CN110808994B - 暴力破解操作的检测方法、装置及服务器 - Google Patents
暴力破解操作的检测方法、装置及服务器 Download PDFInfo
- Publication number
- CN110808994B CN110808994B CN201911093820.9A CN201911093820A CN110808994B CN 110808994 B CN110808994 B CN 110808994B CN 201911093820 A CN201911093820 A CN 201911093820A CN 110808994 B CN110808994 B CN 110808994B
- Authority
- CN
- China
- Prior art keywords
- suspicious
- network
- connection
- traffic
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种暴力破解操作的检测方法、装置及服务器,该方法采集目标端口的网络流量;其中,网络流量是对目标端口进行访问操作产生的,网络流量携带有访问操作的地址信息;根据地址信息判断网络流量是否为可疑流量;如果是,提取可疑流量的流量特征;将流量特征输入至预先训练得到的检测模型,得到检测模型针对流量特征输出的检测结果;其中,检测结果包括可疑流量对应的访问操作为暴力破解操作或可疑流量对应的访问操作为正常操作。本发明可以有效提高检测暴力破解操作的准确率。
Description
技术领域
本发明涉及互联网技术领域,尤其是涉及一种暴力破解操作的检测方法、装置及服务器。
背景技术
暴力破解操作是一种通过枚举方式破解用户账号密码的操作,若攻击者通过暴力破解操作成功登陆用户的账号,将导致用户的信息泄露,甚至导致服务器宕机进而致使该服务器所在的网络失陷。目前,通过使服务器不间断地向第三方设备发送日志,第三方设备对服务器的日志进行分析,可以检测出该服务器是否受到暴力破解操作,但是这种方式将占用服务器大量的系统资源,在一定程度上影响了服务器的工作性能。为缓解检测暴力破解行为对服务器工作性能的影响,可以将服务器所有的流量经交换机镜像到第三方检测设备中,由第三方检测设备解析流量中的登录信息,并统计登录频率以检测暴力破解操作,但是由于服务器中布设有基础的SSH(Secure Shell,安全壳)协议,而SSH协议是一种加密的安全协议,因此服务器中的流量通常为SSH加密流量,因为第三方检测设备无法较好地解析SSH加密流量,进而将导致无法准确地检测出暴力破解操作。
发明内容
有鉴于此,本发明的目的在于提供一种暴力破解操作的检测方法、装置及服务器,可以有效提高检测暴力破解操作的准确率。
第一方面,本发明实施例提供了一种暴力破解操作的检测方法,包括:采集目标端口的网络流量;其中,所述网络流量是对所述目标端口进行访问操作产生的,所述网络流量携带有所述访问操作的地址信息;根据所述地址信息判断所述网络流量是否为可疑流量;如果是,提取所述可疑流量的流量特征;将所述流量特征输入至预先训练得到的检测模型,得到所述检测模型针对所述流量特征输出的检测结果;其中,所述检测结果包括所述可疑流量对应的所述访问操作为暴力破解操作或所述可疑流量对应的所述访问操作为正常操作。
在一种实施方式中,所述采集目标端口的网络流量的步骤,包括:接收外设交换机发送的旁路数据包和所述旁路数据包对应的端口信息;根据所述旁路数据包对应的端口信息,确定目标端口的旁路数据包;将所述目标端口的旁路数据包,作为所述目标端口的网络流量。
在一种实施方式中,所述根据所述地址信息判断所述网络流量是否为可疑流量的步骤,包括:获取预先配置的合法地址库;其中,所述合法地址库包括多个合法的地址信息;采用字典树算法判断所述地址信息是否属于所述合法地址库;如果否,确定所述网络流量为可疑流量。
在一种实施方式中,所述地址信息包括所述访问操作的源地址信息和目的地址信息;所述流量特征包括总连接数量、数据包平均数量、字节平均数量和可疑连接中的一种或多种;所述提取所述可疑流量的流量特征的步骤,包括:统计所述可疑流量对应的访问操作的源地址信息与所述目的地址信息之间的网络连接的数量,得到所述可疑流量的总连接数量;统计各个所述网络连接发送的数据包的数量,计算所述数据包的数量与所述总连接数量的第一商值,并将所述第一商值确定为所述可疑流量的数据包平均数量;统计各个所述数据包发送的字节的数量,计算所述字节的数量与所述数据包的数量的第二商值,并将所述第二商值确定为所述可疑流量的字节平均数量;获取各个所述网络连接的连接存活时长,并根据所述连接存活时长从各个所述网络连接中确定所述可疑流量的可疑连接。
在一种实施方式中,所述获取各个所述网络连接的连接存活时长,并根据所述连接存活时长从各个所述网络连接中确定所述可疑流量的可疑连接的步骤,包括:针对所述可疑流量中的每个网络连接,获取该网络连接的连接起始时间和该网络连接的连接结束时间;计算所述连接结束时间和所述连接起始时间的差值,将所述差值确定为该网络连接的连接存活时长;判断所述连接存活时长是否小于预设阈值;如果是,将该网络连接确定为所述可疑流量的可疑连接。
在一种实施方式中,所述检测模型包括贝叶斯模型、神经网络模型和随机森林模型中的一种或多种。
第二方面,本发明实施例还提供一种暴力破解操作的检测装置,包括:流量采集模块,用于采集目标端口的网络流量;其中,所述网络流量是对所述目标端口进行访问操作产生的,所述网络流量携带有所述访问操作的地址信息;判断模块,用于根据所述地址信息判断所述网络流量是否为可疑流量;特征提取模块,用于在所述判断模块的判断结果为是时,提取所述可疑流量的流量特征;检测模块,用于将所述流量特征输入至预先训练得到的检测模型,得到所述检测模型针对所述流量特征输出的检测结果;其中,所述检测结果包括所述可疑流量对应的所述访问操作为暴力破解操作或所述可疑流量对应的所述访问操作为正常操作。
在一种实施方式中,所述流量采集模块还用于:接收外设交换机发送的旁路数据包和所述旁路数据包对应的端口信息;根据所述旁路数据包对应的端口信息,确定目标端口的旁路数据包;将所述目标端口的旁路数据包,作为所述目标端口的网络流量。
第三方面,本发明实施例还提供一种服务器,包括处理器和存储器;所述存储器上存储有计算机程序,所述计算机程序在被所述处理器运行时执行如第一方面提供的任一项所述的方法。
第四方面,本发明实施例还提供一种计算机存储介质,用于储存为第一方面提供的任一项所述方法所用的计算机软件指令。
本发明实施例提供的一种暴力破解操作的检测方法、装置及服务器,首先采集目标端口的网络流量(携带有访问操作的地址信息),其中,网络流量是对目标端口进行访问操作产生的,然后根据地址信息判断网络流量是否为可疑流量,并在网络流量为可疑流量时提取该可疑流量的流量特征,最后将流量特征输入至预先训练得到的检测模型,得到检测模型针对流量特征输出的检测结果,检测结果包括可疑流量对应的访问操作为暴力破解操作或可疑流量对应的访问操作为正常操作。上述方式利用网络流量携带的地址信息对网络流量是否为可疑流量进行判断,并在确定网络流量为可疑流量后提取该可疑流量的流量特征,本发明实施例无需对可疑流量进行解析,进而可以有效缓解因无法较好地解析可疑流量而导致的检测准确度较低的问题,有效提高了检测暴力破解操作的可靠性。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种暴力破解操作的检测方法的流程示意图;
图2为本发明实施例提供的另一种暴力破解操作的检测方法的流程示意图;
图3为本发明实施例提供的一种暴力破解操作的检测装置的结构示意图;
图4为本发明实施例提供的一种服务器的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
考虑到现有的检测暴力破解操作的方法准确率较低,为改善此问题,本发明实施提供了一种暴力破解操作的检测方法、装置及服务器,可以有效提高检测暴力破解操作的准确率。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种暴力破解操作的检测进行详细介绍,参见图1所示的一种暴力破解操作的检测的流程示意图,该方法主要包括以下步骤S102至步骤S108:
步骤S102,采集目标端口的网络流量。
其中,网络流量是对目标端口进行访问操作产生的,网络流量携带有访问操作的地址信息。在实际应用中,用户访问服务器的过程可以理解为通过用户的源IP(InternetProtocol Address,互联网协议地址)地址访问服务器的目的IP的过程,由于源端口会向目的端口发送数据包,因此在此过程中会产生网络流量,其中,目标端口包括源端口和目的端口,网络流量携带的地址信息包括源IP地址和目的IP地址。在一种实施方式中,可以通过Libpcap(网络数据包捕获函数包)捕获经过目标端口的网络流量。
步骤S104,根据地址信息判断网络流量是否为可疑流量。
在一种实施方式中,可以预先配置安全IP地址,当获取的网络流量携带的地址信息与安全IP地址相同时,则可以认为该网络流量对应的访问操作为正常操作,当获取的网络流量携带的地址信息与安全IP地址不同时,则将该网络流量作为可疑流量,并对该可疑流量进一步处理,以检测该可疑流量对应的访问操作是否为暴力破解操作。
步骤S106,如果是,提取可疑流量的流量特征。
其中,流量特征可以包括总连接数量、数据包平均数量、字节平均数量和可疑连接中的一种或多种。由于不同的网络行为对应的网络流量的流量特征存在一定差异,因此本发明实施例通过提取可疑流量的流量特征,进而根据流量特征对该可疑流量对应的访问行为进行检测。
步骤S108,将流量特征输入至预先训练得到的检测模型,得到检测模型针对流量特征输出的检测结果。
其中,检测模型可以为机器学习模型,通过对检测模型进行训练,可以使检测模型学习暴力破解操作与流量特征之间的映射关系,以使训练后的检测模型可以根据输入的流量特征输出对应的检测结果。检测结果包括可疑流量对应的访问操作为暴力破解操作或可疑流量对应的访问操作为正常操作。
本发明实施例利用网络流量携带的地址信息对网络流量是否为可疑流量进行判断,并在确定网络流量为可疑流量后提取该可疑流量的流量特征,本发明实施例无需对可疑流量进行解析,进而可以有效缓解因无法较好地解析可疑流量而导致的检测准确度较低的问题,有效提高了检测暴力破解操作的可靠性。
为了获取所需的网络端口的网络流量,本发明实施例在采集目标端口的网络流量时,可以参照如下过程:(1)接收外设交换机发送的旁路数据包和旁路数据包对应的端口信息。其中,外设交换机用于复制或镜像源端口和目的端口的数据包,得到旁路数据包。在一种实施方式中,可以向外设交换机发送数据请求,以使外设交换机发送镜像得到的旁路数据包以及该旁路数据包对应的端口信息。(2)根据旁路数据包对应的端口信息,确定目标端口的旁路数据包。假设目标端口为端口B,且接收到的旁路数据包对应的端口信息包括端口A和端口B,端口B对应的旁路数据包即为目标端口对应的旁路数据包。在实际应用中,由于SSH协议的常用端口为22端口,因此本发明实施例中的目标端口可以包括源端口22或目的端口22。(3)将目标端口的旁路数据包,作为目标端口的网络流量。例如,将源端口22的旁路数据包确定为目标端口的网络流量。另外,根据确定的网络流量可以建立连接,每个连接的聚合维度为[源IP-目的IP-源端口-目的端口]四元组,可用于后续提取该网络流量的流量特征。
为了快速从网络流量中筛选出可疑流量,本发明实施例提供了一种根据地址信息判断网络流量是否为可疑流量的具体实施方式,首先获取预先配置的合法地址库,然后采用字典树(Trie树)算法判断地址信息是否属于合法地址库,如果是,则无需对该网络流量进一步检测,如果否,确定网络流量为可疑流量,并对该可以流量进一步进行检测。其中,合法地址库也可称之为白名单库,合法地址库包括多个合法的地址信息,用户可基于实际情况配置合法地址库中的地址信息。在实际应用中,将合法地址库中的合法地址构建为树状结构,并采用字典树算法判断网络流量携带的地址信息是否与树状结构中的某个合法地址匹配,如果匹配,则确定该网络流量对应的访问操作为正常操作,如果不匹配,则确定该网络流量为可疑流量,并对该可疑流量进行检测。
在一种实施方式中,上述地址信息包括访问操作的源地址信息和目的地址信息。对于上述步骤S106,在一种具体的实施方式中,可以周期性提取网络流量的流量特征,例如每分钟提取依次网络流量的流量特征,在提取可疑流量的流量特征时,可以参照如下步骤1至步骤4:
步骤1,统计可疑流量对应的访问操作的源地址信息与目的地址信息之间的网络连接的数量,得到可疑流量的总连接数量。假设源地址信息为IP1,目的地址为IP2,则统计IP1与IP2之间的连接数量,得到可以流量的总连接数量。
步骤2,统计各个网络连接发送的数据包的数量,计算数据包的数量与总连接数量的第一商值,并将第一商值确定为可疑流量的数据包平均数量。其中,数据包平均数量也即平均每个网络连接发送的数据包数量,假设总连接数量为X1,所有网络连接发送的总数据包数量为X2,则数据包平均数量X3:X3=X2/X1。
步骤3,统计各个数据包发送的字节的数量,计算字节的数量与数据包的数量的第二商值,并将第二商值确定为可疑流量的字节平均数量。其中,字节平均数量也即平均每个数据包发送的字节数,假设总数据包数量为X2,所有数据包发送的字节总数为X4,则字节平均数量X5:X5=X4/X2。
步骤4,获取各个网络连接的连接存活时长,并根据连接存活时长从各个网络连接中确定可疑流量的可疑连接。在一种实施方式中,可以按照如下步骤4.1至步骤4.4执行获取各个所述网络连接的连接存活时长,并根据所述连接存活时长从各个所述网络连接中确定所述可疑流量的可疑连接的步骤:
步骤4.1,针对可疑流量中的每个网络连接,获取该网络连接的连接起始时间和该网络连接的连接结束时间。其中,连接起始时间可以为接收到第一个数据包的时间,连接结束时间可以为TCP(Transmission Control Protocol,传输控制协议)端口接收到包含有FIN(finish)标志位或者RST(Reset the connection,复位)标志位的数据包的时间。
步骤4.2,计算连接结束时间和连接起始时间的差值,将差值确定为该网络连接的连接存活时长,也即,连接存活时长等于连接结束时间减去连接起始时间。在另一种实施方式中,也可以预先设置数据包接收时长,例如,数据包接收时长为3分钟,假设TCO端口在连续3分钟内没有接收到该网络连接的数据包,则表明该网络连接断开,且该网络连接的存活时长可以等于3分钟。
步骤4.3,判断所述连接存活时长是否小于预设阈值。如果是,执行步骤4.4,如果否,将该网络连接确定为正常连接。例如,预设阈值为1分钟,若该网络连接的连接存活时长小于1分钟,则将该网络连接确定为可疑流量的可疑连接,若该网络连接的连接存活时长大于1分钟,则将该网络连接确定为正常连接。
步骤4.4,如果是,将该网络连接确定为可疑流量的可疑连接。本发明实施例通过上述方式提取可疑流量的流量特征,由于SSH加密仅是对传输的数据、内容或用户名等信息进行加密,而不影响流量的流量特征,也即网络流量的流量特征与SSH协议的加密与否无关,因此本发明实施例可以在不解析网络流量的情况下,利用提取到的流量特征即可检测暴力破解操作,从而准确检测到SSH暴力破解操作。
在一种实施方式中,本发明实施例提供的检测模型可以包括贝叶斯模型、神经网络模型和随机森林模型中的一种或多种。为使检测模型能够输出较为准确的检测结果,可以预先对检测模型进行训练,在一种具体的实施方式中,可以提取暴力破解操作对应的流量的流量特征,将提取得到的暴力破解操作的流量特征作为检测模型的训练集,通过该训练集对检测模型进行训练,直至检测模型的损失函数收敛,训练结束。
为便于对上述实施例提供的暴力破解操作的检测方法进行理解,本发明实施例提供了另一种暴力破解操作的检测方法,参见图2所示的另一种暴力破解操作的检测方法的流程示意图,该方法主要包括以下步骤S202至步骤S208:
步骤S202,获取网络流量。在实际应用中,可以使用Libpcap捕获旁路流量(也即,前述旁路流量),其中,旁路流量是经交换机镜像得到的,并根据旁路流量携带的端口信息,只将待检测的源端口或者目的端口流量接入到SSH暴力破解检测模块中进行进一步检查,其中,SSH暴力破解检测模块用于从捕获的旁路流量中检测出所需的源端口和目标端口的旁路流量,并将检测得到的旁路流量作为网络流量,进而根据该网络流量建立连接,其中,每个连接的聚合维度为[源IP-目的IP-源端口-目的端口]四元组。
步骤S204,获取预先配置的白名单,判断网络流量携带的地址信息是否与白名单匹配。如果是,执行步骤S210;如果否,执行步骤S206。其中,如果网络流量携带的地址信息与白名单匹配,则可以输出结果为前述可疑流量对应的访问操作为正常操作的检测结果。在一种实施方式中,白名单的检测方法可以采用建立字典树的方法,以快速对网络流量携带的地址信息进行匹配。
步骤S206,提取网络流量的流量特征。其中,流量特征可以包括总连接数量、数据包平均数量、字节平均数量和可疑连接中的一种或多种,流量特征的提取方法可参见前述步骤1至步骤4,此处不再赘述。
步骤S208,将流量特征输入检测模型,获取检测模型输出的告警信息。其中,告警信息也即前述包括可疑流量对应的访问操作为暴力破解操作的检测结果。
步骤S210,输出检测结果。在一种具体的实施方式中,在将检测模型用于检测暴力破解操作之前,应对检测模型进行预处理,也即训练该检测模型,例如,按照前述步骤S202至步骤S206的方法获取常用的暴力破解工具的流量特征,并将暴力破解工具的流量特征输入到检测模型中进行样本训练,直至训练结束。
综上所述,本发明实施例基于特征流量检测暴力破解操作的方式,不仅能准确检测SSH暴力破解操作,而且不影响服务器正常工作,也不涉及解析数据包中包含的用户登录的敏感信息,本发明实施例可以较为高效准确的检测出暴力破解操作。另外,本发明实施例通过配置白名单库,可以对网络流量进行初步筛选,从而可以在一定程度上提高暴力破解操作的检测效率。
对于前述实施例提供的暴力破解操作的检测方法,本发明实施例提供了一种暴力破解操作的检测装置,参见图3所示的一种暴力破解操作的检测装置的结构示意图,该装置主要包括以下部分:
流量采集模块302,用于采集目标端口的网络流量;其中,网络流量是对目标端口进行访问操作产生的,网络流量携带有访问操作的地址信息。
判断模块304,用于根据地址信息判断网络流量是否为可疑流量。
特征提取模块306,用于在判断模块的判断结果为是时,提取可疑流量的流量特征。
检测模块308,用于将流量特征输入至预先训练得到的检测模型,得到检测模型针对流量特征输出的检测结果;其中,检测结果包括可疑流量对应的访问操作为暴力破解操作或可疑流量对应的访问操作为正常操作。
本发明实施例提供的暴力破解操作的检测装置,利用网络流量携带的地址信息对网络流量是否为可疑流量进行判断,并在确定网络流量为可疑流量后提取该可疑流量的流量特征,本发明实施例无需对可疑流量进行解析,进而可以有效缓解因无法较好地解析可疑流量而导致的检测准确度较低的问题,有效提高了检测暴力破解操作的可靠性。
在一种实施方式中,上述流量采集模块302还用于:接收外设交换机发送的旁路数据包和旁路数据包对应的端口信息;根据旁路数据包对应的端口信息,确定目标端口的旁路数据包;将目标端口的旁路数据包,作为目标端口的网络流量。
在一种实施方式中,上述判断模块304还用于:获取预先配置的合法地址库;其中,合法地址库包括多个合法的地址信息;采用字典树算法判断地址信息是否属于合法地址库;如果否,确定网络流量为可疑流量。
在一种实施方式中,上述地址信息包括访问操作的源地址信息和目的地址信息;流量特征包括总连接数量、数据包平均数量、字节平均数量和可疑连接中的一种或多种。上述特征提取模块306还用于:统计可疑流量对应的访问操作的源地址信息与目的地址信息之间的网络连接的数量,得到可疑流量的总连接数量;统计各个网络连接发送的数据包的数量,计算数据包的数量与总连接数量的第一商值,并将第一商值确定为可疑流量的数据包平均数量;统计各个数据包发送的字节的数量,计算字节的数量与数据包的数量的第二商值,并将第二商值确定为可疑流量的字节平均数量;获取各个网络连接的连接存活时长,并根据连接存活时长从各个网络连接中确定可疑流量的可疑连接。
在一种实施方式中,上述特征提取模块306还用于:针对可疑流量中的每个网络连接,获取该网络连接的连接起始时间和该网络连接的连接结束时间;计算连接结束时间和连接起始时间的差值,将差值确定为该网络连接的连接存活时长;判断连接存活时长是否小于预设阈值;如果是,将该网络连接确定为可疑流量的可疑连接。
在一种实施方式中,上述检测模型包括贝叶斯模型、神经网络模型和随机森林模型中的一种或多种。
本发明实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
本发明实施例提供一种服务器,具体的,该服务器包括处理器和存储装置;存储装置上存储有计算机程序,计算机程序在被所述处理器运行时执行如上所述实施方式的任一项所述的方法。
图4为本发明实施例提供的一种服务器的结构示意图,该服务器100包括:处理器40,存储器41,总线42和通信接口43,所述处理器40、通信接口43和存储器41通过总线42连接;处理器40用于执行存储器41中存储的可执行模块,例如计算机程序。
其中,存储器41可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口43(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线42可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器41用于存储程序,所述处理器40在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器40中,或者由处理器40实现。
处理器40可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器40中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器40可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器41,处理器40读取存储器41中的信息,结合其硬件完成上述方法的步骤。
本发明实施例所提供的可读存储介质的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见前述方法实施例,在此不再赘述。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (9)
1.一种暴力破解操作的检测方法,其特征在于,包括:
采集目标端口的网络流量;其中,所述网络流量是对所述目标端口进行访问操作产生的,所述网络流量携带有所述访问操作的地址信息;
根据所述地址信息判断所述网络流量是否为可疑流量;
如果是,提取所述可疑流量的流量特征;
将所述流量特征输入至预先训练得到的检测模型,得到所述检测模型针对所述流量特征输出的检测结果;其中,所述检测结果包括所述可疑流量对应的所述访问操作为暴力破解操作或所述可疑流量对应的所述访问操作为正常操作;
所述地址信息包括所述访问操作的源地址信息和目的地址信息;所述流量特征包括总连接数量、数据包平均数量、字节平均数量和可疑连接中的一种或多种;
所述提取所述可疑流量的流量特征的步骤,包括:
统计所述可疑流量对应的访问操作的源地址信息与所述目的地址信息之间的网络连接的数量,得到所述可疑流量的总连接数量;
统计各个所述网络连接发送的数据包的数量,计算所述数据包的数量与所述总连接数量的第一商值,并将所述第一商值确定为所述可疑流量的数据包平均数量;
统计各个所述数据包发送的字节的数量,计算所述字节的数量与所述数据包的数量的第二商值,并将所述第二商值确定为所述可疑流量的字节平均数量;
获取各个所述网络连接的连接存活时长,并根据所述连接存活时长从各个所述网络连接中确定所述可疑流量的可疑连接。
2.根据权利要求1所述的方法,其特征在于,所述采集目标端口的网络流量的步骤,包括:
接收外设交换机发送的旁路数据包和所述旁路数据包对应的端口信息;
根据所述旁路数据包对应的端口信息,确定目标端口的旁路数据包;
将所述目标端口的旁路数据包,作为所述目标端口的网络流量。
3.根据权利要求1所述的方法,其特征在于,所述根据所述地址信息判断所述网络流量是否为可疑流量的步骤,包括:
获取预先配置的合法地址库;其中,所述合法地址库包括多个合法的地址信息;
采用字典树算法判断所述地址信息是否属于所述合法地址库;
如果否,确定所述网络流量为可疑流量。
4.根据权利要求1所述的方法,其特征在于,所述获取各个所述网络连接的连接存活时长,并根据所述连接存活时长从各个所述网络连接中确定所述可疑流量的可疑连接的步骤,包括:
针对所述可疑流量中的每个网络连接,获取该网络连接的连接起始时间和该网络连接的连接结束时间;
计算所述连接结束时间和所述连接起始时间的差值,将所述差值确定为该网络连接的连接存活时长;
判断所述连接存活时长是否小于预设阈值;
如果是,将该网络连接确定为所述可疑流量的可疑连接。
5.根据权利要求1所述的方法,其特征在于,所述检测模型包括贝叶斯模型、神经网络模型和随机森林模型中的一种或多种。
6.一种暴力破解操作的检测装置,其特征在于,包括:
流量采集模块,用于采集目标端口的网络流量;其中,所述网络流量是对所述目标端口进行访问操作产生的,所述网络流量携带有所述访问操作的地址信息;
判断模块,用于根据所述地址信息判断所述网络流量是否为可疑流量;
特征提取模块,用于在所述判断模块的判断结果为是时,提取所述可疑流量的流量特征;
检测模块,用于将所述流量特征输入至预先训练得到的检测模型,得到所述检测模型针对所述流量特征输出的检测结果;其中,所述检测结果包括所述可疑流量对应的所述访问操作为暴力破解操作或所述可疑流量对应的所述访问操作为正常操作;
所述地址信息包括所述访问操作的源地址信息和目的地址信息;所述流量特征包括总连接数量、数据包平均数量、字节平均数量和可疑连接中的一种或多种;
所述特征提取模块还用于:
统计所述可疑流量对应的访问操作的源地址信息与所述目的地址信息之间的网络连接的数量,得到所述可疑流量的总连接数量;
统计各个所述网络连接发送的数据包的数量,计算所述数据包的数量与所述总连接数量的第一商值,并将所述第一商值确定为所述可疑流量的数据包平均数量;
统计各个所述数据包发送的字节的数量,计算所述字节的数量与所述数据包的数量的第二商值,并将所述第二商值确定为所述可疑流量的字节平均数量;
获取各个所述网络连接的连接存活时长,并根据所述连接存活时长从各个所述网络连接中确定所述可疑流量的可疑连接。
7.根据权利要求6所述的装置,其特征在于,所述流量采集模块还用于:
接收外设交换机发送的旁路数据包和所述旁路数据包对应的端口信息;
根据所述旁路数据包对应的端口信息,确定目标端口的旁路数据包;
将所述目标端口的旁路数据包,作为所述目标端口的网络流量。
8.一种服务器,其特征在于,包括处理器和存储器;
所述存储器上存储有计算机程序,所述计算机程序在被所述处理器运行时执行如权利要求1至5任一项所述的方法。
9.一种计算机存储介质,其特征在于,用于储存为权利要求1至5任一项所述方法所用的计算机软件指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911093820.9A CN110808994B (zh) | 2019-11-11 | 2019-11-11 | 暴力破解操作的检测方法、装置及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911093820.9A CN110808994B (zh) | 2019-11-11 | 2019-11-11 | 暴力破解操作的检测方法、装置及服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110808994A CN110808994A (zh) | 2020-02-18 |
| CN110808994B true CN110808994B (zh) | 2022-01-25 |
Family
ID=69501879
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911093820.9A Active CN110808994B (zh) | 2019-11-11 | 2019-11-11 | 暴力破解操作的检测方法、装置及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110808994B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113497789B (zh) * | 2020-03-20 | 2024-03-15 | 北京观成科技有限公司 | 一种暴力破解攻击的检测方法、检测系统和设备 |
| CN111355750B (zh) * | 2020-04-23 | 2022-11-08 | 京东科技控股股份有限公司 | 用于识别暴力破解密码行为的方法和装置 |
| CN112491873A (zh) * | 2020-11-26 | 2021-03-12 | 杭州安恒信息技术股份有限公司 | 基于字典树的网络威胁检测方法、装置、设备及存储介质 |
| CN112565269B (zh) * | 2020-12-07 | 2023-09-05 | 深信服科技股份有限公司 | 服务器后门流量检测方法、装置、电子设备及存储介质 |
| CN114978636B (zh) * | 2022-05-12 | 2023-08-29 | 北京天融信网络安全技术有限公司 | 低频暴力破解检测方法及装置 |
| CN117336080A (zh) * | 2023-10-24 | 2024-01-02 | 国家计算机网络与信息安全管理中心 | 一种基于流量和指标的暴力破解检测系统及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101247261A (zh) * | 2007-07-18 | 2008-08-20 | 北京高信达网络科技有限公司 | 一种防止DDos攻击的方法及设备 |
| CN101741847A (zh) * | 2009-12-22 | 2010-06-16 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN101895521A (zh) * | 2009-05-22 | 2010-11-24 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其系统 |
| CN109117634A (zh) * | 2018-09-05 | 2019-01-01 | 济南大学 | 基于网络流量多视图融合的恶意软件检测方法及系统 |
| CN109587179A (zh) * | 2019-01-28 | 2019-04-05 | 南京云利来软件科技有限公司 | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 |
| CN109635564A (zh) * | 2018-12-07 | 2019-04-16 | 深圳市联软科技股份有限公司 | 一种检测暴力破解行为的方法、装置、介质及设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10476893B2 (en) * | 2015-10-30 | 2019-11-12 | Citrix Systems, Inc. | Feature engineering for web-based anomaly detection |
| US10581915B2 (en) * | 2016-10-31 | 2020-03-03 | Microsoft Technology Licensing, Llc | Network attack detection |
-
2019
- 2019-11-11 CN CN201911093820.9A patent/CN110808994B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101247261A (zh) * | 2007-07-18 | 2008-08-20 | 北京高信达网络科技有限公司 | 一种防止DDos攻击的方法及设备 |
| CN101895521A (zh) * | 2009-05-22 | 2010-11-24 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其系统 |
| CN101741847A (zh) * | 2009-12-22 | 2010-06-16 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN109117634A (zh) * | 2018-09-05 | 2019-01-01 | 济南大学 | 基于网络流量多视图融合的恶意软件检测方法及系统 |
| CN109635564A (zh) * | 2018-12-07 | 2019-04-16 | 深圳市联软科技股份有限公司 | 一种检测暴力破解行为的方法、装置、介质及设备 |
| CN109587179A (zh) * | 2019-01-28 | 2019-04-05 | 南京云利来软件科技有限公司 | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 |
Non-Patent Citations (2)
| Title |
|---|
| 《Flow-Based Web Application Brute-Force Attack》;Rick Hofstede;《J Netw Syst Manage》;20170818;全文 * |
| 《基于流量特征的登录账号密码》;魏琴芳;《西南大学学报》;20170731;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110808994A (zh) | 2020-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110808994B (zh) | 暴力破解操作的检测方法、装置及服务器 | |
| CN110213227B (zh) | 一种网络数据流检测方法及装置 | |
| CN108881294B (zh) | 基于网络攻击行为的攻击源ip画像生成方法以及装置 | |
| CN107302547B (zh) | 一种web业务异常检测方法及装置 | |
| CN110519290B (zh) | 异常流量检测方法、装置及电子设备 | |
| CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
| US20170013018A1 (en) | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program | |
| CN108718298B (zh) | 一种恶意外连流量检测方法及装置 | |
| CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
| CN115398860A (zh) | 一种会话检测方法、装置、检测设备及计算机存储介质 | |
| CN107209834B (zh) | 恶意通信模式提取装置及其系统和方法、记录介质 | |
| CN110768875A (zh) | 一种基于dns学习的应用识别方法及系统 | |
| CN110868419A (zh) | Web后门攻击事件的检测方法、装置及电子设备 | |
| CN111404949A (zh) | 一种流量检测方法、装置、设备及存储介质 | |
| CN110830487A (zh) | 物联网终端的异常状态识别方法、装置及电子设备 | |
| CN114785567A (zh) | 一种流量识别方法、装置、设备及介质 | |
| CN111209998B (zh) | 基于数据类型的机器学习模型的训练方法及装置 | |
| CN112887333A (zh) | 一种异常设备检测方法、装置、电子设备及可读存储介质 | |
| CN106911665B (zh) | 一种识别恶意代码弱口令入侵行为的方法及系统 | |
| CN109359467B (zh) | 针对未知勒索病毒的精准识别与全网联动防御方法和系统 | |
| CN107682354A (zh) | 一种网络病毒检测方法、装置及设备 | |
| US11509657B2 (en) | Determination device, determination method, and determination program | |
| CN107844702B (zh) | 基于云防护环境下网站木马后门检测方法及装置 | |
| TWI777766B (zh) | 偵測惡意網域查詢行為的系統及方法 | |
| KR20130126830A (ko) | 실시간 응용 시그니쳐 생성 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |