CN109981647B - 用于检测暴力破解的方法和装置 - Google Patents
用于检测暴力破解的方法和装置 Download PDFInfo
- Publication number
- CN109981647B CN109981647B CN201910237035.XA CN201910237035A CN109981647B CN 109981647 B CN109981647 B CN 109981647B CN 201910237035 A CN201910237035 A CN 201910237035A CN 109981647 B CN109981647 B CN 109981647B
- Authority
- CN
- China
- Prior art keywords
- login
- brute force
- information
- behavior
- failure times
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本申请实施例公开了用于检测暴力破解的方法和装置。该方法的一具体实施方式包括:接收目标IP地址的登录信息,其中,登录信息包括多个连续的登录失败时间;根据该多个连续的登录失败时间确定登录失败次数和登录失败时长;基于该登录失败次数、登录失败时长和预先设定的非线性函数,确定该登录信息对应的登录行为是否是暴力破解登录行为;响应于确定该登录信息对应的登录行为是暴力破解登录行为,推送提示信息,其中,该提示信息用于表征该目标IP地址存在暴力破解登录行为。该方法采用了非线性函数表征的非线性复合策略,相比于单一线性策略,覆盖场景更广,可以降低黑客绕过风险,暴力破解攻击检出率更高。
Description
技术领域
本申请实施例涉及计算机技术领域,具体涉及用于检测暴力破解的方法和装置。
背景技术
暴力破解,是一种通过不断登录尝试而获取正确的用户账号和密码的攻击方法。攻击者系统地组合用户所有可能的账户名和密码,利用单机或控制的僵尸网络进行大量的登录尝试,最终获得可以成功登录的账号和密码。
发明内容
本申请实施例提出了用于检测暴力破解的方法和装置。
第一方面,本申请实施例提供了一种用于检测暴力破解的方法,该方法包括:接收目标IP(Internet Protocol,网际协议)地址的登录信息,其中,登录信息包括多个连续的登录失败时间;根据上述多个连续的登录失败时间确定登录失败次数和登录失败时长;基于上述登录失败次数、登录失败时长和预先设定的非线性函数,确定上述登录信息对应的登录行为是否是暴力破解登录行为;响应于确定上述登录信息对应的登录行为是暴力破解登录行为,推送提示信息,其中,上述提示信息用于表征上述目标IP地址存在暴力破解登录行为。
在一些实施例中,上述登录失败时长包括以下任意一项:上述多个连续的登录失败时间中的首次登录失败时间与末次登录失败时间的时间间隔;上述多个登录失败时间中的相邻的两个登录失败时间的时间间隔。
在一些实施例中,上述预先设定的非线性函数是采用预定的拟合方式对多个参数进行拟合得到的,其中,上述多个参数中的参数包括预设时长和最大登录次数。
在一些实施例中,上述预定的拟合方式包括以下至少一项:最小二乘法,拉格朗日插值法,样条插值法。
在一些实施例中,该方法还包括: 响应于确定上述登录信息对应的登录行为不是暴力破解登录行为,确定上述多个登录失败时间中的相邻的两个登录失败时间的时间间隔的变异系数;判断所确定的变异系数是否小于预设阈值;响应于所确定的变异系数小于上述预设阈值,确定上述登录信息对应的登录行为是暴力破解登录行为,推送提示信息,其中,上述提示信息用于表征上述目标IP地址存在暴力破解登录行为。
在一些实施例中,该方法还包括:响应于所确定的变异系数不小于上述预设阈值,确定上述登录信息对应的登录行为不是暴力破解登录行为,推送提示信息,其中,上述提示信息用于表征上述登录信息对应的登录行为不是暴力破解登录行为。
第二方面,本申请实施例提供了一种用于检测暴力破解的装置,该装置包括:接收单元,被配置成接收目标IP地址的登录信息,其中,登录信息包括多个连续的登录失败时间;第一确定单元,被配置成根据上述多个连续的登录失败时间确定登录失败次数和登录失败时长;第二确定单元,被配置成基于上述登录失败次数、登录失败时长和预先设定的非线性函数,确定上述登录信息对应的登录行为是否是暴力破解登录行为;推送单元,被配置成响应于确定上述登录信息对应的登录行为是暴力破解登录行为,推送提示信息,其中,上述提示信息用于表征上述目标IP地址存在暴力破解登录行为。
在一些实施例中,上述登录失败时长包括以下任意一项:上述多个连续的登录失败时间中的首次登录失败时间与末次登录失败时间的时间间隔;上述多个登录失败时间中的相邻的两个登录失败时间的时间间隔。
在一些实施例中,上述预先设定的非线性函数是采用预定的拟合方式对多个参数进行拟合得到的,其中,上述多个参数中的参数包括预设时长和最大登录次数。
在一些实施例中,上述预定的拟合方式包括以下至少一项:最小二乘法,拉格朗日插值法,样条插值法。
在一些实施例中,该装置还包括:第三确定单元,被配置成响应于确定上述登录信息对应的登录行为不是暴力破解登录行为,确定上述多个登录失败时间中的相邻的两个登录失败时间的时间间隔的变异系数;判断单元,被配置成判断所确定的变异系数是否小于预设阈值;第一确定推送单元,被配置成响应于所确定的变异系数小于上述预设阈值,确定上述登录信息对应的登录行为是暴力破解登录行为,推送提示信息,其中,上述提示信息用于表征上述目标IP地址存在暴力破解登录行为。
在一些实施例中,该装置还包括:第二确定推送单元,被配置成响应于所确定的变异系数不小于上述预设阈值,确定上述登录信息对应的登录行为不是暴力破解登录行为,推送提示信息,其中,上述提示信息用于表征上述登录信息对应的登录行为不是暴力破解登录行为。
第三方面,本申请实施例提供了一种服务器,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如用于检测暴力破解的方法中任一实施例的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如用于检测暴力破解的方法中任一实施例的方法。
本申请实施例提供的用于检测暴力破解的方法和装置,首先,接收目标IP地址的登录信息,其中,登录信息包括多个连续的登录失败时间;然后,根据上述多个连续的登录失败时间确定登录失败次数和登录失败时长;之后,基于上述登录失败次数、登录失败时长和预先设定的非线性函数,确定上述登录信息对应的登录行为是否是暴力破解登录行为;最后,响应于确定上述登录信息对应的登录行为是暴力破解登录行为,推送提示信息,其中,上述提示信息用于表征上述目标IP地址存在暴力破解登录行为。本申请实施例提供的方法采用了非线性函数表征的非线性复合策略,相比于单一线性策略,覆盖场景更广,可以降低黑客绕过风险,暴力破解攻击检出率更高。而且,本申请实施例提供的方法只需要登录行为的IP地址与时间信息,不涉及用户敏感信息,不需要采集与分析具体流量,资源消耗低,采集容易,尤其适合云主机场景。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请的一个实施例可以应用于其中的示例性系统架构图;
图2是根据本申请的用于检测暴力破解的方法的一个实施例的流程图;
图3是根据本申请实施例的用于检测暴力破解的方法的一个应用场景的示意图;
图4是根据本申请的用于检测暴力破解的方法的又一个实施例的流程图;
图5是根据本申请的用于检测暴力破解的装置的一个实施例的结构示意图;
图6是适于用来实现本申请实施例的服务器的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请的用于检测暴力破解的方法或用于检测暴力破解的装置的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备101、102、103可以是硬件,也可以是软件。当终端设备101、102、103为硬件时,可以是支持登录的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。当终端设备101、102、103为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块(例如用来提供分布式服务),也可以实现成单个软件或软件模块。在此不做具体限定。
服务器105可以是提供各种服务的服务器,例如对接收的目标IP地址的登录信息进行暴力破解检测的后台服务器。
需要说明的是,服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成多个软件或软件模块(例如用来提供分布式服务),也可以实现成单个软件或软件模块。在此不做具体限定。
需要说明的是,本申请实施例所提供的用于检测暴力破解的方法通常通过服务器105执行。相应地,用于检测暴力破解的装置可以设置于服务器105中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
继续参考图2,示出了根据本申请的用于检测暴力破解的方法的一个实施例的流程200。该用于检测暴力破解的方法,包括以下步骤:
步骤201,接收目标IP地址的登录信息。
在本实施例中,用于检测暴力破解的方法的执行主体(例如图1所示的服务器105)可以获取执行主体自身存储的目标IP地址的登录信息,还可以通过有线或无线的方式接收其他服务器中存储的目标IP地址的登录信息。上述登录信息包括多个连续的登录失败时间。上述登录失败时间为用于表征登录失败的时间戳。上述目标IP地址的登录信息通常是通过记录目标IP地址对应的终端(例如图1所示的终端设备101、102、103)的多次登录请求信息而得到的。
步骤202,根据多个连续的登录失败时间确定登录失败次数和登录失败时长。
在本实施例中,每一个登录失败时间也即表明一次登录失败,因此,登录失败次数也即所记录的登录失败时间的数量。上述登录失败时长用于表征登录失败时间的时间间隔。该时间间隔可以是多个连续的登录失败时间中的首次登录失败时间与末次登录失败时间的时间间隔,也可以是多个登录失败时间中的相邻的两个登录失败时间的时间间隔,还可以是多个登录失败时间中的其它任意两个登录失败时间的时间间隔,本申请对此不作限制。
在一些具体的示例中,若上述登录失败时长是指首次登录失败时间与末次登录失败时间的时间间隔,那么上述登录失败次数就是多个连续的登录失败时间的总个数。在又一些具体的示例中,若上述登录失败时长是指第二次登录失败时间和末次登录失败时间的时间间隔,那么上述登录失败次数就是多个连续的登录失败时间中减去首次登录失败时间的个数,即总个数减去一。
步骤203,基于登录失败次数、登录失败时长和预先设定的非线性函数,确定登录信息对应的登录行为是否是暴力破解登录行为。
在本实施例中,上述预先设定的非线性函数可以根据实际需要通过各种拟合方式得到,具体地,可以根据多个预先设定的时长和该时长对应的限制登录次数进行拟合,例如,30秒内允许同一个IP地址登录云主机4次,即(4,30)。60秒内允许同一个IP地址登录云主机5次,即(5,60)。将类似上述例子中参数对应的坐标点的集合进行拟合可以得到非线性函数。上述拟合方式可以根据实际应用场景的需要进行选择,具体可以是最小二乘法,可以是拉格朗日插值法,也可以是样条插值法,还可以是其他根据实际需要采用的多项式拟合方法,本申请对此不作限制。
作为示例,非线性函数f(x) = a×x^3 + b×x^2 + c×x +d,其中,x为某一个IP地址登录某一台云主机的登录失败次数。a,b,c,d为参数,f(x)为非线性函数的函数值,a,b,c,d为参数,×表示乘号,^表示次方,x^3表示x的3次方,x^2表示x的二次方。如果在登录失败次数为x时,尝试登录时间间隔y满足y > f(x),那么该IP地址的登录信息对应的登录行为不是暴力破解登录行为。作为示例,对于一次尝试登录行为,假设有10次登录行为,登录行为发生的时间分别为t1,t2,…,t10,那么任意n次连续登录的总时间间隔大于f(n),表明上述10次登录行为不是暴力破解登录行为。例如, t10-t1> f(10), t9 - t1> f(9) ,t10 - t2> f(9) ,t8 - t1> f(8) ,t9 - t2> f(8),t10-t3> f(8)。
步骤204,响应于确定登录信息对应的登录行为是暴力破解登录行为,推送提示信息。
在本实施例中,上述提示信息用于表征目标IP地址存在暴力破解登录行为。若步骤203中的登录失败次数、登录失败时长不符合预先设定的非线性函数表征的非线性复合策略,则该目标IP地址存在暴力破解登录行为,上述非线性复合策略是指登录失败时长大于登录失败次数对应的非线性函数值。执行主体可以将表征目标IP地址存在暴力破解登录行为的提示信息推送给使用该检测暴力破解方法的检测人员,也可以将该提示信息推送给通信连接的用于处理暴力破解行为的其他终端或服务器,以对该IP地址进行限流或者封禁处理。可选地,还可以记录并存储该登录信息和该IP地址,以用于后续其他用途。可选地,上述方法还可以包括:响应于确定登录信息对应的登录行为不是暴力破解登录行为,推送提示信息,其中,上述提示信息用于表征上述登录信息对应的登录行为不是暴力破解登录行为。
继续参见图3,图3是根据本实施例的用于检测暴力破解的方法的应用场景的一个示意图。在图3的应用场景中,电子设备301收到另一个电子设备302中存储的登录信息,其中,登录信息包括针对IP地址为“192.168.X.X”的多个连续的登录失败时间“20:10,20:11,20:13,20:15,20:17,20:21,20:22,20:23,20:28”。 根据上述多个连续的登录失败时间确定登录失败次数和登录失败时长:首次登录失败时间和末次登录失败时间之间的时间间隔及其登录失败次数(9次,1080秒),首次和第8次登录失败时间之间的时间间隔及其登录失败次数(8次,780秒)。基于上述登录失败次数、登录失败时长和预先设定的非线性函数f(x)= a×x^3 + b×x^2 + c×x +d,其中,x为某一个IP地址登录某一台云主机的次数。a,b,c,d为参数,×表示乘号,^表示次方,x^3表示x的3次方,x^2表示x的二次方,f(x)为非线性函数的函数值。若在登录失败次数为x时,尝试登录的登录失败时长y不满足y > f(x),则该目标IP地址存在暴力破解登录行为。然后将提示信息推送给检测暴力破解的人员所使用的电子设备,其中,该提示信息用于表征IP地址“192.168.X.X”所表征的终端存在暴力破解登录行为。
本申请实施例提供的方法,采用非线性函数表征的非线性复合策略,相比于单一线性策略,覆盖场景更广,可以降低黑客绕过风险,暴力破解攻击检出率更高。而且,本申请实施例提供的方法只需要远程登录行为的IP地址与时间信息,不涉及用户敏感信息,不需要采集与分析具体流量,资源消耗低,采集容易,尤其适合云主机场景。
进一步参考图4,其示出了用于检测暴力破解的方法的又一个实施例的流程400。该用于检测暴力破解的方法的流程400,包括以下步骤:
步骤401,接收目标IP地址的登录信息。
步骤402,根据多个连续的登录失败时间确定登录失败次数和登录失败时长。
步骤403,基于登录失败次数、登录失败时长和预先设定的非线性函数,确定登录信息对应的登录行为是否是暴力破解登录行为。
在本实施例中,步骤401-403的具体操作与图2所示的实施例中步骤201-203的操作基本相同,在此不再赘述。
步骤404,响应于确定登录信息对应的登录行为不是暴力破解登录行为,确定多个登录失败时间中的相邻的两个登录失败时间的时间间隔的变异系数。
在本实施例中,变异系数(Coefficient of Variation)是数学上的一个概念,用于衡量数据的离散程度。在本实施例中,变异系数具体是指针对两次登录失败时间的时间间隔计算的变异系数。例如,第n次登录失败的行为发生时,登录失败行为发生的时间分别为t1,t2,…,tn。那么可以有n-1个时间间隔,具体是T1=t2-t1,T2=t3-t2,…,Tn-1=tn-tn-1。对这n-1个时间间隔计算变异系数。
步骤405,判断所确定的变异系数是否小于预设阈值;
在本实施例中,将计算得到的变异系数与预设阈值比较。上述预设阈值可以根据实际需要进行设定,本申请对此不作限制。
步骤406,响应于所确定的变异系数小于预设阈值,确定登录信息对应的登录行为是暴力破解登录行为。
在本实施例中,若上述变异系数小于预设阈值,即变异系数过于均匀,则认为上述登录行为是暴力破解行为。
在本实施例的一些可选的实现方式中,上述方法还可以包括:响应于所确定的变异系数小于上述预设阈值,确定上述登录信息对应的登录行为是暴力破解登录行为,推送提示信息,其中,上述提示信息用于表征上述目标IP地址存在暴力破解登录行为。可选地,响应于所确定的变异系数不小于上述预设阈值,确定上述登录信息对应的登录行为不是暴力破解登录行为,推送提示信息,其中,上述提示信息用于表征上述登录信息对应的登录行为不是暴力破解登录行为。执行主体推送提示信息的步骤有助于提高其他终端与执行主体的交互效率。
从图4中可以看出,与图2对应的实施例相比,本实施例中的用于检测暴力破解的方法的流程400突出了确定多个登录失败时间中的相邻的两个登录失败时间的时间间隔的变异系数的步骤,以及根据变异系数小于预设阈值确定是暴力破解登录行为的步骤。本申请实施例提供的方法通过变异系数的计算,增加了对于登录行为时间分布的均匀程度的鉴别,提升了对低速匀速暴力破解攻击的检测,扩展了对机器脚本暴力破解登录行为的感知能力。
进一步参考图5,作为对上述各图所示方法的实现,本申请提供了一种用于检测暴力破解的装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
本实施例的用于检测暴力破解的装置500包括:接收单元501、第一确定单元502、第二确定单元503和推送单元504。其中,接收单元501被配置成接收目标IP地址的登录信息,其中,登录信息包括多个连续的登录失败时间;第一确定单元502被配置成根据上述多个连续的登录失败时间确定登录失败次数和登录失败时长;第二确定单元503被配置成基于上述登录失败次数、登录失败时长和预先设定的非线性函数,确定上述登录信息对应的登录行为是否是暴力破解登录行为;推送单元504被配置成响应于确定上述登录信息对应的登录行为是暴力破解登录行为,推送提示信息,其中,上述提示信息用于表征上述目标IP地址存在暴力破解登录行为。
在本实施例中,用于检测暴力破解的装置500的接收单元501、第一确定单元502、第二确定单元503和推送单元504的具体处理及其所带来的技术效果可分别参考图2对应实施例中步骤201、步骤202、步骤203和步骤204的相关说明,在此不再赘述。
在本实施例的一些可选的实现方式中,上述登录失败时长包括以下任意一项:上述多个连续的登录失败时间中的首次登录失败时间与末次登录失败时间的时间间隔,上述多个连续的登录失败时间中的相邻的两个登录失败时间的时间间隔。
在本实施例的一些可选的实现方式中,上述预先设定的非线性函数是采用预定的拟合方式对多个参数进行拟合得到的,其中,上述多个参数中的参数包括预设时长和最大登录次数。
在本实施例的一些可选的实现方式中,上述预定的拟合方式包括以下至少一项:最小二乘法,拉格朗日插值法,样条插值法。
在本实施例的一些可选的实现方式中,上述装置500还可以包括:第三确定单元(图5中未示出),被配置成响应于确定上述登录信息对应的登录行为不是暴力破解登录行为,确定上述多个登录失败时间中的相邻的两个登录失败时间的时间间隔的变异系数;判断单元(图5中未示出),被配置成判断所确定的变异系数是否小于预设阈值;第一确定推送单元(图5中未示出),被配置成响应于所确定的变异系数小于上述预设阈值,确定上述登录信息对应的登录行为是暴力破解登录行为,推送提示信息,其中,上述提示信息用于表征上述目标IP地址存在暴力破解登录行为。可选地,上述装置500还可以包括:第二确定推送单元(图5中未示出),被配置成响应于所确定的变异系数不小于上述预设阈值,确定上述登录信息对应的登录行为不是暴力破解登录行为,推送提示信息,其中,上述提示信息用于表征上述登录信息对应的登录行为不是暴力破解登录行为。
下面参考图6,其示出了适于用来实现本申请实施例的电子设备的计算机系统600的结构示意图。图6示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图6所示,计算机系统600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有系统600操作所需的各种程序和数据。CPU 601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时,执行本申请的方法中限定的上述功能。
需要说明的是,本申请上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括接收单元、第一确定单元、第二确定单元和推送单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,接收单元还可以被描述为“接收目标IP地址的登录信息的单元”。
作为另一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的装置中所包含的;也可以是单独存在,而未装配入该装置中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该装置执行时,使得该装置:接收目标IP地址的登录信息,其中,登录信息包括多个连续的登录失败时间;根据该多个连续的登录失败时间确定登录失败次数和登录失败时长;基于该登录失败次数、登录失败时长和预先设定的非线性函数,确定该登录信息对应的登录行为是否是暴力破解登录行为;响应于确定该登录信息对应的登录行为是暴力破解登录行为,推送提示信息,其中,该提示信息用于表征该目标IP地址存在暴力破解登录行为。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (12)
1.一种用于检测暴力破解的方法,包括:
接收目标IP地址的登录信息,其中,登录信息包括多个连续的登录失败时间;
根据所述多个连续的登录失败时间确定登录失败次数和登录失败时长;
基于所述登录失败次数、登录失败时长和预先设定的非线性函数,确定所述登录信息对应的登录行为是否是暴力破解登录行为;
响应于确定所述登录信息对应的登录行为是暴力破解登录行为,推送第一提示信息,其中,所述第一提示信息用于表征所述目标IP地址存在暴力破解登录行为;
响应于确定所述登录信息对应的登录行为不是暴力破解登录行为,确定所述多个登录失败时间中的相邻的两个登录失败时间的时间间隔的变异系数;
判断所确定的变异系数是否小于预设阈值;
响应于所确定的变异系数小于所述预设阈值,确定所述登录信息对应的登录行为是暴力破解登录行为,推送所述第一提示信息。
2.根据权利要求1所述的方法,其中,所述登录失败时长包括以下任意一项:
所述多个连续的登录失败时间中的首次登录失败时间与末次登录失败时间的时间间隔;
所述多个连续的登录失败时间中的相邻的两个登录失败时间的时间间隔。
3.根据权利要求1所述的方法,其中,所述预先设定的非线性函数是采用预定的拟合方式对多个参数进行拟合得到的,其中,所述参数包括预设时长和最大登录次数。
4.根据权利要求3所述的方法,其中,所述预定的拟合方式包括以下至少一项:最小二乘法,拉格朗日插值法,样条插值法。
5.根据权利要求1所述的方法,其中,所述方法还包括:
响应于所确定的变异系数不小于所述预设阈值,确定所述登录信息对应的登录行为不是暴力破解登录行为,推送第二提示信息,其中,所述第二提示信息用于表征所述登录信息对应的登录行为不是暴力破解登录行为。
6.一种用于检测暴力破解的装置,包括:
接收单元,被配置成接收目标IP地址的登录信息,其中,登录信息包括多个连续的登录失败时间;
第一确定单元,被配置成根据所述多个连续的登录失败时间确定登录失败次数和登录失败时长;
第二确定单元,被配置成基于所述登录失败次数、登录失败时长和预先设定的非线性函数,确定所述登录信息对应的登录行为是否是暴力破解登录行为;
推送单元,被配置成响应于确定所述登录信息对应的登录行为是暴力破解登录行为,推送第一提示信息,其中,所述第一提示信息用于表征所述目标IP地址存在暴力破解登录行为;
第三确定单元,被配置成响应于确定所述登录信息对应的登录行为不是暴力破解登录行为,确定所述多个登录失败时间中的相邻的两个登录失败时间的时间间隔的变异系数;
判断单元,被配置成判断所确定的变异系数是否小于预设阈值;
第一确定推送单元,被配置成响应于所确定的变异系数小于所述预设阈值,确定所述登录信息对应的登录行为是暴力破解登录行为,推送所述第一提示信息。
7.根据权利要求6所述的装置,其中,所述登录失败时长包括以下任意一项:
所述多个连续的登录失败时间中的首次登录失败时间与末次登录失败时间的时间间隔;
所述多个连续的登录失败时间中的相邻的两个登录失败时间的时间间隔。
8.根据权利要求6所述的装置,其中,所述预先设定的非线性函数是采用预定的拟合方式对多个参数进行拟合得到的,其中,所述多个参数中的参数包括预设时长和最大登录次数。
9.根据权利要求8所述的装置,其中,所述预定的拟合方式包括以下至少一项:最小二乘法,拉格朗日插值法,样条插值法。
10.根据权利要求6所述的装置,其中,所述装置还包括:
第二确定推送单元,被配置成响应于所确定的变异系数不小于所述预设阈值,确定所述登录信息对应的登录行为不是暴力破解登录行为,推送第二提示信息,其中,所述第二提示信息用于表征所述登录信息对应的登录行为不是暴力破解登录行为。
11.一种服务器,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5中任一所述的方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其中,该程序被处理器执行时实现如权利要求1-5中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910237035.XA CN109981647B (zh) | 2019-03-27 | 2019-03-27 | 用于检测暴力破解的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910237035.XA CN109981647B (zh) | 2019-03-27 | 2019-03-27 | 用于检测暴力破解的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109981647A CN109981647A (zh) | 2019-07-05 |
CN109981647B true CN109981647B (zh) | 2021-07-06 |
Family
ID=67080883
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910237035.XA Active CN109981647B (zh) | 2019-03-27 | 2019-03-27 | 用于检测暴力破解的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109981647B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112445785A (zh) * | 2019-08-30 | 2021-03-05 | 深信服科技股份有限公司 | 一种账号爆破检测方法及相关装置 |
CN112861120A (zh) * | 2019-11-27 | 2021-05-28 | 深信服科技股份有限公司 | 识别方法、设备及存储介质 |
CN110995738B (zh) * | 2019-12-13 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 暴力破解行为识别方法、装置、电子设备及可读存储介质 |
CN111245839A (zh) * | 2020-01-13 | 2020-06-05 | 奇安信科技集团股份有限公司 | 防暴力破解方法及装置 |
CN114143071A (zh) * | 2021-11-29 | 2022-03-04 | 上海斗象信息科技有限公司 | 一种暴力破解检测方法、装置、电子设备及存储介质 |
CN116488948B (zh) * | 2023-06-25 | 2023-09-01 | 上海观安信息技术股份有限公司 | 机器行为异常检测方法、装置、设备及介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107800724A (zh) * | 2017-12-08 | 2018-03-13 | 北京百度网讯科技有限公司 | 云主机防破解方法、系统及处理设备 |
CN108040039A (zh) * | 2017-11-28 | 2018-05-15 | 深信服科技股份有限公司 | 一种识别攻击源信息的方法、装置、设备及系统 |
CN108566363A (zh) * | 2018-01-09 | 2018-09-21 | 网宿科技股份有限公司 | 基于流式计算的暴力破解确定方法和系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160127402A1 (en) * | 2014-11-04 | 2016-05-05 | Patternex, Inc. | Method and apparatus for identifying and detecting threats to an enterprise or e-commerce system |
US9787696B2 (en) * | 2015-05-19 | 2017-10-10 | Workday, Inc. | Brute force attack prevention system |
-
2019
- 2019-03-27 CN CN201910237035.XA patent/CN109981647B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108040039A (zh) * | 2017-11-28 | 2018-05-15 | 深信服科技股份有限公司 | 一种识别攻击源信息的方法、装置、设备及系统 |
CN107800724A (zh) * | 2017-12-08 | 2018-03-13 | 北京百度网讯科技有限公司 | 云主机防破解方法、系统及处理设备 |
CN108566363A (zh) * | 2018-01-09 | 2018-09-21 | 网宿科技股份有限公司 | 基于流式计算的暴力破解确定方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN109981647A (zh) | 2019-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109981647B (zh) | 用于检测暴力破解的方法和装置 | |
US10341093B2 (en) | Method, apparatus and system for device identification | |
CN108900388B (zh) | 用于监控网络质量的方法、设备及介质 | |
CN106874135B (zh) | 用于检测机房故障的方法、装置及设备 | |
CN111104675A (zh) | 系统安全漏洞的检测方法和装置 | |
CN108933695B (zh) | 用于处理信息的方法和装置 | |
CN108449186B (zh) | 安全验证方法和装置 | |
CN109150898B (zh) | 用于处理信息的方法和装置 | |
CN116566739B (zh) | 一种安全检测系统、电子设备及存储介质 | |
CN116961918A (zh) | 令牌获取方法和装置 | |
CN108900562B (zh) | 登录状态的共享方法、装置、电子设备及介质 | |
CN112825519B (zh) | 一种识别异常登录的方法和装置 | |
CN109348298B (zh) | 信息推送、播放多媒体数据流的方法和设备 | |
CN107634942B (zh) | 识别恶意请求的方法和装置 | |
CN111030900A (zh) | 一种免验证登录方法、装置及电子设备 | |
US20150281261A1 (en) | Detecting proxy-based communications | |
CN114238928A (zh) | 一种远程服务器管理的方法和装置 | |
CN113114611B (zh) | 黑名单管理的方法和装置 | |
CN108471635B (zh) | 用于连接无线接入点的方法和设备 | |
CN114257632A (zh) | 断线重连的方法、装置、电子设备及可读存储介质 | |
CN108804713B (zh) | 图像输出方法、电子设备和计算机可读介质 | |
CN111786936A (zh) | 用于鉴权的方法和装置 | |
CN111259369B (zh) | 一种人机身份验证方法和系统 | |
CN111885006B (zh) | 页面访问、授权访问方法和装置 | |
CN110597525A (zh) | 用于安装应用的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |