CN111355750B - 用于识别暴力破解密码行为的方法和装置 - Google Patents
用于识别暴力破解密码行为的方法和装置 Download PDFInfo
- Publication number
- CN111355750B CN111355750B CN202010324866.3A CN202010324866A CN111355750B CN 111355750 B CN111355750 B CN 111355750B CN 202010324866 A CN202010324866 A CN 202010324866A CN 111355750 B CN111355750 B CN 111355750B
- Authority
- CN
- China
- Prior art keywords
- client
- behavior
- determining
- information interaction
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本公开的实施例公开了用于识别暴力破解密码行为的方法和装置。该方法的一具体实施方式包括:响应于检测到客户端发出的登录请求,获取客户端与服务端信息传输的报文的流特征,流特征包括报文的流方向;响应于未在客户端发出登录请求之后的第一预设时间段内检测到具有相同流方向的两条相邻报文,确定客户端发生暴力破解密码的行为;响应于确定客户端发生暴力破解密码的行为,基于流特征,生成报警信息,并发送报警信息。通过提取客户端与服务端之间传输的报文的流特征,基于流特征识别客户端的暴力破解密码行为,以及生成并发送报警信息,操作便捷且无需接触服务端或客户端即可识别暴力破解行为。
Description
技术领域
本公开的实施例涉及计算机技术领域,具体涉及网络安全技术领域,尤其涉及一种用于识别暴力破解密码行为的方法和装置。
背景技术
SSH(Secure Shell protocol,安全外壳协议),是一种建立在应用层基础上的安全协议,旨在提供安全远程登录及其它安全网络服务,例如可以用于终端与服务器之间的安全登录与安全传送数据。
对于暴露在互联网上的服务器,会面临大量的暴力攻击行为,暴力攻击行为一般通过对使用这些应用服务的客户端密码进行暴力破解,客户端密码被暴力破解后,攻击者就可以非法访问服务器,这将导致用户数据泄露,甚至服务器被攻击者控制。因此,识别暴力破解密码的行为对SSH服务的安全而言是非常重要的。
发明内容
本公开的实施例提出了用于识别暴力破解密码行为的方法和装置。
第一方面,本公开的实施例提供了一种用于识别暴力破解密码行为的方法,包括:响应于检测到客户端发出的登录请求,获取客户端与服务端信息传输的报文的流特征,流特征包括报文的流方向;响应于未在客户端发出登录请求之后的第一预设时间段内检测到具有相同流方向的两条相邻报文,确定客户端发生暴力破解密码的行为;响应于确定客户端发生暴力破解密码的行为,基于流特征,生成报警信息,并发送报警信息。
在一些实施例中,该方法还包括:基于流特征,确定报文对应的信息交互的进程;以及根据报文对应的信息交互的进程确定客户端的登录行为。
在一些实施例中,根据报文对应的信息交互的进程确定客户端的登录行为,包括:响应于根据报文对应的信息交互的进程确定在客户端发出登录请求之后信息交互的认证进程已开启,且未在认证进程已开启之后的第二预设时间段内检测到具有相同流方向的两条相邻报文,确定客户端发生暴力破解密码的行为。
在一些实施例中,流特征还包括:字节数和加密状态;以及,基于流特征,确定报文对应的信息交互的进程,包括:响应于检测到字节数相同且流方向相反的相邻两条加密报文,确定信息交互的认证进程开启。
在一些实施例中,基于流特征,确定报文对应的信息交互的进程,包括:响应于在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由客户端发向服务端,或者在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由服务端发向客户端,确定信息交互的认证进程已完成;以及根据报文对应的信息交互的进程确定客户端的登录行为,包括:响应于确定信息交互的认证进程已完成,确定客户端的登录行为合法。
第二方面,本公开的实施例提供了一种用于识别暴力破解密码行为的装置,装置包括:特征获取单元,被配置成响应于检测到客户端发出的登录请求,获取客户端与服务端信息传输的报文的流特征,流特征包括报文的流方向;行为识别单元,被配置成响应于未在客户端发出登录请求之后的第一预设时间段内检测到具有相同流方向的两条相邻报文,确定客户端发生暴力破解密码的行为;报警单元,被配置成响应于确定客户端发生暴力破解密码的行为,基于流特征,生成报警信息,并发送报警信息。
在一些实施例中,行为识别单元还被配置成:基于流特征,确定报文对应的信息交互的进程;以及根据报文对应的信息交互的进程确定客户端的登录行为。
在一些实施例中,行为识别单元被进一步配置成通过如下方式确定客户端的登录行为:响应于根据报文对应的信息交互的进程确定在客户端发出登录请求之后信息交互的认证进程已开启,且未在认证进程已开启之后的第二预设时间段内检测到具有相同流方向的两条相邻报文,确定客户端发生暴力破解密码的行为。
在一些实施例中,流特征还包括:字节数和加密状态;以及,行为识别单元被配置成通过如下方式确定报文对应的信息交互的进程:响应于检测到字节数相同且流方向相反的相邻两条加密报文,确定信息交互的认证进程开启。
在一些实施例中,行为识别单元,还被进一步配置成:响应于在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由客户端发向服务端,或者在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由服务端发向客户端,确定信息交互的认证进程已完成;以及根据报文对应的信息交互的进程确定客户端的登录行为,包括:响应于确定信息交互的认证进程已完成,确定客户端的登录行为合法。
本公开的实施例提供的用于识别暴力破解密码行为的方法和装置,通过提取客户端与服务端信息交互过程中传输的报文的流特征,基于报文的流特征识别客户端的暴力破解密码的行为,以及,确定客户端发生暴力破解密码的行为时,生成并发送报警信息,操作便捷且无需接触服务端或客户端即可识别暴力破解密码行为。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本公开的其它特征、目的和优点将会变得更明显:
图1是本公开的一些实施例可以应用于其中的示例性系统架构图;
图2是根据本公开的用于识别暴力破解密码行为的方法的一个实施例的流程图;
图3是根据本公开的实施例的用于识别暴力破解密码行为的方法中客户端与服务端信息交互的流程示意图;
图4a是根据本公开的用于识别暴力破解密码行为的方法的又一个实施例的流程图;
图4b是根据本公开的用于识别暴力破解密码行为的方法的又一个实施例的流程图;
图4c是根据本公开的用于识别暴力破解密码行为的方法的又一个实施例的流程图;
图5是根据本公开的用于识别暴力破解密码行为的装置的一个实施例的结构示意图;
图6是适于用来实现本公开的实施例的电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
图1示出了可以应用本公开的实施例的用于识别暴力破解密码行为的方法或用于识别暴力破解密码行为的装置的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101、102、103、网络设备104、网络105、服务器106和电子设备107。终端设备101、102、103通过网络设备104接入网路105,经由网络105与服务器105进行信息交互。网络105可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。网络设备104可以是具备网络信息传输能力的网络设备,用于将终端101、102、103的信息数据通过网络105发送至服务器106,以及经由网络105接收服务器106发送的信息,并转发给终端101、102、103,例如可以是交换机或路由器,以实现终端101、102、103与服务器106之间的报文传输。电子设备107用于从网络设备104中获取终端与服务器信息交互过程中的镜像流量,并从镜像中解析出报文的流特征,以及基于流特征生成报警信息,并发送报警信息。例如报文的流特征可以包括流方向、报文的源地址、报文的字节数、加密状态、报文的目标地址、报文传输的时间等特征信息;报警信息可以包括客户端的IP地址(即报文的源地址)、客户端的物理地址、服务端的IP地址(即报文的目的地址)以及暴力破解密码行为发生的时间(即报文传输的时间)等内容,生成报警信息之后,电子设备107可以将报警信息发送至客户端、服务端或第三方(例如可以是操作人员的终端设备),还可以直接呈现在电子设备107自身的显示装置上,以便于操作人员可以凭借报警信息确定发生暴力破解密码行为的客户端。
终端设备101、102、103可以是硬件,也可以是软件。当终端设备101、102、103为硬件时,可以是能够通过网络进行信息交互的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、膝上型便携计算机和台式计算机等等。当终端设备101、102、103为软件时,可以安装在上述所列举的电子设备中。其可以实现成例如用来提供分布式服务的多个软件或软件模块,也可以实现成单个软件或软件模块。在此不做具体限定。
服务器106可以是提供各种服务的服务器,例如对终端设备101、102、103提供数据支持的后台应用服务器。后台应用服务器可以对终端发送的报文进行验证,如果验证通过,则客户端登陆成功,客户端就可以与后台应用服务器进行信息交互,通过传输承载有业务数据的报文从服务器获取数据支持。
需要说明的是,本公开的实施例所提供的用于识别暴力破解密码行为的方法由电子设备107执行,相应地,用于识别暴力破解密码行为的装置可以设置于电子设备107中。例如,电子设备107从网络设备104获取终端与服务器信息交互的镜像流量,并从镜像流量中解析出报文的流特征。
需要说明的是,服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成例如用来提供分布式服务的多个软件或软件模块,也可以实现成单个软件或软件模块。在此不做具体限定。
继续参考图2,示出了根据本公开的用于识别暴力破解密码行为的方法的一个实施例的流程200。该用于识别暴力破解密码行为的方法,包括以下步骤:
步骤201,响应于检测到客户端发出的登录请求,获取客户端与服务端信息传输的报文的流特征。
在本实施中,报文的流特征包括流方向,即报文是由客户端发向服务端,还是由服务端发向客户端。
通常,用户利用终端通过网络设备(例如交换机)接入网络,与服务器进行信息交互,例如可以通过传输承载有业务数据的报文从服务器获取数据服务。出于安全性考虑,在传输承载有业务数据的报文之前,服务端需要对客户端进行身份验证,若验证通过,则客户端登陆成功,之后就可以传输承载有业务数据的报文;若验证失败,则客户端登录失败,无法获取服务端的服务。身份验证是基于SSH协议,通过传输承载有预设信息的报文来实现的,例如携带有SSH版本信息的报文、携带有密钥信息的报文等。除了携带的信息之外,这些报文还具备一定的流特征,例如报文的字节数、报文的流方向、报文的加密状态等等。
客户端要获取服务端的数据服务,首先需要建立与服务端的通信连接,例如,客户端可以通过网络设备(例如交换机)与服务端进行TCP(Transmission Control Protocol,传输控制协议)三次握手之后建立网络连接。在本实施例中,可以基于检测到TCP报文确定客户端发出登录请求。客户端与服务端之间通过网络设备实现报文的传输,执行主体可以是独立于网络设备之外的电子设备,与网络设备通信连接(例如交换机的镜像端口),以此获取客户端与服务端信息交互过程中传输的镜像流量,然后从镜像流量中解析出报文的流特征。执行主体还以采用串联监控的方式,将执行主体作为网关或网桥串联在客户端与服务端信息交互的网络中,直接获取客户端与服务端信息交互过程中的流量,然后从流量中解析出报文的流特征,例如可以采用网络流量分析工具wireshark,从镜像流量中提取出报文的源IP地址(本实施例中特指客户端的IP地址)、目的IP地址(本实施例中特指服务端的IP地址)、报文字节长度、报文的名字以及报文的关键字段等各种特征信息,基于报文的源IP地址和目的IP地址可以确定报文的流方向。报文的流特征例如可以包括报文的字节数、报文的命名、报文的流方向、报文的加密状态等特征信息。
需要指出的是,上述网络设备的网络连接方式可以包括但不限于3G/4G连接、WiFi连接、蓝牙连接、WiMAX连接、Zigbee连接、UWB(ultra wideband)连接、以及其他现在已知或将来开发的无线或无线连接方式。
步骤202,响应于未在客户端发出登录请求之后的第一预设时间段内检测到具有相同流方向的两条相邻报文,确定客户端发生暴力破解密码的行为。
进一步结合图3进行说明,图3示出了本公开实施例的用于识别暴力破解密码行为的方法中客户端与服务端信息交互的流程示意图。在本实施例中,第一预设时间段可以根据经验设置,如果在第一预设时间段内没有检测到具有相同流方向的两条相邻报文(如图3中所示的303、304两条报文均由服务端发向客户端),表示客户端的登录进程存在异常,导致客户端没有在合理的时间段内通过服务端的身份验证,由此确定客户端发生暴力破解密码的行为。
步骤203,响应于确定客户端发生暴力破解密码的行为,基于流特征,生成报警信息,并发送报警信息。
在本实施例中,报警信息可以包括源IP地址(即客户端的IP地址)、客户端的物理地址、目的IP地址(即服务端的IP地址)以及客户端发出登录请求的时间等信息。报警信息可以由执行主体获取到的报文的流特征生成,例如,将报文的源地址确定为客户端的IP地址,将报文的目的地址确定为服务端的IP地址,将报文的源地址对应的物理地址确定为客户端的物理地址,将第一条TCP报文传输的时间确定为客户端发出登录请求的时间。之后,执行主体可以将报警信息发送至服务端、客户端或第三方(例如可以是操作人员的手机),还可以直接呈现在执行主体的显示装置上,以便于操作人员获知报警信息之后,可以准确地定位到发生暴力破解密码行为的客户端。
本公开的实施例提供的用于识别暴力破解密码行为的方法和装置,通过提取客户端与服务端信息交互过程中传输的报文的流特征,基于报文的流特征识别客户端的暴力破解密码的行为,以及,确定客户端发生暴力破解密码的行为时,生成并发送报警信息,操作便捷且无需接触服务端或客户端即可识别暴力破解密码行为。
进一步参考图4a,其示出了用于识别暴力破解密码行为的方法的又一个实施例的流程400。该用于识别暴力破解密码行为的方法的流程400,包括以下步骤:
步骤401,响应于检测到客户端发出的登录请求,获取客户端与服务端信息传输的报文的流特征,此步骤与步骤201相近,此处不再赘述。
步骤402,基于流特征,确定报文对应的信息交互的进程,根据报文对应的信息交互的进程确定客户端的登录行为。
客户端与服务端之间的信息交互包括多个进程,例如包括:建立TCP连接进程、SSH版本校验进程、密钥协商进程、认证进程、登录进程以及之后的数据通信进程等等,其中,通过建立TCP连接进程、SSH版本校验进程和密钥协商进程可以在客户端与服务端之间建立通信连接,并确定通信密钥,这样一来,后续进程中传输的报文均为加密报文。建立通信连接之后,服务端需要对客户端的身份进行验证,即为认证进程。认证通过之后,客户端与服务端建立通信channel(信道),客户端才可以与服务端传输承载有业务数据的报文,即数据通信进程。每个进程中的报文都具备独特的流特征,因而可以通过流特征确定信息交互的进程。
结合图3进行举例说明,客户端与服务端第三次TCP握手之后,执行主体检测到由服务端发向客户端的携带有SSH版本信息的报文,例如可以是命名为“SSH_VERSIOIN_EXCHANGE”的报文,可以确定客户端与服务端信息交互处于SSH版本校验进程,若双方的SSH版本信息一致则继续后续的进程。再例如,执行主体检测到带有密钥信息的的非加密报文可以确定客户端与服务端之间的信息交互处于密钥协商进程。
由于信息交互的进程顺序是固定的,只有前续进程完成之后才可以开启后续进程,因而,如果根据检测到的报文的流特征确定信息交互处于某个进程,意味着该进程之前的进程都已完成。例如,检测到图3中加密报文301,可以确定信息交互的密钥协商进程已经完成,那么在此之前的建立TCP连接进程和版本校验进程也已经完成。
因此,可以通过报文的流特征所对应的信息交互的进程确定客户端的登录行为。作为示例,执行主体检测到承载有业务数据的报文,表示客户端与服务端已经进入数据交互进程,意味着客户端必然已经成功登录,由此可以确定客户端的登录行为是合法的。再例如,执行主体检测到命名为“SSH2_MSG_CHNNEL_REQUEST”的报文(可以是图3中的加密报文305),可以确定客户端与服务端的信息交互处于数据交互进程中的channel创建子进程,意味着在此进程之前,客户端通过了服务端的身份验证,由此可以确定客户端的登录行为是合法的。
进一步参考图4b,图4b示出了本实施例中步骤402的一个可选的流程402a,进一步结合图3说明,该流程可以进一步包括以下步骤:
步骤4021:判断是否检测到字节数相同且流方向相反的相邻两条加密报文。作为示例,执行主体检测到两条相邻的加密报文301和302,其中301是由客户端发向服务端,加密报文302是由服务端发向客户端,且两条报文的字节数相同,则执行步骤4022。
步骤4022,若是,确定信息交互的认证进程开启,基于步骤4021所检测到的报文的流特征,可以确定该时刻客户端与服务端的信息交互中的建立TCP连接进程、SSH版本校验进程和密钥协商进程均已完成,并进入服务端验证客户端身份的阶段。
步骤4023,判断是否在第二预设时间段内检测到具有相同流方向的两条相邻报文。在本实施例中,第二预设时间段可以根据经验设置。与步骤202中的第一预设时间段相比,由于第一预设时间段是从客户端发起登录请求开始计算,涵盖了信息交互中的建立TCP连接进程、SSH版本信息校验进程、密钥协商进程以及认证进程等多个进程,而第二预设时间段是从认证进程的开启时刻开始计算,因此第二预设时间段应小于第一预设时间段。相同流方向的两条相邻报文,可以是由服务端发向客户端的两条相邻报文(如图3中所示的303和304),也可以是由客户端发向服务端的两条相邻报文(如图3中所示的305和306)。若判断结果为否,则执行步骤4024。
步骤4024,确定客户端发生暴力破解密码的行为,在第二预设时间段内没有检测到具有上述流特征的报文,表示客户端与服务端信息交互的认证进程存在异常,导致客户端没有在合理的时间段内通过服务端的身份验证,由此确定客户端发生暴力破解密码的行为。
然后参考图4c,图4c示出了本实施例中的步骤402的另一个可选的流程402b,进一步结合图3说明,该流程可以包括以下步骤:
步骤4025,判断是否在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由客户端发向服务端,或者在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由服务端发向客户端,若判断结果为是,是则执行步骤4026。
本实施例中的第一预设时间段与前述步骤202相同,作为示例,在此时间段内,执行主体检测到报文303和304(即由服务端发向客户端的两条相邻报文),或者检测到报文305和306(即由客户端发向服务端的两条相邻报文),则执行步骤4026。
步骤4026,确定报文对应的信息交互的认证进程完成,在本实施例中,基于步骤4025检测到的报文的流特征,可以确定客户端与服务端信息交互所处的进程信息,如此可以进一步凭借进程信息确定客户端的登录行为。
步骤4027,确定客户端的登录行为合法,基于步骤4026所确定的客户端与服务端信息交互的进程信息为认证进程已经完成,意味着客户端已经通过了服务端的身份验证,由此可以确定客户端的登录行为是合法的。
返回图4a,在步骤402之后,执行步骤403,响应于确定客户端发生暴力破解密码行为,基于流特征,生成报警信息,并发送报警信息。此步骤与前述步骤203相近,此处不再赘述。
本实施例中的用于识别暴力破解密码行为的方法的流程400通过报文的流特征追踪客户端与服务端信息交互的进程,然后基于进程信息对客户端的登录行为进行识别,以此确定客户端是否发生暴力破解密码的行为,因此可以更准确地识别客户端暴力破解密码的行为。
进一步参考图5,作为对上述各图所示方法的实现,本公开提供了一种用于识别暴力破解密码行为的装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图5所示,本实施例的用于识别暴力破解密码行为的装置500包括:特征获取单元501,被配置成响应于检测到客户端发出的登录请求,获取客户端与服务端信息传输的报文的流特征,流特征包括报文的流方向;行为识别单元502,被配置成响应于未在客户端发出登录请求之后的第一预设时间段内检测到具有相同流方向的两条相邻报文,确定客户端发生暴力破解密码的行为;报警单元503,被配置成响应于确定客户端发生暴力破解密码的行为,基于流特征,生成报警信息,并发送报警信息。
在本实施例中,行为识别单元502还被配置成:基于流特征,确定报文对应的信息交互的进程;以及根据报文对应的信息交互的进程确定客户端的登录行为。
在本实施例中,行为识别单元502被进一步配置成通过如下方式确定客户端的登录行为:响应于根据报文对应的信息交互的进程确定在客户端发出登录请求之后信息交互的认证进程已开启,且未在认证进程已开启之后的第二预设时间段内检测到具有相同流方向的两条相邻报文,确定客户端发生暴力破解密码的行为。
在本实施例中,流特征还包括:字节数和加密状态;以及,行为识别单元502被配置成通过如下方式确定报文对应的信息交互的进程:响应于检测到字节数相同且流方向相反的相邻两条加密报文,确定信息交互的认证进程开启。
在本实施例中,行为识别单元502,还被进一步配置成:响应于在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由客户端发向服务端,或者在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由服务端发向客户端,确定信息交互的认证进程已完成;以及根据报文对应的信息交互的进程确定客户端的登录行为,包括:响应于确定信息交互的认证进程已完成,确定客户端的登录行为合法。
下面参考图6,其示出了适于用来实现本公开的实施例的电子设备(例如图1中的电子设备107)600的结构示意图。本公开的实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图6示出的电子设备仅仅是一个示例,不应对本公开的实施例的功能和使用范围带来任何限制。
如图6所示,电子设备600可以包括处理装置(例如中央处理器、图形处理器等)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储装置608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有电子设备600操作所需的各种程序和数据。处理装置601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
通常,以下装置可以连接至I/O接口605:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置606;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置607;包括例如磁带、硬盘等的存储装置608;以及通信装置609。通信装置609可以允许电子设备600与其他设备进行无线或有线通信以交换数据。虽然图6示出了具有各种装置的电子设备600,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。图6中示出的每个方框可以代表一个装置,也可以根据需要代表多个装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置609从网络上被下载和安装,或者从存储装置608被安装,或者从ROM 602被安装。在该计算机程序被处理装置601执行时,执行本公开的实施例的方法中限定的上述功能。需要说明的是,本公开的实施例所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开的实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开的实施例中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:响应于检测到客户端发出的登录请求,获取客户端与服务端信息传输的报文的流特征,流特征包括报文的流方向;响应于未在客户端发出登录请求之后的第一预设时间段内检测到具有相同流方向的两条相邻报文,确定客户端发生暴力破解密码的行为;响应于确定客户端发生暴力破解密码的行为,基于流特征,生成报警信息,并发送报警信息
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的实施例的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开的实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括特征获取单元、进程确定单元、行为识别单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,特征获取单元还可以被描述为“获取客户端与服务端信息传输的报文的流特征的单元”。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开的实施例中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开的实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (12)
1.一种用于识别暴力破解密码行为的方法,包括:
响应于检测到客户端发出的登录请求,获取客户端与服务端信息传输的报文的流特征,所述流特征包括报文的流方向;
响应于未在客户端发出登录请求之后的第一预设时间段内检测到具有相同流方向的两条相邻报文,确定所述客户端发生暴力破解密码的行为,所述第一预设时间段是从所述客户端发起登录请求开始计算,涵盖了信息交互中的建立TCP连接进程、SSH版本信息校验进程、密钥协商进程以及认证进程;
响应于确定所述客户端发生暴力破解密码的行为,基于所述流特征,生成报警信息,并发送所述报警信息。
2.根据权利要求1所述的方法,其中,所述方法还包括:
基于所述流特征,确定所述报文对应的信息交互的进程;以及根据所述报文对应的信息交互的进程确定所述客户端的登录行为。
3.根据权利要求2所述的方法,其中,所述根据所述报文对应的信息交互的进程确定所述客户端的登录行为,包括:
响应于根据所述报文对应的信息交互的进程确定在客户端发出登录请求之后所述信息交互的认证进程已开启,且未在认证进程已开启之后的第二预设时间段内检测到具有相同流方向的两条相邻报文,确定所述客户端发生暴力破解密码的行为。
4.根据权利要求3所述的方法,其中,所述流特征还包括:字节数和加密状态;以及,所述基于所述流特征,确定所述报文对应的信息交互的进程,包括:
响应于检测到字节数相同且流方向相反的相邻两条加密报文,确定所述信息交互的认证进程开启。
5.根据权利要求2所述的方法,所述基于所述流特征,确定所述报文对应的信息交互的进程,包括:
响应于在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由客户端发向服务端,或者在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由服务端发向客户端,确定所述信息交互的认证进程已完成;以及
所述根据所述报文对应的信息交互的进程确定所述客户端的登录行为,包括:
响应于确定所述信息交互的认证进程已完成,确定所述客户端的登录行为合法。
6.一种用于识别暴力破解密码行为的装置,包括:
特征获取单元,被配置成响应于检测到客户端发出的登录请求,获取客户端与服务端信息传输的报文的流特征,所述流特征包括报文的流方向;
行为识别单元,被配置成响应于未在客户端发出登录请求之后的第一预设时间段内检测到具有相同流方向的两条相邻报文,确定所述客户端发生暴力破解密码的行为,所述第一预设时间段是从所述客户端发起登录请求开始计算,涵盖了信息交互中的建立TCP连接进程、SSH版本信息校验进程、密钥协商进程以及认证进程;
报警单元,被配置成响应于确定所述客户端发生暴力破解密码的行为,基于所述流特征,生成报警信息,并发送所述报警信息。
7.根据权利要求6所述的装置,其中,所述行为识别单元还被配置成:
基于所述流特征,确定所述报文对应的信息交互的进程;以及根据所述报文对应的信息交互的进程确定所述客户端的登录行为。
8.根据权利要求7所述的装置,其中,所述行为识别单元被进一步配置成通过如下方式确定所述客户端的登录行为:
响应于根据所述报文对应的信息交互的进程确定在客户端发出登录请求之后所述信息交互的认证进程已开启,且未在认证进程已开启之后的第二预设时间段内检测到具有相同流方向的两条相邻报文,确定所述客户端发生暴力破解密码的行为。
9.根据权利要求8所述的装置,其中,所述流特征还包括:字节数和加密状态;以及,所述行为识别单元被配置成通过如下方式确定所述报文对应的信息交互的进程:
响应于检测到字节数相同且流方向相反的相邻两条加密报文,确定所述信息交互的认证进程开启。
10.根据权利要求7所述的装置,其中,所述行为识别单元,还被进一步配置成:
响应于在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由客户端发向服务端,或者在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由服务端发向客户端,确定所述信息交互的认证进程已完成;以及
所述根据所述报文对应的信息交互的进程确定所述客户端的登录行为,包括:
响应于确定所述信息交互的认证进程已完成,确定所述客户端的登录行为合法。
11.一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5中任一所述的方法。
12.一种计算机可读介质,其上存储有计算机程序,其中,所述程序被处理器执行时实现如权利要求1-5中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010324866.3A CN111355750B (zh) | 2020-04-23 | 2020-04-23 | 用于识别暴力破解密码行为的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010324866.3A CN111355750B (zh) | 2020-04-23 | 2020-04-23 | 用于识别暴力破解密码行为的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111355750A CN111355750A (zh) | 2020-06-30 |
| CN111355750B true CN111355750B (zh) | 2022-11-08 |
Family
ID=71194969
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010324866.3A Active CN111355750B (zh) | 2020-04-23 | 2020-04-23 | 用于识别暴力破解密码行为的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111355750B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104009986A (zh) * | 2014-05-22 | 2014-08-27 | 中国电子科技集团公司第三十研究所 | 一种基于主机的网络攻击跳板检测方法及装置 |
| CN109155784A (zh) * | 2016-05-24 | 2019-01-04 | 微软技术许可有限责任公司 | 区分纵向暴力攻击与良性错误 |
| CN110830470A (zh) * | 2019-11-06 | 2020-02-21 | 浙江军盾信息科技有限公司 | 一种失陷主机检测方法、装置、设备及可读存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006003675A2 (en) * | 2004-07-12 | 2006-01-12 | Syed Ibrahim Abdul Hameed Khan | System, method of generation and use of bilaterally generated variable instant passwords |
| US9558339B2 (en) * | 2010-11-29 | 2017-01-31 | Biocatch Ltd. | Method, device, and system of protecting a log-in process of a computerized service |
| US10158628B2 (en) * | 2016-06-08 | 2018-12-18 | Bank Of America Corporation | Preventing unauthorized access to secured information systems based on contextual login information |
| CN109936545B (zh) * | 2017-12-18 | 2020-07-24 | 华为技术有限公司 | 暴力破解攻击的检测方法和相关装置 |
| CN110417717B (zh) * | 2018-12-06 | 2021-12-14 | 腾讯科技(深圳)有限公司 | 登录行为的识别方法及装置 |
| CN110808994B (zh) * | 2019-11-11 | 2022-01-25 | 杭州安恒信息技术股份有限公司 | 暴力破解操作的检测方法、装置及服务器 |
| CN110995769B (zh) * | 2020-02-27 | 2020-06-05 | 上海飞旗网络技术股份有限公司 | 深度数据包检测方法及装置 |
-
2020
- 2020-04-23 CN CN202010324866.3A patent/CN111355750B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104009986A (zh) * | 2014-05-22 | 2014-08-27 | 中国电子科技集团公司第三十研究所 | 一种基于主机的网络攻击跳板检测方法及装置 |
| CN109155784A (zh) * | 2016-05-24 | 2019-01-04 | 微软技术许可有限责任公司 | 区分纵向暴力攻击与良性错误 |
| CN110830470A (zh) * | 2019-11-06 | 2020-02-21 | 浙江军盾信息科技有限公司 | 一种失陷主机检测方法、装置、设备及可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于流量特征的登录账号密码暴力破解攻击检测方法;魏琴芳等;《西南大学学报(自然科学版)》;20170720(第07期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111355750A (zh) | 2020-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10554420B2 (en) | Wireless connections to a wireless access point | |
| US11663578B2 (en) | Login using QR code | |
| US9413758B2 (en) | Communication session transfer between devices | |
| CN111258602B (zh) | 信息更新方法和装置 | |
| CN110278179B (zh) | 单点登录方法、装置和系统以及电子设备 | |
| CN111199037B (zh) | 登录方法、系统和装置 | |
| US10404475B2 (en) | Method and system for establishing a secure communication tunnel | |
| CN108923925B (zh) | 应用于区块链的数据存储方法和装置 | |
| CN116633582A (zh) | 安全通信方法、装置、电子设备及存储介质 | |
| CN115021932A (zh) | 用于tlcp协议的握手过程的身份验证方法 | |
| CN111249740A (zh) | 一种资源数据的访问方法及系统 | |
| CN114125027A (zh) | 一种通信建立方法、装置、电子设备及存储介质 | |
| CN111726328A (zh) | 用于对第一设备进行远程访问的方法、系统以及相关设备 | |
| CN111130805B (zh) | 安全传输方法、电子设备及计算机可读存储介质 | |
| CN111355750B (zh) | 用于识别暴力破解密码行为的方法和装置 | |
| CN114499893B (zh) | 基于区块链的投标文件加密存证方法和系统 | |
| CN113037760B (zh) | 报文发送方法和装置 | |
| US10367848B2 (en) | Transmitting relay device identification information in response to broadcast request if device making request is authorized | |
| CN111614660B (zh) | 安全验证缺陷检测的方法、装置以及电子设备 | |
| CN113992734A (zh) | 会话连接方法及装置、设备 | |
| CN112769565A (zh) | 密码加密算法的升级方法、装置、计算设备和介质 | |
| CN115189945B (zh) | 交易请求验证方法及装置、电子设备和可读存储介质 | |
| CN114239010B (zh) | 一种多节点分布式认证方法、系统、电子设备及介质 | |
| CN114245161B (zh) | 一种直播推流方法、装置、存储介质及电子设备 | |
| CN116389142A (zh) | 安全验证方法、装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room 221, 2nd floor, Block C, 18 Kechuang 11th Street, Daxing Economic and Technological Development Zone, Beijing, 100176 Applicant after: Jingdong Technology Holding Co.,Ltd. Address before: Room 221, 2nd floor, Block C, 18 Kechuang 11th Street, Daxing Economic and Technological Development Zone, Beijing, 100176 Applicant before: Jingdong Digital Technology Holding Co.,Ltd. Address after: Room 221, 2nd floor, Block C, 18 Kechuang 11th Street, Daxing Economic and Technological Development Zone, Beijing, 100176 Applicant after: Jingdong Digital Technology Holding Co.,Ltd. Address before: Room 221, 2nd floor, Block C, 18 Kechuang 11th Street, Daxing Economic and Technological Development Zone, Beijing, 100176 Applicant before: JINGDONG DIGITAL TECHNOLOGY HOLDINGS Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |