CN110417717A - 登录行为的识别方法及装置 - Google Patents
登录行为的识别方法及装置 Download PDFInfo
- Publication number
- CN110417717A CN110417717A CN201811488937.2A CN201811488937A CN110417717A CN 110417717 A CN110417717 A CN 110417717A CN 201811488937 A CN201811488937 A CN 201811488937A CN 110417717 A CN110417717 A CN 110417717A
- Authority
- CN
- China
- Prior art keywords
- client
- data packet
- login
- server
- difference
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及信息安全技术领域,具体是一种登录行为的识别方法及装置。本发明从客户端登录服务器过程产生的交互数据中提取校验数据,对校验数据包含的客户端请求数据包和服务器响应数据包进行大小判断,识别出客户端登录状态,进而根据客户端的登陆状态确定客户端登录失败的次数,根据登录失败的次数来识别客户端登录为爆破登录行为还是正常登录行为,达到区分正常流量和恶意流量、识别黑客攻击、提升IDS安全防御能力的效果。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种登录行为的识别方法及装置。
背景技术
目前,入侵检测引擎Suricata仅能对协议进行识别,而为了使软件效率更高,识别到协议之后,会将剩余的包忽略处理。该处理方式过于粗暴,无法做到更细粒度的检测。
SSH协议为常见的登录认证协议,黑客可以以SSH爆破为突破口,渗透服务器或内网,因此识别SSH爆破行为尤为重要。当前版本的Suricata无法做到识别SSH协议之后,对用户的认证请求为成功或失败做出判断,也就无法识别黑客入侵前期做的爆破流量,检测能力较弱。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
针对现有技术的上述问题,本发明的目的在于提供一种登录行为的识别方法及装置,其能够识别客户端登录成功或失败,并能够准确统计登录失败的次数,识别恶意流量。
一方面,本发明提供一种登录行为的识别方法,所述方法包括:
获取客户端登录服务器过程中产生的校验数据,所述校验数据包括客户端请求数据包和服务器响应数据包;
比对所述客户端请求数据包和服务器响应数据包的大小,识别客户端登录状态,所述登录状态包括登录成功和登录失败;
根据所述客户端的登陆状态确定所述客户端登录失败的次数;
根据所述客户端登录失败的次数和预设的登录次数阈值,识别客户端登录是否为爆破登录行为。
另一方面,本发明还提供一种登录行为的识别装置,所述装置包括:
获取单元,用于获取客户端登录服务器过程中产生的校验数据,所述校验数据包括客户端请求数据包和服务器响应数据包;
第一识别单元,用于比对所述客户端请求数据包和服务器响应数据包的大小,识别客户端登录状态,所述登录状态包括登录成功和登录失败;
统计单元,用于根据所述客户端的登陆状态确定所述客户端登录失败的次数;
第二识别单元,用于根据所述客户端登录失败的次数和预设的登录次数阈值,识别客户端登录是否为爆破登录行为。
优选地,所述获取单元还用于:获取客户端登录服务器过程中产生的交互数据,所述交互数据包含多个拆分数据包;
分析所述拆分数据包的包头信息,将属于同一完整数据包的所述拆分数据包组成数据包集合;
判断所述数据包集合中的拆分数据包是否包含预设的目标协议,若是,对所述数据包集合中的所述拆分数据包进行重组,形成原数据包;
根据客户端登录服务器过程中的流量变化,识别所述原数据包对应的目标登录阶段;
从所述目标登陆阶段所对应的原数据包中提取客户端请求数据包和服务器响应数据包,所述客户端请求数据包为所述客户端向所述服务器发送登录请求携带的数据包,所述服务器响应数据包为服务器响应所述客户端的登录请求返回的数据包,所述客户端请求数据包与所述服务器响应数据包一一对应。
优选地,所述预设的目标协议为SSH协议。
优选地,所述第二识别单元还用于:判断所述客户端登录失败的次数是否大于所述登录次数阈值;当所述客户端登录失败的次数大于所述登录次数阈值时,判定所述客户端登录为爆破登录行为;当所述客户端登录失败的次数不大于所述登录次数阈值时,判定所述客户端登录为正常登录行为。
进一步地,所述装置还包括输出单元,所述输出单元用于:当所述第二识别单元识别出所述客户端登录为爆破登录行为时,生成并输出告警日志。
由于上述技术方案,本发明具有如下有益效果:
本发明提供一种登录行为的识别方案,从客户端登录服务器过程产生的交互数据中提取校验数据,对校验数据包含的客户端请求数据包和服务器响应数据包进行大小判断,识别出客户端登录状态是成功还是失败,进而根据客户端的登陆状态确定客户端登录失败的次数,根据登录失败的次数来识别客户端登录为爆破登录行为还是正常登录行为,区分正常流量和恶意流量,识别黑客攻击,提升IDS安全防御能力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1是本发明实施例提供的登录行为的识别方法的一种可选系统架构示意图;
图2是本发明实施例提供的登录行为的识别的流程示意图;
图3是本发明实施例提供的获取校验数据的方法的流程示意图;
图4是本发明实施例提供的识别客户端登录状态的一种方法的流程示例图;
图5是本发明实施例提供的识别客户端登录状态的一种方法的流程示例图;
图6是本发明实施例提供的SSH协议认证识别的原理示意图;
图7是本发明实施例提供的登录行为的识别装置的一种结构示意图;
图8是本发明实施例提供的登录行为的识别装置的一种结构示意图;
图9是本发明实施例提供的一种服务器的硬件结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在对本发明实施例进行详细说明之前,首先对本发明实施例涉及的概念进行如下解释:
Suricata:是一款开源高性能的网络入侵检测和防护引擎,支持IPS(IntrusionPrevention System,入侵防御系统)与NSM(网络安全监控)模式。该引擎是多线程的,内置支持IPV6。可加载现有的Snort规则和签名,支持Barnyard和Barnyard2工具。
IDS:IDS为Intrusion Detection Systems的缩写,即入侵检测系统。依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
SSH协议:SSH为Secure Shell的缩写,即安全外壳协议,由IETF的网络小组(Network Working Group)所制定;SSH为建立在应用层基础上的安全协议,是目前较可靠的专为远程登录会话和其他网络服务提供安全性的协议,利用SSH协议可以有效防止远程管理过程中的信息泄露问题。SSH客户端适用于多种平台,几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix,以及其他平台,都可运行SSH。
目前,为提高软件效率,入侵检测引擎在对SSH协议进行识别后即将数据包丢弃,其处理方式过于简单,无法在识别出SSH协议后对认证是否成功做出判断,也无法识别黑客入侵前期做的爆破流量,检测能力较弱。
为解决上述问题,本发明实施例提供一种登录行为的识别方案,在识别出SSH协议后,通过比对客户端请求数据包和服务器响应数据包的大小,识别客户端登录是成功或失败,从而可以统计失败次数来识别恶意流量,提升IDS的安全防御能力。
下面结合附图对本发明实施例中的技术方案进行清楚、完整的描述。
图1是本发明实施例提供的登录行为的识别方法的一种可选系统架构示意图,如图1所示,该系统架构可以包括客户端100、服务器200和识别装置300,所述客户端100可以与服务器200进行信息交互,所述识别装置300能够抓取客户端100与服务器200之间的通信数据。
具体的,所述客户端100可以包括智能手机、台式电脑、平板电脑、笔记本电脑、数字助理、智能可穿戴设备等类型的实体设备;其中,智能可穿戴设备可以包括智能手环、智能手表、智能眼镜、智能头盔等。当然,所述客户端100并不限于上述具有一定实体的电子设备,其还可以为运行于上述电子设备中的软体。具体的,例如,所述客户端100可以为微信、微博等服务商提供给用户的网页页面,也可以为该些服务商提供给用户的应用。
具体的,所述服务器200可以包括一个独立运行的服务器,或者分布式服务器,或者由多个服务器组成的服务器集群。服务器200可以包括有实现所述客户端的相关功能的功能组件和基础数据。
具体的,所述识别装置300可内置于终端或者服务器,并能够通过抓包工具抓取客户端100与服务器200之间的交互数据,以及对抓取的交互数据进行筛选、存储和识别等处理,包括:从交互数据中筛选出校验数据,通过比对校验数据中客户端请求数据包和服务器响应数据包的大小识别客户端登录是成功或失败,进而根据客户端登录失败的次数判断其登录行为是否为爆破登录行为。
显然,上述系统架构仅是一种可选示例,进行登录行为识别的识别装置300在系统中的位置和连接并不限于上述示例,可以根据具体的系统情况和要求而调整。
以下介绍本发明登录行为的识别方法的一种实施例,图2示出了本发明实施例提供的登录行为的识别方法的流程示意图,该流程可以由识别装置300执行实现,本说明书提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或客户端产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。请参见图2,该登录行为的识别方法包括:
步骤S201、获取客户端登录服务器过程中产生的校验数据,所述校验数据包括客户端请求数据包和服务器响应数据包。
本说明书实施例中,所述校验数据为客户端登录服务器过程中产生的预设协议类型对应的交互数据。请参见图3,所述校验数据的获取方法可以包括如下步骤:
S301:获取客户端登录服务器过程中产生的交互数据,所述交互数据包含多个拆分数据包。
本实施例以预设协议类型为SSH协议为例进行说明,可以通过运行Suricata开源IDS,检测客户端向服务器发起SSH登录请求后产生的数据,该登录过程可分为五个阶段:
(1)版本号协商阶段
包括客户端向服务器发起SSH连接请求,服务器向客户端发起版本协商,确定使用的版本。
(2)密钥-算法协商阶段
由于SSH支持多种加密算法,客户端和服务器需根据各自支持的算法,协商出最终使用的算法。具体包括:
a.服务器和客户端分别发送算法协商报文给对端,报文中包含自己支持的公钥算法列表、加密算法列表、MAC(Message Authentication Code,消息验证码)算法列表、压缩算法列表等;
b.服务器和客户端根据对端和本端支持的算法列表得出最终使用的算法;
c.服务器和客户端利用DH交换(Diffie-Hellman Exchange)算法、主机密钥对等参数,生成会话密钥和会话ID。
d.客户端端发送SSH2_MSG_NEWKEYS到服务器;
e.客户端发送SSH2_MSG_SERVICE_REQUEST到服务器。
(3)认证阶段
进入认证阶段,客户端向服务器发起认证请求,服务器对客户端的认证做出响应,具体可以包括:
a.客户端向服务器发送认证请求,认证请求中包含用户名、认证方法、与该认证方法相关的内容(如:password认证时,认证方法相关的内容为密码)。
b.服务器对客户端进行认证,如果认证失败,则向客户端发送认证失败消息,认证失败消息中包含可以再次认证的方法列表。如果认证成功,则该认证的方法列表为空。
c.如果认证失败,客户端从认证方法列表中选取一种认证方法再次进行认证。
d.以上步骤a至c的过程反复进行,直到认证成功或者认证次数达到上限,认证成功则客户端登录服务器成功,认证次数达到上限时服务器关闭连接。
(4)会话请求阶段
认证成功后,客户端向服务器发送会话请求。
(5)交互会话阶段:
会话请求通过后,客户端可与服务器进行信息交互。
以上五个登录阶段中,客户端与服务器之间的数据交互以数据包形式发送,当数据包大于链路最大传输单元时,数据包在IP层被分解为多个足够小的片段,以拆分数据包形式进行传输。因而,客户端与服务器之间产生的交互数据包含多个拆分数据包,这些拆分数据包可以被组装还原为一完整的数据包。
本实施例使用抓包工具抓取客户端与服务器交互过程中所产生的各拆分数据包。抓包工具例如可以是wireshark、Bit-Twist、Hping、Libtins等。将抓取的各拆分数据包封装在数据包结构中,并放入下一个缓冲区。
S303:分析所述拆分数据包的包头信息,将属于同一完整数据包的所述拆分数据包组成数据包集合。
在IP层分片获得的每个拆分数据包均包括包头部分和数据部分,其中包头部分包含版本号、服务器类型、协议、标识符、片偏移、源地址和目的地址等信息,其中,版本号、源地址和目的地址与完整的数据包相同,属于同一个完整数据包的拆分数据包具有相同的标识符,片偏移用于表示该拆分数据包的在完整数据包中所处的位置和次序,通过标识符和片偏移可以将拆分数据包还原为完整的数据包。本实施例通过解析拆分数据包,根据拆分数据包的包头信息将属于同一完整数据包的所有拆分数据包单独存储,形成数据包集合。
S305:判断所述数据包集合中的拆分数据包是否包含预设的目标协议,若是,对所述数据包集合中的所述拆分数据包进行重组,形成原数据包。
数据包集合中的拆分数据包可组成完整的数据包,数据包集合中的所有拆分数据包均包含相同的协议类型,故通过判断数据包集合中任一拆分数据包的协议类型是否为目标协议,就可以确定该数据包集合是否需要进一步处理,如果包含目标协议,则将数据包集合中的所有拆分数据包进行重组,还原形成原数据包。具体可以采用TCP流重组的方法,通过分析拆分数据包的包头信息,根据拆分数据包的标识符和片偏移将拆分数据包进行重组,还原获得原数据包。
在一个可能的实施例中,所述目标协议可以是SSH协议。当然,在实际应用中,并不限于SSH协议,该方法也可以用于判断其他协议。
S307:根据客户端登录服务器过程中的流量变化,识别所述原数据包对应的目标登录阶段。
S309从所述目标登陆阶段所对应的原数据包中提取客户端请求数据包和服务器响应数据包,所述客户端请求数据包为所述客户端向所述服务器发送登录请求携带的数据包,所述服务器响应数据包为服务器响应所述客户端的登录请求返回的数据包,所述客户端请求数据包与所述服务器响应数据包一一对应。
发明人研究发现,基于客户端和服务器之间的交互方式,当客户端登录状态不同时,服务器返回至客户端的数据大小不同。具体为:客户端首次向服务器发送认证请求要求登录服务器时,客户端请求数据包中包含了认证方法,当客户端通过认证登录成功时,服务器返回给客户端的服务器响应数据包中不包含认证方法,当客户端未通过认证登录失败时,服务器返回给客户端的服务器响应数据包中包含认证方法,这就导致不同的登录状态下,服务器响应数据包与客户端请求数据包之间存在大小差异,据此可以根据比对服务器响应数据包与客户端请求数据包之间的大小,来识别客户端的登录状态。发明人还发现,在包含SSH协议的数据包中,客户端首次发送的客户端请求数据包和服务器返回的标识登录成功的服务器响应数据包之间大小差值为16Byets,由此,可以通过比对服务器响应数据包和客户端请求数据包的大小,来识别客户端登录是成功或失败。
为了准确获取客户端请求数据包和服务器响应数据包,在获取到原数据包之后,还包括:根据客户端登录服务器过程中的流量变化,识别原数据包对应的登录阶段,所述登录阶段包括版本号协商阶段、密钥-算法协商阶段、认证阶段、会话请求阶段和交互会话阶段。原数据包是包含SSH协议的数据包,主要存在于版本号协商阶段、密钥-算法协商阶段和认证阶段。在密钥-算法协商阶段,客户端首次向服务器发送登录请求,在认证阶段,服务器返回客户端登录成功或失败的信息,因此,判断客户端是否登录成功所需的客户端请求数据包和服务器响应数据包需要从密钥-算法协商阶段和认证阶段提取,本说明书实施例将所述。因此密钥-算法协商阶段和认证阶段作为目标登录阶段,所述方法还包括:从所述密钥-算法协商阶段和所述认证阶段所对应的原数据包中提取客户端请求数据包和服务器响应数据包,所述客户端请求数据包为所述客户端向所述服务器发送登录请求携带的数据包,所述服务器响应数据包为服务器响应所述客户端的登录请求返回的数据包,所述客户端请求数据包与所述服务器响应数据包一一对应。
步骤S203、比对所述客户端请求数据包和服务器响应数据包的大小,识别客户端登录状态,所述登录状态包括登录成功和登录失败。
图6是本发明实施例提供的SSH协议认证识别的原理示意图。请参见图6,在服务器对客户端登录认证的过程中,根据密钥-算法协商阶段和认证阶段对应的数据判断客户端是否登录成功的逻辑为:
第一,密钥-算法协商阶段
a.服务器和客户端分别发送算法协商报文给对端,报文中包含自己支持的公钥算法列表、加密算法列表、MAC算法列表、压缩算法列表等;
b.服务器和客户端根据对端和本端支持的算法列表得出最终使用的算法;
c.服务器和客户端利用DH交换算法、主机密钥对等参数,生成会话密钥和会话ID;
d.客户端发送SSH2_MSG_NEWKEYS到服务器;
e.客户端发送SSH2_MSG_SERVICE_REQUEST到服务器。SSH2_MSG_SERVICE_REQUEST里面包含了认证方法列表,占用固定大小17Bytes,由于内部结构为8Bytes对齐,因此该段数据实际长度为24Bytes。
第二、认证阶段
a.客户端向服务器端发送认证请求,认证请求中包含用户名、认证方法、与该认证方法相关的内容。
b.服务器端对客户端进行认证,如果认证失败,则向客户端发送认证失败消息,其中包含可以再次认证的方法列表。如果认证成功,则该认证的方法列表为空,占用1Bytes,由于内部结构为8Bytes对齐,因此服务器响应数据包中,该部分的长度为8Bytes。
c.如果认证失败,客户端从认证方法列表中选取一种认证方法再次进行认证。
d.该过程反复进行,直到认证成功或者认证次数达到上限。
根据以上密钥-算法协商阶段和认证阶段的数据包可知,客户端发送至服务器的SSH2_MSG_SERVICE_REQUEST与服务器返回客户端的回包大小相差16Bytes,满足条件:size(服务器响应数据包)+16=size(SSH2_MSG_SERVICE_REQUEST),因此,通过判断客户端请求数据包与服务器响应数据包之间是否满足上述条件,可以识别客户端登录是否成功。
基于上述原理,本说明书实施例提供如下两种识别客户端登录状态的方法。
请参见图4,在一个具体的实施例中,所述识别客户端登录状态可以包括:
S401:计算所述客户端请求数据包和与所述客户端请求数据包对应的服务器响应数据包之间的大小差值;
S403:判断所述差值是否等于预设的第一阈值;
S405:如果所述差值等于所述第一阈值,判定所述客户端登录成功;
S407:如果所述差值不等于所述第一阈值,判定所述客户端登录失败。
其中,可以将客户端请求数据包和与之对应的服务器响应数据包视为一组数据,由此,当客户端多次向服务器发送登录请求时,校验数据中包含多组数据,对每组数据计算大小差值,根据差值与第一阈值的比对结果可以获知每组数据对应的客户端登录状态,可以获知客户端请求登录的次数和每次的登录状态。
优选地,所述第一阈值可以为16Byets。
请参见图5,在另一个可能的实施例中,所述识别客户端登录状态可以包括:
S501:计算所述客户端请求数据包和与所述客户端请求数据包对应的服务器响应数据包之间的大小差值;
S503:判断所述差值是否等于预设的第一阈值;
S505:如果所述差值等于所述第一阈值,判定所述客户端登录成功;
S507:如果所述差值不等于所述第一阈值,判断所述差值是否大于预设的第二阈值,
S509:如果所述差值不大于所述第二阈值,判定所述客户端登录失败,
S511:如果所述差值大于所述第二阈值,将本次客户端登录作为异常登录,所述异常登录不计入登录失败次数。
在客户端登录服务器过程中,服务器返回客户端的服务器响应数据包还可能是预授权信息,当服务器响应数据包为预授权的Banner信息时,服务器响应数据包会很大,而由于该服务器响应数据包包含预授权信息,不能用于识别客户端登录状态。因此,为优化处理逻辑,降低登录认证成功和失败次数的噪声,需要大数据包进行过滤处理,具体的过滤方法可以是:设置第二阈值,通过判断服务器响应数据包与客户端请求数据包之间的差值是否大于第二阈值,来确定是否需要滤除该组数据。
优选地,根据预授权的Banner信息的大小,所述第二阈值可以设置为256,即:如果size(服务器响应数据包)–size(SSH2_MSG_SERVICE_REQUEST)>256时,不对此组数据对应的登录状态做成功或失败的判断,不计入登录次数处理。
步骤S205、根据所述客户端的登陆状态确定所述客户端登录失败的次数。
所述客户端的登录状态可以包含根据校验数据判断的客户端请求登录的次数和每次的登录状态,根据登录状态统计所述客户端登录失败的次数。
在一个可能的实施例中,还可以根据客户端的登录状态确定在预设时间段内客户端登录失败的次数。在统计登录失败的次数时加入时间段限制可以进一步区分程序设定登录或者人为操作登录,而爆破行为一般采用程序设定方式。
步骤S207、根据所述客户端登录失败的次数和预设的登录次数阈值,识别客户端登录是否为爆破登录行为。
SSH协议为常见的登录认证协议,黑客可以以SSH爆破为突破口,渗透服务器或内网,登录失败的次数可以反映用户通过客户端登录服务器的尝试次数,登录失败的次数越多,该登录为爆破行为的可能性越大。
在一个可能的实施例中,所述识别客户端登录行为具体可以包括:判断所述客户端登录失败的次数是否大于所述登录次数阈值;如果所述客户端登录失败的次数大于所述登录次数阈值,判定所述客户端登录为爆破登录行为;如果所述客户端登录失败的次数不大于所述登录次数阈值,判定所述客户端登录为正常登录行为。其中,登录次数阈值可以根据实际需要设定,比如:120秒内失败次数达到五次,随后客户端登录成功,则此事件为用户爆破成功事件。
所述步骤S207之后,还包括:如果所述客户端登录为爆破登录行为,生成并输出告警日志。
如果检测到客户端登录为爆破登录行为,则对其进行告警,以文档的形式输出出来,以供直接查看或者进行后续二次分析。
由以上本说明书实施例提供的技术方案可见,本说明书实施例从客户端登录服务器过程产生的交互数据中提取校验数据,对校验数据包含的客户端请求数据包和服务器响应数据包进行大小判断,识别出客户端登录状态是成功还是失败,进而根据客户端的登陆状态确定客户端登录失败的次数,根据登录失败的次数来识别客户端登录为爆破登录行为还是正常登录行为,区分正常流量和恶意流量,识别黑客攻击,提升IDS安全防御能力。
本发明实施例还提供了一种登录行为的识别装置,如图7所示,该登录行为的识别装置700包括获取单元710、第一识别单元720、统计单元730和第二识别单元740。其中,
获取单元710,用于获取客户端登录服务器过程中产生的校验数据,所述校验数据包括客户端请求数据包和服务器响应数据包;
第一识别单元720,用于比对所述客户端请求数据包和服务器响应数据包的大小,识别客户端登录状态,所述登录状态包括登录成功和登录失败;
统计单元730,用于根据所述客户端的登陆状态确定所述客户端登录失败的次数;
第二识别单元740,用于根据所述客户端登录失败的次数和预设的登录次数阈值,识别客户端登录是否为爆破登录行为。
在一个可能的实施例中,所述第一识别单元720包括:
第一计算模块721,用于计算所述客户端请求数据包和与所述客户端请求数据包对应的服务器响应数据包之间的大小差值;
第一识别模块722,用于判断所述差值是否等于预设的第一阈值;当所述差值等于所述第一阈值时,判定所述客户端登录成功;当所述差值不等于所述第一阈值时,判定所述客户端登录失败。
本说明书实施例中,所述获取单元710还用于:获取客户端登录服务器过程中产生的交互数据,所述交互数据包含多个拆分数据包;分析所述拆分数据包的包头信息,将属于同一完整数据包的所述拆分数据包组成数据包集合;判断所述数据包集合中的拆分数据包是否包含预设的目标协议,若是,对所述数据包集合中的所述拆分数据包进行重组,形成原数据包;根据客户端登录服务器过程中的流量变化,识别所述原数据包对应的目标登录阶段;从所述目标登陆阶段所对应的原数据包中提取客户端请求数据包和服务器响应数据包,所述客户端请求数据包为所述客户端向所述服务器发送登录请求携带的数据包,所述服务器响应数据包为服务器响应所述客户端的登录请求返回的数据包,所述客户端请求数据包与所述服务器响应数据包一一对应。优选地,所述预设的目标协议为SSH协议。
本说明书实施例中,所述第二识别单元740还用于:判断所述客户端登录失败的次数是否大于所述登录次数阈值;当所述客户端登录失败的次数大于所述登录次数阈值时,判定所述客户端登录为爆破登录行为;当所述客户端登录失败的次数不大于所述登录次数阈值时,判定所述客户端登录为正常登录行为。
进一步地,所述登录行为的识别装置700还包括输出单元,所述输出单元用于:当所述第二识别单元识别出所述客户端登录为爆破登录行为时,生成并输出告警日志。
所述的登录行为的识别装置实施例中的装置与方法实施例基于同样地发明构思。
由以上本说明书实施例提供的技术方案可见,本说明书实施例从客户端登录服务器过程产生的交互数据中提取校验数据,对校验数据包含的客户端请求数据包和服务器响应数据包进行大小判断,识别出客户端登录状态是成功还是失败,进而根据客户端的登陆状态确定客户端登录失败的次数,根据登录失败的次数来识别客户端登录为爆破登录行为还是正常登录行为,区分正常流量和恶意流量,识别黑客攻击,提升IDS安全防御能力。
本发明实施例还提供了一种登录行为的识别装置,如图8所示,该登录行为的识别装置800包括获取单元810、第一识别单元820、统计单元830和第二识别单元840。其中,
获取单元810,用于获取客户端登录服务器过程中产生的校验数据,所述校验数据包括客户端请求数据包和服务器响应数据包;
第一识别单元820,用于比对所述客户端请求数据包和服务器响应数据包的大小,识别客户端登录状态,所述登录状态包括登录成功和登录失败;
统计单元830,用于根据所述客户端的登陆状态确定所述客户端登录失败的次数;
第二识别单元840,用于根据所述客户端登录失败的次数和预设的登录次数阈值,识别客户端登录是否为爆破登录行为。
在一个可能的实施例中,所述第一识别单元820包括:
第二计算模块821,用于计算所述客户端请求数据包和与所述客户端请求数据包对应的服务器响应数据包之间的大小差值;
第二识别模块822,用于判断所述差值是否等于预设的第一阈值;当所述差值等于所述第一阈值时,判定所述客户端登录成功;当所述差值不等于所述第一阈值时,判断所述差值是否大于预设的第二阈值,如果所述差值不大于所述第二阈值,判定所述客户端登录失败,如果所述差值大于所述第二阈值,将本次客户端登录作为异常登录,所述异常登录不计入登录失败次数。
本说明书实施例中,所述获取单元810还用于:获取客户端登录服务器过程中产生的交互数据,所述交互数据包含多个拆分数据包;分析所述拆分数据包的包头信息,将属于同一完整数据包的所述拆分数据包组成数据包集合;判断所述数据包集合中的拆分数据包是否包含预设的目标协议,若是,对所述数据包集合中的所述拆分数据包进行重组,形成原数据包;根据客户端登录服务器过程中的流量变化,识别所述原数据包对应的目标登录阶段;从所述目标登陆阶段所对应的原数据包中提取客户端请求数据包和服务器响应数据包,所述客户端请求数据包为所述客户端向所述服务器发送登录请求携带的数据包,所述服务器响应数据包为服务器响应所述客户端的登录请求返回的数据包,所述客户端请求数据包与所述服务器响应数据包一一对应。所述预设的目标协议为SSH协议。
本说明书实施例中,所述第二识别单元840还用于:判断所述客户端登录失败的次数是否大于所述登录次数阈值;当所述客户端登录失败的次数大于所述登录次数阈值时,判定所述客户端登录为爆破登录行为;当所述客户端登录失败的次数不大于所述登录次数阈值时,判定所述客户端登录为正常登录行为。
进一步地,所述登录行为的识别装置800还包括输出单元,所述输出单元用于:当所述第二识别单元识别出所述客户端登录为爆破登录行为时,生成并输出告警日志。
所述的登录行为的识别装置实施例中的装置与方法实施例基于同样地发明构思。
由以上本说明书实施例提供的技术方案可见,对校验数据包含的客户端请求数据包和服务器响应数据包进行大小判断,识别客户端登录状态,在识别客户端登录状态过程中,过滤掉大包,减少了噪音,使识别结果更准确,也是统计登录失败的次数更精准,提升了IDS的安全防御能力。
本发明实施例提供了一种服务器,所述登录行为的识别装置设置在所述服务器中,所述服务器包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述方法实施例所述的目标检测方法。
存储器可用于存储软件程序以及模块,处理器通过运行存储在存储器的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、功能所需的应用程序等;存储数据区可存储根据所述设备的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器还可以包括存储器控制器,以提供处理器对存储器的访问。
本发明实施例还提供了一种服务器的结构示意图,请参阅图9,该服务器900用于实施上述实施例中提供的目标检测方法,具体来讲,所述服务器结构可以包括上述目标检测装置。该服务器900可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(Central Processing Units,CPU)910(例如,一个或一个以上处理器)和存储器930,一个或一个以上存储应用程序923或数据922的存储介质920(例如一个或一个以上海量存储设备)。其中,存储器930和存储介质920可以是短暂存储或持久存储。存储在存储介质920的程序可以包括一个或一个以上模块,每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器910可以设置为与存储介质920通信,在服务器900上执行存储介质920中的一系列指令操作。服务器900还可以包括一个或一个以上电源960,一个或一个以上有线或无线网络接口950,一个或一个以上输入输出接口940,和/或,一个或一个以上操作系统921,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
本发明的实施例还提供了一种存储介质,所述存储介质可设置于服务器之中以保存用于实现方法实施例中一种登录行为的识别方法相关的至少一条指令、至少一段程序、代码集或指令集,该至少一条指令、该至少一段程序、该代码集或指令集由该处理器加载并执行以实现上述方法实施例提供的登录行为的识别方法。
可选地,在本实施例中,上述存储介质可以位于计算机网络的多个网络服务器中的至少一个网络服务器。可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
由上述本发明提供的目标检测方法、装置、服务器的实施例可见,本说明书从客户端登录服务器过程产生的交互数据中提取校验数据,对校验数据包含的客户端请求数据包和服务器响应数据包进行大小判断,识别出客户端登录状态是成功还是失败,进而根据客户端的登陆状态确定客户端登录失败的次数,根据登录失败的次数来识别客户端登录为爆破登录行为还是正常登录行为,区分正常流量和恶意流量,识别黑客攻击,提升IDS安全防御能力。
需要说明的是:上述本发明实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置和服务器实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种登录行为的识别方法,其特征在于,所述方法包括:
获取客户端登录服务器过程中产生的校验数据,所述校验数据包括客户端请求数据包和服务器响应数据包;
比对所述客户端请求数据包和服务器响应数据包的大小,识别客户端登录状态,所述登录状态包括登录成功和登录失败;
根据所述客户端的登陆状态确定所述客户端登录失败的次数;
根据所述客户端登录失败的次数和预设的登录次数阈值,识别客户端登录是否为爆破登录行为。
2.根据权利要求1所述的方法,其特征在于,所述获取客户端登录服务器过程中产生的校验数据包括:
获取客户端登录服务器过程中产生的交互数据,所述交互数据包含多个拆分数据包;
分析所述拆分数据包的包头信息,将属于同一完整数据包的所述拆分数据包组成数据包集合;
判断所述数据包集合中的拆分数据包是否包含预设的目标协议,若是,对所述数据包集合中的所述拆分数据包进行重组,形成原数据包;
根据客户端登录服务器过程中的流量变化,识别所述原数据包对应的目标登录阶段;
从所述目标登陆阶段所对应的原数据包中提取客户端请求数据包和服务器响应数据包,所述客户端请求数据包为所述客户端向所述服务器发送登录请求携带的数据包,所述服务器响应数据包为服务器响应所述客户端的登录请求返回的数据包,所述客户端请求数据包与所述服务器响应数据包一一对应。
3.根据权利要求2所述的方法,其特征在于,所述预设的目标协议为SSH协议。
4.根据权利要求1所述的方法,其特征在于,所述比对所述客户端请求数据包和服务器响应数据包的大小,识别客户端登录状态包括:
计算所述客户端请求数据包和与所述客户端请求数据包对应的服务器响应数据包之间的大小差值;
判断所述差值是否等于预设的第一阈值;
如果所述差值等于所述第一阈值,判定所述客户端登录成功;
如果所述差值不等于所述第一阈值,判定所述客户端登录失败。
5.根据权利要求1所述的方法,其特征在于,所述比对所述客户端请求数据包和服务器响应数据包的大小,识别客户端登录状态包括:
计算所述客户端请求数据包和与所述客户端请求数据包对应的服务器响应数据包之间的大小差值;
判断所述差值是否等于预设的第一阈值;
如果所述差值等于所述第一阈值,判定所述客户端登录成功;
如果所述差值不等于所述第一阈值,判断所述差值是否大于预设的第二阈值,如果所述差值不大于所述第二阈值,判定所述客户端登录失败,如果所述差值大于所述第二阈值,将本次客户端登录作为异常登录,所述异常登录不计入登录失败次数。
6.根据权利要求1所述的方法,其特征在于,所述根据所述客户端登录失败的次数和预设的登录次数阈值,识别客户端登录是否为爆破登录行为包括:
判断所述客户端登录失败的次数是否大于所述登录次数阈值;
如果所述客户端登录失败的次数大于所述登录次数阈值,判定所述客户端登录为爆破登录行为;
如果所述客户端登录失败的次数不大于所述登录次数阈值,判定所述客户端登录为正常登录行为。
7.根据权利要求1所述的方法,其特征在于,所述根据所述客户端登录失败的次数和预设的登录次数阈值,识别客户端登录是否为爆破登录行为之后,还包括:
如果所述客户端登录为爆破登录行为,生成并输出所述告警日志。
8.一种登录行为的识别装置,其特征在于,所述装置包括:
获取单元,用于获取客户端登录服务器过程中产生的校验数据,所述校验数据包括客户端请求数据包和服务器响应数据包;
第一识别单元,用于比对所述客户端请求数据包和服务器响应数据包的大小,识别客户端登录状态,所述登录状态包括登录成功和登录失败;
统计单元,用于根据所述客户端的登陆状态确定所述客户端登录失败的次数;
第二识别单元,用于根据所述客户端登录失败的次数和预设的登录次数阈值,识别客户端登录是否为爆破登录行为。
9.根据权利要求8所述的装置,其特征在于,所述第一识别单元包括:
第一计算模块,用于计算所述客户端请求数据包和与所述客户端请求数据包对应的服务器响应数据包之间的大小差值;
第一识别模块,用于判断所述差值是否等于预设的第一阈值;当所述差值等于所述第一阈值时,判定所述客户端登录成功;当所述差值不等于所述第一阈值时,判定所述客户端登录失败。
10.根据权利要求8所述的装置,其特征在于,所述第一识别单元包括:
第二计算模块,用于计算所述客户端请求数据包和与所述客户端请求数据包对应的服务器响应数据包之间的大小差值;
第二识别模块,用于判断所述差值是否等于预设的第一阈值;当所述差值等于所述第一阈值时,判定所述客户端登录成功;当所述差值不等于所述第一阈值时,判断所述差值是否大于预设的第二阈值,如果所述差值不大于所述第二阈值,判定所述客户端登录失败,如果所述差值大于所述第二阈值,将本次客户端登录作为异常登录,所述异常登录不计入登录失败次数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811488937.2A CN110417717B (zh) | 2018-12-06 | 2018-12-06 | 登录行为的识别方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811488937.2A CN110417717B (zh) | 2018-12-06 | 2018-12-06 | 登录行为的识别方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110417717A true CN110417717A (zh) | 2019-11-05 |
CN110417717B CN110417717B (zh) | 2021-12-14 |
Family
ID=68358074
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811488937.2A Active CN110417717B (zh) | 2018-12-06 | 2018-12-06 | 登录行为的识别方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110417717B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111355750A (zh) * | 2020-04-23 | 2020-06-30 | 京东数字科技控股有限公司 | 用于识别暴力破解密码行为的方法和装置 |
CN111371774A (zh) * | 2020-02-28 | 2020-07-03 | 深信服科技股份有限公司 | 一种信息处理方法及装置、设备、存储介质 |
CN111385313A (zh) * | 2020-05-28 | 2020-07-07 | 支付宝(杭州)信息技术有限公司 | 一种对象请求合法性验证的方法和系统 |
CN111813752A (zh) * | 2020-07-01 | 2020-10-23 | 四川长虹电器股份有限公司 | 一种获取rdp爆破攻击来源的方法和系统 |
CN112751851A (zh) * | 2020-12-29 | 2021-05-04 | 成都科来网络技术有限公司 | 一种ssh登录成功行为判断方法、装置及存储介质 |
CN113014448A (zh) * | 2021-02-23 | 2021-06-22 | 深信服科技股份有限公司 | 一种登录状态规则提取方法、装置及电子设备 |
WO2023020067A1 (en) * | 2021-08-17 | 2023-02-23 | International Business Machines Corporation | Identifying credential attacks on encrypted network traffic |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102624526A (zh) * | 2011-11-28 | 2012-08-01 | 苏州奇可思信息科技有限公司 | 用于文件传输协议的简单身份验证方法 |
US20150156170A1 (en) * | 2013-12-03 | 2015-06-04 | Alcatel-Lucent Usa Inc. | Security Event Routing In a Distributed Hash Table |
CN106330778A (zh) * | 2016-08-22 | 2017-01-11 | 深圳广联赛讯有限公司 | 网络流量控制方法及装置 |
CN106656640A (zh) * | 2017-03-14 | 2017-05-10 | 北京深思数盾科技股份有限公司 | 网络攻击的预警方法及装置 |
CN106686014A (zh) * | 2017-03-14 | 2017-05-17 | 北京深思数盾科技股份有限公司 | 网络攻击的防治方法及装置 |
CN106790183A (zh) * | 2016-12-30 | 2017-05-31 | 广州华多网络科技有限公司 | 登录凭证校验方法、装置 |
CN106790209A (zh) * | 2017-01-03 | 2017-05-31 | 北京并行科技股份有限公司 | 一种登录认证方法及系统 |
CN107659583A (zh) * | 2017-10-27 | 2018-02-02 | 深信服科技股份有限公司 | 一种检测事中攻击的方法及系统 |
-
2018
- 2018-12-06 CN CN201811488937.2A patent/CN110417717B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102624526A (zh) * | 2011-11-28 | 2012-08-01 | 苏州奇可思信息科技有限公司 | 用于文件传输协议的简单身份验证方法 |
US20150156170A1 (en) * | 2013-12-03 | 2015-06-04 | Alcatel-Lucent Usa Inc. | Security Event Routing In a Distributed Hash Table |
CN106330778A (zh) * | 2016-08-22 | 2017-01-11 | 深圳广联赛讯有限公司 | 网络流量控制方法及装置 |
CN106790183A (zh) * | 2016-12-30 | 2017-05-31 | 广州华多网络科技有限公司 | 登录凭证校验方法、装置 |
CN106790209A (zh) * | 2017-01-03 | 2017-05-31 | 北京并行科技股份有限公司 | 一种登录认证方法及系统 |
CN106656640A (zh) * | 2017-03-14 | 2017-05-10 | 北京深思数盾科技股份有限公司 | 网络攻击的预警方法及装置 |
CN106686014A (zh) * | 2017-03-14 | 2017-05-17 | 北京深思数盾科技股份有限公司 | 网络攻击的防治方法及装置 |
CN107659583A (zh) * | 2017-10-27 | 2018-02-02 | 深信服科技股份有限公司 | 一种检测事中攻击的方法及系统 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021170141A1 (zh) * | 2020-02-28 | 2021-09-02 | 深信服科技股份有限公司 | 一种信息处理方法及装置、设备、存储介质 |
CN111371774A (zh) * | 2020-02-28 | 2020-07-03 | 深信服科技股份有限公司 | 一种信息处理方法及装置、设备、存储介质 |
EP4113931A4 (en) * | 2020-02-28 | 2023-03-22 | Sangfor Technologies Inc. | INFORMATION PROCESSING METHOD AND DEVICE, DEVICE AND STORAGE MEDIUM |
CN113574841A (zh) * | 2020-02-28 | 2021-10-29 | 深信服科技股份有限公司 | 一种信息处理方法及装置、设备、存储介质 |
CN111355750A (zh) * | 2020-04-23 | 2020-06-30 | 京东数字科技控股有限公司 | 用于识别暴力破解密码行为的方法和装置 |
CN111385313A (zh) * | 2020-05-28 | 2020-07-07 | 支付宝(杭州)信息技术有限公司 | 一种对象请求合法性验证的方法和系统 |
CN111813752A (zh) * | 2020-07-01 | 2020-10-23 | 四川长虹电器股份有限公司 | 一种获取rdp爆破攻击来源的方法和系统 |
CN112751851A (zh) * | 2020-12-29 | 2021-05-04 | 成都科来网络技术有限公司 | 一种ssh登录成功行为判断方法、装置及存储介质 |
CN113014448A (zh) * | 2021-02-23 | 2021-06-22 | 深信服科技股份有限公司 | 一种登录状态规则提取方法、装置及电子设备 |
CN113014448B (zh) * | 2021-02-23 | 2022-09-30 | 深信服科技股份有限公司 | 一种登录状态规则提取方法、装置及电子设备 |
WO2023020067A1 (en) * | 2021-08-17 | 2023-02-23 | International Business Machines Corporation | Identifying credential attacks on encrypted network traffic |
US11936668B2 (en) | 2021-08-17 | 2024-03-19 | International Business Machines Corporation | Identifying credential attacks on encrypted network traffic |
GB2623909A (en) * | 2021-08-17 | 2024-05-01 | Ibm | Identifying credential attacks on encrypted network traffic |
Also Published As
Publication number | Publication date |
---|---|
CN110417717B (zh) | 2021-12-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110417717A (zh) | 登录行为的识别方法及装置 | |
CN109951500B (zh) | 网络攻击检测方法及装置 | |
Sharafaldin et al. | Toward generating a new intrusion detection dataset and intrusion traffic characterization. | |
He et al. | Machine learning based DDoS attack detection from source side in cloud | |
EP2988468B1 (en) | Apparatus, method, and program | |
ES2309364T3 (es) | Procedimiento y sistema de deteccion de una utilizacion no autorizada de una red de comunicaciones. | |
CN106161395B (zh) | 一种防止暴力破解的方法、装置及系统 | |
Osanaiye | Short Paper: IP spoofing detection for preventing DDoS attack in Cloud Computing | |
Carlin et al. | Intrusion detection and countermeasure of virtual cloud systems-state of the art and current challenges | |
Chiba et al. | A survey of intrusion detection systems for cloud computing environment | |
CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
Bhatt et al. | HADS: Hybrid anomaly detection system for IoT environments | |
CN107204965B (zh) | 一种密码破解行为的拦截方法及系统 | |
Gumaste et al. | Detection of ddos attacks in openstack-based private cloud using apache spark | |
CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
Tripathi et al. | Raspberry pi as an intrusion detection system, a honeypot and a packet analyzer | |
Rout et al. | A hybrid approach for network intrusion detection | |
CN112231679B (zh) | 一种终端设备验证方法、装置及存储介质 | |
RU2703329C1 (ru) | Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак | |
CN108833410B (zh) | 一种针对HTTP Flood攻击的防护方法及系统 | |
Hussain et al. | An adaptive SYN flooding attack mitigation in DDOS environment | |
CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
Ghaleb et al. | A framework architecture for agentless cloud endpoint security monitoring | |
Bhale et al. | An adaptive and lightweight solution to detect mixed rate ip spoofed ddos attack in iot ecosystem | |
CN109218315A (zh) | 一种安全管理方法和安全管理装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |