CN112738006A - 识别方法、设备及存储介质 - Google Patents
识别方法、设备及存储介质 Download PDFInfo
- Publication number
- CN112738006A CN112738006A CN201911028925.6A CN201911028925A CN112738006A CN 112738006 A CN112738006 A CN 112738006A CN 201911028925 A CN201911028925 A CN 201911028925A CN 112738006 A CN112738006 A CN 112738006A
- Authority
- CN
- China
- Prior art keywords
- login
- password
- event
- events
- account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 78
- 230000002159 abnormal effect Effects 0.000 claims abstract description 77
- 238000004590 computer program Methods 0.000 claims description 9
- 230000006399 behavior Effects 0.000 description 11
- 230000001360 synchronised effect Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000005422 blasting Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 239000004576 sand Substances 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 241000243251 Hydra Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000010420 art technique Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- QRXWMOHMRWLFEY-UHFFFAOYSA-N isoniazide Chemical compound NNC(=O)C1=CC=NC=C1 QRXWMOHMRWLFEY-UHFFFAOYSA-N 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种识别方法、设备及存储介质,其中,所述方法包括:获得登录事件集;获得第一数量和/或第三数量,其中所述第一数量为针对登录事件集中登录请求源在第一时长内所发起登录的登录事件,获得的登录结果为失败、且登录密码与弱口令集中的至少一个弱口令相匹配的登录事件的数量;所述第三数量为针对采用登录账号在第二时长内进行登录的登录事件,获得的登录结果为失败、且登录密码与弱口令集中的至少一个弱口令相匹配的登录事件的数量;至少依据第一数量,确定登录请求源在第一时长内所发起的登录事件是否存在异常;和/或,至少依据第三数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
Description
技术领域
本申请涉及识别技术,具体涉及一种识别方法、设备及存储介质。
背景技术
在相关技术中,暴破攻击行为(暴力破解攻击行为)指的是非法入侵用户如黑客通过猜测或者利用已有社工库进行账户的多次尝试登录。暴破攻击行为对网络安全存在很大的安全隐患,识别暴破攻击行为势在必行。相关技术中大多基于同一网际协议(IP)(如具有该IP的设备请求登录至服务器、数据库等) 在一段时间内尝试登录而产生的登录失败行为的次数进行暴破攻击行为的识别。仅依据失败登录行为的产生频次这一方面特性而进行暴破攻击行为的识别,识别准确性欠佳。
发明内容
为解决现有存在的技术问题,本申请实施例提供一种识别方法、设备及存储介质,至少提高对暴破攻击行为的识别准确性和准确率。
本申请实施例的技术方案是这样实现的:
本申请实施例提供一种识别方法,其特征在于,包括:
获得登录事件集,所述登录事件集至少包括各个登录事件使用的登录账号和/或用于请求登录的登录请求源;
获得第一数量和/或第三数量,其中所述第一数量为针对所述登录事件集中所述登录请求源在第一时长内所发起登录的登录事件,获得的登录结果为失败、且登录密码与弱口令集中的至少一个弱口令相匹配的登录事件的数量;所述第三数量为针对采用所述登录账号在第二时长内进行登录的登录事件,获得的登录结果为失败、且登录密码与弱口令集中的至少一个弱口令相匹配的登录事件的数量;
至少依据所述第一数量,确定所述登录请求源在第一时长内所发起的登录事件是否存在异常;和/或至少依据所述第三数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
上述方案中,所述登录密码与所述弱口令集中的至少一个弱口令相匹配,包括:
登录密码与所述弱口令集中的至少一个弱口令相同。
上述方案中,所述方法还包括:
获得第二数量,所述第二数量为在所述登录请求源在第一时长内所发起登录的登录事件中,登录结果为失败且由不同登录信息进行登录的登录事件的数量;所述登录信息包括登录密码和登录账号,所述不同的登录信息为登录密码和登录账号中的至少一个信息不同;
相应的,所述至少依据所述第一数量,确定所述登录请求源在第一时长内发起的登录事件是否存在异常,包括:
依据所述第一数量和所述第二数量,确定所述登录请求源在第一时长内发起的登录事件是否存在异常。
上述方案中,所述方法还包括:
获得第四数量,其中所述第四数量为在采用所述登录账号在第二时长内进行登录的登录事件中,所述登录账号采用预定登录口令进行登录且登录结果为失败的登录事件的数量;
相应的,所述至少依据所述第三数量,确定采用所述登录账号在第二时长内产生登录的登录事件是否存在异常,包括:
依据所述第三数量和所述第四数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
上述方案中,所述依据所述第一数量和所述第二数量,确定所述登录请求源在第一时长内发起的登录事件是否存在异常,包括:
在所述第一数量大于或等于第一阈值且所述第二数量大于或等于第二阈值的情况下,所述登录请求源在第一时长内发起的登录事件为异常。
上述方案中,所述方法还包括:
从采用所述登录账号在第二时长内进行登录的登录事件中,获得登录结果为失败的登录事件的总数量;
相应的,所述依据所述第三数量和第四数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常,包括:
依据所述第三数量、第四数量和所述总数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
上述方案中,在第一时长和第二时长为相同时间段的情况下,
在确定登录请求源在所述相同时间段所发起的登录事件存在异常且采用所述登录账号在所述相同时间段进行登录的登录事件存在异常的情况,所述方法还包括:
确定针对所述登录账号的异常登录事件由所述登录请求源发起。
本申请实施例提供一种识别设备,包括:
第一获得单元,用于获得登录事件集,所述登录事件集至少包括各个登录事件使用的登录账号和/或用于请求登录的登录请求源;
第二获得单元,用于获得第一数量和/或第三数量,其中所述第一数量为针对所述登录事件集中所述登录请求源在第一时长内所发起登录的登录事件,获得的登录结果为失败、且登录密码与弱口令集中的至少一个弱口令相匹配的登录事件的数量;所述第三数量为针对采用所述登录账号在第二时长内进行登录的登录事件,获得的登录结果为失败、且登录密码与弱口令集中的至少一个弱口令相匹配的登录事件的数量;
确定单元,用于至少依据所述第一数量,确定所述登录请求源在第一时长内所发起的登录事件是否存在异常;和/或至少依据所述第三数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
上述方案中,所述第二获得单元,还用于:
确定登录密码与所述弱口令集中的至少一个弱口令相同。
上述方案中,
所述第二获得单元,还用于:
获得第二数量,所述第二数量为在所述登录请求源在第一时长内所发起登录的登录事件中,登录结果为失败且由不同登录信息进行登录的登录事件的数量;所述登录信息包括登录密码和登录账号,所述不同的登录信息为登录密码和登录账号中的至少一个信息不同;
相应的,所述确定单元,用于依据所述第一数量和所述第二数量,确定所述登录请求源在第一时长内发起的登录事件是否存在异常。
上述方案中,
所述第二获得单元,还用于:
获得第四数量,其中所述第四数量为在采用所述登录账号在第二时长内进行登录的登录事件中,所述登录账号采用预定登录口令进行登录且登录结果为失败的登录事件的数量;
相应的,所述确定单元,用于依据所述第三数量和第四数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
上述方案中,所述确定单元,用于:
在第一数量大于或等于第一阈值且第二数量大于或等于第二阈值的情况下,所述登录请求源在第一时长内发起的登录事件为异常。
上述方案中,所述第二获得单元,还用于:
从采用所述登录账号在第二时长内进行登录的登录事件中,获得登录结果为失败的登录事件的总数量;
相应的,所述确定单元,用于:依据所述第三数量、第四数量和所述总数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
上述方案中,所述确定单元,用于:
在第一时长和第二时长为相同时间段的情况下,
在确定登录请求源在所述相同时间段所发起的登录事件存在异常且采用所述登录账号在所述相同时间段进行登录的登录事件存在异常的情况,所述方法还包括:
确定针对所述登录账号的异常登录事件由所述登录请求源发起。
本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述的识别方法的步骤。
本申请实施例提供一种识别设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现前述的识别方法的步骤。
本申请实施例提供的识别方法、设备及存储介质,其中,所述方法包括:获得登录事件集,所述登录事件集至少包括各个登录事件使用的登录账号和/ 或用于请求登录的登录请求源;获得第一数量和/或第三数量,其中所述第一数量为针对所述登录事件集中所述登录请求源在第一时长内所发起登录的登录事件,获得的登录结果为失败、且登录密码与弱口令集中的至少一个弱口令相匹配的登录事件的数量;所述第三数量为针对采用所述登录账号在第二时长内进行登录的登录事件,获得的登录结果为失败、且登录密码与弱口令集中的至少一个弱口令相匹配的登录事件的数量;至少依据所述第一数量,确定所述登录请求源在第一时长内所发起的登录事件是否存在异常;和/或,至少依据所述第三数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
本申请实施例中,基于登录事件的登录失败结果和登录时使用的登录密码与弱口令集中的弱口令是否匹配的结果这两个方面的结合来识别暴破攻击行为,至少可提高对暴破攻击行为的识别准确性和准确率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的识别方法的第一实施例的实现流程示意图;
图2为本申请提供的识别方法的第二实施例的实现流程示意图;
图3为本申请提供的识别方法的第三实施例的实现流程示意图;
图4为本申请提供的识别方法的第四实施例的实现流程示意图;
图5为本申请提供的识别设备实施例的组成结构示意图;
图6为本申请提供的识别设备实施例的硬件构成示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在对本申请实施例的方案进行介绍之前,先对本申请实施例可能会使用到的技术术语进行说明:
弱口令:通常认为是容易被别人猜测到或被破解工具破解的口令。如仅包含简单数字和字母的口令,例如“123”、“abc”等。也可视为是弱密码,相对于强口令或强密码而言为一个相对的概念,指的是在口令或密码的安全性上稍微弱些的口令或密码。
本申请提供一种识别方法的第一实施例,如图1所示,所述方法包括:
步骤(S)101:获得弱口令集;
本步骤中,采集、读取、或收集实际应用中用户常用的弱口令作为弱口令集。
S102:获得登录事件集,所述登录事件集至少包括各个登录事件使用的登录账号和/或用于请求登录的登录请求源;
在S102中,对各个登录事件进行监控并记录,得到登录事件集。其中,为区别不同的登录事件,至少需要将各个登录事件的登录账号和/或该登录事件是由哪个登录请求源请求登录的等信息进行记录。可以理解,登录请求源可以具体为请求登录至某个设备、网页、服务器或系统的设备所使用的IP地址。
S103:针对所述登录事件集中所述登录请求源在第一时长内所发起登录的登录事件、和/或采用所述登录账号在第二时长内进行登录的登录事件,获得登录结果为失败、且登录密码与所述弱口令集中的至少一个弱口令相匹配的登录事件的数量;确定针对登录事件集中登录请求源在第一时长内所发起登录的登录事件而获得的数量为第一数量;确定针对采用所述登录账号在第二时长内进行登录的登录事件而获得的数量为第三数量;
在S103中,针对所述登录事件集中的任意一个登录请求源,针对所述登录事件集中该登录请求源在第一时长内所发起登录的登录事件(数量通常为两个及以上),将这些登录事件视为第一事件集,计算/统计第一事件集中登录结果为失败、且登录密码与所述弱口令集中的至少一个弱口令相匹配的登录事件的数量。和/或,针对所述登录事件集中的任意一个登录账号,针对采用该登录账号在第二时长内进行登录的登录事件(数量通常为两个及以上),将这些登录事件视为第二事件集,计算/统计第二事件集中登录结果为失败、且登录密码与所述弱口令集中的至少一个弱口令相匹配的登录事件的数量。
S104:至少依据所述第一数量,确定所述登录请求源在第一时长内所发起的登录事件是否存在异常;和/或,至少依据所述第三数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
在S104中,依据第一事件集中登录结果为失败、且登录密码与所述弱口令集中的至少一个弱口令相匹配的登录事件的数量,确定所述登录请求源在第一时长内所发起的登录事件是否存在异常。和/或,依据第二事件集中登录结果为失败、且登录密码与所述弱口令集中的至少一个弱口令相匹配的登录事件的数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
可以理解,S101还可在S102之后执行,也可与S102一同执行,还可以与 S103一同执行。
与相关技术中的通过同一IP源登录失败次数与设定的阈值之间的大小结果来判断是否存在暴破攻击行为的方法不同,前述方案中,可以从登录请求源这一维度和/或登录账号这一维度入手,不论从哪个维度入手,均将登录事件的登录失败结果与登录时使用的登录密码是否与弱口令集中的至少一个弱口令相匹配的结果相结合,来确定某一(些)登录请求源在第一时长内所发起的登录事件是否存在异常(也即该登录请求源在第一时长内是否为暴破攻击源)、和/ 或确定采用某一(些)登录账号在第二时长内进行登录的登录事件是否存在异常(也即该登录账号是否在第二时长内遭受到暴破攻击)。可以理解,本申请实施例中的方案,基于登录事件的登录失败结果与登录时使用的登录密码是否与弱口令集中的至少一个弱口令相匹配的结果这两个结果的结合,来确定某登录请求源是否为暴破攻击源和/或某登录账号是否在第二时长内遭受到暴破攻击,可提高对暴破攻击的识别准确性和准确率。
本申请实施例中,所述获得登录结果为失败、且登录密码与所述弱口令集中的至少一个弱口令相匹配的登录事件的数量,为:确定登录结果为失败、且登录密码与所述弱口令集中的至少一个弱口令相同的登录事件的数量。也即,登录密码为弱口令集中的至少一个弱口令相匹配的登录事件为采用与弱口令集中的至少一个弱口令相同的登录密码进行登录的登录事件。
为方便对S101~S104的理解,在一个具体实现上,在从登录请求源这一维度来看,如果经计算第一事件集中登录结果为失败且登录密码与所述弱口令集中的至少一个弱口令为相同的登录事件的数量(第一数量)为A1,如果A1大于或等于第一设定值,则可以视为该登录请求源在第一时长内为暴破攻击源,第一时长内由其发起的登录事件均为异常登录事件。在从登录账号这一维度来看,如果经计算第二事件集中登录结果为失败、且登录密码与所述弱口令集中的至少一个弱口令为相同的登录事件的数量(第三数量)为A2,如果A2大于或等于第二设定值,则可确定该登录账号是否在第二时长内遭受到暴破攻击。基于登录事件的登录失败结果与登录时使用的登录密码是否与弱口令集中的至少一个弱口令相同这两个结果的结合,确定是否遭受到暴破攻击,可至少提高对暴破攻击的识别准确性。其中,第一设定值和第二设定值可以为具体数值如 50、100等,还可以为范围值如20-55或100-200等,可根据实际情况而灵活设定。
对于相关技术中的通过同一IP源(如具有该IP源的设备登录服务器、数据库等进行数据读取)登录失败次数与设定的阈值之间的大小结果来判断是否存在暴破攻击行为的方法较为粗糙,还可以这样理解,在实际应用中,产生登录失败可以是因为黑客的非法登录使用的账号和密码不够准确而产生,也可以是由于用户自身的原因如用户的业务访问脚本程序配置不合理而导致的,如果采用相关技术中的方案是必会将由于用户自身的原因而导致的登录失败事件在登录失败次数大于设定的阈值的情况下被误认为是由于存在暴破攻击行为而产生的登录失败,这与实际的情况并不符合。本申请后续的实施例还能够解决这一问题。
本申请提供一种识别方法的第二实施例,如图2所示,所述方法包括:
S201:获得弱口令集;
S202:获得登录事件集,所述登录事件集至少包括各个登录事件使用的登录账号和/或用于请求登录的登录请求源;
S203:针对所述登录事件集中所述登录请求源在第一时长内所发起登录的登录事件,获得登录结果为失败且登录密码与所述弱口令集中的至少一个弱口令相匹配的登录事件的数量,并确定该数量为第一数量;
本步骤中,所述登录事件集中所述登录请求源在第一时长内所发起登录的登录事件通常为两个及以上,在这些登录事件(即第一事件集)中,计算/统计登录结果为失败且登录密码与所述弱口令集中的至少一个弱口令相同的登录事件的数量,并将其视为第一数量。
S204:获得登录结果为失败且由不同登录信息进行登录的登录事件的数量;其中,所述登录信息包括登录密码和登录账号,所述不同的登录信息为登录密码和登录账号中的至少一个信息不同的登录信息;确定所获得的数量为第二数量;
本步骤中,在第一事件集中,计算/统计登录结果为失败且由不同登录信息进行登录的登录事件的数量,并将其视为第二数量。其中,本申请实施例中的登录信息包括登录账号和登录密码,在这两个信息中只要有一个信息不同就视为不同的登录信息。本步骤中就是在计算/统计由不同登录信息进行登录且登录失败的登录事件的数量。
S205:依据第一数量和第二数量,确定所述登录请求源在第一时长内发起的登录事件是否存在异常。
本步骤中,基于计算出的第一数量和第二数量,确定某一(些)登录请求源在第一时长内所发起的登录事件是否存在异常,也即该登录请求源在第一时长内是否为暴破攻击源。
S201~S205的方案中,从登录请求源这一维度入手,利用第一数量和第二数量来确定某一(些)登录请求源在第一时长内所发起的登录事件是否存在异常,也即该登录请求源在第一时长内是否为暴破攻击源,使得对暴破攻击源的识别更加准确。其中,第一数量、第二数量的统计/计算通过登录事件的登录失败结果和登录密码的是否为与弱口令集中的至少一个弱口令一致的结果相结合、或者与不同的登录信息相结合,与相关技术中的仅仅根据登录失败结果进行暴破攻击识别的方案相比,通过两个方面的结合,可保证识别的准确性。且,与相关技术中只从登录结果(成功或失败)的角度出发去识别,本方案不仅从登录结果的角度出发,还结合了登录密码与弱口令集中记载的弱口令的匹配结果进行考虑,这种结合了登录结果和登录密码来识别暴破攻击的方案,为一种新型的识别方案,可保证对某个登录请求源是否为暴破攻击源的准确识别。
可以理解,对S201和S202的说明请参见前述对S101和S102的说明,不赘述。此外,S205可作为前述S104的进一步描述。S203和S204无严格的先后顺序还可以同时进行。
在一个可选的实施例中,S205:所述依据第一数量和第二数量,确定所述登录请求源在第一时长内发起的登录事件是否存在异常,可以具体为:在第一数量大于或等于第一阈值且第二数量大于或等于第二阈值的情况下,所述登录请求源在第一时长内发起的登录事件为异常。本可选实施例中,依据第一数量和设定的第一阈值之间的大小关系、以及第二数量和设定的第二阈值之间的大小关系,来识别该登录请求源是否为暴破攻击源。进一步的,如果第一数量大于或等于第一阈值且第二数量大于或等于第二阈值的情况下,识别该登录请求源为暴破攻击源,由该登录请求源发起的登录事件均为异常事件。在两个数量(第一数量和第二数量)均大于或等于各自的阈值的情况下,识别为暴破攻击源,可避免对登录请求源为暴破攻击源的错误识别,提高识别准确性。
其中,第一阈值、第二阈值可以为具体数值,还可以为范围值,根据实际情况而灵活设定。
下面结合图4所示,对本申请实施例的技术方案做进一步说明。
本应用场景中,将通过三个阶段进行技术方案的说明:弱口令集的获得阶段、登录事件集的获得阶段、从登录请求源这一维度进行暴破攻击的识别阶段。
先来看,弱口令集的获得阶段(S41):
弱口令集也可视为弱口令字典。可以从网络上公开的学术界关于用户口令使用习惯研究成果、知名爆破工具(比如Hydra)或恶意软件(比如Mirai)的分析结果中,采集、读取或收集用户常用的高频口令比如“123456”、“password”、“iloveyou”等,得到高频口令的集合,该集合即可视为弱口令集WPplaintext。可以理解,弱口令集WPplaintext为明文口令集,没有经过加密。本应用场景中,还可以将明文口令集中的各个口令进行加密,得到加密后的弱口令集 WPencrypted=E(WPplaintext)WPencrypted=E(WPencrypted)。其中,E为任何合理加密算法,经过加密算法的运算将明文口令集进行编码得到密文口令集WPencrypted=E(WPplaintext)。其中,加密算法可以为高级加密标准(AES,Advanced Encryption Standard)、非对称加密(RSA)、椭圆曲线密码编码学(ECC,Elliptic Curves Cryptography)、哈希加密算法(SHA-1/SHA-256)等。
再来看,登录事件集的获得阶段(S42):
可以理解,为实现对网络安全的把控,需要对网络中可能发生的登录事件进行监控并记录。本应用场景中,对各个登录事件进行记录可采用如下格式,
Li=<timei,src_ipi,dsti,usernamei,passwordi,statusi>
其中,Li表示第i个登录事件,i表示一次登录。记录的每个登录事件包括六个字段:time代表第i个登录事件的登录时间;src_ip代表登录请求源如源 IP地址;dst为登录的目的标识,比如目的IP、统一资源定位符(URL)、系统标识等;username为登录账号;password为登录密码;status为登录结果,为“成功”或“失败”两种结果。
其中,对于src_ip和dst的场景,举个例子,IP地址为C的设备(登录请求源为IP地址为C)请求登录IP地址为D的设备(dst为IP地址为D)。相对于 IP地址为D为目的IP地址而言,地址为C的IP地址可视为源IP地址。
可以理解,本应用场景中,将监控的各个登录事件按照如上格式进行记录的好处至少在于方便后续从IP维度或从登录账号维度进行暴破攻击的识别,具体请参见后续相关说明。可以理解,本应用场景中可以将监控到的全部登录事件进行集合形成登录事件集。当然,考虑到监控的登录事件通常数量较多,还可以从监控到的全部登录事件中抽取部分登录事件进行集合得到登录事件集,并输入至后续从登录请求源这一维度或从登录账号这一维度进行暴破攻击的识别阶段。对于抽取部分登录事件得到登录事件集的情况,可以仅被抽取的登录事件按照如上格式进行记录,对于未被抽取的登录事件的记录格式本应用场景不做具体限定。
现来看,从IP这一维度进行暴破攻击源的识别,具体结合图4左侧的流程示意图:
S431:对登录事件集中的所有登录事件按照源IP地址(src_ip)进行归并;
本步骤中,将登录事件集中源IP地址为相同的登录事件集合在一起。相当于基于登录事件的源IP地址这一字段将源IP地址取值为相同的登录事件集合在一起,如此,便方便从IP这一维度进行哪个(些)源IP地址为暴破攻击源的识别。
S432:依据弱口令集WPplaintext或加密后的弱口令集WPencrypted=E(WPplaintext),统计登录事件集中取值为S的源IP地址在时间窗口T1内发起的登录结果为失败的登录事件,并从统计的登录事件中再筛选出登录密码采用的是与弱口令集中的弱口令的登录事件,并统计这些登录事件的数量(第一数量)为C(wp)s;
可以理解,取值为S的源IP在时间窗口T1内发起的登录事件的集合可视为前述的第一事件集,从第一事件集中得到的取值为S的源IP地址的第一数量可以理解为针对取值为S的源IP地址在时间窗口T1发起的登录事件中由该源IP 地址发起的登录结果为失败且登录密码采用的是弱口令集中的弱口令的登录事件的数量。
需要说明的是,如果依据加密后的弱口令集WPencrypted=E(WPplaintext)进行统计,还需要将登录事件中使用的登录密码进行加密,判断加密后的登录密码是否与加密后的弱口令集WPencrypted=E(WPplaintext)中的至少一个加密后的弱口令相同,其中,对登录密码使用的加密方法需要与E保持一致。
S433:针对取值为S的源IP地址在时间窗口T1内发起的登录结果为失败的登录事件,统计取值为S的源IP地址发起的由不同登录信息进行登录的登录事件,并统计这些事件的数量(第二数量)为C(cp)s;
可以理解,登录信息包括登录账户(username)和登录密码(password)。只要登录账户(username)和登录密码(password)有一个不相同就视为不同的登录信息。举个例子,针对取值为S的源IP地址在时间窗口T1内发起的登录结果为失败的二个登录事件中,如果它们的登录账户(username)不同、而登录密码(password)相同,或者它们的登录密码不同、而登录账户(username) (password)相同,则这两个登录事件由不同登录信息进行登录的登录事件,在计算C(cp)s的时候这两个登录事件应该算作2个登录事件。如果它们的登录账户(username)和登录密码(password)均相同,则在计算C(cp)s的时候这两个登录事件应该算作1个登录事件。
S432和S433无严格的先后顺序,还可以同时进行。
S434:判断C(wp)s是否大于或等于第一阈值θwp以及判断C(cp)s是否大于或等于第二阈值θcp;
在判断为是的情况下(也即C(wp)s大于或等于θwp且C(cp)s大于或等于θcp),执行S435;
否则,执行S436:
S435:取值为S的源IP地址为暴破攻击源,由其发起的登录事件均为异常登录事件,产生告警事件,以通知相关人员进行处理。
本步骤中,对于攻击源来说,可从网络侧阻断来自该IP地址的登录请求(连接),或者在服务端禁止用户端接收来自该IP地址的访问请求,以避免产生登录事件。
S436:取值为S的源IP地址不是暴破攻击源。
根据S431~S436的步骤,就可以将第一事件集中哪些源IP地址为暴破攻击源的IP地址、哪些不是暴破攻击源识别出。
可以理解,取值为S的源IP地址在时间窗口T1内发起的登录事件中,C(wp)s大于或等于θwp的情况,可以认为是采用弱口令集中的弱口令进行登录的登录事件的数量较多。在实际应用中,用户的正常登录也可以使用弱口令进行登录,但是用户使用弱口令并登录失败出现的次数通常较少(在输入的弱口令登录密码不准确的时候用户通常不会产生频繁的登录),用户的业务访问脚本程序配置不合理而导致的登录失败情况出现的次数通常也较少,在比较C(wp)s与θwp的同时,还需要结合C(cp)s和θcp的比较结果,无形当中排除了用户使用弱口令并登录失败的情况。从源IP地址角度触发,只有同时满足C(wp)s大于或等于θwp且C(cp)s大于或等于θcp的情况下,才认为取值为S的源IP为爆破攻击源。也即非法用户如黑客利用该取值为S的源IP地址对其它设备、URL或系统进行访问而产生的登录事件均为恶意登录事件,为异常登录事件。
其中,阈值θwp、θcp及时间窗口T1可以根据实际情况而灵活设定。比如对于时间窗口T1=5min的情况,θwp可以为30,θcp可以为10。时间窗口T1可以以分钟 min为单位,也可以以小时为单位,还可以以天、月为单位;优选为以分钟和小时为单位。
前述方案中,基于登录事件的登录失败结果和登录时使用的登录密码与弱口令集中的弱口令是否匹配的结果这两个方面的结合来识别某个源IP地址是否为暴破攻击源,不仅考虑到登录失败结果对识别结果的影响,还考虑到了登录密码对识别结果的影响,可提高对暴破攻击行为的识别准确性和准确率。此外,在C(wp)s大于或等于θwp且C(cp)s大于或等于θcp的情况下才认为是暴破攻击源,避免了将由于用户的原因如采用弱口令或用户的业务访问脚本程序配置不合理而导致的登录失败的登录事件也错误地识别为是由于存在暴破攻击行为而产生的登录事件。
本申请提供一种识别方法的第三实施例,如图3所示,所述方法包括:
S301:获得弱口令集;
S302:获得登录事件集,所述登录事件集至少包括各个登录事件使用的登录账号和/或用于请求登录的登录请求源;
S303:针对所述登录事件集中采用所述登录账号在第二时长内进行登录的登录事件,获得登录结果为失败、且登录密码与所述弱口令集中的至少一个弱口令相匹配的登录事件的数量,确定该数量为第三数量;
本步骤中,所述登录事件集中采用所述登录账号在第二时长内进行登录的登录事件通常为两个及以上,在这些登录事件(即第二事件集)中,计算/统计登录结果为失败且登录密码与所述弱口令集中的至少一个弱口令相同的登录事件的数量,并将其视为第三数量。
S304:获得所述登录账号采用预定登录口令进行登录且登录结果为失败的登录事件的数量,确定所获得的数量为第四数量;
本步骤中,在第二事件集中,计算/统计采用预定登录口令进行登录且登录结果为失败的登录事件的数量,并将其视为第四数量。
S305:依据所述第三数量和第四数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
本步骤中,依据第三数量和第四数量,来确定某登录账号是否在第二时长内遭受到暴破攻击。
可以理解,对S301和S302的说明请参见前述对S101和S102的说明,不赘述。此外,S305可作为前述S104的进一步描述。S303和S304无严格的先后顺序还可以同时进行。
S301~S305的方案中,从登录账号这一维度入手,利用第三数量和第四数量来确定某一(些)采用登录账号进行登录的登录事件是否存在异常,也即该登录账号是否在第二时长内遭受到暴破攻击,使得对登录账号是否存在暴破攻击的识别更加准确。其中,第三数量、第四数量的统计/计算通过登录事件的登录失败结果和登录密码的是否为与弱口令集中的至少一个弱口令一致的结果相结合、或者与预定登录口令相结合,与相关技术中的仅仅根据登录失败结果进行暴破攻击识别的方案相比,通过两个方面的结合,可保证识别的准确性。且,与相关技术中只从登录结果(如登录失败)的角度出发去识别,本方案不仅从登录结果的角度出发,还结合了登录密码与弱口令集中记载的弱口令的匹配结果进行考虑,这种结合了登录结果和登录密码来识别暴破攻击的方案,为一种新型的识别方案,可保证对登录账号是否存在暴破攻击的识别更加准确。
在一个可选的实施例中,所述方法还包括:
S306:从采用所述登录账号在第二时长内进行登录的登录事件中,获得登录结果为失败的登录事件的总数量;
相应的,S305为:依据所述第三数量、第四数量和所述总数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
在本可选的实施例中,可基于三个数量,登录结果为失败的登录事件的总数量、登录结果为失败且登录密码与所述弱口令集中的至少一个弱口令相同的登录事件的数量、以及采用预定登录口令进行登录且登录结果为失败的登录事件的数量,可大大保障对登录账号是否存在暴破攻击的识别准确性。
下面结合图4所示、具体是图4所示的右边所示的流程示意部分,对本申请实施例的技术方案做进一步说明。
本应用场景中,也包括三个阶段:弱口令集的获得阶段、登录事件集的获得阶段、从登录账号这一维度进行暴破攻击的识别阶段。其中,关于弱口令集的获得阶段和登录事件集的获得阶段均可参见前述的说明,此处重点对第三阶段进行说明。
从登录账号这一维度进行暴破攻击行为的识别(检测):
S441:对登录事件集中的所有登录事件按照登录账号(username)进行归并;
本步骤中,将登录事件集中登录账号为相同的登录事件集合在一起。相当于基于登录事件的登录账号这一字段将登录账号为相同的登录事件集合在一起,如此,便方便从登录账号这一维度进行哪个(些)该登录账号是否遭受到暴破攻击的识别。
S442:依据弱口令集WPplaintext或加密后的弱口令集WPencrypted=E(WPplaintext),统计登录事件集中取值为u的登录账号在时间窗口T2内发起的登录结果为失败的登录事件,并从统计的登录事件中再筛选出登录密码采用的是与弱口令集中的弱口令的登录事件,并统计这些登录事件的数量(第三数量)为C(wp)u;
可以理解,采用取值为u的登录账号在时间窗口T2内进行登录的登录事件的集合可视为前述的第二事件集,从第二事件集中得到的第三数量可以理解为在采用登录账号u进行登录的登录事件中登录结果为失败且登录密码采用的是弱口令集中的弱口令的登录事件的数量。
S443:事先记录用户(合法用户)登录账号u最近使用的登录密码k(合法登录密码),统计在时间窗口T2内采用登录账号u进行登录的登录事件中登录结果为失败、且登录密码为k的登录事件的数量(第四数量),视第四数量为C(cp)u;
在实际应用中,合法用户采用正确的登录账号u以及正确的登录密码k进行登录而失败的原因,可能是用户的业务访问脚本程序配置不合理导致的,也可能是网络出现中断而导致的,还可能是其它任何合理的情形。
S444:计算时间窗口T2内采用登录账号u进行登录的登录事件中登录结果为失败的登录事件的登录失败的总数量T_NUMu;计算第三数量与第四数量的差值,再除以总数量得到一个结果
将得到的结果与第三阈值
进行比较;
如果得到的结果
大于或等于第三阈值,也即
执行S445;
否则执行S446。
S445:认为登录账号u在时间窗口T2内正在遭受暴破攻击,产生告警事件,以通知相关人员进行处理。
例如,对于被攻击账号u,基于告警事件用户或网络管理者进行人为确认,另一方面还可以采用临时冻结该账号或开启强认证方式以保护该账号避免失陷。
S446:认为登录账号u在时间窗口T2内未遭受暴破攻击。
前述方案中,计算第三数量与第四量的差值相当于针对登录账号u用户最近没有使用弱口令进行登录且登录失败,这两个数值的相减结果就相当于不是用户针对登录账号u进行弱口令的登录而产生的登录事件的数量,该数量与T_NUMu的比值如果大于或等于第三阈值
则可以认为,针对登录账号u进行弱口令的登录而产生的登录事件是由除了所述用户之外的其它设备如黑客的非法登录而产生。其中,第三阈值
为百分比值,可以取值为60%,还可以取值为 70%,具体根据实际情况而灵活设定。
根据S441~S445的步骤,就可以识别出第二事件集中哪些登录账号被遭受攻击,哪些没有被遭受攻击。
前述方案中,基于登录事件的登录失败结果和登录时使用的登录密码与弱口令集中的弱口令是否匹配的结果这两个方面的结合来识别登录账号u在时间窗口T2内是否遭受到暴破攻击,同时考虑到登录失败结果和登录密码对识别结果的影响,可提高对暴破攻击行为的识别准确性和准确率。此外,可基于
是否大于等于第三阈值的判断结果,准确识别出登录账号u在时间窗口T2内是否遭受到暴破攻击。正在遭受暴破攻击。
前述的时间窗口T1可视为第一时长,第二时长时间窗口T2可视为第二时长。可以理解,时间窗口T1、T2可以指的是一个具体时间段如09.24日的8:00~12:00,还可以指的是一个时间的长度如4小时。
在前述的识别方法中,如果时间窗口T1、T2指的是一个具体时间段且时间窗口T1和时间窗口T2指的是同一时间段如09.24日的8:00~12:00,则从IP维度进行识别和从登录账号维度进行识别所依赖的登录事件数据为来自于同一时间段的数据。这种情况下,在确定登录请求源在时间窗口T1所发起的登录事件存在异常且采用一登录账号在时间窗口T2进行登录的登录事件存在异常的情况下,所述方法还包括:确定针对所述登录账号的异常登录事件由所述登录请求源发起。该方案中,可以这样理解,登录账号u在时间窗口T2遭受到暴破攻击,且这个时间窗口T2内取值为s的登录请求源IP地址为暴破攻击源,则可以认为登录账号u在时间窗口T2遭受到暴破攻击是由取值为s的登录请求源IP地址发起的登录事件而产生的,取值为s的登录请求源IP地址利用登录账号u产生了非法登录。
针对前述识别方法的第二和第三实施例的第一数量~第四数量。本领域技术人员应该得知,第一数量~第四数量这四个值均为数量值,之所以将其进行区分,仅用于表明不同的数量值是针对不同的信息进行统计/计算得出的,但不代表这四个数量值中的至少两个数量值的具体取值必须为不同。也即,本申请实施例中的第一数量~第四数量中的至少两个任意数量值可以相同,也可以不同。类似地,前述的第一时长、第二时长的取值可以相同,也可以不同。
前述S431~S436是从登录请求源这一维度进行的暴破攻击行为的识别;前述S441~S446是从登录账号这一维度进行的暴破攻击行为的识别。此外,还可以针对获得的同一登录事件集,同时从这两个维度进行暴破攻击行为的识别。同时从这两个维度进行暴破攻击行为的识别的方案请参见前述S431~S436和 S441~S446的相关说明,不赘述。
从前述方案可以看出,本申请实施例中可以仅从IP维度进行暴破攻击行为的识别,也可以仅从登录账号这个维度进行暴破攻击行为的识别,此外,也可以同时从这两个维度进行暴破攻击行为的识别。不论从哪个维度进行识别,不仅考虑到了登录失败这一角度对识别的影响,还从登录密码是否为弱口令的角度进行了考虑,综合这两个角度,可进一步保证对暴破攻击行为识别的准确性。
通俗地讲,前述方案可以是:从IP这一维度进行识别的方法,至少通过统计时间窗口内弱口令登录失败数和不同用户名-密码组合的登录失败数来准确识别攻击源。从登录账号这一维度进行识别的方法,通过统计时间窗口内总登录失败次数、弱口令登录失败数和使用用户最近口令的登录失败数来准确判断用户账号是否遭受爆破攻击。
本申请实施例还提供一种识别设备,如图5所示,所述设备包括:
第一获得单元11,用于获得登录事件集,所述登录事件集至少包括各个登录事件使用的登录账号和/或用于请求登录的登录请求源;
第二获得单元12,用于获得第一数量和/或第三数量,其中所述第一数量为针对所述登录事件集中所述登录请求源在第一时长内所发起登录的登录事件,获得的登录结果为失败、且登录密码与弱口令集中的至少一个弱口令相匹配的登录事件的数量;所述第三数量为针对采用所述登录账号在第二时长内进行登录的登录事件,获得的登录结果为失败、且登录密码与弱口令集中的至少一个弱口令相匹配的登录事件的数量;
确定单元13,用于至少依据所述第一数量,确定所述登录请求源在第一时长内所发起的登录事件是否存在异常;和/或,至少依据所述第三数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
在一个可选的实施例中,所述第二获得单元12,还用于:
确定登录密码与所述弱口令集中的至少一个弱口令相同。
在一个可选的实施例中,所述第二获得单元12,还用于:
获得第二数量,所述第二数量为在所述登录请求源在第一时长内所发起登录的登录事件中,登录结果为失败且由不同登录信息进行登录的登录事件的数量;所述登录信息包括登录密码和登录账号,所述不同的登录信息为登录密码和登录账号中的至少一个信息不同;
相应的,所述确定单元13,用于依据第一数量和第二数量,确定所述登录请求源在第一时长内发起的登录事件是否存在异常。
在一个可选的实施例中,所述第二获得单元12,还用于:
获得第四数量,其中所述第四数量为在采用所述登录账号在第二时长内进行登录的登录事件中,所述登录账号采用预定登录口令进行登录且登录结果为失败的登录事件的数量;
相应的,所述确定单元13,用于依据所述第三数量和第四数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
在一个可选的实施例中,所述确定单元13,用于:
在第一数量大于或等于第一阈值且第二数量大于或等于第二阈值的情况下,所述登录请求源在第一时长内发起的登录事件为异常。
在一个可选的实施例中,所述第二获得单元12,还用于:
从采用所述登录账号在第二时长内进行登录的登录事件中,获得登录结果为失败的登录事件的总数量;
相应的,所述确定单元13,用于:依据所述第三数量、第四数量和所述总数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
在一个可选的实施例中,所述确定单元13,用于:
在第一时长和第二时长为相同时间段的情况下,
在确定登录请求源在所述相同时间段所发起的登录事件存在异常且采用所述登录账号在所述相同时间段进行登录的登录事件存在异常的情况,确定针对所述登录账号的异常登录事件由所述登录请求源发起。
可以理解,所述设备中的第一获得单元11、第二获得单元12、确定单元 13在实际应用中均可由识别设备的中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,Digital Signal Processor)、微控制单元(MCU, Microcontroller Unit)或可编程门阵列(FPGA,Field-Programmable Gate Array) 实现。
需要说明的是,本申请实施例的识别设备,由于该识别设备解决问题的原理与前述的识别方法相似,因此,识别设备的实施过程及实施原理均可以参见前述识别方法的实施过程及实施原理描述,重复之处不再赘述。
本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时至少用于执行图1至图4任一所示方法的步骤。所述计算机可读存储介质具体可以为存储器。所述存储器可以为如图6 所示的存储器62。
本申请实施例还提供了一种终端。图6为本申请实施例的识别设备的硬件结构示意图,如图6所示,识别设备包括:用于进行数据传输的通信组件63、至少一个处理器61和用于存储能够在处理器61上运行的计算机程序的存储器 62。终端中的各个组件通过总线系统64耦合在一起。可理解,总线系统64用于实现这些组件之间的连接通信。总线系统64除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图6中将各种总线都标为总线系统64。
其中,所述处理器61执行所述计算机程序时至少执行图1至图4任一所示方法的步骤。
可以理解,存储器62可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM, Read OnlyMemory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM, ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM, Static Random Access Memory)、同步静态随机存取存储器(SSRAM, Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM, SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM, SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器 (DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器62旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的方法可以应用于处理器61中,或者由处理器61 实现。处理器61可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器61中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器61可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器61可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器62,处理器61读取存储器62中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,识别设备可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD, ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、FPGA、通用处理器、控制器、MCU、微处理器 (Microprocessor)、或其他电子元件实现,用于执行前述的识别方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (16)
1.一种识别方法,其特征在于,包括:
获得登录事件集,所述登录事件集至少包括各个登录事件使用的登录账号和/或用于请求登录的登录请求源;
获得第一数量和/或第三数量,其中所述第一数量为针对所述登录事件集中所述登录请求源在第一时长内所发起登录的登录事件,获得的登录结果为失败、且登录密码与弱口令集中的至少一个弱口令相匹配的登录事件的数量;所述第三数量为针对采用所述登录账号在第二时长内进行登录的登录事件,获得的登录结果为失败、且登录密码与弱口令集中的至少一个弱口令相匹配的登录事件的数量;
至少依据所述第一数量,确定所述登录请求源在第一时长内所发起的登录事件是否存在异常;和/或至少依据所述第三数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
2.根据权利要求1所述的方法,其特征在于,所述登录密码与所述弱口令集中的至少一个弱口令相匹配,包括:
登录密码与所述弱口令集中的至少一个弱口令相同。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获得第二数量,所述第二数量为在所述登录请求源在第一时长内所发起登录的登录事件中,登录结果为失败且由不同登录信息进行登录的登录事件的数量;所述登录信息包括登录密码和登录账号,所述不同的登录信息为登录密码和登录账号中的至少一个信息不同;
相应的,所述至少依据所述第一数量,确定所述登录请求源在第一时长内发起的登录事件是否存在异常,包括:
依据所述第一数量和所述第二数量,确定所述登录请求源在第一时长内发起的登录事件是否存在异常。
4.根据权利要求1或3所述的方法,其特征在于,所述方法还包括:
获得第四数量,其中所述第四数量为在采用所述登录账号在第二时长内进行登录的登录事件中,所述登录账号采用预定登录口令进行登录且登录结果为失败的登录事件的数量;
相应的,所述至少依据所述第三数量,确定采用所述登录账号在第二时长内产生登录的登录事件是否存在异常,包括:
依据所述第三数量和所述第四数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
5.根据权利要求3所述的方法,其特征在于,所述依据所述第一数量和所述第二数量,确定所述登录请求源在第一时长内发起的登录事件是否存在异常,包括:
在所述第一数量大于或等于第一阈值且所述第二数量大于或等于第二阈值的情况下,所述登录请求源在第一时长内发起的登录事件为异常。
6.根据权利要求4所述的方法,其特征在于,所述方法还包括:
从采用所述登录账号在第二时长内进行登录的登录事件中,获得登录结果为失败的登录事件的总数量;
相应的,所述依据所述第三数量和第四数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常,包括:
依据所述第三数量、第四数量和所述总数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
7.根据权利要求1或2所述的方法,其特征在于,在第一时长和第二时长为相同时间段的情况下,
在确定登录请求源在所述相同时间段所发起的登录事件存在异常且采用所述登录账号在所述相同时间段进行登录的登录事件存在异常的情况,所述方法还包括:
确定针对所述登录账号的异常登录事件由所述登录请求源发起。
8.一种识别设备,其特征在于,包括:
第一获得单元,用于获得登录事件集,所述登录事件集至少包括各个登录事件使用的登录账号和/或用于请求登录的登录请求源;
第二获得单元,用于获得第一数量和/或第三数量,其中所述第一数量为针对所述登录事件集中所述登录请求源在第一时长内所发起登录的登录事件,获得的登录结果为失败、且登录密码与弱口令集中的至少一个弱口令相匹配的登录事件的数量;所述第三数量为针对采用所述登录账号在第二时长内进行登录的登录事件,获得的登录结果为失败、且登录密码与弱口令集中的至少一个弱口令相匹配的登录事件的数量;
确定单元,用于至少依据所述第一数量,确定所述登录请求源在第一时长内所发起的登录事件是否存在异常;和/或至少依据所述第三数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
9.根据权利要求8所述的设备,其特征在于,所述第二获得单元,还用于:
确定登录密码与所述弱口令集中的至少一个弱口令相同。
10.根据权利要求8所述的设备,其特征在于,
所述第二获得单元,还用于:
获得第二数量,所述第二数量为在所述登录请求源在第一时长内所发起登录的登录事件中,登录结果为失败且由不同登录信息进行登录的登录事件的数量;所述登录信息包括登录密码和登录账号,所述不同的登录信息为登录密码和登录账号中的至少一个信息不同;
相应的,所述确定单元,用于依据所述第一数量和所述第二数量,确定所述登录请求源在第一时长内发起的登录事件是否存在异常。
11.根据权利要求8或10所述的设备,其特征在于,
所述第二获得单元,还用于:
获得第四数量,其中所述第四数量为在采用所述登录账号在第二时长内进行登录的登录事件中,所述登录账号采用预定登录口令进行登录且登录结果为失败的登录事件的数量;
相应的,所述确定单元,用于依据所述第三数量和第四数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
12.根据权利要求10所述的设备,其特征在于,所述确定单元,用于:
在第一数量大于或等于第一阈值且第二数量大于或等于第二阈值的情况下,所述登录请求源在第一时长内发起的登录事件为异常。
13.根据权利要求11所述的设备,其特征在于,所述第二获得单元,还用于:
从采用所述登录账号在第二时长内进行登录的登录事件中,获得登录结果为失败的登录事件的总数量;
相应的,所述确定单元,用于:依据所述第三数量、第四数量和所述总数量,确定采用所述登录账号在第二时长内进行登录的登录事件是否存在异常。
14.根据权利要求8或9所述的设备,其特征在于,所述确定单元,用于:
在第一时长和第二时长为相同时间段的情况下,
在确定登录请求源在所述相同时间段所发起的登录事件存在异常且采用所述登录账号在所述相同时间段进行登录的登录事件存在异常的情况,所述方法还包括:
确定针对所述登录账号的异常登录事件由所述登录请求源发起。
15.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至7任一所述方法的步骤。
16.一种识别设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911028925.6A CN112738006B (zh) | 2019-10-28 | 2019-10-28 | 识别方法、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911028925.6A CN112738006B (zh) | 2019-10-28 | 2019-10-28 | 识别方法、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112738006A true CN112738006A (zh) | 2021-04-30 |
| CN112738006B CN112738006B (zh) | 2023-11-07 |
Family
ID=75589277
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911028925.6A Active CN112738006B (zh) | 2019-10-28 | 2019-10-28 | 识别方法、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112738006B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001832A (zh) * | 2022-06-10 | 2022-09-02 | 阿里云计算有限公司 | 防止密码攻击的方法、装置及电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050216955A1 (en) * | 2004-03-25 | 2005-09-29 | Microsoft Corporation | Security attack detection and defense |
| CN104811449A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 检测撞库攻击方法及系统 |
| CN106911665A (zh) * | 2016-12-27 | 2017-06-30 | 深圳市安之天信息技术有限公司 | 一种识别恶意代码弱口令入侵行为的方法及系统 |
| CN108011863A (zh) * | 2017-08-23 | 2018-05-08 | 北京车和家信息技术有限责任公司 | 识别暴力破解的方法及装置 |
| CN109241460A (zh) * | 2018-08-01 | 2019-01-18 | 杭州安恒信息技术股份有限公司 | 一种解决网页弱口令探测繁琐配置的方法和系统 |
| CN109698809A (zh) * | 2017-10-20 | 2019-04-30 | 中移(苏州)软件技术有限公司 | 一种账号异常登录的识别方法及装置 |
| CN110213199A (zh) * | 2018-02-28 | 2019-09-06 | 中国移动通信集团有限公司 | 一种撞库攻击监控方法、装置、系统及计算机存储介质 |
-
2019
- 2019-10-28 CN CN201911028925.6A patent/CN112738006B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050216955A1 (en) * | 2004-03-25 | 2005-09-29 | Microsoft Corporation | Security attack detection and defense |
| CN104811449A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 检测撞库攻击方法及系统 |
| CN106911665A (zh) * | 2016-12-27 | 2017-06-30 | 深圳市安之天信息技术有限公司 | 一种识别恶意代码弱口令入侵行为的方法及系统 |
| CN108011863A (zh) * | 2017-08-23 | 2018-05-08 | 北京车和家信息技术有限责任公司 | 识别暴力破解的方法及装置 |
| CN109698809A (zh) * | 2017-10-20 | 2019-04-30 | 中移(苏州)软件技术有限公司 | 一种账号异常登录的识别方法及装置 |
| CN110213199A (zh) * | 2018-02-28 | 2019-09-06 | 中国移动通信集团有限公司 | 一种撞库攻击监控方法、装置、系统及计算机存储介质 |
| CN109241460A (zh) * | 2018-08-01 | 2019-01-18 | 杭州安恒信息技术股份有限公司 | 一种解决网页弱口令探测繁琐配置的方法和系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001832A (zh) * | 2022-06-10 | 2022-09-02 | 阿里云计算有限公司 | 防止密码攻击的方法、装置及电子设备 |
| CN115001832B (zh) * | 2022-06-10 | 2024-02-20 | 阿里云计算有限公司 | 防止密码攻击的方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112738006B (zh) | 2023-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112926056B (zh) | 基于速度事件检测对于云应用的未授权访问的方法和系统 | |
| US9954980B2 (en) | Systems and methods for malicious code detection accuracy assurance | |
| CN107211016B (zh) | 会话安全划分和应用程序剖析器 | |
| US9800594B2 (en) | Method and system for detecting unauthorized access attack | |
| EP2988468B1 (en) | Apparatus, method, and program | |
| US9152808B1 (en) | Adapting decoy data present in a network | |
| US8966591B2 (en) | Adaptive strike count policy | |
| WO2019200799A1 (zh) | 短信验证码的推送方法、电子装置及可读存储介质 | |
| EP3270317B1 (en) | Dynamic security module server device and operating method thereof | |
| JP2016152594A (ja) | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム | |
| US9854000B2 (en) | Method and apparatus for detecting malicious software using handshake information | |
| CN108737110B (zh) | 一种用于防重放攻击的数据加密传输方法及装置 | |
| CN111800405A (zh) | 检测方法及检测设备、存储介质 | |
| JP2017076185A (ja) | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム | |
| WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
| WO2018148103A1 (en) | Password security | |
| US20160335433A1 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
| CN113055407A (zh) | 一种资产的风险信息确定方法、装置、设备及存储介质 | |
| CN112769775A (zh) | 一种威胁情报关联分析方法、系统、设备及计算机介质 | |
| CN110012011B (zh) | 防止恶意登录的方法、装置、计算机设备及存储介质 | |
| CN107770150B (zh) | 终端保护方法及装置 | |
| CN112738006B (zh) | 识别方法、设备及存储介质 | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| CN108989298B (zh) | 一种设备安全监控方法、装置及计算机可读存储介质 | |
| CN107231365B (zh) | 一种取证的方法及服务器以及防火墙 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |