CN110798428A - 一种账号暴力破解行为的检测方法、系统及相关装置 - Google Patents
一种账号暴力破解行为的检测方法、系统及相关装置 Download PDFInfo
- Publication number
- CN110798428A CN110798428A CN201810867011.8A CN201810867011A CN110798428A CN 110798428 A CN110798428 A CN 110798428A CN 201810867011 A CN201810867011 A CN 201810867011A CN 110798428 A CN110798428 A CN 110798428A
- Authority
- CN
- China
- Prior art keywords
- login
- time
- time sequence
- address
- alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本申请公开了一种账号暴力破解行为的检测方法,所述检测方法包括:生成待检时间段内通过源IP地址登录目的IP地址的第一时间序列;生成历史时间段内通过源IP地址登录目的IP地址的第二时间序列;根据第二时间序列计算报警标准,并判断第一时间序列是否符合报警标准;若是,则判定检测到账号暴力破解行为。本方法能够在多种应用场景下无需更改算法阈值的即可实现快速、高效且准确的检测账号暴力破解行为。本申请还公开了一种账号暴力破解行为的检测系统、一种计算机可读存储介质及一种账号暴力破解行为的检测装置,具有以上有益效果。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种账号暴力破解行为的检测方法、系统、一种计算机可读存储介质及一种账号暴力破解行为的检测装置。
背景技术
账号暴力破解是指攻击者通过系统地组合所有可能性(例如登录时用到的账户名、密码),尝试所有的可能性来破解用户的账户名、密码等敏感信息。攻击者会经常使用自动化脚本组合出正确的用户名和密码。
账号暴力破解属于一种窃取用户账号和密码的行为,如果黑客通过账号暴力破解的方式获取到了员工账号的密码,就能够进一步获取到一些公司内部的重要信息。通过这些信息,就能对核心部门或者核心人员发起精准的鱼叉式钓鱼攻击,可能会造成难以挽回的损失。
现有技术中,针对账号暴力破解行为的检测方法主要是基于审计日志的检测方案,即根据登录失败次数与登录频率进行检测的算法。但是,由于暴力破解场景比较复杂,黑客为了避免被检测到,通常会使用一些对抗策略(比如分布式暴力破解,慢速暴力破解等)躲避检测。所以基于上述方法,需要工作人员针对对于不同的场景设置不同的阈值,但是这样会使得算法需要大量的阈值,过多的阈值会给管理员带来很多不必要的工作。然而这些改变阈值进行检测的方法具有滞后性,无法快速、高效且准确的检测到账号暴力破解行为。
因此,如何在多种应用场景下无需更改算法阈值的即可实现快速、高效且准确的检测账号暴力破解行为是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种账号暴力破解行为的检测方法、系统、一种计算机可读存储介质及一种账号暴力破解行为的检测装置,能够在多种应用场景下无需更改算法阈值的即可实现快速、高效且准确的检测账号暴力破解行为。
为解决上述技术问题,本申请提供一种账号暴力破解行为的检测方法,该检测方法包括:
生成待检时间段内通过源IP地址登录目的IP地址的第一时间序列;其中,所述第一时间序列以登录信息为统计指标;
生成历史时间段内通过所述源IP地址登录所述目的IP地址的第二时间序列;其中,所述历史时间段的终点时刻早于或等于所述待检时间段的起点时刻,所述历史时间段的终点时刻与所述待检时间段的起点时刻的差值小于预设时长,所述第二时间序列以登录信息为统计指标;
根据所述第二时间序列计算报警标准,并判断所述第一时间序列是否符合所述报警标准;
若是,则判定检测到账号暴力破解行为。
可选的,根据所述第二时间序列计算报警标准,并判断所述第一时间序列是否符合所述报警标准包括:
根据所述第二时间序列所统计的登录信息计算第一登录次数报警区间和第一失败率报警区间;
判断所述第一时间序列所统计的登录信息是否在所述第一登录次数报警区间和所述第一失败率报警区间;若是,则所述第一时间序列符合所述报警标准。
可选的,在根据所述第二时间序列计算报警标准之前,还包括:
生成预设天数内与所述待检时间段同一登录时间范围内通过所述源IP地址登录所述目的IP地址的第三时间序列;其中,所述第三时间序列以登录信息为统计指标;
相应的,根据所述第二时间序列计算报警标准,并判断所述第一时间序列是否符合所述报警标准包括:
根据所述第二时间序列所统计的登录信息和所述第三时间序列所统计的登录信息计算第二登录次数报警区间和第二失败率报警区间;
判断所述第一时间序列所统计的登录信息是否在第二登录次数报警区间和第二失败率报警区间;若是,则所述第一时间序列符合所述报警标准。
可选的,所述生成待检时间段内通过源IP地址登录目的IP地址的第一时间序列包括:
获取所述待检时间段内通过源IP地址登录目的IP地址的登录信息;其中,所述登录信息包括登录频率、登录失败率、登录次数和登录时间;
判断所述登录信息是否符合检验条件;
若是,则生成以所述登录信息为统计指标的所述第一时间序列。
可选的,判断所述登录信息是否符合检验条件包括:
判断所述登录频率是否大于第一阈值;
若是,则判断所述登录失败率是否大于第二阈值;若是,则符合所述检验条件;
若否,则判断所述登录次数是否具有周期性且所述登录失败率大于所述第二阈值;若是,则符合所述检验条件。
可选的,在所述输出检测到账号暴力破解行为对应的安全事件之后,还包括:
上传登录成功的账号信息和登录失败的账号信息。
本申请还提供了一种账号暴力破解行为的检测系统,该检测系统包括:
第一时间序列生成模块,用于生成待检时间段内通过源IP地址登录目的IP地址的第一时间序列;其中,所述第一时间序列以登录信息为统计指标
第二时间序列生成模块,用于生成历史时间段内通过源IP地址登录目的IP地址的以登录信息为统计指标的第二时间序列;其中,所述历史时间段与所述待检时间段有相同的端点且所述历史时间段早于所述待检时间段;
判断模块,用于根据所述第二时间序列计算报警标准,并判断所述第一时间序列是否符合所述报警标准;
报警模块,用于当所述第一时间序列符合所述报警标准时,判定检测到账号暴力破解行为。
可选的,所述判断模块包括:
第一报警标准计算单元,用于根据所述第二时间序列所统计的登录信息计算第一登录次数报警区间和第一失败率报警区间;
第一评判单元,用于判断所述第一时间序列所统计的登录信息是否在所述第一登录次数报警区间和所述第一失败率报警区间;若是,则所述第一时间序列符合所述报警标准。
可选的,还包括:
第三时间序列生成模块,用于生成预设天数内与所述待检时间段同一登录时间范围内通过所述源IP地址登录所述目的IP地址的第三时间序列;其中,所述第三时间序列以登录信息为统计指标;
相应的,所述判断模块包括:
第二报警标准计算单元,用于根据所述第二时间序列所统计的登录信息和所述第三时间序列所统计的登录信息计算第二登录次数报警区间和第二失败率报警区间;
第二评判单元,用于判断所述第一时间序列所统计的登录信息是否在第二登录次数报警区间和第二失败率报警区间;若是,则所述第一时间序列符合所述报警标准。
可选的,所述第一时间序列生成模块包括:
登录信息获取单元,用于获取所述待检时间段内通过源IP地址登录目的IP地址的登录信息;其中,所述登录信息包括登录频率、登录失败率、登录次数和登录时间;
检验单元,用于判断所述登录信息是否符合检验条件;
系列生成单元,用于当所述登录信息符合检验条件时,生成以所述登录信息为统计指标的所述第一时间序列。
可选的,所述检验单元包括:
频率判断子单元,用于判断所述登录频率是否大于第一阈值;
失败率判断子单元,用于当所述登录频率大于所述第一阈值时,判断所述登录失败率是否大于第二阈值;若是,则符合所述检验条件;
周期性判断子单元,用于当所述登录频率小于或等于所述第一阈值时,判断所述登录次数是否具有周期性且所述登录失败率大于所述第二阈值;若是,则符合所述检验条件。
可选的,还包括:
举证模块,用于上传登录成功的账号信息和登录失败的账号信息。
本申请还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序执行时实现上述账号暴力破解行为的检测方法执行的步骤。
本申请还提供了一种账号暴力破解行为的检测装置,包括数据接收器、存储器和处理器,数据接收器用于接收源IP地址登录目的IP地址的登录信息,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现上述账号暴力破解行为的检测方法执行的步骤。
本发明提供了一种账号暴力破解行为的检测方法,包括:生成待检时间段内通过源IP地址登录目的IP地址的第一时间序列;其中,所述第一时间序列以登录信息为统计指标;生成历史时间段内通过所述源IP地址登录所述目的IP地址的第二时间序列;其中,所述历史时间段的终点时刻早于或等于所述待检时间段的起点时刻,所述历史时间段的终点时刻与所述待检时间段的起点时刻的差值小于预设时长,所述第二时间序列以登录信息为统计指标;根据所述第二时间序列计算报警标准,并判断所述第一时间序列是否符合所述报警标准;若是,则判定检测到账号暴力破解行为。
每一种方式的账号暴力破解都具有一个的共有特征:只在某一段时间内进行暴力破解,该暴力破解时间与此账户在平日里的登录状态不同。本发明基于上述共有特征提出了基于用户登录时间序列的检测,将待检时间段内登录目的IP地址的时间序列与历史时间段内登录目的IP地址的时间序列进行比较,最后根据关于两个时间序列的比较结果判断是否存在账号暴力破解行为。相对于现有技术中仅仅只对待检时间段内的登录信息进行检测,本方案无需设置大量的阈值来应对不同的破解方式,也就是说这种针对于时间序列的检测方式无需根据场景的不同改变阈值,只需要与其他时间段的时间序列进行比较即可,具有良好的通用性。因此本方案能够在多种应用场景下无需更改算法阈值的即可实现快速、高效且准确的检测账号暴力破解行为。本申请同时还提供了一种账号暴力破解行为的检测系统、一种计算机可读存储介质和一种账号暴力破解行为的检测装置,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种账号暴力破解行为的方法的流程图;
图2为本申请实施例所提供的另一种账号暴力破解行为的方法的流程图;
图3为本申请实施例所提供的账号暴力破解行为的检测方法中判断所述第一时间序列是否符合所述报警标准的流程图;
图4为本申请实施例所提供的账号暴力破解行为的检测方法中生成第一时间序列的流程图;
图5为本申请实施例所提供的账号暴力破解行为的检测方法中判断所述登录信息是否符合检验条件的流程图;
图6为本申请实施例所提供的一种优选的账号暴力破解行为的检测方法的流程图;
图7为本申请实施例所提供的一种账号暴力破解行为的检测系统的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面请参见图1,图1为本申请实施例所提供的一种账号暴力破解行为的方法的流程图。
具体步骤可以包括:
S101:生成待检时间段内通过源IP地址登录目的IP地址的第一时间序列;
其中,在本步骤之前默认存在获取服务器的登录日志的操作,本实施例中所描述的通过源IP地址登录目的IP地址的操作具体是指,用户通过源IP地址登录服务器进而访问目的IP地址的操作。时间序列是指将同一统计指标的数值按其发生的先后顺序排列而成的数列,对于时间序列进行分析可以实现根据已有的历史数据对未来进行预测。本实施例中第一时间序列的统计指标为登录信息,第一时间序列是指用户通过源IP地址登录目的IP地址过程中登录信息按其发生的先后序列排列而成的数列,其中上述登录信息可以包括登录过程中的任一信息,如:登录次数、登录频率、登录失败率、每次登录的时间等。
可以理解的是,S101中提到的待检时间段可以是登录日志对应的任一时间范围,作为一种优选的实施方式,可以对最近的一段时间内的登录日志进行关于账号暴力破解行为的检测,以保证检测的及时性将危险降至最低。当然,工作人员可以根据本方案的实际需求设定待检时间段以实现检测的灵活性,此处不对待检时间段进行具体的限定。
值得注意的是,待检时间段作为一个时间范围具有一定的时间跨度,待测时间段过长可能会导致计算量过大,待测时间段过短可能会导致检测结果不够准确,因此为了达到较好的检测效果工作人员应当合理设置待测时间段具体的时间跨度。
当然,本方案作为一种基于时间序列对账号暴力破解行为检测的方法,是可以建立在现有技术中基于日志审计进行检测的方案之上的,即先通过基于日志审计的检测方法对登录日志进行初步的检测,若检测到异常则再通过本实施例中描述的方案进行S102与S103中基于时间序列的更为细致、更具有通用性的检测。
S102:生成历史时间段内通过源IP地址登录目的IP地址的第二时间序列;
其中,本步骤中所述历史时间段的终点时刻早于或等于所述待检时间段的起点时刻,所述历史时间段的终点时刻与所述待检时间段的起点时刻的差值小于预设时长。历史时间段是相对于待检时间段在时间顺序上较早的一段时间,故历史时间段对应的第二时间序列可以对历史时间段之后的一段时间内的登录信息进行预测。第二时间序列的统计指标是登录信息。进一步的说,历史时间段的终点时刻与待检时间段的起点时刻之差应该小于预设时长,以保证第二时间序列的预测精准度。当然,该预设时长可以根据具体的应用情况设定。作为一种优选的实施方式,历史时间段的终点时刻与待检时间段的起点时刻为同一时刻。
可以理解的是,本步骤中提到的第二时间序列与第一时间序列的构成一致,即用户通过源IP地址登录目的IP地址过程中登录信息按其发生的先后序列排列而成的数列,只是第二时间序列是针对历史时间段内生成的序列,而第一时间序列是针对待检时间段生成的序列。正因为第一时间序列和第二时间序列都是针对相同指标的数值,才能在后续步骤中执行关于判断第一时间序列是否符合报警标准的操作。
S103:根据第二时间序列计算报警标准,并判断第一时间序列是否符合报警标准;若是,则进入S104;若否,则结束流程。
由于第一时间序列和第二时间序列都是以登录信息为统计指标生成的数列,因此根据所述第二时间序列得到报警标准是能够评判第一时间序列中的登录信息是否符合标准的。本步骤中根据所述第二时间序列得到报警标准可以有多种方法。例如:根据第二时间序列计算关于登录信息中各项数据符合标准的阈值或趋势,判断第一时间序列中各项数据是否符合标准;若不符合标准,则说明比较结果存在异常,若符合标准,则说明比较结果不存在异常。再例如:根据第二时间序列生成标准的时间序列模型,将第一时间序列与该标准的时间序列模型进行比较,若相似度大于预设值则说明不存在异常,若不大于预设值则说明存在异常。当然,本领域的技术人员还可以根据所述第二时间序列所统计的登录信息计算第一登录次数报警区间和第一失败率报警区间,判断所述第一时间序列所统计的登录信息是否在所述第一登录次数报警区间和所述第一失败率报警区间;若是,则所述第一时间序列符合所述报警标准。由于登录信息中可以包括登录次数和登录失败率,因此“判断所述第一时间序列所统计的登录信息是否在所述第一登录次数报警区间和所述第一失败率报警区间”实际上相当于,判断登录信息对应的登录次数和登录失败率是否分别在第一登录次数报警区间和所述第一失败率报警区间内。需要说明的是,第一登录次数报警区间是指登录次数不正常的区间,第一失败率报警区间是指失败率不正常的区间,登录信息中可以包括登录次数和登录失败率;当第一时间序列统计的登录信息对应的登录次数在第一登录次数报警区间内,且,第一时间序列统计的登录信息对应的登录失败率在第一失败率报警区间内时,说明符合报警标准。总之相关技术人员还可以根据实际应用情况设定关于根据所述第二时间序列得到报警标准的其他方法,此处不再一一赘述。
S104:判定检测到账号暴力破解行为。
其中,本步骤是建立在已经确认第一时间序列中的某些数据不符合由第二时间序列得到的报警标准的前提下的,此时可以判定检测到待检时间段内存在有账号暴力破解行为。作为一种优选的实施方式,可以在S104之后进行输出检测到账号暴力破解行为对应的安全事件的操作,以便相关人员及时获取信息,根据账号暴力破解行为采取相应的对策。作为另一种优选的实施方案,可以在输出检测到账号暴力破解行为对应的安全事件之后上传登录成功的账号信息和登录失败的账号信息,即:向用户展示哪些账号登录失败,哪些账号登录成功,提供具有说服力的举证信息。
每一种方式的账号暴力破解都具有一个的共有特征:只在某一段时间内进行暴力破解,该暴力破解时间与此账户在平日里的登录状态不同。本发明基于上述共有特征提出了基于用户登录时间序列的检测,将待检时间段内登录目的IP地址的时间序列与历史时间段内登录目的IP地址的时间序列进行比较,最后根据关于两个时间序列的比较结果判断是否存在账号暴力破解行为。相对于现有技术中仅仅只对待检时间段内的登录信息进行检测,本方案无需设置大量的阈值来应对不同的破解方式,也就是说这种针对于时间序列的检测方式无需根据场景的不同改变阈值,只需要与其他时间段的时间序列进行比较即可,具有良好的通用性。因此本方案能够在多种应用场景下无需更改算法阈值的即可实现快速、高效且准确的检测账号暴力破解行为。
下面请参见图2,图2为本申请实施例所提供的另一种账号暴力破解行为的方法的流程图。本实施例中在第一个实施例的基础上增加了关于与所述待检时间段同一登录时间范围内通过所述源IP地址登录所述目的IP地址的第三时间序列,其他内容可以于上一实施例相互参见,此处不再赘述。
S201:生成待检时间段内通过源IP地址登录目的IP地址的第一时间序列;
S202:生成历史时间段内通过源IP地址登录目的IP地址的第二时间序列;
其中,本步骤的目的在于获取在待检时间段之前的一段时间内关于登录信息的时间序列。举例说明S202中的操作:假设预设时间为24小时且S201中第一预设时间序列对应的待检时间段为3月12日15:00至15:10,那么在本步骤中则应该生成3月11日15:00至3月12日15:00对应的第二时间序列。可以理解的是,此处不对预设时间的时间长度进行限定,可以由工作人员根据本实施例的应用场景进行设置。
可以理解的是,本步骤中提到的第二时间序列与第一时间序列的构成一致,即用户通过源IP地址登录目的IP地址过程中登录信息按其发生的先后序列排列而成的数列,只是第二时间序列是针对待检时间段之前预设时间内与待检时间段同一登录时间范围生成的序列,而第一时间序列是针对待检时间段生成的序列。
S203:生成预设天数内与待检时间段同一登录时间范围内通过源IP地址登录目的IP地址的第三时间序列;
其中,本步骤的目的在于获取多天之内与待检时间段相对应的第三时间序列。举例说明S203操作:假设预设天数为4,且S201中第一时间序列对应的待检时间段为3月12日15:00至15:10,那么在S203中则应该生成3月11日15:00至15:10、3月10日15:00至15:10以及3月9日15:00至15:10对应的第二时间序列。可以理解的是,此处不对预设天数的具体天数进行限定,可以由工作人员根据本实施例的应用场景进行设置。
可以理解的是,本步骤中提到的第三时间序列与第一时间序列的构成一致,即用户通过源IP地址登录目的IP地址过程中登录信息按其发生的先后序列排列而成的数列,只是第三时间序列是针对预设天数内与待检时间段同一登录时间范围生成的序列,而第一时间序列是针对待检时间段生成的序列。
S204:根据第二时间序列和第三时间序列得到报警标准,并判断所述第一时间序列是否符合所述报警标准;若是,则进入S205;若否,则结束流程;
此处与上一实施例中S103的方法基本一致,只是将S103中根据第二时间序列得到报警标准变为根据所述第二时间序列和所述第三时间序列得到报警标准。由于增加了第三时间序列,S204中生成的报警标准更加准确。
S205:判定检测到账号暴力破解行为。
本实施例根据每一种方式的账号暴力破解都具有一个的共有特征:只在某一段时间内进行暴力破解,该暴力破解时间与此账户在平日里的登录状态不同。本实施例基于上述共有特征提出了基于用户登录时间序列的检测,将待检时间段内登录目的IP地址的时间序列与预设天数内同一时间段登录目的IP地址的时间序列进行横向比较,同时将待检时间段内登录目的IP地址的时间序列与待检时间段之前预设时间内登录目的IP地址的时间序列进行纵向比较,最后根据关于时间序列的两个比较结果判断是否存在账号暴力破解行为。相对于现有技术中仅仅只对待检时间段内的登录信息进行检测,本方案无需设置大量的阈值来应对不同的破解方式,只通过两个时间维度上的时间序列比较就可以检测到账号暴力破解行为。也就是说本实施例中这种针对于时间序列的检测方式无需根据场景的不同改变阈值,只需要与其他时间段的时间序列进行比较即可,具有良好的通用性。因此本实施例能够在多种应用场景下无需更改算法阈值的即可实现快速、高效且准确的检测账号暴力破解行为。
需要说明的是,图1和图2对应的两个实施例中提到的第一登录次数报警区间、第一失败率报警区间、第二登录次数报警区间和第二失败率报警区间,都是通过根据第二时间序列中对应的登录信息和第三时间序列对应的登录信息确定登陆次数和失败率的正常范围后,求正常范围的补集得到的。例如得到正常登陆次数为(0,50)次,那么第一或第二登录次数报警区间则为大于或等于50次的范围,正常失败率为(0%,15%),那么第一或第二失败率报警区间则为大于或等于15%的范围。
下面请参见图3,图3为本申请实施例所提供的账号暴力破解行为的检测方法中判断所述第一时间序列是否符合所述报警标准的流程图。
本实施例是对上一实施例中S204的更具体的描述,判断所述第一时间序列是否符合所述报警标准的方式包括但不限于下述方式:
S301:根据第二时间序列的登录次数和第三时间序列的登录次数计算第二登录次数报警区间;进入S303;
其中,第二时间序列是待检时间段之前的历史时间段内的登录信息的时间序列,第二时间序列相当于第一时间序列的横向参照,可以根据第二时间序列的确定正常情况下待检时间段的登录信息的变化情况。同理可知,第三时间序列是待检时间段之前预设天数内的与待检时间段相同的时间范围内的登录信息的时间序列,第三时间序列相当于第一时间序列的纵向参照,可以根据第三时间序列确定正常情况下待检时间段的登录信息的变化情况。因此可以通过取二者交集的方式,根据关于横向比较的第二时间序列的登录次数和关于纵向比较的第三时间序列的登录次数得到第二登录次数报警区间,若登录次数落在该标准登录区间则说明不存在关于登录次数的异常现象,反之则存在关于登录次数的异常现象。
当然,关于如何根据第二时间序列中记录的登录次数和第三时间序列的登录次数计算得到第二登录次数报警区间,本领域的技术人员可以根据本方案的实际应用情况和检验暴力破解行为的严格程度设定相关阈值,以便得到适合与应用场景的第二登录次数报警区间,此处不对根据第二时间序列和第三时间序列计算第二登录次数报警区间的方法进行具体限定,只要得到的第二登录次数报警区间是一个既符合关于第二时间序列关于登录次数的横向比较数据又符合关于第三时间序列关于登录次数的纵向比较数据的范围即可。
S302:根据第二时间序列的登录失败率和第三时间序列的登录失败率计算第二失败率报警区间;进入S304;
其中,关于计算第二失败率报警区间的说明与S301中计算第二登录次数报警区间的内容基本一致。同样,此处不对根据第二时间序列和第三时间序列计算第二失败率报警区间的方法进行具体限定,只要得到的第二失败率报警区间是一个既符合关于第二时间序列关于登录失败率的横向比较数据又符合关于第三时间序列关于登录失败率的纵向比较数据的范围即可。
值得一提的是,S301与S302中的操作不存在逻辑上的先后关系,工作人员可以根据实际情况设置执行策略。
S303:判断第一时间序列的登录次数是否在第二登录次数报警区间内,得到第一比较结果;进入S305;
其中,本步骤的目的在于利用S301中得到的第二登录次数报警区间评判第一时间序列中待检时间段内的登录次数是否符合标准,即得到第一比较结果。可以理解的是,第一比较结果只有两种:(1)是,即符合第二登录次数报警区间;(2)否,即不符合第二登录次数报警区间。但是,仅仅根据登录次数是否在第二登录次数报警区间内来评判是否存在账号暴力破解行为是存在片面性的,因此当符合第二登录次数报警区间后,还需要进入S305进行综合的判断。
S304:判断第一时间序列的登录失败率是否在第二失败率报警区间内,得到第二比较结果;进入S305;
其中,本步骤的目的在于利用S302中得到的第二失败率报警区间评判第一时间序列中待检时间段内的登录失败率是否符合标准,即得到第二比较结果。可以理解的是,第二比较结果只有两种:(1)是,即符合第二失败率报警区间;(2)否,即不符合第二失败率报警区间。但是,仅仅根据登录失败率是否在第二登录次数报警区间内来评判是否存在账号暴力破解行为是存在片面性的,因此当符合地二失败率报警区间后,还需要进入S305进行综合的判断。
S305:判断第一比较结果和第二比较结果是否均为否;若是,则第一时间序列符合报警标准;若否,则结束流程;
其中,本实施例的目的在于判断所述第一时间序列是否符合所述报警标准,若在本步骤中判断认定第一比较结果和所述第二比较结果均为否,则说明第一时间序列符合报警标准,可以输出关于账号暴力破解行为的安全事件。
本实施例将第一个实施例中判断第一时间序列是否符合报警标准的操作具体细化为:判断第一时间序列中登录次数和登录失败率是否符合相关标准。进一步的来说,针对于本实施例中提出的方案,可以在生成第一时间序列、第二时间序列和第三时间序列时只将登录次数和每次登录失败与否的情况作为统计指标,简化了生成上述三个时间序列所用的登录信息,进而实现了检测效率的优化。
下面请参见图4,图4为本申请实施例所提供的账号暴力破解行为的检测方法中生成第一时间序列的流程图。
生成第一时间序列的方式包括但不限于下述方式:
S401:获取待检时间段内通过源IP地址登录目的IP地址的登录信息;其中,所述登录信息包括登录频率、登录失败率、登录次数和登录时间;
S402:判断登录信息是否符合检验条件;若是,则进入S403;若否,则结束流程;
其中,通常来说像第一个实施例中描述的账号暴力破解行为的检测方案,能够保证较高准确率和较快的检测速度,但是查询预设天数内与待检时间段相同时间范围的登录日志以及查询待检时间段预设时间内的登录日志对于资源的消耗是相当大的,因此可以在进行第一个实施例关于生成第一时间序列之前可以进行初步的检测,若初步检测可能存在问题则再进行更加全面、准确的如第一个实施例描述的检测步骤。
本步骤中提到的检验条件可以是根据S401中获取的登录信息所包括的登录频率、登录失败率、登录次数和登录时间等中的任一项或任几项的组合。可以理解的是,该检验条件可以由工作人员根据实际应用情况或经验进行设置,此处不对检验条件的具体内容进行设定,只要能够保证有账号暴力破解行为嫌疑的任何信息不被忽略即可,甚至不符合检验条件的登录信息可以是实际上没有账号暴力破解行为的信息。通俗的来说,可以将该检验条件视为一种“宁可杀错一千,不可漏过一个”的较为苛刻的条件。
S403:根据登录信息生成第一时间序列。
本实施例将第一个实施例对生成第一时间序列的条件进行了限定,即:只有符合一定检验条件的登录信息才可以生成第一时间序列。在本实施例中,利用检验条件这一初步筛选的方式避免一些绝对不会出现账号暴力破解行为的登录信息进行复杂的检测,如某些账号的登录频率较低且每一次登录均成功(可以视为真正的用户登录自己的账号)就不需要检测,节约了大量的计算资源。本实施例相当于对第一个实施例的补充,将第一个实施例与本实施例结合可以得到更高效的账号暴力破解行为的检测方案。
下面请参见图5,图5为本申请实施例所提供的账号暴力破解行为的检测方法中判断所述登录信息是否符合检验条件的流程图,本实施例为对图4对应的实施例中S402的关于快速暴力破解和慢速暴力破解的更为细化的补充。
判断所述登录信息是否符合检验条件包括但不限于下述方式:
S501:判断登录频率是否大于第一阈值;若是,则进入S502;若否,则进入S503;
由于不论哪种暴力破解方式,黑客只是在某一段时间内进行账号暴力破解行为,账号暴力破解行为主要表现为:在某一段时间内某一账号的登录频率激增。因此,在本步骤中通过判断登录频率是否大于第一阈值来初步检测是否具有账号暴力破解嫌疑。可以理解的是,第一阈值是由工作人员根据本方案的实际应用情况设置的,此处不对第一阈值的数值进行具体的限定。
S502:判断登录失败率是否大于第二阈值;若是,则符合检验条件;若否,则结束流程;
本步骤的目的在于判断待检时间段内是否存在快速账号暴力破解行为,由于快速账号暴力破解行为具有两个特点:(1)较高的登录频率,(2)较低的登录成功率。若在本步骤中判断登录失败率大于第二阈值,则说明存在快速账号暴力破解行为,反之则不存在快速账号暴力破解行为。
S503:判断登录次数是否具有周期性且登录失败率大于第二阈值;若是,则符合检验条件;若否,则结束流程。
在实际应用过程中,黑客为了躲避算法的检测,会使用慢速账号暴力破解的技术,慢速账号暴力破解行为具有登录频率低的特点。值得注意的是,S401中登录频率不大于第一阈值不代表不存在账号暴力破解行为,因此S403进行关于慢速账号暴力破解行为的检测。慢速账号暴力破解行为具有以下特点:登录频率较低但登录次数具有周期性,登录失败率较高。因此,在S403中若判定登录次数具有周期性且所述登录失败率大于第二阈值则说明存在慢速暴力破解行为。可以理解的是,第二阈值是由工作人员根据本方案的实际应用情况设置的,此处不对第二阈值的数值进行具体的限定。
值得注意的是,本实施例中提到的存在快速暴力破解行为和慢速暴力破解性为均是指存在有上述行为的可能,可以使用第一个实施例中的方法对有暴力破解行为嫌疑的信息进行更进一步的检测。
请参见图6,图6为本申请实施例所提供的一种优选的账号暴力破解行为的检测方法的流程图。
具体步骤可以包括:
S601:获取待检时间段内通过源IP地址登录目的IP地址的登录信息;其中,登录信息包括登录频率、登录失败率、登录次数和登录时间;
S602:判断登录频率是否大于第一阈值;若是,则进入S603;若否,则进入S604;
S603:判断登录失败率是否大于第二阈值;若是,则进入S605;若否,则结束流程;
S604:判断登录次数是否具有周期性且所述登录失败率大于第二阈值;若是,则进入S605;若否,则结束流程;
S605:根据登录信息生成所述第一时间序列;进入S606和S607;
S606生成历史时间段内通过源IP地址登录所述目的IP地址的第二时间序列;进入S608;
S607:生成预设天数内与待检时间段同一登录时间范围内通过源IP地址登录所述目的IP地址的第三时间序列;进入S608;
S608:根据第二时间序列的登录次数和第三时间序列的登录次数计算第二登录次数报警区间;并根据第二时间序列的登录失败率和第三时间序列的登录失败率计算第二失败率报警区间;进入S609和S610;
S609:判断第一时间序列的登录次数是否在第二登录次数报警区间内,得到第一比较结果;进入S611;
S610:判断第一时间序列的登录失败率是否在第二失败率报警区间内,得到第二比较结果;进入S611;
S611:判断第一比较结果和所述第二比较结果是否均为否;若是,则第一时间序列符合报警标准。若是,则进入S612;若否,则结束流程;
S612:输出检测到账号暴力破解行为对应的安全事件。
请参见图7,图7为本申请实施例所提供的一种账号暴力破解行为的检测系统的结构示意图;
该系统可以包括:
第一时间序列生成模块100,用于生成待检时间段内通过源IP地址登录目的IP地址的第一时间序列;
第二时间序列生成模块200,用于生成历史时间段内通过源IP地址登录目的IP地址的以登录信息为统计指标的第二时间序列;其中,所述历史时间段与所述待检时间段有相同的端点且所述历史时间段早于所述待检时间段;
判断模块300,用于根据所述第二时间序列计算报警标准,并判断所述第一时间序列是否符合所述报警标准;
报警模块400,用于当所述第一时间序列符合所述报警标准时,判定检测到账号暴力破解行为。
其中,所述判断模块300包括:
第一报警标准计算单元,用于根据所述第二时间序列所统计的登录信息计算第一登录次数报警区间和第一失败率报警区间;
第一评判单元,用于判断所述第一时间序列所统计的登录信息是否在所述第一登录次数报警区间和所述第一失败率报警区间;若是,则所述第一时间序列符合所述报警标准。
其中,该检测系统还包括:
第三时间序列生成模块,用于生成预设天数内与所述待检时间段同一登录时间范围内通过所述源IP地址登录所述目的IP地址的第三时间序列;其中,所述第三时间序列以登录信息为统计指标;
相应的,所述判断模块300包括:
第二报警标准计算单元,用于根据所述第二时间序列所统计的登录信息和所述第三时间序列所统计的登录信息计算第二登录次数报警区间和第二失败率报警区间;
第二评判单元,用于判断所述第一时间序列所统计的登录信息是否在第二登录次数报警区间和第二失败率报警区间;若是,则所述第一时间序列符合所述报警标准。
所述第一时间序列生成模块100包括:
登录信息获取单元,用于获取所述待检时间段内通过源IP地址登录目的IP地址的登录信息;其中,所述登录信息包括登录频率、登录失败率、登录次数和登录时间;
检验单元,用于判断所述登录信息是否符合检验条件;
系列生成单元,用于当所述登录信息符合检验条件时,生成以所述登录信息为统计指标的所述第一时间序列。
所述检验单元包括:
频率判断子单元,用于判断所述登录频率是否大于第一阈值;
失败率判断子单元,用于当所述登录频率大于所述第一阈值时,判断所述登录失败率是否大于第二阈值;若是,则符合所述检验条件;
周期性判断子单元,用于当所述登录频率小于或等于所述第一阈值时,判断所述登录次数是否具有周期性且所述登录失败率大于所述第二阈值;若是,则符合所述检验条件。
该检测系统还包括:
举证模块,用于上传登录成功的账号信息和登录失败的账号信息。
由于系统部分的实施例与方法部分的实施例相互对应,因此系统部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供了一种计算机可读存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种账号暴力破解行为的检测装置,可以包括数据接收器、存储器和处理器,数据接收器用于接收源IP地址登录目的IP地址的登录信息,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然账号暴力破解行为的检测装置还可以包括各种网络接口,电源等组件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (14)
1.一种账号暴力破解行为的检测方法,其特征在于,包括:
生成待检时间段内通过源IP地址登录目的IP地址的第一时间序列;其中,所述第一时间序列以登录信息为统计指标;
生成历史时间段内通过所述源IP地址登录所述目的IP地址的第二时间序列;其中,所述历史时间段的终点时刻早于或等于所述待检时间段的起点时刻,所述历史时间段的终点时刻与所述待检时间段的起点时刻的差值小于预设时长,所述第二时间序列以登录信息为统计指标;
根据所述第二时间序列计算报警标准,并判断所述第一时间序列是否符合所述报警标准;
若是,则判定检测到账号暴力破解行为。
2.根据权利要求1所述检测方法,其特征在于,根据所述第二时间序列计算报警标准,并判断所述第一时间序列是否符合所述报警标准包括:
根据所述第二时间序列所统计的登录信息计算第一登录次数报警区间和第一失败率报警区间;
判断所述第一时间序列所统计的登录信息是否在所述第一登录次数报警区间和所述第一失败率报警区间;若是,则所述第一时间序列符合所述报警标准。
3.根据权利要求1所述检测方法,其特征在于,在根据所述第二时间序列计算报警标准之前,还包括:
生成预设天数内与所述待检时间段同一登录时间范围内通过所述源IP地址登录所述目的IP地址的第三时间序列;其中,所述第三时间序列以登录信息为统计指标;
相应的,根据所述第二时间序列计算报警标准,并判断所述第一时间序列是否符合所述报警标准包括:
根据所述第二时间序列所统计的登录信息和所述第三时间序列所统计的登录信息计算第二登录次数报警区间和第二失败率报警区间;
判断所述第一时间序列所统计的登录信息是否在第二登录次数报警区间和第二失败率报警区间;若是,则所述第一时间序列符合所述报警标准。
4.根据权利要求1至3任一项所述检测方法,其特征在于,所述生成待检时间段内通过源IP地址登录目的IP地址的第一时间序列包括:
获取所述待检时间段内通过源IP地址登录目的IP地址的登录信息;其中,所述登录信息包括登录频率、登录失败率、登录次数和登录时间;
判断所述登录信息是否符合检验条件;
若是,则生成以所述登录信息为统计指标的所述第一时间序列。
5.根据权利要求4所述检测方法,其特征在于,判断所述登录信息是否符合检验条件包括:
判断所述登录频率是否大于第一阈值;
若是,则判断所述登录失败率是否大于第二阈值;若是,则符合所述检验条件;
若否,则判断所述登录次数是否具有周期性且所述登录失败率大于所述第二阈值;若是,则符合所述检验条件。
6.根据权利要求1所述检测方法,其特征在于,在所述输出检测到账号暴力破解行为对应的安全事件之后,还包括:
上传登录成功的账号信息和登录失败的账号信息。
7.一种账号暴力破解行为的检测系统,其特征在于,包括:
第一时间序列生成模块,用于生成待检时间段内通过源IP地址登录目的IP地址的第一时间序列;其中,所述第一时间序列以登录信息为统计指标;
第二时间序列生成模块,用于生成历史时间段内通过源IP地址登录目的IP地址的以登录信息为统计指标的第二时间序列;其中,所述历史时间段与所述待检时间段有相同的端点且所述历史时间段早于所述待检时间段;
判断模块,用于根据所述第二时间序列计算报警标准,并判断所述第一时间序列是否符合所述报警标准;
报警模块,用于当所述第一时间序列符合所述报警标准时,判定检测到账号暴力破解行为。
8.根据权利要求7所述检测系统,其特征在于,所述判断模块包括:
第一报警标准计算单元,用于根据所述第二时间序列所统计的登录信息计算第一登录次数报警区间和第一失败率报警区间;
第一评判单元,用于判断所述第一时间序列所统计的登录信息是否在所述第一登录次数报警区间和所述第一失败率报警区间;若是,则所述第一时间序列符合所述报警标准。
9.根据权利要求7所述检测系统,其特征在于,还包括:
第三时间序列生成模块,用于生成预设天数内与所述待检时间段同一登录时间范围内通过所述源IP地址登录所述目的IP地址的第三时间序列;其中,所述第三时间序列以登录信息为统计指标;
相应的,所述判断模块包括:
第二报警标准计算单元,用于根据所述第二时间序列所统计的登录信息和所述第三时间序列所统计的登录信息计算第二登录次数报警区间和第二失败率报警区间;
第二评判单元,用于判断所述第一时间序列所统计的登录信息是否在第二登录次数报警区间和第二失败率报警区间;若是,则所述第一时间序列符合所述报警标准。
10.根据权利要求7至9任一项所述检测系统,其特征在于,所述第一时间序列生成模块包括:
登录信息获取单元,用于获取所述待检时间段内通过源IP地址登录目的IP地址的登录信息;其中,所述登录信息包括登录频率、登录失败率、登录次数和登录时间;
检验单元,用于判断所述登录信息是否符合检验条件;
系列生成单元,用于当所述登录信息符合检验条件时,生成以所述登录信息为统计指标的所述第一时间序列。
11.根据权利要求10所述检测系统,其特征在于,所述检验单元包括:
频率判断子单元,用于判断所述登录频率是否大于第一阈值;
失败率判断子单元,用于当所述登录频率大于所述第一阈值时,判断所述登录失败率是否大于第二阈值;若是,则符合所述检验条件;
周期性判断子单元,用于当所述登录频率小于或等于所述第一阈值时,判断所述登录次数是否具有周期性且所述登录失败率大于所述第二阈值;若是,则符合所述检验条件。
12.根据权利要求7所述检测系统,其特征在于,还包括:
举证模块,用于上传登录成功的账号信息和登录失败的账号信息。
13.一种账号暴力破解行为的检测装置,其特征在于,包括:
数据接收器,用于接收源IP地址登录目的IP地址的登录信息;
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时执行如权利要求1至6任一项所述的账号暴力破解行为的检测方法的步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的账号暴力破解行为的检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810867011.8A CN110798428A (zh) | 2018-08-01 | 2018-08-01 | 一种账号暴力破解行为的检测方法、系统及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810867011.8A CN110798428A (zh) | 2018-08-01 | 2018-08-01 | 一种账号暴力破解行为的检测方法、系统及相关装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110798428A true CN110798428A (zh) | 2020-02-14 |
Family
ID=69425475
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810867011.8A Pending CN110798428A (zh) | 2018-08-01 | 2018-08-01 | 一种账号暴力破解行为的检测方法、系统及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110798428A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113114620A (zh) * | 2021-03-02 | 2021-07-13 | 深信服科技股份有限公司 | 一种暴力破解的检测方法和装置,及存储介质 |
| CN113326507A (zh) * | 2021-05-31 | 2021-08-31 | 北京天融信网络安全技术有限公司 | 一种识别内网潜在威胁业务账号的方法及装置 |
| CN113574841A (zh) * | 2020-02-28 | 2021-10-29 | 深信服科技股份有限公司 | 一种信息处理方法及装置、设备、存储介质 |
| CN114978636A (zh) * | 2022-05-12 | 2022-08-30 | 北京天融信网络安全技术有限公司 | 低频暴力破解检测方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104183027A (zh) * | 2013-05-21 | 2014-12-03 | 腾讯科技(深圳)有限公司 | 一种用户状态确定方法及装置 |
| WO2015032318A1 (zh) * | 2013-09-03 | 2015-03-12 | 腾讯科技(深圳)有限公司 | 异常账号确定方法及装置 |
| CN106209862A (zh) * | 2016-07-14 | 2016-12-07 | 微梦创科网络科技(中国)有限公司 | 一种盗号防御实现方法及装置 |
| CN106549902A (zh) * | 2015-09-16 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 一种可疑用户的识别方法及设备 |
| CN107202604A (zh) * | 2017-03-02 | 2017-09-26 | 湖南工业大学 | 一种告警处理方法及系统 |
| CN107911396A (zh) * | 2017-12-30 | 2018-04-13 | 世纪龙信息网络有限责任公司 | 登录异常检测方法和系统 |
-
2018
- 2018-08-01 CN CN201810867011.8A patent/CN110798428A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104183027A (zh) * | 2013-05-21 | 2014-12-03 | 腾讯科技(深圳)有限公司 | 一种用户状态确定方法及装置 |
| WO2015032318A1 (zh) * | 2013-09-03 | 2015-03-12 | 腾讯科技(深圳)有限公司 | 异常账号确定方法及装置 |
| CN106549902A (zh) * | 2015-09-16 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 一种可疑用户的识别方法及设备 |
| CN106209862A (zh) * | 2016-07-14 | 2016-12-07 | 微梦创科网络科技(中国)有限公司 | 一种盗号防御实现方法及装置 |
| CN107202604A (zh) * | 2017-03-02 | 2017-09-26 | 湖南工业大学 | 一种告警处理方法及系统 |
| CN107911396A (zh) * | 2017-12-30 | 2018-04-13 | 世纪龙信息网络有限责任公司 | 登录异常检测方法和系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113574841A (zh) * | 2020-02-28 | 2021-10-29 | 深信服科技股份有限公司 | 一种信息处理方法及装置、设备、存储介质 |
| CN113114620A (zh) * | 2021-03-02 | 2021-07-13 | 深信服科技股份有限公司 | 一种暴力破解的检测方法和装置,及存储介质 |
| CN113326507A (zh) * | 2021-05-31 | 2021-08-31 | 北京天融信网络安全技术有限公司 | 一种识别内网潜在威胁业务账号的方法及装置 |
| CN113326507B (zh) * | 2021-05-31 | 2023-09-26 | 北京天融信网络安全技术有限公司 | 一种识别内网潜在威胁业务账号的方法及装置 |
| CN114978636A (zh) * | 2022-05-12 | 2022-08-30 | 北京天融信网络安全技术有限公司 | 低频暴力破解检测方法及装置 |
| CN114978636B (zh) * | 2022-05-12 | 2023-08-29 | 北京天融信网络安全技术有限公司 | 低频暴力破解检测方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108989150B (zh) | 一种登录异常检测方法及装置 | |
| CN110798428A (zh) | 一种账号暴力破解行为的检测方法、系统及相关装置 | |
| CN109164786B (zh) | 一种基于时间相关基线的异常行为检测方法、装置及设备 | |
| US11563755B2 (en) | Machine-learning based approach for dynamically generating incident-specific playbooks for a security orchestration, automation and response (SOAR) platform | |
| CN112162878A (zh) | 数据库故障发现方法、装置、电子设备及存储介质 | |
| CN112184091B (zh) | 工控系统安全威胁评估方法、装置和系统 | |
| CN109936475B (zh) | 一种异常检测方法及装置 | |
| CN110602135B (zh) | 网络攻击处理方法、装置以及电子设备 | |
| CN112926048B (zh) | 一种异常信息检测方法和装置 | |
| CN101902366A (zh) | 一种业务行为异常检测方法和系统 | |
| CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
| CN112003838A (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
| CN112953917A (zh) | 一种网络攻击源识别方法、装置、计算机设备及存储介质 | |
| CN114124587A (zh) | 一种攻击链的处理方法、系统及电子设备 | |
| CN109005181B (zh) | 一种dns放大攻击的检测方法、系统及相关组件 | |
| CN114866296A (zh) | 入侵检测方法、装置、设备及可读存储介质 | |
| CN116132132A (zh) | 网络资产管理方法、装置、电子设备及介质 | |
| CN109150871B (zh) | 安全检测方法、装置、电子设备及计算机可读存储介质 | |
| CN114124560A (zh) | 一种失陷主机的检测方法、装置、电子设备及存储介质 | |
| CN113110980A (zh) | 暴力破解行为的识别与拦截方法及装置 | |
| CN107896232B (zh) | 一种ip地址评估方法及装置 | |
| CN112464249A (zh) | 资产设备攻击漏洞修复方法、装置、设备及存储介质 | |
| US9054995B2 (en) | Method of detecting measurements in service level agreement based systems | |
| CN113596051B (zh) | 检测方法、检测装置、电子设备、介质和计算机程序 | |
| JP2016181191A (ja) | 管理プログラム、管理装置及び管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200214 |
|
| RJ01 | Rejection of invention patent application after publication |