CN112583789B - 被非法登录的登录接口确定方法、装置及设备 - Google Patents
被非法登录的登录接口确定方法、装置及设备 Download PDFInfo
- Publication number
- CN112583789B CN112583789B CN202011218041.XA CN202011218041A CN112583789B CN 112583789 B CN112583789 B CN 112583789B CN 202011218041 A CN202011218041 A CN 202011218041A CN 112583789 B CN112583789 B CN 112583789B
- Authority
- CN
- China
- Prior art keywords
- login
- request information
- candidate
- preset
- login interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请提出了一种被非法登录的登录接口确定方法、装置及设备,其中,方法包括:获取当前周期内的多个登录请求信息,其中,每个登录请求信息中包括登录接口标识和登录请求口令;在多个登录请求信息中,确定登录请求口令满足预设口令条件的至少一个候选登录请求信息;获取至少一个候选登录请求信息对应的至少一个候选登录接口标识中,每个候选登录接口标识对应的所有候选登录请求信息;根据所有候选登录请求信息,在至少一个候选登录接口标识中确定满足预设非法登录条件的目标登录接口标识,以确定目标登录接口标识对应的目标登录接口被非法登录。根据本申请能够提高检测准确率,同时保证检测通用性。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种被非法登录的登录接口确定方法、装置及设备。
背景技术
弱口令问题是常见的网络安全问题之一,攻击者利用暴力破解的手段爆破应用系统的弱口令账户,例如对于应用系统的登录接口,攻击者使用提前构造的密码字典进行密码爆破,从而登录系统窃取用户数据或实施其他攻击行为。攻击者通过弱口令实施爆破的难度较低,而成功后的收益高,因此针对应用系统登录接口的爆破检测非常重要。
目前检测登录接口账号密码暴力破解行为的方式通常有以下两种:方案一,通过检测登录接口调用次数的方式检测暴力破解行为,然而该方案误报率较高。方案二,对每个应用系统配置解析策略,抽取相关数据分析,以检测暴力破解行为,该方案需要对不同应用系统单独配置解析策略。因此需要一种保障检测的准确率,同时具备通用性的检测方案。
发明内容
本申请旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本申请提出一种被非法登录的登录接口确定方法,能够提高检测准确率,同时保证检测通用性。
本申请第一方面实施例提出了一种被非法登录的登录接口确定方法,包括:
获取当前周期内的多个登录请求信息,其中,每个所述登录请求信息中包括登录接口标识和登录请求口令;
在所述多个登录请求信息中,确定登录请求口令满足预设口令条件的至少一个候选登录请求信息;
获取所述至少一个候选登录请求信息对应的至少一个候选登录接口标识中,每个候选登录接口标识对应的所有候选登录请求信息;
根据所述所有候选登录请求信息,在所述至少一个候选登录接口标识中确定满足预设非法登录条件的目标登录接口标识,以确定所述目标登录接口标识对应的目标登录接口被非法登录。
可选地,所述获取当前周期内的多个登录请求信息,包括:获取所述当前周期内的多条网络请求信息;获取每条所述网络请求信息的字段属性;判断所述字段属性是否与预设的协议字段匹配;获取与所述预设的协议字段匹配成功的网络请求信息为所述登录请求信息。
可选地,所述确定登录请求口令满足预设口令条件的至少一个候选登录请求信息,包括:获取预设的口令加密规则,根据所述口令加密规则对预设弱口令加密,生成预设登录口令;判断所述登录请求口令与所述预设登录口令是否匹配;若匹配,则确定所述登录请求口令对应的登录请求信息为所述候选登录请求信息。
可选地,所述登录请求信息中,还包括请求源地址信息,所述根据所述所有候选登录请求信息,在所述至少一个候选登录接口标识中确定满足预设非法登录条件的目标登录接口标识,包括:根据所述请求源地址信息,将所述所有候选登录请求信息划分为多个请求信息组,其中,各个所述请求信息组对应的请求源地址信息不同;确定每个所述请求信息组包含的登录请求信息的第一信息数量;在所述多个请求信息组中,判断是否存在所述第一信息数量大于第一预设数量阈值的目标请求信息组;若存在所述目标请求信息组,则确定所述所有候选登录请求信息对应的候选登录接口标识为所述目标登录接口标识。
可选地,在确定存在所述目标请求信息组之后,还包括:判断所述目标请求信息组的数量是否大于第二预设数量阈值;若大于所述第二预设数量阈值,则确定所述所有候选登录请求信息对应的候选登录接口标识为所述目标登录接口标识。
可选地,所述根据所述所有候选登录请求信息,在所述至少一个候选登录接口标识中确定满足预设非法登录条件的目标登录接口标识,包括:统计所述所有候选登录请求信息的第二信息数量;若所述第二信息数量大于第三预设数量阈值,则确定所述所有候选登录请求信息对应的候选登录接口标识为所述目标登录接口标识。
本申请第二方面实施例提出了一种被非法登录的登录接口确定装置,包括:
第一获取模块,用于获取当前周期内的多个登录请求信息,其中,每个所述登录请求信息中包括登录接口标识和登录请求口令;
确定模块,用于在所述多个登录请求信息中,确定登录请求口令满足预设口令条件的至少一个候选登录请求信息;
第二获取模块,用于获取所述至少一个候选登录请求信息对应的至少一个候选登录接口标识中,每个候选登录接口标识对应的所有候选登录请求信息;
检测模块,用于根据所述所有候选登录请求信息,在所述至少一个候选登录接口标识中确定满足预设非法登录条件的目标登录接口标识,以确定所述目标登录接口标识对应的目标登录接口被非法登录。
可选地,所述第一获取模块具体用于:获取所述当前周期内的多条网络请求信息;获取每条所述网络请求信息的字段属性;判断所述字段属性是否与预设的协议字段匹配;获取与所述预设的协议字段匹配成功的网络请求信息为所述登录请求信息。
可选地,所述确定模块具体用于:获取预设的口令加密规则,根据所述口令加密规则对预设弱口令加密,生成预设登录口令;判断所述登录请求口令与所述预设登录口令是否匹配;若匹配,则确定所述登录请求口令对应的登录请求信息为所述候选登录请求信息。
可选地,所述登录请求信息中,还包括请求源地址信息,所述检测模块具体用于:根据所述请求源地址信息,将所述所有候选登录请求信息划分为多个请求信息组,其中,各个所述请求信息组对应的请求源地址信息不同;确定每个所述请求信息组包含的登录请求信息的第一信息数量;在所述多个请求信息组中,判断是否存在所述第一信息数量大于第一预设数量阈值的目标请求信息组;若存在所述目标请求信息组,则确定所述所有候选登录请求信息对应的候选登录接口标识为所述目标登录接口标识。
可选地,所述检测模块包括:判断单元,用于判断所述目标请求信息组的数量是否大于第二预设数量阈值;若大于所述第二预设数量阈值,则确定所述所有候选登录请求信息对应的候选登录接口标识为所述目标登录接口标识。
可选地,所述检测模块具体用于:统计所述所有候选登录请求信息的第二信息数量;若所述第二信息数量大于第三预设数量阈值,则确定所述所有候选登录请求信息对应的候选登录接口标识为所述目标登录接口标识。
本申请第三方面实施例提出了一种计算机设备,包括处理器和存储器;其中,所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于实现如第一方面实施例所述的被非法登录的登录接口确定方法。
本申请第四方面实施例提出了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面实施例所述的被非法登录的登录接口确定方法。
上述申请中的一个实施例具有如下优点或有益效果:由于采用了获取当前周期内的多个登录请求信息;在多个登录请求信息中,确定登录请求口令满足预设口令条件的至少一个候选登录请求信息;获取至少一个候选登录请求信息对应的至少一个候选登录接口标识中,每个候选登录接口标识对应的所有候选登录请求信息;根据所有候选登录请求信息,在至少一个候选登录接口标识中确定满足预设非法登录条件的目标登录接口标识,以确定目标登录接口标识对应的目标登录接口被非法登录,能够提高检测准确率,同时保证检测通用性。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
图1为本申请实施例所提供的一种被非法登录的登录接口确定方法的流程示意图;
图2为本申请实施例所提供的一种获取多个登录请求信息的流程示意图;
图3为本申请实施例所提供的一种确定目标登录接口标识的流程示意图;
图4为本申请实施例所提供的一种被非法登录的登录接口确定装置的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
下面参考附图描述本申请实施例的被非法登录的登录接口确定方法、装置及设备。
图1为本申请实施例所提供的一种被非法登录的登录接口确定方法的流程示意图,如图1所示,该方法包括:
步骤101,获取当前周期内的多个登录请求信息。
其中,每个登录请求信息中包括登录接口标识和登录请求口令。
本申请实施例中,登录接口标识用于指示登录接口,例如每一登录接口分别对应一登录接口标识。登录请求口令用于登录所述登录接口。当前周期可以根据需要设置,例如一小时、十分钟等。
本实施例中,可以获取当前周期内的多条网络请求信息,从多条网络请求信息中确定登录请求信息。作为一种示例,在当前周期内,实时采集获取所有网络流量,解析网络流量中的HTTP(Hyper Text Transfer Protocol,超文本传输协议)协议数据,以从网络流量中确定登录请求信息。可选地,采集网络流量的实现方式有多种,包括但不限于通过流量探针方式旁路/串行采集,通过Nginx代理的方式采集,通过Web Server日志采集等。
需要说明的是,获取的多个登录请求信息中,各登录请求信息包含的登录接口标识可以相同,也可以不同,此处不作限制。
步骤102,在多个登录请求信息中,确定登录请求口令满足预设口令条件的至少一个候选登录请求信息。
本实施例中,预先建立弱口令字典,弱口令字典中包括多个预设登录口令,对于每一登录请求信息,根据登录请求口令与字典中的预设登录口令进行匹配,若字典中存在与登录请求口令一致的预设登录口令,则确定匹配,以及确定该登录请求口令对应的登录请求信息为候选登录请求信息。
作为一种可能的实现方式,弱口令字典通过如下方式建立:获取预设的口令加密规则,根据口令加密规则对预设弱口令加密,生成预设登录口令,以根据预设登录口令生成弱口令字典。
其中,口令加密规则包括但不限于明文、MD5(Message Digest Algorithm MD5,信息摘要算法)、BASE64(一种8Bit字节代码的编码方式),也可以根据实际情况自定义其他加密规则,此处不作限制。预设弱口令可以根据弱口令研究报告、公网部署的蜜罐、历史密码泄露统计等多种数据分析方式得到。可选地,每隔预设时间通过配置的口令加密规则对预设弱口令进行处理,生成弱口令字典。
步骤103,获取至少一个候选登录请求信息对应的至少一个候选登录接口标识中,每个候选登录接口标识对应的所有候选登录请求信息。
本实施例中,对于至少一个候选登录请求信息,其对应的候选登录接口标识可以是一个或多个,例如多个候选登录请求信息可包括相同的候选登录接口标识,即多个候选登录请求信息均用于登录该标识对应的接口,再例如,多个候选登录请求信息可包括不同的候选登录接口标识。
其中,通过候选登录接口标识对至少一个候选登录请求信息进行划分,以确定每个候选登录接口标识对应的所有候选登录请求信息。
步骤104,根据所有候选登录请求信息,在至少一个候选登录接口标识中确定满足预设非法登录条件的目标登录接口标识,以确定目标登录接口标识对应的目标登录接口被非法登录。
本实施例中,对于每一候选登录接口标识,根据该标识对应的所有候选登录请求信息,确定该登录接口是否满足预设非法登录条件,若满足,则将该标识作为目标登录接口标识,以确定目标登录接口标识对应的目标登录接口被非法登录。由此,通过对每一登录接口执行上述判断,从而确定被非法登录的登录接口。
可选的,预设非法登录条件包括候选登录请求信息的数量。其中,对于一登录接口,统计所有候选登录请求信息的第一信息数量,若第一信息数量大于第一预设数量阈值,则确定所有候选登录请求信息对应的候选登录接口标识为目标登录接口标识。作为一种示例,若候选登录接口标识1对应的所有候选登录请求信息的数量大于阈值一,则确定候选登录接口标识1为目标登录接口标识。
根据本申请实施例的被非法登录的登录接口确定方法,通过在多个登录请求信息中,确定登录请求口令满足预设口令条件的候选登录请求信息,进而确定每个候选登录接口标识对应的所有候选登录请求信息,通过预设非法登录条件和候选登录请求信息确定目标登录接口标识,提供了一种同时保证检测准确率和通用性的登录接口的账号密码暴力破解行为检测方案,相对于统计登录接口调用次数判断爆破行为的方式,提高检测准确率,相对于针对每个应用配置对应的解析策略进行检测的方式,无需为各类应用单独配置解析策略。由此,提高了检测的通用性,可覆盖各类登录接口场景,并且提高了检测的准确率,降低误报率。
基于上述实施例,进一步地,在确定登录请求口令是否满足预设口令条件之前,可以根据网络请求信息的字段属性执行登录接口识别策略和白名单匹配,以确定登录请求信息。
图2为本申请实施例所提供的一种获取多个登录请求信息的流程示意图,如图2所示,在本申请的一个实施例中,获取当前周期内的多个登录请求信息,包括:
步骤201,获取当前周期内的多条网络请求信息。
作为一种示例,在当前周期内,实时采集获取所有网络流量,以获取多条网络请求信息,其中,网络请求信息包括但不限于登录请求信息。
其中,采集网络流量的实现方式有多种,包括但不限于通过流量探针方式旁路/串行采集,通过Nginx代理的方式采集,通过Web Server日志采集等。
步骤202,获取每条网络请求信息的字段属性。
本实施例中,通过解析网络请求信息,获取每条网络请求信息的字段属性,例如,解析网络流量中的HTTP协议数据,以获取字段属性。
步骤203,判断字段属性是否与预设的协议字段匹配。
在本申请的一个实施例中,预设的协议字段包括统一资源定位符(UniformResource Locator,URL)和请求内容,请求内容例如Query或Postdata。通过将每条网络请求信息的字段属性与协议字段匹配,若字段属性与协议字段的内容一致,则确定字段属性与协议字段匹配成功。
可选地,判断字段属性是否与预设的协议字段匹配包括以下一种或多种:URL或请求内容中包含login、请求内容中包含密码、请求内容中包含账号和密码。其中,密码可以是passwd或password,举例而言,若网络请求信息满足URL中包含login、Query或Postdata中包含login、Query或Postdata中包含passwd或password、Query或Postdata中同时包含name和(passwd或password)中的任一种,则确定与预设的协议字段匹配成功,网络请求信息为登录请求信息。
在本申请的一个实施例中,预设的协议字段包括源IP、目的IP、目的端口、HOST、URL、Postdata等HTTP协议字段。通过将每条网络请求信息的字段属性与协议字段匹配,若字段属性与协议字段的内容一致,则确定匹配不成功。
作为一种示例,针对一台扫描器对爆破等行为进行扫描的场景,配置如下白名单:源IP=192.168.1.1。通过将网络请求信息的源IP与配置的源IP进行匹配,若一致,则确定此网络请求信息并非登录接口爆破行为,因此将网络请求信息不作为登录请求信息。
需要说明的是,上述协议字段仅为一种示例,本申请不仅限于此。
步骤204,获取与预设的协议字段匹配成功的网络请求信息为登录请求信息。
本实施例中,对于每一条网络请求信息,若该网络请求信息的字段属性与预设协议字段匹配成功,则确定该网络请求信息为登录请求信息。
需要说明的是,可以仅通过上述两种实现方式中的任一种确定登录请求信息,也可以通过两种实现方式结合确定登录请求信息。下面对两种实现方式结合的情况进行说明。
作为一种示例,获取当前周期内的多条第一网络请求信息,预设第一协议字段,通过将每条第一网络请求信息的字段属性与第一协议字段匹配,若字段属性与第一协议字段的内容一致,则确定字段属性与第一协议字段匹配成功,从第一网络请求信息中确定匹配成功的第二网络请求信息。其中,第一协议字段例如URL和请求内容。
本示例中,预设第二协议字段,通过将每条第二网络请求信息的字段属性与第二协议字段匹配,若字段属性与第二协议字段的内容一致,则确定匹配不成功,若不一致则确定匹配成功,将匹配成功的第二网络请求信息作为登录请求信息。其中,第二协议字段例如源IP、目的IP、目的端口、HOST、URL、Postdata。
其中,每个登录请求信息中包括登录接口标识和登录请求口令。
可选地,在确定被非法登录的目标登录接口后,若确定该目标登录接口为误报,可选择事件忽略操作,其中,在进行事件忽略操作的过程中,根据误报的登录请求信息更新第二协议字段。例如,对于一误报的内部扫描器,在进行事件忽略的过程中,根据扫描器的源IP更新第二协议字段,从而实现白名单配置更新,进一步提高检测准确性。
本实施例中,通过网络请求信息的字段属性与预设协议字段匹配的方式,实现登录接口识别策略和白名单匹配,提高了检测准确率。
下面对确定被非法登录的登录接口进行说明。
图3为本申请实施例所提供的一种确定目标登录接口标识的流程示意图,如图3所示,根据所有候选登录请求信息,在至少一个候选登录接口标识中确定满足预设非法登录条件的目标登录接口标识,包括:
步骤301,根据请求源地址信息,将所有候选登录请求信息划分为多个请求信息组。
本实施例中,登录请求信息中还包括请求源地址信息,请求源地址信息例如包括源IP地址。在获取每个候选登录接口标识对应的所有候选登录请求信息后,对于每一登录接口的所有候选登录请求信息,根据请求源地址信息将所有候选登录请求信息划分为多个请求信息组,其中,各个请求信息组对应的请求源地址信息不同,即对于每一登录接口,将相同源地址信息的候选登录请求信息分为一组。
步骤302,确定每个请求信息组包含的登录请求信息的第一信息数量。
可选地,对于一请求信息组中的候选登录请求信息,还可以确定各候选登录请求信息对应的登录请求口令是否存在重复,若存在相同的登录请求口令,则根据登录请求口令进行去重,并根据去重后的候选登录请求信息的数量确定第一信息数量。例如,对于3个候选登录请求信息,对应的3个登录口令中存在2个相同的登录请求口令,则确定第一信息数量为2。
步骤303,在多个请求信息组中,判断是否存在第一信息数量大于第一预设数量阈值的目标请求信息组。
步骤304,若存在目标请求信息组,则确定所有候选登录请求信息对应的候选登录接口标识为目标登录接口标识。
本实施例中,若存在第一信息数量大于第一预设数量阈值的目标请求信息组,即对于一登录接口,在当前周期内存在同一源地址对该登录接口尝试多次弱口令密码登录,因此确定该候选登录接口标识为目标登录接口标识,即对应的目标登录接口被非法登录。
举例而言,通过统计预设时间内,在同一个源IP、同一登录接口条件下,匹配到的不同的弱口令数,以确定登录接口的被攻击数。当前周期为十分钟,攻击者通过同一源IP对应用系统A的登录接口a进行账号密码爆破,爆破次数为1000次(即1000个不同的密码尝试登录),上述1000个不同的密码中有100个与弱口令字典中的预设登录口令一致,则记录登录接口a被攻击100次。第一预设数量阈值为10,统计的被攻击次数100大于第一预设数量阈值,则上报告警信息,告警信息例如包括登录接口a被攻击100次,以及请求源地址信息。
其中,可以在每次请求登录时触发实时的统计检测,或者每隔预设时间进行统计当前时间段内的登录请求。
在本申请的另一个实施例中,在确定存在目标请求信息组之后,还包括:判断目标请求信息组的数量是否大于第二预设数量阈值;若大于第二预设数量阈值,则确定所有候选登录请求信息对应的候选登录接口标识为目标登录接口标识。其中,第二预设数量阈值可以是零或正整数。
根据本申请实施例的被非法登录的登录接口确定方法,对每一登录接口统计当前周期内同一请求源地址信息通过弱口令密码请求登录的次数,根据统计的次数确定被非法登录的登录接口,同时保证了检测的通用性和检测的准确率。
为了实现上述实施例,本申请还提出一种被非法登录的登录接口确定装置。
图4为本申请实施例所提供的一种被非法登录的登录接口确定装置的结构示意图,如图4所示,该装置包括:第一获取模块10,确定模块20,第二获取模块30,检测模块40。
其中,第一获取模块10,用于获取当前周期内的多个登录请求信息,其中,每个所述登录请求信息中包括登录接口标识和登录请求口令。
确定模块20,用于在所述多个登录请求信息中,确定登录请求口令满足预设口令条件的至少一个候选登录请求信息。
第二获取模块30,用于获取所述至少一个候选登录请求信息对应的至少一个候选登录接口标识中,每个候选登录接口标识对应的所有候选登录请求信息。
检测模块40,用于根据所述所有候选登录请求信息,在所述至少一个候选登录接口标识中确定满足预设非法登录条件的目标登录接口标识,以确定所述目标登录接口标识对应的目标登录接口被非法登录。
在本申请的一个实施例中,第一获取模块10具体用于:获取所述当前周期内的多条网络请求信息;获取每条所述网络请求信息的字段属性;判断所述字段属性是否与预设的协议字段匹配;获取与所述预设的协议字段匹配成功的网络请求信息为所述登录请求信息。
在本申请的一个实施例中,确定模块20具体用于:获取预设的口令加密规则,根据所述口令加密规则对预设弱口令加密,生成预设登录口令;判断所述登录请求口令与所述预设登录口令是否匹配;若匹配,则确定所述登录请求口令对应的登录请求信息为所述候选登录请求信息。
在本申请的一个实施例中,登录请求信息中还包括请求源地址信息,检测模块40具体用于:根据所述请求源地址信息,将所述所有候选登录请求信息划分为多个请求信息组,其中,各个所述请求信息组对应的请求源地址信息不同;确定每个所述请求信息组包含的登录请求信息的第一信息数量;在所述多个请求信息组中,判断是否存在所述第一信息数量大于第一预设数量阈值的目标请求信息组;若存在所述目标请求信息组,则确定所述所有候选登录请求信息对应的候选登录接口标识为所述目标登录接口标识。
可选地,检测模块40包括:判断单元,用于判断所述目标请求信息组的数量是否大于第二预设数量阈值;若大于所述第二预设数量阈值,则确定所述所有候选登录请求信息对应的候选登录接口标识为所述目标登录接口标识。
在本申请的一个实施例中,检测模块40具体用于:统计所述所有候选登录请求信息的第二信息数量;若所述第二信息数量大于第三预设数量阈值,则确定所述所有候选登录请求信息对应的候选登录接口标识为所述目标登录接口标识。
前述实施例对被非法登录的登录接口确定方法的解释说明同样适用于本实施例的被非法登录的登录接口确定装置,此处不再赘述。
根据本申请实施例的被非法登录的登录接口确定装置,提供了一种同时保证检测准确率和通用性的登录接口的账号密码暴力破解行为检测方案,相对于统计登录接口调用次数判断爆破行为的方式,提高检测准确率,相对于针对每个应用配置对应的解析策略进行检测的方式,无需为各类应用单独配置解析策略。由此,提高了检测的通用性,可覆盖各类登录接口场景,并且提高了检测的准确率,降低误报率。
为了实现上述实施例,本申请还提出一种计算机设备,包括处理器和存储器;其中,处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,以用于实现如前述任一实施例所述的被非法登录的登录接口确定方法。
为了实现上述实施例,本申请还提出一种计算机程序产品,当计算机程序产品中的指令被处理器执行时实现如前述任一实施例所述的被非法登录的登录接口确定方法。
为了实现上述实施例,本申请还提出一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如前述任一实施例所述的被非法登录的登录接口确定方法。
在本申请的描述中,需要理解的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种被非法登录的登录接口确定方法,其特征在于,包括:
获取当前周期内的多个登录请求信息,其中,每个所述登录请求信息中包括登录接口标识和登录请求口令;
在所述多个登录请求信息中,获取预设的口令加密规则,根据所述口令加密规则对预设弱口令加密,生成预设登录口令;
判断所述登录请求口令与所述预设登录口令是否匹配;
若匹配,则确定所述登录请求口令对应的登录请求信息为候选登录请求信息;
获取多个候选登录请求信息对应的多个候选登录接口标识中,每个候选登录接口标识对应的所有候选登录请求信息;
根据所述所有候选登录请求信息,在所述多个候选登录接口标识中确定满足预设非法登录条件的目标登录接口标识,以确定所述目标登录接口标识对应的目标登录接口被非法登录;
所述登录请求信息中,还包括请求源地址信息,所述根据所述所有候选登录请求信息,在所述多个候选登录接口标识中确定满足预设非法登录条件的目标登录接口标识,包括:
根据所述请求源地址信息,将所述所有候选登录请求信息划分为多个请求信息组,其中,各个所述请求信息组对应的请求源地址信息不同;
确定每个所述请求信息组包含的登录请求信息的第一信息数量;
在所述多个请求信息组中,判断是否存在所述第一信息数量大于第一预设数量阈值的目标请求信息组;
若存在所述目标请求信息组,则确定所述所有候选登录请求信息对应的候选登录接口标识为所述目标登录接口标识。
2.如权利要求1所述的方法,其特征在于,所述获取当前周期内的多个登录请求信息,包括:
获取所述当前周期内的多条网络请求信息;
获取每条所述网络请求信息的字段属性;
判断所述字段属性是否与预设的协议字段匹配;
获取与所述预设的协议字段匹配成功的网络请求信息为所述登录请求信息。
3.如权利要求1所述的方法,其特征在于,在确定存在所述目标请求信息组之后,还包括:
判断所述目标请求信息组的数量是否大于第二预设数量阈值;
若大于所述第二预设数量阈值,则确定所述所有候选登录请求信息对应的候选登录接口标识为所述目标登录接口标识。
4.如权利要求1所述的方法,其特征在于,所述根据所述所有候选登录请求信息,在所述多个候选登录接口标识中确定满足预设非法登录条件的目标登录接口标识,包括:
统计所述所有候选登录请求信息的第二信息数量;
若所述第二信息数量大于第三预设数量阈值,则确定所述所有候选登录请求信息对应的候选登录接口标识为所述目标登录接口标识。
5.一种被非法登录的登录接口确定装置,其特征在于,包括:
第一获取模块,用于获取当前周期内的多个登录请求信息,其中,每个所述登录请求信息中包括登录接口标识和登录请求口令;
确定模块,用于在所述多个登录请求信息中,获取预设的口令加密规则,根据所述口令加密规则对预设弱口令加密,生成预设登录口令;判断所述登录请求口令与所述预设登录口令是否匹配;若匹配,则确定所述登录请求口令对应的登录请求信息为候选登录请求信息;
第二获取模块,用于获取多个候选登录请求信息对应的多个候选登录接口标识中,每个候选登录接口标识对应的所有候选登录请求信息;
检测模块,用于根据所述所有候选登录请求信息,在所述多个候选登录接口标识中确定满足预设非法登录条件的目标登录接口标识,以确定所述目标登录接口标识对应的目标登录接口被非法登录;
所述登录请求信息中,还包括请求源地址信息,所述检测模块具体用于:
根据所述请求源地址信息,将所述所有候选登录请求信息划分为多个请求信息组,其中,各个所述请求信息组对应的请求源地址信息不同;
确定每个所述请求信息组包含的登录请求信息的第一信息数量;
在所述多个请求信息组中,判断是否存在所述第一信息数量大于第一预设数量阈值的目标请求信息组;
若存在所述目标请求信息组,则确定所述所有候选登录请求信息对应的候选登录接口标识为所述目标登录接口标识。
6.如权利要求5所述的装置,其特征在于,所述第一获取模块具体用于:
获取所述当前周期内的多条网络请求信息;
获取每条所述网络请求信息的字段属性;
判断所述字段属性是否与预设的协议字段匹配;
获取与所述预设的协议字段匹配成功的网络请求信息为所述登录请求信息。
7.如权利要求5所述的装置,其特征在于,所述检测模块包括:
判断单元,用于判断所述目标请求信息组的数量是否大于第二预设数量阈值;
若大于所述第二预设数量阈值,则确定所述所有候选登录请求信息对应的候选登录接口标识为所述目标登录接口标识。
8.如权利要求5所述的装置,其特征在于,所述检测模块具体用于:
统计所述所有候选登录请求信息的第二信息数量;
若所述第二信息数量大于第三预设数量阈值,则确定所述所有候选登录请求信息对应的候选登录接口标识为所述目标登录接口标识。
9.一种计算机设备,其特征在于,包括处理器和存储器;
其中,所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于实现如权利要求1-4中任一项所述的被非法登录的登录接口确定方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一项所述的被非法登录的登录接口确定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011218041.XA CN112583789B (zh) | 2020-11-04 | 2020-11-04 | 被非法登录的登录接口确定方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011218041.XA CN112583789B (zh) | 2020-11-04 | 2020-11-04 | 被非法登录的登录接口确定方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112583789A CN112583789A (zh) | 2021-03-30 |
| CN112583789B true CN112583789B (zh) | 2023-03-14 |
Family
ID=75120326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011218041.XA Active CN112583789B (zh) | 2020-11-04 | 2020-11-04 | 被非法登录的登录接口确定方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112583789B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113852625B (zh) * | 2021-09-23 | 2024-04-30 | 杭州安恒信息技术股份有限公司 | 一种弱口令监测方法、装置、设备及存储介质 |
| CN114978691B (zh) * | 2022-05-23 | 2024-04-26 | 杭州安恒信息技术股份有限公司 | 一种蜜罐的伪装方法、装置及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103886248A (zh) * | 2014-04-08 | 2014-06-25 | 国家电网公司 | 一种网站弱口令的检测方法 |
| CN105095737A (zh) * | 2014-04-16 | 2015-11-25 | 阿里巴巴集团控股有限公司 | 检测弱密码的方法和装置 |
| CN105262760A (zh) * | 2015-10-30 | 2016-01-20 | 北京奇虎科技有限公司 | 一种防止恶意访问登录/注册接口的行为的方法和装置 |
| CN108600172A (zh) * | 2018-03-23 | 2018-09-28 | 广州广电研究院有限公司 | 撞库攻击检测方法、装置、设备及计算机可读存储介质 |
| CN110417747A (zh) * | 2019-07-08 | 2019-11-05 | 新华三信息安全技术有限公司 | 一种暴力破解行为的检测方法及装置 |
| CN111786971A (zh) * | 2020-06-19 | 2020-10-16 | 杭州安恒信息技术股份有限公司 | 主机爆破攻击的防御方法、装置和计算机设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101263423B1 (ko) * | 2012-10-19 | 2013-05-10 | 김봉주 | 이동 사용자 단말기를 이용한 로그인 확인 및 승인 서비스 구현 방법 |
| CN104811449B (zh) * | 2015-04-21 | 2017-09-19 | 深信服网络科技(深圳)有限公司 | 检测撞库攻击方法及系统 |
| CN108011863B (zh) * | 2017-08-23 | 2020-12-15 | 北京车和家信息技术有限责任公司 | 识别暴力破解的方法及装置 |
-
2020
- 2020-11-04 CN CN202011218041.XA patent/CN112583789B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103886248A (zh) * | 2014-04-08 | 2014-06-25 | 国家电网公司 | 一种网站弱口令的检测方法 |
| CN105095737A (zh) * | 2014-04-16 | 2015-11-25 | 阿里巴巴集团控股有限公司 | 检测弱密码的方法和装置 |
| CN105262760A (zh) * | 2015-10-30 | 2016-01-20 | 北京奇虎科技有限公司 | 一种防止恶意访问登录/注册接口的行为的方法和装置 |
| WO2017071551A1 (zh) * | 2015-10-30 | 2017-05-04 | 北京奇虎科技有限公司 | 一种防止恶意访问登录/注册接口的行为的方法和装置 |
| CN108600172A (zh) * | 2018-03-23 | 2018-09-28 | 广州广电研究院有限公司 | 撞库攻击检测方法、装置、设备及计算机可读存储介质 |
| CN110417747A (zh) * | 2019-07-08 | 2019-11-05 | 新华三信息安全技术有限公司 | 一种暴力破解行为的检测方法及装置 |
| CN111786971A (zh) * | 2020-06-19 | 2020-10-16 | 杭州安恒信息技术股份有限公司 | 主机爆破攻击的防御方法、装置和计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112583789A (zh) | 2021-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| EP3068095B1 (en) | Monitoring apparatus and method | |
| CN105939326B (zh) | 处理报文的方法及装置 | |
| Niakanlahiji et al. | Phishmon: A machine learning framework for detecting phishing webpages | |
| CN103379099A (zh) | 恶意攻击识别方法及系统 | |
| CN108337219B (zh) | 一种物联网防入侵的方法和存储介质 | |
| KR20000054538A (ko) | 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 | |
| CN112583789B (zh) | 被非法登录的登录接口确定方法、装置及设备 | |
| CN108737110B (zh) | 一种用于防重放攻击的数据加密传输方法及装置 | |
| CN114124476B (zh) | 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 | |
| CN106982188B (zh) | 恶意传播源的检测方法及装置 | |
| CN107666464B (zh) | 一种信息处理方法及服务器 | |
| US11916953B2 (en) | Method and mechanism for detection of pass-the-hash attacks | |
| Koukis et al. | On the privacy risks of publishing anonymized IP network traces | |
| CN113660216B (zh) | 口令攻击检测方法、装置、电子装置和存储介质 | |
| CN108040036A (zh) | 一种行业云Webshell安全防护方法 | |
| CN107911232B (zh) | 一种确定业务操作规则的方法及装置 | |
| US11372971B2 (en) | Threat control | |
| CN112287252B (zh) | 网站域名劫持检测方法、装置、设备及存储介质 | |
| CN115118504A (zh) | 知识库更新方法、装置、电子设备及存储介质 | |
| CN113572776A (zh) | 非法侵入检测装置及方法 | |
| Ghiette et al. | How media reports trigger copycats: An analysis of the brewing of the largest packet storm to date | |
| CN114363059A (zh) | 一种攻击识别方法、装置及相关设备 | |
| CN114978636B (zh) | 低频暴力破解检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |