CN110213199A - 一种撞库攻击监控方法、装置、系统及计算机存储介质 - Google Patents

一种撞库攻击监控方法、装置、系统及计算机存储介质 Download PDF

Info

Publication number
CN110213199A
CN110213199A CN201810168200.6A CN201810168200A CN110213199A CN 110213199 A CN110213199 A CN 110213199A CN 201810168200 A CN201810168200 A CN 201810168200A CN 110213199 A CN110213199 A CN 110213199A
Authority
CN
China
Prior art keywords
user
behavior
library
risk
factor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810168200.6A
Other languages
English (en)
Other versions
CN110213199B (zh
Inventor
张滨
袁捷
邱勤
刘洪刚
周建宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201810168200.6A priority Critical patent/CN110213199B/zh
Publication of CN110213199A publication Critical patent/CN110213199A/zh
Application granted granted Critical
Publication of CN110213199B publication Critical patent/CN110213199B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例公开了一种撞库攻击监控方法,包括:获取用户登录行为的登录信息;根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值;根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值;根据所述用户当前的登录行为的撞库攻击风险值,定位所述用户当前的登录行为的撞库攻击风险类型。本发明实施例还公开了一种撞库攻击监控装置、系统及计算机存储介质。

Description

一种撞库攻击监控方法、装置、系统及计算机存储介质
技术领域
本发明涉及互联网领域,尤其涉及一种撞库攻击监控方法、装置、系统及计算机存储介质。
背景技术
随着互联网逐步深入社会生活的方方面面,人们的工作、生活等日益离不开互联网。与此同时,高频撞库攻击、慢速撞库攻击等撞库攻击手段却使得用户数据存在泄露的风险。面对这种情况,很多互联网平台都相应增加了防撞库攻击的手段。例如,在用户登录环节增设图形验证码、短信验证码等登录验证手段,在网络层增加撞库攻击分析设备,基于用户异常登录行为进行分析并在发现撞库攻击时启动设置的防护策略而阻止撞库攻击行为等。然而,上述防撞库攻击的手段将增加正常用户的登录难度而影响正常业务的开展,或者对撞库攻击行为的识别能力不高。
发明内容
有鉴于此,本发明实施例提供了一种能够有效提高对撞库攻击行为的识别能力,且同时能够减少对正常业务开展的影响的撞库攻击监控方法、装置、系统及计算机存储介质。
为达到上述目的,本发明的技术方案是这样实现的:
第一方面,本发明实施例提供了一种撞库攻击监控方法,所述方法包括:
获取用户登录行为的登录信息;
根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值;
根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值;
根据所述用户当前的登录行为的撞库攻击风险值,定位所述用户当前的登录行为的撞库攻击风险类型。
上述方案中,所述根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值,包括:
根据所述用户当前的登录行为的登录信息确定对应的目标用户行为因子;
基于所述目标用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值。
上述方案中,所述登录信息包括:源IP、登录时间;所述用户行为因子包括:代理IP风险因子;
所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计每个代理登录行为使用的代理服务器IP分别作为源IP被使用的次数和最近一次被使用时的登录时间;
根据所述被使用的次数和所述最近一次被使用时的登录时间,计算所述代理服务器IP分别对应的代理IP风险因子的撞库攻击风险值。
上述方案中,所述根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值,包括:
根据所述用户当前的登录行为的源IP确定所述用户当前的登录行为是非代理登录行为时,将所述用户当前的登录行为的所述代理IP风险因子所对应的撞库攻击风险值设为设定的目标风险阈值;
根据所述用户当前的登录行为的源IP确定所述用户当前的登录行为是代理登录行为时,根据所述源IP对应的代理服务器IP确定所述用户当前的登录行为的所述代理IP风险因子所对应的撞库攻击风险值。
上述方案中,所述登录信息包括:用户账号、登录状态、登录时间;所述用户行为因子包括:账号登录失败因子;
所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录且登录状态为登录失败的用户登录行为;
根据所述登录状态为登录失败的用户登录行为的登录时间,计算所述用户账号的单次账号登录失败因子所对应的撞库攻击风险值;
基于所述用户账号的单次账号登录失败因子所对应的撞库攻击风险值,获取所述用户账号的账号登录失败因子所对应的撞库攻击风险值。
上述方案中,所述登录信息包括:用户账号、源IP;所述用户行为因子包括:账号源IP分布因子;
所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录时所使用的不同源IP的数量;
根据所述不同源IP的数量确定所述用户账号的账号源IP分布因子所对应的撞库攻击风险值。
上述方案中,所述登录信息包括:用户账号、登录的业务系统的标识;所述用户行为因子包括:账号业务分布因子;
所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别登录不同业务系统的数量;
根据所述不同业务系统的数量确定所述用户账号的账号业务分布因子所对应的撞库攻击风险值。
上述方案中,所述登录信息包括:源IP、用户账号、登录状态;所述用户行为因子包括:源IP登录失败因子;
所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录且登录状态为登录失败所使用的不同用户账号的数量;
根据所述不同用户账号的数量确定所述源IP的源IP登录失败因子所对应的撞库攻击风险值。
上述方案中,所述登录信息包括:用户代理;所述用户行为因子包括:用户代理因子;
所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计所述用户代理分别被使用的次数;
根据所述用户代理被使用的次数确定所述用户代理的用户代理因子所对应的撞库攻击风险值。
上述方案中,所述登录信息包括:源IP、登录操作时延;所述用户行为因子包括:源IP时延因子;
所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录所对应的第一登录次数和至少一个第一登录操作时延;
根据所述至少一个第一登录操作时延获取与所述至少一个第一登录操作时延对应的第一峰度值和第一偏度值;
根据所述第一登录次数、所述第一峰度值和所述第一偏度值,计算所述源IP的源IP时延因子所对应的撞库攻击风险值。
上述方案中,所述登录信息包括:用户账号、登录操作时延;所述用户行为因子包括:账号时延因子;
所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录所对应的第二登录次数和至少一个第二登录操作时延;
根据所述至少一个第二登录操作时延获取与所述至少一个第二登录操作时延对应的第二峰度值和第二偏度值;
根据所述第二登录次数、所述第二峰度值和所述第二偏度值,计算所述用户账号的账号时延因子所对应的撞库攻击风险值。
上述方案中,所述根据所述用户当前的登录行为的撞库攻击风险值,定位所述用户当前的登录行为的撞库攻击风险类型,包括:
根据设置的撞库攻击不同风险类型所对应的风险阈值范围,判定所述当前用户登录行为的撞库攻击风险值属于所述风险阈值范围时,定位所述当前用户当前的登录行为的撞库攻击风险类型。
第二方面,本发明实施例提供了一种撞库攻击监控装置,所述装置包括:获取模块、计算模块、第一处理模块和第二处理模块;其中,
所述获取模块,用于获取用户登录行为的登录信息;
所述计算模块,用于根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值;
所述第一处理模块,用于根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值;
所述第二处理模块,用于根据所述当前用户登录行为的撞库攻击风险值,定位所述用户当前的登录行为的撞库攻击风险类型。
上述方案中,所述第一处理模块,具体用于:
根据所述用户当前的登录行为的登录信息确定对应的目标用户行为因子;基于所述目标用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值。
上述方案中,所述登录信息包括:源IP、登录时间;所述用户行为因子包括:代理IP风险因子;所述计算模块,具体用于:
根据设定周期内的用户登录行为的登录信息,统计每个代理登录行为使用的代理服务器IP分别作为源IP被使用的次数和最近一次被使用时的登录时间;
根据所述被使用的次数和所述最近一次被使用时的登录时间,计算所述代理服务器IP分别对应的代理IP风险因子的撞库攻击风险值。
上述方案中,所述第一处理模块12,具体用于:
根据所述用户当前的登录行为的源IP确定所述用户当前的登录行为是非代理登录行为时,将所述用户当前的登录行为的所述代理IP风险因子所对应的撞库攻击风险值设为设定的目标风险阈值;
根据所述用户当前的登录行为的源IP确定所述用户当前的登录行为是代理登录行为时,根据所述源IP对应的代理服务器IP确定所述用户当前的登录行为的所述代理IP风险因子所对应的撞库攻击风险值。
上述方案中,所述登录信息包括:用户账号、登录状态、登录时间;所述用户行为因子包括:账号登录失败因子;所述计算模块,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录且登录状态为登录失败的用户登录行为;
根据所述登录状态为登录失败的用户登录行为的登录时间,计算所述用户账号的单次账号登录失败因子所对应的撞库攻击风险值;
基于所述用户账号的单次账号登录失败因子所对应的撞库攻击风险值,获取所述用户账号的账号登录失败因子所对应的撞库攻击风险值。
上述方案中,所述登录信息包括:用户账号、源IP;所述用户行为因子包括:账号源IP分布因子;所述计算模块,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录时所使用的不同源IP的数量;
根据所述不同源IP的数量确定所述用户账号的账号源IP分布因子所对应的撞库攻击风险值。
上述方案中,所述登录信息包括:用户账号、登录的业务系统的标识;所述用户行为因子包括:账号业务分布因子;所述计算模块,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别登录不同业务系统的数量;
根据所述不同业务系统的数量确定所述用户账号的账号业务分布因子所对应的撞库攻击风险值。
上述方案中,所述登录信息包括:用户账号、源IP、登录状态;所述用户行为因子包括:源IP登录失败因子;所述计算模块,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录且登录状态为登录失败所使用的不同用户账号的数量;
根据所述不同用户账号的数量确定所述源IP的源IP登录失败因子所对应的撞库攻击风险值。
上述方案中,所述登录信息包括:用户代理;所述用户行为因子包括:用户代理因子;所述计算模块,具体用于:
根据设定周期内的用户登录行为的登录信息,统计所述用户代理分别被使用的次数;
根据所述用户代理被使用的次数确定所述用户代理的用户代理因子所对应的撞库攻击风险值。
上述方案中,所述登录信息包括:源IP、登录操作时延;所述用户行为因子包括:源IP时延因子;所述计算模块,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录所对应的第一登录次数和至少一个第一登录操作时延;
根据所述至少一个第一登录操作时延获取与所述至少一个第一登录操作时延对应的第一峰度值和第一偏度值;
根据所述第一登录次数、所述第一峰度值和所述第一偏度值,计算所述源IP的源IP时延因子所对应的撞库攻击风险值。
上述方案中,所述登录信息包括:用户账号、登录操作时延;所述用户行为因子包括:账号时延因子;所述计算模块,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录所对应的第二登录次数和至少一个第二登录操作时延;
根据所述至少一个第二登录操作时延获取与所述至少一个第二登录操作时延对应的第二峰度值和第二偏度值;
根据所述第二登录次数、所述第二峰度值和所述第二偏度值,计算所述用户账号的账号时延因子所对应的撞库攻击风险值。
上述方案中,所述第二处理模块,具体用于:根据设置的撞库攻击不同风险类型所对应的风险阈值范围,判定所述当前用户登录行为的撞库攻击风险值属于所述风险阈值范围时,定位所述当前用户当前的登录行为的撞库攻击风险类型。
第三方面,本发明实施例提供了一种撞库攻击监控装置,所述装置包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,实现如第一方面所述的撞库攻击监控方法。
第四方面,本发明实施例提供了一种计算机存储介质,所述计算机存储介质中存储有计算机程序,所述计算机程序被处理器执行时,实现如第一方面所述的撞库攻击监控方法。
第五方面,本发明实施例提供了一种撞库攻击监控系统,所述撞库攻击监控系统包括:用户登录指纹信息收集子系统、用户登录行为收集子系统、代理服务器IP分析子系统和如第二方面或第三方面所述的撞库攻击监控装置;其中,
所述用户登录指纹信息收集子系统,用于收集并存储用户访问业务系统的源IP和用户代理;
所述用户登录行为收集子系统,用于收集并存储用户登录所述业务系统的登录账号、登录状态、登录时间、登录操作时延和所述业务系统的标识;
所述代理服务器IP分析子系统,用于收集并存储代理服务器对应的代理服务器IP;
所述撞库攻击监控装置,用于获取所述用户登录指纹信息收集子系统、所述用户登录行为收集子系统及所述代理服务器IP分析子系统收集的用户登录行为的登录信息。
上述方案中,所述撞库攻击监控系统还包括:风险预警子系统;其中,
所述风险预警子系统,用于当所述用户当前的登录行为的撞库攻击风险类型为设定目标类型时,向所述业务系统发送所述用户当前的登录行为的登录账号。
本发明实施例提供的撞库攻击监控方法、装置、系统及计算机存储介质,根据获取的用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,并根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值,然后根据所述用户当前的登录行为的撞库攻击风险值,定位所述用户当前的登录行为的撞库攻击风险类型。如此,通过以用户正常登录行为与撞库攻击行为的特征分析为基础,设置了有效的用户行为因子,并结合了代理服务器识别机制对撞库攻击行为进行监控,有效提高了对撞库攻击行为的识别能力,并且同时减少了对正常业务开展的影响。
附图说明
图1为本发明一实施例中撞库攻击监控方法的流程示意图;
图2为本发明一实施例中撞库攻击监控装置的结构示意图;
图3为本发明另一实施例中撞库攻击监控装置的结构示意图;
图4为本发明一实施例中撞库攻击监控系统的结构示意图;
图5为本发明另一实施例中撞库攻击监控系统的结构示意图。
具体实施方式
以下结合说明书附图及具体实施例对本发明技术方案做进一步的详细阐述。除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本文所使用的术语“和/或”包括一个或多个相关的所列项目的任意的和所有的组合。
撞库攻击是一种通过搜集从A业务中泄露的用户名和登录密码信息并生成对应的字典表,尝试批量登录B业务等其他业务,从而获得一系列可以登录的用户账号信息的方式。黑客在进行攻击时,常将撞库攻击与扫号、暴破等攻击手段结合使用。扫号就是通过使用已知弱登录密码库中的一个或少量几个登录密码,遍历用户名(如号段)尝试登录业务,得到相对应的可登录的用户名和登录密码信息。暴破即账号登录密码暴力破解,通过针对单用户遍历已知弱登录密码库来尝试登录业务,得到该用户对应的可登录密码信息。
随着互联网逐步深入社会生活的方方面面,人们的工作、生活日益离不开互联网。互联网上的用户身份识别目前仍主要使用用户名+密码的方式,这是一种灵活方便、经济实用的方法。对于普通用户来说,为了简便易用,在不同的业务系统中通常会使用相同的用户名进行注册、登录,而对于登录密码,绝大多数用户都是使用相同的一个密码或是少数几个密码,这便为撞库攻击提供了所依赖的基础。因为在这种环境下,如果个别运营商的业务系统安全防护能力较弱,被恶意攻破后泄露了用户的账号、密码信息,攻击者就可以使用这些用户账号、密码信息去尝试登录其他的互联网业务系统。如果用户同时在多个业务系统中使用了相同的用户名、密码,那么在这种情况下,用户在多个业务系统中的个人信息都将被攻击者获取,从而形成单个平台被攻破,造成一系列的平台用户数据泄露的严重问题。
目前,撞库攻击的方法主要有以下两种:
第一种方法是高频“撞库”攻击,即攻击者在短时间内使用大量账号密码尝试登录,或者多次尝试密码修改、密码找回/重置等操作。该类型攻击一般有较为明显的特征,相对比较容易识别和防范。
高频“撞库”攻击可能的特征包括:
1)用户账号/手机号短时间频繁请求;
2)同一互联网协议(IP,Internet Protocol Address)地址频繁请求;
3)同一环境频繁请求,涉及以下环境因素:
a)终端设备,如相同的国际移动设备身份码(IMIE,International MobileEquipment Identity)、媒体访问控制地址(MAC,Media Access Control)、设备厂家;
b)软件环境,如浏览器指纹相同、终端指纹相同,其中生成浏览器指纹、终端指纹的维度包括:浏览器版本、浏览器内核、操作系统版本、内核、IMIE、国际移动用户识别码(IMSI,International Mobile Subscriber Identification Number)、MAC等数据。
第二种方法是慢速“撞库”攻击,即攻击者在较长时间间隔内尝试账号密码登录、密码修改、密码找回/重置等操作。高频“撞库”攻击行为可以被应用系统识别出来,并通过限制登录、封锁IP等方法加以拦截,但低频“撞库”攻击行为伴以IP变换等手段,只靠应用系统往往难以识别和拦截,即使实现了识别和拦截也会消耗应用系统大量的资源和性能,从而影响正常的业务体验。
面对这种情况,目前很多互联网平台都增加了防撞库攻击的手段,例如在登录时增加图形验证码、智能验证码、短信验证码、登录次数限制等措施,在一定程度上阻止了撞库行为;同时,各网络设备生产商也在网络层面推出了协议检测、IP过滤等技术。综上,当前防止撞库攻击行为的主要技术方案分为以下三类:
第一类是增强登录验证手段。在用户登录环节增加图形验证码、智能验证码、短信验证码等手段,针对撞库攻击行为主要是由程序自动执行这一特点,增加了程序识别登录的难度。这一技术方案有一定的效果,但随着目前图形分析技术的发展,一般的图形验证码很容易被自动分析破解,而增加验证码的复杂度的同时也会增加正常用户登录时的难度,影响正常的业务开展。而其他更复杂的图形验证码、短信验证码等方法,对用户登录环节的要求更高,同样阻碍了业务的发展。
第二类是网络层增加撞库攻击分析设备。通过在网络交换机层使用镜像技术,将流向应用服务器的数据镜像后送往撞库攻击分析设备,撞库攻击分析设备分析该镜像数据,以便发现撞库攻击行为。这种方式的特点是不增加用户登录时的复杂度,不影响业务的开展,但这种方案是非实时的且滞后较严重,不能与业务系统集成,必须通过对大量的数据分析后才能发现撞库攻击行为,通常发现撞库攻击行为时该行为已经进行了一定的时间,即不能实时阻断撞库攻击行为。并且,无法处理加密后的通讯数据,对于现阶段大量业务平台采用SSL协议的情况下无法处理。此外,在网络层增加数据镜像,并增加单独的网络设备,增加了网络复杂度。
第三类是基于用户异常行为分析。基于用户登录行为发起的源IP地址、登录的操作频率、登录成功率来分析撞库攻击行为,并设置好相应的防护策略,当发现撞库攻击行为时即启动防护,阻止撞库攻击行为。但是,这种方案只能针对单一IP来源的同源撞库攻击行为,无法识别通过代理服务器分布式的多源撞库攻击行为。此外,针对同一局域网大量用户采用网络地址转换(NAT,Network Address Translation)模式上网的情况,误判率高,虽然与应用整合增加了登录成功率因素作为判断依据,但仍不能全面解决撞库攻击问题。
总之,在互联网业务的新形势下,随着当前各类黑客活动日益频繁,各种用户信息泄露事件不断发生,必须寻求一种既能有效保护用户信息的安全,防止撞库攻击行为,而同时也对业务发展的影响最小的撞库攻击解决方案,只有这样才能在保障用户的利益和保障用户的信息安全的同时,最大限度保证业务的可持续发展。因此,本申请实施例提供一种能够有效提高对撞库攻击行为的识别能力并同时能够减少对正常业务开展的影响的撞库攻击监控方法。
参见图1,本实施例提供的撞库攻击监控方法包括以下步骤:
S101:获取用户登录行为的登录信息;
可以理解地,所述获取用户登录行为的登录信息可以是以设定周期采集用户登录行为的登录信息,所述设定周期可以根据实际需要进行设置,比如设置为10分钟、60分钟、300分钟等。需要说明的是,每一次以设定周期采集的用户登录行为的登录信息不仅可以包括在所述设定周期内的用户登录行为的登录信息,还可以包括在所述设定周期之前的用户登录行为的登录信息。所述用户登录行为可以是用户登录业务系统,相应的,所述登录信息可以是用户登录业务系统时的相关信息,包括登录IP即源IP、用户账号、登录状态、登录操作时延、用户代理、业务系统的标识、登录时间等。所述登录状态包括登录成功、登录失败等信息,并可由业务系统根据用户登录该业务系统的信息生成,比如当业务系统对用户账号验证通过时,可判定登录成功。所述登录操作时延是指业务系统接收到用户标识信息的时间与用户登录业务系统的时间之差,所述用户标识信息由用户所使用的终端在用户访问业务系统时生成,并由该终端发送给业务系统。所述用户代理是一个特殊字符串头,用于标识用户所使用的终端的操作系统类型、浏览器及版本、浏览器语言等信息。所述业务系统的标识可以是业务系统ID。所述登录时间指用户登录业务系统的时间。
S102:根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值;
具体地,根据步骤S101中获取的所述用户登录行为的登录信息,计算设置的至少一个用户行为因子所对应的撞库攻击风险值,所述用户行为因子是根据用户登录行为的一种或多种登录信息进行设置的。
在一可选的实施例中,所述登录信息包括:源IP、登录时间;所述用户行为因子包括:代理IP风险因子;所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计每个代理登录行为使用的代理服务器IP分别作为源IP被使用的次数和最近一次被使用时的登录时间;
根据所述被使用的次数和所述最近一次被使用时的登录时间,计算所述代理服务器IP分别对应的代理IP风险因子的撞库攻击风险值。
具体地,对于每个代理服务器IP,根据下述公式计算该代理服务器IP的代理IP风险因子所对应的撞库攻击风险值y1,其中,y1的具体计算公式为其中,常量A表示时间极限值,以此值为一个极限,代理服务器IP最近一次被使用时的登录时间超过此值时,该代理服务器IP的代理IP风险因子所对应的撞库攻击风险值已很小,对应的撞库攻击风险值可统一为设定的目标风险阈值,比如0;最近一次被使用时的登录时间即最近使用时间与当前时间越近的代理服务器IP,该代理服务器IP的代理IP风险因子所对应的撞库攻击风险值越大,对应的撞库攻击风险值曲线呈指数方式。常量B表示代理服务器IP被使用的次数,当被使用的次数超过此值后,该代理服务器IP开始计算风险,对应的撞库攻击风险值曲线呈线性方式。常量C表示代理服务器IP的总体撞库攻击风险控制值,此值是为确保y1总体范围在一个阈值范围内,比如确保y1总体范围在0~10之间。此外,也可通过公式y1=y1>10?10:y1确保最终的代理服务器IP的代理IP风险因子所对应的撞库攻击风险值控制在0~10之间。
这里,当用户登录行为的登录信息是以设定周期进行采集的时,由于用户登录行为的登录信息是实时更新的,所述设定周期内的用户登录行为的登录信息不仅可以包括在所述设定周期内用户登录行为的登录信息,而且还可以包括在所述设定周期之前的用户登录行为的登录信息。因此,所述根据设定周期内的用户登录行为的登录信息,统计每个代理登录行为使用的代理服务器IP分别作为源IP被使用的次数和最近一次被使用时的登录时间,可以是根据设定周期内的用户登录行为的登录信息,统计在第一设定时间范围内每个代理登录行为使用的代理服务器IP分别作为源IP被使用的次数和最近一次被使用时的登录时间。所述第一设定时间范围可以是指从当前采集时间至前的一预设时间段,具体大小可根据实际需要进行设置,比如设置为从当前采集时间至前的一小时或两小时。例如,假设设定周期为10分钟,第一设定时间范围为60分钟,以10分钟为设定周期采集用户登录行为的登录信息,当前采集的用户登录行为的登录信息包含了历史用户登录行为的登录信息,也就是说每隔10分钟采集的用户登录行为的登录信息包含了采集前60分钟内的用户登录行为的登录信息。如此,根据比设定周期更长时间内的用户登录行为的登录信息进行分析,从而获取每个代理服务器IP的代理IP风险因子所对应的撞库攻击风险值,使得获得的结果更适合实际情况,适用性更强,精确度更高。
此外,所述计算所述代理服务器IP分别对应的代理IP风险因子的撞库攻击风险值,也可以是根据设定的代理服务器IP库进行计算,具体计算过程可以根据计算使用设定的代理服务器IP库中代理服务器IP分别对应的代理IP风险因子的撞库攻击风险值y1'。其中,常量A'表示日期极限值,以此值为一个极限,代理服务器IP最后一次被使用的日期超过此值时,该代理服务器IP对应的代理IP风险因子的撞库攻击风险值已很小,对应的撞库攻击风险值可统一为设定的目标风险阈值,比如0;最近一次被使用的日期越近的代理服务器IP,风险越大,对应的撞库攻击风险值曲线为指数方式。需要说明的是,所述设定的代理服务器IP库中的代理服务器IP可能是定时从互联网中搜集的,所述代理服务器IP最后一次被使用的日期可能是该代理服务器IP被更新至设定的代理服务器IP库中的时间。常量B'表示代理服务器IP被使用次数,当总使用次数超过此值后,该代理服务器IP开始计算风险,对应的撞库攻击风险值曲线呈线性方式。所述总使用次数可以是在一定时间范围内该代理服务器IP作为源IP被使用的次数。常量C'表示代理服务器IP的总体撞库攻击风险控制值,此值是为确保y1'总体范围在一个阈值范围内,比如确保y1'总体范围在0~10之间。然后,通过公式y1'=y1'>10?10:y1'确保最终的代理服务器IP的代理IP风险因子所对应的撞库攻击风险值控制在0~10之间。
在另一可选的实施例中,所述登录信息包括:用户账号、登录状态、登录时间;所述用户行为因子包括:账号登录失败因子;所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录且登录状态为登录失败的用户登录行为;
根据所述登录状态为登录失败的用户登录行为的登录时间,计算所述用户账号的单次账号登录失败因子所对应的撞库攻击风险值;
基于所述用户账号的单次账号登录失败因子所对应的撞库攻击风险值,获取所述用户账号的账号登录失败因子所对应的撞库攻击风险值。
具体地,对于每个用户账号,获取到该用户账号对应的登录状态为登录失败的用户登录行为以及对应的登录信息后,根据账号登录失败因子所对应的撞库攻击风险值公式计算所述用户账号的单次账号登录失败因子所对应的撞库攻击风险值;其中,yy2表示用户账号的单次账号登录失败因子所对应的撞库攻击风险值;常量D表示登录失败的计数时间,可根据实际需要进行设置,比如可设为所述设定周期;常量E表示用户账号的账号登录失败因子所对应的总体撞库攻击风险控制值,以使yy2总体范围在一个阈值范围内,比如确保yy2总体范围在0~10之间。登录时间距离当前时间越近的用户账号的单次账号登录失败因子所对应的撞库攻击风险值yy2越大,登录时间距离当前时间越远的用户账号的单次账号登录失败因子所对应的撞库攻击风险值yy2越小。然后,根据计算用户账号的账号登录失败因子所对应的撞库攻击风险值y2;其中,y2表示用户账号的账号登录失败因子所对应的撞库攻击风险值,N表示用户账号在所述常量D内对应的登录状态为登录失败的用户登录行为的数量。
这里,表达式“D-(当前时间-最近登录时间)>D?D:当前时间-最近登录时间”表示当常量D大于当前时间与最近登录时间之差时,取常量D;当常量D小于当前时间与最近登录时间之差时,取当前时间与最近登录时间之差。所述根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录且登录状态为登录失败的用户登录行为,可以是根据设定周期内的用户登录行为的登录信息,统计在所述设定周期内使用所述用户账号分别进行登录且登录状态为登录失败的用户登录行为。
在又一可选的实施例中,所述登录信息包括:用户账号、源IP;所述用户行为因子包括:账号源IP分布因子;所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录时所使用的不同源IP的数量;
根据所述不同源IP的数量确定所述用户账号的账号源IP分布因子所对应的撞库攻击风险值。
具体地,对于每个用户账号,根据(源IP数量/F)*10计算该用户账号的账号源IP分布因子所对应的撞库攻击风险值,其中,所述源IP数量指使用该用户账号进行登录时所使用的不同源IP的数量,常量F为用户账号的账号源IP分布因子所对应的总体撞库攻击风险控制值,以使用户账号的账号源IP分布因子所对应的撞库攻击风险值在一个阈值范围内,比如确保用户账号的账号源IP分布因子所对应的撞库攻击风险值范围在0~10之间。
这里,当用户登录行为的登录信息是以设定周期进行采集的时,由于用户登录行为的登录信息是实时更新的,所述设定周期内的用户登录行为的登录信息不仅可以包括在所述设定周期内用户登录行为的登录信息,而且还可以包括在所述设定周期之前的用户登录行为的登录信息。因此,当以设定周期获取用户登录行为的登录信息时,所获得的用户登录行为的登录信息不仅包括在所述设定周期内用户登录行为的登录信息,而且还包括在所述设定周期之前的用户登录行为的登录信息。因此,所述根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录时所使用的不同源IP的数量,可以是根据设定周期内的用户登录行为的登录信息,统计在第二设定时间范围内使用所述用户账号分别进行登录时所使用的不同源IP的数量。所述第二设定时间范围可以是指从当前时间至前的一预设时间段,具体大小可以根据实际需要进行设置,比如设置为从当前时间至前的一小时或两小时。例如,假设设定周期为10分钟,第二设定时间范围为60分钟,以10分钟为设定周期采集用户登录行为的登录信息,当前采集的用户登录行为的登录信息包含了历史用户登录行为的登录信息,也就是说每隔10分钟采集的用户登录行为的登录信息包含了采集前60分钟内的用户登录行为的登录信息。如此,根据比设定周期更长时间内的用户登录行为的登录信息进行分析,从而获取每个用户账号的账号源IP分布因子所对应的撞库攻击风险值,使得获得的结果更适合实际情况,适用性更强,精确度更高。
在另一可选的实施例中,所述登录信息包括:用户账号、登录的业务系统的标识;所述用户行为因子包括:账号业务分布因子;所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别登录不同业务系统的数量;
根据所述不同业务系统的数量确定所述用户账号的账号业务分布因子所对应的撞库攻击风险值。
具体地,对于每个用户账号,根据(业务系统数量/G)*10计算该用户账号的账号业务分布因子所对应的撞库攻击风险值,其中,所述登录的业务系统的标识用于区分登录的是哪个业务系统,所述业务系统数量指使用该用户账号登录不同业务系统的数量,即使用该用户账号登录所涉及的不同业务系统的标识的数量,常量G为单个用户账号登录所使用的不同业务系统的数量控制值,以使用户账号的账号业务分布因子所对应的撞库攻击风险值在一个阈值范围内,比如确保用户账号的账号业务分布因子所对应的撞库攻击风险值在0~10之间。
这里,当用户登录行为的登录信息是以设定周期进行采集的时,由于用户登录行为的登录信息是实时更新的,所述设定周期内的用户登录行为的登录信息既包括当前用户登录行为的登录信息,也包括历史用户登录行为的登录信息。因此,根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别登录不同业务系统的数量,可以是根据设定周期内的用户登录行为的登录信息,统计在所述第二设定时间范围内的使用所述用户账号分别登录不同业务系统的数量。所述第二设定时间范围可以是指从当前时间至前的一预设时间段,具体大小可以根据实际需要进行设置,比如设置为从当前时间至前的一小时或两小时。如此,根据比设定周期更长时间内的用户登录行为的登录信息进行分析,从而获取每个用户账号的账号业务分布因子所对应的撞库攻击风险值,使得获得的结果更适合实际情况,适用性更强,精确度更高。
在另一可选的实施例中,所述登录信息包括:用户账号、源IP、登录状态;所述用户行为因子包括:源IP登录失败因子;所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录且登录状态为登录失败所使用的不同用户账号的数量;
根据所述不同用户账号的数量确定所述源IP的源IP登录失败因子所对应的撞库攻击风险值。
具体地,对于每个源IP,根据(用户账号数量/H)*10计算该源IP的源IP登录失败因子所对应的撞库攻击风险值,其中,所述用户账号数量指使用该源IP进行登录且登录状态为登录失败所使用的不同用户账号的数量,常量H为源IP登录失败所使用的不同用户账号的数量控制值,以使该源IP的源IP登录失败因子所对应的撞库攻击风险值在一个阈值范围内,比如确保该源IP的源IP登录失败因子所对应的撞库攻击风险值范围在0~10之间。
这里,当用户登录行为的登录信息是以设定周期进行采集的时,由于用户登录行为的登录信息是实时更新的,所述设定周期内的用户登录行为的登录信息不仅包括在所述设定周期内用户登录行为的登录信息,而且还包括在所述设定周期之前的用户登录行为的登录信息。因此,根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录且登录状态为登录失败所使用的不同用户账号的数量,可以是根据设定周期内的用户登录行为的登录信息,统计在所述第二设定时间范围内使用所述源IP分别进行登录且登录状态为登录失败所使用的不同用户账号的数量。所述第二设定时间范围可以是指从当前时间至前的一预设时间段,具体大小可以根据实际需要进行设置,比如设置为从当前时间至前的一小时或两小时。如此,根据比设定周期更长时间内的用户登录行为的登录信息进行分析,从而获取每个源IP的源IP登录失败因子所对应的撞库攻击风险值,使得获得的结果更适合实际情况,适用性更强,精确度更高。
在另一可选的实施例中,所述登录信息包括:用户代理;所述用户行为因子包括:用户代理因子;所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计所述用户代理分别被使用的次数;
根据所述用户代理被使用的次数确定所述用户代理的用户代理因子所对应的撞库攻击风险值。
具体地,对于每个用户代理,根据(被使用的次数/J)*10计算该用户代理的用户代理因子所对应的撞库攻击风险值,其中,所述被使用的次数指该用户代理被使用的次数,相应于同一终端的登录次数,常量J为单个用户代理被使用的次数控制值,以使该用户代理的用户代理因子所对应的撞库攻击风险值在一个阈值范围内,比如确保该用户代理的用户代理因子所对应的撞库攻击风险值在0~10之间。
这里,当用户登录行为的登录信息是以设定周期进行采集的时,由于用户登录行为的登录信息是实时更新的,所述设定周期内的用户登录行为的登录信息不仅包括在所述设定周期内用户登录行为的登录信息,而且还包括在所述设定周期之前的用户登录行为的登录信息。因此,根据设定周期内的用户登录行为的登录信息,统计所述用户代理分别被使用的次数,可以是根据设定周期内的用户登录行为的登录信息,统计在所述第二设定时间范围内所述用户代理分别被使用的次数。所述第二设定时间范围可以是指从当前时间至前的一预设时间段,具体大小可以根据实际需要进行设置,比如设置为从当前时间至前的一小时或两小时。如此,根据比设定周期更长时间内的用户登录行为的登录信息进行分析,从而获取每个用户代理的用户代理因子所对应的撞库攻击风险值,使得获得的结果更适合实际情况,适用性更强,精确度更高。
在又一可选的实施例中,所述登录信息包括:源IP、登录操作时延;所述用户行为因子包括:源IP时延因子;所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录所对应的第一登录次数和至少一个第一登录操作时延;
根据所述至少一个第一登录操作时延获取与所述至少一个第一登录操作时延对应的第一峰度值和第一偏度值;
根据所述第一登录次数、所述第一峰度值和所述第一偏度值,计算所述源IP的源IP时延因子所对应的撞库攻击风险值。
具体地,对于每个源IP,根据设定周期内的用户登录行为的登录信息,统计使用该源IP进行登录所对应的第一登录次数和至少一个第一登录操作时延;根据公式计算与所述至少一个第一登录操作时延对应的第一峰度值g1,以及根据公式计算与所述至少一个第一登录操作时延对应的第一偏度值g2,其中, xi表示所述第一登录操作时延,n表示所述第一登录操作时延的个数;然后,根据以下计算公式:偏度系数=5×(|g2|/Sqrt(6/M))和峰度系数=5×(|g1|/Sqrt(24/M)),分别获得针对该源IP的至少一个登录操作时延对应的偏度系数和峰度系数,M为所述第一登录次数;最后,取偏度系数和峰度系数中的最大值作为该源IP的源IP时延源因子所对应的撞库攻击风险值。
这里,所述第一峰度值是对以时间为横轴、频数为纵轴对所述至少一个第一登录操作时延构成的分布的峰值是否突兀或是否平坦的描述,通常正态分布的峰度值为3。当时间序列的曲线峰值比正态分布的高时,其峰度值大于3。当时间序列的曲线峰值比正态分布的低时,其峰度值小于3。偏度值是对以时间为横轴、频数为纵轴对所述至少一个第一登录操作时延构成的分布的对称性状况的描述。对于正态分布,偏度值通常等于0。若偏度值为负,则所述至少一个第一登录操作时延的均值左侧的离散度比右侧强。若偏度值为正,则所述至少一个第一登录操作时延的均值左侧的离散度比右侧弱。
这里,当用户登录行为的登录信息是以设定周期进行采集的时,由于用户登录行为的登录信息是实时更新的,所述设定周期内的用户登录行为的登录信息不仅包括在所述设定周期内用户登录行为的登录信息,而且还包括在所述设定周期之前的用户登录行为的登录信息。所述根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录所对应的第一登录次数和至少一个第一登录操作时延,也可以是统计在所述第二设定时间范围内使用所述源IP进行登录分别对应的第一登录次数和至少一个第一登录操作时延。如此,根据比设定周期更长时间内的用户登录行为的登录信息进行分析,从而获取每个源IP的源IP时延因子所对应的撞库攻击风险值,使得获得的结果更适合实际情况,适用性更强,精确度更高。
在又一可选的实施例中,所述登录信息包括:用户账号、登录操作时延;所述用户行为因子包括:账号时延因子;所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录所对应的第二登录次数和至少一个第二登录操作时延;
根据所述至少一个第二登录操作时延获取与所述至少一个第二登录操作时延对应的第二峰度值和第二偏度值;
根据所述第二登录次数、所述第二峰度值和所述第二偏度值,计算所述用户账号的账号时延因子所对应的撞库攻击风险值。
具体地,对于每个用户账号,根据设定周期内的用户登录行为的登录信息,统计使用该用户账号进行登录所对应的第二登录次数和至少一个第二登录操作时延;然后,根据公式计算与所述至少一个第二登录操作时延对应的第二峰度值g3,以及根据公式计算与所述至少一个第二登录操作时延对应的第二偏度值g4,其中,zj表示所述第二登录操作时延,m表示所述第二登录操作时延的个数;根据偏度系数=5×(|g4|/Sqrt(6/M'))和峰度系数=5×(|g3|/Sqrt(24/M')),分别获得针对该用户账号的至少一个第二登录操作时延对应的偏度系数和峰度系数,M'为所述第二登录次数;最后,取上述偏度系数和峰度系数中的最大值作为该用户账号的账号时延因子所对应的撞库攻击风险值。
这里,所述第二峰度值是对以时间为横轴、频数为纵轴对所述至少一个第二登录操作时延构成的分布的峰值是否突兀或是否平坦的描述,通常正态分布的峰度值为3。当时间序列的曲线峰值比正态分布的高时,其峰度值大于3。当时间序列的曲线峰值比正态分布的低时,其峰度值小于3。偏度值是对以时间为横轴、频数为纵轴对所述至少一个第二登录操作时延构成的分布的对称性状况的描述。对于正态分布,偏度值通常等于0。若偏度值为负,则所述至少一个第二登录操作时延的均值左侧的离散度比右侧强。若偏度值为正,则所述至少一个第二登录操作时延的均值左侧的离散度比右侧弱。
这里,当用户登录行为的登录信息是以设定周期进行采集的时,由于用户登录行为的登录信息是实时更新的,所述设定周期内的用户登录行为的登录信息不仅包括在所述设定周期内用户登录行为的登录信息,而且还包括在所述设定周期之前的用户登录行为的登录信息。所述根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录所对应的第二登录次数和至少一个第二登录操作时延,也可以是统计在所述第二设定时间范围内使用所述用户账号分别进行登录所对应的第二登录次数和至少一个第二登录操作时延。如此,根据比设定周期更长时间内的用户登录行为的登录信息进行分析,从而获取每个用户账号的账号时延因子所对应的撞库攻击风险值,使得获得的结果更适合实际情况,适用性更强,精确度更高。
S103:根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值;
具体地,根据所述用户当前的登录行为的登录信息确定对应的目标用户行为因子;基于所述目标用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值。
这里,由于步骤S102中获取的所述至少一个用户行为因子所对应的撞库攻击风险值是根据不同用户登录行为的不同登录信息获得的,即不同的用户登录行为对应不同的用户行为因子,并且同一用户登录行为对应有多个用户行为因子,因此,首先需要根据所述用户当前的登录行为的登录信息确定对应的目标用户行为因子。以用户行为因子为账号源IP分布因子为例,对于每一个用户账号而言,都有各自对应的账号源IP分布因子,且各自所对应的撞库攻击风险值可能都不同,因此,需要先根据用户当前的登录行为的登录信息中包含的用户账号确定与之匹配的账号源IP分布因子。最后,当根据所述用户当前的登录行为的登录信息确定对应的代理IP风险因子、账号登录失败因子、账号源IP分布因子、账号业务分布因子、源IP登录失败因子、用户代理因子、源IP时延因子、账号时延因子等八个目标用户行为因子后,取上述八个目标用户行为因子分别所对应的撞库攻击风险值中的最大值作为所述用户当前的登录行为的撞库攻击风险值。
步骤104:根据所述用户当前的登录行为的撞库攻击风险值,定位所述用户当前的登录行为的撞库攻击风险类型。
可以理解地,所述根据所述用户当前的登录行为的撞库攻击风险值,定位所述用户当前的登录行为的撞库攻击风险类型,可以是:根据设置的撞库攻击不同风险类型所对应的风险阈值范围,判定所述用户当前的登录行为的撞库攻击风险值满足所述风险阈值范围时,定位所述用户当前的登录行为的撞库攻击风险类型。需要说明的是,不同撞库攻击风险类型对应的风险阈值范围不同。举例来说,假设(0,3)为撞库攻击低风险的风险阈值范围,(3,5)为疑似撞库攻击的风险阈值范围,(5,7)为撞库攻击的风险阈值范围,(7,10)为严重撞库攻击的风险阈值范围,若用户当前的登录行为的撞库攻击风险值为6,则可判定用户当前的登录行为为撞库攻击。
综上,上述实施例提供的撞库攻击监控方法,根据获取的用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,并根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值,然后根据所述用户当前的登录行为的撞库攻击风险值,定位所述用户当前的登录行为的撞库攻击风险类型。如此,通过以用户正常登录行为与撞库攻击行为的特征分析为基础,设置了有效的用户行为因子,并结合代理服务器识别机制对撞库攻击行为进行监控,有效提高了对撞库攻击行为的识别能力,并同时减少了对正常业务开展的影响。
在一可选的实施例中,所述根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值,包括:根据所述用户当前的登录行为的源IP确定所述用户当前的登录行为是非代理登录行为时,将所述用户当前的登录行为的所述代理IP风险因子所对应的撞库攻击风险值设为设定的目标风险阈值。即,根据所述用户当前的登录行为的登录信息确定所述用户当前的登录行为的源IP为非代理服务器IP时,将所述用户当前的登录行为的代理IP风险因子所对应的撞库攻击风险值设为设定的目标风险阈值,比如设为0。
在又一可选的实施例中,所述根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值,包括:根据所述用户当前的登录行为的源IP确定所述用户当前的登录行为是代理登录行为时,根据所述源IP对应的代理服务器IP确定所述用户当前的登录行为的所述代理IP风险因子所对应的撞库攻击风险值。即,根据所述用户当前的登录行为的登录信息确定所述用户当前的登录行为的源IP为代理服务器IP时,将该代理服务器IP的代理IP风险因子所对应的撞库攻击风险值作为所述用户当前的登录行为的所述代理IP风险因子所对应的撞库攻击风险值。
其中,在一个可选的具体实施例中,用户行为因子还可以包括以上代理IP风险因子、账号登录失败因子、账号源IP分布因子、账号业务分布因子、源IP登录失败因子、用户代理因子、源IP时延因子、账号时延因子中的至少两个,所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:根据所述用户登录行为的登录信息,计算至少两个用户行为因子所分别对应的撞库攻击风险值;而所述根据所述用户当前的登录行为的撞库攻击风险值,定位所述用户当前的登录行为的撞库攻击风险类型,包括:根据所述用户当前的登录行为、及所述至少两个用户行为因子所分别对应的撞库攻击风险值中的最大值,确定根据所述用户当前的登录行为的撞库攻击风险类型。可选的,所述至少两个用户行为因子可以是八个,具体包括代理IP风险因子、账号登录失败因子、账号源IP分布因子、账号业务分布因子、源IP登录失败因子、用户代理因子、源IP时延因子、账号时延因子。
为实现上述方法,本实施例还提供了一种撞库攻击监控装置,如图2所示,该装置包括:获取模块10、计算模块11、第一处理模块12和第二处理模块13;其中,
所述获取模块10,用于获取用户登录行为的登录信息;
所述计算模块11,用于根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值;
所述第一处理模块12,用于根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值;
所述第二处理模块13,用于根据所述当前用户登录行为的撞库攻击风险值,定位所述用户当前的登录行为的撞库攻击风险类型。
上述实施例提供的撞库攻击监控装置,根据获取的用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,并根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值,然后根据所述用户当前的登录行为的撞库攻击风险值,定位所述用户当前的登录行为的撞库攻击风险类型。如此,通过以用户正常登录行为与撞库攻击行为的特征分析为基础,设置了有效的用户行为因子,并结合代理服务器识别机制对撞库攻击行为进行监控,有效提高了对撞库攻击行为的识别能力,并同时减少了对正常业务开展的影响。
在一可选的实施例中,所述第一处理模块12,具体用于:根据所述用户当前的登录行为的登录信息确定对应的目标用户行为因子;基于所述目标用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:源IP、登录时间;所述用户行为因子包括:代理IP风险因子;所述计算模块11,具体用于:
根据设定周期内的用户登录行为的登录信息,统计每个代理登录行为使用的代理服务器IP分别作为源IP被使用的次数和最近一次被使用时的登录时间;
根据所述被使用的次数和所述最近一次被使用时的登录时间,计算所述代理服务器IP分别对应的代理IP风险因子的撞库攻击风险值。
在一可选的实施例中,所述第一处理模块12,具体用于:
根据所述用户当前的登录行为的源IP确定所述用户当前的登录行为是非代理登录行为时,将所述用户当前的登录行为的所述代理IP风险因子所对应的撞库攻击风险值设为设定的目标风险阈值;
根据所述用户当前的登录行为的源IP确定所述用户当前的登录行为是代理登录行为时,根据所述源IP对应的代理服务器IP确定所述用户当前的登录行为的所述代理IP风险因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、登录状态、登录时间;所述用户行为因子包括:账号登录失败因子;所述计算模块11,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录且登录状态为登录失败的用户登录行为;
根据所述登录状态为登录失败的用户登录行为的登录时间,计算所述用户账号的单次账号登录失败因子所对应的撞库攻击风险值;
基于所述用户账号的单次账号登录失败因子所对应的撞库攻击风险值,获取所述用户账号的账号登录失败因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、源IP;所述用户行为因子包括:账号源IP分布因子;所述计算模块11,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录时所使用的不同源IP的数量;
根据所述不同源IP的数量确定所述用户账号的账号源IP分布因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、登录的业务系统的标识;所述用户行为因子包括:账号业务分布因子;所述计算模块11,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别登录不同业务系统的数量;
根据所述不同业务系统的数量确定所述用户账号的账号业务分布因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、源IP、登录状态;所述用户行为因子包括:源IP登录失败因子;所述计算模块11,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录且登录状态为登录失败所使用的不同用户账号的数量;
根据所述不同用户账号的数量确定所述源IP的源IP登录失败因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户代理;所述用户行为因子包括:用户代理因子;所述计算模块11,具体用于:
根据设定周期内的用户登录行为的登录信息,统计所述用户代理分别被使用的次数;
根据所述用户代理被使用的次数确定所述用户代理的用户代理因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:源IP、登录操作时延;所述用户行为因子包括:源IP时延因子;所述计算模块11,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录所对应的第一登录次数和至少一个第一登录操作时延;
根据所述至少一个第一登录操作时延获取与所述至少一个第一登录操作时延对应的第一峰度值和第一偏度值;
根据所述第一登录次数、所述第一峰度值和所述第一偏度值,计算所述源IP的源IP时延因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、登录操作时延;所述用户行为因子包括:账号时延因子;所述计算模块11,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录所对应的第二登录次数和至少一个第二登录操作时延;
根据所述至少一个第二登录操作时延获取与所述至少一个第二登录操作时延对应的第二峰度值和第二偏度值;
根据所述第二登录次数、所述第二峰度值和所述第二偏度值,计算所述用户账号的账号时延因子所对应的撞库攻击风险值。
在一可选的实施例中,所述第二处理模块13,具体用于:根据设置的撞库攻击不同风险类型所对应的风险阈值范围,判定所述当前用户登录行为的撞库攻击风险值属于所述风险阈值范围时,定位所述当前用户当前的登录行为的撞库攻击风险类型。
本实施例提供了一种撞库攻击监控装置,如图3所示,该撞库攻击监控装置包括:至少一个处理器310和用于存储能够在处理器310上运行的计算机程序的存储器311;其中,图3中示意的处理器310并非用于指代处理器310的个数为一个,而是仅用于指代处理器310相对其他器件的位置关系,在实际应用中,处理器310的个数可以为一个或多个;同样,图3中示意的存储器311也是同样的含义,即仅用于指代存储器311相对其他器件的位置关系,在实际应用中,存储器311的个数可以为一个或多个。
其中,所述处理器310用于运行所述计算机程序时,执行如下步骤:
获取用户登录行为的登录信息;
根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值;
根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值;
根据所述用户当前的登录行为的撞库攻击风险值,定位所述用户当前的登录行为的撞库攻击风险类型。
在一可选的实施例中,所述处理器310还用于运行所述计算机程序时,执行如下步骤:
根据所述用户当前的登录行为的登录信息确定对应的目标用户行为因子;
基于所述目标用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:源IP、登录时间;所述用户行为因子包括:代理IP风险因子;所述处理器310还用于运行所述计算机程序时,执行如下步骤:
根据设定周期内的用户登录行为的登录信息,统计每个代理登录行为使用的代理服务器IP分别作为源IP被使用的次数和最近一次被使用时的登录时间;
根据所述被使用的次数和所述最近一次被使用时的登录时间,计算所述代理服务器IP分别对应的代理IP风险因子的撞库攻击风险值。
在一可选的实施例中,所述处理器310还用于运行所述计算机程序时,执行如下步骤:
根据所述用户当前的登录行为的源IP确定所述用户当前的登录行为是非代理登录行为时,将所述用户当前的登录行为的所述代理IP风险因子所对应的撞库攻击风险值设为设定的目标风险阈值;
根据所述用户当前的登录行为的源IP确定所述用户当前的登录行为是代理登录行为时,根据所述源IP对应的代理服务器IP确定所述用户当前的登录行为的所述代理IP风险因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、登录状态、登录时间;所述用户行为因子包括:账号登录失败因子;所述处理器310还用于运行所述计算机程序时,执行如下步骤:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录且登录状态为登录失败的用户登录行为;
根据所述登录状态为登录失败的用户登录行为的登录时间,计算所述用户账号的单次账号登录失败因子所对应的撞库攻击风险值;
基于所述用户账号的单次账号登录失败因子所对应的撞库攻击风险值,获取所述用户账号的账号登录失败因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、源IP;所述用户行为因子包括:账号源IP分布因子;所述处理器310还用于运行所述计算机程序时,执行如下步骤:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录时所使用的不同源IP的数量;
根据所述不同源IP的数量确定所述用户账号的账号源IP分布因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、登录的业务系统的标识;所述用户行为因子包括:账号业务分布因子;所述处理器310还用于运行所述计算机程序时,执行如下步骤:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别登录不同业务系统的数量;
根据所述不同业务系统的数量确定所述用户账号的账号业务分布因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、源IP、登录状态;所述用户行为因子包括:源IP登录失败因子;所述处理器310还用于运行所述计算机程序时,执行如下步骤:
根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录且登录状态为登录失败所使用的不同用户账号的数量;
根据所述不同用户账号的数量确定所述源IP的源IP登录失败因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户代理;所述用户行为因子包括:用户代理因子;所述处理器310还用于运行所述计算机程序时,执行如下步骤:
根据设定周期内的用户登录行为的登录信息,统计所述用户代理分别被使用的次数;
根据所述用户代理被使用的次数确定所述用户代理的用户代理因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:源IP、登录操作时延;所述用户行为因子包括:源IP时延因子;所述处理器310还用于运行所述计算机程序时,执行如下步骤:
根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录所对应的第一登录次数和至少一个第一登录操作时延;
根据所述至少一个第一登录操作时延获取与所述至少一个第一登录操作时延对应的第一峰度值和第一偏度值;
根据所述第一登录次数、所述第一峰度值和所述第一偏度值,计算所述源IP的源IP时延因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、登录操作时延;所述用户行为因子包括:账号时延因子;所述处理器310还用于运行所述计算机程序时,执行如下步骤:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录所对应的第二登录次数和至少一个第二登录操作时延;
根据所述至少一个第二登录操作时延获取与所述至少一个第二登录操作时延对应的第二峰度值和第二偏度值;
根据所述第二登录次数、所述第二峰度值和所述第二偏度值,计算所述用户账号的账号时延因子所对应的撞库攻击风险值。
在一可选的实施例中,所述处理器310还用于运行所述计算机程序时,执行如下步骤:
根据设置的撞库攻击不同风险类型所对应的风险阈值范围,判定所述当前用户登录行为的撞库攻击风险值属于所述风险阈值范围时,定位所述当前用户当前的登录行为的撞库攻击风险类型。
该撞库攻击监控装置还包括:至少一个网络接口312。该撞库攻击监控装置中的各个组件通过总线系统313耦合在一起。可理解,总线系统313用于实现这些组件之间的连接通信。总线系统313除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图3中将各种总线都标为总线系统313。
其中,存储器311可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器311旨在包括但不限于这些和任意其它适合类型的存储器。
本发明实施例中的存储器311用于存储各种类型的数据以支持撞库攻击监控装置的操作。这些数据的示例包括:用于在撞库攻击监控装置上操作的任何计算机程序,如操作系统和应用程序;联系人数据;电话簿数据;消息;图片;视频等。其中,操作系统包含各种系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务。应用程序可以包含各种应用程序,例如媒体播放器(Media Player)、浏览器(Browser)等,用于实现各种应用业务。这里,实现本发明实施例方法的程序可以包含在应用程序中。
本实施例还提供了一种计算机存储介质,例如包括存储有计算机程序的存储器311,上述计算机程序可由撞库攻击监控装置中的处理器310执行,以完成前述方法所述步骤。计算机存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备,如移动电话、计算机、平板设备、个人数字助理等。
一种计算机存储介质,所述计算机存储介质中存储有计算机程序,所述计算机程被处理器运行时,执行如下步骤:
获取用户登录行为的登录信息;
根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值;
根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值;
根据所述用户当前的登录行为的撞库攻击风险值,定位所述用户当前的登录行为的撞库攻击风险类型。
在一可选的实施例中,所述计算机程序被处理器运行时,还执行如下步骤:
根据所述用户当前的登录行为的登录信息确定对应的目标用户行为因子;
基于所述目标用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:源IP、登录时间;所述用户行为因子包括:代理IP风险因子;所述计算机程序被处理器运行时,还执行如下步骤:
根据设定周期内的用户登录行为的登录信息,统计每个代理登录行为使用的代理服务器IP分别作为源IP被使用的次数和最近一次被使用时的登录时间;
根据所述被使用的次数和所述最近一次被使用时的登录时间,计算所述代理服务器IP分别对应的代理IP风险因子的撞库攻击风险值。
在一可选的实施例中,所述计算机程序被处理器运行时,还执行如下步骤:
根据所述用户当前的登录行为的源IP确定所述用户当前的登录行为是非代理登录行为时,将所述用户当前的登录行为的所述代理IP风险因子所对应的撞库攻击风险值设为设定的目标风险阈值;
根据所述用户当前的登录行为的源IP确定所述用户当前的登录行为是代理登录行为时,根据所述源IP对应的代理服务器IP确定所述用户当前的登录行为的所述代理IP风险因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、登录状态、登录时间;所述用户行为因子包括:账号登录失败因子;所述计算机程序被处理器运行时,还执行如下步骤:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录且登录状态为登录失败的用户登录行为;
根据所述登录状态为登录失败的用户登录行为的登录时间,计算所述用户账号的单次账号登录失败因子所对应的撞库攻击风险值;
基于所述用户账号的单次账号登录失败因子所对应的撞库攻击风险值,获取所述用户账号的账号登录失败因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、源IP;所述用户行为因子包括:账号源IP分布因子;所述计算机程序被处理器运行时,还执行如下步骤:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录时所使用的不同源IP的数量;
根据所述不同源IP的数量确定所述用户账号的账号源IP分布因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、登录的业务系统的标识;所述用户行为因子包括:账号业务分布因子;所述计算机程序被处理器运行时,还执行如下步骤:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别登录不同业务系统的数量;
根据所述不同业务系统的数量确定所述用户账号的账号业务分布因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、源IP、登录状态;所述用户行为因子包括:源IP登录失败因子;所述计算机程序被处理器运行时,还执行如下步骤:
根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录且登录状态为登录失败所使用的不同用户账号的数量;
根据所述不同用户账号的数量确定所述源IP的源IP登录失败因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户代理;所述用户行为因子包括:用户代理因子;所述计算机程序被处理器运行时,还执行如下步骤:
根据设定周期内的用户登录行为的登录信息,统计所述用户代理分别被使用的次数;
根据所述用户代理被使用的次数确定所述用户代理的用户代理因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:源IP、登录操作时延;所述用户行为因子包括:源IP时延因子;所述计算机程序被处理器运行时,还执行如下步骤:
根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录所对应的第一登录次数和至少一个第一登录操作时延;
根据所述至少一个第一登录操作时延获取与所述至少一个第一登录操作时延对应的第一峰度值和第一偏度值;
根据所述第一登录次数、所述第一峰度值和所述第一偏度值,计算所述源IP的源IP时延因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、登录操作时延;所述用户行为因子包括:账号时延因子;所述计算机程序被处理器运行时,还执行如下步骤:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录所对应的第二登录次数和至少一个第二登录操作时延;
根据所述至少一个第二登录操作时延获取与所述至少一个第二登录操作时延对应的第二峰度值和第二偏度值;
根据所述第二登录次数、所述第二峰度值和所述第二偏度值,计算所述用户账号的账号时延因子所对应的撞库攻击风险值。
在一可选的实施例中,所述计算机程序被处理器运行时,还执行如下步骤:
根据设置的撞库攻击不同风险类型所对应的风险阈值范围,判定所述当前用户登录行为的撞库攻击风险值属于所述风险阈值范围时,定位所述当前用户当前的登录行为的撞库攻击风险类型。
参阅图4,为本发明实施例提供的一种撞库攻击监控系统的结构示意图,所述撞库攻击监控系统可以包括:用户登录指纹信息收集子系统20、用户登录行为收集子系统21、代理服务器IP分析子系统22和撞库攻击监控装置23;其中,
所述用户登录指纹信息收集子系统20,用于收集并存储用户访问业务系统的源IP和用户代理;
所述用户登录行为收集子系统21,用于收集并存储用户登录所述业务系统的登录账号、登录状态、登录时间、登录操作时延和所述业务系统的标识;
所述代理服务器IP分析子系统22,用于收集并存储代理服务器对应的代理服务器IP;
所述撞库攻击监控装置23,用于获取所述用户登录指纹信息收集子系统、所述用户登录行为收集子系统及所述代理服务器IP分析子系统收集的用户登录行为的登录信息,并根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值;以及,根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值;以及,根据所述用户当前的登录行为的撞库攻击风险值,定位所述用户当前的登录行为的撞库攻击风险类型。
综上,上述实施例提供的撞库攻击监控系统,根据获取的用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,并根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值,然后根据所述用户当前的登录行为的撞库攻击风险值,定位所述用户当前的登录行为的撞库攻击风险类型。如此,通过以用户正常登录行为与撞库攻击行为的特征分析为基础,设置了有效的用户行为因子,并结合代理服务器识别机制对撞库攻击行为进行监控,有效提高了对撞库攻击行为的识别能力,并同时减少了对正常业务开展的影响。
在一可选的实施例中,所述撞库攻击监控系统还包括:风险预警子系统24;其中,
所述风险预警子系统24,用于当所述用户当前的登录行为的撞库攻击风险类型为设定目标类型时,向所述业务系统发送所述用户当前的登录行为的登录账号。
可以理解地,所述目标类型可以根据实际需要进行设定。例如,当撞库攻击风险类型包括疑似撞库攻击、撞库攻击、严重撞库攻击等类型时,可将撞库攻击、严重撞库攻击设为所述目标类型。
在一可选的实施例中,所述撞库攻击监控装置23,具体用于:根据所述用户当前的登录行为的登录信息确定对应的目标用户行为因子;基于所述目标用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:源IP、登录时间;所述用户行为因子包括:代理IP风险因子;所述撞库攻击监控装置23,具体用于:
根据设定周期内的用户登录行为的登录信息,统计每个代理登录行为使用的代理服务器IP分别作为源IP被使用的次数和最近一次被使用时的登录时间;
根据所述被使用的次数和所述最近一次被使用时的登录时间,计算所述代理服务器IP分别对应的代理IP风险因子的撞库攻击风险值。
在一可选的实施例中,所述撞库攻击监控装置23,具体用于:根据所述用户当前的登录行为的源IP确定所述用户当前的登录行为是非代理登录行为时,将所述用户当前的登录行为的所述代理IP风险因子所对应的撞库攻击风险值设为设定的目标风险阈值;
根据所述用户当前的登录行为的源IP确定所述用户当前的登录行为是代理登录行为时,根据所述源IP对应的代理服务器IP确定所述用户当前的登录行为的所述代理IP风险因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、登录状态、登录时间;所述用户行为因子包括:账号登录失败因子;所述撞库攻击监控装置23,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录且登录状态为登录失败的用户登录行为;
根据所述登录状态为登录失败的用户登录行为的登录时间,计算所述用户账号的单次账号登录失败因子所对应的撞库攻击风险值;
基于所述用户账号的单次账号登录失败因子所对应的撞库攻击风险值,获取所述用户账号的账号登录失败因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、源IP;所述用户行为因子包括:账号源IP分布因子;所述撞库攻击监控装置23,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录时所使用的不同源IP的数量;
根据所述不同源IP的数量确定所述用户账号的账号源IP分布因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、登录的业务系统的标识;所述用户行为因子包括:账号业务分布因子;所述撞库攻击监控装置23,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别登录不同业务系统的数量;
根据所述不同业务系统的数量确定所述用户账号的账号业务分布因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、源IP、登录状态;所述用户行为因子包括:源IP登录失败因子;所述撞库攻击监控装置23,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录且登录状态为登录失败所使用的不同用户账号的数量;
根据所述不同用户账号的数量确定所述源IP的源IP登录失败因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户代理;所述用户行为因子包括:用户代理因子;所述撞库攻击监控装置23,具体用于:
根据设定周期内的用户登录行为的登录信息,统计所述用户代理分别被使用的次数;
根据所述用户代理被使用的次数确定所述用户代理的用户代理因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:源IP、登录操作时延;所述用户行为因子包括:源IP时延因子;所述撞库攻击监控装置23,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录所对应的第一登录次数和至少一个第一登录操作时延;
根据所述至少一个第一登录操作时延获取与所述至少一个第一登录操作时延对应的第一峰度值和第一偏度值;
根据所述第一登录次数、所述第一峰度值和所述第一偏度值,计算所述源IP的源IP时延因子所对应的撞库攻击风险值。
在一可选的实施例中,所述登录信息包括:用户账号、登录操作时延;所述用户行为因子包括:账号时延因子;所述撞库攻击监控装置23,具体用于:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录所对应的第二登录次数和至少一个第二登录操作时延;
根据所述至少一个第二登录操作时延获取与所述至少一个第二登录操作时延对应的第二峰度值和第二偏度值;
根据所述第二登录次数、所述第二峰度值和所述第二偏度值,计算所述用户账号的账号时延因子所对应的撞库攻击风险值。
在一可选的实施例中,所述撞库攻击监控装置23,具体用于:根据设置的撞库攻击不同风险类型所对应的风险阈值范围,判定所述当前用户登录行为的撞库攻击风险值属于所述风险阈值范围时,定位所述当前用户当前的登录行为的撞库攻击风险类型。
下面通过一个具体示例对本实施例作进一步详细的说明,本示例中以风险系数为撞库攻击风险值、每10分钟进行一次代理IP风险因子、账号登录失败因子、账号源IP分布因子、账号业务分布因子、源IP登录失败因子、用户代理因子、源IP时延因子、账号时延因子等8个用户行为因子的风险系数的计算工作为例。
参见图5,其示出了本实施例提供的撞库攻击监控系统的结构,所述撞库攻击监控系统由5大子系统组成,分别包括用户登录指纹信息收集子系统20、用户登录行为收集子系统21、代理服务器IP分析子系统22、撞库攻击综合判定子系统23和风险预警子系统24;其中,用户登录指纹信息收集子系统20内嵌到业务系统中,当用户访问业务系统时,用户登录指纹信息收集子系统20将收集用户访问的IP地址、User-Agent信息,发回到用户登录指纹信息收集子系统20的后台,并保存到用户登录信息库中,同时生成一个用户token提交给业务系统。用户登录行为收集子系统21通过与业务系统的业务风控接口,收集用户登录业务系统的登录信息,包含用户登录指纹信息收集子系统生成的用户token、登录的账号即用户账号、登录的IP地址、登录状态(即成功或失败)等信息,保存到用户登录信息库中。代理服务器IP分析子系统22使用网络爬虫技术定期从互联上获取并更新代理服务器IP信息,保存到代理服务器IP库中。撞库攻击综合判定子系统23为撞库攻击监控系统的核心,根据用户登录信息库、代理服务器IP库、用户行为因子库的信息进行综合分析,自动判定本次用户登录行为是否为撞库攻击行为。对于判定为撞库攻击行为的,将本次用户登录行为对应的用户账号保存到异常账号库。系统运维人员可通过定期梳理撞库攻击监控系统运行过程中自动判定产生的异常账号,并接受各业务系统的反馈,如果撞库攻击监控系统自动判定出现错误,则负责将判断错误的账号从异常账号库中取消,同时保存到误判账号库,并根据需要对用户行为因子库中的用户行为因子进行优化,调整计算参数。
本示例中,获取用户登录行为的登录信息具体以用户登录指纹信息收集和代理服务器IP收集进行说明。其中,用户登录指纹信息收集的流程概括如下:
1)当用户访问业务系统时,用户登录指纹信息收集子系统代码被下载到用户终端,得到执行权;
2)用户登录指纹信息收集子系统获取用户当前用户访问的IP地址、User-Agent信息,并生成用户token信息,传送回用户登录指纹信息收集子系统的后台,保存到用户登录信息库中;
3)同时,用户在业务系统中进行登录操作时,用户登录指纹信息收集子系统将用户token信息包含于用户登录信息中,一起传送到业务系统;
4)业务系统调用业务系统的业务风控接口,将本次用户登录的信息,包含用户账号、登录的IP地址、登录状态、用户token信息发送到用户登录行为收集子系统;
5)用户登录行为收集子系统接收到这些登录信息后,将所有信息合并后写入用户登录信息库中。
这里,用户登录指纹信息收集子系统可以是一个由JavaScript编写的程序,内嵌于业务系统中;所述用户token信息是用户标识信息。
其中,代理服务器IP收集以及分析流程,概括如下:
6)代理服务器IP分析子系统每天定时运行,通过使用网络爬虫模块,从互联网专门收集代理服务器的网站,例如http://31f.cn/、http://www.kuaidaili.com/free/inha等,通过分析收集的代理服务器的网站对应的网页等方式,获取最新的代理服务器IP地址;
7)代理服务器IP分析子系统将收集到的代理服务器IP地址保存到代理服务器IP库中,同时更新相应IP的更新时间信息;
8)更新完成后,检查代理服务器IP库中的所有IP信息和最后更新时间,对于1个月以上没有得到更新的IP,移动到异常IP库;
9)运维人员定期检查异常IP库,使用自动化工具或是手工确认该代理服务器IP是否可用,如仍可用可再次移入到代理服务器IP库中,同时修改更新时间信息。
本示例中,确定所述用户当前的登录行为的撞库攻击风险值具体以撞库攻击综合分析流程进行说明,其中,撞库攻击综合分析流程概括如下:
10)撞库攻击综合判定子系统从用户登录信息库中获取最新的用户登录行为的登录信息;
11)首先与代理服务器IP库进行比较,判定本次用户登录行为是否通过代理服务器发起,即判断本次用户登录行为的源IP是否存在于代理服务器IP库中;
12)如果属于代理服务器发起即本次用户登录行为的源IP存在于代理服务器IP库中,则重新计算该源IP的代理IP风险因子的风险系数,更新代理服务器IP库中的信息,设置本次用户登录行为对应的代理IP风险因子的风险系数为该值;如果不属于代理服务器发起即本次用户登录行为的源IP不存在于代理服务器IP库中,则取本次用户登录行为对应的代理IP风险因子的风险系数为0;
13)根据历史用户登录行为的登录信息,获取本次登录操作其他用户行为因子的风险系数;具体如下:
(一)代理IP风险因子的风险系数y1:以时间加权计算,分析一定时间内同一个代理服务器IP被使用的情况,代理IP风险因子的风险系数越高,使用该代理服务器IP进行登录的用户登录行为的撞库攻击风险越大。其中,
为了确保y1总体范围在0~10之间,获取y1后执行公式y1=y1>10?10:y1。
以30天为一个极限,超过30天没有使用的代理服务器IP,撞库攻击风险已很小,代理IP风险因子的风险系数统一为0。最后使用日期距离当前日期越近的代理服务器IP,对应的撞库攻击风险越大,风险系数呈指数方式。总使用次数超过10000次后,开始计算该代理服务器IP的风险系数,该风险系数呈线性方式。为确保y1总体范围在0~10之间,总体风险控制值以200为控制点,超过此值的撞库攻击风险已较大。最终,使得代理IP风险因子的风险系数控制在0-10之间。因此,如果用户登录行为的源IP属于代理服务器IP库的范围,则取该源IP的代理IP风险因子的风险系数为本次用户登录行为的代理IP风险因子对应的风险系数;如果用户登录行为的源IP不属于代理服务器IP库的范围,则本次用户登录行为的代理IP风险因子对应的风险系数直接取0。
(二)账号登录失败因子的风险系数y2:以时间加权计算,分析10分钟内同一个用户账号登录失败的情况,风险系数越大,撞库攻击风险越大。yy2表示用户账号单次登录失败产生的风险系数,最大值为10,最小值为0;其中,
总风险系数即风险系数的平均值,N表示10分钟内同一个用户账号登录失败次数。
登录失败的计数时间在初期设置为10分钟,账号登录失败因子的总体风险系数控制值也设置为10,以确保yy2总体范围在0~10之间。
(三)账号源IP分布因子的风险系数:分析短时间比如1个小时内同一个用户账号登录时使用不同的源IP的情况,不同的源IP数量越大,撞库攻击风险也越大。
通过对大量数据进行统计,登录涉及的源IP数量总体控制值以100为例,1个小时内同一用户账号登录涉及的源IP数量总和超过此值将有极大风险。账号源IP分布因子的风险系数与登录涉及的源IP数量呈线性关系,以(登录涉及的源IP数量/100)*10得到账号源IP分布因子的风险系数,该风险系数控制在(0,10)之间。
(四)账号业务分布因子的风险系数:分析短时间比如1个小时内同一个用户账号在不同的业务系统上登录情况,不同的业务系统数量越多,撞库攻击风险越大。
通过对大量数据进行统计,单一用户账号登录不同业务系统数量的控制值以20为例,1个小时内单一用户账号登录涉及的不同业务系统数量总和超过此值将有极大风险。账号业务分布因子的风险系数与登录涉及业务系统数量呈线性关系,以(登录涉及业务系统数量/20)*10得到账号业务分布因子的风险系数,该风险系数控制在(0,10)之间。
(五)源IP登录失败因子的风险系数:分析短时间比如1个小时内同一个源IP出现的不同用户账号登录失败情况,用户账号分布越多,撞库攻击风险越大。
通过对大量数据进行统计,同一个源IP短时间内涉及的用户账号失败数量控制值以50为例,1个小时内该源IP登录涉及的用户账号登录失败数量总和超过此值将有极大风险。源IP登录失败因子的风险系数与登录失败涉及用户账号数量呈线性关系,以(登录失败涉及用户账号数量/50)*10得到源IP登录失败因子的风险系数,该风险系数控制在(0,10)之间。
(六)用户代理因子的风险系数:以时间加权计算,分析短时间内相同用户代理即同一终端登录的情况,同一终端登录次数越多,撞库攻击风险越大。
对于User-Agent相同的登录操作,认为是从同一终端发出的。通过对大量数据进行统计,同一终端短时间内登录次数控制值以30为例,1个小时内同一用户代理被使用的次数即相同终端的登录次数超过此值时将有很大风险,以(登录次数/30)*10得到用户代理因子的风险系数,该风险系数控制在(0,10)之间。
(七)源IP时延因子的风险系数:以业务系统接收到用户token的时间和业务系统中用户实际登录提交时间之差为登录操作时延,统计登录操作时延的分布情况,越趋向正态分布,撞库攻击风险越小。
统计1小时内使用相同源IP进行登录的用户登录行为,即使用相同源IP发起的登录请求的登录操作时延,并计算这些登录操作时延的峰度值(Kurtosis)和偏度值(Skewness)。峰度值是对登录操作时延构成的分布的峰值是否突兀或是平坦的描述。当时间序列的曲线峰值比正态分布的高时,其峰度值大于3。当时间序列的曲线峰值比正态分布的低时,其峰度值小于3。偏度值是对登录操作时延构成的分布的对称性状况的描述,若偏度度为负,则登录操作时延均值左侧的离散度比右侧强。若偏度为正,则登录操作时延均值左侧的离散度比右侧弱。
设1小时内使用相同源IP发起的登录请求的数量为M,则偏度系数和峰度系数的检验准则为:
偏度系数=(|Skewness|/Sqrt(6/M))*5;
峰度系数=(|Kurtosis|/Sqrt(24/M))*5;
控制偏度系数与峰度系数在0~10之间,当大于10时直接取10即可,最终的源IP时延因子的风险系数取偏度系数与峰度系数之间的最大值。
(八)账号时延因子的风险系数:以业务系统接收到用户token的时间和业务系统中用户实际登录提交时间之差为登录操作时延,统计登录操作时延分布情况,越趋向正态分布,撞库攻击风险越小。
统计1小时内使用相同用户账号发起的登录请求的登录操作时延,并计算这些登录操作时延的峰度值(Kurtosis)和偏度值(Skewness)。设1小时内使用相同用户账号发起的登录请求的数量为M,则偏度系数和峰度系数的检验准则为:
偏度系数=(|Skewness|/Sqrt(6/M))*5;
峰度系数=(|Kurtosis|/Sqrt(24/M))*5;
控制偏度系数与峰度系数在0~10之间,当大于10时直接取10即可,最终的账号时延因子的风险系数取偏度系数与峰度系数之间的最大值。
14)计算完成后,取上述8个用户行为因子的风险系数的最大值作为本次用户登录行为的风险系数;
具体地,接收到业务系统的用户登录信息后,根据用户登录信息中的登录IP、用户账号、业务系统的ID、登录状态、登录操作时延等相关数据,找与本次用户登录行为对应的用户行为因子,获取对应的8个风险系数。对于属于代理服务器访问的,从所有8个风险系数中取最大的风险系数作为本次用户登录行为的风险值。对于不属于代理服务器访问的,从除代理IP因子的风险系数之外的另外7个风险系数中取最大的风险系数作为本次用户登录行为的风险值。
15)根据本次用户登录行为的风险系数以及不同风险类型对应的风险系数区间范围,判定本次用户登录行为的性质,如果判定为撞库攻击行为,则将用户账户信息写入异常账号库;
这里,可设定几个风险类型以及对应的风险值范围,比如将风险值小于3判定为低风险,风险值大于3且小于5判定为疑似撞库,风险值大于5且小于7判定为撞库,风险值大于8且小于10判定为严重撞库。
16)风险预警子系统将异常账号信息反馈到各业务系统。
综上,撞库攻击监控系统通过用户登录指纹信息收集流程,获取用户登录行为的相关信息,通过撞库攻击综合分析流程,分析并计算用户登录行为的风险值,并将用户登录行为的风险值返回业务系统,以使业务系统根据风险值决定如何应对本次用户登录行为。因此,上述实时撞库攻击风控流程能够满足业务系统对于实时风控的需求,其实质是用户登录指纹信息收集流程与撞库攻击综合分析流程的整合,而通过业务系统的业务风控接口实时将判定结果返回给业务系统。
此外,运维人员可定期梳理系统运行过程中自动判定产生的异常账号,并接受各业务系统的反馈,如果系统自动判定出现错误,则负责将判断错误的账号从异常账号库中取消,同时保存到误判账号库。需要说明的是,用户行为因子中的各种计算常量,是根据系统长期运行产生的数据进行统计分析而计算得出,运维人员通过统计系统在一定时间比如半年内的运行数据,结合误判账号信息,以及历史数据进行综合计算,可重新确定各计算常量的值,从而提高用户行为因子的计算准确性。
本示例是以用户正常登录行为与撞库攻击下的用户登录行为的特征分析为基础,设置有效的用户行为因子,建立用户行为分析模型,通过人工智能AI技术,从海量数据分析中不断优化模型中各用户行为因子的加权权重,从而不断提升识别的精准度,减少误判率。同时,针对当前不断出现的通过代理服务器进行分布式攻击的行为,增加了代理服务器识别机制,通过网络爬虫技术搜集代理服务器地址,形成代理服务器地址库,并依据代理服务器地址被使用的频率、最近使用时间等参数进行加权分析,形成访问源地址风险库,配合用户登录行为分析,能够准确识别通过代理服务器实施的分布式撞库攻击行为。同时,也可以理解为,为了提高对撞库攻击行为的识别能力,同时减少对正常业务开展的影响,本示例提供了一种在不影响正常用户使用的情况下,能够安全地、自适应地、弹性地防止撞库攻击行为的技术方案,即通过研究正常用户登录行为与撞库攻击下的用户登录行为的差异,设计一组用户行为因子,根据用户登录行为发起的源IP、登录的操作频率、登录成功率、用户代理(User-Agent)等信息,获取每个用户行为因子的撞库攻击风险值,然后,通过概率论统计分析,设定一组撞库攻击的风险控制阈值,根据这些风险控制阈值,业务系统可以制定不同的策略来阻止撞库攻击行为(如普通验证码、智能验证码、短信验证、锁定账号等)。
综上,上述实施例提供的撞库攻击监控系统在撞库攻击监控过程中,引入代理服务器IP分析方法,支持从不同的代理服务器发起的多源撞库攻击行为;引入用户行为因子概念,通过8个用户行为因子的风险系数的计算,科学地、准确地识别撞库攻击行为;引入自适应、弹性防护概念,以0-10之间的风险系数为基础,不同的风险级别,业务系统可以采取不同的应对措施,在保障系统安全的同时尽可能减少对业务的开展的影响。因此,与单纯增强登录验证手段相比,本示例提供的方案可以根据用户登录行为的风险系数值,由业务系统自适应地、弹性地决定自己的防护措施,尽可能少地影响业务开展;与网络层增加撞库攻击分析设备相比,本示例提供的方案可以与业务系统无缝集成,即支持离线方式的风险预警,也支持实时风险阻断,业务系统通过接口可以实时获取用户登录行为的风险值,以便灵活决定采取的防护措施。与基于用户异常行为分析人工智能法相比,本示例提供的方案增加了对于代理服务器的识别和分析能力,同时引入用户行为因子概念,通过8个用户行为因子的风险系数的计算,科学地、准确地识别撞库攻击行为,避免了简单通过用户登录成功率分析造成的误判和漏判。此外,本示例提供的方案的优点是在日常情况下用户登录环节不需要设置更复杂的验证措施,方便用户使用,而发现撞库行为时再临时增加相应的措施,不影响正常用户的使用。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和范围之内所作的任何修改、等同替换和改进等,均包含在本发明的保护范围之内。

Claims (16)

1.一种撞库攻击监控方法,其特征在于,所述方法包括:
获取用户登录行为的登录信息;
根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值;
根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值;
根据所述用户当前的登录行为的撞库攻击风险值,定位所述用户当前的登录行为的撞库攻击风险类型。
2.根据权利要求1所述的方法,其特征在于,所述根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值,包括:
根据所述用户当前的登录行为的登录信息确定对应的目标用户行为因子;
基于所述目标用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值。
3.根据权利要求1所述的方法,其特征在于,所述登录信息包括:源IP、登录时间;所述用户行为因子包括:代理IP风险因子;
所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计每个代理登录行为使用的代理服务器IP分别作为源IP被使用的次数和最近一次被使用时的登录时间;
根据所述被使用的次数和所述最近一次被使用时的登录时间,计算所述代理服务器IP分别对应的代理IP风险因子的撞库攻击风险值。
4.根据权利要求3所述的方法,其特征在于,所述根据所述至少一个用户行为因子所对应的撞库攻击风险值,确定所述用户当前的登录行为的撞库攻击风险值,包括:
根据所述用户当前的登录行为的源IP确定所述用户当前的登录行为是非代理登录行为时,将所述用户当前的登录行为的所述代理IP风险因子所对应的撞库攻击风险值设为设定的目标风险阈值;
根据所述用户当前的登录行为的源IP确定所述用户当前的登录行为是代理登录行为时,根据所述源IP对应的代理服务器IP确定所述用户当前的登录行为的所述代理IP风险因子所对应的撞库攻击风险值。
5.根据权利要求1所述的方法,其特征在于,所述登录信息包括:用户账号、登录状态、登录时间;所述用户行为因子包括:账号登录失败因子;
所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录且登录状态为登录失败的用户登录行为;
根据所述登录状态为登录失败的用户登录行为的登录时间,计算所述用户账号的单次账号登录失败因子所对应的撞库攻击风险值;
基于所述用户账号的单次账号登录失败因子所对应的撞库攻击风险值,获取所述用户账号的账号登录失败因子所对应的撞库攻击风险值。
6.根据权利要求1所述的方法,其特征在于,所述登录信息包括:用户账号、源IP;所述用户行为因子包括:账号源IP分布因子;
所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录时所使用的不同源IP的数量;
根据所述不同源IP的数量确定所述用户账号的账号源IP分布因子所对应的撞库攻击风险值。
7.根据权利要求1所述的方法,其特征在于,所述登录信息包括:用户账号、登录的业务系统的标识;所述用户行为因子包括:账号业务分布因子;
所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别登录不同业务系统的数量;
根据所述不同业务系统的数量确定所述用户账号的账号业务分布因子所对应的撞库攻击风险值。
8.根据权利要求1所述的方法,其特征在于,所述登录信息包括:源IP、用户账号、登录状态;所述用户行为因子包括:源IP登录失败因子;
所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录且登录状态为登录失败所使用的不同用户账号的数量;
根据所述不同用户账号的数量确定所述源IP的源IP登录失败因子所对应的撞库攻击风险值。
9.根据权利要求1所述的方法,其特征在于,所述登录信息包括:用户代理;所述用户行为因子包括:用户代理因子;
所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计所述用户代理分别被使用的次数;
根据所述用户代理被使用的次数确定所述用户代理的用户代理因子所对应的撞库攻击风险值。
10.根据权利要求1所述的方法,其特征在于,所述登录信息包括:源IP、登录操作时延;所述用户行为因子包括:源IP时延因子;
所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述源IP分别进行登录所对应的第一登录次数和至少一个第一登录操作时延;
根据所述至少一个第一登录操作时延获取与所述至少一个第一登录操作时延对应的第一峰度值和第一偏度值;
根据所述第一登录次数、所述第一峰度值和所述第一偏度值,计算所述源IP的源IP时延因子所对应的撞库攻击风险值。
11.根据权利要求1所述的方法,其特征在于,所述登录信息包括:用户账号、登录操作时延;所述用户行为因子包括:账号时延因子;
所述根据所述用户登录行为的登录信息,计算至少一个用户行为因子所对应的撞库攻击风险值,包括:
根据设定周期内的用户登录行为的登录信息,统计使用所述用户账号分别进行登录所对应的第二登录次数和至少一个第二登录操作时延;
根据所述至少一个第二登录操作时延获取与所述至少一个第二登录操作时延对应的第二峰度值和第二偏度值;
根据所述第二登录次数、所述第二峰度值和所述第二偏度值,计算所述用户账号的账号时延因子所对应的撞库攻击风险值。
12.根据权利要求1所述的方法,其特征在于,所述根据所述用户当前的登录行为的撞库攻击风险值,定位所述用户当前的登录行为的撞库攻击风险类型,包括:
根据设置的撞库攻击不同风险类型所对应的风险阈值范围,判定所述当前用户登录行为的撞库攻击风险值属于所述风险阈值范围时,定位所述当前用户当前的登录行为的撞库攻击风险类型。
13.一种撞库攻击监控装置,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,实现权利要求1至12任一项所述撞库攻击监控方法。
14.一种计算机存储介质,其特征在于,存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1至12任一项所述撞库攻击监控方法。
15.一种撞库攻击监控系统,其特征在于,所述撞库攻击监控系统包括:用户登录指纹信息收集子系统、用户登录行为收集子系统、代理服务器IP分析子系统和如权利要求13所述的撞库攻击监控装置;其中,
所述用户登录指纹信息收集子系统,用于收集并存储用户访问业务系统的源IP和用户代理;
所述用户登录行为收集子系统,用于收集并存储用户登录所述业务系统的登录账号、登录状态、登录时间、登录操作时延和所述业务系统的标识;
所述代理服务器IP分析子系统,用于收集并存储代理服务器对应的代理服务器IP;
所述撞库攻击监控装置,用于获取所述用户登录指纹信息收集子系统、所述用户登录行为收集子系统及所述代理服务器IP分析子系统收集的用户登录行为的登录信息。
16.根据权利要求15所述的撞库攻击监控系统,其特征在于,所述撞库攻击监控系统还包括:风险预警子系统;其中,
所述风险预警子系统,用于当所述用户当前的登录行为的撞库攻击风险类型为设定目标类型时,向所述业务系统发送所述用户当前的登录行为的登录账号。
CN201810168200.6A 2018-02-28 2018-02-28 一种撞库攻击监控方法、装置、系统及计算机存储介质 Active CN110213199B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810168200.6A CN110213199B (zh) 2018-02-28 2018-02-28 一种撞库攻击监控方法、装置、系统及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810168200.6A CN110213199B (zh) 2018-02-28 2018-02-28 一种撞库攻击监控方法、装置、系统及计算机存储介质

Publications (2)

Publication Number Publication Date
CN110213199A true CN110213199A (zh) 2019-09-06
CN110213199B CN110213199B (zh) 2022-05-13

Family

ID=67778897

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810168200.6A Active CN110213199B (zh) 2018-02-28 2018-02-28 一种撞库攻击监控方法、装置、系统及计算机存储介质

Country Status (1)

Country Link
CN (1) CN110213199B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111083165A (zh) * 2019-12-31 2020-04-28 支付宝(杭州)信息技术有限公司 基于联合防撞库平台的登录拦截方法和系统
CN111835782A (zh) * 2020-07-21 2020-10-27 山石网科通信技术股份有限公司 网络设备的登录防护方法、装置、存储介质和处理器
CN112131551A (zh) * 2020-09-25 2020-12-25 平安国际智慧城市科技股份有限公司 验证码验证方法、装置、计算机设备及可读存储介质
CN112738006A (zh) * 2019-10-28 2021-04-30 深信服科技股份有限公司 识别方法、设备及存储介质
WO2021093051A1 (zh) * 2019-11-15 2021-05-20 网宿科技股份有限公司 一种ip地址的评估方法、系统及设备
CN112825519A (zh) * 2019-11-21 2021-05-21 北京沃东天骏信息技术有限公司 一种识别异常登录的方法和装置
CN112861120A (zh) * 2019-11-27 2021-05-28 深信服科技股份有限公司 识别方法、设备及存储介质
CN113114620A (zh) * 2021-03-02 2021-07-13 深信服科技股份有限公司 一种暴力破解的检测方法和装置,及存储介质
CN113574841A (zh) * 2020-02-28 2021-10-29 深信服科技股份有限公司 一种信息处理方法及装置、设备、存储介质
CN113591076A (zh) * 2021-07-26 2021-11-02 招商银行股份有限公司 撞库行为检测方法、系统、设备及计算机程序产品

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140298093A1 (en) * 2013-03-28 2014-10-02 Oracle International Corporation User operation history for web application diagnostics
CN106209862A (zh) * 2016-07-14 2016-12-07 微梦创科网络科技(中国)有限公司 一种盗号防御实现方法及装置
CN106327324A (zh) * 2016-08-23 2017-01-11 杭州同盾科技有限公司 一种网络行为特征的快速计算方法和系统
CN106529288A (zh) * 2016-11-16 2017-03-22 智者四海(北京)技术有限公司 一种帐号风险识别方法及装置
CN106603555A (zh) * 2016-12-29 2017-04-26 杭州迪普科技股份有限公司 一种防护撞库攻击的方法及装置
CN107172104A (zh) * 2017-07-17 2017-09-15 顺丰科技有限公司 一种登录异常检测方法、系统及设备
CN107169499A (zh) * 2016-03-07 2017-09-15 阿里巴巴集团控股有限公司 一种风险识别方法及装置
CN107347052A (zh) * 2016-05-05 2017-11-14 阿里巴巴集团控股有限公司 检测撞库攻击的方法及装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140298093A1 (en) * 2013-03-28 2014-10-02 Oracle International Corporation User operation history for web application diagnostics
CN107169499A (zh) * 2016-03-07 2017-09-15 阿里巴巴集团控股有限公司 一种风险识别方法及装置
CN107347052A (zh) * 2016-05-05 2017-11-14 阿里巴巴集团控股有限公司 检测撞库攻击的方法及装置
CN106209862A (zh) * 2016-07-14 2016-12-07 微梦创科网络科技(中国)有限公司 一种盗号防御实现方法及装置
CN106327324A (zh) * 2016-08-23 2017-01-11 杭州同盾科技有限公司 一种网络行为特征的快速计算方法和系统
CN106529288A (zh) * 2016-11-16 2017-03-22 智者四海(北京)技术有限公司 一种帐号风险识别方法及装置
CN106603555A (zh) * 2016-12-29 2017-04-26 杭州迪普科技股份有限公司 一种防护撞库攻击的方法及装置
CN107172104A (zh) * 2017-07-17 2017-09-15 顺丰科技有限公司 一种登录异常检测方法、系统及设备

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112738006B (zh) * 2019-10-28 2023-11-07 深信服科技股份有限公司 识别方法、设备及存储介质
CN112738006A (zh) * 2019-10-28 2021-04-30 深信服科技股份有限公司 识别方法、设备及存储介质
WO2021093051A1 (zh) * 2019-11-15 2021-05-20 网宿科技股份有限公司 一种ip地址的评估方法、系统及设备
CN112825519A (zh) * 2019-11-21 2021-05-21 北京沃东天骏信息技术有限公司 一种识别异常登录的方法和装置
CN112825519B (zh) * 2019-11-21 2024-04-09 北京沃东天骏信息技术有限公司 一种识别异常登录的方法和装置
CN112861120A (zh) * 2019-11-27 2021-05-28 深信服科技股份有限公司 识别方法、设备及存储介质
CN111083165A (zh) * 2019-12-31 2020-04-28 支付宝(杭州)信息技术有限公司 基于联合防撞库平台的登录拦截方法和系统
CN111083165B (zh) * 2019-12-31 2022-03-29 支付宝(杭州)信息技术有限公司 基于联合防撞库平台的登录拦截方法和系统
CN113574841A (zh) * 2020-02-28 2021-10-29 深信服科技股份有限公司 一种信息处理方法及装置、设备、存储介质
CN111835782A (zh) * 2020-07-21 2020-10-27 山石网科通信技术股份有限公司 网络设备的登录防护方法、装置、存储介质和处理器
CN112131551A (zh) * 2020-09-25 2020-12-25 平安国际智慧城市科技股份有限公司 验证码验证方法、装置、计算机设备及可读存储介质
CN113114620A (zh) * 2021-03-02 2021-07-13 深信服科技股份有限公司 一种暴力破解的检测方法和装置,及存储介质
CN113591076A (zh) * 2021-07-26 2021-11-02 招商银行股份有限公司 撞库行为检测方法、系统、设备及计算机程序产品

Also Published As

Publication number Publication date
CN110213199B (zh) 2022-05-13

Similar Documents

Publication Publication Date Title
CN110213199A (zh) 一种撞库攻击监控方法、装置、系统及计算机存储介质
US20080222706A1 (en) Globally aware authentication system
US20140173723A1 (en) Reputation of network address
CA3089005A1 (en) Intelligent security risk assessment
Ahmed et al. Detecting Computer Intrusions Using Behavioral Biometrics.
KR102024142B1 (ko) 사용자의 서버접근 패턴 기반 이상 사용자를 탐지 및 제어하는 접근통제 시스템
Sathya et al. Discriminant analysis based feature selection in kdd intrusion dataset
CN109361685B (zh) 一种防止恶意请求的方法
US20210234877A1 (en) Proactively protecting service endpoints based on deep learning of user location and access patterns
EP3750275B1 (en) Method and apparatus for identity authentication, server and computer readable medium
JP2015170219A (ja) アクセス管理方法およびアクセス管理システム
US20180146002A1 (en) Cyber Security System and Method Using Intelligent Agents
CN114615016B (zh) 一种企业网络安全评估方法、装置、移动终端及存储介质
CN102143168A (zh) 基于linux平台服务器安全性能实时监控方法及系统
CN114338105B (zh) 一种基于零信任信创堡垒机系统
CN117478433B (zh) 一种网络与信息安全动态预警系统
US20240089260A1 (en) System and method for graduated deny list
CN117708880A (zh) 一种银行业务数据智能安全处理方法及系统
CN117201060A (zh) 零信任访问主体身份认证授权访问资源方法及相关装置
CN112214772A (zh) 一种特权凭证集中管控与服务系统
CN112769739A (zh) 数据库操作违规处理方法、装置及设备
US20090234827A1 (en) Citizenship fraud targeting system
CN108600178A (zh) 一种征信数据的安全保障方法及系统、征信平台
CN114745143A (zh) 一种访问控制策略自动生成方法及装置
CN117390708B (zh) 一种隐私数据安全保护方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant