CN113114620A - 一种暴力破解的检测方法和装置,及存储介质 - Google Patents
一种暴力破解的检测方法和装置,及存储介质 Download PDFInfo
- Publication number
- CN113114620A CN113114620A CN202110232185.9A CN202110232185A CN113114620A CN 113114620 A CN113114620 A CN 113114620A CN 202110232185 A CN202110232185 A CN 202110232185A CN 113114620 A CN113114620 A CN 113114620A
- Authority
- CN
- China
- Prior art keywords
- sequence
- login
- brute force
- force cracking
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请实施例公开了一种暴力破解的检测方法和装置,及存储介质,暴力破解的检测方法包括获取登录数据对应的登陆序列;使用至少一个滑动窗口对登陆序列进行归并处理,获得归并序列;获取归并序列的序列特征,并根据序列特征进行暴力破解的检测,获得检测结果。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种暴力破解的检测方法和装置,及存储介质。
背景技术
全球广域网(World Wide Web,Web)服务的登录认证方式无统一标准,企业往往拥有多种多样的Web服务,而暴力破解由于操作简单、利用成本低的特点,成为多数黑客首选的攻击手段,因此,如何保护企业Web服务,防止登录信息被暴力破解就显得愈发重要。
关于暴力破解的检测方法,现有技术通常采用设置的阈值来判断是否有暴力破解行为,但阈值的设置方式不够灵活,存在误判的可能,并且当面对一些不易识别、更高级别的暴力破解时,无法有效识别出暴力破解的攻击行为,进而造成登陆信息被暴力破解的问题。
发明内容
本申请实施例提供了一种暴力破解的检测方法和装置,及存储介质,能够提高暴力破解的检出率,大大降低暴力破解的误判率。
本申请实施例的技术方案是这样实现的:
第一方面,本申请实施例提供了一种暴力破解的检测方法,所述方法包括:
获取登录数据对应的登陆序列;
使用至少一个滑动窗口对所述登陆序列进行归并处理,获得归并序列;
获取所述归并序列的序列特征,并根据所述序列特征进行暴力破解的检测,获得检测结果。
第二方面,本申请实施例提供了一种检测设备,所述检测设备包括:获取单元和检测单元,
所述获取单元,用于获取登录数据对应的登陆序列;使用至少一个滑动窗口对所述登陆序列进行归并处理,获得归并序列;获取所述归并序列的序列特征;
所述检测单元,用于根据所述序列特征进行暴力破解的检测,获得检测结果。
第三方面,本申请实施例提供了一种检测设备,检测设备还包括处理器、存储有所述处理器可执行指令的存储器,当所述指令被所述处理器执行时,实现如上所述的暴力破解的检测方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有程序,应用于检测设备中,所述程序被处理器执行时,实现如上所述的暴力破解的检测方法。
本申请实施例提供了一种暴力破解的检测方法和装置,及存储介质,获取登录数据对应的登陆序列;使用至少一个滑动窗口对登陆序列进行归并处理,获得归并序列;获取归并序列的序列特征,并根据序列特征进行暴力破解的检测,获得检测结果。也就是说,在本申请的实施例中,在面对如不同类型的暴力破解时,通过获取登录数据集对应的登陆序列,并利用至少一个滑动窗口对登陆序列进行归并处理,从而利于对序列特征进行计算,最后通过归并序列对应的序列特征得到暴力破解的检测结果,判定是否存在暴力破解,从而提高了暴力破解的检出率,降低暴力破解误判率,对客户业务进行有效地防护。
附图说明
图1为本申请实施例提出的暴力破解的检测方法的实现流程示意图一;
图2为本申请实施例提出的暴力破解的检测方法的实现流程示意图二;
图3为本申请实施例提出的暴力破解的检测方法的实现流程示意图三;
图4为本申请实施例提出的暴力破解的检测方法的实现流程示意图四;
图5为本申请实施例提出的暴力破解的检测方法的实现流程示意图五;
图6为本申请实施例提出的暴力破解的检测方法的实现流程示意图六;
图7为本申请实施例提出的暴力破解的检测方法的实现流程示意图七;
图8为本申请实施例提出的暴力破解的检测方法的实现流程示意图八;
图9为本申请实施例提出的暴力破解的检测方法的实现流程示意图九;
图10为本申请实施例提出的暴力破解的检测方法的实现流程示意图十;
图11为本申请实施例提出的暴力破解的检测设备的组成结构示意图一;
图12为本申请实施例提出的暴力破解的检测设备的组成结构示意图二。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。可以理解的是,此处所描述的具体实施例仅用于解释相关申请,而非对该申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关申请相关的部分。
目前在Web服务中,暴力破解的检测方法的相关技术通常是结合阈值来判断是否有暴力破解行为,但阈值的设置方式不够灵活,存在误判的可能,并且当面对一些不易识别、更高级别的暴力破解时,检测容易被绕过,而无法有效识别出暴力破解的攻击行为。
暴力破解的原理是攻击者采用自己的用户名和密码工具,通过不断地用密码工具对密码进行枚举,来达到破解的目的。在常见的暴力破解类型中,高频暴力破解是一种较容易被检测到的暴力破解行为,由于其在短时间内反复进行破解的频率很高,所以较容易被识别;而在一些高级别的暴力破解中,如中低频暴力破解和分布式暴力破解,中低频暴力破解的特点是攻击的频率较低,因此,如果采用常用的检测方法可能会识别不出,而分布式暴力破解的原理是通过操纵代理服务器或被控制的终端机器进行攻击,从而可以造成不同客户在访问的假象,以此来欺骗检测软件,达到绕过检测的目的。所以,如何有效识别并检测出这类高级别的暴力破解,防止对暴力破解的误判,进而提高Web服务的安全性,成为一个亟待解决的技术问题。
为了解决现有的Web服务暴力破解的检测方法中所存在的问题,本申请实施例提供了一种暴力破解的检测方法和装置,及存储介质,具体地,获取登录数据对应的登陆序列;使用至少一个滑动窗口对登陆序列进行归并处理,获得归并序列;获取归并序列的序列特征,并根据序列特征进行暴力破解的检测,获得检测结果。从而实现对暴力破解行为的有效识别,降低对暴力破解的误判,提高了Web服务的安全性。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
实施例一
本申请实施例提供了一种暴力破解的检测方法,图1为本申请实施例提出的暴力破解的检测方法的实现流程示意图一,如图1所示,在本申请的实施例中,检测设备检测暴力破解的方法可以包括以下步骤:
步骤101、获取登录数据对应的登陆序列。
在本申请的实施例中,检测设备在进行暴力破解的检测时,首先需要获取统一标准格式下的登陆数据,进而才能根据登陆数据进行后续的暴力破解检测。
需要说明的是,在本申请的实施例中,检测设备通过对审计日志中的登陆信息进行数据清洗处理,从而获取登陆数据。
需要说明的是,在本申请的实施例中,审计日志用于存储登陆信息,登陆信息的内容可以包括:登陆用户名、密码和登陆状态等信息,将登陆信息存储于审计日志中,就可以通过提取审计日志中的登陆信息,为后续暴力破解的检测提供数据支持。
示例性的,在本申请的实施例中,在进行暴力破解的检测之前,首先提取审计日志中的登陆信息,登陆信息中包括登陆用户名、密码和登陆状态等信息,然后根据登陆数据格式对审计日志中的登陆信息进行数据清洗处理,去除所述登陆信息中的多余数据,补充缺失数据,纠正或删除错误数据,从而获得包含登陆用户名、密码和登陆状态等信息的登陆数据。
在本申请的实施例中,获取登录数据对应的登陆序列包括按照第一维度对所述登录数据进行序列化处理,获得第一登陆序列和按照第二维度对登录数据进行序列化处理,获得第二登陆序列。
在本申请的实施例中,在获取登陆数据以后,检测设备对登陆数据进行序列化处理,获得第一维度对应的第一登陆序列。
需要说明的是,在本申请的实施例中,检测设备对登陆数据进行序列化处理,是对登陆数据进行时间尺度下的序列化处理,即首先对登陆数据进行时间尺度的分割,然后进行序列化编码,最终得到基于时间尺度下关于次数的序列。
需要说明的是,在本申请的实施例中,维度可以用于对登陆序列进行分类,其中,第一维度为源国际互联协议(Internet Protocol,IP)维度,获取第一维度,即源IP维度下的登陆序列的目的是针对中低频暴力破解的检测。由于中低频暴力破解的特点是攻击频率较低,但其攻击的源IP是一定的,所以,对确定的源IP下的登陆数据进行序列化处理,就可以获取来自这个确定的源IP下的登陆序列,即第一登陆序列,进而可以根据第一登陆序列进行中低频暴力破解的检测,判定是否存在中低频暴力破解,而不因其攻击频率低就造成对中低频暴力破解的漏判。
示例性的,在本申请的实施例中,对登陆数据按照源IP维度进行序列化处理,得到与源IP维度相对应的第一登陆序列,进而根据第一登陆序列进行中低频暴力破解的检测与判定。
在本申请的实施例中,在获取登陆数据以后,检测设备同时还对登陆数据进行序列化处理,获得第二维度对应的第二登陆序列。
需要说明的是,第二维度为用户名维度,获取第二维度,即用户名维度下的登陆序列的目的是针对分布式暴力破解的检测。由于分布式暴力破解的原理是通过操纵代理服务器或被控制的终端机器进行攻击,造成不同客户在访问的假象,以此来欺骗检测软件,绕过检测,所以,整合并获取这些来自不同用户的登陆序列,即第二登陆序列,就可以根据第二登陆序列进行分布式暴力破解的检测,判定是否存在分布式暴力破解,而不因其来自不同的用户就造成对分布式暴力破解的漏判。
需要说明的是,在本申请的实施例中,本申请中采用源IP维度和用户名维度仅为实现对中低频暴力破解和分布式暴力破解的检测的两种实现形式,第一维度和第二维度也可以为其他不同类型的维度,本申请不做限制。
示例性的,在本申请的实施例中,还对登陆数据按照用户名维度进行序列化处理,得到与用户名维度相对应的第二登陆序列,进而根据第二登陆序列进行分布式暴力破解的检测与判定。
步骤102、使用至少一个滑动窗口对登陆序列进行归并处理,获得归并序列。
在本申请的实施例中,在获取登录数据对应的登陆序列之后,检测设备可以使用至少一个滑动窗口对登陆序列进行归并处理,获得归并序列。
需要说明的是,在本申请的实施例中,使用至少一个滑动窗口对登陆序列进行归并处理,获得归并序列包括使用至少一个滑动窗口对第一登陆序列进行归并处理获得第一归并序列,以及对第二登陆序列进行归并处理获得第二归并序列。
需要说明的是,在本申请的实施例中,滑动窗口的大小有多种,可以生成多种时间窗口下的归并序列。例如,大小为10秒的滑动窗口,大小为4小时的另一种滑动窗口,具体的滑动窗口的大小本申请不做限制。
示例性的,在本申请的实施例中,通过使用大小为10秒的滑动窗口和大小为4小时的滑动窗口,对源IP维度下的第一登陆序列进行归并处理,得到大小为10秒的滑动窗口和大小为4小时的滑动窗口下的第一归并序列。当存在攻击行为慢速,攻击频率较低的攻击行为时,可能在大小为10秒的滑动窗口内,根据第一归并序列无法确定是否存在中低频暴力破解,但大小为4小时的滑动窗口下的第一归并序列中,由于统计时间长度更长,即使攻击频率低,也可以检测到连续的攻击行为,因此,更容易检测出是否存在中低频暴力破解。
示例性的,在本申请的实施例中,如果在某个时间段内,攻击行为发生的频率较低,但在其他时间段攻击频率则相对较高时,利用大小为10秒的滑动窗口不一定能覆盖到发生攻击行为的时间段,而大小为4小时的滑动窗口由于统计时间长度更长,更容易覆盖到集中发生攻击行为的时间段,此时,利用大小为4小时的滑动窗口就可能更容易检测出是否存在中低频暴力破解。
在本申请的实施例中,在对登陆数据进行序列化处理,获得第二维度对应的第二登陆序列之后,检测设备可以使用至少一个滑动窗口对第二登陆序列进行归并处理,获得第二登陆序列对应的至少一个第二归并序列。
示例性的,在本申请的实施例中,通过使用大小为10秒的滑动窗口和大小为4小时的滑动窗口,对源IP维度下的第二登陆序列进行归并处理,得到大小为10秒的滑动窗口和大小为4小时的滑动窗口下的第二归并序列。根据步骤102可知通过对登陆数据进行序列化处理,获得了经过整合的用户名维度下的第二登陆序列,所以第二登陆序列可以直接反映出连续的攻击行为,此时若大小为10秒的滑动窗口下的第二归并序列显示攻击次数较少而无法进行判定时,就可以依据大小为4小时的滑动窗口下的第二归并序列进行判定,进而检测出是否存在分布式暴力破解。
需要说明的是,在本申请的实施例中,由于暴力破解攻击行为的发生频率或发生时间段等存在多种不同的情况,因此,滑动窗口的大小和个数的选择均可以依据暴力破解行为的具体情况进行灵活设置,从而获得更好的暴力破解的检测效果。
步骤103、获取归并序列的序列特征,并根据序列特征进行暴力破解的检测,获得检测结果。
在本申请的实施例中,在使用至少一个滑动窗口对登陆序列进行归并处理,获得归并序列以后,检测设备可以获取归并序列的序列特征,并根据序列特征进行暴力破解的检测,获得检测结果。
需要说明的是,在本申请的实施例中,获取归并序列的序列特征包括获取第一归并序列的第一特征和第二归并序列的第二特征。
需要说明的是,在本申请的实施例中,序列特征可以用于对不同种类的暴力破解进行判定,其中,第一特征为针对中低频暴力破解的检测所计算出的序列统计学特征。需要说明的是,第一特征包括序列长度参数、上限参数、均值参数、稠密度参数、序列周期参数以及平稳参数中的至少一个参数。其中,序列长度参数表征序列的时间长度,上限参数表征序列中的最大值,均值参数表征序列的平均值,稠密度参数表征超过序列阈值的比例,序列周期参数表征序列变化呈现的周期性趋势,平稳参数表征超过序列阈值的比例所呈现出的变化趋势。
示例性的,在本申请的实施例中,计算第一归并序列的统计学特征,得到包含序列长度参数和上限参数的第一特征,进而根据包含序列长度参数和上限参数的第一特征进行中低频暴力破解的检测。
示例性的,在本申请的实施例中,计算第一归并序列的统计学特征,得到包含均值参数和稠密度参数的第一特征,进而根据包含均值参数的第一特征进行中低频暴力破解的检测。
示例性的,在本申请的实施例中,计算第一归并序列的统计学特征,得到包含序列周期参数和平稳参数的第一特征,进而根据包含序列周期参数和平稳参数的第一特征进行中低频暴力破解的检测。
示例性的,在本申请的实施例中,计算第一归并序列的统计学特征,得到包含序列长度参数、上限参数、均值参数、稠密度参数的第一特征,进而根据包含序列长度参数、上限参数、均值参数、稠密度参数的第一特征进行中低频暴力破解的检测。
在本申请的实施例中,在使用至少一个滑动窗口对第二登陆序列进行归并处理,获得第二登陆序列对应的至少一个第二归并序列以后,检测设备可以获取至少一个第二归并序列对应的第二特征。
需要说明的是,在本申请的实施例中,第二特征为针对分布式暴力破解的检测所计算出的序列统计学特征。
需要说明的是,第二特征同样包括序列长度参数、上限参数、均值参数、稠密度参数、序列周期参数以及平稳参数中的至少一个参数。
示例性的,在本申请的实施例中,计算第二归并序列的统计学特征,同样可以包括前述第一特征的参数,进而根据包含这类参数的第二特征进行分布式暴力破解的检测。
需要说明的是,在本申请的实施例中,第一特征和第二特征中具体可以包含何种参数,本申请不做具体限制。
需要说明的是,在本申请的实施例中,第一特征和第二特征中包含的参数也可以为上述几种参数以外的其他参数。
在本申请的实施例中,获取至少一个第一归并序列对应的第一特征之后,检测设备可以根据第一特征进行暴力破解的检测,获得检测结果。
具体地,在本申请的实施例中,检测设备可以先设置用于检测中低频暴力破解的第一阈值,在进行暴力破解的检测时,可以将第一特征与第一阈值进行对比,最终根据对比情况获得检测结果。检测结果可以包括:发生中低频暴力破解或未发生中低频暴力破解。
需要说明的是,第一阈值是与中低频暴力破解相对应的特征阈值。
具体地,在本申请的实施例中,若第一特征与第一阈值的对比情况是超过或符合第一阈值,则判定检测结果为存在中低频暴力破解。
示例性的,在本申请的实施例中,如果选择获取的第一特征包括上限参数,则将与上限参数相对应的第一阈值与第一特征进行对比,若超过或符合第一阈值,则判定检测结果为存在中低频暴力破解。
示例性的,在本申请的实施例中,如果选择获取的第一特征包括长度参数、序列周期参数和平稳参数,则将与长度参数、序列周期参数和平稳参数相对应的第一阈值与第一特征进行对比,若超过或符合第一阈值,则判定检测结果为存在中低频暴力破解。
在本申请的实施例中,获取至少一个第二归并序列对应的第二特征之后,检测设备可以根据第二特征进行暴力破解的检测,获得检测结果。
具体地,在本申请的实施例中,检测设备可以先设置用于检测分布式暴力破解的第二阈值,在进行暴力破解的检测时,可以将第二特征与第二阈值进行对比,最终根据对比情况获得检测结果。检测结果可以包括:发生分布式暴力破解或未发生分布式暴力破解。
需要说明的是,第二阈值是与分布式暴力破解相对应的特征阈值。
具体地,在本申请的实施例中,若第二特征与第二阈值的对比情况是超过或符合第二阈值,则判定检测结果为存在分布式暴力破解。
示例性的,在本申请的实施例中,如果选择获取的第二特征包括上限参数,则将与上限参数相对应的第二阈值与第二特征进行对比,若超过或符合第二阈值,则判定检测结果为存在分布式暴力破解。
示例性的,在本申请的实施例中,如果选择获取的第二特征包括长度参数、序列周期参数和平稳参数,则将与长度参数、序列周期参数和平稳参数相对应的第二阈值与第二特征进行对比,若超过或符合第二阈值,则判定检测结果为存在分布式暴力破解。
需要说明的是,在本申请的实施例中,根据第一特征和第二特征中参数的选取情况,会存在多种特征和阈值的对比情况。除上述示例中的对比方式以外,步骤103中的序列特征选取了何种参数,本步骤就采用与之对应的阈值进行对比,具体的对比情况本申请不做具体限制。
图2为本申请实施例提出的暴力破解的检测方法的实现流程示意图二,如图2所示,在本申请的实施例中,检测设备在获取归并序列的序列特征,并根据序列特征进行暴力破解的检测,获得检测结果之后,即步骤103之后,检测设备检测暴力破解的方法可以包括以下步骤:
步骤104、根据检测结果生成安全日志。
步骤105、将安全日志存储至安全日志表中。
在本申请的实施例中,在根据第一特征和第二特征进行暴力破解的检测,获得检测结果以后,检测设备还可以根据检测结果生成安全日志,然后将安全日志存储至安全日志表中。
需要说明的是,在本申请的实施例中,安全日志的内容可以包括:源IP、目的IP、源端口、目的端口、暴力破解的开始时间、暴力破解的持续时间、暴力破解结果等信息,从而能够为后续的溯源和统计提供数据支持。
需要说明的是,在本申请的实施例中,安全日志表存储于数据库中,在根据检测结果生成安全日志以后,进而可以将安全日志存储于安全日志表中。
图3为本申请实施例提出的暴力破解的检测方法的实现流程示意图三,如图3所示,在本申请的实施例中,检测设备在获取归并序列的序列特征,并根据序列特征进行暴力破解的检测,获得检测结果之后,即步骤103之后,检测设备检测暴力破解的方法可以包括以下步骤:
步骤106、按照预设封锁时间对暴力破解的访问动作进行封锁处理。
在本申请的实施例中,根据第一特征和第二特征进行暴力破解的检测,获得检测结果以后,检测设备可以按照预设封锁时间对暴力破解的访问动作进行封锁处理。
需要说明的是,在本申请的实施例中,预设封锁时间的时长可以配置,例如将中低频暴力破解和分布式暴力破解的封锁时间设置为24小时,以满足用户需求。
需要说明的是,在本申请的实施例中,预设封锁时间的配置方式可以有多种方式,例如通过接收用户的设置指令进行配置,这仅为其中一种可能的配置方式,具体的配置方式本申请不做限制。
需要说明的是,在本申请的实施例中,封锁处理是对指定源IP、目的IP以及端口进行封锁,从而限制攻击方访问相关服务。
本申请实施例提供了一种暴力破解的检测方法和装置,及存储介质,获取登录数据对应的登陆序列;使用至少一个滑动窗口对登陆序列进行归并处理,获得归并序列;获取归并序列的序列特征,并根据序列特征进行暴力破解的检测,获得检测结果。也就是说,在本申请的实施例中,在面对如不同类型的暴力破解时,通过获取登录数据集对应的登陆序列,并利用至少一个滑动窗口对登陆序列进行归并处理,从而利于对序列特征进行计算,最后通过归并序列对应的序列特征得到暴力破解的检测结果,判定是否存在暴力破解,从而提高了暴力破解的检出率,降低暴力破解误判率,对客户业务进行有效地防护。
实施例二
基于上述实施例一,在本申请的再一实施例中,图4为本申请实施例提出的暴力破解检测方法的实现流程示意图四,如图4所示,在本申请的实施例中,在获取登录数据对应的登陆序列之前,即步骤101之前,检测设备检测暴力破解的方法还可以包括以下步骤:
步骤107、接收登陆请求报文。
在本申请的实施例中,在获取登陆数据对应的登陆序列之前,检测设备还需要接收登陆请求报文。
需要说明的是,在本申请的实施例中,登陆请求报文是Web服务中登陆请求方向的报文,通常是HTTP请求报文,由请求行、请求头部、空行和请求数据四个部分组成。
步骤108、提取登陆请求报文中的登陆信息,并利用预设规则对登陆信息进行匹配处理,获得匹配结果。
在本申请的实施例中,在接收登陆请求报文以后,检测设备可以提取登陆请求报文中的登陆信息,然后可以利用预设规则对登陆信息进行匹配处理,最终可以获得匹配结果。
具体地,在本申请的实施例中,检测设备可以先对Web组件进行分析,根据分析获取Web组件的登陆特征,然后提取登陆特征,进而根据提取到的登陆特征进行规则编写,得到预设规则。
需要说明的是,在本申请的实施例中,预设规则可以按照预设周期进行更新,配置灵活。
步骤109、若匹配结果为成功,则缓存登陆信息。
在本申请的实施例中,提取登陆请求报文中的登陆信息,并利用预设规则对登陆信息进行匹配处理,获得匹配结果之后,匹配结果为成功,则缓存登陆信息。
需要说明的是,在本申请的实施例中,匹配结果为成功,则表明利用预设规则成功提取到登陆信息中的用户名、密码和登陆状态信息。
步骤110、若匹配结果为失败,则重新接收登陆请求报文。
在本申请的实施例中,提取登陆请求报文中的登陆信息,并利用预设规则对登陆信息进行匹配处理,获得匹配结果之后,若匹配结果为失败,则重新接收登陆请求报文。
需要说明的是,在本申请的实施例中,匹配结果为失败,则表明利用预设规则未提取到登陆信息中的用户名、密码和登陆状态信息,进而重新接收登陆请求报文。
图5为本申请实施例提出的暴力破解的检测方法的实现流程示意图五,如图5所示,在本申请的实施例中,若匹配结果为成功,则缓存登陆信息之后,即步骤109之后,检测设备检测暴力破解的方法还可以包括以下步骤:
步骤111、检测登陆状态。
在本申请的实施例中,如果匹配结果为成功,那么在缓存登陆信息以后,检测设备还需要检测登陆状态。
具体地,在本申请的实施例中,登陆状态可以为登陆成功或登陆失败。
步骤112、根据登陆信息生成审计日志,并将审计日志存储至审计日志表中。
在本申请的实施例中,在检测登陆状态以后,检测设备还可以根据登陆信息生成审计日志,然后可以将审计日志存储至审计日志表中。
需要说明的是,在本申请的实施例中,审计日志表存储于数据库中,在根据登陆信息生成审计日志以后,进而可以将审计日志存储于审计日志表中。
图6为本申请实施例提出的暴力破解的检测方法的实现流程示意图六,如图6所示,在本申请的实施例中,在检测登陆状态之后,即步骤111之后,检测设备检测暴力破解的方法可以包括以下步骤:
步骤113、获取登陆信息在预设统计时间内对应的第三特征,其中,第三特征为登陆信息中登陆状态失败的次数。
在本申请的实施例中,在检测登陆状态之后,获取登陆信息在预设统计时间内对应的第三特征,其中,第三特征为登陆信息中登陆状态失败的次数。
需要说明的是,预设统计时间是用户可以自行设置的统计时间,并且,由于高频暴力破解在短时间内的攻击次数极高,所以仅需要统计预设统计时间内登陆失败的次数,即第三特征,就可以对是否存在高频暴力破解进行判定。
步骤114、根据第三特征进行高频暴力破解的检测,获得高频暴力破解的检测结果。
在本申请的实施例中,在获取登陆信息在预设统计时间内对应的第三特征以后,就可以根据第三特征进行高频暴力破解的检测,获得高频暴力破解的检测结果。
具体地,检测设备在根据第三特征进行高频暴力破解的检测获得高频暴力破解的检测结果时,可以将第三特征与第三阈值进行对比,进而可以获得高频暴力破解的检测结果;其中,第三阈值用于对高频暴力破解进行检测。
需要说明的是,由于检测高频暴力破解是通过统计短时间内的攻击次数进行判定的,所以,第三阈值是表示攻击次数的阈值,如果经统计获得的第三特征大于第三阈值,则判定存在高频暴力破解,即高频暴力破解的检测结果为存在高频暴力破解。
图7为本申请实施例提出的暴力破解的检测方法的实现流程示意图七,如图7所示,在本申请的实施例中,在根据第三特征进行高频暴力破解的检测,获得高频暴力破解的检测结果之后,即步骤114之后,检测设备检测暴力破解的方法可以包括以下步骤:
步骤115、根据高频暴力破解的检测结果生成高频暴力破解的安全日志。
步骤116、将高频暴力破解的安全日志存储至安全日志表中。
在本申请的实施例中,在根据第三特征进行高频暴力破解的检测,获得高频暴力破解的检测结果以后,还根据高频暴力破解的检测结果生成高频暴力破解的安全日志,并将高频暴力破解的安全日志存储至安全日志表中。
需要说明的是,在本申请的实施例中,高频暴力破解的安全日志的内容可以包括:源IP、目的IP、源端口、目的端口、暴力破解的开始时间、暴力破解的持续时间、暴力破解结果等信息,从而能够为后续的溯源和统计提供数据支持。
图8为本申请实施例提出的暴力破解的检测方法的实现流程示意图八,如图8所示,在本申请的实施例中,在根据第三特征进行高频暴力破解的检测,获得高频暴力破解的检测结果之后,即步骤114之后,检测设备检测暴力破解的方法可以包括以下步骤:
步骤117、按照第一预设封锁时间对高频暴力破解进行攻击方访问动作的封锁处理。
在本申请的实施例中,根据高频暴力破解的检测结果生成高频暴力破解的安全日志;将高频暴力破解的安全日志存储至安全日志表中以后,可以按照第一预设封锁时间对高频暴力破解进行攻击方访问动作的封锁处理。
需要说明的是,在本申请的实施例中,通常高频暴力破解默认封锁10分钟,第一预设封锁时间可以通过用户自行配置,以满足用户需求。
本申请实施例提供了一种暴力破解的检测方法和装置,及存储介质,获取登录数据对应的登陆序列;使用至少一个滑动窗口对登陆序列进行归并处理,获得归并序列;获取归并序列的序列特征,并根据序列特征进行暴力破解的检测,获得检测结果。也就是说,在本申请的实施例中,在面对如不同类型的暴力破解时,通过获取登录数据集对应的登陆序列,并利用至少一个滑动窗口对登陆序列进行归并处理,从而利于对序列特征进行计算,最后通过归并序列对应的序列特征得到暴力破解的检测结果,判定是否存在暴力破解,从而提高了暴力破解的检出率,降低暴力破解误判率,对客户业务进行有效地防护。
实施例三
本申请实施例提供了一种暴力破解的检测方法,图9为本申请实施例提出的暴力破解的检测方法的实现流程示意图九,如图9所示,在本申请的实施例中,暴力破解的检测方法可以包括以下步骤:
步骤201、接收登陆请求报文。
在本申请的实施例中,检测设备在进行暴力破解检测之前,首先接收登陆请求报文。
步骤202、判断是否命中预设规则。
在本申请的实施例中,在接收了请求方向报文以后,检测设备需要利用预设规则去匹配登陆请求。
在本申请的实施例中,如果命中预设规则,则执行步骤203,对用户名和密码进行缓存,如果没有命中预设规则,则重新执行步骤201,重新接收请求方向报文。
步骤203、缓存用户名和密码。
在本申请的实施例中,如果命中预设规则,则缓存用户名和密码。
步骤204、接收登陆响应报文。
在本申请的实施例中,缓存用户名和密码之后,检测设备接收登陆响应报文。
需要说明的是,在本申请的实施例中,登陆响应报文由三个部分组成,包括:状态行、消息报头以及响应正文。
步骤205、检测登陆状态。
在本申请的实施例中,接收登陆响应报文,即步骤204之后,检测设备检测登陆状态。
具体地,在本申请的实施例中,登陆状态可以为登陆成功或登陆失败。
步骤206、生成审计日志。
在本申请的实施例中,检测登陆状态,即步骤205以后,检测设备根据用户名、密码以及登陆状态等信息生成审计日志。
步骤207、高频暴力破解检测。
在本申请的实施例中,检测登陆状态,即步骤205以后,检测设备进行高频暴力破解检测。
步骤208、存储至审计日志表。
在本申请的实施例中,检测设备在生成审计日志之后,即步骤206之后,还可以将审计日志存储至审计日志表中,其中,审计日志表存储于数据库中。
步骤209、存储至安全日志表
在本申请的实施例中,检测设备在进行高频暴力破解检测之后,即步骤207之后,将依据高频暴力破解检测生成的高频暴力破解的安全日志存储至安全日志表中。
本申请实施例提供了一种暴力破解的检测方法,图10为本申请实施例提出的暴力破解的检测方法的实现流程示意图十,如图10所示,在本申请的实施例中,暴力破解的检测方法可以包括以下步骤:
步骤301、开启定时任务。
在本申请的实施例中,在进行高频暴力破解检测以后,检测设备定时拉起离线检测进程。
需要说明的是,在本申请的实施例中,离线检测的定时任务可以是每隔1小时一次,也可以是每隔12小时一次,具体的间隔时间可以进行设置,本申请不做限制。
步骤302、开启离线检测。
在本申请的实施例中,定时任务开启后,即步骤300之后,检测设备就开始进行离线检测,即进行中低频暴力破解和分布式暴力破解的检测。
步骤303、是否为HTTP协议。
在本申请的实施例中,离线检测开始后,即步骤302之后,检测设备对是否为HTTP协议进行判断,若判断是HTTP协议,则进行HTTP协议检测,即执行步骤304,若判断是其他协议,则进行其他协议检测,即执行步骤305。
需要说明的是,在本申请的实施例中,Web应用服务的协议可以分为超文本传输协议(Hypertext Transfer Protocol,HTTP)和其他协议,例如,SMB通信协议,具体的其他协议本申请不作限制。
在本申请的实施例中,进行HTTP协议检测,即执行步骤303,就是本申请中的中低频暴力破解检测和分布式暴力破解检测。
步骤304、HTTP协议检测。
步骤305、其他协议检测。
步骤306、生成安全日志。
在本申请的实施例中,在进行HTTP协议检测,即步骤303之后,以及进行其他协议检测,即步骤304之后,检测设备根据检测结果生成安全日志。
具体地,在本申请的实施例中,对中低频暴力破解和分布式暴力破解进行检测后生成安全日志。
步骤307、存储至安全日志表。
在本申请的实施例中,在生成安全日志以后,即步骤305之后,检测设备将安全日志存储至安全日志表中。
本申请实施例提供了一种暴力破解的检测方法和装置,及存储介质,获取登录数据对应的登陆序列;使用至少一个滑动窗口对登陆序列进行归并处理,获得归并序列;获取归并序列的序列特征,并根据序列特征进行暴力破解的检测,获得检测结果。也就是说,在本申请的实施例中,在面对如不同类型的暴力破解时,通过获取登录数据集对应的登陆序列,并利用至少一个滑动窗口对登陆序列进行归并处理,从而利于对序列特征进行计算,最后通过归并序列对应的序列特征得到暴力破解的检测结果,判定是否存在暴力破解,从而提高了暴力破解的检出率,降低暴力破解误判率,对客户业务进行有效地防护。
实施例四
基于上述实施例,在本申请的另一实施例中,图11为本申请提出的认证系统的组成结构示意图一,如图11所示,本申请实施例提出的检测设备10可以包括获取单元11、检测单元12、处理单元13。
所述获取单元11,用于获取登录数据对应的登陆序列;使用至少一个滑动窗口对所述登陆序列进行归并处理,获得归并序列;获取所述归并序列的序列特征;
所述检测单元12,用于根据所述序列特征进行暴力破解的检测,获得检测结果。
进一步地,所述序列特征包括序列长度参数、上限参数、均值参数、稠密度参数、序列周期参数以及平稳参数中的至少一个参数。
进一步地,所述登陆序列包括第一登陆序列和第二登陆序列。
进一步地,所述获取单元11,具体用于按照第一维度对所述登录数据进行序列化处理,获得所述第一登陆序列;其中,所述第一维度为源国际互联协议IP维度;使用至少一个滑动窗口对所述第一登陆序列进行归并处理,获得归并序列。
进一步地,所述获取单元11,还具体用于获取所述至少一个第一归并序列对应的第一特征。
进一步地,所述检测单元12,具体用于将所述第一特征与第一阈值进行对比,获得所述检测结果;其中,所述第一阈值用于对中低频暴力破解进行检测。
进一步地,所述获取单元11,具体用于按照第二维度对所述登录数据进行序列化处理,获得所述第二登陆序列;其中,所述第二维度为用户名维度;使用至少一个滑动窗口对所述第二登陆序列进行归并处理,获得归并序列。
进一步地,所述获取单元11,还具体用于获取所述至少一个第二归并序列对应的第二特征。
进一步地,所述检测单元12,还具体用于将所述第二特征与第二阈值进行对比,获得所述检测结果;其中,所述第二阈值用于对分布式暴力破解进行检测。
所述处理单元13,用于按照预设封锁时间对暴力破解的访问动作进行封锁处理。
图12本申请提出的认证系统的组成结构示意图二,如图12所示,本申请实施例提出的检测设备10还可以包括处理器14、存储有处理器14可执行指令的存储器35,进一步地,检测设备10还可以包括通信接口16,和用于连接处理器14、存储器15以及通信接口16的总线17。
在本申请的实施例中,上述处理器14可以为特定用途集成电路(ApplicationSpecific Integrated Circuit,ASIC)、数字信号处理器(Digital Signal Processor,DSP)、数字信号处理装置(Digital Signal Processing Device,DSPD)、可编程逻辑装置(ProgRAMmable Logic Device,PLD)、现场可编程门阵列(Field ProgRAMmable GateArray,FPGA)、中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器中的至少一种。可以理解地,对于不同的设备,用于实现上述处理器功能的电子器件还可以为其它,本申请实施例不作具体限定。处理器14还可以包括存储器15,该存储器15可以与处理器14连接,其中,存储器15用于存储可执行程序代码,该程序代码包括计算机操作指令,存储器15可能包含高速RAM存储器,也可能还包括非易失性存储器,例如,至少两个磁盘存储器。
在本申请的实施例中,总线17用于连接通信接口16、处理器14以及存储器15以及这些器件之间的相互通信。
在本申请的实施例中,存储器15,用于存储指令和数据。
进一步地,在本申请的实施例中,上述处理器14,用于获取登陆数据;对所述登陆数据进行序列化处理,获得第一维度对应的第一登陆序列和第二维度对应的第二登陆序列;使用至少一个滑动窗口分别对所述第一登陆序列和所述第二登陆序列进行归并处理,获得所述第一登陆序列对应的至少一个第一归并序列,和所述第二登陆序列对应的至少一个第二归并序列;获取所述至少一个第一归并序列对应的第一特征;获取所述至少一个第二归并序列对应的第二特征;根据所述第一特征和所述第二特征进行暴力破解的检测,获得检测结果。
在实际应用中,上述存储器15可以是易失性存储器(volatile memory),例如随机存取存储器(Random-Access Memory,RAM);或者非易失性存储器(non-volatile memory),例如只读存储器(Read-Only Memory,ROM),快闪存储器(flash memory),硬盘(Hard DiskDrive,HDD)或固态硬盘(Solid-State Drive,SSD);或者上述种类的存储器的组合,并向处理器14提供指令和数据。
另外,在本实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的单元如果以软件功能模块的形式实现并非作为独立的产品进行销售或使用时,可以存储在一个计算机可读取存储介质中,基于这样的理解,本实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或processor(处理器)执行本实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请实施例提供了一种暴力破解的检测方法,检测方法包括获取登录数据对应的登陆序列;使用至少一个滑动窗口对登陆序列进行归并处理,获得归并序列;获取归并序列的序列特征,并根据序列特征进行暴力破解的检测,获得检测结果。也就是说,在本申请的实施例中,在面对如不同类型的暴力破解时,通过获取登录数据集对应的登陆序列,并利用至少一个滑动窗口对登陆序列进行归并处理,从而利于对序列特征进行计算,最后通过归并序列对应的序列特征得到暴力破解的检测结果,判定是否存在暴力破解,从而提高了暴力破解的检出率,降低暴力破解误判率,对客户业务进行有效地防护。
本申请实施例提供一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现如上所述的暴力破解的检测方法。
具体来讲,本实施例中的一种暴力破解的检测对应的程序指令可以被存储在光盘,硬盘,U盘等存储介质上,当存储介质中的与一种暴力破解的检测方法对应的程序指令被一电子设备读取或被执行时,包括如下步骤:
获取登录数据对应的登陆序列;
使用至少一个滑动窗口对所述登陆序列进行归并处理,获得归并序列;
获取所述归并序列的序列特征,并根据所述序列特征进行暴力破解的检测,获得检测结果。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的实现流程示意图和/或方框图来描述的。应理解可由计算机程序指令实现流程示意图和/或方框图中的每一流程和/或方框、以及实现流程示意图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在实现流程示意图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在实现流程示意图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在实现流程示意图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。
Claims (12)
1.一种暴力破解的检测方法,其特征在于,所述方法包括:
获取登录数据对应的登陆序列;
使用至少一个滑动窗口对所述登陆序列进行归并处理,获得归并序列;
获取所述归并序列的序列特征,并根据所述序列特征进行暴力破解的检测,获得检测结果。
2.根据权利要求1所述的方法,其特征在于,
所述序列特征包括序列长度参数、上限参数、均值参数、稠密度参数、序列周期参数以及平稳参数中的至少一个参数。
3.根据权利要求1所述的方法,其特征在于,
所述登陆序列包括第一登陆序列和第二登陆序列。
4.根据权利要求3所述的方法,其特征在于,所述登录序列包括第一登录序列,所述获取登录数据对应的登陆序列,包括:
按照第一维度对所述登录数据进行序列化处理,获得所述第一登陆序列;其中,所述第一维度为源国际互联协议IP维度;
相应地,所述使用至少一个滑动窗口对所述登陆序列进行归并处理,获得归并序列包括:
使用至少一个滑动窗口对所述第一登陆序列进行归并处理,获得归并序列。
5.根据权利要求4所述的方法,其特征在于,所述获取所述归并序列的序列特征,并根据所述序列特征进行暴力破解的检测,获得检测结果,包括:
获取所述至少一个第一归并序列对应的第一特征;
将所述第一特征与第一阈值进行对比,获得所述检测结果;其中,所述第一阈值用于对中低频暴力破解进行检测。
6.根据权利要求5所述的方法,其特征在于,所述登录序列包括第二登录序列,所述获取登录数据对应的登陆序列,包括:
按照第二维度对所述登录数据进行序列化处理,获得所述第二登陆序列;其中,所述第二维度为用户名维度;
相应地,所述使用至少一个滑动窗口对所述登陆序列进行归并处理,获得归并序列包括:
使用至少一个滑动窗口对所述第二登陆序列进行归并处理,获得归并序列。
7.根据权利要求6所述的方法,其特征在于,所述获取所述归并序列的序列特征,并根据所述序列特征进行暴力破解的检测,获得检测结果,包括:
获取所述至少一个第二归并序列对应的第二特征;
将所述第二特征与第二阈值进行对比,获得所述检测结果;其中,所述第二阈值用于对分布式暴力破解进行检测。
8.根据权利要求1所述的方法,其特征在于,所述获取登录数据,包括:
根据登陆数据格式对审计日志中的登陆信息进行数据清洗处理,得到所述登录数据。
9.根据权利要求1所述的方法,其特征在于,所述获取所述归并序列的序列特征,并根据所述序列特征进行暴力破解的检测,获得检测结果之后,所述方法还包括:
按照预设封锁时间对暴力破解的访问动作进行封锁处理。
10.一种检测设备,其特征在于,所述检测设备包括:获取单元和检测单元,
所述获取单元,用于获取登录数据对应的登陆序列;使用至少一个滑动窗口对所述登陆序列进行归并处理,获得归并序列;获取所述归并序列的序列特征;
所述检测单元,用于根据所述序列特征进行暴力破解的检测,获得检测结果。
11.一种检测设备,其特征在于,所述检测设备还包括处理器、存储有所述处理器可执行指令的存储器,当所述指令被所述处理器执行时,实现如权利要求1-9任一项所述的方法。
12.一种计算机可读存储介质,其上存储有程序,应用于检测设备中,其特征在于,所述程序被处理器执行时,实现如权利要求1-9任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110232185.9A CN113114620B (zh) | 2021-03-02 | 2021-03-02 | 一种暴力破解的检测方法和装置,及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110232185.9A CN113114620B (zh) | 2021-03-02 | 2021-03-02 | 一种暴力破解的检测方法和装置,及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113114620A true CN113114620A (zh) | 2021-07-13 |
| CN113114620B CN113114620B (zh) | 2023-03-17 |
Family
ID=76709677
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110232185.9A Active CN113114620B (zh) | 2021-03-02 | 2021-03-02 | 一种暴力破解的检测方法和装置,及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113114620B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114143071A (zh) * | 2021-11-29 | 2022-03-04 | 上海斗象信息科技有限公司 | 一种暴力破解检测方法、装置、电子设备及存储介质 |
| CN115150159B (zh) * | 2022-06-30 | 2023-11-10 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及可读存储介质 |
| CN114143071B (zh) * | 2021-11-29 | 2024-07-02 | 上海斗象信息科技有限公司 | 一种暴力破解检测方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187224A (zh) * | 2014-06-17 | 2015-12-23 | 腾讯科技(深圳)有限公司 | 入侵检测方法和装置 |
| CN109936545A (zh) * | 2017-12-18 | 2019-06-25 | 华为技术有限公司 | 暴力破解攻击的检测方法和相关装置 |
| CN109951500A (zh) * | 2019-04-29 | 2019-06-28 | 宜人恒业科技发展(北京)有限公司 | 网络攻击检测方法及装置 |
| CN110213199A (zh) * | 2018-02-28 | 2019-09-06 | 中国移动通信集团有限公司 | 一种撞库攻击监控方法、装置、系统及计算机存储介质 |
| WO2019232789A1 (zh) * | 2018-06-08 | 2019-12-12 | 北京大学深圳研究生院 | 一种基于投票的共识方法 |
| CN110798428A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种账号暴力破解行为的检测方法、系统及相关装置 |
-
2021
- 2021-03-02 CN CN202110232185.9A patent/CN113114620B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187224A (zh) * | 2014-06-17 | 2015-12-23 | 腾讯科技(深圳)有限公司 | 入侵检测方法和装置 |
| CN109936545A (zh) * | 2017-12-18 | 2019-06-25 | 华为技术有限公司 | 暴力破解攻击的检测方法和相关装置 |
| CN110213199A (zh) * | 2018-02-28 | 2019-09-06 | 中国移动通信集团有限公司 | 一种撞库攻击监控方法、装置、系统及计算机存储介质 |
| WO2019232789A1 (zh) * | 2018-06-08 | 2019-12-12 | 北京大学深圳研究生院 | 一种基于投票的共识方法 |
| CN110798428A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种账号暴力破解行为的检测方法、系统及相关装置 |
| CN109951500A (zh) * | 2019-04-29 | 2019-06-28 | 宜人恒业科技发展(北京)有限公司 | 网络攻击检测方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114143071A (zh) * | 2021-11-29 | 2022-03-04 | 上海斗象信息科技有限公司 | 一种暴力破解检测方法、装置、电子设备及存储介质 |
| CN114143071B (zh) * | 2021-11-29 | 2024-07-02 | 上海斗象信息科技有限公司 | 一种暴力破解检测方法、装置、电子设备及存储介质 |
| CN115150159B (zh) * | 2022-06-30 | 2023-11-10 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113114620B (zh) | 2023-03-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11316878B2 (en) | System and method for malware detection | |
| CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
| US8601065B2 (en) | Method and apparatus for preventing outgoing spam e-mails by monitoring client interactions | |
| WO2011113239A1 (zh) | 域名系统流量检测方法与域名服务器 | |
| EP2009864A1 (en) | Method and apparatus for attack prevention | |
| CN111970308A (zh) | 一种防护SYN Flood攻击的方法、装置及设备 | |
| CN113518057B (zh) | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 | |
| US20170171188A1 (en) | Non-transitory computer-readable recording medium, access monitoring method, and access monitoring apparatus | |
| CN113114620B (zh) | 一种暴力破解的检测方法和装置,及存储介质 | |
| CN112668005A (zh) | webshell文件的检测方法及装置 | |
| CN113660215A (zh) | 基于Web应用防火墙的攻击行为检测方法以及装置 | |
| CN112118154A (zh) | 基于机器学习的icmp隧道检测方法 | |
| CN107786489B (zh) | 访问请求验证方法及装置 | |
| KR20160087187A (ko) | 사이버 블랙박스 시스템 및 그 방법 | |
| CN114301706A (zh) | 基于目标节点中现有威胁的防御方法、装置及系统 | |
| Allen et al. | The LoSS technique for detecting new denial of service attacks | |
| CN112910839A (zh) | 一种dns攻击的防御方法和装置 | |
| Olivain et al. | Detecting subverted cryptographic protocols by entropy checking | |
| CN113765914B (zh) | Cc攻击防护方法、系统、计算机设备及可读存储介质 | |
| CN113726775B (zh) | 一种攻击检测方法、装置、设备及存储介质 | |
| CN113329035B (zh) | 一种攻击域名的检测方法、装置、电子设备及存储介质 | |
| TW201928746A (zh) | 偵測惡意程式的方法和裝置 | |
| CN113923039A (zh) | 攻击设备识别方法、装置、电子设备及可读存储介质 | |
| CN112671743A (zh) | 基于流量自相似性的DDoS入侵检测方法及相关装置 | |
| CN112738006A (zh) | 识别方法、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |