CN109936545A - 暴力破解攻击的检测方法和相关装置 - Google Patents

暴力破解攻击的检测方法和相关装置 Download PDF

Info

Publication number
CN109936545A
CN109936545A CN201711365840.8A CN201711365840A CN109936545A CN 109936545 A CN109936545 A CN 109936545A CN 201711365840 A CN201711365840 A CN 201711365840A CN 109936545 A CN109936545 A CN 109936545A
Authority
CN
China
Prior art keywords
session information
probability value
session
network equipment
markovian
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711365840.8A
Other languages
English (en)
Other versions
CN109936545B (zh
Inventor
杨多
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201711365840.8A priority Critical patent/CN109936545B/zh
Priority to EP18890392.6A priority patent/EP3720077B1/en
Priority to PCT/CN2018/102881 priority patent/WO2019119860A1/zh
Priority to MX2020006422A priority patent/MX2020006422A/es
Publication of CN109936545A publication Critical patent/CN109936545A/zh
Priority to US16/904,113 priority patent/US11388189B2/en
Application granted granted Critical
Publication of CN109936545B publication Critical patent/CN109936545B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/29Graphical models, e.g. Bayesian networks
    • G06F18/295Markov models or related models, e.g. semi-Markov models; Markov random fields; Networks embedding Markov models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供暴力破解攻击的检测方法和相关装置。该检测方法包括:获取客户端与服务器之间待检测的镜像流量;根据待检测的镜像流量获取第一会话信息序列,第一会话信息序列包括多个会话信息,多个会话信息与多次登录会话一一对应,多个会话信息在第一会话信息序列中的排列顺序与多次登录会话发生的时间先后顺序一致;将第一会话信息序列作为第一马尔科夫链,获取第一马尔科夫链的状态链概率值,第一会话信息序列中的每一个会话信息作为第一马尔科夫链中的一个状态;根据第一马尔科夫链的状态链概率值和第一基准概率值,确定多次登录会话是否为暴力破解攻击。本申请提供的暴力破解攻击的检测方法和相关装置,有助于检测出暴力破解攻击。

Description

暴力破解攻击的检测方法和相关装置
技术领域
本申请涉及计算机领域,并且更具体地,涉及暴力破解攻击的检测方法、网络设备和计算机可读存储介质。
背景技术
在云计算环境中,暴露在公网环境中的云服务器,每天都面临着大量的攻击。其中,以针对云服务器上部署的应用服务进行的密码暴力破解攻击最为常见。
所谓暴力破解攻击,是指攻击者对这些应用服务的密码进行穷举式扫描。如果用户配置的密码强度不够,则很容易被攻击者的密码字典命中。也就是说,这些应用服务的密码很容易被破解。
应用服务的密码被破解,攻击者就可以非法访问应用服务,这将导致用户的数据泄露,甚至应用服务器被攻击者控制。因此,检测暴力破解攻击对云服务器的安全而言是非常需要的。
发明内容
本申请提供一种暴力破解攻击的检测方法和相关装置,有助于检测出暴力破解攻击。
第一方面,本申请提供了一种暴力破解攻击的检测方法。该检测方法包括:网络设备获取客户端与服务器之间待检测的镜像流量;所述网络设备根据所述待检测的镜像流量获取第一会话信息序列,所述第一会话信息序列包括多个会话信息,所述多个会话信息与所述客户端通过所述待检测的镜像流量向所述服务器发起的多次登录会话一一对应,所述多个会话信息在所述第一会话信息序列中的排列顺序与所述多次登录会话发生的时间先后顺序一致;所述网络设备将所述第一会话信息序列作为第一马尔科夫链,并获取所述第一马尔科夫链的状态链概率值,其中,所述第一会话信息序列中的每一个会话信息作为所述第一马尔科夫链中的一个状态;所述网络设备根据所述第一马尔科夫链的状态链概率值和第一基准概率值,确定所述多次登录会话是否为暴力破解攻击,所述第一基准概率值用于识别暴力破解攻击。
该检测方法中,将多次登录会话的多个会话信息看作马尔科夫链,计算该马尔科夫链的状态链概率值,并根据该状态链概率值判断这多次登录会话是否为暴力破解攻击。也就是说,该检测方法中,将暴力破解攻击的判断问题转换为概率问题,根据概率判断登录会话是否为暴力破解攻击,有助于有检测出暴力破解攻击。
在一种可能的设计中,所述每一个会话信息为对应的登录会话中携带用户名和密码的报文的长度和携带认证结果的报文的长度之和。
在一种可能的设计中,所述根据攻击概率阈值和所述第一状态链概率,确定所述待检测的多次登录会话是否为暴力破解攻击,包括:若所述第一状态链概率大于或等于所述功率概率阈值,确定所述待检测的多次登录会话为暴力破解攻击。
在一种可能的设计中,所述网络设备根据所述第一马尔科夫链的状态链概率值和第一基准概率值,确定所述多次登录会话是否为暴力破解攻击,包括:若所述第一马尔科夫链的状态链概率值小于或等于所述第一基准概率值,则所述网络设备确定所述多次登录会话为暴力破解攻击;或若所述第一马尔科夫链的状态链概率值与所述第一基准概率值的差值小于或等于预先配置的阈值,则所述网络设备确定所述多次登录会话为暴力破解攻击。
在一种可能的设计中,所述第一马尔科夫链的状态链概率值是根据所述第一马尔科夫链的初始概率值和所述第一马尔科夫链的转移概率值确定的。
其中,所述网络设备获取客户端与服务器之间待检测的镜像流量之前,所述检测方法还包括:所述网络设备获取所述客户端与所述服务器之间历史的镜像流量;所述网络设备根据所述历史的镜像流量获取第二会话信息序列,所述第二会话信息序列包括多个历史会话信息,所述多个历史会话信息与所述客户端通过所述历史的镜像流量向所述服务器发起的多次历史登录会话一一对应,所述多个历史会话信息在所述第二会话信息序列中的排列顺序与所述多次历史登录会话发生的时间先后顺序一致,并且所述多次历史登录会话为暴力破解攻击;所述网络设备将所述第二会话信息序列作为所述第二马尔科夫链,并获取所述第二马尔科夫链的初始概率值和所述第二马尔科夫链的转移概率值,其中,将所述第二会话信息序列中的每一个历史会话信息作为所述第二马尔科夫链中的一个状态。
所述网络设备确定所述第一马尔科夫链的初始概率值为所述第二马尔科夫链的初始概率值,所述第一马尔可夫链的转移概率值为所述第二马尔科夫链的转移概率值
该设计中,根据历史的镜像流量得到第二马尔科夫链的初始概率和转移概率,再根据第二马尔科夫链的初始概率和转移概率确定第一马尔科夫链的初始概率和转移概率,有助于提高第一马尔科夫链的初始概率和转移概率的准确率,从而有助于提高暴力破解攻击的检测准确率。
在一种可能的设计中,所述网络设备获取客户端与服务器之间待检测的镜像流量之前,所述检测方法还包括:所述网络设备获取所述第二马尔科夫链的状态链概率值;
所述网络设备根据所述第二马尔科夫链的状态链概率值确定所述第一基准概率值。
该设计中,第一基准概率值可以通过第二马尔科夫链的转移概率得到。这有助于提高状态链概率阈值的准确率,从而有助于提高暴力破解攻击的检测准确率。
在一种可能的设计中,所述网络设备根据所述第二马尔科夫链的状态链概率值确定所述第一基准概率值,包括:所述网络设备将所述第二马尔科夫链的状态概率值作为所述第一基准概率值。
在一种可能的设计中,所述网络设备根据所述第一马尔科夫链的状态链概率值和所述第一基准概率值,确定所述多次登录会话为暴力破解攻击的情况下,所述检测方法还包括:所述网络设备根据第二基准概率值和所述第一马尔科夫链的状态链概率值,确定所述多次登录会话发起的暴力破解攻击是否攻击成功,所述第二基准概率值用于识别攻击成功的暴力破解攻击。
在一种可能的设计中,所述第二基准概率值是将第三会话信息序列作为第三马尔科夫链的情况下,根据所述第三马尔科夫链的状态链概率值确定的,其中,所述第三会话信息序列包括多个历史会话信息,所述第三会话信息序列包括的多个历史会话信息与所述客户端和所述服务器之间的多次历史登录会话一一对应,所述第三会话信息序列包括的多个历史会话信息对应的多次历史登录会话是成功的暴力破解攻击,所述第三会话信息序列中的每一个历史会话信息作为所述第三马尔科夫链链中的一个状态,所述第三会话信息序列包括的多个历史会话信息在所述第三会话信息序列中的排列顺序与所述第三会话信息序列包括的多个历史会话信息对应的多次历史登录会话发生的时间先后顺序一致。
第二方面,本申请提供了一种网络设备,该网络设备具有实现上述检测方法或设计的功能。所述功能可以通过硬件实现,也可通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相对应的模块。比如处理器、通信接口和存储器,该存储器存储相关的指令,通信接口与其他网络设备进行数据传输,处理器执行该存储器中的指令,以完成上检测方法或设计中的各个步骤。
第三方面,本申请提供了一种计算机可读存储介质。该计算机可读存储介质中存储用于网络设备执行的程序代码。该程序代码包括用于执行第一方面或第一方面的任意一种设计中的检测方法的指令。
第四方面,本申请提供了一种包含指令的计算机程序产品。当该计算机程序产品在网络设备上运行时,使得网络设备可以执行第一方面或第一方面的任意一种设计中的检测方法。
第五方面,本申请提供了一种系统芯片,该系统芯片包括输入输出接口、至少一个处理器、至少一个存储器和总线,该至少一个存储器用于存储指令,该至少一个处理器用于调用该至少一个存储器的指令,以进行第一方面或任意一种设计中的检测方法的操作。
附图说明
图1是应用本申请实施例的检测方法的网络系统的示意性架构图;
图2是本申请实施例的网络设备的示意性结构图;
图3是本申请实施例的检测方法的示意性流程图;
图4是本申请实施例的镜像流量的示意图;
图5是本申请实施例的检测方法的示意性流程图;
图6是本申请实施例的镜像流量的示意图;
图7是本申请实施例的镜像流量的示意图;
图8是本申请实施例的镜像流量的示意图;
图9是本申请实施例的检测方法的示意性流程图;
图10是本申请实施例的检测方法的示意性流程图;
图11是本申请实施例的网络设备的示意性结构图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
图1是应用本申请实施例的暴力破解攻击的检测方法的网络系统的示意性架构图。应理解,本申请实施例并不限于图1所示的系统架构中,此外,图1中的设备可以是硬件,也可以是从功能上划分的软件或者以上二者的结合。
图1所示的网络系统中可以包括服务器110、报文转发设备120和客户端130。
服务器110可以是各种应用服务器,例如Web服务器、文件传输协议(FileTransferProtocol,FTP)服务器、游戏服务器、电子商务服务器等等。客户端130可以是以软件实现的各种应用客户端,例如浏览器、游戏客户端等等。报文转发设备120可以是具有报文转发功能的网络设备,例如交换机、防火墙、路由器等等。通过服务器110和客户端130之间传输的报文,应用服务提供商向用户提供应用服务。服务器110和客户端130之间传输的报文经由报文转发设备120被转发。
应理解,图1中所示的服务器110、报文转发设备120和客户端130的数量只是示例,本申请实施例对网络系统中的服务器110、报文转发设备120和客户端130的数量并不作限制。
服务器110、报文转发设备120和客户端130的结构可以参考现有技术中的服务器、报文转发设备和客户端的结构,此处不再赘述。
在服务器110和客户端130之间开始传输承载有业务数据的报文之前,客户端130需要先完成登录过程。登录过程包括以下基本步骤:客户端130向服务器110发送认证请求报文,认证请求报文中携带用户名和密码;服务器110从客户端130接收认证请求后,将认证请求报文中的密码和数据库中保存的用户名对应的密码进行比对,如果二者一致则认证成功,否则认证失败,从而完成认证。服务器110对用户名和密码进行认证后,可以向客户端130发送认证响应报文,认证响应报文指示认证结果,认证结果即认证成功或认证失败。
若服务器110认证成功,则服务器110可以为客户端130提供服务。这种情况下,可以称客户端130登录成功。
若服务器110认证失败,则服务器110拒绝为客户端130提供服务。这种情况下,可以称客户端130登录失败。
从客户端130向服务器110发送认证请求报文至服务器110向客户端130返回对应的认证响应报文的报文交互过程可以称为一次登录会话。
承载认证请求和认证响应的协议可以称为登录会话的认证协议。登录会话的认证协议的一种示例为安全外壳(Secure Shell,SSH)协议。SSH采用加密通道对登录过程中传输的用户名和密码进行保护,从而提升登录过程的安全性,防止以明文方式传输用户名和密码被非法截取。然而另一方面,正是由于采用加密通道,也增加了识别暴力破解攻击的难度。
在本申请中,为了简明起见,客户端130的地址可以称为登录会话的源地址,即客户端130向服务器发送认证请求报文的源地址;客户端130向服务器110发送认证请求报文的端口可以称为登录会话的源端口;服务器110的地址可以称为登录会话的目的地址,服务器110上接收认证请求报文以及发送认证响应报文的端口可以称为登录会话的目的端口。
例如,登录会话的源地址的一种示例为客户端130的互联网协议(internetprotocol,IP)地址,登录会话的目的地址的一种示例为服务器110的IP地址。
在实施暴力破解攻击时,作为攻击者的客户端130可以通过穷举用户密码的方式向服务器110发起多次登录会话,以登录服务器110。
客户端130在一个时间段内向服务器110发起的所有登录会话中,源地址、目的地址、目的端口和认证协议相同的登录会话可以称为一次攻击事件。该攻击事件可以包括一次或多次攻击过程。每次攻击过程包括的登录会话为该攻击事件包括的登录会话中,源端口相同的登录会话。换句话说,每次攻击过程包括的登录会话的五元组相同。每个攻击过程也可以称为一次暴力破解攻击。
若客户端130向服务器110发起暴力破解攻击后,客户端130成功登录服务器110,则可以称这次暴力破解攻击为成功的暴力破解攻击。
本申请提出了检测暴力破解攻击的方法,以及提出了检测暴力破解攻击是否攻击成功的方法。该检测方法可以由附图1中的网络设备140执行。网络设备140的一种示意性结构如图2所示。
如图2所示,网络设备140可以包括处理器141、存储器142和通信接口143。通信接口143可以用于从报文转发设备120获取客户端130与服务器110之间的镜像流量。存储器142可以用于存储处理器141执行的程序代码、从报文转发设备获取的镜像流量以及检测结果等;处理器141用于执行存储器142中存储的程序代码,以及根据存储器142中存储的镜像流量等信息检测暴力破解攻击,甚至检测该暴力破解攻击是否成功。
可选地,网络设备140还可以包括显示器144。显示器144用于显示处理器141检测暴力破解攻击的过程中的相关信息。例如,显示器144可以显示客户端130与服务器110之间的登录会话是否为暴力破解攻击。
本申请提出的检测方法的主要思想可以包括:将每次登录会话的会话信息当作马尔科夫链中的一个状态,将多次登录会话对应的多个会话信息按照这多次登录会话的时间先后顺序进行排序,并将排序后的会话信息序列当作马尔科夫(Markov)链,计算该马尔科夫链的状态链概率值,根据该状态链概率值判断这多次登录会话是否为暴力破解攻击。
本申请实施例中用于描述一次登录会话的会话信息是指进行该登录会话所产生的流量中,可以量化,或可以数值化的信息。例如,登录会话的会话信息可以是该登录会话中多个报文的长度之和。多个报文中包括的一种报文可以是由客户端发送的、携带了用户名和密码的报文,例如认证请求报文,另一种报文可以是由服务器发送的、携带了认证结果的报文,如认证响应报文。又如,可以将登录会话中信息交互的频率或时间间隔等作为该登录会话的会话信息。
图3为本申请实施例提供的一种暴力破解攻击的检测方法的示意性流程图。应理解,图3示出了检测方法的步骤或操作,但这些步骤或操作仅是示例,本申请实施例还可以执行其他操作或者图3中的各个操作的变形。
图3所示的检测方法可以包括S310、S320和S330。图3所示的检测方法可以由网络设备140执行。
S310,网络设备获取客户端与服务器之间待检测的镜像流量。
例如,网络设备根据服务器110的IP地址和开放应用服务的端口号,利用报文转发设备的端口镜像功能,从报文转发设备120获取一个时间段内服务器指定端口有关的总的镜像流量。然后获得与服务器上述端口存在报文交互的对端设备的地址信息,地址信息包括IP地址和端口号。将每个对端设备的地址信息作为客户端的地址信息,依据五元组(即源地址、目的地址、源端口、目的端口和认证协议)从总的镜像流量中筛选出一个客户端与服务器之间的待检测的镜像流量。
S320,网络设备根据待检测的镜像流量获取第一会话信息序列,第一会话信息序列包括多个会话信息。第一会话信息序列中的多个会话信息与客户端通过待检测的镜像流量向服务器发起的多次登录会话一一对应,所述多个会话信息在第一会话信息序列中的排列顺序与所述多次登录会话发生的时间先后顺序一致。
网络设备根据待检测的镜像流量获取第一会话信息序列的一种实现方式如下。
网络设备按照登录会话的发生时间从前往后的顺序,从该待检测的镜像流量中依次获取客户端130向服务器110发起的每次登录会话的会话信息。
客户端130通过该待检测的镜像流量向服务器110发起多次登录会话,则网络设备可以从该待检测的镜像流量中得到多个会话信息。会话信息的数量与登录会话的数量相同、多个会话信息与多次登录会话一一对应。
由于网络设备是按照登录会话的发生时间的先后顺序获取对应的会话信息的,因此网络设备获取到的多个会话信息的排列顺序与这多次登录会话发生的时间先后顺序一致。将采用上述方式获取的多个会话信息进行排序从而生成第一会话信息序列。
上述获取第一会话信息序列的实现方式只是一种示例,本申请实施例中还可以通过其他方式获取第一会话序列。例如,网络设备从待检测的镜像流量中获取多个会话信息后,再根据多次登录会话发生的时间先后顺序将这多个会话信息进行排序,得到第一会话信息序列。其中,多次登录会话与多个会话信息一一对应,多个会话信息在第一会话信息序列中的排列顺序与这多次登录会话发生的时间先后顺序相同。
附图4是本申请实施例提供的包含多次登录会话相关报文的镜像流量的示意图。图4所示的镜像流量中包括24信息,这24行信息是按照生成的时间先后顺序排序的。每一行信息表示客户端与服务器之间交互的一个报文,第一列为报文发送端的IP地址,第二列为报文接收端的IP地址,第三列为报文的协议名,第四列为通过解析报文头得到的一些信息,这些信息包括源端口号、目的端口号、报文类型标识、报文的序列号、报文长度、时间戳值(Timestamp Value,TSval)、时间戳回应字段(Timestamp Echo Reply field,TSecr)等等。
如附图4所示,一次登录会话由连续的三次报文交互构成。一次登录会话中的第一次交互报文是客户端向服务器发送的认证请求报文,认证请求报文中可以包括用户名和密码。一次登录会话中的第二次交互报文是服务器向客户端发送确认报文,该确认报文用于指示服务器已收到用户名和密码。一次登录会话中的第三次交互报文是服务器向客户端发送认证响应报文,通知客户端认证成功或认证失败。
通过图4所示的镜像流量,客户端向服务器发起了八次登录会话。每次登录会话的源地址为客户端的IP地址“192.168.13.158”,目的地址为客户端的IP地址“192.168.13.150”,源端口为客户端的端口“36358”,目的端口为“22”,认证协议为“SSH”。
这八次登录会话的源地址、目的地址、源端口、目的端口和认证协议相同,因此可以依次获取每次登录会话的会话信息,从而得到第一会话信息序列。
若将每次登录会话中,认证请求报文的长度(即第一行信息的括号中的数值100)与认证响应报文的长度(即第三行信息的括号中的数值100)的和作为该次登录会话的会话信息,则这八次登录会话对应的八个会话信息组成的第一会话信息序列为:184-184-184-184-184-184-184-136。
S330,网络设备将第一会话信息序列作为第一马尔科夫链,并获取第一马尔科夫链的状态链概率值,其中,第一会话信息序列中的每一个会话信息作为第一马尔科夫链中的一个状态。
其中,网络设备将第一会话信息序列作为第一马尔科夫链后,可以根据第一马尔科夫链的初始概率值和转移概率值,获取第一马尔科夫链的状态链概率值。
在执行S330之前,网络设备中可以存储有第一马尔科夫链的初始概率值和转移概率值。
第一马尔科夫链的长度表示为n1,第一马尔科夫链的初始概率值表示为p0,第一马尔科夫链中第i个状态向第i+1个状态转移的概率值表示为pij,则第一马尔科夫链的状态链概率值p可以通过公式p=p0*∏pij计算得到,其中,“∏”表示乘积,n1为正整数,i为小于n1的正整数。
例如,将每个会话信息当作一个状态,并将S320中得到的第一会话信息序列“184-184-184-184-184-184-184-136”作为第一马尔科夫链,则第一马尔科夫链中的初始状态为184,第一马尔科夫链中包括七次状态转移,前六次为184向184转移,第七次为184向136转移。
若网络设备中存储的184的初始概率值为184向184转移的概率值为184向136转移的概率值为则按照上面所述的计算状态链的公式,可以计算得到第一马尔科夫链的状态链概率值为:
S340,网络设备根据第一马尔科夫链的状态链概率值和第一基准概率值,确定这多次登录会话是否为暴力破解攻击,第一基准概率值用于识别暴力破解攻击。
在执行S340之前,网络设备中可以存储有第一基准概率值。
在一种实现方式中,网络设备根据第一马尔科夫链的状态链概率值和第一基准概率值,确定这多次登录会话是否为暴力破解攻击,可以包括:网络设备将第一马尔科夫链的状态链概率值与第一基准概率值作比较;若第一马尔科夫链的状态链概率值小于或等于第一基准概率值,则网络设备确定这多次登录会话为暴力破解攻击。
例如,若网络设备中存储的第一基准概率值为由于在附图4所示的实例中第一马尔科夫链的状态链概率值小于因此网络设备可以确定图4中包括的8次登录会话为暴力破解攻击。
若网络设备的存储器142中存储有多个不同的第一基准概率值,则网络设备可以将第一马尔科夫链的状态链概率值依次与这多个第一基准概率值作比较。只要第一马尔科夫链的状态链概率值小于或等于这多个第一基准概率值中的任意一个,则网络设备可以确定这多次登录会话为暴力破解攻击。
在另一种实现方式中,网络设备根据第一马尔科夫链的状态链概率值和第一基准概率值,确定这多次登录会话是否为暴力破解攻击,可以包括:网络设备将第一马尔科夫链的状态链概率值与第一基准概率值相减从而得到二者的差值;若差值小于或等于预先配置的阈值,则网络设备确定这多次登录会话为暴力破解攻击。
若网络设备的存储器142中存储有多个不同的第一基准概率值,则网络设备可以将第一马尔科夫链的状态链概率值与这多个第一基准概率值分别相减。只要相减得到的任意一个差值小于或等于预先配置的阈值,则网络设备可以确定这多次登录会话为暴力破解攻击。
可选地,S330中计算第一马尔科夫链的状态链概率值所使用的初始概率值和转移概率值可以是人工预先设定的,也可以是网络设备根据客户端130与服务器110之间历史的镜像流量获取的。
图5为网络设备根据历史的镜像流量获取初始概率值和转移概率值的方法的示意性流程图。应理解,图5示出了该方法的步骤或操作,但这些步骤或操作仅是示例,本申请实施例还可以执行其他操作或者图5中的各个操作的变形。
图5所示的方法可以包括S510、S520和S530。该方法可以由网络设备140执行。
S510,网络设备获取客户端与服务器之间历史的镜像流量。历史的镜像流量是指该镜像流量是在S310之前产生的。
网络设备获取历史的镜像流量的实现方式,可以参考S310,此处不再赘述。
S520,网络设备根据历史的镜像流量获取第二会话信息序列,第二会话信息序列包括多个历史会话信息,多个历史会话信息与客户端通过历史的镜像流量向服务器发起的多次历史登录会话一一对应,多个历史会话信息在第二会话信息序列中的排列顺序与这多次历史登录会话发生的时间先后顺序一致。经过人工分析确定多次历史登录会话为暴力破解攻击。这里历史的镜像流量也可以被视为经人工标定的暴力破解攻击的样本流量。
历史登录会话是指在S310之前,客户端130向服务器110发起的登录会话。历史会话信息指示历史登录会话的会话信息。
因为历史的镜像流量是在S310之前产生的,因此通过历史的镜像流量向服务器发起的登录会话即为历史登录会话,从历史的镜像流量中获取的会话信息即为历史会话信息。
网络设备获取第二会话信息序列的实现方式,可以参考S320,此处不再赘述。
例如,三组历史的镜像流量分别入图6、图7和图8所示,网络设备按照S320中描述的实现方式,可以得到三个第二会话信息序列,这三个第二会话信息序列与图6、图7和图8一一对应。
其中,攻击者通过图6所示的镜像流量发起了七次登录会话,通过图7所示的镜像流量发起了六次登录会话,通过图8所示的镜像流量发起了七次登录会话。
图6对应的七次登录会话的七个会话信息组成的第二会话信息序列为:184-184-184-184-184-184-184;图7对应的六次登录会话的六个会话信息组成的第二会话信息序列为:184-184-184-184-184-184;图8对应的七次登录会话的七个会话信息组成的第二会话信息序列为:184-184-184-184-184-184-136。
S530,网络设备将第二会话信息序列作为第二马尔科夫链,并获取第二马尔科夫链的初始概率值和第二马尔科夫链的转移概率值,其中,将第二会话信息序列中的每一个历史会话信息作为第二马尔科夫链中的一个状态。
网络设备获取第二马尔科夫链转移概率值的一种实现方式如下。
假设所有的第二马尔科夫链的状态空间总共包括n种状态,则可以根据所有的第二马尔科夫链得到n*n个状态转移概率值。这n*n个状态转移概率值构成的状态转移值矩阵P表示为:
其中,pij表示n种状态中的第i种状态向第j种状态转移的转移概率,i和j为小于或等于n的正整数。
pij可以通过下面的公式计算得到:
其中,p2表示所有的第二马尔科夫链中第s种状态向第t种状态转移的总次数,p1表示所有的第二马尔科夫链中的状态的总数量,x表示所有的第二马尔科夫链中以第t种状态为初始状态的第二马尔科夫链的数量。
网络设备可以通过公式获取所有第二马尔科夫链中每种状态的初始概率值。
例如,将图6、图7和图8对应的第二会话信息序列“184-184-184-184-184-184-184”、“184-184-184-184-184-184”和“184-184-184-184-184-184-136”作为三个第二马尔科夫链时,这三个第二马尔科夫链中,共有两种状态,20个状态,因此,根据前述的公式,可以计算得到“184”和“136”的初始概率值均为
这三个第二马尔科夫链中,有3个第二马尔科夫链以“184”为初始状态,状态的总数量为20个,“184”向“184”转移的次数为16次,因此,根据前述的公式,可以计算得到“184”向“184”转移的概率值为
同理,可以计算得到“184”向“136”转移的概率值为“136”向“184”转移的概率值为“136”向“136”转移的概率值为
也就是说,第二马尔科夫链的状态空间包括“184”和“136”时,其状态转移值矩阵P为:
网络设备获取到第二马尔科夫链的初始概率值和状态转移值后,可以根据该初始概率值和状态转移值得到第一马尔科夫链的初始概率值和状态转移值。例如,可以将第二马尔科夫链的初始概率值作为第一马尔科夫链的初始概率值,将第二马尔科夫链的转移概率值作为第一马尔科夫链的转移概率值。
在一种可能的实现方式中,S340中使用的第一基准概率值可以是根据第二马尔可夫链的状态链概率值确定的。
如图9所示,在S530之后,网络设备还可以执行S540和S550。
S540,网络设备获取第二马尔科夫链的状态链概率值。
S550网络设备根据第二马尔科夫链的状态链概率值确定第一基准概率值。
例如,若S530中仅得到一个第二马尔科夫链,则可以将该第二马尔科夫链的状态链概率值作为第一基准概率值。
一种可选方式是,若S530中得到多个第二马尔科夫链,则可以将这多个第二马尔科夫链的状态链概率值中最大的状态链概率值作为第一基准概率值。
例如,将图6对应的第二会话信息序列“184-184-184-184-184-184-184”作为第二马尔科夫链,该第二马尔科夫链的状态链概率值为将图7对应的第二会话信息序列“184-184-184-184-184-184”作为第二马尔科夫链,该马尔科夫链的状态链概率值为将图8对应的第二会话信息序列“184-184-184-184-184-184-136”作为第二马尔科夫链,该第二马尔科夫链的状态链概率值为最后,可以将中最大的最为第一基准概率值。
另一种可选方式是,S530中得到多个第二马尔科夫链时,可以将这多个第二马尔科夫链的状态链概率值均作为第一基准概率值。例如,可以将作为三个第一基准概率值。
本申请实施例的检测方法中,如图10所示,在S340之后,还可以包括S350。
S350,网络设备在确定多次登录会话为暴力破解攻击后,根据第二基准概率值和第一马尔科夫链的状态链概率值来确定这多次登录会话发起的暴力破解攻击是否攻击成功,第二基准概率值用于识别攻击成功的暴力破解攻击。
在一种可能的实现方式中,第二基准概率值可以是网络设备在S350之前根据历史的镜像流量确定的。
例如,网络设备可以从历史的镜像流量中获取第三会话信息序列,第三会话信息序列包括多个历史会话信息,第三会话信息序列包括的多个历史会话信息与客户端和服务器之间的多次历史登录会话一一对应,第三会话信息序列包括的多个历史会话信息在第三会话信息序列中的排列顺序与第三会话信息序列包括的多个历史会话信息对应的多次历史登录会话发生的时间先后顺序一致。经过人工分析确定第三会话信息序列包括的多个历史会话信息对应的多次历史登录会话是攻击成功的暴力破解攻击。这里历史的镜像流量也可以被视为经人工标定的攻击成功的暴力破解攻击的样本流量。
网络设备可以将第三会话信息序列作为第三马尔科夫链,根据第三马尔科夫链的状态链概率值确定第二基准概率值。其中,第三会话信息序列中的每一个历史会话信息作为第三马尔科夫链链中的一个状态。
第三会话信息序列与第二会话信息序列可是相同的序列。例如,第二会话信息序列对应的多次历史登录会话发起的暴力破解攻击成功时,可以将该第二会话信息序列作为第三会话信息序列。
例如,通过图8所示的镜像流量发起的多次历史登录会话为攻击成功的暴力破解攻击,因此,可以将图8对应的第二会话信息序列作为第三会话信息序列,即可以将图8对应的第二马尔科夫链“184-184-184-184-184-184-136”的状态链概率值作为第二基准概率值。
网络设备根据第二基准概率值和第一马尔科夫链的状态链概率值,确定多次登录会话发起的暴力破解攻击是否攻击成功时,在一种可能的实现方式中,若网络设备确定第一马尔科夫链的状态链概率值小于或等于第二基准概率值,则确定这多次登录会话发起的暴力破解攻击已攻击成功。
例如,S340中,网络设备确定多次登录会话为暴力破解攻击后,因为这多次登录会话对应的第一马尔科夫链的状态链概率小于第二基准概率值为因此网络设备可以确定这多次登录会话发起的暴力破解攻击已成功。
在另一种可能的实现方式中,若网络设备确定第一马尔科夫链的状态链概率值与第二基准概率值的差值小于或等于预先配置的阈值,则确定这多次登录会话发起的暴力破解攻击已攻击成功。
应注意的是,本申请实施例中,登录成功的登录会话的会话信息与登录失败的登录会话的会话信息应该不一样。例如,图4、图6至图8中,登录失败的登录会话的会话信息为184,登录成功的登录会话的会话信息为136。
在上述实施例中,附图3或附图10中的S310、附图5或附图9中的S510具体可以由附图2中的网络设备的通信接口143执行,附图3或附图10中的S320至S350、以及附图5或附图9中的S520至S550具体可以由附图2中的网络设备的处理器141执行。
图6至图8中的历史登录会话的源地址与图4中的登录会话的源地址相同,图6至图8中的历史登录会话的目的地址与图4中的实施例中的登录会话的目的地址相同,图6至图8中的历史登录会话的目的端口与图4中的登录会话的目的端口相同,图6至图8中的历史登录会话的认证协议与图4中的登录会话的认证协议相同。应理解,这只是一种实施例,本申请的实施例对此并不限制。例如,历史登录会话的源地址、目的地址、源端口、目的端口和认证协议与待检测的登录会话的源地址、目的地址、源端口、目的端口和认证协议,可以全部或部分不同。
本申请一个实施例的网络设备的示意性结构图如图11所示。应理解,图11示出的网络设备1100仅是示例,本申请实施例的网络设备还可包括其他模块或单元,或者包括与图11中的各个模块的功能相似的模块,或者并非要包括图11中所有模块。
图11所示的网络设备1100可以包括获取模块1110和处理模块1120。
网络设备1100可以用于执行图3、图5、图9和图10中任意一个所示的检测方法中由网络设备140执行的步骤。
例如,获取模块1110可以用于执行附图3或附图10中的S310、附图5或附图9中的S510,处理模块1120可以用于执行附图3或附图10中的S320至S350、以及附图5或附图9中的S520至S550。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (15)

1.一种暴力破解攻击的检测方法,其特征在于,包括:
网络设备获取客户端与服务器之间待检测的镜像流量;
所述网络设备根据所述待检测的镜像流量获取第一会话信息序列,所述第一会话信息序列包括多个会话信息,所述多个会话信息与所述客户端通过所述待检测的镜像流量向所述服务器发起的多次登录会话一一对应,所述多个会话信息在所述第一会话信息序列中的排列顺序与所述多次登录会话发生的时间先后顺序一致;
所述网络设备将所述第一会话信息序列作为第一马尔科夫链,并获取所述第一马尔科夫链的状态链概率值,其中,所述第一会话信息序列中的每一个会话信息作为所述第一马尔科夫链中的一个状态;
所述网络设备根据所述第一马尔科夫链的状态链概率值和第一基准概率值,确定所述多次登录会话是否为暴力破解攻击,所述第一基准概率值用于识别暴力破解攻击。
2.根据权利要求1所述的检测方法,其特征在于,所述每一个会话信息为对应的登录会话中携带用户名和密码的报文的长度和携带认证结果的报文的长度之和。
3.根据权利要求1或2所述的检测方法,其特征在于,所述网络设备根据所述第一马尔科夫链的状态链概率值和第一基准概率值,确定所述多次登录会话是否为暴力破解攻击,包括:
若所述第一马尔科夫链的状态链概率值小于或等于所述第一基准概率值,则所述网络设备确定所述多次登录会话为暴力破解攻击;或
若所述第一马尔科夫链的状态链概率值与所述第一基准概率值的差值小于或等于预先配置的阈值,则所述网络设备确定所述多次登录会话为暴力破解攻击。
4.根据权利要求1至3中任一项所述的检测方法,其特征在于,所述第一马尔科夫链的状态链概率值是根据所述第一马尔科夫链的初始概率值和所述第一马尔科夫链的转移概率值确定的;
所述网络设备获取客户端与服务器之间待检测的镜像流量之前,所述检测方法还包括:
所述网络设备获取所述客户端与所述服务器之间历史的镜像流量;
所述网络设备根据所述历史的镜像流量获取第二会话信息序列,所述第二会话信息序列包括多个历史会话信息,所述多个历史会话信息与所述客户端通过所述历史的镜像流量向所述服务器发起的多次历史登录会话一一对应,所述多个历史会话信息在所述第二会话信息序列中的排列顺序与所述多次历史登录会话发生的时间先后顺序一致,并且所述多次历史登录会话为暴力破解攻击;
所述网络设备将所述第二会话信息序列作为所述第二马尔科夫链,并获取所述第二马尔科夫链的初始概率值和所述第二马尔科夫链的转移概率值,其中,将所述第二会话信息序列中的每一个历史会话信息作为所述第二马尔科夫链中的一个状态;
所述网络设备确定所述第一马尔科夫链的初始概率值为所述第二马尔科夫链的初始概率值,所述第一马尔可夫链的转移概率值为所述第二马尔科夫链的转移概率值。
5.根据权利要求4所述的检测方法,其特征在于,所述网络设备获取客户端与服务器之间待检测的镜像流量之前,所述检测方法还包括:
所述网络设备获取所述第二马尔科夫链的状态链概率值;
所述网络设备根据所述第二马尔科夫链的状态链概率值确定所述第一基准概率值。
6.根据权利要求1至5中任一项所述的检测方法,其特征在于,所述网络设备根据所述第一马尔科夫链的状态链概率值和所述第一基准概率值,确定所述多次登录会话为暴力破解攻击的情况下,所述检测方法还包括:
所述网络设备根据第二基准概率值和所述第一马尔科夫链的状态链概率值,确定所述多次登录会话发起的暴力破解攻击是否攻击成功,所述第二基准概率值用于识别攻击成功的暴力破解攻击。
7.根据权利要求6所述的检测方法,其特征在于,所述第二基准概率值是将第三会话信息序列作为第三马尔科夫链的情况下,根据所述第三马尔科夫链的状态链概率值确定的,其中,所述第三会话信息序列包括多个历史会话信息,所述第三会话信息序列包括的多个历史会话信息与所述客户端向所述服务器发起的多次历史登录会话一一对应,所述第三会话信息序列包括的多个历史会话信息对应的多次历史登录会话是攻击成功的暴力破解攻击,所述第三会话信息序列中的每一个历史会话信息作为所述第三马尔科夫链链中的一个状态,所述第三会话信息序列包括的多个历史会话信息在所述第三会话信息序列中的排列顺序与所述第三会话信息序列包括的多个历史会话信息对应的多次历史登录会话发生的时间先后顺序一致。
8.一种网络设备,其特征在于,包括:
获取模块,用于获取客户端与服务器之间待检测的镜像流量;
处理模块,用于根据所述待检测的镜像流量获取第一会话信息序列,所述第一会话信息序列包括多个会话信息,所述多个会话信息与所述客户端通过所述待检测的镜像流量向所述服务器发起的多次登录会话一一对应,所述多个会话信息在所述第一会话信息序列中的排列顺序与所述多次登录会话发生的时间先后顺序一致;
所述处理模块还用于将所述第一会话信息序列作为第一马尔科夫链,并获取所述第一马尔科夫链的状态链概率值,其中,所述第一会话信息序列中的每一个会话信息作为所述第一马尔科夫链中的一个状态;
所述处理模块还用于根据所述第一马尔科夫链的状态链概率值和第一基准概率值,确定所述多次登录会话是否为暴力破解攻击,所述第一基准概率值用于识别暴力破解攻击。
9.根据权利要求8所述的网络设备,其特征在于,所述每一个会话信息为对应的登录会话中携带用户名和密码的报文的长度和携带认证结果的报文的长度之和。
10.根据权利要求8或9所述的网络设备,其特征在于,所述处理模块具体用于:
若所述第一马尔科夫链的状态链概率值小于或等于所述第一基准概率值,则确定所述多次登录会话为暴力破解攻击;或
若所述第一马尔科夫链的状态链概率值与所述第一基准概率值的差值小于或等于预先配置的阈值,则确定所述多次登录会话为暴力破解攻击。
11.根据权利要求8至10中任一项所述的网络设备,其特征在于,所述第一马尔科夫链的状态链概率值是根据所述第一马尔科夫链的初始概率值和所述第一马尔科夫链的转移概率值确定的,
其中,所述获取模块还用于获取所述客户端与所述服务器之间历史的镜像流量;
所述处理模块还用于根据所述历史的镜像流量获取第二会话信息序列,所述第二会话信息序列包括多个历史会话信息,所述多个历史会话信息与所述客户端通过所述历史的镜像流量向所述服务器发起的多次历史登录会话一一对应,所述多个历史会话信息在所述第二会话信息序列中的排列顺序与所述多次历史登录会话发生的时间先后顺序一致,并且所述多次历史登录会话为暴力破解攻击;
所述处理模块还用于将所述第二会话信息序列作为所述第二马尔科夫链,并获取所述第二马尔科夫链的初始概率值和所述第二马尔科夫链的转移概率值,其中,将所述第二会话信息序列中的每一个历史会话信息作为所述第二马尔科夫链中的一个状态;
所述处理模块还用于确定所述第一马尔科夫链的初始概率值为所述第二马尔科夫链的初始概率值,所述第一马尔可夫链的转移概率值为所述第二马尔科夫链的转移概率值。
12.根据权利要求11所述的网络设备,其特征在于,所述获取模块还用于:在获取客户端与服务器之间待检测的镜像流量之前,获取所述第二马尔科夫链的状态链概率值;
所述处理模块还用于根据所述第二马尔科夫链的状态链概率值确定所述第一基准概率值。
13.根据权利要求8至12中任一项所述的网络设备,其特征在于,所述处理模块还用于:
在根据所述第一马尔科夫链的状态链概率值和所述第一基准概率值,确定所述多次登录会话为暴力破解攻击的情况下,根据第二基准概率值和所述第一马尔科夫链的状态链概率值,确定所述多次登录会话发起的暴力破解攻击是否攻击成功,所述第二基准概率值用于识别攻击成功的暴力破解攻击。
14.根据权利要求13所述的网络设备,其特征在于,所述第二基准概率值是将第三会话信息序列作为第三马尔科夫链的情况下,根据所述第三马尔科夫链的状态链概率值确定的,其中,所述第三会话信息序列包括多个历史会话信息,所述第三会话信息序列包括的多个历史会话信息与所述客户端向所述服务器之间发起的多次历史登录会话一一对应,所述第三会话信息序列包括的多个历史会话信息对应的多次历史登录会话是攻击成功的暴力破解攻击,所述第三会话信息序列中的每一个历史会话信息作为所述第三马尔科夫链链中的一个状态,所述第三会话信息序列包括的多个历史会话信息在所述第三会话信息序列中的排列顺序与所述第三会话信息序列包括的多个历史会话信息对应的多次历史登录会话发生的时间先后顺序一致。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储用于网络设备执行的程序代码,所述程序代码包括用于执行权利要求1至7中任一项所述的检测方法的指令。
CN201711365840.8A 2017-12-18 2017-12-18 暴力破解攻击的检测方法和相关装置 Active CN109936545B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN201711365840.8A CN109936545B (zh) 2017-12-18 2017-12-18 暴力破解攻击的检测方法和相关装置
EP18890392.6A EP3720077B1 (en) 2017-12-18 2018-08-29 Method for detecting brute force attack and related apparatus
PCT/CN2018/102881 WO2019119860A1 (zh) 2017-12-18 2018-08-29 暴力破解攻击的检测方法和相关装置
MX2020006422A MX2020006422A (es) 2017-12-18 2018-08-29 Metodo para detectar ataque de fuerza bruta y aparato relacionado.
US16/904,113 US11388189B2 (en) 2017-12-18 2020-06-17 Method for detecting brute force attack and related apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711365840.8A CN109936545B (zh) 2017-12-18 2017-12-18 暴力破解攻击的检测方法和相关装置

Publications (2)

Publication Number Publication Date
CN109936545A true CN109936545A (zh) 2019-06-25
CN109936545B CN109936545B (zh) 2020-07-24

Family

ID=66982767

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711365840.8A Active CN109936545B (zh) 2017-12-18 2017-12-18 暴力破解攻击的检测方法和相关装置

Country Status (5)

Country Link
US (1) US11388189B2 (zh)
EP (1) EP3720077B1 (zh)
CN (1) CN109936545B (zh)
MX (1) MX2020006422A (zh)
WO (1) WO2019119860A1 (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110417747A (zh) * 2019-07-08 2019-11-05 新华三信息安全技术有限公司 一种暴力破解行为的检测方法及装置
CN111355750A (zh) * 2020-04-23 2020-06-30 京东数字科技控股有限公司 用于识别暴力破解密码行为的方法和装置
CN112153033A (zh) * 2020-09-16 2020-12-29 杭州安恒信息技术股份有限公司 一种检测webshell的方法和装置
CN112445785A (zh) * 2019-08-30 2021-03-05 深信服科技股份有限公司 一种账号爆破检测方法及相关装置
CN113114620A (zh) * 2021-03-02 2021-07-13 深信服科技股份有限公司 一种暴力破解的检测方法和装置,及存储介质
CN113497789A (zh) * 2020-03-20 2021-10-12 北京观成科技有限公司 一种暴力破解攻击的检测方法、检测系统和设备
CN113676348A (zh) * 2021-08-04 2021-11-19 南京赋乐科技有限公司 一种网络通道破解方法、装置、服务器及存储介质
CN113938312A (zh) * 2021-11-12 2022-01-14 北京天融信网络安全技术有限公司 一种暴力破解流量的检测方法及装置
CN115333858A (zh) * 2022-10-11 2022-11-11 北京华云安信息技术有限公司 登录页面破解方法、装置、设备以及存储介质
CN116319021A (zh) * 2023-03-23 2023-06-23 长扬科技(北京)股份有限公司 一种横向移动检测方法、装置、电子设备及存储介质
CN112445785B (zh) * 2019-08-30 2024-05-31 深信服科技股份有限公司 一种账号爆破检测方法及相关装置

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110324375B (zh) * 2018-03-29 2020-12-04 华为技术有限公司 一种信息备份方法及相关设备
CN111770111A (zh) * 2020-01-06 2020-10-13 南京林业大学 一种攻击防御树的定量分析方法
US11876790B2 (en) * 2020-01-21 2024-01-16 The Boeing Company Authenticating computing devices based on a dynamic port punching sequence
US20220311801A1 (en) * 2021-03-24 2022-09-29 Corelight, Inc. System and method for identifying authentication method of secure shell (ssh) sessions

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104052617A (zh) * 2013-03-13 2014-09-17 北京千橡网景科技发展有限公司 基于连续时间马尔可夫链进行用户行为分析的方法和设备
US20150161389A1 (en) * 2013-12-11 2015-06-11 Prism Technologies Llc System and method for the detection and prevention of battery exhaustion attacks
CN106330949A (zh) * 2016-09-13 2017-01-11 哈尔滨工程大学 一种基于马尔科夫链的入侵检测方法
CN106936781A (zh) * 2015-12-29 2017-07-07 亿阳安全技术有限公司 一种用户操作行为的判定方法及装置
CN107070852A (zh) * 2016-12-07 2017-08-18 东软集团股份有限公司 网络攻击检测方法和装置
CN107402921A (zh) * 2016-05-18 2017-11-28 阿里巴巴集团控股有限公司 识别用户行为的事件时序数据处理方法、装置及系统

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070300300A1 (en) * 2006-06-27 2007-12-27 Matsushita Electric Industrial Co., Ltd. Statistical instrusion detection using log files
US9473529B2 (en) * 2006-11-08 2016-10-18 Verizon Patent And Licensing Inc. Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using method vulnerability filtering
KR100935861B1 (ko) * 2007-11-12 2010-01-07 한국전자통신연구원 네트워크 보안 위험도 예측 방법 및 장치
WO2010017621A1 (en) * 2008-08-11 2010-02-18 Karl Martin Method and system for secure coding of arbitrarily shaped visual objects
US9438419B1 (en) * 2011-07-12 2016-09-06 The Florida State University Research Foundation, Inc. Probabilistic password cracking system
US9519775B2 (en) * 2013-10-03 2016-12-13 Qualcomm Incorporated Pre-identifying probable malicious behavior based on configuration pathways
WO2015171660A1 (en) * 2014-05-05 2015-11-12 Board Of Regents, The University Of Texas System Variant annotation, analysis and selection tool
US9529087B2 (en) * 2014-07-24 2016-12-27 GM Global Technology Operations LLC Curb detection using lidar with sparse measurements
US10382454B2 (en) * 2014-09-26 2019-08-13 Mcafee, Llc Data mining algorithms adopted for trusted execution environment
CN105024885A (zh) * 2015-07-29 2015-11-04 盛趣信息技术(上海)有限公司 反外挂的网络游戏系统
US10331429B2 (en) * 2015-09-04 2019-06-25 Siemens Aktiengesellschaft Patch management for industrial control systems
US10333968B2 (en) * 2016-02-10 2019-06-25 Verisign, Inc. Techniques for detecting attacks in a publish-subscribe network
CN107204965B (zh) * 2016-03-18 2020-06-05 阿里巴巴集团控股有限公司 一种密码破解行为的拦截方法及系统
CN107347047B (zh) * 2016-05-04 2021-10-22 阿里巴巴集团控股有限公司 攻击防护方法和装置
US10284580B2 (en) * 2016-05-04 2019-05-07 The University Of North Carolina At Charlotte Multiple detector methods and systems for defeating low and slow application DDoS attacks
CN107454043A (zh) * 2016-05-31 2017-12-08 阿里巴巴集团控股有限公司 一种网络攻击的监控方法及装置
US10652252B2 (en) * 2016-09-30 2020-05-12 Cylance Inc. Machine learning classification using Markov modeling

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104052617A (zh) * 2013-03-13 2014-09-17 北京千橡网景科技发展有限公司 基于连续时间马尔可夫链进行用户行为分析的方法和设备
US20150161389A1 (en) * 2013-12-11 2015-06-11 Prism Technologies Llc System and method for the detection and prevention of battery exhaustion attacks
CN106936781A (zh) * 2015-12-29 2017-07-07 亿阳安全技术有限公司 一种用户操作行为的判定方法及装置
CN107402921A (zh) * 2016-05-18 2017-11-28 阿里巴巴集团控股有限公司 识别用户行为的事件时序数据处理方法、装置及系统
CN106330949A (zh) * 2016-09-13 2017-01-11 哈尔滨工程大学 一种基于马尔科夫链的入侵检测方法
CN107070852A (zh) * 2016-12-07 2017-08-18 东软集团股份有限公司 网络攻击检测方法和装置

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110417747A (zh) * 2019-07-08 2019-11-05 新华三信息安全技术有限公司 一种暴力破解行为的检测方法及装置
CN110417747B (zh) * 2019-07-08 2021-11-05 新华三信息安全技术有限公司 一种暴力破解行为的检测方法及装置
CN112445785A (zh) * 2019-08-30 2021-03-05 深信服科技股份有限公司 一种账号爆破检测方法及相关装置
CN112445785B (zh) * 2019-08-30 2024-05-31 深信服科技股份有限公司 一种账号爆破检测方法及相关装置
CN113497789A (zh) * 2020-03-20 2021-10-12 北京观成科技有限公司 一种暴力破解攻击的检测方法、检测系统和设备
CN113497789B (zh) * 2020-03-20 2024-03-15 北京观成科技有限公司 一种暴力破解攻击的检测方法、检测系统和设备
CN111355750A (zh) * 2020-04-23 2020-06-30 京东数字科技控股有限公司 用于识别暴力破解密码行为的方法和装置
CN112153033A (zh) * 2020-09-16 2020-12-29 杭州安恒信息技术股份有限公司 一种检测webshell的方法和装置
CN113114620A (zh) * 2021-03-02 2021-07-13 深信服科技股份有限公司 一种暴力破解的检测方法和装置,及存储介质
CN113676348B (zh) * 2021-08-04 2023-12-29 南京赋乐科技有限公司 一种网络通道破解方法、装置、服务器及存储介质
CN113676348A (zh) * 2021-08-04 2021-11-19 南京赋乐科技有限公司 一种网络通道破解方法、装置、服务器及存储介质
CN113938312B (zh) * 2021-11-12 2024-01-26 北京天融信网络安全技术有限公司 一种暴力破解流量的检测方法及装置
CN113938312A (zh) * 2021-11-12 2022-01-14 北京天融信网络安全技术有限公司 一种暴力破解流量的检测方法及装置
CN115333858A (zh) * 2022-10-11 2022-11-11 北京华云安信息技术有限公司 登录页面破解方法、装置、设备以及存储介质
CN116319021A (zh) * 2023-03-23 2023-06-23 长扬科技(北京)股份有限公司 一种横向移动检测方法、装置、电子设备及存储介质
CN116319021B (zh) * 2023-03-23 2023-09-29 长扬科技(北京)股份有限公司 一种横向移动检测方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
EP3720077A4 (en) 2020-11-25
EP3720077B1 (en) 2022-06-22
WO2019119860A1 (zh) 2019-06-27
CN109936545B (zh) 2020-07-24
EP3720077A1 (en) 2020-10-07
US20200322378A1 (en) 2020-10-08
MX2020006422A (es) 2020-09-17
US11388189B2 (en) 2022-07-12

Similar Documents

Publication Publication Date Title
CN109936545A (zh) 暴力破解攻击的检测方法和相关装置
KR101486782B1 (ko) 무한 중첩된 해시 체인들에 의한 1회용 패스워드 인증
US11757909B2 (en) Remote configuration of security gateways
Recabarren et al. Hardening stratum, the bitcoin pool mining protocol
RU2530691C1 (ru) Способ защищенного удаленного доступа к информационным ресурсам
CN113542253A (zh) 一种网络流量检测方法、装置、设备及介质
Keromytis A survey of voice over IP security research
Alhaidary et al. Vulnerability analysis for the authentication protocols in trusted computing platforms and a proposed enhancement of the offpad protocol
WO2013172743A1 (ru) Способ защищенного взаимодействия устройства клиента с сервером по сети интернет
CN107872588B (zh) 呼叫处理方法、相关装置及系统
Fischlin et al. Subtle kinks in distance-bounding: an analysis of prominent protocols
CN110691097A (zh) 一种基于hpfeeds协议的工控蜜罐的系统及其工作方法
Zmezm et al. A Novel Scan2Pass Architecture for Enhancing Security towards E-Commerce
Podolanko et al. Countering double-spend attacks on bitcoin fast-pay transactions
CN110166471A (zh) 一种Portal认证方法及装置
Keromytis Voice over IP Security: A Comprehensive Survey of Vulnerabilities and Academic Research
Jiang Advanced secure user authentication framework for cloud computing
CN101938428B (zh) 一种报文的传输方法和设备
Mate et al. Network Forensic Tool--Concept and Architecture
CN110139163A (zh) 一种获取弹幕的方法和相关装置
Gad et al. Hierarchical events for efficient distributed network analysis and surveillance
Lee et al. Design of a simple user authentication scheme using QR-code for mobile device
Hoffstadt et al. Improved detection and correlation of multi-stage VoIP attack patterns by using a Dynamic Honeynet System
Djalaliev et al. Sentinel: hardware-accelerated mitigation of bot-based DDoS attacks
JP2018098727A (ja) サービスシステム、通信プログラム、及び通信方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant