CN108494735A - 一种非法破解登录分析告警方法及装置 - Google Patents
一种非法破解登录分析告警方法及装置 Download PDFInfo
- Publication number
- CN108494735A CN108494735A CN201810148974.2A CN201810148974A CN108494735A CN 108494735 A CN108494735 A CN 108494735A CN 201810148974 A CN201810148974 A CN 201810148974A CN 108494735 A CN108494735 A CN 108494735A
- Authority
- CN
- China
- Prior art keywords
- timestamp
- daily record
- login
- login failure
- pointer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种非法破解登录分析告警方法,该方法包括:将位置信息与IP地址相关联;设置时间窗以及登录失败次数的阀值;接收并记录登录失败日志的时间戳;根据所述时间戳判断对应时间段是否大于时间窗,如果是,删除已记录时间戳中的第一个时间戳,直至时间戳对应时间段小于等于时间窗,否则根据记录时间戳判断对应的登录失败日志次数是否小于所述阈值,如果是,继续接收并记录登录失败日志的时间戳,否则生成非法破解登录分析告警。本发明的技术方案,在SSH暴力破解条件满足的时候能够实时准确地判断出来,并且告警发送方式的灵活选择,便于将攻击源所在地址通过地图显示。
Description
技术领域
本发明涉及数据安全领域,具体涉及一种非法破解登录分析告警方法及装置
背景技术
SSH为Secure Shell的缩写,由IETF的网络小组(Network Working Group)所制定;SSH为建立在应用层基础上的安全协议。SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。
暴力破解是利用穷举法逐个推算可能的密码,直至成功为止。
SSH登录失败日志,用户通过SSH登录到linux主机时,如果登录失败就会记录一条日志,例如:Jan 30 11:07:24 localhost sshd[48830]:Failed password for root from192.168.0.1 port 64108 ssh2。
暴力破解是一种简单有效的密码破解技术,如果黑客事先知道了账户号码,而密码设置的又比较简单,黑客就可以使用穷举法逐个尝试密码字典中的密码,直至找到正确的密码。在linux上最常用的登录linux主机的协议就是SSH,因此对SSH登录密码继续暴力破解就是一种常见的攻击手段。
因此建立一个能够快速有效检测SSH暴力破解的模型是非常必要的,这样才能在SSH暴力破解发生时迅速告知用户,从而立即对攻击采取应对措施。
发明内容
为解决上述技术问题,本发明提供了一种非法破解登录分析告警方法,该方法包括以下步骤:
1)将位置信息与IP地址相关联;
2)设置时间窗以及登录失败次数的阀值;
3)接收并记录登录失败日志的时间戳;
4)根据所述时间戳判断对应时间段是否大于时间窗,如果是,跳转到步骤5),否则,跳转到步骤7);
5)删除已记录时间戳中的第一个时间戳;
6)判断剩余时间戳对应的时间段是否大于时间窗,如果是,则跳转到步骤5),否则,跳转到步骤7);
7)根据记录时间戳判断对应的登录失败日志次数是否小于所述阈值,如果是,则跳转到步骤3),否则,跳转到步骤8);
8)生成非法破解登录分析告警。
根据本发明的方法,优选的,所述登录失败日志为SSH(Secure Shell)登录失败日志。
根据本发明的方法,优选的,所述步骤3)中设置一个循环链表用于存储所述登录失败日志的时间戳,设置循环链表的头指针和尾指针,初始状态下使头指针与尾指针相等,通过头指针和尾指针组成一条时间线,再分别设置头时间戳和尾时间戳分别用于记录头指针和尾指针指向的登录失败日志对应的时间戳。
根据本发明的方法,优选的,每次产生一条登录失败日志后,将尾指针向前移动一步,然后用尾时间戳记录当前登录失败日志的时间戳。
根据本发明的方法,优选的,所述步骤7)具体包括:
判断头指针和尾指针之间的节点个数是否大于或等于所述阀值,如果是则跳转到步骤8),并且头指针与尾指针相等,头时间戳置0。
为解决上述技术问题,本发明提供了一种非法破解登录分析告警装置,其特征在于,该装置包括:
位置关联模块,将位置信息与IP地址相关联;
阈值设置模块,设置时间窗以及登录失败次数的阀值;
日志接收模块,接收并记录登录失败日志的时间戳;
时间戳判断模块,根据所述时间戳判断对应时间段是否大于时间窗
时间戳删除模块,根据时间戳判断模块的结果确定是否删除已记录时间戳中的第一个时间戳;
阈值判断模块,根据记录时间戳判断对应的登录失败日志次数是否小于所述阈值;
告警生成模块,根据阈值判断模块的结果确定是否生成非法破解登录分析告警。
根据本发明的装置,优选的,日志接收模块包括一时间戳存储子模块,设置一个循环链表用于存储所述登录失败日志的时间戳,设置循环链表的头指针和尾指针,初始状态下使头指针与尾指针相等,通过头指针和尾指针组成一条时间线,再分别设置头时间戳和尾时间戳分别用于记录头指针和尾指针指向的登录失败日志对应的时间戳。
根据本发明的装置,优选的,所述时间戳存储子模块每次产生一条登录失败日志后,将尾指针向前移动一步,然后用尾时间戳记录当前登录失败日志的时间戳。
根据本发明的装置,优选的,所述阈值判断模块,判断头指针和尾指针之间的节点个数是否大于或等于所述阀值,如果是则调用告警生成模块生成非法破解登录分析告警,并且头指针与尾指针相等,头时间戳置0。
为解决上述技术问题,本发明提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序指令,通过执行所述计算机程序指令实现上述所述的方法。
通过本发明的方案,实现了:
1.实现了SSH暴力破解判断条件的配置。
2.在SSH暴力破解条件满足的时候能够实时准确地判断出来。
3.告警发送方式的灵活选择。
4.攻击源所在地址的显示。
附图说明
图1为本发明的总体流程图。
图2为本发明的阈值判断流程图。
具体实施方式
为了解决以下问题:对SSH登录失败日志进行位置信息关联,当发生暴力破解攻击的时候就能知道攻击源的具体位置;基于滑动窗口对SSH登录失败阀值进行检测;基于指标和规则对SSH登录失败日志进行分析;基于策略和指令对告警进行响应。
本发明提出了以下技术方案,具体参见图1。
步骤1,将SSH登录失败日志加上目的IP前缀并用一个空格与之隔开,例如:192.168.0.1 Jan 30 11:07:24 localhost SSHd[48830]:Failed password for rootfrom 192.168.0.1 port 64108 SSH2,然后解析成json格式。由于SSH登录失败日志是非结构化数据,需要转成半结构化的json才能处理。再根据源IP(即攻击者主机IP地址)和目的IP(被攻击者主机IP地址)关联IP对应的位置信息(位置信息有五项,分别为国家、省、市、区和坐标),关联之后SSH登录失败日志中的目的IP与位置信息如下所示:
目的城市:"成都市",
目的国别:"中国",
目的城区:"青羊区",
目的坐标:"104.027307","30.673051"
类型:点
目的IP地址:"192.168.0.1",
目的省份:"四川省",
源城市:"成都市",
源国别:"中国",
源城区:"青羊区",
源坐标:"104.027307","30.673051"
类型:点
源IP地址:"192.168.0.2",
源省份:"四川省"。
步骤2,创建指标,指定解析好的SSH登录失败日志中的SRC_IP作为分析的字段。
步骤3,创建规则,规则用于分析一段时间内某个源IP的登录失败的次数是否超过一定数量,因此创建规则时需要设置规则需要分析的指标,时间窗口的大小,以及登录失败次数的阀值。规则创建完成以后,规则采用滑动窗口的方式对SSH登录失败的阀值进行检测,具体方式如下:先初始化一个循环链表,用于存储每条SSH登录失败日志的时间戳,准备两个指针start和end指向循环链表(初始状态下start和end相等),start到end组成一条时间线,再准备两个变量startTime和endTime(分别记录start和end对应时间戳,startTime初始值为0),每次产生一条登录失败日志后,将end向前移动一步,然后记录当前日志的时间戳并且endTime=时间戳,接着循环判断startTime是否大于或等于endTime-时间窗口,如果是则判断start和end之间的节点个数是否大于或等于阀值,如果是则生成SSH暴力破解告警并且将start=end、startTime=0,否则停止循环,开始等待的新的SSH登录失败日志的到来,如果startTime小于endTime-时间窗口,则start往前移动一步,startTime=start指针指向的时间戳,然后循环,直到将start移动到时间窗口以内。检测阀值的流程图如图2所示。
步骤4,创建指令,指令用于将告警以某种方式告知用户,例如发送邮件。
步骤5,创建策略,策略用于设置告警产生后需要执行的指令。
在另一实施例中,本发明公开了一种非法破解登录分析告警装置,该装置包括:
位置关联模块,将位置信息与IP地址相关联;
阈值设置模块,设置时间窗以及登录失败次数的阀值;
日志接收模块,接收并记录登录失败日志的时间戳;
时间戳判断模块,根据所述时间戳判断对应时间段是否大于时间窗
时间戳删除模块,根据时间戳判断模块的结果确定是否删除已记录时间戳中的第一个时间戳;
阈值判断模块,根据记录时间戳判断对应的登录失败日志次数是否小于所述阈值;
告警生成模块,根据阈值判断模块的结果确定是否生成非法破解登录分析告警。
日志接收模块包括一时间戳存储子模块,设置一个循环链表用于存储所述登录失败日志的时间戳,设置循环链表的头指针和尾指针,初始状态下使头指针与尾指针相等,通过头指针和尾指针组成一条时间线,再分别设置头时间戳和尾时间戳分别用于记录头指针和尾指针指向的登录失败日志对应的时间戳。
所述时间戳存储子模块每次产生一条登录失败日志后,将尾指针向前移动一步,然后用尾时间戳记录当前登录失败日志的时间戳。
所述阈值判断模块,判断头指针和尾指针之间的节点个数是否大于或等于所述阀值,如果是则调用告警生成模块生成非法破解登录分析告警,并且头指针与尾指针相等,头时间戳置0。
日志接收模块包括一时间戳存储子模块,先初始化一个循环链表,用于存储每条SSH登录失败日志的时间戳,准备两个指针start和end指向循环链表(初始状态下start和end相等),start到end组成一条时间线,再准备两个变量startTime和endTime(分别记录start和end对应时间戳,startTime初始值为0),每次产生一条登录失败日志后,将end向前移动一步,然后记录当前日志的时间戳并且endTime=时间戳,接着循环判断startTime是否大于或等于endTime-时间窗口,如果是则判断start和end之间的节点个数是否大于或等于阀值,如果是则生成SSH暴力破解告警并且将start=end、startTime=0,否则停止循环,开始等待的新的SSH登录失败日志的到来,如果startTime小于endTime-时间窗口,则start往前移动一步,startTime=时间戳,然后循环,直到将start移动到时间窗口以内。
基于此方案实现了SSH暴力破解攻击的发现与告警,并且能够确认攻击源的具体地址。实现了SSH暴力破解判断条件的配置,在SSH暴力破解条件满足的时候能够实时准确地判断出来,并且告警发送方式的灵活选择,便于将攻击源所在地址通过地图显示。
对于系统实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、系统、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式发送机或其他可编程数据发送终端设备的发送器以产生一个机器,使得通过计算机或其他可编程数据发送终端设备的发送器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的系统。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据发送终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令系统的制造品,该指令系统实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据发送终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的发送,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种暴力破解攻击分析告警方法及装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种非法破解登录分析告警方法,其特征在于,该方法包括以下步骤:
1)将位置信息与IP地址相关联;
2)设置时间窗以及登录失败次数的阀值;
3)接收并记录登录失败日志的时间戳;
4)根据所述时间戳判断对应时间段是否大于时间窗,如果是,跳转到步骤5),否则,跳转到步骤7);
5)删除已记录时间戳中的第一个时间戳;
6)判断剩余时间戳对应的时间段是否大于时间窗,如果是,则跳转到步骤5),否则,跳转到步骤7);
7)根据记录时间戳判断对应的登录失败日志次数是否小于所述阈值,如果是,则跳转到步骤3),否则,跳转到步骤8);
8)生成非法破解登录分析告警。
2.根据权利要求1所述的方法,所述登录失败日志为SSH(Secure Shell)登录失败日志。
3.根据权利要求1所述的方法,所述步骤3)中设置一个循环链表用于存储所述登录失败日志的时间戳,设置循环链表的头指针和尾指针,初始状态下使头指针与尾指针相等,通过头指针和尾指针组成一条时间线,再分别设置头时间戳和尾时间戳分别用于记录头指针和尾指针指向的登录失败日志对应的时间戳。
4.根据权利要求3所述的方法,每次产生一条登录失败日志后,将尾指针向前移动一步,然后用尾时间戳记录当前登录失败日志的时间戳。
5.根据权利要求4所述的方法,所述步骤7)具体包括:
判断头指针和尾指针之间的节点个数是否大于或等于所述阀值,如果是则跳转到步骤8),并且头指针与尾指针相等,头时间戳置0。
6.一种非法破解登录分析告警装置,其特征在于,该装置包括:
位置关联模块,将位置信息与IP地址相关联;
阈值设置模块,设置时间窗以及登录失败次数的阀值;
日志接收模块,接收并记录登录失败日志的时间戳;
时间戳判断模块,根据所述时间戳判断对应时间段是否大于时间窗
时间戳删除模块,根据时间戳判断模块的结果确定是否删除已记录时间戳中的第一个时间戳;
阈值判断模块,根据记录时间戳判断对应的登录失败日志次数是否小于所述阈值;
告警生成模块,根据阈值判断模块的结果确定是否生成非法破解登录分析告警。
7.根据权利要求6所述的装置,日志接收模块包括一时间戳存储子模块,设置一个循环链表用于存储所述登录失败日志的时间戳,设置循环链表的头指针和尾指针,初始状态下使头指针与尾指针相等,通过头指针和尾指针组成一条时间线,再分别设置头时间戳和尾时间戳分别用于记录头指针和尾指针指向的登录失败日志对应的时间戳。
8.根据权利要求7所述的装置,所述时间戳存储子模块每次产生一条登录失败日志后,将尾指针向前移动一步,然后用尾时间戳记录当前登录失败日志的时间戳。
9.根据权利要求8所述的装置,所述阈值判断模块,判断头指针和尾指针之间的节点个数是否大于或等于所述阀值,如果是则调用告警生成模块生成非法破解登录分析告警,并且头指针与尾指针相等,头时间戳置0。
10.一种计算机存储介质,所述计算机存储介质存储有计算机程序指令,通过执行所述计算机程序指令实现如权利要求1-5之一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810148974.2A CN108494735B (zh) | 2018-02-13 | 2018-02-13 | 一种非法破解登录分析告警方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810148974.2A CN108494735B (zh) | 2018-02-13 | 2018-02-13 | 一种非法破解登录分析告警方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108494735A true CN108494735A (zh) | 2018-09-04 |
CN108494735B CN108494735B (zh) | 2021-02-05 |
Family
ID=63340501
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810148974.2A Active CN108494735B (zh) | 2018-02-13 | 2018-02-13 | 一种非法破解登录分析告警方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108494735B (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111367462A (zh) * | 2018-12-25 | 2020-07-03 | 北京兆易创新科技股份有限公司 | 一种数据处理方法及装置 |
CN111385111A (zh) * | 2018-12-28 | 2020-07-07 | 中国电信股份有限公司 | 告警方法、装置、系统及计算机可读存储介质 |
CN111654499A (zh) * | 2020-06-03 | 2020-09-11 | 哈尔滨工业大学(威海) | 一种基于协议栈的暴破攻击识别方法和装置 |
CN111787050A (zh) * | 2020-05-15 | 2020-10-16 | 华南师范大学 | 一种登录异常行为的分析方法、系统和装置 |
CN111800432A (zh) * | 2020-07-20 | 2020-10-20 | 博为科技有限公司 | 一种基于日志分析的防暴力破解方法及装置 |
CN112231698A (zh) * | 2020-09-29 | 2021-01-15 | 新华三信息安全技术有限公司 | 一种攻击检测方法、装置及存储介质 |
CN112751851A (zh) * | 2020-12-29 | 2021-05-04 | 成都科来网络技术有限公司 | 一种ssh登录成功行为判断方法、装置及存储介质 |
CN113377636A (zh) * | 2021-06-07 | 2021-09-10 | 上海微盟企业发展有限公司 | 一种页面浏览量计算的方法、系统、设备及可读存储介质 |
CN113574841A (zh) * | 2020-02-28 | 2021-10-29 | 深信服科技股份有限公司 | 一种信息处理方法及装置、设备、存储介质 |
CN114172831A (zh) * | 2021-12-03 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 暴力破解方法、系统、计算机及存储介质 |
CN114374566A (zh) * | 2022-02-10 | 2022-04-19 | 中国银联股份有限公司 | 一种攻击检测方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103916406A (zh) * | 2014-04-25 | 2014-07-09 | 上海交通大学 | 一种基于dns日志分析的apt攻击检测系统和方法 |
EP2860937A1 (en) * | 2013-10-11 | 2015-04-15 | Fujitsu Limited | Log analysis device, method, and program |
CN105825122A (zh) * | 2015-01-05 | 2016-08-03 | 中国移动通信集团广西有限公司 | 一种弱口令核查和破解方法及装置 |
CN105959948A (zh) * | 2016-04-26 | 2016-09-21 | 上海斐讯数据通信技术有限公司 | 一种无线密钥防暴力破解的方法和装置 |
CN106161395A (zh) * | 2015-04-20 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种防止暴力破解的方法、装置及系统 |
US20170346809A1 (en) * | 2016-05-24 | 2017-11-30 | Microsoft Technology Licensing, Llc. | Distinguishing vertical brute force attacks from benign errors |
-
2018
- 2018-02-13 CN CN201810148974.2A patent/CN108494735B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2860937A1 (en) * | 2013-10-11 | 2015-04-15 | Fujitsu Limited | Log analysis device, method, and program |
CN103916406A (zh) * | 2014-04-25 | 2014-07-09 | 上海交通大学 | 一种基于dns日志分析的apt攻击检测系统和方法 |
CN105825122A (zh) * | 2015-01-05 | 2016-08-03 | 中国移动通信集团广西有限公司 | 一种弱口令核查和破解方法及装置 |
CN106161395A (zh) * | 2015-04-20 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种防止暴力破解的方法、装置及系统 |
CN105959948A (zh) * | 2016-04-26 | 2016-09-21 | 上海斐讯数据通信技术有限公司 | 一种无线密钥防暴力破解的方法和装置 |
US20170346809A1 (en) * | 2016-05-24 | 2017-11-30 | Microsoft Technology Licensing, Llc. | Distinguishing vertical brute force attacks from benign errors |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111367462A (zh) * | 2018-12-25 | 2020-07-03 | 北京兆易创新科技股份有限公司 | 一种数据处理方法及装置 |
CN111367462B (zh) * | 2018-12-25 | 2023-04-07 | 兆易创新科技集团股份有限公司 | 一种数据处理方法及装置 |
CN111385111A (zh) * | 2018-12-28 | 2020-07-07 | 中国电信股份有限公司 | 告警方法、装置、系统及计算机可读存储介质 |
CN111385111B (zh) * | 2018-12-28 | 2023-03-24 | 中国电信股份有限公司 | 告警方法、装置、系统及计算机可读存储介质 |
CN113574841A (zh) * | 2020-02-28 | 2021-10-29 | 深信服科技股份有限公司 | 一种信息处理方法及装置、设备、存储介质 |
CN111787050A (zh) * | 2020-05-15 | 2020-10-16 | 华南师范大学 | 一种登录异常行为的分析方法、系统和装置 |
CN111787050B (zh) * | 2020-05-15 | 2023-04-11 | 华南师范大学 | 一种登录异常行为的分析方法、系统和装置 |
CN111654499B (zh) * | 2020-06-03 | 2022-06-17 | 哈尔滨工业大学(威海) | 一种基于协议栈的暴破攻击识别方法和装置 |
CN111654499A (zh) * | 2020-06-03 | 2020-09-11 | 哈尔滨工业大学(威海) | 一种基于协议栈的暴破攻击识别方法和装置 |
CN111800432A (zh) * | 2020-07-20 | 2020-10-20 | 博为科技有限公司 | 一种基于日志分析的防暴力破解方法及装置 |
CN112231698A (zh) * | 2020-09-29 | 2021-01-15 | 新华三信息安全技术有限公司 | 一种攻击检测方法、装置及存储介质 |
CN112751851A (zh) * | 2020-12-29 | 2021-05-04 | 成都科来网络技术有限公司 | 一种ssh登录成功行为判断方法、装置及存储介质 |
CN112751851B (zh) * | 2020-12-29 | 2023-05-23 | 科来网络技术股份有限公司 | 一种ssh登录成功行为判断方法、装置及存储介质 |
CN113377636B (zh) * | 2021-06-07 | 2022-08-26 | 上海微盟企业发展有限公司 | 一种页面浏览量计算的方法、系统、设备及可读存储介质 |
CN113377636A (zh) * | 2021-06-07 | 2021-09-10 | 上海微盟企业发展有限公司 | 一种页面浏览量计算的方法、系统、设备及可读存储介质 |
CN114172831A (zh) * | 2021-12-03 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 暴力破解方法、系统、计算机及存储介质 |
CN114172831B (zh) * | 2021-12-03 | 2024-05-28 | 杭州安恒信息技术股份有限公司 | 暴力破解方法、系统、计算机及存储介质 |
CN114374566A (zh) * | 2022-02-10 | 2022-04-19 | 中国银联股份有限公司 | 一种攻击检测方法及装置 |
CN114374566B (zh) * | 2022-02-10 | 2023-08-08 | 中国银联股份有限公司 | 一种攻击检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN108494735B (zh) | 2021-02-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108494735A (zh) | 一种非法破解登录分析告警方法及装置 | |
US8407798B1 (en) | Method for simulation aided security event management | |
US20090241188A1 (en) | Communication monitoring apparatus and communication monitoring method | |
CN110635971A (zh) | 工控资产探测及管理方法、装置和电子设备 | |
US9596248B2 (en) | Trojan detection method and device | |
US11178114B2 (en) | Data processing method, device, and system | |
CN108234400B (zh) | 一种攻击行为确定方法、装置及态势感知系统 | |
US10911581B2 (en) | Packet parsing method and device | |
CN105743732B (zh) | 一种记录局域网文件传输路径和分布情况的方法及系统 | |
US8161555B2 (en) | Progressive wiretap | |
US20180083990A1 (en) | Network Security Device and Application | |
KR101823421B1 (ko) | 화이트리스트 기반의 네트워크 보안 장치 및 방법 | |
CN106878240B (zh) | 僵尸主机识别方法及装置 | |
CN108206767A (zh) | 一种网络设备故障检测方法及装置 | |
CN102111400A (zh) | 一种木马检测方法、装置及系统 | |
CN110362993A (zh) | 恶意进程识别方法、终端、服务器、系统及存储介质 | |
CN113709129A (zh) | 一种基于流量学习的白名单生成方法、装置和系统 | |
EP2747345A1 (en) | Ips detection processing method, network security device and system | |
JP2008079028A (ja) | 不正アクセス情報記録システム及び方法 | |
US20170034005A1 (en) | Flow Entry Management Method and Device | |
CN115190056B (zh) | 一种可编排的流量协议识别与解析方法、装置及设备 | |
CN104396216A (zh) | 用于识别网络流量特征以关联和管理一个或多个后续流的方法及其装置 | |
CN107547251B (zh) | 一种设备管理方法、装置及系统 | |
CN107872493B (zh) | 一种信息处理方法、终端和服务器 | |
CN107547390B (zh) | 流表创建以及查询的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |