CN116405269B - 一种网络撞库攻击检测方法 - Google Patents
一种网络撞库攻击检测方法 Download PDFInfo
- Publication number
- CN116405269B CN116405269B CN202310286458.7A CN202310286458A CN116405269B CN 116405269 B CN116405269 B CN 116405269B CN 202310286458 A CN202310286458 A CN 202310286458A CN 116405269 B CN116405269 B CN 116405269B
- Authority
- CN
- China
- Prior art keywords
- collision attack
- preset
- behavior
- monitoring period
- library
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 65
- 230000006399 behavior Effects 0.000 claims abstract description 167
- 238000012544 monitoring process Methods 0.000 claims abstract description 104
- 238000000034 method Methods 0.000 claims abstract description 30
- 238000010801 machine learning Methods 0.000 claims abstract description 9
- 238000012937 correction Methods 0.000 claims description 43
- 239000011159 matrix material Substances 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 6
- 230000002159 abnormal effect Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及网络安全技术领域,特别是涉及一种网络撞库攻击检测方法。包括:获取历史登录数据,并根据历史登录数据生成撞库攻击检测模型;根据撞库攻击检测模型判断实时登录行为是否为撞库攻击行为,根据判断结果生成记录数据;获取预设监测周期内全部记录数据,根据记录数据生成预警指令;当单个监测周期结束时,更新撞库攻击检测模型,并根据记录数据设定下一监测周期时间间隔。通过采集登录历史数据,利用机器学习算法自动分析历史数据,从中找到撞库攻击行为的规律,将撞库攻击行为的规律保存为撞库攻击检测模型;将实时的登录行为与撞库攻击检测模型进行匹配,根据撞库攻击检测模型判断是否发生撞库攻击。实现对于撞库攻击的及时告警。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种网络撞库攻击检测方法。
背景技术
用户数据泄露一直是如今互联网世界的一个焦点,撞库攻击是导致数据泄露的一种攻击手段。撞库攻击,通俗地讲就是黑客拿着互联网上所谓的“社工库”对网站用户登录界面不停地尝试登录,只要有一次匹配成功,就可以进入用户系统。而且随着社工库规模的壮大和精准度的不断完善,成功率较传统暴力破解攻击已有质的提升。
近年来,针对互联网应用进行撞库攻击,窃取大量用户私密信息的事件层出不穷。黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户名和账号密码,因此黑客可以通过获取用户在一个网站的账户从而尝试登录另一个网站,而依据现有的网络安全产品,应用服务器受到撞库攻击时很难及时发现并告警。因此就需要对撞库攻击行为进行监测,以保证用户的账户安全。
发明内容
本申请的目的是:为解决上述技术问题,本申请提供了一种网络撞库攻击检测方法,旨在实现对于撞库攻击的及时告警。
本申请的一些实施例中,通过采集登录历史数据,利用机器学习算法自动分析这些历史数据,从中找到撞库攻击行为的规律,将撞库攻击行为的规律保存为撞库攻击检测模型;将实时的登录行为与撞库攻击检测模型进行匹配,根据撞库攻击检测模型判断是否发生撞库攻击。实现对于撞库攻击的及时告警。
本申请的一些实施例中,通过预设监测周期矩阵,根据预设的监测周期生成记录数据,并根据记录数据生成预警指令,根据不同的预警指令等级,设定不同的防护等级,实现对于撞库攻击行为的动态监测,保证用户的账户安全。
本申请的一些实施例中,提供了一种网络撞库攻击检测方法,包括:
获取历史登录数据,并根据所述历史登录数据生成撞库攻击检测模型;
根据所述撞库攻击检测模型判断实时登录行为是否为撞库攻击行为,根据所述判断结果生成记录数据;
获取预设监测周期内全部记录数据,根据所述记录数据生成预警指令;
当单个监测周期结束时,更新所述撞库攻击检测模型,并根据所述记录数据设定下一监测周期时间间隔。
其中,所述历史登录数据包括:账号、登录时间、登录IP地址、登录是否成功;
本申请的一些实施例中,根据所述历史登录数据生成撞库攻击检测模型时,包括:
获取所述历史登录数据生成若干撞库攻击行为;
设定若干所述撞库攻击行为的类型参数;
若所述撞库攻击行为的登录状态为登录成功,则所述撞库攻击行为设定为有效撞库攻击行为,并根据登录时间设定所述有效撞库攻击行为的等级;
若所述撞库攻击行为的登录状态为登录不成功,则所述撞库攻击行为设定为无效撞库攻击行为。
本申请的一些实施例中,根据所述撞库攻击检测模型判断实时登录行为是否为撞库攻击行为时,包括:
获取所述撞库攻击检测模型中全部撞库攻击行为;
获取实时登录行为,判断所述撞库攻击检测模型中的撞库攻击行为中是否与所述实时登录行为相同;
若相同,生成一条记录数据,所述记录数据中包含所述实时登录行为对应的撞库攻击行为的类型参数;
若不相同,根据所述实时登录行为的信息数据判断所述实时登录行为类型。
本申请的一些实施例中,根据所述实时登录行为的信息数据判断所述实时登录行为类型时,包括:
根据账号数据和登录IP地址判断所述实时登录行为类型;
若所述实时登录行为类型是撞库攻击行为,则生成记录数据并生成撞库攻击检测模型更新包。
本申请的一些实施例中,更新所述撞库攻击检测模型时,包括:
获取当前监测周期内全部撞库攻击检测模型更新包;
根据机器学习算法处理所述撞库攻击检测模型更新包,并根据所述处理结果更新所述撞库攻击检测模型。
本申请的一些实施例中,所述根据所述记录数据生成预警指令时,包括:
根据监测周期内生成的全部记录数据和所述撞库攻击行为的类型参数生成当前监测周期的有效撞库攻击行为记录次数b和无效撞库攻击行为记录次数c;
根据所述有效撞库攻击行为记录次数b生成预警指令。
本申请的一些实施例中,根据所述有效撞库攻击行为记录次数b生成预警指令时,包括:
预设有效撞库攻击行为记录次数矩阵B,设定B(B1,B2,B3,B4),其中,B1为预设第一有效撞库攻击行为记录次数,B2为预设第二有效撞库攻击行为记录次数,B3为预设第三有效撞库攻击行为记录次数,B4为预设第四有效撞库攻击行为记录次数,且B1<B2<<B3<B4;
预设预警指令等级矩阵C(C1,C2,C3,C4),其中,C1为预设一级预警指令,C2为预设二级预警指令,C3为预设三级预警指令,且C1<C2<C3;
若B1<b<B2时,设定实时预警指令为预设一级预警指令C1;
若B2<b<B3时,设定实时预警指令为预设二级预警指令C2;
若B3<b<B4时,设定实时预警指令为预设三级预警指令C3。
本申请的一些实施例中,所述根据所述记录数据设定下一监测周期时间间隔时,包括:
预设监测周期时间间隔矩阵T,设定T(T1,T2,T3,T4),其中,T1为预设第一监测周期时间间隔,T2为预设第二监测周期时间间隔,T3为预设第三监测周期时间间隔,T4为预设第四监测周期时间间隔,且T1<T2<T3<T4;
获取当前监测周期的有效撞库攻击行为记录次数b,并根据所述有效撞库攻击行为记录次数b设定下一监测周期时间间隔t;
若B1<b<B2,设定下一监测周期时间间隔t为预设第四监测周期时间间隔T4,即t=T4;
若B2<b<B3,设定下一监测周期时间间隔t为预设第三监测周期时间间隔T3,即t=T3;
若B3<b<B4,设定下一监测周期时间间隔t为预设第二监测周期时间间隔T4,即t=T2;
若b>B4,设定下一监测周期时间间隔t为预设第一监测周期时间间隔T1,即t=T1。
本申请的一些实施例中,根据所述记录数据设定下一监测周期时间间隔时,还包括:
获取当前周的无效撞库攻击行为记录次数c,并根据所述无效撞库攻击行为记录次数c设定修正系数,修正下一监测周期时间间隔t。
本申请的一些实施例中,所述修正下一监测周期时间间隔t时,包括:
预设无效撞库攻击行为记录次数矩阵C,设定C(C1,C2,C3,C4),其中,C1为预设第一无效撞库攻击行为记录次数,C2为预设第二无效撞库攻击行为记录次数,C3为预设第三无效撞库攻击行为记录次数,C4为预设第四无效撞库攻击行为记录次数,且C1<C2<<C3<C4;
预设修正系数矩阵N,设定N(n1,n2,n3,n4),其中,n1为预设第一修正系数,n2为预设第二修正系数,n3为预设第三修正系数,n4为预设第四修正系数,且0.7<n1<n2<n3<n4<1;
若C1<c<C2,设定修正系数n为预设第四修正系数n4,修正后的下一监测周期时间间隔t1=n4*Ti;
若C2<c<C3,设定修正系数n为预设第三修正系数n3,修正后的下一监测周期时间间隔t1=n3*Ti;
若C3<c<C4,设定修正系数n为预设第二修正系数n1,修正后的下一监测周期时间间隔t1=n2*Ti;
若c>C4,设定修正系数n为预设第一修正系数n1,修正后的下一监测周期时间间隔t1=n1*Ti。
本申请实施例一种网络撞库攻击检测方法与现有技术相比,其有益效果在于:
通过采集登录历史数据,利用机器学习算法自动分析这些历史数据,从中找到撞库攻击行为的规律,将撞库攻击行为的规律保存为撞库攻击检测模型;将实时的登录行为与撞库攻击检测模型进行匹配,根据撞库攻击检测模型判断是否发生撞库攻击。实现对于撞库攻击的及时告警。
通过预设监测周期矩阵,根据预设的监测周期生成记录数据,并根据记录数据生成预警指令,根据不同的预警指令等级,设定不同的防护等级,实现对于撞库攻击行为的动态监测,保证用户的账户安全。
附图说明
图1是本申请实施例优选实施例中一种网络撞库攻击检测方法的流程示意图;
图2是本申请实施例优选实施例中历史登录数据的示意图。
具体实施方式
下面结合附图和实施例,对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
在本申请的描述中,需要理解的是,术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
如图1-图2所示,本申请实施例优选实施例的一种网络撞库攻击检测方法,包括:
S101:获取历史登录数据,并根据历史登录数据生成撞库攻击检测模型;
S102:根据撞库攻击检测模型判断实时登录行为是否为撞库攻击行为,根据判断结果生成记录数据;
S103:获取预设监测周期内全部记录数据,根据记录数据生成预警指令;
S104:当单个监测周期结束时,更新撞库攻击检测模型,并根据记录数据设定下一监测周期时间间隔;
其中,历史登录数据包括:账号、登录时间、登录IP地址、登录是否成功。
具体而言,根据历史登录数据生成撞库攻击检测模型时,包括:
获取历史登录数据生成若干撞库攻击行为;
设定若干撞库攻击行为的类型参数;
若撞库攻击行为的登录状态为登录成功,则撞库攻击行为设定为有效撞库攻击行为,并根据登录时间设定有效撞库攻击行为的等级;
若撞库攻击行为的登录状态为登录不成功,则撞库攻击行为设定为无效撞库攻击行为。
具体而言,通过采集登录历史数据,利用机器学习算法自动分析这些历史数据,从中找到撞库攻击行为的规律,将撞库攻击行为的规律保存为撞库攻击检测模型。
具体而言,根据撞库攻击检测模型判断实时登录行为是否为撞库攻击行为时,包括:
获取撞库攻击检测模型中全部撞库攻击行为;
获取实时登录行为,判断所撞库攻击检测模型中的撞库攻击行为中是否与实时登录行为相同;
若相同,生成一条记录数据,记录数据中包含实时登录行为对应的撞库攻击行为的类型参数;
若不相同,根据实时登录行为的信息数据判断实时登录行为类型。
具体而言,获取实时的登录行为,遍历撞库攻击检测模型中记录的全部撞库攻击行为,判断是否存在与实时的登录行为一致的撞库攻击行为,若存在,则发生了撞库攻击行为。
可以理解的是,上述实施例中,通过采集登录历史数据,利用机器学习算法自动分析这些历史数据,从中找到撞库攻击行为的规律,将撞库攻击行为的规律保存为撞库攻击检测模型;将实时的登录行为与撞库攻击检测模型进行匹配,根据撞库攻击检测模型判断是否发生撞库攻击。实现对于撞库攻击的及时告警。
本申请实施例优选实施例中,根据实时登录行为的信息数据判断实时登录行为类型时,包括:
根据账号数据和登录IP地址判断实时登录行为类型;
若实时登录行为类型是撞库攻击行为,则生成记录数据并生成撞库攻击检测模型更新包。
具体而言,更新撞库攻击检测模型时,包括:
获取当前监测周期内全部撞库攻击检测模型更新包;
根据机器学习算法处理撞库攻击检测模型更新包,并根据处理结果更新撞库攻击检测模型。
具体而言,当登录行为中的账号数据和登录IP存在异常时,判断其登录行为异常。
具体而言,当实时的登录行为异常,但是撞库攻击检测模型中并不存在与之相匹配的撞库攻击行为时,将其记录进撞库攻击检测模型中,实现撞库攻击检测模型的动态更新。
可以理解的是,上述实施例中,通过动态更新撞库攻击检测模型,实现对异常登录行为的及时识别,保证撞库攻击告警的及时性。
本申请实施例优选实施例中,根据记录数据生成预警指令时,包括:
根据监测周期内生成的全部记录数据和撞库攻击行为的类型参数生成当前监测周期的有效撞库攻击行为记录次数b和无效撞库攻击行为记录次数c;
根据有效撞库攻击行为记录次数b生成预警指令。
具体而言,根据有效撞库攻击行为记录次数b生成预警指令时,包括:
预设有效撞库攻击行为记录次数矩阵B,设定B(B1,B2,B3,B4),其中,B1为预设第一有效撞库攻击行为记录次数,B2为预设第二有效撞库攻击行为记录次数,B3为预设第三有效撞库攻击行为记录次数,B4为预设第四有效撞库攻击行为记录次数,且B1<B2<<B3<B4;
预设预警指令等级矩阵C(C1,C2,C3,C4),其中,C1为预设一级预警指令,C2为预设二级预警指令,C3为预设三级预警指令,且C1<C2<C3;
若B1<b<B2时,设定实时预警指令为预设一级预警指令C1;
若B2<b<B3时,设定实时预警指令为预设二级预警指令C2;
若B3<b<B4时,设定实时预警指令为预设三级预警指令C3。
具体而言,一级预警指令紧急程度为一般,其系统漏洞可在周期性检测时进行修复;二级预警指令的紧急程度为紧急,其系统漏洞可在当日检测时进行修复,三级预警指令的紧急程度为十分紧急,其系统漏洞需马上进行修复。
可以理解的是,上述实施例中根据预设有效撞库攻击行为记录次数矩阵和预警指令等级矩阵,根据其有效撞库攻击行为次数设定预警指令等级,并设定防护指令,及时对系统中的漏洞进行检修,降低检修成本,提高检修效率。
本申请实施例优选实施例中,根据记录数据设定下一监测周期时间间隔时,包括:
预设监测周期时间间隔矩阵T,设定T(T1,T2,T3,T4),其中,T1为预设第一监测周期时间间隔,T2为预设第二监测周期时间间隔,T3为预设第三监测周期时间间隔,T4为预设第四监测周期时间间隔,且T1<T2<T3<T4;
获取当前监测周期的有效撞库攻击行为记录次数b,并根据有效撞库攻击行为记录次数b设定下一监测周期时间间隔t;
若B1<b<B2,设定下一监测周期时间间隔t为预设第四监测周期时间间隔T4,即t=T4;
若B2<b<B3,设定下一监测周期时间间隔t为预设第三监测周期时间间隔T3,即t=T3;
若B3<b<B4,设定下一监测周期时间间隔t为预设第二监测周期时间间隔T4,即t=T2;
若b>B4,设定下一监测周期时间间隔t为预设第一监测周期时间间隔T1,即t=T1。
具体而言,根据记录数据设定下一监测周期时间间隔时,还包括:
获取当前周的无效撞库攻击行为记录次数c,并根据无效撞库攻击行为记录次数c设定修正系数,修正下一监测周期时间间隔t。
具体而言,修正下一监测周期时间间隔t时,包括:
预设无效撞库攻击行为记录次数矩阵C,设定C(C1,C2,C3,C4),其中,C1为预设第一无效撞库攻击行为记录次数,C2为预设第二无效撞库攻击行为记录次数,C3为预设第三无效撞库攻击行为记录次数,C4为预设第四无效撞库攻击行为记录次数,且C1<C2<<C3<C4;
预设修正系数矩阵N,设定N(n1,n2,n3,n4),其中,n1为预设第一修正系数,n2为预设第二修正系数,n3为预设第三修正系数,n4为预设第四修正系数,且0.7<n1<n2<n3<n4<1;
若C1<c<C2,设定修正系数n为预设第四修正系数n4,修正后的下一监测周期时间间隔t1=n4*Ti;
若C2<c<C3,设定修正系数n为预设第三修正系数n3,修正后的下一监测周期时间间隔t1=n3*Ti;
若C3<c<C4,设定修正系数n为预设第二修正系数n1,修正后的下一监测周期时间间隔t1=n2*Ti;
若c>C4,设定修正系数n为预设第一修正系数n1,修正后的下一监测周期时间间隔t1=n1*Ti。
可以理解的是,上述实施例中,根据有效撞库攻击行为记录次数b设定监测周期时间间隔,并根据无效撞库攻击行为记录次数设定修正系数修正监测周期时间间隔,实现对于撞库攻击行为的动态监测,通过实时修正监测周期,提高监测的时效性,保证用户的账户安全。
根据本申请的第一构思,通过采集登录历史数据,利用机器学习算法自动分析这些历史数据,从中找到撞库攻击行为的规律,将撞库攻击行为的规律保存为撞库攻击检测模型;将实时的登录行为与撞库攻击检测模型进行匹配,根据撞库攻击检测模型判断是否发生撞库攻击。实现对于撞库攻击的及时告警。
根据本申请的第二构思,通过预设监测周期矩阵,根据预设的监测周期生成记录数据,并根据记录数据生成预警指令,根据不同的预警指令等级,设定不同的防护等级,实现对于撞库攻击行为的动态监测,保证用户的账户安全。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本申请的保护范围。
Claims (5)
1.一种网络撞库攻击检测方法,其特征在于,包括:
获取历史登录数据,并根据所述历史登录数据生成撞库攻击检测模型;
根据所述撞库攻击检测模型判断实时登录行为是否为撞库攻击行为,根据所述判断结果生成记录数据;
获取预设监测周期内全部记录数据,根据所述记录数据生成预警指令;
当单个监测周期结束时,更新所述撞库攻击检测模型,并根据所述记录数据设定下一监测周期时间间隔;
其中,所述历史登录数据包括:账号、登录时间、登录IP地址、登录是否成功;
根据所述历史登录数据生成撞库攻击检测模型时,包括:
获取所述历史登录数据生成若干撞库攻击行为;
设定若干所述撞库攻击行为的类型参数;
若所述撞库攻击行为的登录状态为登录成功,则所述撞库攻击行为设定为有效撞库攻击行为,并根据登录时间设定所述有效撞库攻击行为的等级;
若所述撞库攻击行为的登录状态为登录不成功,则所述撞库攻击行为设定为无效撞库攻击行为;
所述根据所述记录数据生成预警指令时,包括:
根据监测周期内生成的全部记录数据和所述撞库攻击行为的类型参数生成当前监测周期的有效撞库攻击行为记录次数b和无效撞库攻击行为记录次数c;
根据所述有效撞库攻击行为记录次数b生成预警指令;
所述根据所述记录数据设定下一监测周期时间间隔时,包括:
预设监测周期时间间隔矩阵T,设定T(T1,T2,T3,T4),其中,T1为预设第一监测周期时间间隔,T2为预设第二监测周期时间间隔,T3为预设第三监测周期时间间隔,T4为预设第四监测周期时间间隔,且T1<T2<T3<T4;
获取当前监测周期的有效撞库攻击行为记录次数b,并根据所述有效撞库攻击行为记录次数b设定下一监测周期时间间隔t;
若B1<b<B2,设定下一监测周期时间间隔t为预设第四监测周期时间间隔T4,即t=T4;
若B2<b<B3,设定下一监测周期时间间隔t为预设第三监测周期时间间隔T3,即t=T3;
若B3<b<B4,设定下一监测周期时间间隔t为预设第二监测周期时间间隔T2,即t=T2;
若b>B4,设定下一监测周期时间间隔t为预设第一监测周期时间间隔T1,即t=T1;
根据所述记录数据设定下一监测周期时间间隔时,还包括:
获取当前周的无效撞库攻击行为记录次数c,并根据所述无效撞库攻击行为记录次数c设定修正系数,修正下一监测周期时间间隔t;
所述修正下一监测周期时间间隔t时,包括:
预设无效撞库攻击行为记录次数矩阵C,设定C(C1,C2,C3,C4),其中,C1为预设第一无效撞库攻击行为记录次数,C2为预设第二无效撞库攻击行为记录次数,C3为预设第三无效撞库攻击行为记录次数,C4为预设第四无效撞库攻击行为记录次数,且C1<C2<<C3<C4;
预设修正系数矩阵N,设定N(n1,n2,n3,n4),其中,n1为预设第一修正系数,n2为预设第二修正系数,n3为预设第三修正系数,n4为预设第四修正系数,且0.7<n1<n2<n3<n4<1;
若C1<c<C2,设定修正系数n为预设第四修正系数n4,修正后的下一监测周期时间间隔t1=n4*Ti;
若C2<c<C3,设定修正系数n为预设第三修正系数n3,修正后的下一监测周期时间间隔t1=n3*Ti;
若C3<c<C4,设定修正系数n为预设第二修正系数n2,修正后的下一监测周期时间间隔t1=n2*Ti;
若c>C4,设定修正系数n为预设第一修正系数n1,修正后的下一监测周期时间间隔t1=n1*Ti。
2.如权利要求1所述的网络撞库攻击检测方法,其特征在于,根据所述撞库攻击检测模型判断实1时登录行为是否为撞库攻击行为时,包括:
获取所述撞库攻击检测模型中全部撞库攻击行为;
获取实时登录行为,判断所述撞库攻击检测模型中的撞库攻击行为中是否与所述实时登录行为相同;
若相同,生成一条记录数据,所述记录数据中包含所述实时登录行为对应的撞库攻击行为的类型参数;
若不相同,根据所述实时登录行为的信息数据判断所述实时登录行为类型。
3.如权利要求2所述的网络撞库攻击检测方法,其特征在于,根据所述实时登录行为的信息数据判断所述实时登录行为类型时,包括:
根据账号数据和登录IP地址判断所述实时登录行为类型;
若所述实时登录行为类型是撞库攻击行为,则生成记录数据并生成撞库攻击检测模型更新包。
4.如权利要求3所述的网络撞库攻击检测方法,其特征在于,更新所述撞库攻击检测模型时,包括:
获取当前监测周期内全部撞库攻击检测模型更新包;
根据机器学习算法处理所述撞库攻击检测模型更新包,并根据所述处理结果更新所述撞库攻击检测模型。
5.如权利要求4所述的网络撞库攻击检测方法,其特征在于,根据所述有效撞库攻击行为记录次数b生成预警指令时,包括:
预设有效撞库攻击行为记录次数矩阵B,设定B(B1,B2,B3,B4),其中,B1为预设第一有效撞库攻击行为记录次数,B2为预设第二有效撞库攻击行为记录次数,B3为预设第三有效撞库攻击行为记录次数,B4为预设第四有效撞库攻击行为记录次数,且B1<B2<<B3<B4;
预设预警指令等级矩阵C(C1,C2,C3,C4),其中,C1为预设一级预警指令,C2为预设二级预警指令,C3为预设三级预警指令,且C1<C2<C3;
若B1<b<B2时,设定实时预警指令为预设一级预警指令C1;
若B2<b<B3时,设定实时预警指令为预设二级预警指令C2;
若B3<b<B4时,设定实时预警指令为预设三级预警指令C3。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310286458.7A CN116405269B (zh) | 2023-03-22 | 2023-03-22 | 一种网络撞库攻击检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310286458.7A CN116405269B (zh) | 2023-03-22 | 2023-03-22 | 一种网络撞库攻击检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116405269A CN116405269A (zh) | 2023-07-07 |
| CN116405269B true CN116405269B (zh) | 2024-01-26 |
Family
ID=87015219
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310286458.7A Active CN116405269B (zh) | 2023-03-22 | 2023-03-22 | 一种网络撞库攻击检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116405269B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105577670A (zh) * | 2015-12-29 | 2016-05-11 | 南威软件股份有限公司 | 一种撞库攻击的告警系统 |
| CN108924118A (zh) * | 2018-06-27 | 2018-11-30 | 亚信科技(成都)有限公司 | 一种撞库行为检测方法及系统 |
| WO2021184554A1 (zh) * | 2020-03-18 | 2021-09-23 | 平安科技(深圳)有限公司 | 数据库异常监测方法、装置、计算机装置及存储介质 |
| CN115744391A (zh) * | 2022-11-11 | 2023-03-07 | 河北邯峰发电有限责任公司 | 一种输煤机人孔门管理方法及其人孔门装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9386030B2 (en) * | 2012-09-18 | 2016-07-05 | Vencore Labs, Inc. | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks |
| US20180004958A1 (en) * | 2016-07-01 | 2018-01-04 | Hewlett Packard Enterprise Development Lp | Computer attack model management |
-
2023
- 2023-03-22 CN CN202310286458.7A patent/CN116405269B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105577670A (zh) * | 2015-12-29 | 2016-05-11 | 南威软件股份有限公司 | 一种撞库攻击的告警系统 |
| CN108924118A (zh) * | 2018-06-27 | 2018-11-30 | 亚信科技(成都)有限公司 | 一种撞库行为检测方法及系统 |
| WO2021184554A1 (zh) * | 2020-03-18 | 2021-09-23 | 平安科技(深圳)有限公司 | 数据库异常监测方法、装置、计算机装置及存储介质 |
| CN115744391A (zh) * | 2022-11-11 | 2023-03-07 | 河北邯峰发电有限责任公司 | 一种输煤机人孔门管理方法及其人孔门装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116405269A (zh) | 2023-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9521114B2 (en) | Securing email communications | |
| US10147065B1 (en) | Dynamic generation of risk score thresholds for optimized configuration of policy rules in an adaptive authentication service | |
| US20150106265A1 (en) | System and methods for processing a communication number for fraud prevention | |
| US8624720B2 (en) | Security infrastructure | |
| CN101588247B (zh) | 用于检测服务器的漏洞的系统和方法 | |
| US8001582B2 (en) | Cross-network reputation for online services | |
| CN103634786B (zh) | 一种无线网络的安全检测和修复的方法与系统 | |
| KR20190075861A (ko) | DoS/DDoS 공격의 탐지 방법, 장치, 서버 및 저장 매체 | |
| JP2013503377A (ja) | データ処理システムにおける脅威検出のための装置、方法、およびコンピュータ・プログラム(データ処理システムにおける脅威検出) | |
| TW202046206A (zh) | 異常帳戶的檢測方法及裝置 | |
| CN102934122A (zh) | 用于适配信息系统基础设施的安全策略的方法 | |
| CN104519018A (zh) | 一种防止针对服务器的恶意请求的方法、装置和系统 | |
| CN112787992A (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
| CN106776973B (zh) | 黑名单数据生成方法和装置 | |
| CN111224920B (zh) | 一种防止非法登录的方法、装置、设备及计算机存储介质 | |
| CN114615016A (zh) | 一种企业网络安全评估方法、装置、移动终端及存储介质 | |
| CN112153052A (zh) | 一种撞库攻击监测方法及系统 | |
| CN116405269B (zh) | 一种网络撞库攻击检测方法 | |
| CN111740982A (zh) | 一种基于算力证明的服务器防攻击方法和系统 | |
| KR101576993B1 (ko) | 캡차를 이용한 아이디도용 차단방법 및 차단 시스템 | |
| CN116248381A (zh) | 一种告警聚合方法、装置、电子设备及存储介质 | |
| CN106815120B (zh) | 嵌入式日志管理系统和方法 | |
| EP4152729A1 (en) | Interactive email warning tags | |
| JP2001175600A (ja) | 不正アクセス通知方法及びその装置 | |
| CN113612729A (zh) | 一种鉴权认证方法和相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |