CN114866333B - 暴力破解请求的智能识别方法、装置、电子设备及介质 - Google Patents
暴力破解请求的智能识别方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN114866333B CN114866333B CN202210645831.9A CN202210645831A CN114866333B CN 114866333 B CN114866333 B CN 114866333B CN 202210645831 A CN202210645831 A CN 202210645831A CN 114866333 B CN114866333 B CN 114866333B
- Authority
- CN
- China
- Prior art keywords
- data
- probability
- request
- cracking
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000005336 cracking Methods 0.000 title claims abstract description 151
- 238000000034 method Methods 0.000 title claims abstract description 65
- 238000009826 distribution Methods 0.000 claims abstract description 128
- 238000012795 verification Methods 0.000 claims abstract description 122
- 238000012549 training Methods 0.000 claims abstract description 114
- 230000002159 abnormal effect Effects 0.000 claims abstract description 34
- 238000004458 analytical method Methods 0.000 claims abstract description 13
- 230000006870 function Effects 0.000 claims description 23
- 238000007781 pre-processing Methods 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 19
- 238000003860 storage Methods 0.000 claims description 12
- 238000013480 data collection Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 8
- 238000013075 data extraction Methods 0.000 claims description 7
- 238000004140 cleaning Methods 0.000 claims description 4
- 238000007405 data analysis Methods 0.000 claims description 3
- 238000010200 validation analysis Methods 0.000 claims description 2
- 238000000638 solvent extraction Methods 0.000 claims 1
- 238000013473 artificial intelligence Methods 0.000 abstract description 7
- 230000008569 process Effects 0.000 description 20
- 238000001514 detection method Methods 0.000 description 9
- 238000007726 management method Methods 0.000 description 8
- 102100037651 AP-2 complex subunit sigma Human genes 0.000 description 5
- 101000806914 Homo sapiens AP-2 complex subunit sigma Proteins 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000002790 cross-validation Methods 0.000 description 4
- 238000009825 accumulation Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000002547 anomalous effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000008014 freezing Effects 0.000 description 2
- 238000007710 freezing Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 241000243251 Hydra Species 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005422 blasting Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- QRXWMOHMRWLFEY-UHFFFAOYSA-N isoniazide Chemical compound NNC(=O)C1=CC=NC=C1 QRXWMOHMRWLFEY-UHFFFAOYSA-N 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及人工智能领域,提供一种暴力破解请求的智能识别方法,首先对样本数据进行初步划分以形成训练集和验证集,并将训练集转换为高斯分布;根据高斯分布的参数对预创建的模型进行训练以形成高斯模型,通过高斯模型获取验证集的高斯分布数据,根据交叉验证参数确定所述高斯模型的阈值以形成概率模型;而后通过概率模型对所获取的请求信息进行识别处理,以确定请求信息的高斯分布数据,并输出请求信息的目标暴力破解几率,若目标暴力破解几率大于预设的几率对比值,则将所请求信息判断为低频暴力破解请求;如此,自动补抓特征关联性,进行的误差分析方法,来捕捉各种异常的可能,能够捕捉到各种不同的异常情况,自动识别欺骗请求。
Description
技术领域
本发明涉及人工智能领域,涉及请求数据分析技术,尤其涉及一种暴力破解请求的智能识别方法、装置、电子设备及计算机可读存储介质。
背景技术
SSH暴力破解是一种对远程登录设备(比如云服务器)的暴力攻击,该攻击会使用各种用户名、密码尝试登录设备,一旦成功登录,便可获得设备权限。近些年,爆破SSH登录密码的开源工具也很强大,如nmap、hydra。出现众多入侵系统手法,如Apache Struts2漏洞利用、Hadoop Yarn REST API未授权漏洞利用,传统的SSH暴力破解攻击手段一直沿用。所以威胁检测产品需对暴力破解攻击有足够的技术识别和防范。目前检测发现方法为通过在云主机上部署脚本python脚本,限制SSH登陆,通过监控系统日志,将超过错误次数的IP放入TCP Wrappers中禁止登陆,但是该方法无法做集中管理,无数据积累,无法做深度分析;另外一种方法通过主机安全Agent统计连接频率(可自定义频率,例如:1分钟内连接30次),冻结连接IP一段时间缓解(可自定义冻结时间,例如:30分钟),但该方法无法全部拦截识别,准确率低;第三种方法通过部署IDS/IPS来辨别禁止暴力破解,但该种方式,深度关联性相对差。
因此,亟需一种操作简单,准确率高,可关联性强的一种暴力破解请求的智能识别方法。
发明内容
本发明提供一种暴力破解请求的智能识别方法,以解决现有技术中的破解方法无法做集中管理,无数据积累,无法做深度分析,无法全部拦截识别,准确率低的问题。
为实现上述目的,本发明提供的一种暴力破解请求的智能识别方法,包括:
通过外部网络连接数据收集数据集,并对所述数据集进行预处理以形成样本数据;
对所述样本数据进行初步划分以形成训练集和验证集,并将所述训练集转换为高斯分布;
根据所述高斯分布的参数对预创建的模型进行训练以形成高斯模型,通过所述高斯模型获取所述验证集的高斯分布数据,根据所述高斯分布数据确定所述验证集的验证暴力破解几率,并根据所述验证暴力破解几率与所述验证集的已知暴力破解判定数据进行对比以获取交叉验证参数,根据所述交叉验证参数确定所述高斯模型的阈值以形成概率模型;
通过所述概率模型对所获取的请求信息进行识别处理,以确定所述请求信息的高斯分布数据,并基于所述请求信息的高斯分布数据和所述阈值确定所述请求信息的目标暴力破解几率,其中,若所述目标暴力破解几率大于预设的几率对比值,则将所请求信息判断为低频暴力破解请求。
可选地,通过外部网络连接数据收集的数据集为多维数据或登录日志。
可选地,对所述多维数据进行预处理以形成样本数据,包括:
对所述多维数据进行数据清洗以形成五元组数据;其中,所述五元组数据包括源IP地址、源端口、目的IP地址、目的端口和传输层协议;
基于所述五元组数据建立每个请求的所属用户的外部连接状态;
对所述外部连接状态进行数据提取以形成状态数据,并将所述状态数据与所述五元组数据作为数据集;
对所述数据集进行规范化的预处理以形成样本数据。
可选地,所述对所述样本数据进行初步划分以形成训练集和验证集,包括:
通过预设的数据读取插件判断所述样本数据为异常数据还是非异常数据;
将所述异常数据作为验证集;将所述非异常数据作为训练集;
将所述训练集转换为m*n维训练集;
将所述m*n维训练集转换为n维高斯分布。
可选地,所述根据所述高斯分布的参数对预创建的模型进行训练以形成高斯模型,包括:
对m个高斯分布进行数据分析以获取高斯分布的参数;所述高斯分布的参数至少包括概率密度函数;
将所述训练集、与所述训练集一一对应的高斯分布的参数输入预创的模型中进行反复学习训练以获取所述训练集在各个维度上的数学期望和方差,基于所述数学期望和方差形成高斯模型。
可选地,所述通过所述概率模型对所获取的请求信息进行识别处理,以确定所述请求信息的高斯分布数据,并基于所述请求信息的高斯分布数据和所述阈值确定所述请求信息的目标暴力破解几率,若所述目标暴力破解几率大于预设的几率对比值,则将所请求信息判断为低频暴力破解请求,包括:
将所获取的请求信息输入至所述概率模型;
通过所述概率模型的前期处理单元对所述请求信息进行数据提取以获取关于所述请求信息的多维数据;
通过所述概率模型中的高斯模型部分对所述多维数据进行高斯处理以获取所述请求信息的高斯分布数据,并根据所述请求信息的高斯分布数据和所述阈值判断所述请求信息的目标暴力破解几率;
将所述目标暴力破解几率与预设的几率对比值相比对,若所述目标暴力破解几率大于预设的几率对比值,则将所述请求信息判断为低频暴力破解请求;若所述目标暴力破解几率不大于预设的几率对比值,则将所述请求信息判断为非低频暴力破解请求;
若所述请求信息为低频暴力破解请求,则禁止与所述请求信息对应的用户请求登录。
可选地,所述判断所述请求信息的目标暴力破解几率,包括:
对所述多维数据进行遍历分析以获取概率判断基数;
根据所述多维数据获取用户外部链接数据与用户连接SSH端口的连接计数,以及用户连接SSH端口的月平均值,并按照预设规则基于所述判断基数、所述月平均值与所述连接计数的差值,将所述差值作为辅助信息计算暴力破解几率。
为了解决上述问题,本发明还提供一种暴力破解请求的智能识别装置,所述装置包括:
数据处理单元,用于通过外部网络连接数据收集数据集,并对所述数据集进行预处理以形成样本数据;
数据划分单元,用于对所述样本数据进行初步划分以形成训练集和验证集,并将所述训练集转换为高斯分布;
模型训练单元,用于根据所述高斯分布的参数对预创建的模型进行训练以形成高斯模型,通过所述高斯模型获取所述验证集的高斯分布数据,根据所述高斯分布数据确定所述验证集的验证暴力破解几率,并根据所述验证暴力破解几率与所述验证集的已知暴力破解判定数据进行对比以获取交叉验证参数,根据所述交叉验证参数确定所述高斯模型的阈值以形成概率模型;
请求处理单元,用于通过所述概率模型对所获取的请求信息进行识别处理,以确定所述请求信息的高斯分布数据,并基于所述请求信息的高斯分布数据和所述阈值确定所述请求信息的目标暴力破解几率,若所述目标暴力破解几率大于预设的几率对比值,则将所请求信息判断为低频暴力破解请求。
为了解决上述问题,本发明还提供一种电子设备,所述电子设备包括:
存储器,存储至少一个指令;及
处理器,执行所述存储器中存储的指令以实现上述所述的暴力破解请求的智能识别方法中的步骤。
为了解决上述问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个指令,所述至少一个指令被电子设备中的处理器执行以实现上述所述的暴力破解请求的智能识别方法。
本发明实施例首先通过外部网络连接数据收集数据集,并对数据集进行预处理以形成样本数据;对样本数据进行初步划分以形成训练集和验证集,并将训练集转换为高斯分布;根据高斯分布的参数对预创建的模型进行训练以形成高斯模型,通过高斯模型获取所述验证集的高斯分布数据,根据高斯分布数据确定所述验证集的验证暴力破解几率,并根据验证暴力破解几率与验证集的已知暴力破解判定数据进行对比以获取交叉验证参数,根据交叉验证参数确定所述高斯模型的阈值以形成概率模型;而后通过概率模型对所获取的请求信息进行识别处理,以确定请求信息的高斯分布数据,并基于请求信息的高斯分布数据和阈值确定所述请求信息的目标暴力破解几率,若目标暴力破解几率大于预设的几率对比值,则将所请求信息判断为低频暴力破解请求;如此,自动补抓特征关联性,进行的误差分析方法,来捕捉各种异常的可能,能够捕捉到各种不同的异常情况,自动识别欺骗请求,自动检测用户是否被盗号。
附图说明
图1为本发明一实施例提供的暴力破解请求的智能识别方法的流程示意图;
图2为本发明一实施例提供的暴力破解请求的智能识别装置的模块示意图;
图3为本发明一实施例提供的暴力破解请求的智能识别方法的电子设备的内部结构示意图;
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
目前检测发现方法为通过在云主机上部署脚本python脚本,限制SSH登陆,通过监控系统日志,将超过错误次数的IP放入TCP Wrappers中禁止登陆,但是该方法无法做集中管理,无数据积累,无法做深度分析;另外一种方法通过主机安全Agent统计连接频率(可自定义频率,例如:1分钟内连接30次),冻结连接IP一段时间缓解(可自定义冻结时间,例如:30分钟),但该方法无法全部拦截识别,准确率低;第三种方法通过部署IDS/IPS来辨别禁止暴力破解,但该种方式,深度关联性相对差。
在本实施例中,执行主体为整个服务器集群的暴力破解请求的智能识别系统,该暴力破解请求的智能识别系统集成在服务器集群中,即服务器集群下的暴力破解请求的智能识别系统的不同模块分别进行不同的操作步骤,其中,该服务器集群的架构包括多个服务器,在每个服务器下运行有多个集群实例,在每个集群实例下存储有多个定时任务,如此,通过下述步骤实现该定时任务的有序执行。
需要说明的是,本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。其中,人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
如图1所示,在本实施例中,暴力破解请求的智能识别方法,包括:
S1:通过外部网络连接数据收集数据集,并对所述数据集进行预处理以形成样本数据;
S2:对所述样本数据进行初步划分以形成训练集和验证集,并将所述训练集转换为高斯分布;
S3:根据所述高斯分布的参数对预创建的模型进行训练以形成高斯模型,通过所述高斯模型获取所述验证集的高斯分布数据,根据所述高斯分布数据确定所述验证集的验证暴力破解几率,并根据所述验证暴力破解几率与所述验证集的已知暴力破解判定数据进行对比以获取交叉验证参数,根据所述交叉验证参数确定所述高斯模型的阈值以形成概率模型;
S4:通过所述概率模型对所获取的请求信息进行识别处理,以确定所述请求信息的高斯分布数据,并基于所述请求信息的高斯分布数据和所述阈值确定所述请求信息的目标暴力破解几率,其中,若所述目标暴力破解几率大于预设的几率对比值,则将所请求信息判断为低频暴力破解请求。
在图1所示的实施例中,步骤S1为通过外部网络连接数据收集数据集,并对所述数据集进行预处理以形成样本数据的步骤;在该过程中,通过外部网络连接数据收集的数据集可以为多维数据,也可以为登录日志;
若该数据集为多维数据,所述多维数据包括关于所收集的请求的相关规格数据的集合;那么对所述多维数据进行预处理以形成样本数据的过程,包括:
S11:对所述多维数据进行数据清洗以形成五元组数据;其中所述五元组数据包括源IP地址、源端口、目的IP地址、目的端口和传输层协议;
S12:基于所述五元组数据建立每个请求的所属用户的外部连接状态;
S13:对所述外部连接状态进行数据提取以形成状态数据,并将所述状态数据与所述五元组数据作为数据集;
S14:对所述数据集进行规范化的预处理以形成样本数据;其中该规范化的预处理即将数据集按照类型梳理在表格中,一个表头对应一个数据;
若为登录日志,则直接将所述登录日志的信息作为五元组数据;
更为具体的,在一个具体实施例中,简言之即为通过外部网络连接数据收集数据集(五元组:源IP地址、源端口、目的IP地址、目的端口和传输层协议这五个量组成的一个集合),也可以选择收集登陆日志,但是为了更好的获得多维数据,多维数据是指:源IP地址、源端口、目的IP地址、目的端口和传输层协议这5维数据,例如:192.168.1.1、10000、TCP、121.14.88.76、80就构成了一个五元组。其意义是,一个IP地址为192.168.1.1的终端通过端口10000,利用TCP协议,和IP地址为121.14.88.76,端口为80的终端进行连接。从五元组开始建立每个用户外部连接状态(针对SSH端口的连接计数)。
在图1所示的实施例中,步骤S2为对所述样本数据进行初步划分以形成训练集和验证集,并将所述训练集转换为高斯分布的过程;在该过程中,包括:
S21:通过预设的数据读取插件判断所获取的样本数据为异常数据还是非异常数据;
S22:将所述异常数据作为验证集;将所述非异常数据作为训练集;
S23:将所述训练集转换为m*n维训练集;
S24:将所述m*n维训练集转换为n维高斯分布;
其中,正态分布(Normal distribution)(高斯分布,又名多因子分布)是一种概率分布。正态分布是具有两个参数μ和σ^2的连续型随机变量的分布,第一参数μ是遵从正态分布的随机变量的均值,第二个参数σ^2是此随机变量的方差,所以正态分布记作N(μ,σ^2)。遵从正态分布的随机变量的概率规律为取μ邻近的值的概率大,而取离μ越远的值的概率越小;σ越小,分布越集中在μ附近,σ越大,分布越分散。
在本实施例中,首先通过预设的数据读取插件判断所获取的样本数据维异常数据还是非异常数据,该数据读取插件为按照预设规则所提前设定的插件,比如设置好什么样的为异常数据,什么样的为非异常数据,如此提前将样本数据划分为异常数据和非异常数据,而后给定一个m*n维训练集,将训练集转换为n维的高斯分布,通过对m个训练样例的分布分析,得出训练集的概率密度函数,即得出训练集在各个维度上的数学期望μ和方差σ^2。
在图1所示的实施例中,步骤S3为根据所述高斯分布的参数对预创建的模型进行训练以形成高斯模型,通过所述高斯模型获取所述验证集的高斯分布数据,根据所述高斯分布数据确定所述验证集的验证暴力破解几率,并根据所述验证暴力破解几率与所述验证集的已知暴力破解判定数据进行对比以获取交叉验证参数,根据所述交叉验证参数确定所述高斯模型的阈值以形成概率模型的过程;其中,所述根据所述高斯分布的参数对预创建的模型进行训练以形成高斯模型,包括:
S31:对m个高斯分布进行数据分析以获取高斯分布的参数;所述高斯分布的参数至少包括概率密度函数;
S32:将所述训练集、与所述训练集一一对应的高斯分布的参数输入预创的模型中进行反复学习训练以获取所述训练集在各个维度上的数学期望和方差,基于所述数学期望和方差形成高斯模型。
获取概率模型即将所述验证集输入所述高斯分布模型中,使所述高斯分布模型输出所述验证集的高斯分布数据,根据所述高斯分布数据确定所述验证集的验证暴力破解几率,并根据所述验证暴力破解几率与所述验证集的已知暴力破解判定数据进行对比以获取交叉验证参数,根据所述交叉验证参数确定所述高斯模型的阈值以形成概率模型;其中,所述概率模型在进行暴力破解验证时,高于所述阈值的暴力破解概率判定为非异常,低于所述阈值的暴力破解概率值判断为异常。
具体的,在步骤S32进行训练的过程中,在学习的过程中,还包括设计损失函数,设置训练参数,开始训练,方法如下:
S321:选择网络结构构建所预创的模型,并确认损失函数;
S322:基于所述模型与损失模型开始训练,计算训练过程中每一轮权重更新后训练数据集的正确率,召回率和loss值,直至所述损失函数的值低于预设的损失阈值方停止训练。
此外,在训练的过程中边训练边保存每一次训练所生成的模型,且进行概率密度验证,确定训练停止时间,具体方法如下:
首先记录第一次训练生成的概率模型的正确率,在训练过程中当权重更新后的正确率比上一次记录值增长设定值,保存当前模型,同时将记录值刷新为当前正确率;
其次利用保存的模型对训练集特征提取以获取特征数据,并根据所述特征数据获取概率密度函数;若训练过程中最新保存的模型得到的概率密度函数均值大于上一个保存的模型所得到的概率密度函数均值,同时正确率和召回率持续增长,loss值持续下降,则认为训练过程正在收敛,在正确率达到一定数值以上,且损失函数值第一损失阈值时停止训练,,否则,认为训练过程发散,无法得到最终的概率模型,需要调整后重新训练。
简言之,在一个具体实施例中,给定一个m*n维训练集,将训练集转换为n维的高斯分布,通过对m个训练样例的分布分析,得出训练集的概率密度函数,即得出训练集在各个维度上的数学期望μ和方差σ^2,并且利用少量的Cross Validation集来确定一个阈值ε。当给定一个新的点,我们根据其在高斯分布上算出的概率,及阈值ε,判断当p<ε判定为异常,当p>ε判定为非异常。
在图1所示的实施例中,步骤S4为通过所述概率模型对所获取的请求信息进行识别处理,以确定所述请求信息的高斯分布数据,并基于所述请求信息的高斯分布数据和所述阈值确定所述请求信息的目标暴力破解几率,若所述目标暴力破解几率大于预设的几率对比值,则将所请求信息判断为低频暴力破解请求的过程;其中,包括:
S41:将所获取的请求信息输入至所述概率模型;
S42:通过所述概率模型的前期处理单元对所述请求信息进行数据提取以获取关于所述请求信息的多维数据;其中,所述多维数据为五元组数据,包括:源IP地址、源端口、目的IP地址、目的端口和传输层协议;
S43:通过所述概率模型中的高斯模型部分对所述多维数据进行高斯处理以获取所述请求信息的高斯分布数据,并根据所述请求信息的高斯分布数据和所述阈值判断所述请求信息的目标暴力破解几率;
S44:将所述目标暴力破解几率与预设的几率对比值相比对,若所述目标暴力破解几率大于预设的几率对比值,则将所述请求信息判断为低频暴力破解请求;若所述目标暴力破解几率不大于预设的几率对比值,则将所述请求信息判断为非低频暴力破解请求;
S45:若所述请求信息为低频暴力破解请求,则禁止与所述请求信息对应的用户请求登录。
其中,在判断所述请求信息的目标暴力破解几率的过程中,包括:
S431:对所述多维数据进行遍历分析以获取概率判断基数;
S432:根据所述多维数据获取用户外部链接数据与用户连接SSH端口的连接计数,以及用户连接SSH端口的月平均值,并按照预设规则基于所述判断基数、所述月平均值与所述连接计数的差值,将所述差值作为辅助信息计算暴力破解几率;
具体的,根据收集的多维数据(源IP地址、源端口、目的IP地址、目的端口和传输层协议这5维数据)建立每个用户外部连接状态,即统计针对SSH端口的连接计数。使用一定量的正常用户数据统计每月/每天正常登陆主机的次数,一般上都是有例可循在一定阈值范围的,我们将该概率数值称之为概率模型。如用户日登陆主机数(即均值)定期为5-10次,其他用户数可能为1-4,或10-20,这时候模型成抛物线状态,波峰与波底可能都为异常样本,即
在一个更为具体的实施例中,如用x来表示用户的一系列行为,如x1表示用户登陆的次数,x2表示用户访问某个网页的次数,x3用来表示用户提交的次数等等,通过对这些用户的行为进行建模来检测异常用户,这些异常用户不仅仅是被盗号的用户,而是行为有异常的用户;
在训练集用来训练模型p(x)的过程中,验证集用来选择合适的错误临界点ε(我们判断p(x)<ε时为异常数据),并通过计算查准率、召回率。
从带标签的数据入手,用其中一部分正常数据用于构建训练集(正常数据用于构建训练集),然后使用剩下的正常样本和异常样本混合的数据构建交叉验证集和测试集。其中的比例分配为将正常数据的60%用于训练,构建训练集;用20%的正常数据和50%的异常数据构建交叉验证集;用20%的正常数据和50%的异常数据构建测试集。
根据训练集数据,估计出特征(五元组数据)的均值和方差,然后构建出概率密度估计函数P(x)(五元组数据排列组合,算出频次)。本具体实施例是根据m个正常的样本,来建立一个模型p(x),即对x的分布概率建模。密度公式p(x,μ,σ2),如果变量x服从高斯分布:x~N(μ,σ2),则其概率密度函数为:
即使用已有的样本x、x2…
数据来预测该模型总体的均值和方差,计算方法如下:
均值μ;方差σ2;数据集x;密度公式p(x,μ,σ2)
对于交叉验证集(验证集),可以尝试不同的∈值作为阈值(根据训练集的准确度来确定一个阈值),并预测数据是否异常,根据F1值或者查准率与查全率的比例选择最佳的阈值∈。根据训练集数据算出实际正常的访问频次,训练集选择正样本,正样本训练后可以得出均值和方差。
选出最佳的∈后,针对测试集进行预测,计算异常检测算法的F1值或者查准率与查全率之比。
异常检测的问题可以定义如下:对于给定的数据集(五元组的频次)x1,x2,...,xm,我们假使数据集是正常的,我们希望知道新的数据xtest是不是异常的,即这个数据不属于该组数据集的几率如何。我们所构建的模型应该能够根据预测数据的位置告诉我们其属于这一组数据的可能性p(x)。
这种方法称为密度估计,表达式如下:
如此,对于异常检测算法来说,异常可能会有很多种类,但是我们只需判断出异常即可,想要判断出异常的种类,对于只有少量的正向类样本的异常检测算法来说非常困难;对于由于存在着大量的正向类样本,可以对正向类进一步的划分类型。自动补抓特征关联性,进行的误差分析方法,来捕捉各种异常的可能。通过这些方法,能够了解如何选择好的特征变量,从而帮助你的异常检测算法,捕捉到各种不同的异常情况。可以用来识别欺骗,检测用户是否被盗号(通过用户的行为与之前行为的区别:根据以上说的正常训练集与异常训练集之间的方差计算。
在本实施例中,服务器可以是独立的服务器,也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
如上所述,本发明实施例提供的暴力破解请求的智能识别方法,首先通过外部网络连接数据收集数据集,并对数据集进行预处理以形成样本数据;对样本数据进行初步划分以形成训练集和验证集,并将训练集转换为高斯分布;根据高斯分布的参数对预创建的模型进行训练以形成高斯模型,通过高斯模型获取所述验证集的高斯分布数据,根据高斯分布数据确定所述验证集的验证暴力破解几率,并根据验证暴力破解几率与验证集的已知暴力破解判定数据进行对比以获取交叉验证参数,根据交叉验证参数确定所述高斯模型的阈值以形成概率模型;而后通过概率模型对所获取的请求信息进行识别处理,以确定请求信息的高斯分布数据,并基于请求信息的高斯分布数据和阈值确定所述请求信息的目标暴力破解几率,若目标暴力破解几率大于预设的几率对比值,则将所请求信息判断为低频暴力破解请求;如此,自动补抓特征关联性,进行的误差分析方法,来捕捉各种异常的可能,能够捕捉到各种不同的异常情况,自动识别欺骗请求,自动检测用户是否被盗号。
如图2所示,本发明提供一种暴力破解请求的智能识别装置100,本发明可以安装于电子设备中。根据实现的功能,该暴力破解请求的智能识别装置100可以包括数据处理单元101、数据划分单元102、模型训练单元103、请求处理单元104。本发明所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
数据处理单元101,用于通过外部网络连接数据收集数据集,并对所述数据集进行预处理以形成样本数据;
数据划分单元102,用于对所述样本数据进行初步划分以形成训练集和验证集,并将所述训练集转换为高斯分布;
模型训练单元103,用于根据所述高斯分布的参数对预创建的模型进行训练以形成高斯模型,通过所述高斯模型获取所述验证集的高斯分布数据,根据所述高斯分布数据确定所述验证集的验证暴力破解几率,并根据所述验证暴力破解几率与所述验证集的已知暴力破解判定数据进行对比以获取交叉验证参数,根据所述交叉验证参数确定所述高斯模型的阈值以形成概率模型;
请求处理单元104,用于通过所述概率模型对所获取的请求信息进行识别处理,以确定所述请求信息的高斯分布数据,并基于所述请求信息的高斯分布数据和所述阈值确定所述请求信息的目标暴力破解几率,若所述目标暴力破解几率大于预设的几率对比值,则将所请求信息判断为低频暴力破解请求。
如上所述,本发明提供的暴力破解请求的智能识别装置100,首先通过数据处理单元101通过外部网络连接数据收集数据集,并对数据集进行预处理以形成样本数据;再通过数据划分单元102对样本数据进行初步划分以形成训练集和验证集,并将训练集转换为高斯分布;再通过模型训练单元103根据高斯分布的参数对预创建的模型进行训练以形成高斯模型,通过高斯模型获取所述验证集的高斯分布数据,根据高斯分布数据确定所述验证集的验证暴力破解几率,并根据验证暴力破解几率与验证集的已知暴力破解判定数据进行对比以获取交叉验证参数,根据交叉验证参数确定所述高斯模型的阈值以形成概率模型;而后利用请求处理单元104通过概率模型对所获取的请求信息进行识别处理,以确定请求信息的高斯分布数据,并基于请求信息的高斯分布数据和阈值确定所述请求信息的目标暴力破解几率,若目标暴力破解几率大于预设的几率对比值,则将所请求信息判断为低频暴力破解请求;如此,自动补抓特征关联性,进行的误差分析方法,来捕捉各种异常的可能,能够捕捉到各种不同的异常情况,自动识别欺骗请求,自动检测用户是否被盗号。
如图3所示,本发明提供一种实现暴力破解请求的智能识别方法的电子设备1。
该电子设备1可以包括处理器10、存储器11和总线,还可以包括存储在存储器11中并可在所述处理器10上运行的计算机程序,如暴力破解请求的智能识别程序12。
其中,所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备1的内部存储单元,例如该电子设备1的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备1的外部存储设备,例如电子设备1上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(SecureDigital,SD)卡、闪存卡(Flash Card)等。进一步地,所述存储器11还可以既包括电子设备1的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备1的应用软件及各类数据,例如暴力破解请求的智能识别程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
所述处理器10在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(Control Unit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器11内的程序或者模块(例如暴力破解请求的智能识别程序等),以及调用存储在所述存储器11内的数据,以执行电子设备1的各种功能和处理数据。
所述总线可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。
图3仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图3示出的结构并不构成对所述电子设备1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述电子设备1还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器10逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备1还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
进一步地,所述电子设备1还可以包括网络接口,可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备1与其他电子设备之间建立通信连接。
可选地,该电子设备1还可以包括用户接口,用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(OrganicLight-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备1中处理的信息以及用于显示可视化的用户界面。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
所述电子设备1中的所述存储器11存储的暴力破解请求的智能识别程序12是多个指令的组合,在所述处理器10中运行时,可以实现:
通过外部网络连接数据收集数据集,并对所述数据集进行预处理以形成样本数据;
对所述样本数据进行初步划分以形成训练集和验证集,并将所述训练集转换为高斯分布;
根据所述高斯分布的参数对预创建的模型进行训练以形成高斯模型,通过所述高斯模型获取所述验证集的高斯分布数据,根据所述高斯分布数据确定所述验证集的验证暴力破解几率,并根据所述验证暴力破解几率与所述验证集的已知暴力破解判定数据进行对比以获取交叉验证参数,根据所述交叉验证参数确定所述高斯模型的阈值以形成概率模型;
通过所述概率模型对所获取的请求信息进行识别处理,以确定所述请求信息的高斯分布数据,并基于所述请求信息的高斯分布数据和所述阈值确定所述请求信息的目标暴力破解几率,若所述目标暴力破解几率大于预设的几率对比值,则将所请求信息判断为低频暴力破解请求。
具体地,所述处理器10对上述指令的具体实现方法可参考图1对应实施例中相关步骤的描述,在此不赘述。需要强调的是,为进一步保证上述暴力破解请求的智能识别的私密和安全性,上述暴力破解请求的智能识别的数据存储于本服务器集群所处区块链的节点中。
服务器可以是独立的服务器,也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(ContentDelivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
进一步地,所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
本发明实施例还提供一种计算机可读存储介质,所述存储介质可以是非易失性的,也可以是易失性的,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现:
通过外部网络连接数据收集数据集,并对所述数据集进行预处理以形成样本数据;
对所述样本数据进行初步划分以形成训练集和验证集,并将所述训练集转换为高斯分布;
根据所述高斯分布的参数对预创建的模型进行训练以形成高斯模型,通过所述高斯模型获取所述验证集的高斯分布数据,根据所述高斯分布数据确定所述验证集的验证暴力破解几率,并根据所述验证暴力破解几率与所述验证集的已知暴力破解判定数据进行对比以获取交叉验证参数,根据所述交叉验证参数确定所述高斯模型的阈值以形成概率模型;
通过所述概率模型对所获取的请求信息进行识别处理,以确定所述请求信息的高斯分布数据,并基于所述请求信息的高斯分布数据和所述阈值确定所述请求信息的目标暴力破解几率,若所述目标暴力破解几率大于预设的几率对比值,则将所请求信息判断为低频暴力破解请求。
具体地,所述计算机程序被处理器执行时具体实现方法可参考实施例暴力破解请求的智能识别方法中相关步骤的描述,在此不赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (9)
1.一种暴力破解请求的智能识别方法,其特征在于,包括:
通过外部网络连接数据收集数据集,并对所述数据集中的多维数据进行预处理以形成样本数据;包括:对所述多维数据进行数据清洗以形成五元组数据;其中,所述五元组数据包括源IP地址、源端口、目的IP地址、目的端口和传输层协议;基于所述五元组数据建立每个请求的所属用户的外部连接状态;对所述外部连接状态进行数据提取以形成状态数据,并将所述状态数据与所述五元组数据作为数据集;对所述数据集进行规范化的预处理以形成样本数据;
对所述样本数据进行初步划分以形成训练集和验证集,并将所述训练集转换为高斯分布;
根据所述高斯分布的参数对预创建的模型进行训练以形成高斯模型,通过所述高斯模型获取所述验证集的高斯分布数据,根据所述高斯分布数据确定所述验证集的验证暴力破解几率,并根据所述验证暴力破解几率与所述验证集的已知暴力破解判定数据进行对比以获取交叉验证参数,根据所述交叉验证参数确定所述高斯模型的阈值,以将确定阈值的高斯模型作为概率模型;
通过所述概率模型对所获取的请求信息进行识别处理,以确定所述请求信息的高斯分布数据,并基于所述请求信息的高斯分布数据和所述阈值确定所述请求信息的目标暴力破解几率,其中,若所述目标暴力破解几率大于预设的几率对比值,则将所请求信息判断为低频暴力破解请求。
2.如权利要求1所述的暴力破解请求的智能识别方法,其特征在于,
通过外部网络连接数据收集的数据集为多维数据或登录日志。
3.如权利要求1所述的暴力破解请求的智能识别方法,其特征在于,所述对所述样本数据进行初步划分以形成训练集和验证集,包括:
通过预设的数据读取插件判断所述样本数据为异常数据还是非异常数据;
将所述异常数据作为验证集;将所述非异常数据作为训练集;
将所述训练集转换为m*n维训练集;
将所述m*n维训练集转换为n维高斯分布。
4.如权利要求1所述的暴力破解请求的智能识别方法,其特征在于,所述根据所述高斯分布的参数对预创建的模型进行训练以形成高斯模型,包括:
对m个高斯分布进行数据分析以获取高斯分布的参数;所述高斯分布的参数至少包括概率密度函数;
将所述训练集、与所述训练集一一对应的高斯分布的参数输入预创的模型中进行反复学习训练以获取所述训练集在各个维度上的数学期望和方差,基于所述数学期望和方差形成高斯模型。
5.如权利要求4所述的暴力破解请求的智能识别方法,其特征在于,所述通过所述概率模型对所获取的请求信息进行识别处理,以确定所述请求信息的高斯分布数据,并基于所述请求信息的高斯分布数据和所述阈值确定所述请求信息的目标暴力破解几率,若所述目标暴力破解几率大于预设的几率对比值,则将所请求信息判断为低频暴力破解请求,包括:
将所获取的请求信息输入至所述概率模型;
通过所述概率模型的前期处理单元对所述请求信息进行数据提取以获取关于所述请求信息的多维数据;
通过所述概率模型中的高斯模型部分对所述多维数据进行高斯处理以获取所述请求信息的高斯分布数据,并根据所述请求信息的高斯分布数据和所述阈值判断所述请求信息的目标暴力破解几率;
将所述目标暴力破解几率与预设的几率对比值相比对,若所述目标暴力破解几率大于预设的几率对比值,则将所述请求信息判断为低频暴力破解请求;若所述目标暴力破解几率不大于预设的几率对比值,则将所述请求信息判断为非低频暴力破解请求;
若所述请求信息为低频暴力破解请求,则禁止与所述请求信息对应的用户请求登录。
6.如权利要求5所述的暴力破解请求的智能识别方法,其特征在于,所述判断所述请求信息的目标暴力破解几率,包括:
对所述多维数据进行遍历分析以获取概率判断基数;
根据所述多维数据获取用户外部链接数据与用户连接SSH端口的连接计数,以及用户连接SSH端口的月平均值,并按照预设规则基于所述判断基数、所述月平均值与所述连接计数的差值,将所述差值作为辅助信息计算暴力破解几率。
7.一种暴力破解请求的智能识别装置,其特征在于,所述装置包括:
数据处理单元,用于通过外部网络连接数据收集数据集,并对所述数据集中的多维数据进行预处理以形成样本数据;包括:对所述多维数据进行数据清洗以形成五元组数据;其中,所述五元组数据包括源IP地址、源端口、目的IP地址、目的端口和传输层协议;基于所述五元组数据建立每个请求的所属用户的外部连接状态;对所述外部连接状态进行数据提取以形成状态数据,并将所述状态数据与所述五元组数据作为数据集;对所述数据集进行规范化的预处理以形成样本数据;
数据划分单元,用于对所述样本数据进行初步划分以形成训练集和验证集,并将所述训练集转换为高斯分布;
模型训练单元,用于根据所述高斯分布的参数对预创建的模型进行训练以形成高斯模型,通过所述高斯模型获取所述验证集的高斯分布数据,根据所述高斯分布数据确定所述验证集的验证暴力破解几率,并根据所述验证暴力破解几率与所述验证集的已知暴力破解判定数据进行对比以获取交叉验证参数,根据所述交叉验证参数确定所述高斯模型的阈值,以将确定阈值的高斯模型作为概率模型;
请求处理单元,用于通过所述概率模型对所获取的请求信息进行识别处理,以确定所述请求信息的高斯分布数据,并基于所述请求信息的高斯分布数据和所述阈值确定所述请求信息的目标暴力破解几率,其中,若所述目标暴力破解几率大于预设的几率对比值,则将所请求信息判断为低频暴力破解请求。
8.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至6中任一所述的暴力破解请求的智能识别方法中的步骤。
9.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6中任一所述的暴力破解请求的智能识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210645831.9A CN114866333B (zh) | 2022-06-09 | 2022-06-09 | 暴力破解请求的智能识别方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210645831.9A CN114866333B (zh) | 2022-06-09 | 2022-06-09 | 暴力破解请求的智能识别方法、装置、电子设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114866333A CN114866333A (zh) | 2022-08-05 |
| CN114866333B true CN114866333B (zh) | 2023-06-30 |
Family
ID=82624425
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210645831.9A Active CN114866333B (zh) | 2022-06-09 | 2022-06-09 | 暴力破解请求的智能识别方法、装置、电子设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114866333B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110417747A (zh) * | 2019-07-08 | 2019-11-05 | 新华三信息安全技术有限公司 | 一种暴力破解行为的检测方法及装置 |
| CN112422268A (zh) * | 2020-11-10 | 2021-02-26 | 郑州轻工业大学 | 一种基于分块置乱与状态转换的图像加密方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9471777B1 (en) * | 2012-02-24 | 2016-10-18 | Emc Corporation | Scheduling of defensive security actions in information processing systems |
| GB2547202B (en) * | 2016-02-09 | 2022-04-20 | Darktrace Ltd | An anomaly alert system for cyber threat detection |
| GB201812171D0 (en) * | 2018-07-26 | 2018-09-12 | Senseon Tech Ltd | Cyber defence system |
| CN112861120A (zh) * | 2019-11-27 | 2021-05-28 | 深信服科技股份有限公司 | 识别方法、设备及存储介质 |
| CN110995748A (zh) * | 2019-12-17 | 2020-04-10 | 杭州安恒信息技术股份有限公司 | 一种防暴力破解方法、装置、设备、介质 |
-
2022
- 2022-06-09 CN CN202210645831.9A patent/CN114866333B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110417747A (zh) * | 2019-07-08 | 2019-11-05 | 新华三信息安全技术有限公司 | 一种暴力破解行为的检测方法及装置 |
| CN112422268A (zh) * | 2020-11-10 | 2021-02-26 | 郑州轻工业大学 | 一种基于分块置乱与状态转换的图像加密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114866333A (zh) | 2022-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3622402B1 (en) | Real time detection of cyber threats using behavioral analytics | |
| Nguyen et al. | Design and implementation of intrusion detection system using convolutional neural network for DoS detection | |
| Kim et al. | Long short term memory recurrent neural network classifier for intrusion detection | |
| CA2362095C (en) | Computer network intrusion detection | |
| CN111786950B (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| CN106716958A (zh) | 横向移动检测 | |
| US10462170B1 (en) | Systems and methods for log and snort synchronized threat detection | |
| CN112637108B (zh) | 一种基于异常检测和情感分析的内部威胁分析方法及系统 | |
| US11770409B2 (en) | Intrusion management with threat type clustering | |
| CN110062380A (zh) | 一种移动应用系统的连接访问请求安全检测方法 | |
| CN104871171B (zh) | 分布式模式发现 | |
| CN111107072A (zh) | 一种基于认证图嵌入的异常登录行为检测方法及系统 | |
| CN110188015B (zh) | 一种主机访问关系异常行为自适应检测装置及其监测方法 | |
| CN111641634A (zh) | 一种基于蜜网的工业控制网络主动防御系统及其方法 | |
| Al-Utaibi et al. | Intrusion detection taxonomy and data preprocessing mechanisms | |
| CN115174205A (zh) | 一种网络空间安全实时监测方法、系统及计算机存储介质 | |
| CN108833442A (zh) | 一种分布式网络安全监控装置及其方法 | |
| Eldos et al. | On the KDD'99 Dataset: Statistical Analysis for Feature Selection | |
| CN114866333B (zh) | 暴力破解请求的智能识别方法、装置、电子设备及介质 | |
| CN117580046A (zh) | 一种基于深度学习的5g网络动态安全能力调度方法 | |
| CN114091016A (zh) | 异常性检测的方法、设备和计算机程序产品 | |
| Reddy | Machine Learning Models for Anomaly Detection in Cloud Infrastructure Security | |
| CN115119197B (zh) | 基于大数据的无线网络风险分析方法、装置、设备及介质 | |
| Gautam et al. | Anomaly detection system using entropy based technique | |
| CN114039837B (zh) | 告警数据处理方法、装置、系统、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |