CN108600172A - 撞库攻击检测方法、装置、设备及计算机可读存储介质 - Google Patents
撞库攻击检测方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN108600172A CN108600172A CN201810243786.8A CN201810243786A CN108600172A CN 108600172 A CN108600172 A CN 108600172A CN 201810243786 A CN201810243786 A CN 201810243786A CN 108600172 A CN108600172 A CN 108600172A
- Authority
- CN
- China
- Prior art keywords
- url
- request message
- source
- login
- library attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种撞库攻击检测的方法,包括:从采集的网络流量中分离出HTTP流量信息;对所述HTTP流量信息进行解析,获得当前访问量排名前N位的N个URL;从所述N个URL中提取出不匹配于预设的学习库中的URL作为目标URL;根据所述目标URL的每个请求报文的有效载荷,确定所述请求报文中为登录行为的登录请求报文;根据与每个所述登录请求报文对应的响应报文的有效载荷,计算每个源IP的登录失败率;根据每个所述源IP的登录失败率和预设阈值,判断每个所述源IP的登录请求是否为撞库攻击。本发明还公开了一种撞库攻击检测的装置、设备及存储介质,可以有效地降低检测运算量,提高了处理效率和运算速度,并且提高了识别准确率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种撞库攻击检测方法、装置、设备及计算机可读存储介质。
背景技术
随着互联网的快速发展,涌现了大量的网站与移动应用。每个用户都可能在多个不同的网站拥有多个账号,用户为了方便记忆,这些账号往往采用相同的账号和密码。因此就导致了严重的安全问题,当某个网站或移动应用的用户数据泄露时,可能导致该用户在其他网站与移动应用的信息全部泄露。近年来,撞库攻击对用户的影响已经日益显著。
在目前现有的撞库攻击检测方法中,往往在抓取流量时获取尽量多个维度的信息,例如,源IP,目的IP,源端口,目的端口,有效载荷,url等多个维度的信息,并且使用模式匹配或JSON解析器将有效载荷中的登陆信息提取出来,在执行判断逻辑时综合使用多个维度进行同时判断。
然而,发明人在实施本发明的过程中发现,有些门户网站流量巨大,传统的检测方法需要综合使用多个维度进行同时判断,因此需要巨大的运算量,难以快速检测出撞库攻击,导致处理效率较低,并且在NAT环境中容易造成误报的问题。
发明内容
针对上述问题,本发明的目的在于提供一种撞库攻击检测的方法、装置、设备及计算机可读存储介质,可以快速且准确地检测出撞库攻击,提高处理效率。
本发明实施例提供了一种撞库攻击检测方法,包括:
从采集的网络流量中分离出HTTP流量信息;
对所述HTTP流量信息进行解析,获得当前访问量排名前N位的N个URL;;
从所述N个URL中提取出不匹配于预设的学习库中的URL作为目标URL;
根据所述目标URL的每个请求报文的有效载荷,确定所述请求报文中为登录行为的登录请求报文;
根据与每个所述登录请求报文对应的响应报文的有效载荷,计算每个源IP的登录失败率;
根据每个所述源IP的登录失败率和预设阈值,判断每个所述源IP的登录请求是否为撞库攻击。
优选地,所述学习库包括N个第一URL;所述N个第一URL通过对在预定历史时间内检测到访问量排名前N位的N个URL进行统计获得;
则从所述N个URL中提取出不匹配于预设的学习库中的URL作为目标URL,具体为:
从所述N个URL中提取中不存在于所述学习库中的URL作为目标URL。
优选地,所述学习库包括至少两组与时间段相对应的URL组;每个URL组包括N个第一URL;每个URL组包含的N个第一URL根据在预定的历史日期内在相同时间段提取的访问量排名前N位的N个URL进行统计获得;
则所述从所述N个URL中提取出不匹配于预设的学习库中的URL作为目标URL,具体为:
获取所述学习库中时间段与当前时刻相对应的URL组;
从所述N个URL中提取中不存在于所述URL组中的URL作为目标URL。
优选地,所述根据所述目标URL的每个请求报文的有效载荷,确定所述请求报文中为登录行为的登录请求报文,具体为:
对所述目标URL的每个请求报文的有效载荷使用流处理模式,通过有序向量化技术进行匹配,得到匹配结果;
根据所述匹配结果,判断所述请求报文是否为登录行为;
若否,则丢弃所述请求报文;
若是,则标记所述请求报文为登录请求报文。
优选地,所述根据与每个所述登录请求报文对应的响应报文的有效载荷,计算每个源IP的登录失败率,具体为:
对与每个所述登录请求报文对应的响应报文的有效载荷使用流处理模式,通过有序向量化技术进行匹配,获取与所述登录请求报文对应的登录结果;
根据所有所述登录结果,统计每个源IP的登录失败率。
优选地,所述根据每个所述源IP的登录失败率和预设阈值,判断每个所述源IP的登录请求是否为撞库攻击,具体为:
对于每一个源IP:
若所述登录失败率小于预设阈值,则判定所述源IP的登录请求为网络地址转换;
若所述登录失败率大于预设阈值,则判定所述源IP的登录请求为撞库攻击。
优选地,还包括:
当检测到所述源IP的登录请求为撞库攻击时,记录被撞库成功的用户信息并向与该用户信息相应的用户发出提醒信息。
本发明实施例还提供了一种撞库攻击检测装置,包括:
流量分离模块,用于从采集的网络流量中分离出HTTP流量信息;
URL监控模块,用于对所述HTTP流量信息进行解析,获得当前访问量排名前N位的N个URL;
URL匹配模块,用于从所述N个URL中提取出不匹配于预设的学习库中的URL作为目标URL;
登录行为判断模块,用于根据所述目标URL的每个请求报文的有效载荷,确定所述请求报文中为登录行为的登录请求报文;
失败率计算模块,用于根据与每个所述登录请求报文对应的响应报文的有效载荷,计算每个源IP的登录失败率;
撞库攻击判断模块,用于根据每个所述源IP的登录失败率和预设阈值,判断每个所述源IP的登录请求是否为撞库攻击。
本发明实施例还提供了一种撞库攻击检测设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如上述的撞库攻击检测方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如上述的撞库攻击检测方法。
上述技术方案中的一个技术方案具有如下优点:通过预先建立学习库对实时监控到的URL进行匹配,并针对不匹配的目标URL进行下一步分析,将每个源IP的登录失败率与预设阈值进行比较,将超过所述阈值的登录请求判定为撞库攻击,通过登录失败率判断真正的攻击源,从而将多维度的运算拆分成管道式的二级规则,降低了规则复杂度和运算量,并能够解决在NAT环境中多用户并发登录时造成误报或误判的问题,有效地提高识别准确率,从而可以快速、准确地检测出撞库攻击。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施方式中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明第一实施例提供的撞库攻击检测方法的流程示意图。
图2是本发明第四实施例提供的撞库攻击检测装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明第一实施例提供了一种撞库攻击检测方法,其可以通过撞库攻击检测设备来执行,并具体包括以下步骤:
S10,从采集的网络流量中分离出HTTP流量信息。
S20,对所述HTTP流量信息进行解析,获得当前访问量排名前N位的N个URL。
在本实施例中,所述撞库攻击检测设备可以为桌上型计算机、笔记本、掌上电脑及服务器等计算设备,所述撞库攻击检测设备可以通过旁路的方式抓取网络流量,从而不影响骨干网的性能。例如,在本实施例中,可以通过分流器、路由器或者交换机的镜像功能,将网络流量实时地输入至所述撞库攻击检测设备中,接着从所述网络流量中分离出HTTP流量信息,从而可以对所述HTTP流量信息进行解析搜索获得URL(Uniform Resource Locator,统一资源定位符)。
作为示例,对分离得到所述HTTP流量信息可以利用Elasticsearch软件搜索出访问量排名前N位的N个URL,从而可以实时监控访问量排名前N位的N个URL,其中,URL的个数N可以由用户自行设定,例如,可以为5个,10个、15个等,本发明不做具体限定。
S30,从所述N个URL中提取出不匹配于预设的学习库中的URL作为目标URL。
在本实施例中,需要预先设定一个学习库,其中,所述学习库具有学习功能。具体地,所述学习库可通过如下方式生成:
采集预定时间内的第一网络流量并分离得到第一HTTP流量信息;
对所述第一HTTP流量信息进行解析,记录访问量排名前N位的N个第一URL;
根据所述N个第一URL生成学习库。
作为示例,同样地,通过交换机镜像获取预定时间内的第一网络流量,将该预定时间内的第一网络流量分离得到对应的第一HTTP流量信息,利用Elasticsearch软件从中搜索和记录排名前N位的N个第一URL。可以理解的是,所述预定时间为网络流量没有出现异常的时间段。此外,所述学习库内的N个第一URL可以是根据一段比较长的历史时间的结果统计获得的,并允许所述学习库每隔预定时间对其保护的N个第一URL进行更新。
在本实施例中,具体地,判断所述N个URL与所述学习库中的N个第一URL是否匹配;若否,提取不匹配的URL并标记为待检测的目标URL;若是,停止撞库攻击检测。作为示例,由于学习库中包含了N个第一URL,所以需要实时监控排名前N位的N个URL,将所述N个URL与学习库中的第一URL进行匹配,若所述学习库中的N个第一URL刚好与所述N个URL完全匹配,则说明所述监控到的N个URL均为正常情况的URL,因此不需要对所述N个URL进行撞库攻击的检测;当在所述N个URL中出现了所述学习库中不存在的URL时,则说明所述学习库中不存在的URL可能存在异常,因此将该URL标记为待检测的目标URL。
S40,根据所述目标URL的每个请求报文的有效载荷,确定所述请求报文中为登录行为的登录请求报文。
S50,根据与每个所述登录请求报文对应的响应报文的有效载荷,计算每个源IP的登录失败率。
在本实施例中,对所述目标URL的每个请求报文的有效载荷从多个维度进行模式匹配。例如从请求方法、请求协议或报文体等等进行匹配,其中,匹配的维度和关键字可以由用户进行设定,例如只过滤请求方法为POST的请求报文,通过匹配分析所述请求报文是否为登录行为,若为登录行为,则将该请求报文标记为登录请求报文。接着,对所述登录请求报文对应的响应报文的有效载荷进行模式匹配,判断该登录请求是成功或失败,从而可以统计出每个源IP的登录失败率,用于做下一步的判断。
S60,根据每个所述源IP的登录失败率和预设阈值,判断每个所述源IP的登录请求是否为撞库攻击。
在本实施例中,可以由用户预先设定一个阈值,将每个源IP的登录失败率与所述阈值进行比较,若某个源IP的登录失败率大于所述阈值,则可以判定该源IP的登录请求为撞库攻击。若所述登录失败率小于所述阈值,则判定所述源IP的登录请求为NAT(NetworkAddress Translation,网络地址转换)。
在本发明实施例中,若根据该源IP的登录请求判定为撞库攻击,同时记录该源IP的相关信息,例如记录被撞库成功的用户信息,并发出提示信息以提示相关用户。
综上所述,本实施例中,通过预先建立学习库对实时监控到的URL进行匹配,并针对不匹配的目标URL进行下一步分析,将每个源IP的登录失败率与预设阈值进行比较,将超过所述阈值的登录请求判定为撞库攻击,通过登录失败率判断真正的攻击源,从而将多维度的运算拆分成管道式的二级规则,降低了规则复杂度和运算量,并能够解决在NAT环境中多用户并发登录时造成误报或误判的问题,有效地提高识别准确率,从而可以快速、准确地检测出撞库攻击。
本发明第二实施例:
所述学习库包括至少两组与时间段相对应的URL组;每个URL组包括N个第一URL;每个URL组包含的N个第一URL根据在预定的历史日期内在相同时间段提取的访问量排名前N位的N个URL进行统计获得。
则所述从所述N个URL中提取出不匹配于预设的学习库中的URL作为目标URL,具体为:
获取所述学习库中与当前时刻相对应的URL组;
从所述N个URL中提取中不存在于所述URL组中的URL作为目标URL。
具体地,不同时间段里不同URL的活跃度不同,例如,某些URL对应的网站在白天比较活跃,即其在白天的被访问量比较大(排名前N),而某些URL对应的网站在晚上的被访问量比较大(排名前N);或者某些URL对应的网站在节假日比较活跃(例如12306.com)。因此如果学习库仅仅只记录一组URL,则可能导致较高的误检测的出现。
为此,在本实施例中,所述学习库包含了至少两组与时间段相对应的URL组(例如,对应于白天时间段的URL组、对应于晚上时间段的URL组、对应于各个节假日的URL组)。则在进行匹配时,会获取时间段与当前时刻对应的URL组来进行匹配,从而达到减少误检测的效果。
本发明第三实施例:
在第一个实施例的基础上:
所述根据所述目标URL的每个请求报文的有效载荷,确定所述请求报文中为登录行为的登录请求报文,具体为:
对所述目标URL的每个请求报文的有效载荷使用流处理模式,通过有序向量化技术进行匹配,得到匹配结果;
根据所述匹配结果,判断所述请求报文是否为登录行为;
若否,丢弃所述请求报文;
若是,标记所述请求报文为登录请求报文。
在本实施例中,作为示例,对所述目标URL的每个请求报文的有效载荷使用流处理模式,通过有序向量化技术在多个维度进行高速匹配,其中,匹配的维度和关键字可以由用户进行设定,例如只过滤请求方法为POST的请求报文,最终得到匹配结果,对所述匹配结果进行分析,判断所述请求报文是否为登录行为,若否,则丢弃所述请求报文,不需要对其进行下一步判断;若检测到所述请求报文为登录行为,则将所述请求报文标记为登录请求报文。
在本实施例中,所述根据与每个所述登录请求报文对应的响应报文的有效载荷,计算每个源IP的登录失败率,具体为:对与每个所述登录请求报文对应的响应报文的有效载荷使用流处理模式,通过有序向量化技术进行匹配,获取与所述登录请求报文对应的登录结果;根据所有所述登录结果,统计每个源IP的登录失败率。
在本实施例中,作为示例,使用流处理模式,通过有序向量化技术对相应于每个所述登录请求报文的响应报文的有效载荷进行高速匹配,其中,所述响应报文的正文根据登录结果的不同而格式不同,通过分析报文信息和登录信息可以来判断每个所述登录请求报文的登录结果,即分析所述登录请求报文是登录成功或是失败,因此根据所有分析得到的登录结果,可以统计与所述登录请求报文对应的每个源IP的登录失败率。
通过上述方式,使用有序向量化技术取代传统的结构化解析器,基于流处理模式,无需等待所有报文全部到齐再进行处理,提高了报文处理效率,以及匹配和运算的速度,并且可以过滤大量的非登录行为的报文,为后续的相关计算降低了运算量。
请参阅图2,本发明第四实施例还提供了一种撞库攻击检测装置,包括:
流量分离模块410,用于从采集的网络流量中分离出HTTP流量信息;
URL监控模块420,用于对所述HTTP流量信息进行解析,获得当前访问量排名前N位的N个URL;
URL匹配模块430,用于从所述N个URL中提取出不匹配于预设的学习库中的URL作为目标URL;
登录行为判断模块440,用于根据所述目标URL的每个请求报文的有效载荷,确定所述请求报文中为登录行为的登录请求报文;
失败率计算模块450,用于根据与每个所述登录请求报文对应的响应报文的有效载荷,计算每个源IP的登录失败率;
撞库攻击判断模块460,用于根据每个所述源IP的登录失败率和预设阈值,判断每个所述源IP的登录请求是否为撞库攻击。
优选,所述学习库包括N个第一URL;所述N个第一URL通过对在预定历史时间内检测到访问量排名前N位的N个URL进行统计获得;
则所述URL匹配模块430具体为:
第一提取单元,用于从所述N个URL中提取中不存在于所述学习库中的URL作为目标URL。
优选地,所述学习库包括至少两组与时间段相对应的URL组;所述URL组根据在预定的历史日期内对在该时间段提取的访问量排名前N位的N个URL进行统计获得;
则所述URL匹配模块430具体为:
第二提取单元,用于获取所述学习库中时间段与当前时刻相对应的URL组,并从所述N个URL中提取中不存在于所述URL组中的URL作为目标URL。
优选地,所述登录行为判断模块440具体为:
匹配结果获取单元,用于对所述目标URL的每个请求报文的有效载荷使用流处理模式,通过有序向量化技术进行匹配,得到匹配结果;
登录行为判断单元,用于根据所述匹配结果,判断所述请求报文是否为登录行为;
报文丢弃单元,用于若否,则丢弃所述请求报文;
报文标记单元,用于若是,则标记所述请求报文为登录请求报文。
优选地,所述失败率计算模块450具体为:
登录结果获取单元,用于对与每个所述登录请求报文对应的响应报文的有效载荷使用流处理模式,通过有序向量化技术进行匹配,获取与所述登录请求报文对应的登录结果;
登录失败率计算单元,用于根据所有所述登录结果,统计每个源IP的登录失败率。
优选地,所述撞库攻击判断模块460具体用于:
对于每一个源IP:
第一判定单元,用于若所述登录失败率小于预设阈值,则判定所述源IP的登录请求为网络地址转换;
第二判定单元,用于若所述登录失败率大于预设阈值,则判定所述源IP的登录请求为撞库攻击。
优选地,还包括:
提醒模块,用于当检测到所述源IP的登录请求为撞库攻击时,记录被撞库成功的用户信息并向与该用户信息相应的用户发出提醒信息。
本发明第五实施例提供了一种撞库攻击检测设备。该实施例的撞库攻击检测设备包括:处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,例如撞库攻击检测程序。所述处理器执行所述计算机程序时实现上述各个撞库攻击检测的方法的实施例中的步骤,例如图1所示的步骤S10。或者,所述处理器执行所述计算机程序时实现上述各装置实施例中各单元的功能,例如图2所示的流量分离模块410。
示例性的,所述计算机程序可以被分割成一个或多个模块,所述一个或者多个模块被存储在所述存储器中,并由所述处理器执行,以完成本发明。所述一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述撞库攻击检测设备中的执行过程。
所述撞库攻击检测设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述撞库攻击检测设备可包括,但不仅限于,处理器、存储器、显示器。本领域技术人员可以理解,上述部件仅仅是撞库攻击检测设备的示例,并不构成对撞库攻击检测设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述撞库攻击检测设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述撞库攻击检测设备的控制中心,利用各种接口和线路连接整个所述撞库攻击检测设备的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述撞库攻击检测设备的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、文字转换功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、文字消息数据等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
其中,所述撞库攻击检测设备集成的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一个计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (10)
1.一种撞库攻击检测方法,其特征在于,包括:
从采集的网络流量中分离出HTTP流量信息;
对所述HTTP流量信息进行解析,获得当前访问量排名前N位的N个URL;;
从所述N个URL中提取出不匹配于预设的学习库中的URL作为目标URL;
根据所述目标URL的每个请求报文的有效载荷,确定所述请求报文中为登录行为的登录请求报文;
根据与每个所述登录请求报文对应的响应报文的有效载荷,计算每个源IP的登录失败率;
根据每个所述源IP的登录失败率和预设阈值,判断每个所述源IP的登录请求是否为撞库攻击。
2.根据权利要求1所述的撞库攻击检测方法,其特征在于,所述学习库包括N个第一URL;所述N个第一URL通过对在预定历史时间内检测到访问量排名前N位的N个URL进行统计获得;
则从所述N个URL中提取出不匹配于预设的学习库中的URL作为目标URL,具体为:
从所述N个URL中提取中不存在于所述学习库中的URL作为目标URL。
3.根据权利要求1所述的撞库攻击检测方法,其特征在于,所述学习库包括至少两组与时间段相对应的URL组;每个URL组包括N个第一URL;每个URL组包含的N个第一URL根据在预定的历史日期内在相同时间段提取的访问量排名前N位的N个URL进行统计获得;
则所述从所述N个URL中提取出不匹配于预设的学习库中的URL作为目标URL,具体为:
获取所述学习库中时间段与当前时刻相对应的URL组;
从所述N个URL中提取中不存在于所述URL组中的URL作为目标URL。
4.根据权利要求1所述的撞库攻击检测方法,其特征在于,所述根据所述目标URL的每个请求报文的有效载荷,确定所述请求报文中为登录行为的登录请求报文,具体为:
对所述目标URL的每个请求报文的有效载荷使用流处理模式,通过有序向量化技术进行匹配,得到匹配结果;
根据所述匹配结果,判断所述请求报文是否为登录行为;
若否,则丢弃所述请求报文;
若是,则标记所述请求报文为登录请求报文。
5.根据权利要求1所述的撞库攻击检测方法,其特征在于,所述根据与每个所述登录请求报文对应的响应报文的有效载荷,计算每个源IP的登录失败率,具体为:
对与每个所述登录请求报文对应的响应报文的有效载荷使用流处理模式,通过有序向量化技术进行匹配,获取与所述登录请求报文对应的登录结果;
根据所有所述登录结果,统计每个源IP的登录失败率。
6.根据权利要求1所述的撞库攻击检测方法,其特征在于,所述根据每个所述源IP的登录失败率和预设阈值,判断每个所述源IP的登录请求是否为撞库攻击,具体为:
对于每一个源IP:
若所述登录失败率小于预设阈值,则判定所述源IP的登录请求为网络地址转换;
若所述登录失败率大于预设阈值,则判定所述源IP的登录请求为撞库攻击。
7.根据权利要求1所述的撞库攻击检测方法,其特征在于,还包括:
当检测到所述源IP的登录请求为撞库攻击时,记录被撞库成功的用户信息并向与该用户信息相应的用户发出提醒信息。
8.一种撞库攻击检测装置,其特征在于,包括:
流量分离模块,用于从采集的网络流量中分离出HTTP流量信息;
URL监控模块,用于对所述HTTP流量信息进行解析,获得当前访问量排名前N位的N个URL;
URL匹配模块,用于从所述N个URL中提取出不匹配于预设的学习库中的URL作为目标URL;
登录行为判断模块,用于根据所述目标URL的每个请求报文的有效载荷,确定所述请求报文中为登录行为的登录请求报文;
失败率计算模块,用于根据与每个所述登录请求报文对应的响应报文的有效载荷,计算每个源IP的登录失败率;
撞库攻击判断模块,用于根据每个所述源IP的登录失败率和预设阈值,判断每个所述源IP的登录请求是否为撞库攻击。
9.一种撞库攻击检测设备,其特征在于,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至7中任意一项所述的撞库攻击检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1至7中任意一项所述的撞库攻击检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810243786.8A CN108600172B (zh) | 2018-03-23 | 2018-03-23 | 撞库攻击检测方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810243786.8A CN108600172B (zh) | 2018-03-23 | 2018-03-23 | 撞库攻击检测方法、装置、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108600172A true CN108600172A (zh) | 2018-09-28 |
| CN108600172B CN108600172B (zh) | 2020-11-24 |
Family
ID=63627244
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810243786.8A Active CN108600172B (zh) | 2018-03-23 | 2018-03-23 | 撞库攻击检测方法、装置、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108600172B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109391626A (zh) * | 2018-11-15 | 2019-02-26 | 东信和平科技股份有限公司 | 一种判定网络攻击结果未遂的方法和相关装置 |
| CN109446789A (zh) * | 2018-10-22 | 2019-03-08 | 武汉极意网络科技有限公司 | 基于人工智能的防撞库方法、设备、存储介质及装置 |
| CN110417747A (zh) * | 2019-07-08 | 2019-11-05 | 新华三信息安全技术有限公司 | 一种暴力破解行为的检测方法及装置 |
| CN112153052A (zh) * | 2020-09-25 | 2020-12-29 | 北京微步在线科技有限公司 | 一种撞库攻击监测方法及系统 |
| CN112583789A (zh) * | 2020-11-04 | 2021-03-30 | 杭州数梦工场科技有限公司 | 被非法登录的登录接口确定方法、装置及设备 |
| CN112953895A (zh) * | 2021-01-26 | 2021-06-11 | 深信服科技股份有限公司 | 一种攻击行为检测方法、装置、设备及可读存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050188222A1 (en) * | 2004-02-24 | 2005-08-25 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring user login activity for a server application |
| CN103312666A (zh) * | 2012-03-09 | 2013-09-18 | 腾讯科技(深圳)有限公司 | 一种防御跨站请求伪造csrf攻击的方法、系统和装置 |
| CN204031330U (zh) * | 2014-06-26 | 2014-12-17 | 安徽广电信息网络股份有限公司 | 一种数字机顶盒与智能终端进行音视频通话装置 |
| CN104811449A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 检测撞库攻击方法及系统 |
| CN106603555A (zh) * | 2016-12-29 | 2017-04-26 | 杭州迪普科技股份有限公司 | 一种防护撞库攻击的方法及装置 |
| US20170318052A1 (en) * | 2014-01-20 | 2017-11-02 | Shape Security, Inc. | Intercepting and supervising calls to transformed operations and objects |
| CN107347052A (zh) * | 2016-05-05 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 检测撞库攻击的方法及装置 |
| US9843602B2 (en) * | 2016-02-18 | 2017-12-12 | Trend Micro Incorporated | Login failure sequence for detecting phishing |
| CN107612925A (zh) * | 2017-10-12 | 2018-01-19 | 成都知道创宇信息技术有限公司 | 一种基于访问行为特征的WebShell挖掘方法 |
| CN107689936A (zh) * | 2016-08-03 | 2018-02-13 | 阿里巴巴集团控股有限公司 | 登录账户的安全性验证系统、方法及装置 |
| WO2020051372A1 (en) * | 2018-09-07 | 2020-03-12 | Paypal, Inc. | Using ephemeral url passwords to deter high-volume attacks |
-
2018
- 2018-03-23 CN CN201810243786.8A patent/CN108600172B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050188222A1 (en) * | 2004-02-24 | 2005-08-25 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring user login activity for a server application |
| CN103312666A (zh) * | 2012-03-09 | 2013-09-18 | 腾讯科技(深圳)有限公司 | 一种防御跨站请求伪造csrf攻击的方法、系统和装置 |
| US20170318052A1 (en) * | 2014-01-20 | 2017-11-02 | Shape Security, Inc. | Intercepting and supervising calls to transformed operations and objects |
| CN204031330U (zh) * | 2014-06-26 | 2014-12-17 | 安徽广电信息网络股份有限公司 | 一种数字机顶盒与智能终端进行音视频通话装置 |
| CN104811449A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 检测撞库攻击方法及系统 |
| US9843602B2 (en) * | 2016-02-18 | 2017-12-12 | Trend Micro Incorporated | Login failure sequence for detecting phishing |
| CN107347052A (zh) * | 2016-05-05 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 检测撞库攻击的方法及装置 |
| CN107689936A (zh) * | 2016-08-03 | 2018-02-13 | 阿里巴巴集团控股有限公司 | 登录账户的安全性验证系统、方法及装置 |
| CN106603555A (zh) * | 2016-12-29 | 2017-04-26 | 杭州迪普科技股份有限公司 | 一种防护撞库攻击的方法及装置 |
| CN107612925A (zh) * | 2017-10-12 | 2018-01-19 | 成都知道创宇信息技术有限公司 | 一种基于访问行为特征的WebShell挖掘方法 |
| WO2020051372A1 (en) * | 2018-09-07 | 2020-03-12 | Paypal, Inc. | Using ephemeral url passwords to deter high-volume attacks |
Non-Patent Citations (2)
| Title |
|---|
| SHAMMI ISHARA HEWAMADDUMA: "《Detection and Prevention of Possible Unauthorized Login Attempts through Stolen Credentials from a Phishing Attack in an Online Banking System》", 《IEEE》 * |
| 唐翠微等: "《网络撞库攻击信息特征潜在博弈欺骗鉴别算法》", 《科技通报》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109446789A (zh) * | 2018-10-22 | 2019-03-08 | 武汉极意网络科技有限公司 | 基于人工智能的防撞库方法、设备、存储介质及装置 |
| CN109391626A (zh) * | 2018-11-15 | 2019-02-26 | 东信和平科技股份有限公司 | 一种判定网络攻击结果未遂的方法和相关装置 |
| CN109391626B (zh) * | 2018-11-15 | 2021-07-30 | 东信和平科技股份有限公司 | 一种判定网络攻击结果未遂的方法和相关装置 |
| CN110417747A (zh) * | 2019-07-08 | 2019-11-05 | 新华三信息安全技术有限公司 | 一种暴力破解行为的检测方法及装置 |
| CN110417747B (zh) * | 2019-07-08 | 2021-11-05 | 新华三信息安全技术有限公司 | 一种暴力破解行为的检测方法及装置 |
| CN112153052A (zh) * | 2020-09-25 | 2020-12-29 | 北京微步在线科技有限公司 | 一种撞库攻击监测方法及系统 |
| CN112583789A (zh) * | 2020-11-04 | 2021-03-30 | 杭州数梦工场科技有限公司 | 被非法登录的登录接口确定方法、装置及设备 |
| CN112583789B (zh) * | 2020-11-04 | 2023-03-14 | 杭州数梦工场科技有限公司 | 被非法登录的登录接口确定方法、装置及设备 |
| CN112953895A (zh) * | 2021-01-26 | 2021-06-11 | 深信服科技股份有限公司 | 一种攻击行为检测方法、装置、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108600172B (zh) | 2020-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108600172A (zh) | 撞库攻击检测方法、装置、设备及计算机可读存储介质 | |
| CN108881294A (zh) | 基于网络攻击行为的攻击源ip画像生成方法以及装置 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN107302547A (zh) | 一种web业务异常检测方法及装置 | |
| CN110213124A (zh) | 基于tcp多会话的被动操作系统识别方法及装置 | |
| CN109194677A (zh) | 一种sql注入攻击检测方法、装置及设备 | |
| EP3684025B1 (en) | Web page request identification | |
| CN111814192B (zh) | 训练样本生成方法及装置、敏感信息检测方法及装置 | |
| CN111294233A (zh) | 网络告警统计分析方法、系统及计算机可读存储介质 | |
| CN110768875A (zh) | 一种基于dns学习的应用识别方法及系统 | |
| CN108600270A (zh) | 一种基于网络日志的异常用户检测方法及系统 | |
| CN114338195A (zh) | 基于改进孤立森林算法的web流量异常检测方法及装置 | |
| CN107209834A (zh) | 恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序 | |
| CN111680167A (zh) | 一种服务请求的响应方法及服务器 | |
| CN117081858A (zh) | 一种基于多决策树入侵行为检测方法、系统、设备及介质 | |
| CN110572402B (zh) | 基于网络访问行为分析的互联网托管网站检测方法、系统和可读存储介质 | |
| CN112801155A (zh) | 基于人工智能的业务大数据分析方法及服务器 | |
| CN111586695A (zh) | 短信识别方法及相关设备 | |
| CN112437034A (zh) | 虚假终端检测方法和装置、存储介质及电子装置 | |
| CN105227528B (zh) | 对Web服务器群的攻击的检测方法和装置 | |
| CN109347873A (zh) | 一种命令注入攻击的检测方法、装置及计算机设备 | |
| WO2021262344A1 (en) | Method and apparatus to detect scripted network traffic | |
| WO2024007615A1 (zh) | 模型训练方法、装置及相关设备 | |
| KR20190022430A (ko) | 소셜 정보 기반의 리스크 이벤트의 식별 시스템, 방법, 전자장치 및 저장매체 | |
| CN115987549A (zh) | 移动终端的异常行为检测方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |