CN109743325A - 一种暴力破解攻击检测方法、系统、设备及存储介质 - Google Patents
一种暴力破解攻击检测方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN109743325A CN109743325A CN201910028380.2A CN201910028380A CN109743325A CN 109743325 A CN109743325 A CN 109743325A CN 201910028380 A CN201910028380 A CN 201910028380A CN 109743325 A CN109743325 A CN 109743325A
- Authority
- CN
- China
- Prior art keywords
- attack
- brute force
- stage
- behavior
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种暴力破解攻击检测方法、系统、设备及存储介质,涉及网络安全技术领域,本发明实施例本发明实施例基于行为分析方法建立多段式暴力破解攻击行为模型,模型完整刻画了暴力破解攻击的整个过程,明确了攻击不同阶段的特点和检测要素,并通过总结攻击成功与攻击失败情况的不同行为要素,为确认攻击结果提供依据,解决了暴力破解攻击结果的判定问题。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种暴力破解攻击检测方法、系统、设备及存储介质。
背景技术
现有针对暴力破解攻击的检测和分析方法都只限于检测事件是否发生,至于暴力破解攻击是否成功现有方案都不能给出结果。尤其是加密协议下的暴力破解攻击事件,常规检测方法更是无法判断,无从分析。目前主要有以下两类检测方法和技术手段:一是监测网络流量、设定危险阈值,当出现大量可疑数据包超过阈值时认为攻击发生。二是进行特征匹配,当检测到数据包内容含有已知威胁特征时,判定暴力破解攻击发生。
现有技术的问题:
1、不能检测暴力破解攻击是否成功。现有技术方法由于检测时并未考虑攻击成功后的网络状态和攻击者行为变化,因此都不能检测暴力破解攻击是否成功。
2、流量阈值检测方法,监测网络流量变化情况,当发现网络中可疑流量超出设定阈值时,认为暴力破解攻击发生,存在的问题有:一是流量监测是对网络状态和数据信息的粗粒度检测,误报率高问题;二是不能识别进行了有意流量控制和隐藏的攻击,容易漏报;三是针对同一事件可能产生大量冗余告警,造成客户端告警信息冗余、条目众多、数量庞大;四是不能区分有效攻击和无效攻击,无法判断攻击是否成功。
3、特征分析检测方法,要对过往数据包的内容进行特征字符匹配,存在的问题有:一是检测效率低,正确匹配、输出分析结果需要花费的时间多,检测延迟大;二是字符匹配需要消耗较多计算资源,暴力破解攻击往往产生大量密集数据包,网络流量过大时如匹配不及时可能造成系统拥塞或崩溃。三是威胁特征是预先设定的,内容固定,容易被编码扰乱或变形绕过。四是无法检测加密协议和加密流量的暴力破解攻击。
发明内容
本发明实施例的目的在于提供一种暴力破解攻击检测方法、系统、设备及存储介质,用以解决现有技术由于检测时并未考虑攻击成功后的网络状态和攻击者行为变化导致无法检测暴力破解攻击是否成功的问题。
为实现上述目的,本发明实施例提供了一种暴力破解攻击检测方法,所述方法包括:建立多段式暴力破解攻击行为模型;基于多段式暴力破解攻击行为模型从加密协议下暴力破解攻击的完整攻击过程出发,将攻击过程细分为三个阶段:攻击启动阶段、攻击进行阶段、攻击结束阶段;每个阶段根据暴力破解攻击针对的不同加密协议,从协议原理、攻击行为、流量特点方面多角度刻画攻击不同阶段的数据指征,同时区分攻击成功和攻击失败两种不同情况下的行为事件;及依据事件与攻击结果关系确定暴力破解攻击是否成功。
进一步地,所述攻击启动阶段定义为攻击者发起初始连接请求,所述攻击启动阶段为加密通道尚未建立的阶段,所述攻击启动阶段的行为要素通过数据包分析获取。
进一步地,所述攻击进行阶段定义为暴力破解攻击不断尝试爆破的过程,所述攻击进行阶段的数据为加密传输的数据,所述多段式暴力破解攻击行为模型从攻击行为角度定义所述攻击启动阶段的行为要素,所述攻击进行阶段的行为要素包括:端口特征、时间向量特征、频率特征、网络流量、数据包大小、源/目的IP地址。
进一步地,所述攻击结束阶段的数据为密文传输的数据,所述攻击结束阶段的行为要素包括:登录间隔、在线时间和数据包大小。
进一步地,所述确定暴力破解攻击是否成功包括:在对暴力破解攻击各阶段进行行为特征刻画时,通过知识工程方法建立一套初始规则集,所述初始规则集包括:已知的主要加密协议类集合、可监测的行为指征集合、数据约束集合和权值集合;及数据约束集合与权值集合进行积运算,得到暴力破解指征值,当暴力破解指征值符合落入危险区域,认为攻击成功。
进一步地,所述初始规则集经训练样本训练后形成不断优化的动态规则集,所述动态规则集的训练样本基于真实网络流量的攻击检测和用户反馈情况形成的。
进一步地,所述确定暴力破解攻击是否成功还包括:在通过动态规则集描述事件与攻击结果关系确定暴力破解攻击成功之后,将各阶段暴力破解攻击行为要素映射为多维事件图,将所有监测到的可疑请求标注在多维事件图中,若暴力破解攻击成功,则所述多维事件图中必具备符合成功指征要求的连接线区域;所述多维事件图中定义的主轴向量包括:协议向量、时间向量、行为向量,所述协议向量根据此次事件发生时建立连接的端口确定,所述时间向量依据事件发生时刻的相对时间值确定;所述行为向量根据所述多段式暴力破解攻击行为模型中描述的行为特征确定;及定义成功攻击的多维事件图指征为:在某一协议向量的横切面,存在一条时间向量和行为向量均递增,呈向上趋势的不规则连接线区域,连接线表示事件关联性,连接线随时间变化呈向上趋势。
本发明实施例的另外一方面,还提供的一种暴力破解攻击检测系统,所述系统包括:多段式暴力破解攻击行为模型建模模块,用于建立多段式暴力破解攻击行为模型;所述多段式暴力破解攻击行为模型包括:攻击过程细分单元、行为指征刻画单元和暴力破解攻击结果判断单元;所述攻击过程细分单元从加密协议下暴力破解攻击的完整攻击过程出发,将攻击过程细分为三个阶段:攻击启动阶段、攻击进行阶段、攻击结束阶段;所述行为指征刻画单元针对每个阶段根据暴力破解攻击针对的不同加密协议,从协议原理、攻击行为、流量特点方面多角度刻画攻击不同阶段的数据指征,同时区分攻击成功和攻击失败两种不同情况下的行为事件;及所述暴力破解攻击结果判断单元依据事件与攻击结果关系确定暴力破解攻击是否成功;模型优化模块,用于建立初始规则集并通过运算判断暴力破解攻击是否成功;基于真实网络流量的攻击检测和用户反馈情况形成训练样本;利用训练样本训练初始规则集形成不断优化的动态规则集;及基于多维事件图的暴力破解攻击结果判断单元,用于在通过动态规则集描述事件与攻击结果关系确定暴力破解攻击成功之后,将各阶段暴力破解攻击行为要素映射为多维事件图,将所有监测到的可疑请求标注在多维事件图中,若暴力破解攻击成功,则所述多维事件图中必具备符合成功指征要求的连接线区域。
本发明实施例的另外一方面,还提供了一种计算机设备,所述设备包括:一个或多个处理器;存储器,用于存储一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上所述的方法。
本发明实施例的另外一方面,还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序指令,所述计算机程序指令用于执行如上所述的方法。
本发明实施例具有如下优点:
本发明实施例基于行为分析方法建立多段式暴力破解攻击行为模型,模型完整刻画了暴力破解攻击的整个过程,明确了攻击不同阶段的特点和检测要素,并通过总结攻击成功与攻击失败情况的不同行为要素,为确认攻击结果提供依据,解决了暴力破解攻击结果的判定问题。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
图1为本发明实施例提供的一种暴力破解攻击检测系统的逻辑结构示意图。
图2为本发明实施例提供的一种暴力破解攻击检测方法的流程框图。
图3为本发明实施例提供的多段式暴力破解攻击行为模型将攻击过程细分为三个阶段以及对暴力破解攻击各阶段进行行为特征刻画的示意图。
图4为本发明实施例提供的通过初始规则集确定暴力破解攻击是否成功的流程框图。
图5为本发明实施例提供的初始规则集和动态规则集的设计和动态调整过程的示意图。
图6为本发明实施例提供的通过将各阶段暴力破解攻击行为要素映射为多维事件图进一步确定暴力破解攻击是否成功的流程框图。
图7为本发明实施例提供的定义成功攻击的多维事件图指征的示例图。
1-多段式暴力破解攻击行为模型建模模块、2-多段式暴力破解攻击行为模型、21-攻击过程细分单元、22-行为指征刻画单元、23-暴力破解攻击结果判断单元、3-模型优化模块、4-基于多维事件图的暴力破解攻击结果判断单元、5-成功暴力破解攻击的多维事件图指征的连接线区域、6-无效暴力破解攻击的多维事件图指征的连接线区域。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例
暴力破解攻击指攻击者通过猜测或字典方式枚举所有可能的用户名/密码组合,将此作为登录凭证发送到服务器登录验证系统,通过逐个尝试猜测,找到可用的用户名/密码对。
根据不同连接协议支持的传输方式的区别,用户登录可大致划分为明文登录和密文登录。明文登录条件下暴力破解攻击的检测和判断攻击是否成功较为容易,通过查看服务端应答数据包的关键字段即可确认攻击是否成功。密文登录的系统使用加密协议保证传输数据的私密性,对用户来说增加了安全性,对检测来说则增加了难度。由于客户端服务端使用了协商的公/私钥对对双方通讯数据加密,检测设备在网络中抓取的交互数据包均为乱码,很难从应答数据包中分析得到攻击结果。
本发明实施例融合行为分析方法、机器学习算法和多维度事件图方法,从海量数据中抽取分析要素,综合分析实现加密协议下准确判断暴力破解攻击是否成功。
参考图1,本发明实施例提供了一种暴力破解攻击检测系统包括:多段式暴力破解攻击行为模型建模模块1、模型优化模块3和基于多维事件图的暴力破解攻击结果判断单元4。多段式暴力破解攻击行为模型建模模块1用于建立多段式暴力破解攻击行为模型2;多段式暴力破解攻击行为模型2包括:攻击过程细分单元21、行为指征刻画单元22和暴力破解攻击结果判断单元23;参考图3,攻击过程细分单元21从加密协议下暴力破解攻击的完整攻击过程出发,将攻击过程细分为三个阶段:攻击启动阶段、攻击进行阶段、攻击结束阶段;行为指征刻画单元22针对每个阶段根据暴力破解攻击针对的不同加密协议,从协议原理、攻击行为、流量特点方面多角度刻画攻击不同阶段的数据指征,同时区分攻击成功和攻击失败两种不同情况下的行为事件;及暴力破解攻击结果判断单元23依据事件与攻击结果关系确定暴力破解攻击是否成功;模型优化模块3用于建立初始规则集并通过运算判断暴力破解攻击是否成功;基于真实网络流量的攻击检测和用户反馈情况形成训练样本;利用训练样本训练初始规则集形成不断优化的动态规则集;及基于多维事件图的暴力破解攻击结果判断单元4用于在通过动态规则集描述事件与攻击结果关系确定暴力破解攻击成功之后,将各阶段暴力破解攻击行为要素映射为多维事件图,将所有监测到的可疑请求标注在多维事件图中,若暴力破解攻击成功,则所述多维事件图中必具备符合成功指征要求的连接线区域。
参考图2,本发明实施例提供的一种暴力破解攻击检测方法包括:建立多段式暴力破解攻击行为模型;基于多段式暴力破解攻击行为模型从加密协议下暴力破解攻击的完整攻击过程出发,将攻击过程细分为三个阶段:攻击启动阶段、攻击进行阶段、攻击结束阶段;每个阶段根据暴力破解攻击针对的不同加密协议,从协议原理、攻击行为、流量特点方面多角度刻画攻击不同阶段的数据指征,同时区分攻击成功和攻击失败两种不同情况下的行为事件;及依据事件与攻击结果关系确定暴力破解攻击是否成功。
参考图3,多段式暴力破解攻击行为模型是从暴力破解攻击的攻击过程、行为模式、攻击结束后成功/失败不同行为状态角度,进行攻击检测的行为分析方法。
攻击启动阶段定义为攻击者发起初始连接请求,加密通道尚未建立的阶段。从通讯过程看,不同协议连接规范不同,步骤不同。如SSH协议,整个通讯过程包括五步:版本号协商、密钥和算法协商、认证阶段、会话请求阶段、交互会话阶段。版本号协商和密钥和算法协商过程数据是明文传输,之后数据均为密文传输。那么把个版本协商和密钥协商定义为攻击启动阶段,可通过数据包分析获取攻击启动阶段的行为要素。
将暴力破解攻击不断尝试爆破的过程定义为攻击进行阶段。此阶段数据为加密传输,如进行数据包的解密分析操作,将消耗大量资源和时间,且可能存在无法解密情况,因此模型从攻击行为角度将:端口特征、时间特征、频率特征、网络流量、数据包大小、源/目的IP地址等定义为此阶段的行为要素,通过诸多要素的数据融合来分析攻击的实施情况,并且获取上述信息无需解密数据包。
攻击结束阶段的行为特征是判断攻击结果的关键数据,数据仍为密文传输,将行为要素定义为:登录间隔、在线时间、数据包大小等,获取上述信息也无需解密数据包,通过攻击成功和失败时上述要素的不同特征,确认攻击结果。
参考图4和图5,本发明实施例中,可以通过建立初始规则集计算得到暴力破解指征值来确定暴力破解攻击是否成功,具体地,确定暴力破解攻击是否成功包括:在对暴力破解攻击各阶段进行行为特征刻画时,通过知识工程方法建立一套初始规则集,知识工程方法(Knowledge EngineeringApproach),主要靠手工编制规则使系统能处理特定知识领域的信息抽取问题,所述初始规则集包括:已知的主要加密协议类集合、可监测的行为指征集合、数据约束集合和权值集合;及数据约束集合与权值集合进行积运算,得到暴力破解指征值,当暴力破解指征值符合落入危险区域,认为攻击成功。
另外,本发明实施例中,基于机器学习算法,优化模型数据。初始规则集经训练样本训练后形成动态规则集,动态规则集是依据真实网络流量的攻击检测和用户反馈情况不断优化,使系统趋于完美。即,初始规则集经训练样本训练后形成不断优化的动态规则集,动态规则集的训练样本基于真实网络流量的攻击检测和用户反馈情况形成的。真实网络流量是指在实际网络中的真实数据流量,本发明实施例真实网络流量事实上表示已知的攻击数据包的回放。
另外,本发明实施例中,还通过多维事件图,实现深度数据融合,描述事件与攻击结果的关系。参考图6和7,确定暴力破解攻击是否成功还包括:在通过动态规则集描述事件与攻击结果关系确定暴力破解攻击成功之后,由多段式暴力破解攻击行为模型可知暴力破解攻击是一个渐进的过程,因此将各阶段暴力破解攻击行为要素映射为多维事件图,将所有监测到的可疑请求标注在多维事件图中,若暴力破解攻击成功,则所述多维事件图中必具备符合成功指征要求的连接线区域;所述多维事件图中定义的主轴向量包括:协议向量、时间向量、行为向量,所述协议向量根据此次事件发生时建立连接的端口确定,所述时间向量依据事件发生时刻的相对时间值确定;所述行为向量根据所述多段式暴力破解攻击行为模型中描述的行为特征确定;及定义成功攻击的多维事件图指征为:在某一协议向量的横切面,存在一条时间向量和行为向量均递增,呈向上趋势的不规则连接线区域,连接线表示事件关联性,连接线可为折线,连接线随时间变化呈向上趋势。如图7所示,多维事件图中,圆点表示事件发生,成功暴力破解攻击的多维事件图指征的连接线区域5为一次成功暴力破解攻击,无效暴力破解攻击的多维事件图指征的连接线区域6随时间变化趋势向下为一次无效暴力破解攻击。
本发明实施例提出一种加密协议下检测暴力破解攻击是否成功的方法,一方面解决了加密协议下暴力破解攻击的分析问题,另一方面解决了加密协议下暴力破解攻击结果的判定问题。
本发明实施例基于行为分析方法,建立多段式暴力破解攻击行为模型,模型完整刻画了暴力破解攻击的整个过程,明确了攻击不同阶段的通讯特点、分析方法和行为要素,通过行为分析方法判断暴力破解攻击是否成功。行为分析方法无须进行特征匹配、也无须解密数据解决了特征分析方法:检测效率低延迟大、资源占用大易拥塞、威胁特征固定易绕过的问题。同时一般特征分析方法无法检测加密协议下的攻击,本发明实施例支持加密协议下的攻击分析。
本发明实施例利用机器学习算法,实现检测模型的不断进化、实现规则的动态调整,使系统具备更好的自学习和改进能力。另外,本发明实施例还利用多维事件图,从攻击过程和攻击行为角度进一步描述了一系列攻击事件间的关联关系以及成功攻击应该具备有序逻辑状态,通过事件变化趋势确认攻击发生以及攻击是否成功。本发明实施例通过行为关联和事件融合提高了检测精度,减少了误报、冗余告警、无法判断攻击是否成功等问题。
另外,本发明实施例提出的一种计算机设备,所述设备包括:一个或多个处理器;存储器,用于存储一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上所述的方法。
另外,本发明实施例提出的一种计算机存储介质,所述计算机存储介质存储有计算机程序指令,所述计算机程序指令用于执行如上所述的方法。
在本发明的实施例中,各个模块或系统可以是由计算机程序指令形成的处理器,处理器可以是一种集成电路芯片,具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(FieldProgrammable GateArray,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息,结合其硬件完成上述方法的步骤。
存储介质可以是存储器,例如可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。
其中,非易失性存储器可以是只读存储器(Read-Only Memory,简称ROM)、可编程只读存储器(Programmable ROM,简称PROM)、可擦除可编程只读存储器(Erasable PROM,简称EPROM)、电可擦除可编程只读存储器(Electrically EPROM,简称EEPROM)或闪存。
易失性存储器可以是随机存取存储器(RandomAccess Memory,简称RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,简称SRAM)、动态随机存取存储器(Dynamic RAM,简称DRAM)、同步动态随机存取存储器(Synchronous DRAM,简称SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,简称DDRSDRAM)、增强型同步动态随机存取存储器(EnhancedSDRAM,简称ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,简称SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,简称DRRAM)。
本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时,可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (10)
1.一种暴力破解攻击检测方法,其特征在于,所述方法包括:
建立多段式暴力破解攻击行为模型;
基于多段式暴力破解攻击行为模型从加密协议下暴力破解攻击的完整攻击过程出发,将攻击过程细分为三个阶段:攻击启动阶段、攻击进行阶段、攻击结束阶段;
每个阶段根据暴力破解攻击针对的不同加密协议,从协议原理、攻击行为、流量特点方面多角度刻画攻击不同阶段的数据指征,同时区分攻击成功和攻击失败两种不同情况下的行为事件;及
依据事件与攻击结果关系确定暴力破解攻击是否成功。
2.如权利要求1所述的方法,其特征在于,所述攻击启动阶段定义为攻击者发起初始连接请求,所述攻击启动阶段为加密通道尚未建立的阶段,所述攻击启动阶段的行为要素通过数据包分析获取。
3.如权利要求1所述的方法,其特征在于,所述攻击进行阶段定义为暴力破解攻击不断尝试爆破的过程,所述攻击进行阶段的数据为加密传输的数据,所述多段式暴力破解攻击行为模型从攻击行为角度定义所述攻击启动阶段的行为要素,所述攻击进行阶段的行为要素包括:端口特征、时间向量特征、频率特征、网络流量、数据包大小、源/目的IP地址。
4.如权利要求3所述的方法,其特征在于,所述攻击结束阶段的数据为密文传输的数据,所述攻击结束阶段的行为要素包括:登录间隔、在线时间和数据包大小。
5.如权利要求1至4中任一所述的方法,其特征在于,所述确定暴力破解攻击是否成功包括:
在对暴力破解攻击各阶段进行行为特征刻画时,通过知识工程方法建立一套初始规则集,所述初始规则集包括:已知的主要加密协议类集合、可监测的行为指征集合、数据约束集合和权值集合;及
数据约束集合与权值集合进行积运算,得到暴力破解指征值,当暴力破解指征值符合落入危险区域,认为攻击成功。
6.如权利要求5所述的方法,其特征在于,所述初始规则集经训练样本训练后形成不断优化的动态规则集,所述动态规则集的训练样本基于真实网络流量的攻击检测和用户反馈情况形成的。
7.如权利要求6所述的方法,其特征在于,所述确定暴力破解攻击是否成功还包括:
在通过动态规则集描述事件与攻击结果关系确定暴力破解攻击成功之后,将各阶段暴力破解攻击行为要素映射为多维事件图,将所有监测到的可疑请求标注在多维事件图中,若暴力破解攻击成功,则所述多维事件图中必具备符合成功指征要求的连接线区域;
所述多维事件图中定义的主轴向量包括:协议向量、时间向量、行为向量,所述协议向量根据此次事件发生时建立连接的端口确定,所述时间向量依据事件发生时刻的相对时间值确定;所述行为向量根据所述多段式暴力破解攻击行为模型中描述的行为特征确定;及
定义成功攻击的多维事件图指征为:在某一协议向量的横切面,存在一条时间向量和行为向量均递增,呈向上趋势的不规则连接线区域,连接线表示事件关联性,连接线随时间变化呈向上趋势。
8.一种暴力破解攻击检测系统,其特征在于,所述系统包括:
多段式暴力破解攻击行为模型建模模块,用于建立多段式暴力破解攻击行为模型;
所述多段式暴力破解攻击行为模型包括:攻击过程细分单元、行为指征刻画单元和暴力破解攻击结果判断单元;所述攻击过程细分单元从加密协议下暴力破解攻击的完整攻击过程出发,将攻击过程细分为三个阶段:攻击启动阶段、攻击进行阶段、攻击结束阶段;所述行为指征刻画单元针对每个阶段根据暴力破解攻击针对的不同加密协议,从协议原理、攻击行为、流量特点方面多角度刻画攻击不同阶段的数据指征,同时区分攻击成功和攻击失败两种不同情况下的行为事件;及所述暴力破解攻击结果判断单元依据事件与攻击结果关系确定暴力破解攻击是否成功;
模型优化模块,用于建立初始规则集并通过运算判断暴力破解攻击是否成功;基于真实网络流量的攻击检测和用户反馈情况形成训练样本;利用训练样本训练初始规则集形成不断优化的动态规则集;及
基于多维事件图的暴力破解攻击结果判断单元,用于在通过动态规则集描述事件与攻击结果关系确定暴力破解攻击成功之后,将各阶段暴力破解攻击行为要素映射为多维事件图,将所有监测到的可疑请求标注在多维事件图中,若暴力破解攻击成功,则所述多维事件图中必具备符合成功指征要求的连接线区域。
9.一种计算机设备,其特征在于,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1至7中任一所述的方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序指令,所述计算机程序指令用于执行如权利要求1至7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910028380.2A CN109743325B (zh) | 2019-01-11 | 2019-01-11 | 一种暴力破解攻击检测方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910028380.2A CN109743325B (zh) | 2019-01-11 | 2019-01-11 | 一种暴力破解攻击检测方法、系统、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109743325A true CN109743325A (zh) | 2019-05-10 |
| CN109743325B CN109743325B (zh) | 2021-06-18 |
Family
ID=66364573
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910028380.2A Active CN109743325B (zh) | 2019-01-11 | 2019-01-11 | 一种暴力破解攻击检测方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109743325B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110417747A (zh) * | 2019-07-08 | 2019-11-05 | 新华三信息安全技术有限公司 | 一种暴力破解行为的检测方法及装置 |
| CN111510434A (zh) * | 2020-03-24 | 2020-08-07 | 中国建设银行股份有限公司 | 网络入侵检测方法、系统及相关设备 |
| CN111813752A (zh) * | 2020-07-01 | 2020-10-23 | 四川长虹电器股份有限公司 | 一种获取rdp爆破攻击来源的方法和系统 |
| CN112149818A (zh) * | 2019-06-27 | 2020-12-29 | 北京数安鑫云信息技术有限公司 | 威胁识别结果评估方法和装置 |
| CN112861120A (zh) * | 2019-11-27 | 2021-05-28 | 深信服科技股份有限公司 | 识别方法、设备及存储介质 |
| CN114172831A (zh) * | 2021-12-03 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 暴力破解方法、系统、计算机及存储介质 |
| CN114745199A (zh) * | 2022-05-06 | 2022-07-12 | 北京中睿天下信息技术有限公司 | 一种ssl解密设备上的证书替换方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130007882A1 (en) * | 2011-06-28 | 2013-01-03 | The Go Daddy Group, Inc. | Methods of detecting and removing bidirectional network traffic malware |
| CN106656640A (zh) * | 2017-03-14 | 2017-05-10 | 北京深思数盾科技股份有限公司 | 网络攻击的预警方法及装置 |
| CN107888607A (zh) * | 2017-11-28 | 2018-04-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
| CN108521408A (zh) * | 2018-03-22 | 2018-09-11 | 平安科技(深圳)有限公司 | 抵抗网络攻击方法、装置、计算机设备及存储介质 |
| CN108566363A (zh) * | 2018-01-09 | 2018-09-21 | 网宿科技股份有限公司 | 基于流式计算的暴力破解确定方法和系统 |
-
2019
- 2019-01-11 CN CN201910028380.2A patent/CN109743325B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130007882A1 (en) * | 2011-06-28 | 2013-01-03 | The Go Daddy Group, Inc. | Methods of detecting and removing bidirectional network traffic malware |
| CN106656640A (zh) * | 2017-03-14 | 2017-05-10 | 北京深思数盾科技股份有限公司 | 网络攻击的预警方法及装置 |
| CN107888607A (zh) * | 2017-11-28 | 2018-04-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
| CN108566363A (zh) * | 2018-01-09 | 2018-09-21 | 网宿科技股份有限公司 | 基于流式计算的暴力破解确定方法和系统 |
| CN108521408A (zh) * | 2018-03-22 | 2018-09-11 | 平安科技(深圳)有限公司 | 抵抗网络攻击方法、装置、计算机设备及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| 曹自刚: "《隐蔽式网络攻击检测关键问题研究》", 《中国博士学位论文全文库》 * |
| 谢辉: "《基于Linux内核的网络安全策略研究与应用》", 《网络安全技术与应用》 * |
| 陈光石等: "关于防御暴力破解自动封堵策略部署的探讨", 《电信科学》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112149818A (zh) * | 2019-06-27 | 2020-12-29 | 北京数安鑫云信息技术有限公司 | 威胁识别结果评估方法和装置 |
| CN112149818B (zh) * | 2019-06-27 | 2024-04-09 | 北京数安鑫云信息技术有限公司 | 威胁识别结果评估方法和装置 |
| CN110417747A (zh) * | 2019-07-08 | 2019-11-05 | 新华三信息安全技术有限公司 | 一种暴力破解行为的检测方法及装置 |
| CN110417747B (zh) * | 2019-07-08 | 2021-11-05 | 新华三信息安全技术有限公司 | 一种暴力破解行为的检测方法及装置 |
| CN112861120A (zh) * | 2019-11-27 | 2021-05-28 | 深信服科技股份有限公司 | 识别方法、设备及存储介质 |
| CN111510434A (zh) * | 2020-03-24 | 2020-08-07 | 中国建设银行股份有限公司 | 网络入侵检测方法、系统及相关设备 |
| CN111813752A (zh) * | 2020-07-01 | 2020-10-23 | 四川长虹电器股份有限公司 | 一种获取rdp爆破攻击来源的方法和系统 |
| CN114172831A (zh) * | 2021-12-03 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 暴力破解方法、系统、计算机及存储介质 |
| CN114172831B (zh) * | 2021-12-03 | 2024-05-28 | 杭州安恒信息技术股份有限公司 | 暴力破解方法、系统、计算机及存储介质 |
| CN114745199A (zh) * | 2022-05-06 | 2022-07-12 | 北京中睿天下信息技术有限公司 | 一种ssl解密设备上的证书替换方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109743325B (zh) | 2021-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109743325A (zh) | 一种暴力破解攻击检测方法、系统、设备及存储介质 | |
| CN107770171B (zh) | 服务器反爬虫的验证方法及系统 | |
| US9112828B2 (en) | Method for defending against session hijacking attacks and firewall | |
| Dean et al. | Using Client Puzzles to Protect {TLS} | |
| EP3691217B1 (en) | Web traffic logging system and method for detecting web hacking in real time | |
| Dyer et al. | Protocol misidentification made easy with format-transforming encryption | |
| CN104322001A (zh) | 使用服务名称识别的传输层安全流量控制 | |
| CN109495423A (zh) | 一种防止网络攻击的方法及系统 | |
| CN107508847A (zh) | 一种连接建立方法、装置和设备 | |
| CN111464503A (zh) | 基于随机多维变换的网络动态防御方法、装置及系统 | |
| CN109756460B (zh) | 一种防重放攻击方法及装置 | |
| CN104980449B (zh) | 网络请求的安全认证方法及系统 | |
| Li et al. | Optimal personalized defense strategy against man-in-the-middle attack | |
| CN106789858A (zh) | 一种访问控制方法和装置以及服务器 | |
| Aljawarneh et al. | A web client authentication system using smart card for e-systems: initial testing and evaluation | |
| KR101463873B1 (ko) | 정보 유출 차단 장치 및 방법 | |
| Schear et al. | Glavlit: Preventing exfiltration at wire speed | |
| CN112231679B (zh) | 一种终端设备验证方法、装置及存储介质 | |
| US11102239B1 (en) | Client device identification on a network | |
| CN113055357B (zh) | 单包验证通信链路可信的方法、装置、计算设备及存储介质 | |
| US20220343095A1 (en) | Fingerprint-Based Device Authentication | |
| CN115277201A (zh) | 一种动态代码封装的网站防御系统 | |
| CN115378654A (zh) | 一种网络威胁数据脱敏共享系统 | |
| Modi et al. | Design and implementation of RESTFUL API based model for vulnerability detection and mitigation | |
| He et al. | On one-time cookies protocol based on one-time password |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |