CN114978636B - 低频暴力破解检测方法及装置 - Google Patents
低频暴力破解检测方法及装置 Download PDFInfo
- Publication number
- CN114978636B CN114978636B CN202210517096.3A CN202210517096A CN114978636B CN 114978636 B CN114978636 B CN 114978636B CN 202210517096 A CN202210517096 A CN 202210517096A CN 114978636 B CN114978636 B CN 114978636B
- Authority
- CN
- China
- Prior art keywords
- target
- data
- suspicious
- data set
- target port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种低频暴力破解检测方法装置,其中,该方法包括:对目标设备的网络流量进行检测,确定可疑设备与目标设备的目标端口之间进行会话的目标流量;基于目标流量,获取用于描述可疑设备和目标端口之间会话特征的特征数据;特征数据至少包括:在目标时间内同一可疑设备与目标端口之间的会话次数,相邻会话的时间间隔的平均数,以及每次会话的持续时间的平均数;通过数据集记录特征数据;在可疑设备和目标端口之间的会话次数达到第一阈值的情况下,将相对应的数据组中的特征数据输入预先构建的检测模型,通过检测模型获取检测结果。该方法为低频暴力破解行为的检测提供了一种可行的方案,而且检测效率较高,检测结果较为准确。
Description
技术领域
本申请实施例涉及安全防护技术领域,尤其涉及一种低频暴力破解检测方法及装置。
背景技术
网站及客户端在深度使用时通常均会要求用户注册账户和密码,随着互联网的快速发展,用户所使用的网站和客户端的数量越来越多,所注册的账户的数量也越来越多。为了避免账户或密码遗忘,很多用户在不同的网站或客户端进行账户注册时会选择同样的账户名,并反复的使用几个常用的密码。这虽然简化了用户的操作,但也降低了账户和密码的安全性,给不法分子破解用户的账户和密码提供了可乘之机。
在知晓用户的账户名的情况下,不法人员可通过穷举密码的方式,对用户的密码进行暴力破解。传统的暴力破解为缩短破解时间,提高破解效率,通常会选择在短时间内大量且高频次的尝试登录系统。为了防止暴力破解行,部分系统会对暴力破解行为进行检测,在检测到可能存在暴力破解行为时冻结账户,以避免账户被暴力破解。例如,当同一个账户短时间内多次登录失败时,会冻结该账户,避免账户被暴力破解。
相对应的,不法人员为了应对这类暴力破解检测方法,不法人员逐渐转向采用低频暴力破解(也称为慢速暴力破解),通过增加相邻登录请求的时间间隔,来避免触发账户冻结机制。如每个小时只发送一次或几次登录请求,甚至于每几个小时才发送一次登录请求。虽然破解速度较慢,但能够避免账户被冻结。由于低频暴力破解行为的连接频率极低,与普通用户的登录行为类似,很难被常规的暴力破解检测方法检测到。特别是,在对报文进行加密的情况下,由中间网络设备很难获取到具体报文内容,进一步增加了低频暴力破解行为的检测难度。因此,如何开发一种能够有效识别低频暴力破解行为的检测方法称为本领域技术人员亟待解决的技术问题。
发明内容
有鉴于现有技术中存在的上述问题,本申请实施例提供了一种能够有效检测低频暴力破解行为的低频暴力破解检测方法及装置。
为解决上述问题,本申请实施例提供的技术方案是:
本申请第一方面提供了一种低频暴力破解检测方法,包括:
对目标设备的网络流量进行检测,确定可疑设备与所述目标设备的目标端口之间进行会话的目标流量;
基于所述目标流量,获取用于描述所述可疑设备和所述目标端口之间会话特征的特征数据;其中,所述特征数据至少包括:在目标时间内同一可疑设备与所述目标端口之间的会话次数,相邻所述会话的时间间隔的平均数,以及每次所述会话的持续时间的平均数;
通过数据集记录所述特征数据;其中,所述数据集包括多个数据组,与同一所述可疑设备和所述目标端口之间的所述特征数据记录在同一所述数据组中;
在所述可疑设备和所述目标端口之间的会话次数达到第一阈值的情况下,将相对应的所述数据组中的所述特征数据输入预先构建的检测模型,通过所述检测模型获取用于表征是否存在低频暴力破解行为的检测结果。
在一些实施例中,所述对目标设备的网络流量进行检测,确定可疑设备与所述目标设备的目标端口之间进行会话的目标流量,包括:
获取所述目标端口的网络流量的第一地址信息;其中,所述第一地址信息为与所述目标端口进行会话的终端设备的地址信息;
在所述第一地址信息与黑名单中的地址信息相匹配的情况下,或者,在所述第一地址信息与白名单中的地址信息不匹配的情况下,确定所述终端设备为可疑设备,并确定该网络流量为可疑流量;
判断本次会话是否包含用于在所述可疑设备和所述目标端口之间建立TCP连接的握手过程;
如果是,则确定该可疑流量为目标流量。
在一些实施例中,所述基于所述目标流量,获取用于描述所述可疑设备和所述目标端口之间会话特征的特征数据,包括:
获取所述目标流量所包含交互报文的报文信息;其中,所述报文信息至少包含所述可疑设备的第一地址信息、所述目标设备的第二地址信息、所述目标端口的目标端口号、所述交互报文所包含的数据包的数量、所述交互报文所包含的字符的数量、所述交互报文所包含的非字符的数量、所述交互报文的时间信息及所述交互报文的协议类型;
基于所述报文信息,获取所述特征数据;其中,所述特征数据还包括:每次会话所发送的数据包数量的中位数,每次会话所发送的数据中字符与非字符的比例,以及每次会话所采用的协议类型。
在一些实施例中,所述数据集包括多个子集和用于标识所述子集的第一哈希值,各所述子集均包含多个数据组;
所述通过数据集记录所述特征数据,包括:
基于所述可疑设备的第一地址信息、所述目标设备的第二地址信息和所述目标端口的目标端口号,获取第二哈希值;
基于所述第一哈希值和所述第二哈希值,确定目标子集;其中,所述目标子集为多个所述子集中的一个,所述目标子集用于存储目标数据组,所述目标数据组用于记录与该可疑设备和所述目标端口之间的特征数据;
基于所述第一地址信息、所述第二地址信息和所述目标端口号,确定所述目标子集中是否包含所述目标数据组;
如果是,则对所述目标数据组中的特征数据进行更新;
如果否,则在所述目标子集中创建所述目标数据组,并将所述特征数据写入所述目标数据组。
在一些实施例中,所述将相对应的所述数据组中的所述特征数据输入预先构建的检测模型,通过所述检测模型获取用于表征是否存在低频暴力破解行为的检测结果,包括:
将所述数据组中的特征数据分别输入所述检测模型的多个子模型中,并获取多个所述子模型输出的第一检测结果;其中,多个所述子模型为不同类型的机器学习模型,和/或多个所述子模型的输入数据的类型不同;
基于多个所述第一检测结果,获取能够表征是否存在低频暴力破解行为的第二检测结果。
在一些实施例中,所述方法还包括:
在基于所述检测结果确定存在低频暴力破解行为的情况下,将所述可疑设备的第一地址信息添加至黑名单中;
基于所述黑名单限制所述可疑设备访问所述目标端口。
在一些实施例中,所述方法还包括:
在所述数据组中特征数据预设时间内未进行更新的情况下,删除该数据组。
在一些实施例中,所述方法还包括:
基于所述特征数据和所述检测结果,分别构建第一训练数据集和第一测试数据集;
将所述第一训练数据集中的所述特征数据与所述检测结果作为输入数据,对构建的检测模型进行训练;
基于所述测试数据集对训练后的所述检测模型进行验证,如果验证通过,则确定所述检测模型训练完成。
在一些实施例中,所述方法还包括:
基于所述数据集中记录所述特征数据和所述检测模型所输出的所述检测结果,分别构建第二训练数据集和第二测试数据集;
基于所述第二训练数据集对所述检测模型进行增量训练;
基于所述第二测试数据集对增量训练后的所述检测模型进行验证,如果验证通过,则确定所述检测模型增量训练完成。
本申请第二方面提供了一种低频暴力破解检测装置,包括:
确定模块,用于对目标设备的网络流量进行检测,确定可疑设备与所述目标设备的目标端口之间进行会话的目标流量;
获取模块,用于基于所述目标流量,获取用于描述所述可疑设备和所述目标端口之间会话特征的特征数据;其中,所述特征数据至少包括:在目标时间内同一可疑设备与所述目标端口之间的会话次数,相邻所述会话的时间间隔的平均数,以及每次所述会话的持续时间的平均数;
记录模块,用于通过数据集记录所述特征数据;其中,所述数据集包括多个数据组,与同一所述可疑设备和所述目标端口之间的所述特征数据记录在同一所述数据组中;
检测模块,用于在所述可疑设备和所述目标端口之间的会话次数达到第一阈值的情况下,将相对应的所述数据组中的所述特征数据输入预先构建的检测模型,通过所述检测模型获取用于表征是否存在低频暴力破解行为的检测结果。
本申请实施例的低频暴力破解检测方法,对目标设备的目标端口的网络流量进行检测,确定可疑设备与目标端口之间进行会话的目标流量;基于目标流量获取能够描述可疑设备和目标端口之间会话特征的特征数据;特征数据至少包括在目标时间内同一可疑设备与目标端口之间的会话次数,相邻会话的时间间隔的平均数,以及每次会话的持续时间的平均数;通过数据集中的同一数据组记录同一可疑设备和目标端口之间的特征数据,在可疑设备和目标端口之间的会话次数达到第一阈值的情况下,将数据组中的特征数据输入预先构建的检测模型,获取检测结果,以确定该可疑设备与目标端口之间是否存在低频暴力破解行为。该方法为低频暴力破解行为的检测提供了一种可行的实施方式,而且检测效率较高,检测结果较为准确。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为本申请实施例的低频暴力破解检测方法的流程图;
图2为本申请实施例的低频暴力破解检测方法中步骤S110的流程图;
图3为本申请实施例的低频暴力破解检测方法中步骤S120的流程图;
图4为本申请实施例的低频暴力破解检测方法中步骤S130的流程图;
图5为本申请实施例的低频暴力破解检测方法中步骤S140的流程图;
图6为本申请实施例的低频暴力破解检测装置的结构框图;
图7为本申请实施例的电子设备的结构框图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
本申请实施例提供了一种低频暴力破解检测方法,应用于安全防护设备,例如,网关、防火墙设备等等。图1为本申请实施例的低频暴力破解检测方法的流程图,参见图1所示,本申请实施例的低频暴力破解检测方法具体可包括如下步骤。
S110,对目标设备的网络流量进行检测,确定可疑设备与所述目标设备的目标端口之间进行会话的目标流量。
目标设备的网络流量可包括终端设备向目标设备发送的网络流量,也包括目标设备向终端设备发送的网络流量。安全防护设备可配置为对目标设备的目标端口的网络流量进行检测,判断与目标端口之间进行交互的终端设备是否为可疑设备。例如,可基于终端设备的地址信息判断该终端设备是否属于可疑设备。可以理解的是,可疑设备可包括确信属于恶意设备的终端设备,也可包括疑似属于恶意设备的终端设备。还例如,可通过可疑设备识别模型来判断该终端设备是否属于可疑设备,如可对网络流量进行特征提取,将所提取的特征输入可疑设备识别模型,通过可疑设备识别模型判断该终端设备是否属于可疑设备。
会话通常包括建立TCP连接、发送请求、发送响应和释放TCP连接,本申请中可疑设备与目标设备的目标端口之间进行会话至少应包括建立TCP连接的过程。在此基础上,如果确定该终端设备属于可疑设备,可基于判断本次交互过程是否包含可疑设备和目标端口之间建立TCP连接的握手过程。如果确定本次交互过程包含可疑设备和目标端口之间建立TCP连接的握手过程,则确定该可疑设备和目标端口之间进行会话的网络流量属于目标流量。
S120,基于所述目标流量,获取用于描述所述可疑设备和所述目标端口之间会话特征的特征数据。其中,所述特征数据至少包括:在目标时间内同一可疑设备与所述目标端口之间的会话次数,相邻所述会话的时间间隔的平均数,以及每次所述会话的持续时间的平均数。
可选的,目标流量可包括可疑设备向目标端口发送的下行报文,也可包括目标端口向可疑设备发送的上行报文。可获取上行报文和下行报文的报文信息,从报文信息中提取这些特征数据。
由于低频暴力破解登录行为的时间间隔较大,在时间维度上与普通用户的登录行为类似,因此,本申请选取与时间相关的特征数据,如在目标时间内同一可疑设备与目标端口之间的会话次数,相邻会话的时间间隔的平均数,以及每次会话的持续时间的平均数等数据,以期有效识别低频暴力破解行为。可以理解的是,特征数据不仅限于上述数据,还可包括其他类型的数据。
S130,通过数据集记录所述特征数据;其中,所述数据集包括多个数据组,与同一所述可疑设备和所述目标端口之间的所述特征数据记录在同一所述数据组中。
可选的,数据集中可包括多个数据组,各数据组分别用于记录各可疑设备与目标端口之间的特征数据,也即,同一可疑设备和目标端口之间的特征数据记录在同一数据组中。如此,能够对同一可疑设备和目标端口之间的特征数据能够进行有效收集,以提高可疑设备和目标端口之间会话特征的可识别性和可检测性。
可选的,在获取到特征数据的情况下,可查找数据集中是否具有与该可疑设备和目标端口相关联的数据组。如果数据集中具有与该可疑设备和目标端口相关联的数据组,则将特征数据写入该数据组中,或者基于特征数据对数据组中的数据进行更新。如果数据集中不具有与该可疑设备和目标端口相关联的数据组,则可在数据集中创建数据组,并将特征数据记录在该数据组中。
可以理解的是,该数据集可具有多种类型的数据结构,例如,该数据集可基于数据表、数据库或其他类型的数据结构进行构建,此处不对数据集的数据结构进行限定,只要能够按照分组的形式对特征数据进行记录即可。
S140,在所述可疑设备和所述目标端口之间的会话次数达到第一阈值的情况下,将相对应的所述数据组中的所述特征数据输入预先构建的检测模型,通过所述检测模型获取用于表征是否存在低频暴力破解行为的检测结果。
可选的,可预先构建用于检测是否存在低频暴力破解行为的检测模型。例如,可基于特征数据和检测结果对机器学习模型进行训练,形成检测模型。在具体实施时,可采用多种类型的机器学习模型,此处不对该机器学习模型的具体类型进行限定。
可选的,数据组中可记录有可疑设备和目标端口之间的会话次数,在可疑设备和目标端口之间的会话次数达到第一阈值的情况下,将数据组中的特征数据输入检测模型,通过检测模型输出检测结果,该检测结果能够表征是否存在低频暴力破解行为。例如,当检测模型输出结果为1,则表征存在暴力破解行为,当检测模型输出结果为0,则表征不存在暴力破解。
本申请实施例的低频暴力破解检测方法,对目标设备的目标端口的网络流量进行检测,确定可疑设备与目标端口之间进行会话的目标流量;基于目标流量获取能够描述可疑设备和目标端口之间会话特征的特征数据;特征数据至少包括在目标时间内同一可疑设备与目标端口之间的会话次数,相邻会话的时间间隔的平均数,以及每次会话的持续时间的平均数;通过数据集中的同一数据组记录同一可疑设备和目标端口之间的特征数据,在可以设备和目标端口之间的会话次数达到第一阈值的情况下,将数据组中的特征数据输入预先构建的检测模型,获取检测结果,以确定该可疑设备与目标端口之间是否存在低频暴力破解行为。该方法为低频暴力破解行为的检测提供了一种可行的实施方式,而且检测效率较高,检测结果较为准确。
配合图2所示,在一些实施例中,步骤S110,对目标设备的网络流量进行检测,确定可疑设备与所述目标设备的目标端口之间进行会话的目标流量,包括:
S111,获取所述目标端口的网络流量的第一地址信息;其中,所述第一地址信息为与所述目标端口进行会话的终端设备的地址信息;
S112,在所述第一地址信息与黑名单中的地址信息相匹配的情况下,或者,在所述第一地址信息与白名单中的地址信息不匹配的情况下,确定所述终端设备为可疑设备,并确定该网络流量为可疑流量;
S113,判断本次会话是否包含用于在所述可疑设备和所述目标端口之间建立TCP连接的握手过程;
S114,如果是,则确定该可疑流量为目标流量;
S115,如果否,则可丢弃该可疑流量。
可选的,目标端口的网络流量可包括目标端口发送至终端设备的上行报文,以及终端设备发送至目标端口的下行报文。可获取上行报文中目的IP地址,或者获取下行报文中的源IP地址作为第一地址信息。
可选的,可预先构建黑名单,黑名单中记录有确信为恶意设备的IP地址。或者,也可预先构建白名单,白名单中记录有确信属于非恶意设备的IP地址。可将第一地址信息与黑名单进行匹配,如果黑名单中具有与该第一地址信息相匹配的地址信息,则确定该终端设备为可疑设备,并确定该可疑设备与目标端口之间进行交互的网络流量为可疑流量。或者,可将该第一地址信息与白名单进行匹配,如果白名单中不具有与该第一地址信息相匹配的地址信息,则确定该终端设备为可疑设备,并确定该可疑设备与目标。
终端设备和目标端口之间只有在建立TCP连接之后,终端设备才能够向目标端口发送登录请求,继而目标端口才能够响应于该登录请求反馈响应报文。也即,在终端设备与目标端口之间的TCP连接建立完成的情况下,终端设备才能够向目标端口发送账户名和密码,执行一次有效的暴力破解行为。如果终端设备与目标端口之间未完成建立TCP连接的过程,则终端设备无法向目标端口发送账户名和密码,无法执行暴力破解行为。
在此基础上,为确保能够提取到完整的特征数据,避免出现特征数据不完整的情况,可判断本次会话是否包含用于在可疑设备和目标端口之间建立TCP连接的握手过程。如果本次会话包含建立TCP连接的握手操作,则表明从该可疑流量中能够提取出相对完整的特征数据,将该可疑流量确定为目标流量。如果本次会话不包含建立TCP连接的握手操作,则表明从该可疑流量中无法提取到相对完整的特征数据,可丢弃该可疑流量。如此,不仅能够提高低频暴力破解行为检测的准确性,还能够降低数据处理量。
配合图3所示,在一些实施例中,步骤S120,基于所述目标流量,获取用于描述所述可疑设备和所述目标端口之间会话特征的特征数据,可包括:
S121,获取所述目标流量所包含交互报文的报文信息;其中,所述报文信息至少包含所述可疑设备的第一地址信息、所述目标设备的第二地址信息、所述目标端口的目标端口号、所述交互报文所包含的数据包的数量、所述交互报文所包含的字符的数量、所述交互报文所包含的非字符的数量、所述交互报文的时间信息及所述交互报文的协议类型;
S122,基于所述报文信息,获取所述特征数据;其中,所述特征数据还包括:每次会话所发送的数据包数量的中位数,每次会话所发送的数据中字符与非字符的比例,以及每次会话所采用的协议类型。
在很多情况下,终端设备和服务器之间采用加密的方式进行交互。由于地址信息、端口号、数据包的数量、字符的数量、非字符的数量、时间信息以及协议类型等信息,在不解密报文的情况下即可获取到,如此,使得本申请实施例的检测方法能够对加密通信的低频暴力破解行为进行有效检测。
可选的,通过数据集记录特征数据之前,可获取到全部的特征数据,之后将特征数据记录到数据集中。基于报文信息获取特征数据的过程和通过数据集记录特征数据的过程也可以是同步执行。例如,在获取到报文信息之后,可直接将报文信息写入到数据集的响应数据组中,数据集可自行基于报文信息统计或计算特征数据。或者,在通过数据集记录特征数据之前,可基于报文信息获取到一部分特征数据,将报文信息和特征数据写入数据集之后,数据集可自行基于报文信息和该一部分特征数据获取另一部分特征数据。
配合图4所示,在一些实施例中,所述数据集包括多个子集和用于标识所述子集的第一哈希值,各所述子集均包含多个数据组;步骤S130,通过数据集记录所述特征数据,可包括:
S131,基于所述可疑设备的第一地址信息、所述目标设备的第二地址信息和所述目标端口的目标端口号,获取第二哈希值;
S132,基于所述第一哈希值和所述第二哈希值,确定目标子集;其中,所述目标子集为多个所述子集中的一个,所述目标子集用于存储目标数据组,所述目标数据组用于记录该可疑设备和所述目标端口之间的特征数据;
S133,基于所述第一地址信息、所述第二地址信息和所述目标端口号,确定所述目标子集中是否包含所述目标数据组;
S134,如果是,则对所述目标数据组中的特征数据进行更新;
S135,如果否,则在所述目标子集中创建所述目标数据组,并将所述特征数据写入所述目标数据组。
也即,本申请将数据集划分为多个子集,并为每个子集设置第一哈希值来标识各个子集。通过数据集记录特征数据过程中,并不直接基于第一地址信息、第二地址信息和目标端口号,从数据集中确定目标数据组。而是,基于第一地址信息、第二地址信息和目标端口号获取第二哈希值,将第二哈希值与数据集中的第一哈希值匹配,以确定目标子集。例如,当第二哈希值位于第一哈希值的范围内,或者当第二哈希值与第一哈希值之间的差值小于预设范围时,则确定该第一哈希值所标识的子集为目标子集。
继而,基于第一地址信息、第二地址信息和目标端口号,确定目标子集中是否包含与可疑设备和目标端口相关联的数据组。如果目标子集中具有目标数据组,则表明目标子集中已经存在与可疑设备和目标端口相关联的数据组,对目标数据组中的特征数据进行更新;如果目标子集中不具有目标数据组,则表明目标子集中当前不存在与可疑设备和目标端口相关联的数据组,在目标子集中创建目标数据组,继而再将特征数据写入目标数据组。这样,能够提高目标数据组的检索效率,缩短特征数据的记录时间。
配合图5所示,在一些实施例中,步骤S140,将相对应的所述数据组中的所述特征数据输入预先构建的检测模型,通过所述检测模型获取用于表征是否存在低频暴力破解行为的检测结果,可包括:
S141,将所述数据组中的特征数据分别输入所述检测模型的多个子模型中,并获取多个所述子模型输出的第一检测结果;其中,多个所述子模型为不同类型的机器学习模型,和/或多个所述子模型的输入数据的类型不同;
S142,基于多个所述第一检测结果,获取能够表征是否存在低频暴力破解行为的第二检测结果。
可选的,该多个子模型可为相同类型的机器学习模型,也可为不同类型的机器学习模型。在该多个子模型为相同类型的机器学习模型的情况下,可将多个子模型配置为具有不同类型的输入数据。可以理解的是,不同类型的输入数据并不是指输入数据完全不同,而应理解为输入数据至少部分不同。在多个子模型采用不同类型的机器学习模型的情况下,各个子模型的输入数据的类型可以相同,也可以不同。例如,当多个子模型均为决策树时,决策树1的输入数据可包括特征数据1、特征数据2、特征数据3及特征数据4,决策树2的输入数据可包括特征数据2、特征数据3、特征数据4及特征数据5,决策树3的输入数据可包括特征数据3、特征数据4、特征数据5及特征数据6等等。
将数据组中的特征数据分别输入多个子模型中,多个子模型能够分别输出各自的第一检测结果。基于多个第一检测结果可综合判断是否存在低频暴力破解行为,从而获取到第二检测结果。可选的,可基于第一检测结果的比例来确定第二检测结果。例如,当大于半数的第一检测结果表明存在低频暴力破解行为,则确定存在第二检测结果。可选的,也可在考虑各个子模型的权重的情况下,基于多个第一检测结果来确定第二检测结果。例如,多个子模型可分别具有不同的权重值,可将第一检测结果乘以各个子模型的权重值并加和计算,以确定一个第二检测结果。
在一些实施例中,所述方法还包括:
S150,在基于所述检测结果确定存在低频暴力破解行为的情况下,将所述可疑设备的第一地址信息添加至黑名单中;
S160,基于所述黑名单限制所述可疑设备访问所述目标端口。
也即,在确定可疑设备存在针对目标端口的低频暴力破解行为的情况下,将该可疑设备的第一地址信息添加至黑名单中,通过该黑名单限制可疑设备访问目标端口。例如,将安全防护设备配置为检测到包含第一地址信息的报文时,将相应的报文丢弃,以限制可疑设备访问目标端口,避免账户被破解。
在具体实施时,也可通过其他方式限制可疑设备继续进行低频暴力破解行为,例如,可向目标设备发送提示,指示目标设备冻结被破解的账户,或者,目标设备也可提示该账户的用户修改账户密码,亦或者,也可向例如公安机关发送报警信息等等。
在一些实施例中,所述方法还包括:
在所述数据组中特征数据预设时间内未进行更新的情况下,删除该数据组。
其中,该预设时间可为表征低频暴力破解行为处于活跃状态的时间限制。如果数据组中的特征数据在预设时间内进行了更新,则表明该可疑设备仍然在继续访问目标端口,表明可能存在的低频暴力破解行为仍然在继续执行,需要保留该数据组,以继续收集特征数据。如果数据组中的特征数据在预设时间内未进行更新,则表明该可疑设备已经较长时间不访问目标端口,可能存在的低频暴力破解行为已停止执行,可删除该数据组,以节省存储空间,降低数据集的数据量,提高检索效率。
在一些实施例中,所述方法还可包括:步骤S100,构建检测模型,具体的,步骤S100可包括如下步骤:
S101,基于所述特征数据和所述检测结果,分别构建第一训练数据集和第一测试数据集;
S102,将所述第一训练数据集中的所述特征数据作为输入数据,并将所述第一训练数据集中的所述检测结果作为输出数据,对构建的检测模型进行训练;
S103,在基于所述第一测试数据集对训练后的所述检测模型验证通过的情况下,确定所述检测模型训练完成。
可选的,可模拟实际网络环境中对目标设备执行低频暴力破解,获取可疑流量。对可疑流量进行过滤,以去除不包含握手操作的网络流量,获取包含握手操作的目标流量。将同一恶意设备与目标设备进行连接操作的目标流量作为一个样本,从样本中提取特征数据。
可选的,所述特征数据可包括如下数据:在目标时间内同一可疑设备与所述目标端口之间的会话次数,相邻所述会话的时间间隔的平均数,每次所述会话的持续时间的平均数,每次会话所发送的数据包数量的中位数,每次会话所发送的数据中字符与非字符的比例,以及每次会话所采用的协议类型。
可选的,还可基于特征数据的发散性,以及特征数据与低频暴力破解行为的相关性,对所获取的特征数据进行过滤,以获取具有较好的发散性,以及具有较高的相关性的特征数据,建立特征集。
可选的,可基于特征集中90%的特征数据构建第一训练数据集,基于特征集中10%的特征数据构建第一测试数据集。以检测模型包括多个决策树为例,可对第一训练数据集中各类特征数据进行组合选取,分别对各个决策树进行训练。训练结束后,可通过第一测试数据集对各个决策树的检测结果的准确性进行验证,验证通过的情况下,确定决策树验证通过,如果全部决策树均验证通过,则确定检测模型训练完成。
在一些实施例中,所述方法还包括:S170,对所述检测模型进行增量训练,具体的,步骤S170可包括如下步骤:
S171,基于所述数据集中记录所述特征数据和所述检测模型所输出的所述检测结果,分别构建第二训练数据集和第二测试数据集;
S172,基于所述第二训练数据集对所述检测模型进行增量训练;
S173,在基于所述第二测试数据集对增量训练后的所述检测模型验证通过的情况下,确定所述检测模型增量训练完成。
可选的,可定期对数据集中的特征数据进行统计,从中选取特征数据,并确定与之相对应的检测结果,构建第二训练数据集和第二测试数据集。利用第二训练数据集对检测模型进行训练。在检测模型包括多个子模型的情况下,每次增量学习可针对全部子模型进行增量训练,也可针对其中部分子模型进行增量训练,例如,可针对检测结果准确率较低的子模型进行增量训练。
在训练结束后,可通过第二测试数据集验证检测模型的检测结果的准确性,如果验证通过,则确定检测模型增量训练完成,如果验证不同通过,可补充数据,继续进行增量训练,直至验证通过。这样,能够使检测模型与使用场景相匹配,并保持检测结果的准确性。
参见图6所示,本申请实施例还提供了一种低频暴力破解检测装置,包括:
确定模块201,用于对目标设备的网络流量进行检测,确定可疑设备与所述目标设备的目标端口之间进行会话的目标流量;
获取模块202,用于基于所述目标流量,获取用于描述所述可疑设备和所述目标端口之间会话特征的特征数据;其中,所述特征数据至少包括:在目标时间内同一可疑设备与所述目标端口之间的会话次数,相邻所述会话的时间间隔的平均数,以及每次所述会话的持续时间的平均数;
记录模块203,用于通过数据集记录所述特征数据;其中,所述数据集包括多个数据组,与同一所述可疑设备和所述目标端口相关联的所述特征数据记录在同一所述数据组中;
检测模块204,用于在所述可疑设备和所述目标端口之间的会话次数达到第一阈值的情况下,将相对应的所述数据组中的所述特征数据输入预先构建的检测模型,通过所述检测模型获取用于表征是否存在低频暴力破解行为的检测结果。
在一些实施例中,所述确定模块201具体用于:
获取所述目标端口的网络流量的第一地址信息;其中,所述第一地址信息为与所述目标端口进行会话的终端设备的地址信息;
在所述第一地址信息与黑名单中的地址信息相匹配的情况下,或者,在所述第一地址信息与白名单中的地址信息不匹配的情况下,确定所述终端设备为可疑设备,并确定该网络流量为可疑流量;
判断本次会话是否包含用于在所述可疑设备和所述目标端口之间建立TCP连接的握手过程;
如果是,则确定该可疑流量为目标流量。
在一些实施例中,所述获取模块202具体用于:
获取所述目标流量所包含交互报文的报文信息;其中,所述报文信息至少包含所述可疑设备的第一地址信息、所述目标设备的第二地址信息、所述目标端口的目标端口号、所述交互报文所包含的数据包的数量、所述交互报文所包含的字符的数量、所述交互报文所包含的非字符的数量、所述交互报文的时间信息及所述交互报文的协议类型;
基于所述报文信息,获取所述特征数据;其中,所述特征数据还包括:每次会话所发送的数据包数量的中位数,每次会话所发送的数据中字符与非字符的比例,以及每次会话所采用的协议类型。
在一些实施例中,所述数据集包括多个子集和用于标识所述子集的第一哈希值,各所述子集均包含多个数据组;所述记录模块203具体用于:
基于所述可疑设备的第一地址信息、所述目标设备的第二地址信息和所述目标端口的目标端口号,获取第二哈希值;
基于所述第一哈希值和所述第二哈希值,确定目标子集;其中,所述目标子集为多个所述子集中的一个,所述目标子集用于存储目标数据组,所述目标数据组用于记录与该可疑设备和所述目标端口之间的特征数据;
基于所述第一地址信息、所述第二地址信息和所述目标端口号,确定所述目标子集中是否包含所述目标数据组;
如果是,则对所述目标数据组中的特征数据进行更新;
如果否,则在所述目标子集中创建所述目标数据组,并将所述特征数据写入所述目标数据组。
在一些实施例中,所述检测模块204具体用于:
将所述数据组中的特征数据分别输入所述检测模型的多个子模型中,并获取多个所述子模型输出的第一检测结果;其中,多个所述子模型为不同类型的机器学习模型,和/或多个所述子模型的输入数据的类型不同;
基于多个所述第一检测结果,获取能够表征是否存在低频暴力破解行为的第二检测结果。
在一些实施例中,所述装置还包括访问控制模块,所述访问控制模块具体用于:
在基于所述检测结果确定存在低频暴力破解行为的情况下,将所述可疑设备的第一地址信息添加至黑名单中;
基于所述黑名单限制所述可疑设备访问所述目标端口。
在一些实施例中,所述记录模块203还用于:
在所述数据组中特征数据预设时间内未进行更新的情况下,删除该数据组。
在一些实施例中,所述装置还包括构建模块,所述构建模块具体用于:
基于所述特征数据和所述检测结果,分别构建第一训练数据集和第一测试数据集;
将所述第一训练数据集中的所述特征数据与所述检测结果作为输入数据,对构建的检测模型进行训练;
基于所述测试数据集对训练后的所述检测模型进行验证,如果验证通过,则确定所述检测模型训练完成。
在一些实施例中,所述装置还包括增量训练模块,所述增量训练模块具体用于:
基于所述数据集中记录所述特征数据和所述检测模型所输出的所述检测结果,分别构建第二训练数据集和第二测试数据集;
基于所述第二训练数据集对所述检测模型进行增量训练;
基于所述第二测试数据集对增量训练后的所述检测模型进行验证,如果验证通过,则确定所述检测模型增量训练完成。
参见图7所示,本申请实施例还提供了一种电子设备,至少包括存储器301和处理器302,所述存储器301上存储有程序,所述处理器302在执行所述存储器301上的程序时实现如上任一实施例所述的方法。
本领域技术人员应明白,本申请的实施例可提供为方法、电子设备、计算机可读存储介质或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。当通过软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。
上述处理器可以是通用处理器、数字信号处理器、专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logicdevice,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,简称GAL)或其任意组合。通用处理器可以是微处理器或者任何常规的处理器等。
上述存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
上述可读存储介质可为磁碟、光盘、DVD、USB、只读存储记忆体(ROM)或随机存储记忆体(RAM)等,本申请对具体的存储介质形式不作限定。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。
Claims (10)
1.一种低频暴力破解检测方法,其特征在于,包括:
对目标设备的网络流量进行检测,确定可疑设备与所述目标设备的目标端口之间进行会话的目标流量;
基于所述目标流量,获取用于描述所述可疑设备和所述目标端口之间会话特征的特征数据;其中,所述特征数据至少包括:在目标时间内同一可疑设备与所述目标端口之间的会话次数,相邻所述会话的时间间隔的平均数,以及每次所述会话的持续时间的平均数;
通过数据集记录所述特征数据;其中,所述数据集包括多个数据组,与同一所述可疑设备和所述目标端口之间的所述特征数据记录在同一所述数据组中;
在所述可疑设备和所述目标端口之间的会话次数达到第一阈值的情况下,将相对应的所述数据组中的所述特征数据输入预先构建的检测模型,通过所述检测模型获取用于表征是否存在低频暴力破解行为的检测结果;
其中,所述对目标设备的网络流量进行检测,确定可疑设备与所述目标设备的目标端口之间进行会话的目标流量,包括:
对目标设备的目标端口的网络流量进行检测,判断与目标端口之间进行交互的终端设备是否为可疑设备;
如果确定该终端设备属于可疑设备,基于判断本次交互过程是否包含可疑设备和目标端口之间建立TCP连接的握手过程;
如果确定本次交互过程包含可疑设备和目标端口之间建立TCP连接的握手过程,则确定该可疑设备和目标端口之间进行会话的网络流量属于目标流量。
2.根据权利要求1所述的方法,其特征在于,所述对目标设备的目标端口的网络流量进行检测,判断与目标端口之间进行交互的终端设备是否为可疑设备,包括:
获取所述目标端口的网络流量的第一地址信息;其中,所述第一地址信息为与所述目标端口进行会话的终端设备的地址信息;
在所述第一地址信息与黑名单中的地址信息相匹配的情况下,或者,在所述第一地址信息与白名单中的地址信息不匹配的情况下,确定所述终端设备为可疑设备。
3.根据权利要求1所述的方法,其特征在于,所述基于所述目标流量,获取用于描述所述可疑设备和所述目标端口之间会话特征的特征数据,包括:
获取所述目标流量所包含交互报文的报文信息;其中,所述报文信息至少包含所述可疑设备的第一地址信息、所述目标设备的第二地址信息、所述目标端口的目标端口号、所述交互报文所包含的数据包的数量、所述交互报文所包含的字符的数量、所述交互报文所包含的非字符的数量、所述交互报文的时间信息及所述交互报文的协议类型;
基于所述报文信息,获取所述特征数据;其中,所述特征数据还包括:每次会话所发送的数据包数量的中位数,每次会话所发送的数据中字符与非字符的比例,以及每次会话所采用的协议类型。
4.根据权利要求1所述的方法,其特征在于,所述数据集包括多个子集和用于标识所述子集的第一哈希值,各所述子集均包含多个数据组;
所述通过数据集记录所述特征数据,包括:
基于所述可疑设备的第一地址信息、所述目标设备的第二地址信息和所述目标端口的目标端口号,获取第二哈希值;
基于所述第一哈希值和所述第二哈希值,确定目标子集;其中,所述目标子集为多个所述子集中的一个,所述目标子集用于存储目标数据组,所述目标数据组用于记录与该可疑设备和所述目标端口之间的特征数据;
基于所述第一地址信息、所述第二地址信息和所述目标端口号,确定所述目标子集中是否包含所述目标数据组;
如果是,则对所述目标数据组中的特征数据进行更新;
如果否,则在所述目标子集中创建所述目标数据组,并将所述特征数据写入所述目标数据组。
5.根据权利要求1所述的方法,其特征在于,所述将相对应的所述数据组中的所述特征数据输入预先构建的检测模型,通过所述检测模型获取用于表征是否存在低频暴力破解行为的检测结果,包括:
将所述数据组中的特征数据分别输入所述检测模型的多个子模型中,并获取多个所述子模型输出的第一检测结果;其中,多个所述子模型为不同类型的机器学习模型,和/或多个所述子模型的输入数据的类型不同;
基于多个所述第一检测结果,获取能够表征是否存在低频暴力破解行为的第二检测结果。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在基于所述检测结果确定存在低频暴力破解行为的情况下,将所述可疑设备的第一地址信息添加至黑名单中;
基于所述黑名单限制所述可疑设备访问所述目标端口。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述数据组中特征数据预设时间内未进行更新的情况下,删除该数据组。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述特征数据和所述检测结果,分别构建第一训练数据集和第一测试数据集;
将所述第一训练数据集中的所述特征数据与所述检测结果作为输入数据,对构建的检测模型进行训练;
基于所述测试数据集对训练后的所述检测模型进行验证,如果验证通过,则确定所述检测模型训练完成。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述数据集中记录所述特征数据和所述检测模型所输出的所述检测结果,分别构建第二训练数据集和第二测试数据集;
基于所述第二训练数据集对所述检测模型进行增量训练;
基于所述第二测试数据集对增量训练后的所述检测模型进行验证,如果验证通过,则确定所述检测模型增量训练完成。
10.一种低频暴力破解检测装置,其特征在于,包括:
确定模块,用于对目标设备的网络流量进行检测,确定可疑设备与所述目标设备的目标端口之间进行会话的目标流量;
获取模块,用于基于所述目标流量,获取用于描述所述可疑设备和所述目标端口之间会话特征的特征数据;其中,所述特征数据至少包括:在目标时间内同一可疑设备与所述目标端口之间的会话次数,相邻所述会话的时间间隔的平均数,以及每次所述会话的持续时间的平均数;
记录模块,用于通过数据集记录所述特征数据;其中,所述数据集包括多个数据组,与同一所述可疑设备和所述目标端口之间的所述特征数据记录在同一所述数据组中;
检测模块,用于在所述可疑设备和所述目标端口之间的会话次数达到第一阈值的情况下,将相对应的所述数据组中的所述特征数据输入预先构建的检测模型,通过所述检测模型获取用于表征是否存在低频暴力破解行为的检测结果;
其中,所述确定模块具体用于:
对目标设备的目标端口的网络流量进行检测,判断与目标端口之间进行交互的终端设备是否为可疑设备;
如果确定该终端设备属于可疑设备,基于判断本次交互过程是否包含可疑设备和目标端口之间建立TCP连接的握手过程;
如果确定本次交互过程包含可疑设备和目标端口之间建立TCP连接的握手过程,则确定该可疑设备和目标端口之间进行会话的网络流量属于目标流量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210517096.3A CN114978636B (zh) | 2022-05-12 | 2022-05-12 | 低频暴力破解检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210517096.3A CN114978636B (zh) | 2022-05-12 | 2022-05-12 | 低频暴力破解检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114978636A CN114978636A (zh) | 2022-08-30 |
| CN114978636B true CN114978636B (zh) | 2023-08-29 |
Family
ID=82981443
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210517096.3A Active CN114978636B (zh) | 2022-05-12 | 2022-05-12 | 低频暴力破解检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114978636B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109587179A (zh) * | 2019-01-28 | 2019-04-05 | 南京云利来软件科技有限公司 | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 |
| CN110519208A (zh) * | 2018-05-22 | 2019-11-29 | 华为技术有限公司 | 异常检测方法、装置及计算机可读介质 |
| CN110581827A (zh) * | 2018-06-07 | 2019-12-17 | 深信服科技股份有限公司 | 一种针对于暴力破解的检测方法及装置 |
| CN110798428A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种账号暴力破解行为的检测方法、系统及相关装置 |
| CN110808994A (zh) * | 2019-11-11 | 2020-02-18 | 杭州安恒信息技术股份有限公司 | 暴力破解操作的检测方法、装置及服务器 |
| WO2021162589A1 (ru) * | 2020-02-12 | 2021-08-19 | Общество С Ограниченной Ответственностью "Варити+" | Способ и система предотвращения вредоносных автоматизированных атак |
| CN113497789A (zh) * | 2020-03-20 | 2021-10-12 | 北京观成科技有限公司 | 一种暴力破解攻击的检测方法、检测系统和设备 |
-
2022
- 2022-05-12 CN CN202210517096.3A patent/CN114978636B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110519208A (zh) * | 2018-05-22 | 2019-11-29 | 华为技术有限公司 | 异常检测方法、装置及计算机可读介质 |
| CN110581827A (zh) * | 2018-06-07 | 2019-12-17 | 深信服科技股份有限公司 | 一种针对于暴力破解的检测方法及装置 |
| CN110798428A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种账号暴力破解行为的检测方法、系统及相关装置 |
| CN109587179A (zh) * | 2019-01-28 | 2019-04-05 | 南京云利来软件科技有限公司 | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 |
| CN110808994A (zh) * | 2019-11-11 | 2020-02-18 | 杭州安恒信息技术股份有限公司 | 暴力破解操作的检测方法、装置及服务器 |
| WO2021162589A1 (ru) * | 2020-02-12 | 2021-08-19 | Общество С Ограниченной Ответственностью "Варити+" | Способ и система предотвращения вредоносных автоматизированных атак |
| CN113497789A (zh) * | 2020-03-20 | 2021-10-12 | 北京观成科技有限公司 | 一种暴力破解攻击的检测方法、检测系统和设备 |
Non-Patent Citations (1)
| Title |
|---|
| 杨加 ; 李笑难 ; 张扬 ; 马皓 ; 张蓓 ; .基于大数据分析的校园电子邮件异常行为检测技术研究.通信学报.2018,(第S1期),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114978636A (zh) | 2022-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| CN109302426B (zh) | 未知漏洞攻击检测方法、装置、设备及存储介质 | |
| CN103379099B (zh) | 恶意攻击识别方法及系统 | |
| CN110519150B (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
| CN107800678B (zh) | 检测终端异常注册的方法及装置 | |
| CN104768139B (zh) | 一种短信发送的方法及装置 | |
| KR20000054538A (ko) | 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 | |
| CN110602032A (zh) | 攻击识别方法及设备 | |
| CN112134893B (zh) | 物联网安全防护方法、装置、电子设备及存储介质 | |
| WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
| CN110417747B (zh) | 一种暴力破解行为的检测方法及装置 | |
| CN106982188B (zh) | 恶意传播源的检测方法及装置 | |
| JP4823813B2 (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
| CN114124476B (zh) | 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 | |
| Lingenfelter et al. | Analyzing variation among IoT botnets using medium interaction honeypots | |
| CN111800405A (zh) | 检测方法及检测设备、存储介质 | |
| CN113259392A (zh) | 一种网络安全攻防方法、装置及存储介质 | |
| CN112738109A (zh) | 一种Web攻击的检测方法及装置 | |
| CN112434304A (zh) | 防御网络攻击的方法、服务器及计算机可读存储介质 | |
| CN112583789B (zh) | 被非法登录的登录接口确定方法、装置及设备 | |
| CN113535823B (zh) | 异常访问行为检测方法、装置及电子设备 | |
| CN112231679B (zh) | 一种终端设备验证方法、装置及存储介质 | |
| CN114978636B (zh) | 低频暴力破解检测方法及装置 | |
| CN110430199B (zh) | 识别物联网僵尸网络攻击源的方法与系统 | |
| CN114928452B (zh) | 访问请求验证方法、装置、存储介质及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |