CN110417747A - 一种暴力破解行为的检测方法及装置 - Google Patents
一种暴力破解行为的检测方法及装置 Download PDFInfo
- Publication number
- CN110417747A CN110417747A CN201910609880.5A CN201910609880A CN110417747A CN 110417747 A CN110417747 A CN 110417747A CN 201910609880 A CN201910609880 A CN 201910609880A CN 110417747 A CN110417747 A CN 110417747A
- Authority
- CN
- China
- Prior art keywords
- message
- value
- baseline
- information
- statistical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种暴力破解行为的检测方法及装置,获取预设时段内统计的报文信息,从报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与目标五元组信息对应的目标第二统计值,并提取第一基线和第二基线,计算目标第二统计值与第一基线的第一差距值、目标第二统计值与第二基线的第二差距值,如果第二差距值更小,则说明目标第二统计值是登录失败是产生的统计值的可能性更大。如果在预设时段内登录行为结果为登录失败的目标五元组信息的数目超过了一定的阈值,则说明在预设时段内的多次登录行为中登录失败的次数占比较大,则可以确定这样的登录行为是疑似暴力破解行为,提高了暴力破解行为的检测精度。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种暴力破解行为的检测方法及装置。
背景技术
随着用户对网络业务的需求种类越来越多、需求量越来越大,网络业务的安全性变得越来越重要。用户在访问网络业务时,需要输入账号和密码,服务器对账号和密码进行验证,验证通过后,允许用户访问网络业务。暴力破解行为是指攻击者通过尝试所有可能的账号、密码来模拟用户的登录行为,攻击者在破解用户的账号和密码之后,可以使用该账号和密码执行非法操作,给用户带来损失。
在发生暴力破解行为时,攻击者会频繁地向服务器发送包括账号和密码的验证报文。基于此,传统的暴力破解行为的检测方法中,网络安全设备对服务器接收的数据报文进行统计分析,判断服务器接收报文的平均流量是否超过一定阈值,若超过,则认为针对该服务器,发生了暴力破解行为,有攻击者正在进行账号暴力破解。
然而,服务器在正常运行时,除了用户登录会产生报文,服务器与其他设备还会进行正常的报文交互,因此,仅仅基于服务器接收报文的平均流量进行报文破解行为的判断,很可能会将正常的报文交互识别为暴力破解行为,导致暴力破解行为的检测精度较差。
发明内容
本发明实施例的目的在于提供一种暴力破解行为的检测方法及装置,以提高暴力破解行为的检测精度。具体技术方案如下:
第一方面,本发明实施例提供了一种暴力破解行为的检测方法,该方法包括:
获取预设时段内统计的报文信息,其中,报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一统计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据;
从报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线,其中,第一样本报文信息包含依据目的端口为第一端口的第一登录报文和响应第一登录报文的第一响应报文统计的报文信息,第一响应报文携带的登录行为结果为登录成功,第二样本报文信息包含依据目的端口为第一端口的第二登录报文和响应第二登录报文的第二响应报文统计的报文信息,第二响应报文携带的登录行为结果为登录失败;
计算目标第二统计值与第一基线的第一差距值、目标第二统计值与第二基线的第二差距值;
若第一差距值和第二差距值在预设范围内,且第一差距值不小于第二差距值,则确定目标五元组信息所属的报文对应的登录行为结果为登录失败;
统计预设时段内登录行为结果为登录失败的目标五元组信息的数目,并判断统计的数目是否超过预设阈值;
若统计的数目超过预设阈值,则确定存在针对目标服务器的疑似暴力破解行为。
第二方面,本发明实施例提供了一种暴力破解行为的检测装置,该装置包括:
获取模块,用于获取预设时段内统计的报文信息,其中,报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一统计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据;
获取模块,还用于从报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线,其中,第一样本报文信息包含依据目的端口为第一端口的第一登录报文和响应第一登录报文的第一响应报文统计的报文信息,第一响应报文携带的登录行为结果为登录成功,第二样本报文信息包含依据目的端口为第一端口的第二登录报文和响应第二登录报文的第二响应报文统计的报文信息,第二响应报文携带的登录行为结果为登录失败;
计算模块,用于计算目标第二统计值与第一基线的第一差距值、目标第二统计值与第二基线的第二差距值;
确定模块,用于若第一差距值和第二差距值在预设范围内,且第一差距值不小于第二差距值,则确定目标五元组信息所属的报文对应的登录行为结果为登录失败;
统计模块,用于统计预设时段内登录行为结果为登录失败的目标五元组信息的数目,并判断统计的数目是否超过预设阈值;
确定模块,还用于若统计模块的判断结果为统计的数目超过预设阈值,则确定存在针对目标服务器的疑似暴力破解行为。
第三方面,本发明实施例提供了一种网络安全设备,包括处理器和机器可读存储介质,其中,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述机器可执行指令由所述处理器加载并执行,以实现本发明实施例第一方面所提供的暴力破解行为的检测方法。
第四方面,本发明实施例提供了一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令在被处理器加载并执行时,实现本发明实施例第一方面所提供的暴力破解行为的检测方法。
本发明实施例提供的一种暴力破解行为的检测方法及装置,获取预设时段内统计的报文信息,报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一统计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据,从报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线,第一样本报文信息包含依据目的端口为第一端口的第一登录报文和响应第一登录报文的第一响应报文统计的报文信息,第一响应报文携带的登录行为结果为登录成功,第二样本报文信息包含依据目的端口为第一端口的第二登录报文和响应第二登录报文的第二响应报文统计的报文信息,第二响应报文携带的登录行为结果为登录失败。计算目标第二统计值与第一基线的第一差距值、目标第二统计值与第二基线的第二差距值,如果第二差距值更小,则说明目标第二统计值是登录失败时产生的统计值的可能性更大。如果在预设时段内登录行为结果为登录失败的目标五元组信息的数目超过了一定的阈值,则说明在预设时段内的多次登录行为中登录失败的次数占比较大,则可以确定这样的登录行为是疑似暴力破解行为,提高了暴力破解行为的检测精度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的暴力破解行为的检测方法的流程示意图;
图2为本发明实施例的暴力破解行为的检测方法的一实例流程示意图;
图3为本发明实施例的暴力破解行为的检测装置的结构示意图;
图4为本发明实施例的网络安全设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了提高暴力破解行为的检测精度,本发明实施例提供了一种暴力破解行为的检测方法、装置、网络安全设备及机器可读存储介质。下面,首先对本发明实施例所提供的暴力破解行为的检测方法进行介绍。
本发明实施例所提供的暴力破解行为的检测方法的执行主体为网络安全设备,该网络安全设备可以为防火墙设备、路由设备、交换机等。
如图1所示,本发明实施例所提供的一种暴力破解行为的检测方法,可以包括如下步骤。
S101,获取预设时段内统计的报文信息,其中,报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一统计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据。
报文信息是依据终端与服务器之间传输的报文获取的信息。
一个示例中,报文信息可以包括报文特征,例如五元组信息(包括源IP(InternetProtocol,互联网协议)地址、源端口、目的IP地址、目的端口和传输层协议),还可以包括报文统计值,例如第一统计值和第二统计值等,其中,第一统计值是指对应五元组信息所属的正向报文的数据统计值,第二统计值是与第一统计值对应的、对应五元组信息所属的反向报文的数据统计值。
例如,设备A向服务器发送了一个报文1(假设为正向报文),服务器响应报文1并返回报文2(即为报文1的反向报文)。那么报文1的源IP地址为设备A的IP地址、源端口为设备A的端口、目的IP地址为服务器的IP地址、目的端口为服务器的端口,报文2的源IP地址为服务器的IP地址、源端口为服务器的端口、目的IP地址为设备A的IP地址、目的端口为设备A的端口,则第一统计值表示从设备A的端口发至服务器的端口的正向报文(即上述报文1)的数据统计值,第二统计值表示从服务器的端口返回至设备A的端口的反向报文(即上述报文2)的数据统计值。第一统计值和第二统计值具体是对正向报文和反向报文的数据进行统计得到的统计值,具体可以为报文值(即报文数量)、流量值等。
另一个示例中,报文信息包括五元组信息、第一统计值和第二统计值的对应关系。报文信息如后续表1所示。为方便描述,发往服务器的报文为正向报文,即目的IP为服务器的IP地址、目的端口为服务器的第一端口的报文为正向报文,源IP地址为该正向报文的目的IP地址、源端口为该正向报文的目的端口、目的IP地址为该正向报文的源IP地址、目的端口为该正向报文的源端口的报文为反向报文。
数据报文在经过网络安全设备时,网络安全设备可以对数据报文进行统计分析,获取到报文信息。报文信息还可以是通过网络中的流量探针探测得到,网络安全设备可以从流量探针获取到报文信息。
在本发明实施例中,可以利用流量探针接收探测到的全部数据报文,流量探针对全部的数据报文进行解析得到报文信息,再将报文信息上报给网络安全设备,流量探针解析出来的报文信息可以以表1所示的格式进行记录。终端在登录服务器提供的登录服务时,每一次的登录行为会对应生成一条记录,则在表1所示的报文信息中,针对登录行为,每一行的记录为一次登录行为所产生的报文信息。
表1报文信息
| 源IP | 源端口 | 目的IP | 目的端口 | 协议 | 第一统计值 | 第二统计值 |
S102,从报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线。
其中,第一样本报文信息包含依据目的端口为第一端口的第一登录报文和响应第一登录报文的第一响应报文统计的报文信息,第一响应报文携带的登录行为结果为登录成功,第二样本报文信息包含依据目的端口为第一端口的第二登录报文和响应第二登录报文的第二响应报文统计的报文信息,第二响应报文携带的登录行为结果为登录失败。第一样本报文信息及第二样本报文信息的获取过程将在后续实施例中进行说明。
在本实施例中,第一统计值也可以称为正向统计值,第二统计值也可以称为反向统计值。
发明人发现:登录某服务的过程中,登录成功时所产生的服务器的响应数据的统计值相近或相同,登录失败时所产生的服务器的响应数据的统计值相近或相同,且登录成功时所产生的服务器的响应数据的统计值与登录失败时所产生的服务器的响应数据的统计值之间具备一定的差异。
如表2所示,假设正向报文的源IP地址为10.165.7.97、源端口为25346、目的IP地址为10.165.8.20、目的端口为80、采用的协议为TCP(Transmission Control Protocol,传输控制协议),序号1、2是登录成功时的报文信息,序号3、4是登录失败时的报文信息,序号1中的反向报文值与序号2中的反向报文值相同、序号1中的反向流量值与序号2中的反向流量值相近,序号3中的反向报文值与序号4中的反向报文值相同、序号3中的反向流量值与序号4中的反向流量值相近。
表2报文信息
基于上述发现的技术原理,在本发明实施例中,根据报文信息中目的端口为目标服务器的第一端口的目标五元组信息以及目标五元组信息对应的目标第二统计值,进行登录成功或者登录失败的判断,进一步判定是否有疑似暴力破解行为。
服务器通过不同的服务端口向终端提供各种登录服务(例如主机远程登录服务、网页业务的登录服务、FTP(File Transfer Protocol,文件传输协议)业务登录服务等),通常情况下,如果终端需要登录不同的登录服务,则会通过对应的端口发送登录请求报文。终端在向服务器发送登录请求报文(一般包括账号和密码)后,服务器会返回响应报文,登录成功时所产生的服务器的响应报文的统计值相近或相同,登录失败时所产生的服务器的响应报文的统计值相近或相同。
因此,针对每一服务端口提供的登录服务,可以预先进行多次的登录成功操作,基于这种操作下统计的第一样本报文信息中的第二统计值学习出第一基线,在学习第一基线时,输入的登录信息都是正确的,因此能够保证每次登录都是成功的。此外,针对每一服务端口提供的登录服务,还可以预先进行多次的登录失败操作,基于这种操作下统计的第二样本报文信息中的第二统计值学习出第二基线,在学习第二基线时,输入的登录信息都是错误的,因此能够保证每次登录都是失败的。学习过程为一次学习,学习完成后,可以通过数据库对学习结果进行存储。
在一个示例中,第一样本报文信息包含依据目的端口为第一端口的第一登录报文和响应第一登录报文的第一响应报文统计的报文信息,第一响应报文携带的登录行为结果为登录成功,第二样本报文信息包含依据目的端口为第一端口的第二登录报文和响应第二登录报文的第二响应报文统计的报文信息,第二响应报文携带的登录行为结果为登录失败。
可选的,在获取第一基线和第二基线之前,先进行第一基线和第二基线的学习过程,具体的学习过程可以为下述步骤1-3,其中步骤2和步骤3不分先后。
步骤1、获取包含多个第一登录报文的第一样本报文信息及包含多个第二登录报文的第二样本报文信息。
在本实施例中,对服务器提供的以第一端口为服务端口对应的登录服务进行多次登录操作,每一次的登录操作均会在报文信息中记录。
例如:假设服务器上用于存储用户信息的数据库中记录的登录操作的合法信息为用户名1和密码1。
客户端发送携带用户名1和密码1的登录报文1,登录报文1的目的IP为服务器的IP地址、目的端口为服务器的端口。服务器解析登录报文1并获取登录报文1中的用户名1和密码1,在数据库中匹配用户名1和密码1。
由于数据库中记录的合法信息为用户名1和密码1,则登录报文1匹配成功,客户端可以成功登录服务器。那么登录报文1为第一登录报文,响应登录报文1的响应报文则为第一响应报文。则第一样本报文信息中的某条记录中包含第一登录报文和第一响应报文的报文信息。
如果客户端N次成功登录服务器,那么,第一样本报文信息中包含N条记录,每条记录包含第一登录报文和第一响应报文的报文信息。
又例如:假设服务器上用于存储用户信息的数据库中记录的登录操作的合法信息为用户名1和密码1,且并没有存储用户名2和密码2。客户端发送携带用户名2和密码2的登录报文2,登录报文2的目的IP为服务器的IP地址、目的端口为服务器的端口。服务器解析登录报文2并获取登录报文2中的用户名2和密码2,在数据库中匹配用户名2和密码2。
由于数据库中记录的合法信息为用户名1和密码1,且并没有存储用户名2和密码2,则登录报文2匹配失败,客户端登录服务器失败。那么登录报文2为第二登录报文,响应登录报文2的响应报文则为第二响应报文。则第二样本报文信息中的某条记录中包含第一登录报文和第二响应报文的报文信息。
如果客户端M次登录服务器失败,那么,第二样本报文信息中包含M条记录,每条记录包含第二登录报文和第二响应报文的报文信息。
为方便获取第一样本报文信息,客户端可以多次发送携带合法用户名和密码的第一登录报文给服务器,服务器对应返回第一响应报文,从而获取第一样本报文信息。同理,客户端可以多次发送携带非法用户名和密码的第二登录报文给服务器,服务器对应返回第二响应报文,从而获取第二样本报文信息。
步骤2、从各第一样本报文信息中,分别提取第二统计值,并根据各第二统计值,计算第一基线。
步骤3、从各第二样本报文信息中,分别提取第二统计值,并根据各第二统计值,计算第二基线。
在本实施例中,客户端或用户对服务器提供的以第一端口为服务端口对应的登录服务进行多次登录操作,且登录成功N次,则相应的会统计得到包含N条记录的第一样本报文信息,每条记录对应一次登录成功的五元组信息以及第一统计值和第二统计值的对应关系,可以从第一样本报文信息中提取各第二统计值。然后以各第二统计值为输入因子,计算各第二统计值的平均值、数学期望值等,其中,平均值、数学期望值的计算是传统的数学运算,这里不再详述。然后将上述计算结果中的其中一个作为第一基线。在一个示例中,可以将得到的平均值作为第一基线,在另外一个示例中,可以将得到的期望值作为第一基线。在计算得到第一基线之后,可以根据第一端口的IP地址、端口信息等,对应地存储第一基线。一般情况下,服务器的一个端口对应一种登录服务,因此,在进行统计报文信息时,是针对同一个端口对应的登录服务进行统计。
同理,还可以对服务器提供的以第一端口为服务端口对应的登录服务进行多次登录操作,且登录失败M次,则相应的会统计得到包含M条记录的第二样本报文信息,可以从第二样本报文信息中提取各第二统计值。然后以各第二统计值为输入因子,对各第二统计值进行平均值、数学期望值的计算等,,将上述计算结果中的其中一个作为第二基线。在一个示例中,可以将得到的平均值计算结果作为第二基线,在另外一个示例中,可以将得到的期望值作为第二基线。在计算得到第二基线之后,可以根据第一端口的IP地址、端口信息等,对应地存储第二基线。
S103,计算目标第二统计值与第一基线的第一差距值、目标第二统计值与第二基线的第二差距值。
在确定出目标第二统计值后,可以对目标第二统计值与第一基线的第一差距值、目标第二统计值与第二基线的第二差距值进行计算,也就是计算目标第二统计值相较于第一基线的距离以及目标第二统计值相较于第二基线的距离。
可选的,目标第二统计值可以包括报文值和流量值,第一基线可以包括第一报文值基线和第一流量值基线,第二基线可以包括第二报文值基线和第二流量值基线。
则相应的,S103中,计算目标第二统计值与第一基线的第一差距值、目标第二统计值与第二基线的第二差距值的步骤,具体可以通过如下步骤实现:
计算报文值与第一报文值基线的第一差值、流量值与第一流量值基线的第二差值,并将第一差值与第二差值的平方和的开方结果作为第一差距值;
计算报文值与第二报文值基线的第三差值、流量值与第二流量值基线的第四差值,并将第三差值与第四差值的平方和的开方结果作为第二差距值。
目标第二统计值具体是对反向报文的数据进行统计得到的统计值,具体可以包括报文值和流量值,则第一基线可以是学习得到的第一报文值基线(多次登录成功的情况下,服务器的响应报文值的平均值或者期望值)和第一流量值基线(多次登录成功的情况下,服务器的响应流量值的平均值或者期望值),第二基线可以是学习得到的第二报文值基线(多次登录失败的情况下,服务器的响应报文值的平均值或者期望值)和第二流量值基线(多次登录失败的情况下,服务器的响应流量值的平均值或者期望值)。
记第一报文值基线为TS1、第一流量值基线为TS2、第二报文值基线为TF1、第二报文值基线为TF2、第二统计值中报文值为R1、流量值为R2,则第一差距值第二差距值
在计算完第一差距值和第二差距值后,判断第一差距值和第二差距值是否在预设范围内,以及第一差距值是否不小于第二差距值。
针对于目标第二统计值相较于第一基线的第一差距值和相较于第二基线的第二差距值,分别设置有预设范围,或者设置有统一的预设范围。如果第一差距值和第二差距值在预设范围内,则可以认定本次报文对应的交互行为是登录行为,也就是说,目标五元组所属的报文是登录行为产生的报文。如果第一差距值和第二差距值不在预设范围内,则说明不是登录行为。
由于第一差距值是指目标第二统计值相较于第一基线的距离、第二差距值是指目标第二统计值相较于第二基线的距离,如果第一差距值大于或者等于第二差距值,则说明目标第二统计值相较于第二基线的距离更近,则登录失败的可能性更大,如果第一差距值小于第二差距值,则说明目标第二统计值相较于第一基线的距离更近,则登录成功的可能性更大。因此,在计算得到第一差距值和第二差距值之后,可以对第一差距值和第二差距值进行大小比较,以确定目标五元组所属的报文对应的登录行为结果。
S104,若第一差距值和第二差距值在预设范围内,且第一差距值不小于第二差距值,则确定目标五元组信息所属的报文对应的登录行为结果为登录失败。
一个实施例中,如果第一差距值和第二差距值在预设范围内,则可以认定本次报文对应的交互行为是登录行为。由于第一差距值是指目标第二统计值相较于第一基线的距离、第二差距值是指目标第二统计值相较于第二基线的距离,如果第一差距值大于或者等于第二差距值,则说明目标第二统计值相较于第二基线的距离更近,则登录失败的可能性更大。因此,如果判定第一差距值和第二差距值在预设范围内,且第一差距值不小于第二差距值,则可以确定登录以第一端口为服务端口对应的登录服务失败。
另一个实施例中,若第一差距值和第二差距值在所述预设范围内,且第一差距值小于第二差距值,则确定目标五元组信息所属的报文对应的登录行为结果为登录成功。
如果第一差距值小于第二差距值,则说明目标第二统计值相较于第一基线的距离更近,则登录成功的可能性更大。因此,如果判定第一差距值和第二差距值在预设范围内,且第一差距值小于第二差距值,则可以确定登录以第一端口为服务端口对应的登录服务成功。
S105,统计预设时段内登录行为结果为登录失败的目标五元组信息的数目,并判断统计的数目是否超过预设阈值。
预设时段为预先设定的时段,例如30分钟、1个小时等,服务器的一个服务端口对应一种登录服务,报文信息中每根据一条记录可以确定出一次登录是否失败。由于每一次登录行为均会被报文信息记录,因此目标五元组信息的数目可以被认为是登录行为的次数。通过统计预设时段内登录行为结果为登录失败的目标五元组信息的数目,可以得出登录失败的次数。
在统计出预设时段内登录行为结果为登录失败的目标五元组信息的数目后,可以判断统计的数目是否超过预设阈值。
如果超过预设阈值,则说明预设时段内登录失败的次数占比较大,为暴力破解行为的可能性较大。如果没有超过预设阈值,则说明预设时段内登录失败的次数占比较小,为正常登录行为的可能性较大。
在预设时段内登录行为结果为登录失败的目标五元组信息的数目的统计,可以是对预设时段内目标五元组信息的总数目进行统计,也可以是在统计总数目后,计算单位时间内目标五元组信息的数目。相应的,可以针对预设时段内的总数目、单位时间内的数目分别设置对应的预设阈值,分别将预设时段内的总数目与对应的预设阈值进行比较、将单位时间内的数目与对应的预设阈值进行比较。
S106,若统计的数目超过预设阈值,则确定存在针对目标服务器的疑似暴力破解行为。
如果统计的数目超过预设阈值(如上述预设时段内的总数目大于对应的预设阈值,或者,单位时间内的数目大于对应的预设阈值),则可以判定有疑似暴力破解行为。由于预设时段设置长短的问题,如果预设时段设置的较短,得到的判定结果不一定非常准确,有可能将正常用户输入账号或者密码错误识别为暴力破解行为,因此,如果统计的数目超过预设阈值,判定的是有疑似暴力破解行为。此时可以设置暴力破解行为的威胁度为轻度。
可选的,在执行S106之后,本发明实施例所提供的暴力破解行为的检测方法,还可以执行如下步骤:
第一步,获取当前时刻之前的预设天数统计的目的端口为第一端口的历史报文信息。
第二步,根据历史报文信息中的各历史第二统计值、第一基线和第二基线,计算各历史第二统计值与第一基线的第三差距值、各历史第二统计值与第二基线的第四差距值。
第三步,若针对所有历史第二统计值,第三差距值和第四差距值都在预设范围内,且第三差距值都不小于第四差距值,则判定疑似暴力破解行为的威胁度为中度。
在确定存在疑似暴力破解行为之后,可以获取最近X天(例如10天)目的端口为第一端口的历史报文信息,从历史报文信息中提取各历史第二统计值,针对各历史第二统计值,分别计算该历史第二统计值与第一基线的第三差距值、该历史第二统计值与第二基线的第四差距值,并判断第三差距值和第四差距值是否在预设范围内,以及第三差距值是否不小于第四差距值。如果针对每个历史第二统计值,第三差距值和第四差距值都在预设范围内,且第三差距值都不小于第四差距值,则可以以第一端口为服务端口对应的登录服务从未被成功登录过。由于过去多天以第一端口为服务端口对应的登录服务都未被成功登录过,则暴力破解行为的可能性升高,可以判定疑似暴力破解行为的威胁度为中度。
可选的,在上述第四步判定疑似暴力破解行为的威胁度为中度之后,本发明实施例所提供的暴力破解行为的检测方法,还可以执行:
实时获取报文,其中,该报文的目的端口为第一端口;根据实时获取的报文的报文信息中的实时第二统计值、所述第一基线和所述第二基线,计算实时第二统计值与第一基线的第五差距值、实时第二统计值与第二基线的第六差距值;若第五差距值和第六差距值在预设范围内,且第五差距值小于第六差距值,则判定疑似暴力破解行为的威胁度为重度。
如果确定了暴力破解行为的威胁度为中度,则需要对疑似暴力破解的报文进行持续观察,实时获取报文,从实时获取的报文的报文信息中提取实时第二统计值,计算实时第二统计值与第一基线的第五差距值、实时第二统计值与第二基线的第六差距值,并判断第五差距值和第六差距值是否在预设范围内,以及第五差距值是否不小于第六差距值,如果第五差距值和第六差距值在预设范围内,且第五差距值小于第六差距值,则可以确定以第一端口为服务端口对应的登录服务被成功登录,说明登录服务的账号、密码可能被成功破解,则需要将暴力破解行为的威胁度升高,可以判定疑似暴力破解行为的威胁度为重度。
网络安全设备还可以基于历史的登录行为分析出哪些源IP地址对应的终端是合法的或者非法的,在本地进行记录,在判定疑似暴力破解行为的威胁度为重度之后,可以基于实时获取的报文的报文信息中源IP地址,判断该源IP地址对应的终端是合法的还是非法的,如果是非法的,则可以确定真的发生了暴力破解行为,且攻击方为该源IP地址对应的终端。进一步的,可以对发生的暴力破解行为进行及时处理,例如断开目标服务器与攻击方的连接、提示用户修改密码等。
可选的,在执行S106之后,本发明实施例所提供的暴力破解行为的检测方法,还可以执行如下步骤:
统计目的端口为第一端口的目标五元组信息中源IP地址的数量,并判断统计的数量是否超过预设数量阈值;
若统计的数量超过预设数量阈值,则判定疑似暴力破解行为是分布式暴力破解行为。
在确定存在疑似暴力破解行为之后,可以对目的端口为第一端口的目标五元组信息中的源IP地址的数量进行统计,如果统计的数量超过了预设数量阈值,则说明有多个终端在对服务器的登录服务发起疑似暴力破解,则可以判定疑似暴力破解行为是分布式暴力破解行为,并且由于多个源IP地址发起了疑似暴力破解,则暴力破解行为的可能性升高,可以判定疑似暴力破解行为的威胁度为中度。
应用本发明实施例,获取预设时段内统计的报文信息,报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一统计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据,从报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线。第一样本报文信息包含依据目的端口为第一端口的第一登录报文和响应第一登录报文的第一响应报文统计的报文信息,第一响应报文携带的登录行为结果为登录成功,第二样本报文信息包含依据目的端口为第一端口的第二登录报文和响应第二登录报文的第二响应报文统计的报文信息,第二响应报文携带的登录行为结果为登录失败。计算目标第二统计值与第一基线的第一差距值、目标第二统计值与第二基线的第二差距值,如果第二差距值更小,则说明目标第二统计值是登录失败时产生的统计值的可能性更大。如果在预设时段内登录行为结果为登录失败的目标五元组信息的数目超过了一定的阈值,则说明在预设时段内的多次登录行为中登录失败的次数占比较大,则可以确定这样的登录行为是疑似暴力破解行为,提高了暴力破解行为的检测精度。
本发明实施例中,识别出的是疑似暴力破解行为,为网络安全提供的是一种暴力破解行为的预警,能够提前发现入侵风险,及时阻断入侵行为,从而能够有效地减少企业损失。
为了便于理解,下面结合具体实例,对本发明实施例所提供的暴力破解行为的检测方法进行介绍,如图2所示,包括以下两个阶段。
第一阶段:学习阶段。
该阶段对第一基线和第二基线进行学习,针对每一个登录服务,获取针对该登录服务的N次登录成功的第一样本报文信息、M次登录失败的第二样本报文信息。
从第一样本报文信息中,提取服务器返回的报文值和流量值,计算N个报文值的平均值和N个流量值的平均值,针对每个登录服务,根据对应的端口信息(例如端口号),对应的将登录成功时的平均报文值(第一报文值基线)和平均流量值(第一流量值基线)进行存储,保存到数据库中。
从第二样本报文信息中,提取服务器返回的报文值和流量值,计算M个报文值的平均值和M个流量值的平均值,针对每个登录服务,根据对应的端口信息(例如端口号),对应的将登录失败时的平均报文值(第二报文值基线)和平均流量值(第二流量值基线)进行存储,保存到数据库中。
第二阶段:检测阶段。
第二阶段包括两个小阶段:鉴定登录失败和登录成功的行为阶段、判断暴力破解行为阶段。
在鉴定登录失败和登录成功的行为阶段中,接收流量探针上报的报文信息,从报文信息中确定目的端口为目标服务器的第一端口的目标五元组和目标第二统计值(目标服务器的反向报文值R1和流量值R2),并基于五元组信息,从数据库中查找到对应的第一报文值基线TS1、第一流量值基线TS2、第二报文值基线TF1和第二流量值基线TF2,计算第一差距值第二差距值
假设计算出来的DS=7、DF=3,设定的预设范围为2~8,则可以认为是登录行为,而DS大于DF,则认为是登录失败的行为。
在判断暴力破解行为阶段中,统计一段时间内登录行为结果为登录失败的目标五元组信息的数目,设置两个条件:单位时间内统计登录行为结果为登录失败的目标五元组信息的数目超过预设阈值;一段时间内统计的总数目超过预设阈值。
假设统计在1个小时内,从报文信息中统计出登录行为结果为登录失败的目标五元组信息的总数目为50,远远超过了预设阈值20,则可以判定存在疑似暴力破解行为。
相应于上述方法实施例,本发明实施例提供了一种暴力破解行为的检测装置,如图3所示,该装置可以包括:
获取模块310,用于获取预设时段内统计的报文信息,其中,报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一统计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据;
获取模块310,还用于从报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线,其中,第一样本报文信息包含依据目的端口为第一端口的第一登录报文和响应第一登录报文的第一响应报文统计的报文信息,第一响应报文携带的登录行为结果为登录成功,第二样本报文信息包含依据目的端口为第一端口的第二登录报文和响应第二登录报文的第二响应报文统计的报文信息,第二响应报文携带的登录行为结果为登录失败;
计算模块320,用于计算目标第二统计值与第一基线的第一差距值、目标第二统计值与第二基线的第二差距值;
确定模块330,用于若第一差距值和第二差距值在预设范围内,且第一差距值不小于第二差距值,则确定目标五元组信息所属的报文对应的登录行为结果为登录失败;
统计模块340,用于统计预设时段内登录行为结果为登录失败的目标五元组信息的数目,并判断统计的数目是否超过预设阈值;
确定模块330,还用于若统计模块340的判断结果为统计的数目超过预设阈值,则确定存在针对目标服务器的疑似暴力破解行为。
可选的,获取模块310,还可以用于获取包含多个第一登录报文的第一样本报文信息及包含多个第二登录报文的第二样本报文信息;
计算模块320,还可以用于从第一样本报文信息中,提取各第二统计值,并根据各第二统计值,计算第一基线;从第二样本报文信息中,提取各第二统计值,并根据各第二统计值,计算第二基线。
可选的,第二统计值可以包括报文值和流量值;第一基线可以包括第一报文值基线和第一流量值基线;第二基线可以包括第二报文值基线和第二流量值基线;
计算模块320,具体可以用于:
计算报文值与第一报文值基线的第一差值、流量值与第一流量值基线的第二差值,并将第一差值与第二差值的平方和的开方结果作为第一差距值;
计算报文值与第二报文值基线的第三差值、流量值与第二流量值基线的第四差值,并将第三差值与第四差值的平方和为的开方结果作为第二差距值。
可选的,确定模块330,还可以用于:
若计算模块320的判断结果为第一差距值和第二差距值在预设范围内,且第一差距值小于第二差距值,则确定目标五元组信息所属的报文对应的登录行为结果为登录成功。
可选的,获取模块310,还可以用于获取当前时刻之前的预设天数统计的目的端口为第一端口的历史报文信息;
计算模块320,还可以用于根据历史报文信息中的各历史第二统计值、第一基线和第二基线,计算各历史第二统计值与第一基线的第三差距值、各历史第二统计值与第二基线的第四差距值;
确定模块330,还可以用于若针对所有历史第二统计值,第三差距值和第四差距值都在预设范围内,且第三差距值都不小于第四差距值,则判定疑似暴力破解行为的威胁度为中度。
可选的,获取模块310,还可以用于实时获取报文,其中,该报文的目的端口为第一端口;
计算模块320,还可以用于根据实时获取的报文的报文信息中的实时第二统计值、第一基线和第二基线,计算实时第二统计值与第一基线的第五差距值、实时第二统计值与第二基线的第六差距值;
确定模块330,还可以用于若第五差距值和第六差距值在预设范围内,且第五差距值小于第六差距值,则判定疑似暴力破解行为的威胁度为重度。
可选的,统计模块340,还可以用于统计目的端口为第一端口的目标五元组信息中源IP地址的数量,并判断统计的数量是否超过预设数量阈值;
确定模块330,还可以用于若统计模块340的判断结果为统计的数量超过预设数量阈值,则判定疑似暴力破解行为是分布式暴力破解行为。
应用本发明实施例,获取预设时段内统计的报文信息,报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一统计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据,从报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线,第一样本报文信息包含依据目的端口为第一端口的第一登录报文和响应第一登录报文的第一响应报文统计的报文信息,第一响应报文携带的登录行为结果为登录成功,第二样本报文信息包含依据目的端口为第一端口的第二登录报文和响应第二登录报文的第二响应报文统计的报文信息,第二响应报文携带的登录行为结果为登录失败。计算目标第二统计值与第一基线的第一差距值、目标第二统计值与第二基线的第二差距值,如果第二差距值更小,则说明目标第二统计值是登录失败时产生的统计值的可能性更大。如果在预设时段内登录行为结果为登录失败的目标五元组信息的数目超过了一定的阈值,则说明在预设时段内的多次登录行为中登录失败的次数占比较大,则可以确定这样的登录行为是疑似暴力破解行为,提高了暴力破解行为的检测精度。
本发明实施例还提供了一种网络安全设备,如图4所示,包括处理器401和机器可读存储介质402,其中,机器可读存储介质402存储有能够被处理器401执行的机器可执行指令,机器可执行指令由处理器401加载并执行,以实现本发明实施例所提供的暴力破解行为的检测方法。
上述机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processor,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
机器可读存储介质402与处理器401之间可以通过有线连接或者无线连接的方式进行数据传输,并且网络安全设备与其他设备之间可以通过有线通信接口或者无线通信接口进行通信。图4所示的仅为通过总线进行数据传输的示例,不作为具体连接方式的限定。
本实施例中,处理器通过读取机器可读存储介质中存储的机器可执行指令,并通过加载和执行机器可执行指令,能够实现:网络安全设备获取预设时段内统计的报文信息,报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一统计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据,从报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线。第一样本报文信息包含依据目的端口为第一端口的第一登录报文和响应第一登录报文的第一响应报文统计的报文信息,第一响应报文携带的登录行为结果为登录成功,第二样本报文信息包含依据目的端口为第一端口的第二登录报文和响应第二登录报文的第二响应报文统计的报文信息,第二响应报文携带的登录行为结果为登录失败。计算目标第二统计值与第一基线的第一差距值、目标第二统计值与第二基线的第二差距值,如果第二差距值更小,则说明目标第二统计值是登录失败时产生的统计值的可能性更大。如果在预设时段内登录行为结果为登录失败的目标五元组信息的数目超过了一定的阈值,则说明在预设时段内的多次登录行为中登录失败的次数占比较大,则可以确定这样的登录行为是疑似暴力破解行为,提高了暴力破解行为的检测精度。
另外,本发明实施例还提供了一种机器可读存储介质,机器可读存储介质内存储有机器可执行指令,机器可执行指令在被处理器加载并执行时,实现本发明实施例所提供的暴力破解行为的检测方法。
本实施例中,机器可读存储介质存储有在运行时执行本发明实施例所提供的暴力破解行为的检测方法的机器可执行指令,因此能够实现:网络安全设备获取预设时段内统计的报文信息,报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一统计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据,从报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线。第一样本报文信息包含依据目的端口为第一端口的第一登录报文和响应第一登录报文的第一响应报文统计的报文信息,第一响应报文携带的登录行为结果为登录成功,第二样本报文信息包含依据目的端口为第一端口的第二登录报文和响应第二登录报文的第二响应报文统计的报文信息,第二响应报文携带的登录行为结果为登录失败。计算目标第二统计值与第一基线的第一差距值、目标第二统计值与第二基线的第二差距值,如果第二差距值更小,则说明目标第二统计值是登录失败时产生的统计值的可能性更大。如果在预设时段内登录行为结果为登录失败的目标五元组信息的数目超过了一定的阈值,则说明在预设时段内的多次登录行为中登录失败的次数占比较大,则可以确定这样的登录行为是疑似暴力破解行为,提高了暴力破解行为的检测精度。
对于网络安全设备及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、网络安全设备及机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (16)
1.一种暴力破解行为的检测方法,其特征在于,所述方法包括:
获取预设时段内统计的报文信息,所述报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,所述第一统计值用于统计所述五元组信息所属的正向报文的数据,所述第二统计值用于统计所述五元组信息所属的反向报文的数据;
从所述报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与所述目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线,其中,所述第一样本报文信息包含依据目的端口为所述第一端口的第一登录报文和响应所述第一登录报文的第一响应报文统计的报文信息,所述第一响应报文携带的登录行为结果为登录成功,所述第二样本报文信息包含依据目的端口为所述第一端口的第二登录报文和响应所述第二登录报文的第二响应报文统计的报文信息,所述第二响应报文携带的登录行为结果为登录失败;
计算所述目标第二统计值与所述第一基线的第一差距值、所述目标第二统计值与所述第二基线的第二差距值;
若所述第一差距值和所述第二差距值在所述预设范围内,且所述第一差距值不小于所述第二差距值,则确定所述目标五元组信息所属的报文对应的登录行为结果为登录失败;
统计所述预设时段内登录行为结果为登录失败的所述目标五元组信息的数目,并判断所述数目是否超过预设阈值;
若超过,则确定存在针对所述目标服务器的疑似暴力破解行为。
2.根据权利要求1所述的方法,其特征在于,在所述获取第一基线和第二基线之前,所述方法还包括:
获取包含多个第一登录报文的第一样本报文信息及包含多个第二登录报文的第二样本报文信息;
从所述第一样本报文信息中,提取各第二统计值,并根据各第二统计值,计算第一基线;
从所述第二样本报文信息中,提取各第二统计值,并根据各第二统计值,计算第二基线。
3.根据权利要求1所述的方法,其特征在于,所述目标第二统计值包括报文值和流量值;所述第一基线包括第一报文值基线和第一流量值基线;所述第二基线包括第二报文值基线和第二流量值基线;
所述计算所述目标第二统计值与所述第一基线的第一差距值、所述目标第二统计值与所述第二基线的第二差距值,包括:
计算所述报文值与所述第一报文值基线的第一差值、所述流量值与所述第一流量值基线的第二差值,并将所述第一差值与所述第二差值的平方和的开方结果作为第一差距值;
计算所述报文值与所述第二报文值基线的第三差值、所述流量值与所述第二流量值基线的第四差值,并将所述第三差值与所述第四差值的平方和为的开方结果作为第二差距值。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述第一差距值和所述第二差距值在所述预设范围内,且所述第一差距值小于所述第二差距值,则确定所述目标五元组信息所属的报文对应的登录行为结果为登录成功。
5.根据权利要求1所述的方法,其特征在于,在所述确定存在针对所述目标服务器的疑似暴力破解行为之后,所述方法还包括:
获取当前时刻之前的预设天数统计的目的端口为所述第一端口的历史报文信息;
根据所述历史报文信息中的各历史第二统计值、所述第一基线和所述第二基线,计算所述各历史第二统计值与所述第一基线的第三差距值、所述各历史第二统计值与所述第二基线的第四差距值;
若针对所有历史第二统计值,所述第三差距值和所述第四差距值都在所述预设范围内,且所述第三差距值都不小于所述第四差距值,则判定所述疑似暴力破解行为的威胁度为中度。
6.根据权利要求5所述的方法,其特征在于,在所述判定所述疑似暴力破解行为的威胁度为中度之后,所述方法还包括:
实时获取报文,所述报文的目的端口为所述第一端口;
根据实时获取的报文的报文信息中的实时第二统计值、所述第一基线和所述第二基线,计算所述实时第二统计值与所述第一基线的第五差距值、所述实时第二统计值与所述第二基线的第六差距值;
若所述第五差距值和所述第六差距值在所述预设范围内,且所述第五差距值小于所述第六差距值,则判定所述疑似暴力破解行为的威胁度为重度。
7.根据权利要求1所述的方法,其特征在于,在所述确定存在针对所述目标服务器的疑似暴力破解行为之后,所述方法还包括:
统计目的端口为所述第一端口的目标五元组信息中源IP地址的数量,并判断所述源IP地址的数量是否超过预设数量阈值;
若是,则判定所述疑似暴力破解行为是分布式暴力破解行为。
8.一种暴力破解行为的检测装置,其特征在于,所述装置包括:
获取模块,用于获取预设时段内统计的报文信息,所述报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,所述第一统计值用于统计所述五元组信息所属的正向报文的数据,所述第二统计值用于统计所述五元组信息所属的反向报文的数据;
所述获取模块,还用于从所述报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与所述目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线,其中,所述第一样本报文信息包含依据目的端口为所述第一端口的第一登录报文和响应所述第一登录报文的第一响应报文统计的报文信息,所述第一响应报文携带的登录行为结果为登录成功,所述第二样本报文信息包含依据目的端口为所述第一端口的第二登录报文和响应所述第二登录报文的第二响应报文统计的报文信息,所述第二响应报文携带的登录行为结果为登录失败;
计算模块,用于计算所述目标第二统计值与所述第一基线的第一差距值、所述目标第二统计值与所述第二基线的第二差距值;
确定模块,用于若所述第一差距值和所述第二差距值在所述预设范围内,且所述第一差距值不小于所述第二差距值,则确定所述目标五元组信息所属的报文对应的登录行为结果为登录失败;
统计模块,用于统计所述预设时段内登录行为结果为登录失败的所述目标五元组信息的数目,并判断所述数目是否超过预设阈值;
所述确定模块,还用于若所述统计模块的判断结果为所述数目超过所述预设阈值,则确定存在针对所述目标服务器的疑似暴力破解行为。
9.根据权利要求8所述的装置,其特征在于,
所述获取模块,还用于获取包含多个第一登录报文的第一样本报文信息及包含多个第二登录报文的第二样本报文信息;
所述计算模块,还用于从所述第一样本报文信息中,提取各第二统计值,并根据各第二统计值,计算第一基线;从所述第二样本报文信息中,提取各第二统计值,并根据各第二统计值,计算第二基线。
10.根据权利要求8所述的装置,其特征在于,所述第二统计值包括报文值和流量值;所述第一基线包括第一报文值基线和第一流量值基线;所述第二基线包括第二报文值基线和第二流量值基线;
所述计算模块,具体用于:
计算所述报文值与所述第一报文值基线的第一差值、所述流量值与所述第一流量值基线的第二差值,并将所述第一差值与所述第二差值的平方和的开方结果作为第一差距值;
计算所述报文值与所述第二报文值基线的第三差值、所述流量值与所述第二流量值基线的第四差值,并将所述第三差值与所述第四差值的平方和为的开方结果作为第二差距值。
11.根据权利要求8所述的装置,其特征在于,所述确定模块,还用于:
若所述计算模块的判断结果为所述第一差距值和所述第二差距值在所述预设范围内,且所述第一差距值小于所述第二差距值,则确定所述目标五元组信息所属的报文对应的登录行为结果为登录成功。
12.根据权利要求8所述的装置,其特征在于,
所述获取模块,还用于获取当前时刻之前的预设天数统计的目的端口为所述第一端口的历史报文信息;
所述计算模块,还用于根据所述历史报文信息中的各历史第二统计值、所述第一基线和所述第二基线,计算所述各历史第二统计值与所述第一基线的第三差距值、所述各历史第二统计值与所述第二基线的第四差距值;
所述确定模块,还用于若针对所有历史第二统计值,所述第三差距值和所述第四差距值都在所述预设范围内,且所述第三差距值都不小于所述第四差距值,则判定所述疑似暴力破解行为的威胁度为中度。
13.根据权利要求12所述的装置,其特征在于,
所述获取模块,还用于实时获取报文,所述报文的目的端口为所述第一端口;
所述计算模块,还用于根据实时获取的报文的报文信息中的实时第二统计值、所述第一基线和所述第二基线,计算所述实时第二统计值与所述第一基线的第五差距值、所述实时第二统计值与所述第二基线的第六差距值;
所述确定模块,还用于若所述第五差距值和所述第六差距值在所述预设范围内,且所述第五差距值小于所述第六差距值,则判定所述疑似暴力破解行为的威胁度为重度。
14.根据权利要求8所述的装置,其特征在于,
所述统计模块,还用于统计目的端口为所述第一端口的目标五元组信息中源IP地址的数量,并判断所述源IP地址的数量是否超过预设数量阈值;
所述确定模块,还用于若所述统计模块的判断结果为所述源IP地址的数量超过所述预设数量阈值,则判定所述疑似暴力破解行为是分布式暴力破解行为。
15.一种网络安全设备,其特征在于,包括处理器和机器可读存储介质,其中,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述机器可执行指令由所述处理器加载并执行,以实现权利要求1-7任一项所述的方法。
16.一种机器可读存储介质,其特征在于,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令在被处理器加载并执行时,实现权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910609880.5A CN110417747B (zh) | 2019-07-08 | 2019-07-08 | 一种暴力破解行为的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910609880.5A CN110417747B (zh) | 2019-07-08 | 2019-07-08 | 一种暴力破解行为的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110417747A true CN110417747A (zh) | 2019-11-05 |
| CN110417747B CN110417747B (zh) | 2021-11-05 |
Family
ID=68360570
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910609880.5A Active CN110417747B (zh) | 2019-07-08 | 2019-07-08 | 一种暴力破解行为的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110417747B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110995738A (zh) * | 2019-12-13 | 2020-04-10 | 北京天融信网络安全技术有限公司 | 暴力破解行为识别方法、装置、电子设备及可读存储介质 |
| CN111245839A (zh) * | 2020-01-13 | 2020-06-05 | 奇安信科技集团股份有限公司 | 防暴力破解方法及装置 |
| CN112583789A (zh) * | 2020-11-04 | 2021-03-30 | 杭州数梦工场科技有限公司 | 被非法登录的登录接口确定方法、装置及设备 |
| CN113938312A (zh) * | 2021-11-12 | 2022-01-14 | 北京天融信网络安全技术有限公司 | 一种暴力破解流量的检测方法及装置 |
| CN114866333A (zh) * | 2022-06-09 | 2022-08-05 | 中国平安财产保险股份有限公司 | 暴力破解请求的智能识别方法、装置、电子设备及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104811447A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 一种基于攻击关联的安全检测方法和系统 |
| CN107592214A (zh) * | 2017-08-28 | 2018-01-16 | 杭州安恒信息技术有限公司 | 一种识别互联网应用系统登录用户名的方法 |
| CN108566363A (zh) * | 2018-01-09 | 2018-09-21 | 网宿科技股份有限公司 | 基于流式计算的暴力破解确定方法和系统 |
| CN108600172A (zh) * | 2018-03-23 | 2018-09-28 | 广州广电研究院有限公司 | 撞库攻击检测方法、装置、设备及计算机可读存储介质 |
| CN109743325A (zh) * | 2019-01-11 | 2019-05-10 | 北京中睿天下信息技术有限公司 | 一种暴力破解攻击检测方法、系统、设备及存储介质 |
| CN109936545A (zh) * | 2017-12-18 | 2019-06-25 | 华为技术有限公司 | 暴力破解攻击的检测方法和相关装置 |
| US20190196894A1 (en) * | 2015-09-29 | 2019-06-27 | International Business Machines Corporation | Detecting and analyzing performance anomalies of client-server based applications |
-
2019
- 2019-07-08 CN CN201910609880.5A patent/CN110417747B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104811447A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 一种基于攻击关联的安全检测方法和系统 |
| US20190196894A1 (en) * | 2015-09-29 | 2019-06-27 | International Business Machines Corporation | Detecting and analyzing performance anomalies of client-server based applications |
| CN107592214A (zh) * | 2017-08-28 | 2018-01-16 | 杭州安恒信息技术有限公司 | 一种识别互联网应用系统登录用户名的方法 |
| CN109936545A (zh) * | 2017-12-18 | 2019-06-25 | 华为技术有限公司 | 暴力破解攻击的检测方法和相关装置 |
| CN108566363A (zh) * | 2018-01-09 | 2018-09-21 | 网宿科技股份有限公司 | 基于流式计算的暴力破解确定方法和系统 |
| CN108600172A (zh) * | 2018-03-23 | 2018-09-28 | 广州广电研究院有限公司 | 撞库攻击检测方法、装置、设备及计算机可读存储介质 |
| CN109743325A (zh) * | 2019-01-11 | 2019-05-10 | 北京中睿天下信息技术有限公司 | 一种暴力破解攻击检测方法、系统、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 赵星: "网站暴力破解攻击及防御措施", 《山西电子技术》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110995738A (zh) * | 2019-12-13 | 2020-04-10 | 北京天融信网络安全技术有限公司 | 暴力破解行为识别方法、装置、电子设备及可读存储介质 |
| CN110995738B (zh) * | 2019-12-13 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 暴力破解行为识别方法、装置、电子设备及可读存储介质 |
| CN111245839A (zh) * | 2020-01-13 | 2020-06-05 | 奇安信科技集团股份有限公司 | 防暴力破解方法及装置 |
| CN112583789A (zh) * | 2020-11-04 | 2021-03-30 | 杭州数梦工场科技有限公司 | 被非法登录的登录接口确定方法、装置及设备 |
| CN112583789B (zh) * | 2020-11-04 | 2023-03-14 | 杭州数梦工场科技有限公司 | 被非法登录的登录接口确定方法、装置及设备 |
| CN113938312A (zh) * | 2021-11-12 | 2022-01-14 | 北京天融信网络安全技术有限公司 | 一种暴力破解流量的检测方法及装置 |
| CN113938312B (zh) * | 2021-11-12 | 2024-01-26 | 北京天融信网络安全技术有限公司 | 一种暴力破解流量的检测方法及装置 |
| CN114866333A (zh) * | 2022-06-09 | 2022-08-05 | 中国平安财产保险股份有限公司 | 暴力破解请求的智能识别方法、装置、电子设备及介质 |
| CN114866333B (zh) * | 2022-06-09 | 2023-06-30 | 中国平安财产保险股份有限公司 | 暴力破解请求的智能识别方法、装置、电子设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110417747B (zh) | 2021-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110417747A (zh) | 一种暴力破解行为的检测方法及装置 | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| US10771497B1 (en) | Using IP address data to detect malicious activities | |
| US20210097113A1 (en) | Client application fingerprinting based on analysis of client requests | |
| US11722520B2 (en) | System and method for detecting phishing events | |
| CN103490884B (zh) | 用于数字证书的验证的方法 | |
| CN104519032B (zh) | 一种互联网账号的安全策略及系统 | |
| US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
| CN107124434B (zh) | 一种dns恶意攻击流量的发现方法及系统 | |
| CN101009607B (zh) | 用于检测并防止网络环境中的洪流攻击的系统和方法 | |
| CN103379099B (zh) | 恶意攻击识别方法及系统 | |
| CN107786545A (zh) | 一种网络攻击行为检测方法及终端设备 | |
| US8510823B2 (en) | System and method for testing functionality of a firewall | |
| EP3085023B1 (en) | Communications security | |
| BR112012018643B1 (pt) | Método para detecção de acessos não autorizados de recursos online seguros, sistema de segurança de rede para detectar acessos não autorizados de recursos online seguros e mídia de armazenamento legível por computador | |
| CN111641658A (zh) | 一种请求拦截方法、装置、设备及可读存储介质 | |
| CN105516133A (zh) | 用户身份的验证方法、服务器及客户端 | |
| CN107391359A (zh) | 一种业务测试方法及装置 | |
| CN105959290A (zh) | 攻击报文的检测方法及装置 | |
| CN109361685B (zh) | 一种防止恶意请求的方法 | |
| CN104852916A (zh) | 一种基于社会工程学的网页验证码识别方法及系统 | |
| CN108234345A (zh) | 一种终端网络应用的流量特征识别方法、装置和系统 | |
| CN110266650A (zh) | Conpot工控蜜罐的识别方法 | |
| CN108924159A (zh) | 一种报文特征识别库的验证方法与装置 | |
| CN106354725A (zh) | 一种事件防刷方法、装置、服务器及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |