CN112231698A - 一种攻击检测方法、装置及存储介质 - Google Patents
一种攻击检测方法、装置及存储介质 Download PDFInfo
- Publication number
- CN112231698A CN112231698A CN202011045799.8A CN202011045799A CN112231698A CN 112231698 A CN112231698 A CN 112231698A CN 202011045799 A CN202011045799 A CN 202011045799A CN 112231698 A CN112231698 A CN 112231698A
- Authority
- CN
- China
- Prior art keywords
- log
- type
- detection
- logs
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
Abstract
本公开提供了一种攻击检测方法、装置及存储介质。用于解决暴力破解成功事件检测遗漏的技术问题。本公开在进行暴力破解成功事件检测任务时,当发现检测时间窗内存在登录失败次数超过预设登录失败阈值的第一类登录日志时,对检测到的第一类登录日志进行缓存并添加有效时间戳并在每次任务中刷新日志的有效时间戳,在发现登录成功次数超过预设登录成功阈值的第二类登录日志时,判断缓存中的第一类登录日志和第二类登录日志是否满足暴力破解成功事件检测条件。通过本公开可有效避免采用固定检测时间窗口进行暴力破解成功事件检测是出现漏检的技术问题。
Description
技术领域
本公开涉及云计算及安全技术领域,尤其涉及一种攻击检测方法、装置及存储介质。
背景技术
在云场景中,暴露在公网环境中的云服务器,每天都面临着大量的攻击,其中,针对云服务器上部署的应用服务的登录账号和密码进行暴力破解攻击最为常见。暴力破解攻击的特点是攻击者针对这些应用服务的账号和密码进行穷举式扫描,如果用户配置的密码强度不够,则很容易被攻击者的密码字典命中。如果应用服务密码被攻破,攻击者就可以非法访问应用服务,这将导致用户数据泄露,甚至应用服务器被攻击者控制。因此检测暴力破解成功事件对云服务器安全而言非常必要。
云场景组网中通常会部署防火墙,防火墙能够记录外网用户对云服务器设备的登录登出日志记录,通过收集防火墙登录登出操作日志,可以进行暴力破解成功事件相关的检测。现有通过检测操作日志进行暴力破解成功事件匹配实现中,任务会定时获取固定时间长度的设备登录日志,对固定时间长度内的数据进行分析,这种分析方法在跨固定时间点临界时,会出现暴力破解成功事件检测遗漏的问题。
发明内容
有鉴于此,本公开提供一种攻击检测方法、装置及存储介质,用于解决暴力破解成功事件检测遗漏的技术问题。
基于本公开一实施例,本公开提供了一种攻击检测方法,所述方法包括:
获取检测任务启动时刻之前检测时间窗口范围内的登录日志;
对登录日志进行检测,判断是否存在满足登录失败次数超过预设登录失败阈值的第一类日志和登录成功次数超过预设登录成功阈值的第二类日志;
当存在第一类日志且公共缓存中不包括相同的第一类日志时,将所述第一类登录日志存入公共缓存,并为第一类登录日志中的每一条日志打上有效时间戳;并刷新公共缓存中已存在的第一类登录日志的有效时间戳;
当存在第二类日志时,从公共缓存中读取第一类日志,判断所述第一类日志和第二类日志是否满足暴力破解成功事件的条件,若满足暴力破解成功事件的条件,则输出检测到攻击的检测结果。
进一步地,判断所述第一类日志和第二类日志是否满足暴力破解成功事件的条件的方法为:
针对同一应用服务或服务器的同一账号的第一类日志和第二类日志,判断第二类日志生成时刻是否大于第一类日志中的最后一条日志的登录失败时刻,若大于则判定为暴力破解成功事件。
进一步地,所述的有效时间戳的初始值为检测时间窗口与日志生成时刻与日志生成时刻所在检测周期截止时刻之间的差值之和。
进一步地,所述刷新公共缓存中已存在的第一类登录日志的有效时间戳的方法为:
在当前有效时间戳的基础上减去检测周期,若计算的结果为正值则以计算结果替换所述当前有效时间戳,如果计算的结果为负值则从公共缓存中删除对应的第一类登录日志记录。
进一步地,所述方法还包括:当检测到第二类登录日志时,将第二类登录日志存入公共缓存,并为第二类登录日志中的每一条日志打上有效时间戳;并刷新公共缓存中已存在的第二类登录日志的有效时间戳。
基于本公开另一实施例,本公开还提供了一种攻击检测装置,该装置包括:
获取模块,用于获取检测任务启动时刻之前检测时间窗口范围内的登录日志;
日志检测模块,用于对登录日志进行检测,判断是否存在满足登录失败次数超过预设登录失败阈值的第一类日志和登录成功次数超过预设登录成功阈值的第二类日志;
缓存模块,用于在检测到存在第一类日志且公共缓存中不包括相同的第一类日志时,将所述第一类登录日志存入公共缓存,并为第一类登录日志中的每一条日志打上有效时间戳;并刷新公共缓存中已存在的第一类登录日志的有效时间戳;
攻击检测模块,用于在检测到存在第二类日志时,从公共缓存中读取第一类日志,判断所述第一类日志和第二类日志是否满足暴力破解成功事件的条件,若满足暴力破解成功事件的条件,则输出检测到攻击的检测结果。
进一步地,所述攻击检测模块针对同一应用服务或服务器的同一账号的第一类日志和第二类日志,判断第二类日志生成时刻是否大于第一类日志中的最后一条日志的登录失败时刻,若大于则判定为暴力破解成功事件。
进一步地,所述的有效时间戳的初始值为检测时间窗口与日志生成时刻与日志生成时刻所在检测周期截止时刻之间的差值之和;所述缓存模块在当前有效时间戳的基础上减去检测周期,若计算的结果为正值则以计算结果替换所述当前有效时间戳,如果计算的结果为负值则从公共缓存中删除对应的第一类登录日志记录。
进一步地,所述缓存模块还用于当检测到第二类登录日志时,将第二类登录日志存入公共缓存,并为第二类登录日志中的每一条日志打上有效时间戳;并刷新公共缓存中已存在的第二类登录日志的有效时间戳。
本公开在进行暴力破解成功事件检测任务时,当发现检测时间窗内存在登录失败次数超过预设登录失败阈值的第一类登录日志时,对检测到的第一类登录日志进行缓存并添加有效时间戳并在每次任务中刷新日志的有效时间戳,在发现登录成功次数超过预设登录成功阈值的第二类登录日志时,判断缓存中的第一类登录日志和第二类登录日志是否满足暴力破解成功事件检测条件。通过本公开可有效避免采用固定检测时间窗口进行暴力破解成功事件检测是出现漏检的技术问题。
附图说明
为了更加清楚地说明本公开实施例或者现有技术中的技术方案,下面将对本公开实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本公开实施例的这些附图获得其他的附图。
图1示例了一种进行攻击检测的时序关系示意图;
图2为本公开一实施例提供的攻击检测方法的步骤流程图;
图3为本公开一实施例中攻击检测方法的时序逻辑示意图;
图4为本公开一实施例提供的一种攻击检测装置结构示意图;
图5为本公开一实施例提供的一种攻击检测设备结构示意图。
具体实施方式
在本公开实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本公开实施例。本公开实施例中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。本公开中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1示例了一种进行攻击检测的时序关系示意图,在该示例中,需要进行时间连续性的网络攻击检测,以及时发现对某关键设备的暴力破解成功事件。检测方法是:持续收集并检测固定时间段内从设备上送的外网用户对设备登录失败、登录成功的操作日志,如果固定时间段内,登录失败次数超过预设的登录失败阈值M次(M可由经验给出),登录成功次数超过预设的登录成功阈值N(例如1次),登录成功发生时间大于最后一条登录失败时间,则判定为暴力破解成功事件。
以图1为例,假设执行检测任务的时间周期为Δt,检测暴力破解成功事件的检测时间窗口为3△t,每经过一个检测周期Δt就会启动一个检测任务,检测任务会去获取在该检测任务启动时刻之前检测时间窗口3△t范围的针对某个应用服务或设备的登录日志,其中,登录日志会如实记录每个账号每次登录的失败日志和成功日志。例如,T3时刻启动检测任务JOB3,JOB3获取T0时刻到T3时刻之间的登录日志,对日志进行分析是否符合暴力破解成功事件条件,如果是,输出暴力破解成功事件,如果否,不输出暴力破解成功事件。
发明人对上述攻击检测方案分析后发现,在固定时间点往前滑动固定时间间隔的数据,在跨固定时间点临界时,会出现暴力破解成功事件检测遗漏的技术问题。例如,假设在T1a~T2时间范围内,出现了多条登录失败超过预设登录失败阈值的登录日志,在T4~T4a时间范围内,出现了针对同一账号的登录成功次数超过预设登录成功阈值的登录日志。在T4时刻任务JOB4只会获取T1~T4时间间隔的数据,T5时刻任务JOB5只会获取T2~T5时间间隔的数据,根据暴力破解成功事件检测原理,T4时刻和T5时刻都不会检测到暴力破解成功事件,因为在检测时间窗口3△t时间范围内没有同时检测到超过预设登录失败阈值和超过预设登录成功阈值的登录日志,在T4时刻JOB4只检测到超过预设登录失败阈值的登录日志没有检测到超过预设登录成功阈值的登录日志。T5时刻的JOB5未检测到超过预设登录失败阈值的登录日志指检测到超过预设登录成功阈值的登录日志。
基于上述分析,如图2所示,本公开提出了一种攻击检测方法,用于对暴力破解成功事件进行检测,能够在一定程度上解决暴力破解成功事件检测遗漏的技术问题。该方法实现于每一个检测任务当中,为了简化描述,该方法中的登录日志指同一应用服务或服务器上针对同一账号的连续的或非连续的多个登录日志,包括步骤:
步骤201.获取检测任务启动时刻之前检测时间窗口范围内的登录日志;
步骤202.对登录日志进行检测,判断是否存在满足登录失败次数超过预设登录失败阈值的第一类日志和登录成功次数超过预设登录成功阈值的第二类日志;
步骤203.当存在第一类日志且公共缓存中不包括相同的第一类日志时,将所述第一类登录日志存入公共缓存,并为第一类登录日志中的每一条日志打上有效时间戳;并刷新公共缓存中已存在的第一类登录日志的有效时间戳;
本公开一实施例中,所述的有效时间戳的初始值为检测时间窗口与日志生成时刻与日志生成时刻所在检测周期截止时刻之间的差值之和。例如以图1为例,当检测时间窗口为3△t,日志生成时刻位于检测周期T1~T2之间的T1a时刻时,则T1a时刻生成的第一类登录日志的有效时间戳的初始值为3△t+(T2-T1a)。
由于每个检测任务都是以检测周期为间隔启动执行,因此所述刷新公共缓存中已存在的第一类登录日志的有效时间戳的方法即在当前有效时间戳的基础上减去检测周期,若计算的结果为正值则以计算结果替换日志的有效时间戳,如果计算的结果为负值则说明该第一类登录日志已经过期,因此直接删除公共缓存中过期的第一类登录日志记录。
本公开一实施例中,判断第一类日志和第二类日志是否满足暴力破解成功事件的条件的方法为:针对同一应用服务或服务器的同一账号的第一类日志和第二类日志,判断第二类日志生成时刻是否大于第一类日志中的最后一条日志的登录失败时刻,若大于则判定为暴力破解成功事件。
该步骤中的公共缓存是检测任务共享的缓存空间,即每个检测任务都可以读写公共缓存中的日志记录数据,该公开缓存可以位于内存,也可以是本地或远端的文件或数据库等,本公开不做限制。
步骤204.当存在第二类日志时,从公共缓存中读取第一类日志,判断所述第一类日志和第二类日志是否满足暴力破解成功事件的条件,若满足暴力破解成功事件的条件,则输出检测到攻击的检测结果。
步骤205.当满足时间连续性暴力破解成功事件的条件时,输出检测结果。
图3为本公开一实施例中攻击检测方法的时序逻辑示意图,以下结合附图对本公开的攻击检测方法的实现原理进行描述。
T2时刻JOB2任务会将搜集到的登录日志进行分析判断是否符合暴力破解成功事件条件。JOB2从获取的检测时间窗内(T-1~T2)的登录日志数据中第一次发现存在第一类日志数据即登录失败次数大于预设的登录失败阈值的登录日志,JOB2将发现的第一类日志数据放入公共缓存中,并为第一类日志增加用于控制日志有效时间的有效时间戳TTL,第一类日志可能会有连续的多条记录,假设T1a时刻生成的第一类日志记录的有效时间戳为3△t+△a,△a为T1a时刻生成第一类日志记录与该日志所在检测周期T1~T2的检测周期截止时刻T2之间的差值即T2-T1a的值。由于T2时刻没有查找到第二类日志,因此最终判定没有符合暴力破解成功事件条件的日志记录,不必输出检测到暴力破解成功事件的检测结果。
T3时刻JOB3任务会将搜集到的登录日志进行分析判断是否符合暴力破解成功事件条件。JOB3从获取的检测时间窗内(T0~T3)的登录日志数据中再次次发现T1a~T2之间的第一类日志,由于该第一类日志记录已经存在于公共缓存当中,因此JOB3更新该T1a时刻生成的第一类日志记录的有效时间戳TTL为2△t+△a(此时TTL时间已经衰减了△t即一个检测周期)。T3时刻也没有查找到第二类日志,因此最终判定没有符合暴力破解成功事件条件的日志记录,不必输出检测到暴力破解成功事件的检测结果。
由于T4时刻JOB4任务运行时的情况与T3时刻JOB3任务的情况类似,T4时刻也不必输出检测到暴力破解成功事件的检测结果,只不过JOB4任务更新该T1a时刻生成的第一类日志记录的有效时间戳TTL为△t+△a。
T5时刻JOB5任务会将搜集到的登录日志进行分析判断是否符合暴力破解成功事件条件,同样T5时刻也会更新所发现的第一类日志的有效时间戳,T1a时刻生成的第一类日志记录的有效时间戳被更新为△a(此时TTL时间已经衰减了3△t)。在该实施例中,将第二类日志也存入公共缓存并添加有效时间戳,例如T4a时刻生成的日志的有效时间戳TTL为3△t+△c。T5时刻查找缓存数据,此时缓存中存在T1a符合条件的登录失败日志,T4a符合登录成功日志,且T4a的记录时间大于T1a的记录时间,符合暴力破解检测成功事件的数据,输出暴力破解成功事件检测结果。
T6时刻JOB6任务会将搜集到的登录日志进行分析判断是否符合暴力破解成功事件条件。T4a时刻生成的日志的有效时间戳TTL为2△t+△c,T1a已失效被清空(此时△a-△t<0),T6时刻查找缓存数据,此时没有符合暴力破解成功事件检测的数据,不输出暴力破解成功事件检测结果。
图4为本公开一实施例提供的一种攻击检测装置结构示意图,该装置400中的各功能模块可以采用软件模块形式实现,也可以采用硬件单元方式实现。该装置400包括:获取模块401、日志检测模块402、缓存模块403和攻击检测模块404。
获取模块401用于获取检测任务启动时刻之前检测时间窗口范围内的登录日志。日志检测模块402用于对登录日志进行检测,判断是否存在满足登录失败次数超过预设登录失败阈值的第一类日志和登录成功次数超过预设登录成功阈值的第二类日志。
缓存模块403用于在检测到存在第一类日志且公共缓存中不包括相同的第一类日志时,将所述第一类登录日志存入公共缓存,并为第一类登录日志中的每一条日志打上有效时间戳;并刷新公共缓存中已存在的第一类登录日志的有效时间戳。其中,有效时间戳的初始值为检测时间窗口与日志生成时刻与日志生成时刻所在检测周期截止时刻之间的差值之和。
攻击检测模块404用于在检测到存在第二类日志时,从公共缓存中读取第一类日志,判断所述第一类日志和第二类日志是否满足暴力破解成功事件的条件,若满足暴力破解成功事件的条件,则输出检测到攻击的检测结果。
攻击检测模块404针对同一应用服务或服务器的同一账号的第一类日志和第二类日志,判断第二类日志生成时刻是否大于第一类日志中的最后一条日志的登录失败时刻,若大于则判定为暴力破解成功事件。
缓存模块403刷新有效时间戳的方法为:在当前有效时间戳的基础上减去检测周期,若计算的结果为正值则以计算结果替换所述当前有效时间戳,如果计算的结果为负值则从公共缓存中删除对应的第一类登录日志记录。
缓存模块403还用于当检测到第二类登录日志时,将第二类登录日志存入公共缓存,并为第二类登录日志中的每一条日志打上有效时间戳;并刷新公共缓存中已存在的第二类登录日志的有效时间戳。
图5为本公开一实施例提供的一种攻击检测设备结构示意图,该设备500包括:诸如中央处理单元(CPU)的处理器510、内部总线520、网络接口540以及计算机可读存储介质530。其中,处理器510与计算机可读存储介质530可以通过内部总线520相互通信。计算机可读存储介质530内可存储本公开提供的用于实施本公开的攻击检测方法的计算机程序,当计算机程序被处理器510执行时即可实现本公开提供的攻击检测方法的各步骤功能。
以上所述仅为本公开的实施例而已,并不用于限制本公开。对于本领域技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (10)
1.一种攻击检测方法,其特征在于,所述方法包括:
获取检测任务启动时刻之前检测时间窗口范围内的登录日志;
对登录日志进行检测,判断是否存在满足登录失败次数超过预设登录失败阈值的第一类日志和登录成功次数超过预设登录成功阈值的第二类日志;
当存在第一类日志且公共缓存中不包括相同的第一类日志时,将所述第一类登录日志存入公共缓存,并为第一类登录日志中的每一条日志打上有效时间戳;并刷新公共缓存中已存在的第一类登录日志的有效时间戳;
当存在第二类日志时,从公共缓存中读取第一类日志,判断所述第一类日志和第二类日志是否满足暴力破解成功事件的条件,若满足暴力破解成功事件的条件,则输出检测到攻击的检测结果。
2.根据权利要求1所述的方法,其特征在于,判断所述第一类日志和第二类日志是否满足暴力破解成功事件的条件的方法为:
针对同一应用服务或服务器的同一账号的第一类日志和第二类日志,判断第二类日志生成时刻是否大于第一类日志中的最后一条日志的登录失败时刻,若大于则判定为暴力破解成功事件。
3.根据权利要求1所述的方法,其特征在于,
所述的有效时间戳的初始值为检测时间窗口与日志生成时刻与日志生成时刻所在检测周期截止时刻之间的差值之和。
4.根据权利要求3所述的方法,其特征在于,所述刷新公共缓存中已存在的第一类登录日志的有效时间戳的方法为:
在当前有效时间戳的基础上减去检测周期,若计算的结果为正值则以计算结果替换所述当前有效时间戳,如果计算的结果为负值则从公共缓存中删除对应的第一类登录日志记录。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当检测到第二类登录日志时,将第二类登录日志存入公共缓存,并为第二类登录日志中的每一条日志打上有效时间戳;并刷新公共缓存中已存在的第二类登录日志的有效时间戳。
6.一种攻击检测装置,其特征在于,该装置包括:
获取模块,用于获取检测任务启动时刻之前检测时间窗口范围内的登录日志;
日志检测模块,用于对登录日志进行检测,判断是否存在满足登录失败次数超过预设登录失败阈值的第一类日志和登录成功次数超过预设登录成功阈值的第二类日志;
缓存模块,用于在检测到存在第一类日志且公共缓存中不包括相同的第一类日志时,将所述第一类登录日志存入公共缓存,并为第一类登录日志中的每一条日志打上有效时间戳;并刷新公共缓存中已存在的第一类登录日志的有效时间戳;
攻击检测模块,用于在检测到存在第二类日志时,从公共缓存中读取第一类日志,判断所述第一类日志和第二类日志是否满足暴力破解成功事件的条件,若满足暴力破解成功事件的条件,则输出检测到攻击的检测结果。
7.根据权利要求6所述的装置,其特征在于,
所述攻击检测模块针对同一应用服务或服务器的同一账号的第一类日志和第二类日志,判断第二类日志生成时刻是否大于第一类日志中的最后一条日志的登录失败时刻,若大于则判定为暴力破解成功事件。
8.根据权利要求6所述的装置,其特征在于,
所述的有效时间戳的初始值为检测时间窗口与日志生成时刻与日志生成时刻所在检测周期截止时刻之间的差值之和;
所述缓存模块在当前有效时间戳的基础上减去检测周期,若计算的结果为正值则以计算结果替换所述当前有效时间戳,如果计算的结果为负值则从公共缓存中删除对应的第一类登录日志记录。
9.根据权利要求6所述的装置,其特征在于,
所述缓存模块还用于当检测到第二类登录日志时,将第二类登录日志存入公共缓存,并为第二类登录日志中的每一条日志打上有效时间戳;并刷新公共缓存中已存在的第二类登录日志的有效时间戳。
10.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序当被处理器执行时实现如权利要求1至5中任一项的方法步骤功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011045799.8A CN112231698B (zh) | 2020-09-29 | 2020-09-29 | 一种攻击检测方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011045799.8A CN112231698B (zh) | 2020-09-29 | 2020-09-29 | 一种攻击检测方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112231698A true CN112231698A (zh) | 2021-01-15 |
| CN112231698B CN112231698B (zh) | 2023-03-31 |
Family
ID=74121135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011045799.8A Active CN112231698B (zh) | 2020-09-29 | 2020-09-29 | 一种攻击检测方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112231698B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113420286A (zh) * | 2021-08-23 | 2021-09-21 | 北京奇虎科技有限公司 | 基于认证日志数据的预警方法、装置、设备及存储介质 |
| CN114374566A (zh) * | 2022-02-10 | 2022-04-19 | 中国银联股份有限公司 | 一种攻击检测方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140059641A1 (en) * | 2012-08-22 | 2014-02-27 | International Business Machines Corporation | Automated feedback for proposed security rules |
| WO2016191231A1 (en) * | 2015-05-28 | 2016-12-01 | Microsoft Technology Licensing, Llc | Detecting anomalous accounts using event logs |
| CN107782994A (zh) * | 2017-10-20 | 2018-03-09 | 广州供电局有限公司 | 电能质量暂态事件监测方法及装置 |
| CN108494735A (zh) * | 2018-02-13 | 2018-09-04 | 北京明朝万达科技股份有限公司 | 一种非法破解登录分析告警方法及装置 |
| CN108566363A (zh) * | 2018-01-09 | 2018-09-21 | 网宿科技股份有限公司 | 基于流式计算的暴力破解确定方法和系统 |
| CN111414402A (zh) * | 2020-03-19 | 2020-07-14 | 北京神州绿盟信息安全科技股份有限公司 | 一种日志威胁分析规则生成方法及装置 |
-
2020
- 2020-09-29 CN CN202011045799.8A patent/CN112231698B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140059641A1 (en) * | 2012-08-22 | 2014-02-27 | International Business Machines Corporation | Automated feedback for proposed security rules |
| WO2016191231A1 (en) * | 2015-05-28 | 2016-12-01 | Microsoft Technology Licensing, Llc | Detecting anomalous accounts using event logs |
| CN107782994A (zh) * | 2017-10-20 | 2018-03-09 | 广州供电局有限公司 | 电能质量暂态事件监测方法及装置 |
| CN108566363A (zh) * | 2018-01-09 | 2018-09-21 | 网宿科技股份有限公司 | 基于流式计算的暴力破解确定方法和系统 |
| CN108494735A (zh) * | 2018-02-13 | 2018-09-04 | 北京明朝万达科技股份有限公司 | 一种非法破解登录分析告警方法及装置 |
| CN111414402A (zh) * | 2020-03-19 | 2020-07-14 | 北京神州绿盟信息安全科技股份有限公司 | 一种日志威胁分析规则生成方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| 佚名: "暴力猜解简述", 《HTTPS://MBD.BAIDU.COM/MA/S/9R1ZASIG》 * |
| 徐静雅: "大学生社交网络挖掘中的同质性消除方法研究", 《中国优秀硕士学位论文全文数据库 (基础科学辑)》 * |
| 陈光石等: "关于防御暴力破解自动封堵策略部署的探讨", 《电信科学》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113420286A (zh) * | 2021-08-23 | 2021-09-21 | 北京奇虎科技有限公司 | 基于认证日志数据的预警方法、装置、设备及存储介质 |
| CN113420286B (zh) * | 2021-08-23 | 2021-12-24 | 北京奇虎科技有限公司 | 基于认证日志数据的预警方法、装置、设备及存储介质 |
| CN114374566A (zh) * | 2022-02-10 | 2022-04-19 | 中国银联股份有限公司 | 一种攻击检测方法及装置 |
| CN114374566B (zh) * | 2022-02-10 | 2023-08-08 | 中国银联股份有限公司 | 一种攻击检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112231698B (zh) | 2023-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10867034B2 (en) | Method for detecting a cyber attack | |
| JP4364901B2 (ja) | アタックデータベース構造 | |
| KR102238612B1 (ko) | DoS/DDoS 공격의 탐지 방법, 장치, 서버 및 저장 매체 | |
| US20190215330A1 (en) | Detecting attacks on web applications using server logs | |
| CN103918222A (zh) | 用于检测拒绝服务攻击的系统和方法 | |
| EP3068095A2 (en) | Monitoring apparatus and method | |
| CN105100032B (zh) | 一种防止资源盗取的方法及装置 | |
| US20110314558A1 (en) | Method and apparatus for context-aware authentication | |
| CN112231698B (zh) | 一种攻击检测方法、装置及存储介质 | |
| EP3085023B1 (en) | Communications security | |
| CN109274679B (zh) | 一种访问请求记录方法、装置、设备及可读存储介质 | |
| CN104871171B (zh) | 分布式模式发现 | |
| JP4823813B2 (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
| EP3913888A1 (en) | Detection method for malicious domain name in domain name system and detection device | |
| CN110618977B (zh) | 登录异常检测方法、装置、存储介质和计算机设备 | |
| CN112272175A (zh) | 一种基于dns的木马病毒检测方法 | |
| CN114301659B (zh) | 网络攻击预警方法、系统、设备及存储介质 | |
| CN113901441A (zh) | 一种用户异常请求检测方法、装置、设备及存储介质 | |
| CN108712365B (zh) | 一种基于流量日志的DDoS攻击事件检测方法及系统 | |
| CN114363048B (zh) | 一种拟态未知威胁发现系统 | |
| CN114928452B (zh) | 访问请求验证方法、装置、存储介质及服务器 | |
| CN113923039B (zh) | 攻击设备识别方法、装置、电子设备及可读存储介质 | |
| CN112367340B (zh) | 一种内网资产风险评估方法、装置、设备及介质 | |
| CN106878247B (zh) | 一种攻击识别方法和装置 | |
| CN108351940B (zh) | 用于信息安全事件的高频启发式数据获取与分析的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |