks detection in the cloud using K-medoids algorithm |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Co-patentee after: NSFOCUS TECHNOLOGIES Inc. Patentee after: NSFOCUS Technologies Group Co.,Ltd. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Co-patentee before: NSFOCUS TECHNOLOGIES Inc. Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |