CN117336080A - 一种基于流量和指标的暴力破解检测系统及方法 - Google Patents
一种基于流量和指标的暴力破解检测系统及方法 Download PDFInfo
- Publication number
- CN117336080A CN117336080A CN202311383389.8A CN202311383389A CN117336080A CN 117336080 A CN117336080 A CN 117336080A CN 202311383389 A CN202311383389 A CN 202311383389A CN 117336080 A CN117336080 A CN 117336080A
- Authority
- CN
- China
- Prior art keywords
- index
- flow
- average
- value
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 70
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000005336 cracking Methods 0.000 title claims abstract description 43
- 238000004458 analytical method Methods 0.000 claims abstract description 87
- 238000005206 flow analysis Methods 0.000 claims abstract description 24
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 12
- 230000036541 health Effects 0.000 claims description 66
- 230000006399 behavior Effects 0.000 claims description 35
- 230000002159 abnormal effect Effects 0.000 claims description 33
- 230000008569 process Effects 0.000 claims description 21
- 238000012544 monitoring process Methods 0.000 claims description 11
- 238000007781 pre-processing Methods 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 claims description 7
- 230000005856 abnormality Effects 0.000 claims description 6
- 238000004422 calculation algorithm Methods 0.000 claims description 6
- 230000007366 host health Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 4
- 230000009172 bursting Effects 0.000 claims description 3
- 238000010276 construction Methods 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 3
- 239000011159 matrix material Substances 0.000 claims description 3
- 230000000007 visual effect Effects 0.000 claims description 3
- 239000012528 membrane Substances 0.000 claims 1
- 241000700605 Viruses Species 0.000 abstract description 10
- 230000000694 effects Effects 0.000 description 7
- 230000002547 anomalous effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及病毒检测技术领域,公开了一种基于流量和指标的暴力破解检测系统及方法,包括安装在受监测服务器上的指标采集模块、指标分析模块、流量采集模块和流量分析模块,流量采集模块与所述流量分析模块连接,指标采集模块与所述指标分析模块连接,与流量分析模块和指标分析模块连接有检测服务器,检测服务器设有暴力破解行为检测模块,与所述检测服务器连接有数据库服务器,数据库服务器设有异常行为库模块,与所述数据库服务器连接有界面服务器,所述界面服务器设有告警界面模块。本发明解决当前基于文件扫描和样本分析的检测方法中的检测耗时久,占用资源高的问题,同时可缩短从行为发生到行为被检测的时间,提升检测的时效性。
Description
技术领域
本发明涉及病毒检测技术领域,具体为一种基于流量和指标的暴力破解检测系统及方法。
背景技术
网络流量分析技术是指通过对网络数据流进行收集、监视、分析和解释,以揭示网络活动和通信模式的技术方法。它可以用于检测和分析网络中的数据流量,包括传入和传出的数据包,从而帮助发现和防范网络安全威胁。
在病毒检测方面,网络流量分析技术可以应用于以下方面:
1.恶意软件检测:通过对网络流量进行分析,可以检测到传输中的恶意软件,例如病毒、木马、蠕虫等。恶意软件通常会在网络流量中传输命令和恶意代码,通过分析流量数据,可以识别出这些恶意行为,并及时采取相应的防护措施。
2.威胁情报分析:网络流量分析可以帮助分析网络中的威胁情报,包括已知的恶意IP地址、恶意域名、C&C服务器等。通过收集和分析网络流量数据,可以建立恶意行为的特征库,从而能够更准确地识别和阻止潜在的病毒攻击。
3.异常行为检测:网络流量分析可以监测和分析网络中的异常行为,例如大量的传输请求、频繁的连接尝试、异常的数据包大小等。这些异常行为可能是病毒或恶意软件的活动迹象,通过网络流量分析,可以及时发现并采取相应的防御措施。
4.数据包分析:网络流量分析技术还可以对网络中的数据包进行深入分析,包括包头信息、协议类型、数据内容等。通过分析数据包,可以检测到携带恶意代码的数据包,或者发现病毒传播的特征,进而进行相应的病毒防护和隔离措施。
暴力破解检测技术是一种用于检测和防止暴力破解攻击的技术方法。暴力破解攻击是指攻击者通过尝试大量的可能性来猜解用户的密码或密钥,以获取未经授权的访问权限。暴力破解攻击通常利用计算机程序自动化尝试多个密码组合,直到找到正确的密码或密钥。
暴力破解检测技术可以应用于以下方面:
1.密码策略和强度检测:通过对密码策略和密码强度进行检测和分析,可以发现可能存在的弱密码。弱密码是暴力破解攻击的主要目标,因为它们更容易被猜解。通过检测密码策略和密码强度,可以强制用户使用更强的密码,并减少暴力破解攻击的成功率。
2.登录尝试监测和限制:通过对系统登录尝试进行监测和分析,可以检测到大量的失败登录尝试。暴力破解攻击通常涉及多次失败的登录尝试,通过检测登录尝试的频率、来源和模式,可以及时发现暴力破解攻击的行为,并采取相应的防御措施,例如锁定账户或增加验证码等。
3.异常行为分析:通过对用户和系统的行为进行分析,可以检测到异常的行为模式。暴力破解攻击通常涉及大量的登录尝试,这些尝试往往具有特定的模式和频率。通过对行为模式的异常检测,可以及时发现暴力破解攻击的行为,并采取相应的防御措施。
4.账户监控和报警:通过对账户活动进行监控和分析,可以及时发现异常的账户活动。暴力破解攻击通常会导致账户活动的异常,例如登录地点的变化、登录时间的异常、登录设备的异常等。通过对账户活动的监控和报警,可以及时发现暴力破解攻击,并采取相应的应对措施。
暴力破解检测技术在保护系统和用户账户安全方面起着重要的作用,通过对密码、登录尝试、行为模式和账户活动等进行监测和分析,可以及时发现和防止暴力破解攻击,提高系统的安全性。网络流量分析技术在病毒检测中起着重要的作用,通过对网络流量进行监测和分析,可以发现和阻止潜在的病毒攻击,保护网络的安全性和稳定性。
但是当前基于文件扫描和样本分析的检测方法存在检测耗时久,占用资源高的问题,时效性低,针对上述问题,所以需要一种基于流量和指标的暴力破解检测系统及方法。
发明内容
本发明的目的在于提供一种基于流量和指标的暴力破解检测系统及方法。本发明用于解决当前基于文件扫描和样本分析的检测方法中的检测耗时久,占用资源高的问题,同时可缩短从行为发生到行为被检测的时间,提升检测的时效性。
本发明是这样实现的:
本发明提供一种基于流量和指标的暴力破解检测系统,包括安装在受监测服务器伤的指标采集模块、指标分析模块、流量采集模块和流量分析模块,所述流量采集模块与所述流量分析模块连接,所述指标采集模块与所述指标分析模块连接,与所述流量分析模块和指标分析模块连接有检测服务器,所述检测服务器设有暴力破解行为检测模块,与所述检测服务器连接有数据库服务器,所述数据库服务器设有异常行为库模块,与所述数据库服务器连接有界面服务器,所述界面服务器设有告警界面模块;
所述流量采集模块包括对受监服务器进行流量采集、协议字段提取和数据缓存,所述流量分析模块包括对采集到的流量数据进行网络连接数分析、SSH协议包频率分析和网络包平均大小分析;
所述指标采集模块包括对受监服务器进行指标数据采集、指标数据预处理和指标数据缓存,所述指标分析模块包括对受监服务器进行CPU指标分析、内存指标分析、进程指标分析和定时任务指标分析;
所述暴力破解行为检测模块包括受监测服务器主机健康度向量构建、通过异常行为检测算法进行检测以及进行异常应为时间缓存;
所述异常事件库模块包括对受监控的服务器进行异常事件预处理和生命周期管理,所述告警界面模块包括异常事件数据接口、异常事件查询界面展示和异常事件告警界面展示,基于可视化UI界面,对暴力破解行为进行异常告警,历史事件查询。
进一步,本发明提供一种基于流量和指标的暴力破解检测方法,其特征在于,具体按以下步骤执行;
S2.1:流量采集模块采集当前受监控的服务器主机的网络协议流量,并解析出五元组信息,采集出的流量发送到流量分析模块;
S2.2:流量分析模块接收来自流量采集模块的流量数据,并进行流量协议分析,分析包括网络连接数分析、SSH协议包频率分析、网络包平均大小分析,得到最新一个时间周期内的平均网络连接数、发送的SSH协议包数和网络包平均大小;
指标采集模块采集当前主机的主要监控指标,并对指标进行格式化等预处理,将指标发送到指标分析模块;
S2.3:指标分析模块接收来自指标采集模块的指标值,并进行指标分析,分析包括CPU占用率、内存占用率、进程数、定时任务数、暴破程序,分析得到最新一个时间周期内的平均CPU占用率、平均内存占用率、平均进程数、定时任务数指标;
S2.4:暴力破解行为检测模块进行行为检测,接收网络流量分析模块、指标分析模块的分析结果,得到主机健康度特征向量,向量包括最新一个时间周期内的平均网络连接数、发送的SSH协议包数、网络包平均大小、平均CPU占用率、平均内存占用率、平均进程数、定时任务数,将特征向量作为输入,输入到异常检测算法,进行异常检测分类,输出结果为0表示主机正常,当前周期内没有发生暴力破解行为,输出结果为1表示有暴力破解行为;
S2.5:根据输出结果,通过告警界面模块进行异常信息告警和展示。
进一步,CPU占有率根据设定时间窗口内CPU使用率的平均值和最大值计算CPU健康度值,指定时间段内CPU占用率CpuUsage=(1-(空闲时间/总时间))*100%,通过与历史不同时间窗口CPU占用率的平均值作比较得到CPU健康度值,CPU健康度值计算公式如式(1):
Hcpu=ifCpuUsage>(CpuAverageUsage1Week*1.5)then 1else 0式(1)
其中CpuUsage为当前周期内Cpu占用率,CpuAverageUsage1Week为1周cpu平均占用率,乘以1.5表示如果当前周期值超过历史周期值的1.5倍则判定为异常,该策略可以避免频繁的告警,导致真正的异常时刻来临时人为忽略掉。
进一步,平均内存占用率根据设定时间窗口内内存占用率的平均值和最大值计算健康度值,即内存占用率,如式(2):
MemUsage=(UsedMem/TotalMem)*100% 式(2)
其中UsedMem表示当前周期内内存的实际占用大小,TotalMem表示主机总内存大小。
主机近7天平均C内存占用率如式(2.1)计算:MemusageWeek=∑(MemUsage(i))(i=1,2,...,n)式(2.1)
其中MemUsage(i)表示过去7天某一个周期的内存占用率,n表示7天中覆盖的周期数;
通过式(2.3)计算得出内存占用率健康度值:
Hmem=if MemUsage>(MemUsageWeek*1.5)then 1else 0式(2.3)
其中MemUsage为当前周期内内存占用率,MemUsageWeek为近1周内存平均占用率,乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常,该策略可降低误报率。
进一步,其中SSH协议包频率通过如下式(3)得到SSH协议频率健康度值;
计算当前周期内SSH协议包频率平均值,如式(3):
SshFrames=TotalSshFrames/T 式(3)
其中TotalSshFrames是一个周期内的ssh协议包数量,T是周期长度。
计算近1周的SSH协议包频率平均值,如式(3.1):
SshFramesWeek=∑(SshFrame(Ti))(i=1,2,...,n)式(3.1)
其中MemUsage(Ti)表示近1周内一个周期的SSH协议包频率,n表示7天中覆盖的周期数。
通过式(3.2)计算得出SSH协议包频率健康度值:
Hssh=if SshFrames>(SshFramesWeek*1.5)then1else 0式(3.2)
其中MSshFrames为当前周期内SSh协议包频率,SshFramesWeek为近1周内存平均频率,乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常,该策略可降低误报率。
进一步,其中YN协议包频率通过式(4)得到SYN状态数据包频率健康度值,计算当前周期内SYN状态数据包频率平均值:
SynFrames=TotalSynFrames/T 式(4)
其中TotalSynFrames是一个周期内的syn协议包数量,T是周期长度。
计算近1周的syn协议包频率平均值,如式(4.1);
SynFramesWeek=∑(SynFrame(Ti))(i=1,2,...,n)式(4.1)
其中SynUsage(Ti)表示近1周内一个周期的syn协议包频率,n表示7天中覆盖的周期数。
通过式(4.2)计算得出syn协议包频率健康度值:Hsyn=if SynFrames>(SynFramesWeek*1.5)then 1else 0式(4.2)
其中SynFrames为当前周期内syn协议包频率,SynFramesWeek为近1周内平均频率,乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常,该策略可降低误报率。
进一步,其中进程数健康度值通过式(5)计算得出进程数健康度值:
Hproc=if Procs>(ProcsWeek*1.5)then 1 else 0 式(5)
其中Procs为当前周期内平均进程数,ProcsWeek为近1周内平均进程数。乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常,该策略可降低误报率。
进一步,定时任务数的健康度值:通过式(5)计算得出定时任务数健康度值:
Hjobs=if Jobs>(JobsWeek*1.5)then 1else 0式(5)
其中Jobs为当前周期内平均定时任务数,JobsWeek为近1周内平均定时任务数,乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常,该策略可降低误报率。
暴破程序数健康度值,如式(6)计算得出常见暴破程序名称数健康度值:
Hnames=if Names>(NamesWeek*1.5)then 1 else 0 式(6)
其中Names为当前周期内平均常见暴破程序名称数,NamesWeek为近1周内平均常见暴破程序名称数。乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常,该策略可降低误报率。
根据计算得到的各项健康度值,计算得到总健康度值,并进行异常判定,计算公式如式(7):
H=∑(Hi*Wi) (i=1,2,...n) 式(7)
其中Hi表示各健康度值,Wi表示各健康度的权重,n表示总健康度值的数量。
权重值矩阵如下
W=[W1,W2,...Wn],Hssh、Hsyn、Hnames因为和暴破破解程序高度相关,设置权重值为2,其他健康度值设置为默认值1,
根据计算得到的总健康度值,判定该主机当前周期是否存在对外的暴破行为,如果总健康度值是1,则存在,如果是0,则不存在。
进一步,本发明提供一种计算机可读存储介质,存储介质存储有计算机程序,所述计算机程序被主控制器执行时实现如上述中的任一项所述的方法。
与现有技术相比,本发明的有益效果是:
1、本发明解决当前基于文件扫描和样本分析的检测方法中的检测耗时久,占用资源高的问题,同时可缩短从行为发生到行为被检测的时间,提升检测的时效性。
附图说明
为了更清楚地说明本发明实施方式的技术方案,下面将对实施方式中所需要使用的附图作简单地介绍,理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还根据这些附图获得其他相关的附图。
图1是本发明的系统结构图;
图2是本发明的方法执行流程图。
具体实施方式
为使本发明实施方式的目的、技术方案和优点更加清楚,下面将结合本发明实施方式中的附图,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。因此,以下对在附图中提供的本发明的实施方式的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施方式。基于本发明中的实施方式,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。
请参阅图1-2,一种基于流量和指标的暴力破解检测系统,包括安装在受监测服务器伤的指标采集模块、指标分析模块、流量采集模块和流量分析模块,所述流量采集模块与所述流量分析模块连接,所述指标采集模块与所述指标分析模块连接,与所述流量分析模块和指标分析模块连接有检测服务器,所述检测服务器设有暴力破解行为检测模块,与所述检测服务器连接有数据库服务器,所述数据库服务器设有异常行为库模块,与所述数据库服务器连接有界面服务器,所述界面服务器设有告警界面模块;
所述流量采集模块包括对受监服务器进行流量采集、协议字段提取和数据缓存,所述流量分析模块包括对采集到的流量数据进行网络连接数分析、SSH协议包频率分析和网络包平均大小分析;
所述指标采集模块包括对受监服务器进行指标数据采集、指标数据预处理和指标数据缓存,所述指标分析模块包括对受监服务器进行CPU指标分析、内存指标分析、进程指标分析和定时任务指标分析;
所述暴力破解行为检测模块包括受监测服务器主机健康度向量构建、通过异常行为检测算法进行检测以及进行异常应为时间缓存;
所述异常事件库模块包括对受监控的服务器进行异常事件预处理和生命周期管理,所述告警界面模块包括异常事件数据接口、异常事件查询界面展示和异常事件告警界面展示,基于可视化UI界面,对暴力破解行为进行异常告警,历史事件查询。
本实施例中,本发明提供一种基于流量和指标的暴力破解检测方法,其特征在于,具体按以下步骤执行;
S2.1:流量采集模块采集当前受监控的服务器主机的网络协议流量,并解析出五元组信息,采集出的流量发送到流量分析模块;
S2.2:流量分析模块接收来自流量采集模块的流量数据,并进行流量协议分析,分析包括网络连接数分析、SSH协议包频率分析、网络包平均大小分析,得到最新一个时间周期内的平均网络连接数、发送的SSH协议包数和网络包平均大小;
指标采集模块采集当前主机的主要监控指标,并对指标进行格式化等预处理,将指标发送到指标分析模块;
S2.3:指标分析模块接收来自指标采集模块的指标值,并进行指标分析,分析包括CPU占用率、内存占用率、进程数、定时任务数、暴破程序,分析得到最新一个时间周期内的平均CPU占用率、平均内存占用率、平均进程数、定时任务数指标;
S2.4:暴力破解行为检测模块进行行为检测,接收网络流量分析模块、指标分析模块的分析结果,得到主机健康度特征向量,向量包括最新一个时间周期内的平均网络连接数、发送的SSH协议包数、网络包平均大小、平均CPU占用率、平均内存占用率、平均进程数、定时任务数,将特征向量作为输入,输入到异常检测算法,进行异常检测分类,输出结果为0表示主机正常,当前周期内没有发生暴力破解行为,输出结果为1表示有暴力破解行为;
S2.5:根据输出结果,通过告警界面模块进行异常信息告警和展示。
本实施例中,CPU占有率根据设定时间窗口内CPU使用率的平均值和最大值计算CPU健康度值,指定时间段内CPU占用率CpuUsage=(1-(空闲时间/总时间))*100%,通过与历史不同时间窗口CPU占用率的平均值作比较得到CPU健康度值,CPU健康度值计算公式如式(1):
Hcpu=ifCpuUsage>(CpuAverageUsage1Week*1.5)then 1else 0式(1)
其中CpuUsage为当前周期内Cpu占用率,CpuAverageUsage1Week为1周cpu平均占用率,乘以1.5表示如果当前周期值超过历史周期值的1.5倍则判定为异常,该策略可以避免频繁的告警,导致真正的异常时刻来临时人为忽略掉。
本实施例中,平均内存占用率根据设定时间窗口内内存占用率的平均值和最大值计算健康度值,即内存占用率,如式(2):
MemUsage=(UsedMem/TotalMem)*100% 式(2)
其中UsedMem表示当前周期内内存的实际占用大小,TotalMem表示主机总内存大小。
主机近7天平均C内存占用率如式(2.1)计算:MemusageWeek=∑(MemUsage(i))(i=1,2,...,n)式(2.1)
其中MemUsage(i)表示过去7天某一个周期的内存占用率,n表示7天中覆盖的周期数;
通过式(2.3)计算得出内存占用率健康度值:
Hmem=if MemUsage>(MemUsageWeek*1.5)then 1else 0式(2.3)
其中MemUsage为当前周期内内存占用率,MemUsageWeek为近1周内存平均占用率,乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常,该策略可降低误报率。
本实施例中,其中SSH协议包频率通过如下式(3)得到SSH协议频率健康度值;
计算当前周期内SSH协议包频率平均值,如式(3):
SshFrames=TotalSshFrames/T 式(3)
其中TotalSshFrames是一个周期内的ssh协议包数量,T是周期长度。
计算近1周的SSH协议包频率平均值,如式(3.1):
SshFramesWeek=∑(SshFrame(Ti))(i=1,2,...,n)式(3.1)
其中MemUsage(Ti)表示近1周内一个周期的SSH协议包频率,n表示7天中覆盖的周期数。
通过式(3.2)计算得出SSH协议包频率健康度值:
Hssh=if SshFrames>(SshFramesWeek*1.5)then1else 0式(3.2)
其中MSshFrames为当前周期内SSh协议包频率,SshFramesWeek为近1周内存平均频率,乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常,该策略可降低误报率。
本实施例中,其中YN协议包频率通过式(4)得到SYN状态数据包频率健康度值,计算当前周期内SYN状态数据包频率平均值:
SynFrames=TotalSynFrames/T 式(4)
其中TotalSynFrames是一个周期内的syn协议包数量,T是周期长度。
计算近1周的syn协议包频率平均值,如式(4.1);
SynFramesWeek=∑(SynFrame(Ti))(i=1,2,...,n)式(4.1)
其中SynUsage(Ti)表示近1周内一个周期的syn协议包频率,n表示7天中覆盖的周期数。
通过式(4.2)计算得出syn协议包频率健康度值:Hsyn=if SynFrames>(SynFramesWeek*1.5)then 1else 0式(4.2)
其中SynFrames为当前周期内syn协议包频率,SynFramesWeek为近1周内平均频率,乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常,该策略可降低误报率。
本实施例中,其中进程数健康度值通过式(5)计算得出进程数健康度值:
Hproc=if Procs>(ProcsWeek*1.5)then 1 else 0 式(5)
其中Procs为当前周期内平均进程数,ProcsWeek为近1周内平均进程数。乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常,该策略可降低误报率。
本实施例中,定时任务数的健康度值:通过式(5)计算得出定时任务数健康度值:
Hjobs=if Jobs>(JobsWeek*1.5)then 1else 0式(5)
其中Jobs为当前周期内平均定时任务数,JobsWeek为近1周内平均定时任务数,乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常,该策略可降低误报率。
暴破程序数健康度值,如式(6)计算得出常见暴破程序名称数健康度值:
Hnames=if Names>(NamesWeek*1.5)then 1 else 0 式(6)
其中Names为当前周期内平均常见暴破程序名称数,NamesWeek为近1周内平均常见暴破程序名称数。乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常,该策略可降低误报率。
根据计算得到的各项健康度值,计算得到总健康度值,并进行异常判定,计算公式如式(7):
H=∑(Hi*Wi) (i=1,2,...n) 式(7)
其中Hi表示各健康度值,Wi表示各健康度的权重,n表示总健康度值的数量。
权重值矩阵如下
W=[W1,W2,...Wn],Hssh、Hsyn、Hnames因为和暴破破解程序高度相关,设置权重值为2,其他健康度值设置为默认值1,
根据计算得到的总健康度值,判定该主机当前周期是否存在对外的暴破行为,如果总健康度值是1,则存在,如果是0,则不存在。
本实施例中,本发明提供一种计算机可读存储介质,存储介质存储有计算机程序,所述计算机程序被主控制器执行时实现如上述中的任一项所述的方法。
以上所述仅为本发明的优选实施方式而已,并不用于限制本发明,对于本领域的技术人员来说,本发明有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于流量和指标的暴力破解检测系统,其特征在于:包括安装在受监测服务器上的指标采集模块、指标分析模块、流量采集模块和流量分析模块,所述流量采集模块与所述流量分析模块连接,所述指标采集模块与所述指标分析模块连接,与所述流量分析模块和指标分析模块连接有检测服务器,所述检测服务器设有暴力破解行为检测模块,与所述检测服务器连接有数据库服务器,所述数据库服务器设有异常行为库模块,与所述数据库服务器连接有界面服务器,所述界面服务器设有告警界面模块;
所述流量采集模块包括对受监服务器进行流量采集、协议字段提取和数据缓存,所述流量分析模块包括对采集到的流量数据进行网络连接数分析、SSH协议包频率分析和网络包平均大小分析;
所述指标采集模块包括对受监服务器进行指标数据采集、指标数据预处理和指标数据缓存,所述指标分析模块包括对受监服务器进行CPU指标分析、内存指标分析、进程指标分析和定时任务指标分析;
所述暴力破解行为检测模块包括受监测服务器主机健康度向量构建、通过异常行为检测算法进行检测以及进行异常应为时间缓存;
所述异常事件库模块包括对受监控的服务器进行异常事件预处理和生命周期管理,所述告警界面模块包括异常事件数据接口、异常事件查询界面展示和异常事件告警界面展示,基于可视化UI界面,对暴力破解行为进行异常告警,历史事件查询。
2.一种基于流量和指标的暴力破解检测方法,其特征在于,具体按以下步骤执行;
S2.1:流量采集模块采集当前受监控的服务器主机的网络协议流量,并解析出五元组信息,采集出的流量发送到流量分析模块;
S2.2:流量分析模块接收来自流量采集模块的流量数据,并进行流量协议分析,分析包括网络连接数分析、SSH协议包频率分析、网络包平均大小分析,得到最新一个时间周期内的平均网络连接数、发送的SSH协议包数和网络包平均大小;
指标采集模块采集当前主机的主要监控指标,并对指标进行格式化等预处理,将指标发送到指标分析模块;
S2.3:指标分析模块接收来自指标采集模块的指标值,并进行指标分析,分析包括CPU占用率、内存占用率、进程数、定时任务数、暴破程序,分析得到最新一个时间周期内的平均CPU占用率、平均内存占用率、平均进程数、定时任务数指标;
S2.4:暴力破解行为检测模块进行行为检测,接收网络流量分析模块、指标分析模块的分析结果,得到主机健康度特征向量,向量包括最新一个时间周期内的平均网络连接数、发送的SSH协议包数、网络包平均大小、平均CPU占用率、平均内存占用率、平均进程数、定时任务数,将特征向量作为输入,输入到异常检测算法,进行异常检测分类,输出结果为0表示主机正常,当前周期内没有发生暴力破解行为,输出结果为1表示有暴力破解行为;
S2.5:根据输出结果,通过告警界面模块进行异常信息告警和展示。
3.根据权利要求2所述的一种基于流量和指标的暴力破解检测方法,其特征在于,CPU占有率根据设定时间窗口内CPU使用率的平均值和最大值计算CPU健康度值,指定时间段内CPU占用率CpuUsage=(1-(空闲时间/总时间))*100%,通过与历史不同时间窗口CPU占用率的平均值作比较得到CPU健康度值,CPU健康度值计算公式如式(1):
Hcpu=ifCpuUsage>(CpuAverageUsage1Week*1.5)then 1else 0式(1)
其中CpuUsage为当前周期内Cpu占用率,CpuAverageUsage1Week为1周cpu平均占用率,乘以1.5表示当前周期值超过历史周期值的1.5倍则判定为异常。
4.根据权利要求2所述的一种基于流量和指标的暴力破解检测方法,其特征在于,平均内存占用率根据设定时间窗口内内存占用率的平均值和最大值计算健康度值,即内存占用率,如式(2):
MemUsage=(UsedMem/TotalMem)*100% 式(2)
其中UsedMem表示当前周期内内存的实际占用大小,TotalMem表示主机总内存大小。
5.根据权利要求2所述的一种基于流量和指标的暴力破解检测方法,其特征在于,其中SSH协议包频率通过如下式(3)得到SSH协议频率健康度值;
计算当前周期内SSH协议包频率平均值,如式(3):
SshFrames=TotalSshFrames/T 式(3)
其中TotalSshFrames是一个周期内的ssh协议包数量,T是周期长度。
6.根据权利要求2所述的一种基于流量和指标的暴力破解检测方法,其特征在于,其中YN协议包频率通过式(4)得到SYN状态数据包频率健康度值,计算当前周期内SYN状态数据包频率平均值:
SynFrames=TotalSynFrames/T 式(4)
其中TotalSynFrames是一个周期内的syn协议包数量,T是周期长度。
7.根据权利要求2所述的一种基于流量和指标的暴力破解检测方法,其特征在于,其中进程数健康度值通过式(5)计算得出进程数健康度值:
Hproc=if Procs>(ProcsWeek*1.5)then 1 else 0 式(5)
其中Procs为当前周期内平均进程数,ProcsWeek为近1周内平均进程数。
8.根据权利要求2所述的一种基于流量和指标的暴力破解检测方法,其特征在于,定时任务数的健康度值:通过式(5)计算得出定时任务数健康度值:
Hjobs=if Jobs>(JobsWeek*1.5)then 1else 0式(5)
其中Jobs为当前周期内平均定时任务数,JobsWeek为近1周内平均定时任务数,乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常,该策略可降低误报率;
暴破程序数健康度值,如式(6)计算得出常见暴破程序名称数健康度值:
Hnames=if Names>(NamesWeek*1.5)then 1 else 0 式(6)
其中Names为当前周期内平均常见暴破程序名称数,NamesWeek为近1周内平均常见暴破程序名称数。
9.根据权利要求2所述的一种基于流量和指标的暴力破解检测方法,其特征在于,根据计算得到的各项健康度值,计算得到总健康度值,并进行异常判定,计算公式如式(7):
H=∑(Hi*Wi) (i=1,2,...n) 式(7)
其中Hi表示各健康度值,Wi表示各健康度的权重,n表示总健康度值的数量;
权重值矩阵如下
W=[W1,W2,...Wn],Hssh、Hsyn、Hnames因为和暴破破解程序高度相关,设置权重值为2,其他健康度值设置为默认值1,
根据计算得到的总健康度值,判定该主机当前周期是否存在对外的暴破行为,如果总健康度值是1,则存在,如果是0,则不存在。
10.一种计算机可读存储介质,存储介质存储有计算机程序,其特征在于,所述计算机程序被主控制器执行时实现如上述权利要求2-9中的任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311383389.8A CN117336080A (zh) | 2023-10-24 | 2023-10-24 | 一种基于流量和指标的暴力破解检测系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311383389.8A CN117336080A (zh) | 2023-10-24 | 2023-10-24 | 一种基于流量和指标的暴力破解检测系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117336080A true CN117336080A (zh) | 2024-01-02 |
Family
ID=89282846
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311383389.8A Pending CN117336080A (zh) | 2023-10-24 | 2023-10-24 | 一种基于流量和指标的暴力破解检测系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117336080A (zh) |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101686235A (zh) * | 2008-09-26 | 2010-03-31 | 中联绿盟信息技术(北京)有限公司 | 网络异常流量分析设备和方法 |
CN105323111A (zh) * | 2015-11-17 | 2016-02-10 | 南京南瑞集团公司 | 一种运维自动化系统及方法 |
CN105491055A (zh) * | 2015-12-24 | 2016-04-13 | 中国船舶重工集团公司第七〇九研究所 | 一种基于移动代理的网络主机异常事件检测方法 |
EP3223495A1 (en) * | 2016-03-21 | 2017-09-27 | Light Cyber Ltd | Detecting an anomalous activity within a computer network |
CN107733937A (zh) * | 2017-12-01 | 2018-02-23 | 广东奥飞数据科技股份有限公司 | 一种异常网络流量检测方法 |
CN110808994A (zh) * | 2019-11-11 | 2020-02-18 | 杭州安恒信息技术股份有限公司 | 暴力破解操作的检测方法、装置及服务器 |
US20200304524A1 (en) * | 2019-03-21 | 2020-09-24 | Microsoft Technology Licensing, Llc | Cloud view detection of virtual machine brute force attacks |
CN112953792A (zh) * | 2021-02-05 | 2021-06-11 | 中国工商银行股份有限公司 | 网络流量监测方法及装置 |
US20210409433A1 (en) * | 2020-06-30 | 2021-12-30 | Vmware, Inc. | Network attack identification, defense, and prevention |
CN113988183A (zh) * | 2021-10-29 | 2022-01-28 | 深圳市光网世纪科技有限公司 | 一种计算机网络数据流量监测系统及方法 |
CN115391148A (zh) * | 2022-09-21 | 2022-11-25 | 中国农业银行股份有限公司 | 异常检测方法和装置 |
CN115509875A (zh) * | 2022-09-28 | 2022-12-23 | 山东云海国创云计算装备产业创新中心有限公司 | 一种服务器健康度评估方法和装置 |
CN115858303A (zh) * | 2022-12-24 | 2023-03-28 | 北京新数科技有限公司 | 一种基于Zabbix的服务器性能监控方法及系统 |
CN116415142A (zh) * | 2022-01-04 | 2023-07-11 | 中移动信息技术有限公司 | 网络攻击行为检测方法及系统 |
-
2023
- 2023-10-24 CN CN202311383389.8A patent/CN117336080A/zh active Pending
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101686235A (zh) * | 2008-09-26 | 2010-03-31 | 中联绿盟信息技术(北京)有限公司 | 网络异常流量分析设备和方法 |
CN105323111A (zh) * | 2015-11-17 | 2016-02-10 | 南京南瑞集团公司 | 一种运维自动化系统及方法 |
CN105491055A (zh) * | 2015-12-24 | 2016-04-13 | 中国船舶重工集团公司第七〇九研究所 | 一种基于移动代理的网络主机异常事件检测方法 |
EP3223495A1 (en) * | 2016-03-21 | 2017-09-27 | Light Cyber Ltd | Detecting an anomalous activity within a computer network |
CN107733937A (zh) * | 2017-12-01 | 2018-02-23 | 广东奥飞数据科技股份有限公司 | 一种异常网络流量检测方法 |
US20200304524A1 (en) * | 2019-03-21 | 2020-09-24 | Microsoft Technology Licensing, Llc | Cloud view detection of virtual machine brute force attacks |
CN110808994A (zh) * | 2019-11-11 | 2020-02-18 | 杭州安恒信息技术股份有限公司 | 暴力破解操作的检测方法、装置及服务器 |
US20210409433A1 (en) * | 2020-06-30 | 2021-12-30 | Vmware, Inc. | Network attack identification, defense, and prevention |
CN112953792A (zh) * | 2021-02-05 | 2021-06-11 | 中国工商银行股份有限公司 | 网络流量监测方法及装置 |
CN113988183A (zh) * | 2021-10-29 | 2022-01-28 | 深圳市光网世纪科技有限公司 | 一种计算机网络数据流量监测系统及方法 |
CN116415142A (zh) * | 2022-01-04 | 2023-07-11 | 中移动信息技术有限公司 | 网络攻击行为检测方法及系统 |
CN115391148A (zh) * | 2022-09-21 | 2022-11-25 | 中国农业银行股份有限公司 | 异常检测方法和装置 |
CN115509875A (zh) * | 2022-09-28 | 2022-12-23 | 山东云海国创云计算装备产业创新中心有限公司 | 一种服务器健康度评估方法和装置 |
CN115858303A (zh) * | 2022-12-24 | 2023-03-28 | 北京新数科技有限公司 | 一种基于Zabbix的服务器性能监控方法及系统 |
Non-Patent Citations (3)
Title |
---|
李杰君;郭芳;: "基于网络流量分析的入侵检测技术的研究", 电脑知识与技术(学术交流), no. 05, 5 May 2007 (2007-05-05) * |
赵佩;王立斌;李;王洪莹;张超;: "用电信息采集系统的数据库服务器运行指标监测与性能分析", 河北电力技术, no. 05, 9 November 2016 (2016-11-09) * |
魏琴芳;杨子明;胡向东;张峰;郭智慧;付俊;: "基于流量特征的登录账号密码暴力破解攻击检测方法", 西南大学学报(自然科学版), no. 07, 20 July 2017 (2017-07-20) * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8931099B2 (en) | System, method and program for identifying and preventing malicious intrusions | |
US6405318B1 (en) | Intrusion detection system | |
US7159149B2 (en) | Heuristic detection and termination of fast spreading network worm attacks | |
CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
Zhang et al. | User intention-based traffic dependence analysis for anomaly detection | |
CN112688930A (zh) | 暴力破解检测方法、系统、设备及介质 | |
CN104135474A (zh) | 基于主机出入度的网络异常行为检测方法 | |
CN116708210A (zh) | 一种运维处理方法和终端设备 | |
CN117376031B (zh) | 基于数据分析的印控仪网络传输监管预警系统 | |
CN114666088A (zh) | 工业网络数据行为信息的侦测方法、装置、设备和介质 | |
US8763121B2 (en) | Mitigating multiple advanced evasion technique attacks | |
US20210367958A1 (en) | Autonomic incident response system | |
EP2747345B1 (en) | Ips detection processing method, network security device and system | |
CN114553518A (zh) | 一种基于动态巡检的网络安全检测系统 | |
CN107277070A (zh) | 一种计算机网络入侵防御系统及入侵防御方法 | |
CN111885020A (zh) | 一种分布式架构的网络攻击行为实时捕获与监控系统 | |
CN117336080A (zh) | 一种基于流量和指标的暴力破解检测系统及方法 | |
CN113079182B (zh) | 一种网络安全控制系统 | |
JP2004030287A (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
CN108924129A (zh) | 一种基于计算机网络入侵防御系统及入侵防御方法 | |
CN110798425B (zh) | 一种黑客攻击行为的检测方法、系统及相关装置 | |
EP1751651B1 (en) | Method and systems for computer security | |
Rizvi et al. | A review on intrusion detection system | |
CN116032660B (zh) | Ad域威胁识别方法、装置、电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |