CN112861120A - 识别方法、设备及存储介质 - Google Patents

识别方法、设备及存储介质 Download PDF

Info

Publication number
CN112861120A
CN112861120A CN201911182602.2A CN201911182602A CN112861120A CN 112861120 A CN112861120 A CN 112861120A CN 201911182602 A CN201911182602 A CN 201911182602A CN 112861120 A CN112861120 A CN 112861120A
Authority
CN
China
Prior art keywords
behavior
target
login
data
login failure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911182602.2A
Other languages
English (en)
Inventor
尚保林
李可
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN201911182602.2A priority Critical patent/CN112861120A/zh
Publication of CN112861120A publication Critical patent/CN112861120A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Mathematical Physics (AREA)
  • Biophysics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Molecular Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Medical Informatics (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请实施例公开了一种识别方法、设备和存储介质,其中,所述方法包括:获取目标行为数据,所述目标行为数据表征为在监控时长的各个子时长内的账户登录失败次数;将所述行为数据输入至训练完成的识别模型;所述识别模型对所述目标行为数据进行处理,得到处理结果,所述处理结果表征为在监控时长内的登录失败行为是否为暴破攻击行为。

Description

识别方法、设备及存储介质
技术领域
本申请涉及识别技术,具体涉及一种识别方法、设备及存储介质。
背景技术
在相关技术中,暴破攻击行为(暴力破解攻击行为)指的是非法入侵用户如黑客通过猜测或者利用已有社工库进行账户的多次尝试登录。暴破攻击行为对网络安全存在很大的安全隐患,识别暴破攻击行为势在必行。相关技术中大多采用阈值统计方法进行识别:对尝试登录失败次数进行统计,在统计出的次数大于设定的阈值的情况下,判定为存在暴破攻击行为。这种识别方法较为粗糙,识别准确性不足。
发明内容
为解决现有存在的技术问题,本申请实施例提供一种识别方法、设备及存储介质,至少能够提高对暴破攻击行为的识别准确性。
本申请实施例的技术方案是这样实现的:
本申请实施例提供一种识别方法,包括:
获取目标行为数据,所述目标行为数据表征为在监控时长的各个子时长内的账户登录失败次数;
将所述目标行为数据输入至训练完成的识别模型;
所述识别模型对所述目标行为数据进行处理,得到处理结果,所述处理结果表征为在所述监控时长内的登录失败行为是否为暴破攻击行为。
上述方案中,所述识别模型对所述目标行为数据进行处理,得到处理结果,包括:
依据所述目标行为数据,所述识别模型计算目标概率,所述目标概率表征为各个子时长内的账户登录失败次数属于暴破攻击行为的概率或者不属于暴破攻击行为的概率;
依据计算出的目标概率,确定在所述监控时长内的登录失败行为是否为暴破攻击行为。
上述方案中,所述获取目标行为数据,包括:
对所述各个子时长内的账户登录失败次数进行预处理,得到所述目标行为数据。
上述方案中,所述对所述各个子时长内的账户登录失败次数进行预处理,得到所述目标行为数据,包括:
计算所述各个子时长内的账户登录失败次数的均值和方差;
依据计算出的均值和方差,对所述各个子时长内的账户登录失败次数进行归一化操作,得到所述目标行为数据。
上述方案中,所述依据计算出的目标概率,确定在所述监控时长内的登录失败行为是否为暴破攻击行为,包括:
计算所述目标概率的归一化函数值;
获得所述归一化函数值与设定的阈值之间的比较结果;
依据所述比较结果,确定在所述监控时长内的登录失败行为是否为暴破攻击行为。
上述方案中,所述依据比较结果,确定在所述监控时长内的登录失败行为是否为暴破攻击行为,包括:
在归一化函数值大于等于所述阈值的情况下,确定在所述监控时长内的登录失败行为是暴破攻击行为;
在归一化函数值小于所述阈值的情况下,确定在所述监控时长内的登录失败行为不是暴破攻击行为。
上述方案中,在所述监控时长内的登录失败行为为针对目标登录账户的登录失败行为,相应的,所述在归一化函数值大于等于所述阈值的情况下,所述方法还包括:
获得针对所述目标登录账户的历史数据;
判断在所述监控时长内针对所述目标登录账户发生的登录失败行为与所述历史数据是否匹配;
当在所述监控时长内针对所述目标登录账户发生的登录失败行为与所述历史数据不匹配时,确定采用所述目标登录账户在所述监控时长内的登录失败行为是暴破攻击行为;
当在所述监控时长内针对所述目标登录账户发生的登录失败行为与所述历史数据匹配时,确定采用所述目标登录账户在所述监控时长内的登录失败行为不是暴破攻击行为。
上述方案中,所述训练所述识别模型的方法包括:
获得目标训练数据,所述目标训练数据表征为在多个时长内的失败登录次数以及判断为在各个所述时长内的登录失败行为是否暴破攻击行为的结果;
基于所述目标训练数据对所述识别模型进行训练。
本申请实施例提供一种识别设备,包括:
获取单元,用于获取目标行为数据,所述目标行为数据表征为在监控时长的各个子时长内的账户登录失败次数;
输入单元,用于将所述目标行为数据输入至训练完成的识别模型;
所述识别模型对所述目标行为数据进行处理,得到处理结果,所述处理结果表征为在所述监控时长内的登录失败行为是否为暴破攻击行为。
本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述识别方法的步骤。
本申请实施例提供一种识别设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现前述识别方法的步骤。
本申请实施例提供一种识别方法、设备和存储介质,其中,所述方法包括:获取目标行为数据,所述目标行为数据表征为在监控时长的各个子时长内的账户登录失败次数;将所述行为数据输入至训练完成的识别模型;所述识别模型对所述目标行为数据进行处理,得到处理结果,所述处理结果表征为在监控时长内的登录行为是否为暴破攻击行为。本申请实施例中,通过将表征为监控时长内的各个子时长内发生的登录失败行为的次数的信息输入至训练完成的识别模型,由识别模型对目标行为数据进行处理,得到表征为在所述监控时长内的登录行为是否为暴破攻击行为的处理结果。与相关技术中的利用登录失败次数与阈值之间的比较结果进行暴破攻击行为的识别方案相比,本申请实施例的识别方案,将监控时长进行子时长的划分,并利用子时长内的账户登录失败次数进行暴破攻击行为的识别,可使暴破攻击行为识别依赖的数据更为细致,更为准确,可在一定程度上保证识别准确性。此外,利用训练完成的识别模型而得到整个监控时长内的失败登录行为是否是暴破攻击行为的识别结果,由于识别模型具有较强的鲁棒性和识别准确性,不易受外界因素的影响,可使暴破攻击行为的识别更加准确,大大提升识别准确性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的识别方法的第一实施例的实现流程示意图;
图2为本申请提供的识别方法的第二实施例的实现流程示意图;
图3为本申请提供的识别方法的第三实施例的实现流程示意图;
图4为本申请提供的对识别过程进行阶段划分的示意图;
图5为本申请提供的识别方法的第四实施例的实现流程示意图;
图6为本申请提供的识别设备的硬件构成示意图;
图7为本申请提供的识别设备的组成结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请提供识别方法的第一实施例,应用于识别设备中,如图1所示,所述方法包括:
步骤(S)101:获取目标行为数据,所述目标行为数据表征为在监控时长的各个子时长内的账户登录失败次数;
本步骤中,获取将一定时长(监控时长)划分的各个子时长内针对登录账户发生的登录失败行为的次数。其中,可以采集或监控在一定时长内针对一登录账户发生的登录行为的数据,并从中挑选出登录失败行为的数据。还可以直接采集或监控该监控时长内针对该登录账户的登录失败行为的数据,具体不做限定。其中,为提高该段时长内的对该登录账户是否发生暴破攻击行为的识别准确性,对该段时长进行至少两个子时长的划分,得到各个子时长。划分的子时长之间可以相等,也可以不相等。
可以理解,所述目标行为数据可以是原始行为数据,如为在各个子时长内的账户登录失败的次数信息,该原始行为数据可输入至训练完成的识别模型。与目标行为数据为原始行为数据相比,目标行为数据还可以是将原始行为数据经过预处理后的数据,该预处理后的数据可以认为更能够方便识别模型进行暴破攻击行为识别的数据。
S102:将所述目标行为数据输入至训练完成的识别模型;
可以理解,本申请实施例中的识别模型可以是任何合理的模型如神经网络模型。其中,神经网络如循环神经网络(RNN,Recurrent Nerual Network)、深度模型均可用于本申请实施例。
S103:所述识别模型对所述目标行为数据进行处理,得到处理结果,所述处理结果表征为在所述监控时长内的登录失败行为是否为暴破攻击行为。
执行S101~S103的主体为识别设备。
本申请实施例中,将监控时长进行子时长的划分,并利用子时长内的账户登录失败次数进行暴破攻击行为的识别,可使暴破攻击行为识别依赖的数据更为细致,更为准确,可在一定程度上保证识别准确性。此外,利用训练完成的识别模型而得到整个监控时长内的登录失败行为是否是暴破攻击行为的识别结果,由于识别模型具有较强的鲁棒性和识别准确性,不易受外界因素的影响,可使暴破攻击行为的识别更加准确,大大提升识别准确性。
可以理解,如果获得的账户登录失败次数是在各子时长对某一登录账户(目标登录账户)的登录失败的次数,则利用前述的技术方案,可实现对监控时长内采用目标登录账户进行登录失败行为是否是暴破攻击行为的识别。首先,对表征为该监控时长内的各个子时长内的登录失败次数信息(目标行为数据)进行获取,并针对该信息,得到基于各子时长内的登录失败行为是暴破攻击行为的概率或不是暴破攻击行为的概率,进而基于各子时长内的登录失败行为是否为暴破攻击行为的概率而得到整个监控时长内的登录失败行为是否是暴破攻击行为的识别结果,也即基于各子时长内的登录失败行为的识别结果确定整个监控时长内的登录失败行为的结果,与相关技术中的利用登录失败次数与阈值之间的比较结果进行暴破攻击行为的识别方案相比,可使暴破攻击行为的识别更加严谨,大大提升识别准确性。
本步骤中,针对目标登录账户是否发生暴破攻击行为的描述可以理解为在监控时长内登录该目标登录账户的多次登录失败行为是由非法用户如黑客的非法入侵(暴破攻击行为)而产生的还是由合法用户的登录而产生的。
在实际应用中,如果目标行为数据为原始行为数据即未经过预处理的行为数据,则考虑到各个子时长内的失败登录次数的单位无法统一,如有的子时长内的失败登录次数为100,为百为级别的数量级,有的子时长内的失败登录次数为10000,为万为级别的数量级,可在对目标概率进行计算之前,先进行单位的统一。也即,在一个优选的实施例中,如图2所示,在S102之前,所述方法还包括:
S101:获得原始行为数据;
S101’:对所述原始行为数据进行预处理,得到目标行为数据;
也即对所述各个子时长内的账户登录失败次数进行预处理,得到所述目标行为数据。
相应的,S102为S102’:将所述目标行为数据输入至训练完成的识别模型,依据所述目标行为数据,所述识别模型计算目标概率,所述目标概率表征为各个子时长内的账户登录失败次数属于暴破攻击行为的概率或者不属于暴破攻击行为的概率。
S103:依据目标概率,确定在所述监控时长内的登录失败行为是否为暴破攻击行为。
本申请实施例中,监控一定时长(监控时长)内的各子时长内的账户登录情况,并计算各子时长内的账户登录失败的次数,将各个子时长内的账户登录失败次数进行预处理,得到目标行为数据。由识别模型对目标行为数据进行计算,得到各子时长内的登录失败行为是否为暴破攻击行为的概率,进而得到整个监控时长内的登录失败行为是否是暴破攻击行为的识别结果。与相关技术中的通过统计出的登录失败次数与设定的阈值之间的关系进行暴破攻击行为的识别方案相比,使得识别更加严谨,可大大提升识别准确性。
本申请还提供识别方法的第三实施例,应用于识别设备中,如图3所示,所述方法包括:
S201:获取原始行为数据,所述原始行为数据为在监控时长的各个子时长内的账户登录失败次数;
S202a:获得目标序列,所述目标序列为各个子时长内的账户登录失败次数的集合;
S202b:计算目标序列的均值和方差;
S202c:依据计算出的均值和方差,对目标序列进行归一化操作,得到目标行为数据;
前述的S201~S202c为实现对所述行为数据进行预处理,得到目标行为数据的一种具体实现方式。
S203:依据所述目标行为数据,所述识别模型计算目标概率,所述目标概率表征为各个子时长内的账户登录失败次数属于暴破攻击行为的概率或者不属于暴破攻击行为的概率;
S204:依据计算出的目标概率,确定在所述监控时长内的登录失败行为是否为暴破攻击行为。
前述方案中,为方便对原始行为数据的预处理,将各个子时长内发生登录失败行为的次数集合为目标序列,根据目标序列的均值和方差进行归一化操作(该归一化操作至少使得各个子时长内的登录失败行为的次数的数量级进行了统一),得到目标行为数据。目标行为数据至少根据多个登录失败行为次数的均值和方差而得到,使得目标行为数据符合高斯分布,可以更好地适应长尾问题,以令各个子时长内针对该登录账户是否为暴破攻击行为的概率的计算更加准确,进而可进一步地提高对监控时长内的登录失败行为是否为暴破攻击行为的识别准确性。
在一个可选的方案中,在计算出目标概率之后,依据计算出的目标概率,确定在所述监控时长内的登录失败行为是否为暴破攻击行为,进一步为:计算目标概率的归一化函数值;获得所述归一化函数值与设定的阈值之间的比较结果;依据比较结果,确定采用在所述监控时长内的登录失败行为是否为暴破攻击行为。本可选方案中,利用训练完成的识别模型,将目标行为数据输入至识别模型得到目标概率,计算目标概率的归一化函数值,利用归一化函数值与设定的阈值之间的比较结果进行监控时长内是否发生暴破攻击行为的确定,与相关技术的方案相比,可大大提升识别准确性。
在一个可选的方案中,在归一化函数值大于等于所述阈值的情况下,确定在所述监控时长内的登录失败行为是暴破攻击行为;在归一化函数值小于所述阈值的情况下,确定在所述监控时长内的登录失败行为不是暴破攻击行为。本可选方案中,根据归一化函数值与设定的阈值之间的大小关系进行监控时长内是否发生暴破攻击行为的识别,使得识别过程更加严谨,可大大提高识别准确性。
可以理解,所述监控时长内的登录失败行为为针对目标登录账户的登录失败行为,相应的,所述在归一化函数值大于等于所述阈值的情况下,所述方法还包括:获得针对所述目标登录账户的历史数据;判断在所述监控时长内针对所述目标登录账户发生的登录失败行为与所述历史数据是否匹配;当在所述监控时长内针对所述目标登录账户发生的登录失败行为与所述历史数据不匹配时,确定采用所述目标登录账户在所述监控时长内的登录失败行为是暴破攻击行为;当在所述监控时长内针对所述目标登录账户发生的登录失败行为与所述历史数据匹配时,确定采用所述目标登录账户在所述监控时长内的登录失败行为不是暴破攻击行为。本可选方案中,在归一化函数值大于等于阈值的情况下,还需要进一步根据在监控时长内针对所述目标登录账户发生的登录失败行为与历史数据是否匹配的结果,确定是否发生暴破攻击行为,相当于将归一化函数值与阈值大小之间的比对结果和针对目标登录账户发生的登录失败行为与历史数据之间的匹配结果进行结合确定是否发生暴破攻击行为,可进一步保证识别准确性。
前述方案中涉及到的识别模型经训练完成,具体可采用如下方案进行模型的训练:获得目标训练数据,所述目标训练数据表征为在多个时长内的失败登录次数以及在各个所述时长内判断为是否产生暴破攻击行为的结果;基于所述目标训练数据对所述识别模型进行训练。可以理解,目标训练数据可以是原始训练数据,也即为多个时长内的失败登录次数以及是否产生暴破攻击行为的结果;还可以是对原始训练数据进行预处理的数据,如对原始训练数据进行均值和方差的计算,并进行归一化,得到目标训练数据。再基于归一化的数据对识别模型进行训练。其中,不论目标训练数据为原始训练数据还是经预处理后的训练数据,目标训练数据中每个时长内针对目标登录账号的多个失败登录次数、以及各个时长内判断为针对所述登录账户是否产生暴破攻击行为的结果均为已知的数据,利用这两种已知数据或者利用已知数据进行预处理后的数据进行识别模型的训练,可保证识别模型的训练准确性,可利用较为准确的识别模型进行是否发生暴破攻击行为的识别,其准确性也可被提升。以上方案也可视为获得经训练完成的识别模型的具体实现过程。
下面结合附图4和图5对本申请实施例的技术方案做进一步说明。
如图4所示,本应用场景中通过三个阶段:训练阶段、测试阶段和应用阶段进行方案的阐述。可以理解,训练阶段用于对识别模型进行训练,也可视为得到识别模型的过程。测试阶段用于对识别模型进行校正以使得识别模型更加准确,为本申请实施例中得到识别模型的进一步优化方案。应用阶段用于利用经测试阶段得到的识别模型和获取到的各个子时长内的行为数据进行监控时间内登录账户的登录失败行为是否是暴破攻击行为的识别。
需要说明的是,本应用场景是利用机器学习技术进行的是否为暴破攻击行为的识别。其中,所采用的识别模型可以为任何合理的机器学习模型、如循环神经网络(RNN,Recurrent Nerual Network)的模型、卷积神经网络(CNN)。其中,长短期记忆循环网络(LSTM,Long Short-term Memory)作为一种循环神经网络,可从时间上进行登录行为事件的分析。本应用场景中采用LSTM的变种-门控循环单元(GRU)作为识别模型完成训练、测试以及应用等三个阶段的过程。
本领域技术人员应该理解,RNN模型的数学表达式可如下式所示:Y=f(X);其中,X代表着模型的输入;Y表示模型的输出。在本应用场景中,模型的输入为一定时长内针对某登录账户的登录失败行为的次数;模型的输出为识别在该一定时长内针对该登录账户的登录失败行为是否为暴破攻击行为,例如,在Y=1的情况下可视为是暴破攻击行为;在Y=0的情况下可视为不是暴破攻击行为。f()表示从输入到输出的映射函数,表示着一种X与Y之间的函数关系。GRU作为RNN模型的一种变形,其数学表达式也可如上所示,在利用GRU进行暴破攻击行为的识别之前,需要知道f()表达式的具体表示形式。本领域技术人员应该而知,GRU的数学表达式通常用yi=f(uxi+wyi-1+b);其中,xi为GRU的第i个输入-也即为在第i个所述一定时长内针对该登录账户的登录失败行为的次数;yi为针对第i个输入而得到的为暴破攻击行为或不是暴破攻击行为的识别结果。b为GRU的偏置参数,u为GRU模型输入的权重参数。可以理解,yi的取值是与针对第i-1个输入而得到的为暴破攻击行为或不是暴破攻击行为的识别结果yi-1有关,这个关系可用关联参数w来表示。在本应用场景中,Y=[y1,y2...yn],其中n表示模型输入的数量,也即有几个针对该登录账户的登录失败行为的次数;在yi=1的情况下可视为针对第i个输入(第i个一定时长内针对该登录账户的登录失败行为的次数)是暴破攻击行为;在yi=0的情况下可视为针对第i个输入不是暴破攻击行为。本应用场景中的训练阶段意在通过输入多个已知的登录失败行为次数(n个xi)和已知的识别结果(n个yi)对前述的模型进行训练,也即通过已知的n个xi和已知的n个yi来求取GRU模型中的u、w和b等参数。
结合图5所示,在训练阶段中:
S401:采集样本数据,将样本数据进行划分,分成原始训练数据和原始测试数据;
可以理解,本应用场景中的样本数据为实际发生的数据,如在t1时长内针对登录账户A(目标登录账户)的登录失败行为次数为100的登录行为是暴破攻击行为,还如在t2时长内针对登录账户A的登录失败行为次数为10的登录行为不是暴破攻击行为,等等。其中,t1、t2根据实际的情况而定,可以相同,也可以不同。本应用场景中,可对实际发生的数据进行记录,如记录在数据库中,等待需要时从数据库进行样本数据的采集。
将采集的样本数据进行两部分的划分,得到训练数据和测试数据(原始训练数据和原始测试数据)。其中,训练数据用于对GRU模型的训练以得到GRU模型中的u、w和b等参数。测试数据用于对训练出的GRU模型、具体是u、w和b等参数进行校正,以使得GRU模型越来越准确。
S402:对训练数据进行预处理,得到经预处理的训练数据(可视为目标训练数据);
本应用场景中,假定训练数据为n个:t1时长内针对一登录账户如登录账户A的登录失败行为的次数以及该登录行为是否为暴破攻击行为的结果,t2时长内针对该登录账户的登录失败行为的次数以及该登录行为是否为暴破攻击行为的结果…tn时长内针对一登录账户的登录失败行为的次数以及该登录行为是否为暴破攻击行为的结果。
本领域技术人员应该而知,在实际应用中,每个时长内的登录失败行为的次数的数量级是随机的,如t1时长内的登录失败行为的次数为100次、以百作为数量级;t2时长内的登录失败行为的次数为1万次、以万作为数量级;数量级差异较大。为便于对GRU模型的训练,在得到训练数据之后,还需要对训练数据中的登录失败行为的次数进行如下预处理,以将训练数据统一到相同的空间:将采集的所有训练数据进行集合,具体可以按照采集顺序进行集合,得到一训练序列,将该训练序列划分为两个子序列,第一子序列用于按照采集顺序记录各个时长内针对登录账户的登录失败行为的次数Xi;第二子序列用于按照采集顺序记录针对各个时长内针对登录账户的登录失败行为的次数而实际发生的该登录失败行为是暴破攻击行为或不是暴破攻击行为的结果yi。计算第一子序列的均值μ和方差σ,并利用公式
Figure BDA0002291674250000131
进行归一化处理,得到目标训练数据n个xi和yi
S403:将目标训练数据中的登录失败行为的次数作为输入,将登录失败行为为暴破攻击行为或不为暴破攻击行为的结果作为输出,对GRU模型进行训练;
本步骤中,将n个xi作为GRU模型的输入,将n个yi作为GRU模型的输出,对GRU模型进行训练。对于GRU模型yi=f(uxi+wyi-1+b)来说,相当于在已知输入xi和输出yi的情况下对u、w和b等参数进行求取。
测试阶段:
S404:利用原始测试数据,对GRU模型进行测试;
本步骤中,将S401中经对样本数据划分得到原始测试数据进行如S402所示的将测试数据统一到相同空间的预处理,得到目标测试数据,将目标测试数据中的登录失败行为的次数作为输入,将登录失败行为为暴破攻击行为或不为暴破攻击行为的结果作为输出,对GRU模型进行测试。
本领域技术人员应该而知,对GRU模型进行测试,一方面,是利用测试数据对GRU模型训练出的u、w和b等参数进行校正。因为目标测试数据中作为模型输入的数据-登录失败行为的次数为已知的,目标测试数据中作为模型输出的数据-登录失败行为是暴破攻击行为或不是暴破攻击行为的结果也为已知的,利用这已知的输入和输出,对S403训练出的GRU模型中的u、w和b等参数进行校正,以得到更为准确的GRU模型。
另一方面,对GRU模型进行测试,是为了得到更为准确的训练数据,以利用更为准确的训练数据对GRU模型进行训练,进而得到更为准确的u、w和b等参数。在测试阶段中,针对测试数据,将测试数据中的登录失败行为的次数作为输入,利用训练出的GRU模型进行是暴破攻击行为或不是暴破攻击行为的识别,将利用训练出的GRU模型识别出的结果与测试数据中针对各个输入而实际发生的该输入是暴破攻击行为或不是暴破攻击行为的结果进行比对,如果比对为一致,将该输入及针对该输入而实际发生的是暴破攻击行为或不是暴破攻击行为的结果进行对应记录,添加到数据库中。如果比对为不一致,则将针对该输入而实际发生的是暴破攻击行为或不是暴破攻击行为的结果进行人工标注,并将标注结果及该被标注结果对应的输入添加到数据库中。如上方案相当于对数据库进行更新操作,以使S401能够采集到更为准确的样本数据。
可以理解,本应用场景中的训练阶段和测试阶段的步骤可以仅执行一次,还可以执行两次及以上。优选为两次或两次以上。在训练阶段(S401~S403)和测试阶段(S404)中,在执行一次S401~S404之后,还可以将添加到数据库中的数据作为训练数据从S404返回至S402继续执行下一次或者多次对GRU模型的训练和测试过程。训练和测试过程,在训练出的GRU模型的损失函数最小的情况下停止。其中,损失函数可以采用最小误差(MSE)函数,该函数表示利用训练出的GRU模型对登录失败行为是否是暴破攻击行为的识别结果与该登录失败行为是暴破攻击行为或不是暴破攻击行为的实际结果之差的平方的期望。在判断为使得MSE取得最小的情况下,可停止对GRU模型的训练,GRU模型训练完成或训练好。其中,使得MSE取得最小的情况的u、w和b等参数均收敛(接近各自的理想值),经过对GRU模型的多次训练和测试,可保证GRU模型的准确性,可为后续应用阶段中对是否为暴破攻击行为的识别提供一定的保障。在MSE未取得最小的情况下,将添加到数据库中的数据作为训练数据从S404返回至S402继续执行下一次或者多次的训练和测试过程,直至MSE取得最小。
在GRU模型训练完成或训练好的情况下,可进入应用阶段:
S405:对暴破流量进行监控,将监控到的暴破流量进行预处理,得到目标行为数据;
本步骤中的暴破流量可认为是产生的登录失败行为的事件,具体可以是针对目标登录账户如登录账户A产生的多次登录失败行为的事件。本应用场景中,可对针对各个登录账户产生登录失败行为的事件进行监控。监控到的事件可视为监控到的原始行为数据。针对监控到的针对同一登录账户(目标登录账户)的暴破流量而言,将针对该登录账户而监控到的暴破流量进行预处理操作包括编码和正则化操作。其中,编码操作是将监控时长T内监控到的暴破流量转化为数学表达式。具体可以是:假设采样间隔为W,每个W时长(监控时长T的子时长)内登录失败次数简单记录为p,假设监控时长T内有M个采样点,则将监控时长T内的暴破流量可编码为P={p1,p2,p3...,pj},其中,j为正整数且1≤j≤M。可以理解,对暴破流量进行编码的P即可视为集合各个子时长内针对登录账户发生登录失败行为的次数为目标序列。
对编码后的P={p1,p2,p3...,pj}进行z-正则化处理,具体可以是:计算P的均值μ'和方差σ',根据公式
Figure BDA0002291674250000151
对目标序列进行归一化操作,以将监控到的行为数据统一到相同的空间。这种z-正则化操作,可使得监控到的每个w时长内的登录失败次数符合高斯分布,避免由于相同时长内监控到的登录失败次数的数量级不同而导致的无法统一数量级的问题,可以更好地适应长尾问题。如此,便使得经过预处理后的行为数据更为准确,由此可保证对目标概率和各个W时长内针对该登录账户是否发生暴破攻击行为的概率的计算更加准确。
S406:利用训练好的GRU模型对各子时长内的登录失败行为进行是暴破攻击行为或不是暴破攻击行为的概率的计算;
本步骤中,将P={p1,p2,p3...,pj}中的各个pj作为训练好的GRU模型的输入,输入至训练好的GRU模型,得到
Figure BDA0002291674250000152
其中,c表示为类别代表为暴破攻击行为或不为暴破攻击行为。目标概率
Figure BDA0002291674250000153
代表着针对第j个输入(第j个w时长内针对登录账户的失败登录行为的次数)而得到的该登录失败行为为暴破攻击行为的概率。
S407:将计算出的概率值输入至分类器,由分类器对监控时长内针对一登录账户的登录失败行为是暴破攻击行为的概率进行计算;根据计算结果,确定监控时长内针对一登录账户的登录失败行为是暴破攻击行为是否是暴破攻击行为;
在具体实现上,如果将
Figure BDA0002291674250000161
视为一个序列,将该序列输入至模型的分类器中,分类器采用归一化函数(Softmax)进行运算,得到对监控时长内针对一登录账户的失败登录行为是暴破攻击行为的概率(归一化函数值),将该归一化函数值与设定的阈值如0.5进行比较,在归一化函数值小于该阈值的情况下,确定在相应的W时长内针对所述登录账户未发生暴破攻击行为。在归一化函数值大于等于该阈值的情况下,确定在相应的w时长内针对该登录账户发生暴破攻击行为。
为方便理解,此处特举例说明一下,假定为登录账户A的监控时长内划分的子时长的数量为j个,针对GRU模型为第1~第j个p内的登录失败行为计算出的是暴破攻击行为的概率,如果经Softmax运算,其归一化函数值小于0.5,则说明监控到的第j个W时长内发生的登录失败行为并非是暴破攻击行为,也即第j个W时长内发生的登录失败不是由于黑客的非法入侵而产生的,可能是因为其它原因而导致的。如果经Softmax运算,其归一化函数值大于或等于0.5,则说明监控到的第j个W时长内采用登录账户A发生的登录失败行为是暴破攻击行为,也即第j个W时长内采用登录账户A发生的登录失败是由于黑客的非法入侵而产生的。利用归一化函数值与设定的阈值之间的比较结果进行监控时长内是否发生暴破攻击行为的确定,与相关技术的方案相比,可大大提升识别准确性。
在本应用场景中,在归一化函数值大于等于阈值的情况下,还需要结合历史数据,对其是否是暴破攻击行为进行进一步识别。可以理解,本应用场景中的历史数据对于登录账户产生失败登录的情况进行记录且该失败登录不是由于存在黑客的非法入侵而导致的登录失败也即不是暴破攻击行为。例如,历史数据记载为历史前L天爆破源IP总数为B,若在一个监控子时长W内突然有a*B个爆破源出现,a的大小根据实际经验而灵活设定,如果在应用阶段经过对该w时长内产生的登录失败情况的分析监控到该w时长内出现大量的暴破源,则确认为针对该登录账户发生的登录失败行为与记载的历史数据相匹配,可以认为在监控到的该W监控(子)时长内出现登录失败的原因可能是服务器产生故障,也即由于服务器产生的故障导致对该登录账户产生多次失败登录的行为,而不是因为存在黑客的非法登录而产生的失败登录行为。如果不匹配,则可认为该W时长内出现登录失败的原因是由于存在黑客的非法登录。此处,将归一化函数值与历史数据进行结合,可大大提高识别准确性。
前述方案中,对监控时长进行划分,利用划分的各子时长内的登录失败次数进行暴破攻击行为识别的基础数据,使得基础数据更为细致,可在一定程度上保证识别准确性。此外,本申请实施例中是利用机器学习技术进行的是否为暴破攻击行为的识别,其中考虑到机器学习技术中的模型如GRU模型具有较强的健壮性和鲁棒性,不易受外界环境的干扰,可保证识别准确性。与相关技术中的通过统计出的登录失败次数大于设定的阈值与设定的阈值之间的关系进行暴破攻击行为的确定的方案相比,本应用场景提供的识别方案更加严谨,可大大提升识别准确性。
本领域技术人员应该理解,前述方案是以GRU模型为例进行的说明,除此之外,其他任何合理的机器学习模型如RNN模型、LSTM等均可落入于本申请实施例的保护范围。当然,损失函数还可以采用其它函数、如均方根误差函数、平均误差函数等,具体不赘述。
本申请提供一种识别设备的实施例,如图7所示,所述设备包括:获取单元501、输入单元502及识别模型503;其中,
获取单元501,用于获取目标行为数据,所述目标行为数据表征为在监控时长的各个子时长内的账户登录失败次数;
输入单元502,用于将所述目标行为数据输入至训练完成的识别模型;
识别模型503,用于对所述目标行为数据进行处理,得到处理结果,所述处理结果表征为在所述监控时长内的登录失败行为是否为暴破攻击行为。
在一个可选的实施例中,所述识别模型503,还用于依据所述目标行为数据,所述识别模型计算目标概率,所述目标概率表征为各个子时长内的账户登录失败次数属于暴破攻击行为的概率或者不属于暴破攻击行为的概率;依据计算出的目标概率,确定在所述监控时长内的登录失败行为是否为暴破攻击行为。
在一个可选的实施例中,获取单元501,用于对所述各个子时长内的账户登录失败次数进行预处理,得到所述目标行为数据。进一步的,获取单元501计算所述各个子时长内的账户登录失败次数的均值和方差;依据计算出的均值和方差,对所述各个子时长内的账户登录失败次数进行归一化操作,得到所述目标行为数据。
在一个可选的实施例中,所述识别模型503,还用于计算所述目标概率的归一化函数值;获得所述归一化函数值与设定的阈值之间的比较结果;依据比较结果,确定在所述监控时长内的登录失败行为是否为暴破攻击行为。
在一个可选的实施例中,所述识别模型503,还用于在归一化函数值大于等于所述阈值的情况下,确定在所述监控时长内的登录失败行为是暴破攻击行为;在归一化函数值小于所述阈值的情况下,确定在所述监控时长内的登录失败行为不是暴破攻击行为。
在所述监控时长内的登录失败行为为针对目标登录账户的登录失败行为,相应的,所述在归一化函数值大于等于所述阈值的情况下,所述识别模型503获得针对所述目标登录账户的历史数据;判断在所述监控时长内针对所述目标登录账户发生的登录失败行为与所述历史数据是否匹配;当在所述监控时长内针对所述目标登录账户发生的登录失败行为与所述历史数据不匹配时,确定采用所述目标登录账户在所述监控时长内的登录失败行为是暴破攻击行为;当在所述监控时长内针对所述目标登录账户发生的登录失败行为与所述历史数据匹配时,确定采用所述目标登录账户在所述监控时长内的登录失败行为不是暴破攻击行为。
所述设备还包括训练单元,用于获得目标训练数据,所述目标训练数据表征为在多个时长内的失败登录次数以及在各个所述时长内判断为是否产生暴破攻击行为的结果;基于所述目标训练数据对所述识别模型进行训练。
由于识别方法和识别设备属于相同的技术构思,对于识别设备的具体实现过程请参见前述对识别方法的相关说明。
本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时至少用于执行图1至图5任一所示方法的步骤。所述计算机可读存储介质具体可以为存储器。所述存储器可以为如图6所示的存储器62。
本申请实施例还提供了一种终端。图6为本申请实施例的识别设备的硬件结构示意图,如图6所示,识别设备包括:用于进行数据传输的通信组件63、至少一个处理器61和用于存储能够在处理器61上运行的计算机程序的存储器62。终端中的各个组件通过总线系统64耦合在一起。可理解,总线系统64用于实现这些组件之间的连接通信。总线系统64除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图6中将各种总线都标为总线系统64。
其中,所述处理器61执行所述计算机程序时至少执行图1至图5任一所示方法的步骤。
可以理解,存储器62可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器62旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的方法可以应用于处理器61中,或者由处理器61实现。处理器61可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器61中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器61可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器61可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器62,处理器61读取存储器62中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,识别设备可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、FPGA、通用处理器、控制器、MCU、微处理器(Microprocessor)、或其他电子元件实现,用于执行前述的识别方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (11)

1.一种识别方法,其特征在于,包括:
获取目标行为数据,所述目标行为数据表征为在监控时长的各个子时长内的账户登录失败次数;
将所述目标行为数据输入至训练完成的识别模型;
所述识别模型对所述目标行为数据进行处理,得到处理结果,所述处理结果表征为在所述监控时长内的登录失败行为是否为暴破攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述识别模型对所述目标行为数据进行处理,得到处理结果,包括:
依据所述目标行为数据,所述识别模型计算目标概率,所述目标概率表征为各个子时长内的账户登录失败次数属于暴破攻击行为的概率或者不属于暴破攻击行为的概率;
依据计算出的目标概率,确定在所述监控时长内的登录失败行为是否为暴破攻击行为。
3.根据权利要求2所述的方法,其特征在于,所述获取目标行为数据,包括:
对所述各个子时长内的账户登录失败次数进行预处理,得到所述目标行为数据。
4.根据权利要求3所述的方法,其特征在于,所述对所述各个子时长内的账户登录失败次数进行预处理,得到所述目标行为数据,包括:
计算所述各个子时长内的账户登录失败次数的均值和方差;
依据计算出的均值和方差,对所述各个子时长内的账户登录失败次数进行归一化操作,得到所述目标行为数据。
5.根据权利要求2至4任一项所述的方法,其特征在于,所述依据计算出的目标概率,确定在所述监控时长内的登录失败行为是否为暴破攻击行为,包括:
计算所述目标概率的归一化函数值;
获得所述归一化函数值与设定的阈值之间的比较结果;
依据所述比较结果,确定在所述监控时长内的登录失败行为是否为暴破攻击行为。
6.根据权利要求5所述的方法,其特征在于,所述依据比较结果,确定在所述监控时长内的登录失败行为是否为暴破攻击行为,包括:
在归一化函数值大于等于所述阈值的情况下,确定在所述监控时长内的登录失败行为是暴破攻击行为;
在归一化函数值小于所述阈值的情况下,确定在所述监控时长内的登录失败行为不是暴破攻击行为。
7.根据权利要求6所述的方法,其特征在于,在所述监控时长内的登录失败行为为针对目标登录账户的登录失败行为,相应的,所述在归一化函数值大于等于所述阈值的情况下,所述方法还包括:
获得针对所述目标登录账户的历史数据;
判断在所述监控时长内针对所述目标登录账户发生的登录失败行为与所述历史数据是否匹配;
当在所述监控时长内针对所述目标登录账户发生的登录失败行为与所述历史数据不匹配时,确定采用所述目标登录账户在所述监控时长内的登录失败行为是暴破攻击行为;
当在所述监控时长内针对所述目标登录账户发生的登录失败行为与所述历史数据匹配时,确定采用所述目标登录账户在所述监控时长内的登录失败行为不是暴破攻击行为。
8.根据权利要求1或2所述的方法,其特征在于,所述训练所述识别模型的方法包括:
获得目标训练数据,所述目标训练数据表征为在多个时长内的失败登录次数以及判断为在各个所述时长内的登录失败行为是否暴破攻击行为的结果;
基于所述目标训练数据对所述识别模型进行训练。
9.一种识别设备,其特征在于,包括:
获取单元,用于获取目标行为数据,所述目标行为数据表征为在监控时长的各个子时长内的账户登录失败次数;
输入单元,用于将所述目标行为数据输入至训练完成的识别模型;
所述识别模型对所述目标行为数据进行处理,得到处理结果,所述处理结果表征为在所述监控时长内的登录失败行为是否为暴破攻击行为。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至8任一所述方法的步骤。
11.一种识别设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至8任一所述方法的步骤。
CN201911182602.2A 2019-11-27 2019-11-27 识别方法、设备及存储介质 Pending CN112861120A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911182602.2A CN112861120A (zh) 2019-11-27 2019-11-27 识别方法、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911182602.2A CN112861120A (zh) 2019-11-27 2019-11-27 识别方法、设备及存储介质

Publications (1)

Publication Number Publication Date
CN112861120A true CN112861120A (zh) 2021-05-28

Family

ID=75985691

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911182602.2A Pending CN112861120A (zh) 2019-11-27 2019-11-27 识别方法、设备及存储介质

Country Status (1)

Country Link
CN (1) CN112861120A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114866333A (zh) * 2022-06-09 2022-08-05 中国平安财产保险股份有限公司 暴力破解请求的智能识别方法、装置、电子设备及介质

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106209862A (zh) * 2016-07-14 2016-12-07 微梦创科网络科技(中国)有限公司 一种盗号防御实现方法及装置
CN106656640A (zh) * 2017-03-14 2017-05-10 北京深思数盾科技股份有限公司 网络攻击的预警方法及装置
CN108092975A (zh) * 2017-12-07 2018-05-29 上海携程商务有限公司 异常登录的识别方法、系统、存储介质和电子设备
CN108304308A (zh) * 2018-02-07 2018-07-20 平安普惠企业管理有限公司 用户行为监控方法、装置、计算机设备和存储介质
CN108429753A (zh) * 2018-03-16 2018-08-21 重庆邮电大学 一种快速特征匹配的工业网络DDoS入侵检测方法
CN108763889A (zh) * 2018-05-31 2018-11-06 郑州云海信息技术有限公司 一种登录验证方法、装置、设备及可读存储介质
CN108924118A (zh) * 2018-06-27 2018-11-30 亚信科技(成都)有限公司 一种撞库行为检测方法及系统
CN109325691A (zh) * 2018-09-27 2019-02-12 上海观安信息技术股份有限公司 异常行为分析方法、电子设备及计算机程序产品
CN109743325A (zh) * 2019-01-11 2019-05-10 北京中睿天下信息技术有限公司 一种暴力破解攻击检测方法、系统、设备及存储介质
CN109936525A (zh) * 2017-12-15 2019-06-25 阿里巴巴集团控股有限公司 一种基于图结构模型的异常账号防控方法、装置以及设备
CN109981647A (zh) * 2019-03-27 2019-07-05 北京百度网讯科技有限公司 用于检测暴力破解的方法和装置
CN110213199A (zh) * 2018-02-28 2019-09-06 中国移动通信集团有限公司 一种撞库攻击监控方法、装置、系统及计算机存储介质
CN110278175A (zh) * 2018-03-14 2019-09-24 阿里巴巴集团控股有限公司 图结构模型训练、垃圾账户识别方法、装置以及设备

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106209862A (zh) * 2016-07-14 2016-12-07 微梦创科网络科技(中国)有限公司 一种盗号防御实现方法及装置
CN106656640A (zh) * 2017-03-14 2017-05-10 北京深思数盾科技股份有限公司 网络攻击的预警方法及装置
CN108092975A (zh) * 2017-12-07 2018-05-29 上海携程商务有限公司 异常登录的识别方法、系统、存储介质和电子设备
CN109936525A (zh) * 2017-12-15 2019-06-25 阿里巴巴集团控股有限公司 一种基于图结构模型的异常账号防控方法、装置以及设备
CN108304308A (zh) * 2018-02-07 2018-07-20 平安普惠企业管理有限公司 用户行为监控方法、装置、计算机设备和存储介质
CN110213199A (zh) * 2018-02-28 2019-09-06 中国移动通信集团有限公司 一种撞库攻击监控方法、装置、系统及计算机存储介质
CN110278175A (zh) * 2018-03-14 2019-09-24 阿里巴巴集团控股有限公司 图结构模型训练、垃圾账户识别方法、装置以及设备
CN108429753A (zh) * 2018-03-16 2018-08-21 重庆邮电大学 一种快速特征匹配的工业网络DDoS入侵检测方法
CN108763889A (zh) * 2018-05-31 2018-11-06 郑州云海信息技术有限公司 一种登录验证方法、装置、设备及可读存储介质
CN108924118A (zh) * 2018-06-27 2018-11-30 亚信科技(成都)有限公司 一种撞库行为检测方法及系统
CN109325691A (zh) * 2018-09-27 2019-02-12 上海观安信息技术股份有限公司 异常行为分析方法、电子设备及计算机程序产品
CN109743325A (zh) * 2019-01-11 2019-05-10 北京中睿天下信息技术有限公司 一种暴力破解攻击检测方法、系统、设备及存储介质
CN109981647A (zh) * 2019-03-27 2019-07-05 北京百度网讯科技有限公司 用于检测暴力破解的方法和装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114866333A (zh) * 2022-06-09 2022-08-05 中国平安财产保险股份有限公司 暴力破解请求的智能识别方法、装置、电子设备及介质

Similar Documents

Publication Publication Date Title
CN108234347B (zh) 一种提取特征串的方法、装置、网络设备及存储介质
CN108989150B (zh) 一种登录异常检测方法及装置
CN111784348A (zh) 账户风险识别方法及装置
CN106649831B (zh) 一种数据过滤方法及装置
CN108923972B (zh) 一种去重流量提示方法、装置、服务器及存储介质
CN111045894A (zh) 数据库异常检测方法、装置、计算机设备和存储介质
CN113992340B (zh) 用户异常行为识别方法、装置、设备和存储介质
CN109450869B (zh) 一种基于用户反馈的业务安全防护方法
CN115174231A (zh) 一种基于AI Knowledge Base的网络欺诈分析方法及服务器
CN115001753A (zh) 一种关联告警的分析方法、装置、电子设备及存储介质
CN112988525A (zh) 一种告警关联规则的匹配方法及装置
CN112861120A (zh) 识别方法、设备及存储介质
CN109284331B (zh) 基于业务数据资源的制证信息获取方法、终端设备及介质
CN108923967B (zh) 一种去重流量记录方法、装置、服务器及存储介质
CN113282920A (zh) 日志异常检测方法、装置、计算机设备和存储介质
CN111080233B (zh) 一种生成签约信息的方法、装置和存储介质
CN113010785A (zh) 用户推荐方法及设备
CN114862372B (zh) 基于区块链的智慧教育数据防篡改处理方法及系统
CN112445785A (zh) 一种账号爆破检测方法及相关装置
CN114928493B (zh) 基于威胁攻击大数据的威胁情报生成方法及ai安全系统
CN110990223A (zh) 一种基于系统日志的监控告警方法及装置
CN110874601A (zh) 识别设备运行状态的方法、状态识别模型训练方法及装置
CN111786991B (zh) 基于区块链的平台认证登录方法及相关装置
CN110674839B (zh) 异常用户识别方法、装置、存储介质及电子设备
CN112149036A (zh) 一种批量非正常互动行为的识别方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination