CN113938312A - 一种暴力破解流量的检测方法及装置 - Google Patents

一种暴力破解流量的检测方法及装置 Download PDF

Info

Publication number
CN113938312A
CN113938312A CN202111341640.5A CN202111341640A CN113938312A CN 113938312 A CN113938312 A CN 113938312A CN 202111341640 A CN202111341640 A CN 202111341640A CN 113938312 A CN113938312 A CN 113938312A
Authority
CN
China
Prior art keywords
source
flow
determining
behavior
newly
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111341640.5A
Other languages
English (en)
Other versions
CN113938312B (zh
Inventor
张平安
徐自全
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111341640.5A priority Critical patent/CN113938312B/zh
Publication of CN113938312A publication Critical patent/CN113938312A/zh
Application granted granted Critical
Publication of CN113938312B publication Critical patent/CN113938312B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种暴力破解流量的检测方法及装置,所述方法包括:获得流量报文;至少确定所述流量报文的源IP;统计一时间段内对应所述源IP的新建连接数;基于统计值及第一阈值确定所述新建连接数是否异常;若异常,则至少计算请求新建连接间的请求时间差;至少基于所述时间差确定对应所述源IP的请求行为是否为具有目标规律性的行为;若是,则计算所述流量报文的长度参数,确定所述长度参数是否满足第二阈值;若是,则确定对应所述源IP的流量报文为暴力破解流量。本发明的暴力破解流量的检测方法简单易行,同时能够有效、精准地识别出暴力破解流量。

Description

一种暴力破解流量的检测方法及装置
技术领域
本发明实施例涉及网络通信和网络安全技术领域,特别涉及一种暴力破解流量的检测方法及装置。
背景技术
随着网络远程登录的发展,在带来便利的同时也带来了安全的威胁。诸如暴力破解,其是指攻击者通过系统地组合所有可能性,尝试所有的可能性来破解用户的账户名、密码等敏感信息。攻击者会经常使用自动化脚本组合出正确的用户名和密码。暴力破解行为包括暴力破解远程服务器的登录账户密码、暴力破解FTP服务器的账户密码、暴力破解网站管理员账户密码、重要操作系统账户的暴力破解与撞库攻击等。且大多为加密暴力破解流量,而该种加密流量没有明文可以提取,识别困难,因此加密暴力破解流量更难以检测。
目前常用的识别暴力破解流量的方法包括:
①基于审计日志的检测方案,即根据各账号的登录失败次数与登录频率进行检测的方案,或者将各个账号的历史尝试密码分别在爆破字典中进行匹配查找;
②对服务器接收的数据报文进行统计分析,判断服务器接收报文的平均流量是否超过一定阈值,若超过,则认为针对该服务器,发生了暴力破解行为,有攻击者正在进行账号暴力破解;
③通过机器学习的方式识别暴力破解流量。
而上述方法的缺陷是:
①基于审计日志的检测方案,需要针对每台新加入检测的机器进行部署,诸如权限和对应机器ID等,且需要照顾因故退出的机器的情况,对于机器数量的变动,处于非常被动低效状态,而且识别过程是建立在明文识别的基础上;
②对服务器接收的数据报文进行统计分析这种方法,除了用户登录会产生报文,服务器与其他设备还会进行正常的报文交互,因此,仅仅基于服务器接收报文的平均流量进行报文破解行为的判断,很可能会将正常的报文交互识别为暴力破解行为,导致暴力破解行为的检测精度较差;
③机器学习的方式,训练成本较高,需要大量的训练和数据输入才能达到满意的程度,而很多问题找不到足够的数据,需要花费大量的金钱和时间去抓取原始数据来训练模型,而且对数据噪音比较大的样本,模型容易陷入过拟合,导致最终检测精度受限。
发明内容
本发明实施例提供了一种简单易行,同时能够有效、精准地识别出暴力破解流量行为的暴力破解流量的检测方法及装置。
为了解决上述技术问题,本发明实施例提供了一种暴力破解流量的检测方法,包括:
获得流量报文;
至少确定所述流量报文的源IP;
统计一时间段内对应所述源IP的新建连接数;
基于统计值及第一阈值确定所述新建连接数是否异常;
若异常,则至少计算请求新建连接间的请求时间差;
至少基于所述时间差确定对应所述源IP的请求行为是否为具有目标规律性的行为;
若是,则计算所述流量报文的长度参数,确定所述长度参数是否满足第二阈值;
若是,则确定对应所述源IP的流量报文为暴力破解流量。
作为一可选实施例,所述至少确定所述流量报文的源IP,包括:
确定所述流量报文的协议ID值,以及所述流量报文的源IP。
作为一可选实施例,所述统计一时间段内基于所述源IP发起的新建连接数,包括:
基于所述协议ID值以及源IP构建元数据;
统计一时间段内对应所述元数据的新建连接数。
作为一可选实施例,所述基于统计值及第一阈值确定所述新建连接数是否异常,包括:
确定所述流量报文的网络协议;
基于所述网络协议从预置的多个阈值中确定出匹配所述网络协议的第一阈值,其中,不同的网络协议对应的所述第一阈值不同;
基于所述统计值及第一阈值确定所述新建连接数是否异常。
作为一可选实施例,所述至少计算请求新建连接间的请求时间差,包括:
确定请求新建连接间的请求时间差;
对所述时间差进行四分位差计算,得到四分位差。
作为一可选实施例,所述对所述时间差进行四分位差计算,得到四分位差,包括:
计算确定第一数量的时间差;
对所述第一数量的时间差进行排序;
基于四分位差公式及所述第一数量的时间差的排序关系计算确定所述四分位差。
作为一可选实施例,所述至少基于所述时间差确定对应所述源IP的请求行为是否为具有目标规律性的行为,包括:
基于所述四分位差及第三阈值确定对应所述源IP的请求行为是否为具有目标规律性的行为。
作为一可选实施例,所述计算所述流量报文的长度参数,确定所述长度参数是否满足第二阈值,包括:
确定对应每个所述新建连接的待测流量报文;
计算每个所述待测流量报文的平均长度值;
基于第二数量的平均长度值计算标准差值;
确定所述标准差值是否满足第二阈值。
作为一可选实施例,还包括:
至少对执行所述基于所述时间差确定对应所述源IP的请求行为是否为具有目标规律性的行为的操作进行计时,当计时时长到达门限值时,若未能确定所述请求行为为具有目标规律性的行为,则直接确定所述请求行为安全行为。
本发明另一实施例同时提供一种暴力破解流量的检测装置,包括:
流量数据统计模块,用于获得流量报文,至少确定所述流量报文的源IP,统计一时间段内基于所述源IP发起的新建连接数,基于统计值及第一阈值确定所述新建连接数是否异常;
网络流量计算模块,用于在所述新建连接数异常时,至少计算请求新建连接间的请求时间差,并至少基于所述时间差确定对应所述源IP的请求行为是否为具有目标规律性的行为;
暴力破解判断模块,用于在所述请求行为为具有目标规律性的行为时,计算所述流量报文的长度参数,确定所述长度参数是否满足第二阈值,若是,则确定对应所述源IP的流量报文为暴力破解流量。
基于上述实施例的公开可以获知,本发明实施例具备的有益效果包括通过计算对应同一源IP的新建连接数、新建连接间的时间差、对应每次新建连接的流量报文的长度参数来逐级检测,判断系统当前获得的流量报文是否为暴力破解流量,由于仅有上一级检测不满足条件时才会进行下一级的检测,如此可第一时间区分出正常流量和异常流量,避免了大量对正常流量的检测,有效降低了检测过程整体的能耗,而且各级检测过程不涉及流量报文的明文数据,故可适用于检测加密暴力破解流量。另外,整体检测过程对系统影响小,同时不涉及检测用主机的数量变化,进一步拓宽了适用范围,提升了检测精度。
附图说明
图1为本发明实施例的暴力破解流量的检测方法的流程图。
图2为本发明另一实施例的暴力破解流量的检测方法的流程图。
图3为本发明实施例的暴力破解流量的检测方法的实际应用流程图。
图4为本发明实施例的暴力破解流量的检测装置的结构框图。
具体实施方式
下面,结合附图对本发明的具体实施例进行详细的描述,但不作为本发明的限定。
应理解的是,可以对此处公开的实施例做出各种修改。因此,下述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本发明的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本发明进行了描述,但本领域技术人员能够确定地实现本发明的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
下面,结合附图详细的说明本发明实施例。
如图1所示,本发明实施例提供一种暴力破解流量的检测方法,包括:
获得流量报文;
至少确定流量报文的源IP;
统计一时间段内对应源IP的新建连接数;
基于统计值及第一阈值确定新建连接数是否异常;
若异常,则至少计算请求新建连接间的请求时间差;
至少基于时间差确定对应源IP的请求行为是否为具有目标规律性的行为;
若是,则计算流量报文的长度参数,确定长度参数是否满足第二阈值;
若是,则确定对应源IP的流量报文为暴力破解流量。
本实施例中的暴力破解流量的检测方法可以应用在网关防火墙上,用于获取网络流量报文,并对其进行安全检测。
例如,当防火墙获得了流量报文后,会至少确定流量报文的源IP,接着统计未来一段时间内,如3分钟,5分钟等,终端基于该源IP发起的请求连接数,也即对应该源IP的新建连接数,并对该新建连接数进行判断,若该新建连接数未超出第一阈值,则确定为正常流量,或正常的请求行为,而若超出该第一阈值,则说明新建连接数量过多,对应的流量报文有可能是暴力破解流量。此时,防火墙则对新建连接的流量报文进行进一步检测。具体为计算各个新建连接之间在请求时间上的时间差,并至少根据该时间差来确定对应源IP的请求行为,即对应新建连接的请求行为,是否为具有目标规律性的行为,该目标规律可以是用户根据历史暴力破解流量的特征总结出的,也可以是防火墙基于历史暴力破解流量的特征而学习得到的,具体确定方式不唯一。倘若防火墙认为是具有目标规律性的行为,则进一步对对应新建连接的流量报文的长度参数,该长度参数为关于流量报文长度的参数,并不单指流量报文的长度,字节数量。当防火墙确定了长度参数后,确定该长度参数是否满足第二阈值,该第二阈值可以是用户或防火墙根据历史暴力破解流量的报文长度而分析确定的,也可以是基于其他方式确定的,倘若经比对发现长度参数满足第二阈值,则确定对应源IP的流量报文为暴力破解流量,对应的新建连接的请求为恶意攻击行为。
由于暴力破解是指攻击者通过系统地组合所有可能性,尝试所有的可能性来破解用户的账户名、密码等敏感信息。攻击者会经常使用自动化脚本组合出正确的用户名和密码。因此,大多数暴力破解流量均具有一定特性,且该特性都具有一定规律性,本实施例通过识别分析暴力破解流量的特性,确定出其规律,利用其规律来进行反识别,进而准确有效地进行暴力破解流量的检测。
基于上述实施例的公开可以获知,本实施例具备的有益效果包括通过计算对应同一源IP的新建连接数、新建连接间的时间差、对应每次新建连接的流量报文的长度参数来逐级检测,判断防火墙系统当前获得的流量报文是否为暴力破解流量,由于仅有上一级检测不满足条件时才会进行下一级的检测,如此可快速区分出正常流量和异常流量,避免了大量对正常流量的检测,有效降低了检测过程整体的能耗。而且各级检测过程不涉及流量报文的明文数据,故可适用于检测加密暴力破解流量。另外,整体检测过程对防火墙系统影响小,同时不涉及检测用主机的数量变化,也即,不再依赖于服务器或者客户端的日志,能够更为灵活地处理网关中的报文流量,也不需要对保护机器的增加或者减少做额外的工作,同时不再依赖数据,和因为样本数据噪音,而带来的检测模型问题,直接部署软件程序即可检测使用,因此进一步拓宽了适用范围,提升了检测精度。
进一步地,如图2所示,本实施例在至少确定流量报文的源IP时,包括:
确定流量报文的协议ID值,以及流量报文的源IP。
例如,识别确定每条流量报文的应用协议,并计算获得唯一对应该协议的协议ID值。如果有未识别的协议,则基于默认的协议ID值进行后续检测。
在统计一时间段内对应源IP的新建连接数时,包括:
基于协议ID值以及源IP构建元数据;
统计一时间段内对应元数据的新建连接数。
也即,根据获取的唯一协议ID值,和源IP构建元数据,基于该元数据对应统计新建连接的数量,得到统计值。
进一步地,在基于统计值及第一阈值确定新建连接数是否异常时,包括:
确定流量报文的网络协议;
基于网络协议从预置的多个阈值中确定出匹配网络协议的第一阈值,其中,不同的网络协议对应的第一阈值不同;
基于统计值及第一阈值确定新建连接数是否异常。
例如,防火墙系统内存储有多个不同的第一阈值,对应不同的网络协议,第一阈值是不同的,或者至少部分网络协议对应的第一阈值不同,或者也可以是所有网络协议对应的第一阈值均相同,也即,仅设置一个第一阈值。该第一阈值为固定时间段(如上述地统计新建连接所用的时间段)内基于对应的网络协议正常生成的请求连接的数量极大值。故,当防火墙系统通过确定流量报文的网络协议,并确定出匹配地第一阈值后,会对新建连接数量与第一阈值进行比对,如果超过第一阈值,则可初步判断为疑似暴力破解流量,需进一步检测。如果没有超过第一阈值,则不再进行检测处理。由于暴力破解流量的特性首先在于将建立大量连接以供多次输入账号密码,故只有用于建立大量连接的流量报文才会进入下一级检测,也即,对流量报文处理上,不再需要处理所有的数据,只需处理筛选后的数据,因此基于上述实施例的方法,可以第一时间排除大量正常流量,避免防火墙继续对大量正常流量的检测,降低能耗负荷。
进一步地,在至少计算请求新建连接间的请求时间差时,包括:
确定请求新建连接间的请求时间差;
对时间差进行四分位差计算,得到四分位差。
其中,对时间差进行四分位差计算,得到四分位差,包括:
计算确定第一数量的时间差;
对第一数量的时间差进行排序;
基于四分位差公式及第一数量的时间差的排序关系计算确定四分位差。
继续结合图2所示,本实施例中,防火墙系统在确定新建连接数异常后,会根据该流量报文确定其目的IP,目的端口(目的PORT),然后根据源IP、目的IP和目的端口的三元组数据,构建组数据。接着对该组数据对应的时间差进行哈希处理,构建时间差的哈希表,并对多个分别对应各新建连接的时间差进行四分位差计算,得到四分位差。具体地,在执行四分位差计算时,以每两条TCP流的起始时间间隔为一组数据(即时间差),以七组数据,或其他数量的组数据为一块计算单位,如果不足七组则不做计算。若满足七组数据,对七组数据进行从小到大的排序,然后利用四分位差计算公式|Q=Q3-Q1|进行四分位差的计算。其中,Q为四分位差,也称四分间距,Q1的位置为:
Figure BDA0003352333840000081
Q3的位置为
Figure BDA0003352333840000082
n为7,故Q1的位置为(7+1)/4=2,第二位数据,Q3的位置为3(7+1)/4=6,第六位数据,则Q为4。
进一步地,在计算出四分位差后,系统至少基于时间差确定对应源IP的请求行为是否为具有目标规律性的行为,包括:
基于四分位差及第三阈值确定对应源IP的请求行为是否为具有目标规律性的行为。
例如,第三阈值与目标规律性行为有关,是基于目标规律性行为确定的。若确定四分位差小于第三阈值,则确定上述流量报文不具有暴力破解流量的特征规律,属于正常流量报文,而若确定四分位差大于第三阈值,则可确定上述流量报文是高度疑似的暴力破解流量,具有暴力破解流量的目标规律性,需要进行下一级的检测。
如图2及图3所示,在计算流量报文的长度参数,确定长度参数是否满足第二阈值时,包括:
确定对应每个新建连接的待测流量报文;
至少计算每个待测流量报文的平均长度值;
至少基于第二数量的平均长度值计算标准差值;
确定标准差值是否满足第二阈值。
具体地,系统确定对应每个新建连接的待测流量报文,也即是上一实施例所述的高度疑似为暴力破解流量的流量报文。接着计算每个待测流量报文的平均长度值,也即是流量报文的发包长度。例如流量报文仍为TCP流,以一条TCP流的平均长度为一组数据,并以七组数据为一块计算单位,也即第二数量为七,当然也可为其他数量值,具体不定。如果不足七组则不做计算,满足七组数据,则利用标准差公式进行该七组数据的标准差计算,具体公式为:
Figure BDA0003352333840000091
其中,xi是一条TCP流的平均报文长度,
Figure BDA0003352333840000092
是各流量报文长度的平均值,n是组数据的数量,本实施例中为7。计算出标准差值后,对该标准差值和第二阈值进行比对,若小于第二阈值,则说明上述流量报文为正常的流量报文,防火墙可放行该流量报文,而若大于第二阈值,则说明上述流量为暴力破解流量,此时防火墙可以将对应该流量报文的源IP等进行拉黑处理,或进行日志警告等,并阻止该流量报文通过。
另外,为了进一步提高流量检测效率,作为一可选实施例,该检测方法还可包括:
至少对执行基于时间差确定对应源IP的请求行为是否为具有目标规律性的行为的操作进行计时,当计时时长到达门限值时,若未能确定请求行为为具有目标规律性的行为,则直接确定请求行为安全行为。
例如,在系统内设置超时队列,对于新建连接数异常的流量报文会输送至该超时队列中,以进行时间差的计算,并基于时间差对对应源IP的请求行为是否为具有目标规律性的行为的检测。位于该超时队列中的流量报文的检测处理时间是有固定时限的,当流量报文被输送至该队列中时,系统就会开始计时,若在规定时间内,系统未能检测出异常,检测结果依然表征该流量报文为正常流量时,系统则不再进行检测,直接认证该流量报文为正常报文,并进行放行。若在规定时间内检测出了异常,则进行下一级的检测。该规定时间具体不定,例如可以设置为1分钟等。
进一步地,上述超时队列机制的设置不仅可以设置在对时间差的检测中,还可设置在报文长度的检测过程中,也即在基于报文长度来检测流量报文时,也可设置超时队列机制,以对该级的检测时长进行限制。
通过上述的超时队列机制,使得本实施例中的防火墙只会计算在超时队列内的数据,一旦检测超时,则认为是正常流量,直接放行,不再判断,因此可以进一步筛选出大量正常流量,降低负荷,同时简化了计算复杂度。
如图4所示,本发明另一实施例同时提供一种暴力破解流量的检测装置,包括:
流量数据统计模块,用于获得流量报文,至少确定流量报文的源IP,统计一时间段内基于源IP发起的新建连接数,基于统计值及第一阈值确定新建连接数是否异常;
网络流量计算模块,用于在新建连接数异常时,至少计算请求新建连接间的请求时间差,并至少基于时间差确定对应源IP的请求行为是否为具有目标规律性的行为;
暴力破解判断模块,用于在请求行为为具有目标规律性的行为时,计算流量报文的长度参数,确定长度参数是否满足第二阈值,若是,则确定对应源IP的流量报文为暴力破解流量。
进一步地,本实施例中的装置还包括:
暴力破解处理模块,该模块主要根据暴力破解判断模块的判断结果,执行将流量报文的源IP等加入黑名单,或进行日志警告等处理。
作为一可选实施例,所述至少确定所述流量报文的源IP,包括:
确定所述流量报文的协议ID值,以及所述流量报文的源IP。
作为一可选实施例,所述统计一时间段内对应所述源IP的新建连接数,包括:
基于所述协议ID值以及源IP构建元数据;
统计一时间段内对应所述元数据的新建连接数。
作为一可选实施例,所述基于统计值及第一阈值确定所述新建连接数是否异常,包括:
确定所述流量报文的网络协议;
基于所述网络协议从预置的多个阈值中确定出匹配所述网络协议的第一阈值,其中,不同的网络协议对应的所述第一阈值不同;
基于所述统计值及第一阈值确定所述新建连接数是否异常。
作为一可选实施例,所述至少计算请求新建连接间的请求时间差,包括:
确定请求新建连接间的请求时间差;
对所述时间差进行四分位差计算,得到四分位差。
作为一可选实施例,所述对所述时间差进行四分位差计算,得到四分位差,包括:
计算确定第一数量的时间差;
对所述第一数量的时间差进行排序;
基于四分位差公式及所述第一数量的时间差的排序关系计算确定所述四分位差。
作为一可选实施例,所述至少基于所述时间差确定对应所述源IP的请求行为是否为具有目标规律性的行为,包括:
基于所述四分位差及第三阈值确定对应所述源IP的请求行为是否为具有目标规律性的行为。
作为一可选实施例,所述计算所述流量报文的长度参数,确定所述长度参数是否满足第二阈值,包括:
确定对应每个所述新建连接的待测流量报文;
计算每个所述待测流量报文的平均长度值;
基于第二数量的平均长度值计算标准差值;
确定所述标准差值是否满足第二阈值。
作为一可选实施例,还包括:
网络流量计算模块至少对执行所述基于所述时间差确定对应所述源IP的请求行为是否为具有目标规律性的行为的操作进行计时,当计时时长到达门限值时,若未能确定所述请求行为为具有目标规律性的行为,则直接确定所述请求行为安全行为。
本发明另一实施例还提供一种电子设备,包括:
一个或多个处理器;
存储器,配置为存储一个或多个程序;
当该一个或多个程序被该一个或多个处理器执行时,使得该一个或多个处理器实现上述方法。
本发明一实施例还提供一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的方法。应理解,本实施例中的各个方案具有上述方法实施例中对应的技术效果,此处不再赘述。
本发明实施例还提供了一种计算机程序产品,所述计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可读指令,所述计算机可执行指令在被执行时使至少一个处理器执行诸如上文所述实施例中的方法。应理解,本实施例中的各个方案具有上述方法实施例中对应的技术效果,此处不再赘述。
需要说明的是,本申请的计算机存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读介质例如可以但不限于是电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储介质(RAM)、只读存储介质(ROM)、可擦式可编程只读存储介质(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储介质(CD-ROM)、光存储介质件、磁存储介质件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输配置为由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、天线、光缆、RF等等,或者上述的任意合适的组合。
应当理解,虽然本申请是按照各个实施例描述的,但并非每个实施例仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。

Claims (10)

1.一种暴力破解流量的检测方法,其特征在于,包括:
获得流量报文;
至少确定所述流量报文的源IP;
统计一时间段内对应所述源IP的新建连接数;
基于统计值及第一阈值确定所述新建连接数是否异常;
若异常,则至少计算请求新建连接间的请求时间差;
至少基于所述时间差确定对应所述源IP的请求行为是否为具有目标规律性的行为;
若是,则计算所述流量报文的长度参数,确定所述长度参数是否满足第二阈值;
若是,则确定对应所述源IP的流量报文为暴力破解流量。
2.根据权利要求1所述的方法,其特征在于,所述至少确定所述流量报文的源IP,包括:
确定所述流量报文的协议ID值,以及所述流量报文的源IP。
3.根据权利要求2所述的方法,其特征在于,所述统计一时间段内对应所述源IP的新建连接数,包括:
基于所述协议ID值以及源IP构建元数据;
统计一时间段内对应所述元数据的新建连接数。
4.根据权利要求1所述的方法,其特征在于,所述基于统计值及第一阈值确定所述新建连接数是否异常,包括:
确定所述流量报文的网络协议;
基于所述网络协议从预置的多个阈值中确定出匹配所述网络协议的第一阈值,其中,不同的网络协议对应的所述第一阈值不同;
基于所述统计值及第一阈值确定所述新建连接数是否异常。
5.根据权利要求1所述的方法,其特征在于,所述至少计算请求新建连接间的请求时间差,包括:
确定请求新建连接间的请求时间差;
对所述时间差进行四分位差计算,得到四分位差。
6.根据权利要求5所述的方法,其特征在于,所述对所述时间差进行四分位差计算,得到四分位差,包括:
计算确定第一数量的时间差;
对所述第一数量的时间差进行排序;
基于四分位差公式及所述第一数量的时间差的排序关系计算确定所述四分位差。
7.根据权利要求5所述的方法,其特征在于,所述至少基于所述时间差确定对应所述源IP的请求行为是否为具有目标规律性的行为,包括:
基于所述四分位差及第三阈值确定对应所述源IP的请求行为是否为具有目标规律性的行为。
8.根据权利要求1所述的方法,其特征在于,所述计算所述流量报文的长度参数,确定所述长度参数是否满足第二阈值,包括:
确定对应每个所述新建连接的待测流量报文;
至少计算每个所述待测流量报文的平均长度值;
至少基于第二数量的平均长度值计算标准差值;
确定所述标准差值是否满足第二阈值。
9.根据权利要求1所述的方法,其特征在于,还包括:
至少对执行所述基于所述时间差确定对应所述源IP的请求行为是否为具有目标规律性的行为的操作进行计时,当计时时长到达门限值时,若未能确定所述请求行为为具有目标规律性的行为,则直接确定所述请求行为安全行为。
10.一种暴力破解流量的检测装置,其特征在于,包括:
流量数据统计模块,用于获得流量报文,至少确定所述流量报文的源IP,统计一时间段内对应所述源IP的新建连接数,基于统计值及第一阈值确定所述新建连接数是否异常;
网络流量计算模块,用于在所述新建连接数异常时,至少计算请求新建连接间的请求时间差,并至少基于所述时间差确定对应所述源IP的请求行为是否为具有目标规律性的行为;
暴力破解判断模块,用于在所述请求行为为具有目标规律性的行为时,计算所述流量报文的长度参数,确定所述长度参数是否满足第二阈值,若是,则确定对应所述源IP的流量报文为暴力破解流量。
CN202111341640.5A 2021-11-12 2021-11-12 一种暴力破解流量的检测方法及装置 Active CN113938312B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111341640.5A CN113938312B (zh) 2021-11-12 2021-11-12 一种暴力破解流量的检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111341640.5A CN113938312B (zh) 2021-11-12 2021-11-12 一种暴力破解流量的检测方法及装置

Publications (2)

Publication Number Publication Date
CN113938312A true CN113938312A (zh) 2022-01-14
CN113938312B CN113938312B (zh) 2024-01-26

Family

ID=79286527

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111341640.5A Active CN113938312B (zh) 2021-11-12 2021-11-12 一种暴力破解流量的检测方法及装置

Country Status (1)

Country Link
CN (1) CN113938312B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115189926A (zh) * 2022-06-22 2022-10-14 北京天融信网络安全技术有限公司 网络流量的检测方法、网络流量的检测系统和电子设备
CN115459962A (zh) * 2022-08-22 2022-12-09 北京国瑞数智技术有限公司 一种基于统计的暴力破解检测方法和系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106487790A (zh) * 2016-10-09 2017-03-08 广东睿江云计算股份有限公司 一种ack flood攻击的清洗方法及系统
CN107733921A (zh) * 2017-11-14 2018-02-23 深圳中兴网信科技有限公司 网络流量异常检测方法、装置、计算机设备和存储介质
CN109104437A (zh) * 2018-10-22 2018-12-28 盛科网络(苏州)有限公司 路由域、用于在路由域中处理ip报文的方法和装置
CN109936545A (zh) * 2017-12-18 2019-06-25 华为技术有限公司 暴力破解攻击的检测方法和相关装置
CN110247893A (zh) * 2019-05-10 2019-09-17 中国联合网络通信集团有限公司 一种数据传输方法和sdn控制器
CN110417747A (zh) * 2019-07-08 2019-11-05 新华三信息安全技术有限公司 一种暴力破解行为的检测方法及装置
CN110635914A (zh) * 2019-09-23 2019-12-31 南京经纬信安科技有限公司 一种弱口令检测方法及检测系统
CN110866246A (zh) * 2018-12-28 2020-03-06 北京安天网络安全技术有限公司 一种恶意代码攻击的检测方法、装置及电子设备
CN111104655A (zh) * 2019-12-22 2020-05-05 苏州浪潮智能科技有限公司 一种bmc登录方法及相关装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106487790A (zh) * 2016-10-09 2017-03-08 广东睿江云计算股份有限公司 一种ack flood攻击的清洗方法及系统
CN107733921A (zh) * 2017-11-14 2018-02-23 深圳中兴网信科技有限公司 网络流量异常检测方法、装置、计算机设备和存储介质
CN109936545A (zh) * 2017-12-18 2019-06-25 华为技术有限公司 暴力破解攻击的检测方法和相关装置
CN109104437A (zh) * 2018-10-22 2018-12-28 盛科网络(苏州)有限公司 路由域、用于在路由域中处理ip报文的方法和装置
CN110866246A (zh) * 2018-12-28 2020-03-06 北京安天网络安全技术有限公司 一种恶意代码攻击的检测方法、装置及电子设备
CN110247893A (zh) * 2019-05-10 2019-09-17 中国联合网络通信集团有限公司 一种数据传输方法和sdn控制器
CN110417747A (zh) * 2019-07-08 2019-11-05 新华三信息安全技术有限公司 一种暴力破解行为的检测方法及装置
CN110635914A (zh) * 2019-09-23 2019-12-31 南京经纬信安科技有限公司 一种弱口令检测方法及检测系统
CN111104655A (zh) * 2019-12-22 2020-05-05 苏州浪潮智能科技有限公司 一种bmc登录方法及相关装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
谭海中;刘玉春;: "关联规则聚类更新的大数据文件请求流分析", 计算机工程与设计, no. 11 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115189926A (zh) * 2022-06-22 2022-10-14 北京天融信网络安全技术有限公司 网络流量的检测方法、网络流量的检测系统和电子设备
CN115189926B (zh) * 2022-06-22 2024-01-26 北京天融信网络安全技术有限公司 网络流量的检测方法、网络流量的检测系统和电子设备
CN115459962A (zh) * 2022-08-22 2022-12-09 北京国瑞数智技术有限公司 一种基于统计的暴力破解检测方法和系统
CN115459962B (zh) * 2022-08-22 2024-08-06 北京国瑞数智技术有限公司 一种基于统计的暴力破解检测方法和系统

Also Published As

Publication number Publication date
CN113938312B (zh) 2024-01-26

Similar Documents

Publication Publication Date Title
CN108156174B (zh) 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质
CN109936545B (zh) 暴力破解攻击的检测方法和相关装置
US11374897B2 (en) CandC domain name analysis-based botnet detection method, device, apparatus and medium
CN110519208B (zh) 异常检测方法、装置及计算机可读介质
CN113938312B (zh) 一种暴力破解流量的检测方法及装置
CN109194680A (zh) 一种网络攻击识别方法、装置及设备
CN110417747B (zh) 一种暴力破解行为的检测方法及装置
US11838319B2 (en) Hardware acceleration device for denial-of-service attack identification and mitigation
CN112422554B (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
CN107204965B (zh) 一种密码破解行为的拦截方法及系统
CN111327615A (zh) 一种cc攻击防护方法及其系统
CN115001812B (zh) 基于互联网的数据中心在线监管安全预警系统
CN101888296B (zh) 一种影子用户检测方法、装置、设备和系统
CN106911665B (zh) 一种识别恶意代码弱口令入侵行为的方法及系统
CN115883170A (zh) 网络流量数据监测分析方法、装置及电子设备及存储介质
CN117150459A (zh) 零信任用户身份安全检测方法和系统
CN101980477B (zh) 检测影子用户的数目的方法和装置及网络设备
KR102211503B1 (ko) 유해 ip 판단 방법
CN110011992B (zh) 系统登录方法及电子设备
WO2019159809A1 (ja) アクセス分析システム及びアクセス分析方法
CN108833410B (zh) 一种针对HTTP Flood攻击的防护方法及系统
CN114363059A (zh) 一种攻击识别方法、装置及相关设备
CN111064731B (zh) 一种浏览器请求的访问权限的识别方法、识别装置及终端
RU2381550C2 (ru) Способ мониторинга безопасности web-сервера
JP2006115129A (ja) ネットワーク異常検出システム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant