CN110995748A - 一种防暴力破解方法、装置、设备、介质 - Google Patents

一种防暴力破解方法、装置、设备、介质 Download PDF

Info

Publication number
CN110995748A
CN110995748A CN201911301622.7A CN201911301622A CN110995748A CN 110995748 A CN110995748 A CN 110995748A CN 201911301622 A CN201911301622 A CN 201911301622A CN 110995748 A CN110995748 A CN 110995748A
Authority
CN
China
Prior art keywords
target
sample
brute force
log
decision tree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911301622.7A
Other languages
English (en)
Inventor
毛岚
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201911301622.7A priority Critical patent/CN110995748A/zh
Publication of CN110995748A publication Critical patent/CN110995748A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种防暴力破解方法、装置、设备、介质,该方法包括:获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本;对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,得到目标正常访问行为日志样本和目标暴力破解行为日志样本;将所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行特征化,得到特征化样本;利用所述特征化样本进行决策树实例化训练,得到目标决策树;利用实时检测到的所述WEB网站的访问日志对应的特征化数据和所述目标决策树,判断所述访问日志对应的访问行为是否是暴力破解行为;如果判断结果为是,则对所述访问行为进行相应的阻断操作。这样能够保证WEB网站防护安全,提升用户体验。

Description

一种防暴力破解方法、装置、设备、介质
技术领域
本申请涉及网络安全技术领域,特别涉及一种防爆力破解方法、装置、设备、介质。
背景技术
随着互联网越来越普及,黑客攻防也越来越激烈,WEB网站的登录模块很容易被黑客作为入侵口,在黑客想尽一切办法后,最终会使用暴力破解拿到用户账号密码。这将导致大量个人账号密码被黑客破解,破解成功后即可获取合法用户权限,甚至可以破解管理员的密码进而控制整个网站。暴力破解的原理就是穷举法,是一种针对于密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。目前,主要是通过验证码来防爆力破解,验证码(CAPTCHA,Completely Automated Public Turing test to tellComputers andHumans Apart,全自动区分计算机和人类的图灵测试)最早是由卡内基梅隆大学的Luisvon Ahn、Manuel Blum、Nicholas J.Hoppe以及IBM((InternationalBusiness MachinesCorporation,万国商用机器公司)的John Langford在2002年提出的,是一种用于区分操作用户是计算机还是人的测试方案,目前已广泛应用于对恶意破解密码、刷票、论坛灌水等非法行为的拦截场景中,是现在很多网站必备的安全策略之一。但对于合法用户来说,在每次登录时,都需要输入验证码,这会严重影响用户体验。
发明内容
有鉴于此,本申请的目的在于提供一种防暴力破解方法、装置、设备、介质,能够保证WEB网站防护安全,提升用户体验。其具体方案如下:
第一方面,本申请公开了一种防暴力破解方法,包括:
获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本;
对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,得到目标正常访问行为日志样本和目标暴力破解行为日志样本;
将所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行特征化,得到特征化样本;
利用所述特征化样本进行决策树实例化训练,得到目标决策树;
利用实时检测到的所述WEB网站的访问日志对应的特征化数据和所述目标决策树,判断所述访问日志对应的访问行为是否是暴力破解行为;
如果所述访问日志对应的访问行为是暴力破解行为,则对所述访问行为进行相应的阻断操作。
可选的,所述获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本,包括:
通过安全防护设备获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本。
可选的,所述对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,得到目标正常访问行为日志样本和目标暴力破解行为日志样本,包括:
对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,保留所述正常访问行为日志样本和所述暴力破解行为日志样本中的登录访问类日志,得到目标正常访问行为日志样本和目标暴力破解行为日志样本。
可选的,所述将所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行特征化,得到特征化样本,包括:
分别统计所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本中的预设时长内对登录URL的访问次数、目标IP请求访问所述登录URL的用户名变化次数以及所述目标IP请求访问所述登录URL的密码变化次数,并将所述目标正常访问行为日志样本标记为0,将所述目标暴力破解行为日志样本标记为1,得到特征化样本。
可选的,所述利用所述特征化样本进行决策树实例化训练,得到目标决策树,包括:
利用所述特征化样本进行CART决策树实例化训练,得到目标决策树。
可选的,所述利用所述特征化样本进行CART决策树实例化训练,得到目标决策树,包括:
确定所述特征化样本中的各个特征的基尼指数;
根据各个所述特征对应的所述基尼指数,确定CART决策树的节点,得到训练后决策树;
利用K折交叉验证方法对训练后决策树进行验证,得到目标决策树。
可选的,所述利用K折交叉验证方法对训练后决策树进行验证,得到目标决策树,包括:
利用K折交叉验证方法对训练后决策树进行验证,每一轮验证完后,得到对应的准确率和召回率;
分别对所述准确率和所述召回率求平均值,得到目标准确率和目标召回率;
如果所述目标准确率大于或等于预设准确率阈值,且所述目标召回率大于或等于预设召回率阈值,则得到目标决策树。
第二方面,本申请公开了一种防暴力破解装置,包括:
样本获取模块,用于获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本;
样本筛选模块,用于对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,得到目标正常访问行为日志样本和目标暴力破解行为日志样本;
样本特征化模块,用于将所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行特征化,得到特征化样本;
决策树确定模块,用于利用所述特征化样本进行决策树实例化训练,得到目标决策树;
暴力破解行为判断模块,用于将利用实时检测到的所述WEB网站的访问日志对应的特征化数据和所述目标决策树,判断所述访问日志对应的访问行为是否是暴力破解行为;
访问阻断模块,用于当所述访问日志对应的访问行为是暴力破解行为,则对所述访问行为进行相应的阻断操作。
第三方面,本申请公开了一种防暴力破解设备,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现前述公开的防暴力破解方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的防暴力破解方法。
可见,本申请获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本;对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,得到目标正常访问行为日志样本和目标暴力破解行为日志样本;将所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行特征化,得到特征化样本;利用所述特征化样本进行决策树实例化训练,得到目标决策树;利用实时检测到的所述WEB网站的访问日志对应的特征化数据和所述目标决策树,判断所述访问日志对应的访问行为是否是暴力破解行为;如果所述访问日志对应的访问行为是暴力破解行为,则对所述访问行为进行相应的阻断操作。由此可见,本申请先获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本,并对所述正常访问行为日志样本和暴力破解行为日志样本进行过滤和特征化,得到特征化样本,再利用所述特征化样本进行决策树实例化训练,得到目标决策树,然后利用所述目标决策树和实时检测到的访问日志对应的特征化数据,判断所述访问日志对应的访问行文是否为暴力破解行为,若所述访问日志对应的访问行为是暴力破解行为,则对所述访问行为进行相应的阻断操作。这样能够保证WEB网站防护安全,提升用户体验。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种防暴力破解方法流程图;
图2为本申请公开的一种具体的防暴力破解方法流程图;
图3为本申请公开的一种具体的十折交叉验证示意图方法流程图;
图4为本申请公开的一种防暴力破解装置结构示意图;
图5为本申请公开的一种防暴力破解设备结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,主要是通过验证码来防爆力破解,验证码最早是由卡内基梅隆大学的Luisvon Ahn、Manuel Blum、Nicholas J.Hoppe以及IBM的John Langford在2002年提出的,是一种用于区分操作用户是计算机还是人的测试方案,目前已广泛应用于对恶意破解密码、刷票、论坛灌水等非法行为的拦截场景中,是现在很多网站必备的安全策略之一。但对于合法用户来说,在每次登录时,都需要输入验证码,这会严重影响用户体验。有鉴于此,本申请提出了一种防爆力破解方法,这样能够保证WEB网站防护安全,提升用户体验。
参见图1所示,本申请实施例公开了一种防爆力破解方法,该方法包括:
步骤S11:获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本。
本实施例中,需要先获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本。具体的,可以通过安全防护设备获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本,或者通过暴力破解工具模拟暴力破解攻击,并获取相应的暴力破解行为日志样本。
步骤S12:对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,得到目标正常访问行为日志样本和目标暴力破解行为日志样本。
在具体的实施过程中,在获取到所述正常访问行为日志样本和所述暴力破解行为日志样本之后,需要对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,保留相应的目标数据,将不需要的部分过滤掉,得到目标正常访问行为日志样本和目标暴力破解行为日志样本。
步骤S13:将所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行特征化,得到特征化样本。
可以理解的是,在得到所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本之后,还需要对所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行特征化,得到特征化样本。具体的,对将所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行相应的特征统计,得到相应的特征属性,以得到特征化样本。
步骤S14:利用所述特征化样本进行决策树实例化训练,得到目标决策树。
本实施例中,得到所述特征化样本之后,需要利用所述特征化样本进行决策树实例化训练,得到可以用于判断访问行为是否为暴力破解行为的目标决策树。在进行决策树实例化训练的过程中,可以通过确定特征化样本中各个特征的信息熵、信息增益或基尼指数来确定决策树的各个节点,得到所述目标决策树。
步骤S15:利用实时检测到的所述WEB网站的访问日志对应的特征化数据和所述目标决策树,判断所述访问日志对应的访问行为是否是暴力破解行为。
在具体的实施过程中,得到所述目标决策树之后,可以利用所述目标决策树和实时检测到的所述WEB网站的访问日志对应的特征化数据,判断所述访问日志对应的访问行为是否是暴力破解行为。
步骤S16:如果所述访问日志对应的访问行为是暴力破解行为,则对所述访问行为进行相应的阻断操作。
在具体的实施过程中,如果所述日志对应访问行为是暴力破解行为,则需要对所述访问行为进行相应的阻断操作。如果所述访问行为不是暴力破解行为,则允许响应相应的访问请求。
可见,本申请获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本;对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,得到目标正常访问行为日志样本和目标暴力破解行为日志样本;将所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行特征化,得到特征化样本;利用所述特征化样本进行决策树实例化训练,得到目标决策树;利用实时检测到的所述WEB网站的访问日志对应的特征化数据和所述目标决策树,判断所述访问日志对应的访问行为是否是暴力破解行为;如果所述访问日志对应的访问行为是暴力破解行为,则对所述访问行为进行相应的阻断操作。由此可见,本申请先获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本,并对所述正常访问行为日志样本和暴力破解行为日志样本进行过滤和特征化,得到特征化样本,再利用所述特征化样本进行决策树实例化训练,得到目标决策树,然后利用所述目标决策树和实时检测到的访问日志对应的特征化数据,判断所述访问日志对应的访问行文是否为暴力破解行为,若所述访问日志对应的访问行为是暴力破解行为,则对所述访问行为进行相应的阻断操作。这样能够保证WEB网站防护安全,提升用户体验。
参见图2所示,本申请实施例公开了一种具体的防暴力破解方法,该方法包括:
步骤S21:通过安全防护设备获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本。
在具体的实施过程中,需要先获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本。具体的,可以通过安全防护设备获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本。
步骤S22:对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,保留所述正常访问行为日志样本和所述暴力破解行为日志样本中的登录访问类日志,得到目标正常访问行为日志样本和目标暴力破解行为日志样本。
本实施例中,获取到对所述正常访问行为日志样本和所述暴力破解行为日志样本之后,可以对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,保留所述正常访问行为日志样本和所述暴力破解行为日志样本中的登录访问类日志,得到目标正常访问行为日志样本和目标暴力破解行为日志样本。
步骤S23:将所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行特征化,得到特征化样本。
在具体的实施过程中,得到所述述目标正常访问行为日志样本和所述目标暴力破解行为日志样本之后,需要将所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行特征化,得到特征化样本。具体的,分别统计所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本中的预设时长内对登录URL的访问次数、目标IP请求访问所述登录URL的用户名变化次数以及所述目标IP请求访问所述登录URL的密码变化次数,并将所述目标正常访问行为日志样本标记为0,将所述目标暴力破解行为日志样本标记为1,得到特征化样本。所述暴力破解行为对应的预设时长内对登录URL的访问次数、目标IP请求访问所述登录URL的用户名变化次数或所述目标IP请求访问所述登录URL的密码变化次数会大于相应的预设阈值。也即,当预设时长内对相应的登录URL的访问次数大于预设访问次数或目标IP请求访问所述登录URL的用户名变化次数大于预设用户名变化次数或所述目标IP请求访问所述登录URL的密码变化次数大于预设密码变化次数,则访问行为是暴力破解行为。例如,所述预设时长可以是与当前时刻相邻的过去3秒。
步骤S24:利用所述特征化样本进行CART决策树实例化训练,得到目标决策树。
在具体的实施过程中,需要利用所述特征化样本进行决策树实例化训练,以得到目标决策树,具体的,可以利用所述特征化样本进行CART决策树实例化训练,得到目标决策树,其中,所述CART决策树使用基尼指数来选择划分特征。具体的,所述利用所述特征化样本进行CART决策树实例化训练,得到目标决策树,包括:确定所述特征化样本中的各个特征的基尼指数;根据各个所述特征对应的所述基尼指数,确定CART决策树的节点,得到训练后决策树;利用K折交叉验证方法对训练后决策树进行验证,得到目标决策树。
所述确定所述特征化样本中的各个特征的基尼指数包括:利用第一预设公式确定所述特征化样本中的各个特征的基尼值;利用第二预设公式和所述基尼值确定所述特征化样本中的各个特征的基尼指数,其中,所述第一预设公式为:
Figure BDA0002321948140000081
其中,Gini(D)表示样本数据集D的一个相应特征的基尼值,|y|表示CART决策树最终输出结果数,pk代表样本数据集D中第k类样本所占的比例。
其中,所述第二预设公式为:
Figure BDA0002321948140000082
其中,Giniindex(D,a)表示特征a的基尼指数,
Figure BDA0002321948140000091
表示特征a将数据集D划分成的分支所占比例,V表示分支总数量。
在得到所述训练后决策树之后,还需要利用K折交叉验证方法对训练后决策树进行验证,得到目标决策树。具体的,所述利用K折交叉验证方法对训练后决策树进行验证,得到目标决策树,包括:利用K折交叉验证方法对训练后决策树进行验证,每一轮验证完后,得到对应的准确率和召回率;分别对所述准确率和所述召回率求平均值,得到目标准确率和目标召回率;如果所述目标准确率大于或等于预设准确率阈值,且所述目标召回率大于或等于预设召回率阈值,则得到目标决策树。如果所述目标准确率小于预设准确率阈值,或所述目标召回率小于预设召回率阈值,需要重新获取正常访问行为日志样本和暴力破解行为日志样本。将所述特征化样本分成K个子样本,其中,K-1个子样本用于训练所述训练后决策树,剩余的1个子样本作为验证子样本,也即测试集。例如,采用十折交叉验证示意图如图3所示。将数据集D拆分成10个子集,分别为D1、D2、D3、D4、D5、D6、D7、D8、D9、D10,在第一轮中,将子集D1、D2、D3、D4、D5、D6、D7、D8、D9作为训练集,D10作为测试集,得到相应的测试结果1,所述测试结果1包括准确率和召回率,在第二轮中,将D1、D2、D3、D4、D5、D6、D7、D8、D10作为训练集,D9作为测试集,得到相应的测试结果2,以此类推,进行10轮验证,并将得到的测试结果求取平均值,并返回相应的结果。在所述暴力破解行为日志样本和所述正常访问行为日志样本各为5000条时,得到的准确率为0.9772,召回率为0.9702。其中,准确度和召回率的计算公式如下所示:
召回率=TP/(TP+FN),准确率=TP/(TP+FP),其中,TP、FP、FN以及TN解释如下表1:
表1
实际为真 实际为假
预测为真 TP FP
预测为假 FN TN
步骤S25:利用实时检测到的所述WEB网站的访问日志对应的特征化数据和所述目标决策树,判断所述访问日志对应的访问行为是否是暴力破解行为。
步骤S26:如果所述访问日志对应的访问行为是暴力破解行为,则对所述访问行为进行相应的阻断操作。
在具体的实施过程中,若在得到特征化样本的过程中,将所述目标正常访问行为日志样本标记为0,将所述目标暴力破解行为日志样本标记为1,则利用实时检测到的所述WEB网站的访问日志对应的特征化数据和所述目标决策树时,如果得到的结果是0,则表示所述访问数据对应的访问行为是正常访问行为,可以正常响应访问请求;如果得到的结果是1,则表示所述访问数据对应的访问行为是正常访问行为,则进行相应的阻断操作。
参见图4所示,本申请实施例公开了一种防暴力破解装置,包括:
样本获取模块11,用于获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本;
样本筛选模块12,用于对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,得到目标正常访问行为日志样本和目标暴力破解行为日志样本;
样本特征化模块13,用于将所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行特征化,得到特征化样本;
决策树确定模块14,用于利用所述特征化样本进行决策树实例化训练,得到目标决策树;
暴力破解行为判断模块15,用于将利用实时检测到的所述WEB网站的访问日志对应的特征化数据和所述目标决策树,判断所述访问日志对应的访问行为是否是暴力破解行为;
访问阻断模块16,用于当所述访问日志对应的访问行为是暴力破解行为,则对所述访问行为进行相应的阻断操作。
可见,本申请获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本;对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,得到目标正常访问行为日志样本和目标暴力破解行为日志样本;将所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行特征化,得到特征化样本;利用所述特征化样本进行决策树实例化训练,得到目标决策树;利用实时检测到的所述WEB网站的访问日志对应的特征化数据和所述目标决策树,判断所述访问日志对应的访问行为是否是暴力破解行为;如果所述访问日志对应的访问行为是暴力破解行为,则对所述访问行为进行相应的阻断操作。由此可见,本申请先获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本,并对所述正常访问行为日志样本和暴力破解行为日志样本进行过滤和特征化,得到特征化样本,再利用所述特征化样本进行决策树实例化训练,得到目标决策树,然后利用所述目标决策树和实时检测到的访问日志对应的特征化数据,判断所述访问日志对应的访问行文是否为暴力破解行为,若所述访问日志对应的访问行为是暴力破解行为,则对所述访问行为进行相应的阻断操作。这样能够保证WEB网站防护安全,提升用户体验。
进一步的,参见图5所示,本申请实施例还公开了一种防暴力破解设备,包括:处理器21和存储器22。
其中,所述存储器22,用于存储计算机程序;所述处理器21,用于执行所述计算机程序,以实现前述实施例中公开的防暴力破解方法。
其中,关于上述防暴力破解方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述
进一步的,本申请实施例还公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现以下步骤:
获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本;对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,得到目标正常访问行为日志样本和目标暴力破解行为日志样本;将所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行特征化,得到特征化样本;利用所述特征化样本进行决策树实例化训练,得到目标决策树;利用实时检测到的所述WEB网站的访问日志对应的特征化数据和所述目标决策树,判断所述访问日志对应的访问行为是否是暴力破解行为;如果所述访问日志对应的访问行为是暴力破解行为,则对所述访问行为进行相应的阻断操作。
可见,本申请获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本;对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,得到目标正常访问行为日志样本和目标暴力破解行为日志样本;将所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行特征化,得到特征化样本;利用所述特征化样本进行决策树实例化训练,得到目标决策树;利用实时检测到的所述WEB网站的访问日志对应的特征化数据和所述目标决策树,判断所述访问日志对应的访问行为是否是暴力破解行为;如果所述访问日志对应的访问行为是暴力破解行为,则对所述访问行为进行相应的阻断操作。由此可见,本申请先获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本,并对所述正常访问行为日志样本和暴力破解行为日志样本进行过滤和特征化,得到特征化样本,再利用所述特征化样本进行决策树实例化训练,得到目标决策树,然后利用所述目标决策树和实时检测到的访问日志对应的特征化数据,判断所述访问日志对应的访问行文是否为暴力破解行为,若所述访问日志对应的访问行为是暴力破解行为,则对所述访问行为进行相应的阻断操作。这样能够保证WEB网站防护安全,提升用户体验。
本实施例中,所述计算机可读存储介质中保存的计算机子程序被处理器执行时,可以具体实现以下步骤:通过安全防护设备获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本。
本实施例中,所述计算机可读存储介质中保存的计算机子程序被处理器执行时,可以具体实现以下步骤:对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,保留所述正常访问行为日志样本和所述暴力破解行为日志样本中的登录访问类日志,得到目标正常访问行为日志样本和目标暴力破解行为日志样本。
本实施例中,所述计算机可读存储介质中保存的计算机子程序被处理器执行时,可以具体实现以下步骤:分别统计所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本中的预设时长内对登录URL的访问次数、目标IP请求访问所述登录URL的用户名变化次数以及所述目标IP请求访问所述登录URL的密码变化次数,并将所述目标正常访问行为日志样本标记为0,将所述目标暴力破解行为日志样本标记为1,得到特征化样本。
本实施例中,所述计算机可读存储介质中保存的计算机子程序被处理器执行时,可以具体实现以下步骤:利用所述特征化样本进行CART决策树实例化训练,得到目标决策树。
本实施例中,所述计算机可读存储介质中保存的计算机子程序被处理器执行时,可以具体实现以下步骤:确定所述特征化样本中的各个特征的基尼指数;根据各个所述特征对应的所述基尼指数,确定CART决策树的节点,得到训练后决策树;利用K折交叉验证方法对训练后决策树进行验证,得到目标决策树。
本实施例中,所述计算机可读存储介质中保存的计算机子程序被处理器执行时,可以具体实现以下步骤:利用K折交叉验证方法对训练后决策树进行验证,每一轮验证完后,得到对应的准确率和召回率;分别对所述准确率和所述召回率求平均值,得到目标准确率和目标召回率;如果所述目标准确率大于或等于预设准确率阈值,且所述目标召回率大于或等于预设召回率阈值,则得到目标决策树。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得一系列包含其他要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的一种防暴力破解方法、装置、设备、介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种防暴力破解方法,其特征在于,包括:
获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本;
对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,得到目标正常访问行为日志样本和目标暴力破解行为日志样本;
将所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行特征化,得到特征化样本;
利用所述特征化样本进行决策树实例化训练,得到目标决策树;
利用实时检测到的所述WEB网站的访问日志对应的特征化数据和所述目标决策树,判断所述访问日志对应的访问行为是否是暴力破解行为;
如果所述访问日志对应的访问行为是暴力破解行为,则对所述访问行为进行相应的阻断操作。
2.根据权利要求1所述的防暴力破解方法,其特征在于,所述获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本,包括:
通过安全防护设备获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本。
3.根据权利要求1所述的防暴力破解方法,其特征在于,所述对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,得到目标正常访问行为日志样本和目标暴力破解行为日志样本,包括:
对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,保留所述正常访问行为日志样本和所述暴力破解行为日志样本中的登录访问类日志,得到目标正常访问行为日志样本和目标暴力破解行为日志样本。
4.根据权利要求3所述的防暴力破解方法,其特征在于,所述将所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行特征化,得到特征化样本,包括:
分别统计所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本中的预设时长内对登录URL的访问次数、目标IP请求访问所述登录URL的用户名变化次数以及所述目标IP请求访问所述登录URL的密码变化次数,并将所述目标正常访问行为日志样本标记为0,将所述目标暴力破解行为日志样本标记为1,得到特征化样本。
5.根据权利要求1至4任一项所述的防暴力破解方法,其特征在于,所述利用所述特征化样本进行决策树实例化训练,得到目标决策树,包括:
利用所述特征化样本进行CART决策树实例化训练,得到目标决策树。
6.根据权利要求5所述的防暴力破解方法,其特征在于,所述利用所述特征化样本进行CART决策树实例化训练,得到目标决策树,包括:
确定所述特征化样本中的各个特征的基尼指数;
根据各个所述特征对应的所述基尼指数,确定CART决策树的节点,得到训练后决策树;
利用K折交叉验证方法对训练后决策树进行验证,得到目标决策树。
7.根据权利要求6所述的防暴力破解方法,其特征在于,所述利用K折交叉验证方法对训练后决策树进行验证,得到目标决策树,包括:
利用K折交叉验证方法对训练后决策树进行验证,每一轮验证完后,得到对应的准确率和召回率;
分别对所述准确率和所述召回率求平均值,得到目标准确率和目标召回率;
如果所述目标准确率大于或等于预设准确率阈值,且所述目标召回率大于或等于预设召回率阈值,则得到目标决策树。
8.一种防暴力破解装置,其特征在于,包括:
样本获取模块,用于获取WEB网站的正常访问行为日志样本和暴力破解行为日志样本;
样本筛选模块,用于对所述正常访问行为日志样本和所述暴力破解行为日志样本进行筛选,得到目标正常访问行为日志样本和目标暴力破解行为日志样本;
样本特征化模块,用于将所述目标正常访问行为日志样本和所述目标暴力破解行为日志样本进行特征化,得到特征化样本;
决策树确定模块,用于利用所述特征化样本进行决策树实例化训练,得到目标决策树;
暴力破解行为判断模块,用于将利用实时检测到的所述WEB网站的访问日志对应的特征化数据和所述目标决策树,判断所述访问日志对应的访问行为是否是暴力破解行为;
访问阻断模块,用于当所述访问日志对应的访问行为是暴力破解行为,则对所述访问行为进行相应的阻断操作。
9.一种防暴力破解设备,其特征在于,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现权利要求1至7任一项所述的防暴力破解方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的防暴力破解方法。
CN201911301622.7A 2019-12-17 2019-12-17 一种防暴力破解方法、装置、设备、介质 Pending CN110995748A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911301622.7A CN110995748A (zh) 2019-12-17 2019-12-17 一种防暴力破解方法、装置、设备、介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911301622.7A CN110995748A (zh) 2019-12-17 2019-12-17 一种防暴力破解方法、装置、设备、介质

Publications (1)

Publication Number Publication Date
CN110995748A true CN110995748A (zh) 2020-04-10

Family

ID=70094728

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911301622.7A Pending CN110995748A (zh) 2019-12-17 2019-12-17 一种防暴力破解方法、装置、设备、介质

Country Status (1)

Country Link
CN (1) CN110995748A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111541687A (zh) * 2020-04-21 2020-08-14 厦门网宿有限公司 一种网络攻击检测方法及装置
CN111641658A (zh) * 2020-06-09 2020-09-08 杭州安恒信息技术股份有限公司 一种请求拦截方法、装置、设备及可读存储介质
CN114866333A (zh) * 2022-06-09 2022-08-05 中国平安财产保险股份有限公司 暴力破解请求的智能识别方法、装置、电子设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9191321B2 (en) * 2011-08-02 2015-11-17 Cavium, Inc. Packet classification
CN108183888A (zh) * 2017-12-15 2018-06-19 恒安嘉新(北京)科技股份公司 一种基于随机森林算法的社会工程学入侵攻击路径检测方法
CN109525551A (zh) * 2018-10-07 2019-03-26 杭州安恒信息技术股份有限公司 一种基于统计机器学习的cc攻击防护的方法
CN109635564A (zh) * 2018-12-07 2019-04-16 深圳市联软科技股份有限公司 一种检测暴力破解行为的方法、装置、介质及设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9191321B2 (en) * 2011-08-02 2015-11-17 Cavium, Inc. Packet classification
CN108183888A (zh) * 2017-12-15 2018-06-19 恒安嘉新(北京)科技股份公司 一种基于随机森林算法的社会工程学入侵攻击路径检测方法
CN109525551A (zh) * 2018-10-07 2019-03-26 杭州安恒信息技术股份有限公司 一种基于统计机器学习的cc攻击防护的方法
CN109635564A (zh) * 2018-12-07 2019-04-16 深圳市联软科技股份有限公司 一种检测暴力破解行为的方法、装置、介质及设备

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111541687A (zh) * 2020-04-21 2020-08-14 厦门网宿有限公司 一种网络攻击检测方法及装置
CN111541687B (zh) * 2020-04-21 2022-10-11 厦门网宿有限公司 一种网络攻击检测方法及装置
CN111641658A (zh) * 2020-06-09 2020-09-08 杭州安恒信息技术股份有限公司 一种请求拦截方法、装置、设备及可读存储介质
CN114866333A (zh) * 2022-06-09 2022-08-05 中国平安财产保险股份有限公司 暴力破解请求的智能识别方法、装置、电子设备及介质

Similar Documents

Publication Publication Date Title
CN107276982B (zh) 一种异常登录检测方法及装置
Weir et al. Testing metrics for password creation policies by attacking large sets of revealed passwords
Dacier et al. Quantitative assessment of operational security: Models and tools
CN110995748A (zh) 一种防暴力破解方法、装置、设备、介质
US10404683B2 (en) Strength-based password expiration
US7900259B2 (en) Predictive assessment of network risks
CN108920947B (zh) 一种基于日志图建模的异常检测方法和装置
US20140208386A1 (en) Adaptive Strike Count Policy
US8234499B2 (en) Adaptive authentication solution that rewards almost correct passwords and that simulates access for incorrect passwords
US8819769B1 (en) Managing user access with mobile device posture
US20160241576A1 (en) Detection of anomalous network activity
US20120151559A1 (en) Threat Detection in a Data Processing System
CN108924118B (zh) 一种撞库行为检测方法及系统
CN105763548A (zh) 基于行为模型对用户登录进行识别的方法、设备和系统
CN107426136B (zh) 一种网络攻击的识别方法和装置
KR102130582B1 (ko) 머신러닝을 이용한 웹 기반 부정 로그인 차단 장치 및 방법
Huang et al. A practical evaluation of free-text keystroke dynamics
CN111404949A (zh) 一种流量检测方法、装置、设备及存储介质
CN110912945B (zh) 网络攻击入口点的检测方法、装置、电子设备及存储介质
Pramono Anomaly-based intrusion detection and prevention system on website usage using rule-growth sequential pattern analysis: Case study: Statistics of Indonesia (BPS) website
US7895659B1 (en) Method of assessing security of an information access system
CN112131551A (zh) 验证码验证方法、装置、计算机设备及可读存储介质
CN113923039B (zh) 攻击设备识别方法、装置、电子设备及可读存储介质
CN112702349B (zh) 一种网络攻击防御方法、装置及电子招标投标交易平台
CN112272195B (zh) 一种动态检测认证系统及其方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200410