CN117336080A

CN117336080A - 一种基于流量和指标的暴力破解检测系统及方法

Info

Publication number: CN117336080A
Application number: CN202311383389.8A
Authority: CN
Inventors: 周波; 王勇; 盖伟麟; 刘德朋; 李政; 高曌; 王振宇; 田正鑫
Original assignee: National Computer Network and Information Security Management Center
Current assignee: National Computer Network and Information Security Management Center
Priority date: 2023-10-24
Filing date: 2023-10-24
Publication date: 2024-01-02

Abstract

本发明涉及病毒检测技术领域，公开了一种基于流量和指标的暴力破解检测系统及方法，包括安装在受监测服务器上的指标采集模块、指标分析模块、流量采集模块和流量分析模块，流量采集模块与所述流量分析模块连接，指标采集模块与所述指标分析模块连接，与流量分析模块和指标分析模块连接有检测服务器，检测服务器设有暴力破解行为检测模块，与所述检测服务器连接有数据库服务器，数据库服务器设有异常行为库模块，与所述数据库服务器连接有界面服务器，所述界面服务器设有告警界面模块。本发明解决当前基于文件扫描和样本分析的检测方法中的检测耗时久，占用资源高的问题，同时可缩短从行为发生到行为被检测的时间，提升检测的时效性。

Description

一种基于流量和指标的暴力破解检测系统及方法

技术领域

本发明涉及病毒检测技术领域，具体为一种基于流量和指标的暴力破解检测系统及方法。

背景技术

网络流量分析技术是指通过对网络数据流进行收集、监视、分析和解释，以揭示网络活动和通信模式的技术方法。它可以用于检测和分析网络中的数据流量，包括传入和传出的数据包，从而帮助发现和防范网络安全威胁。

在病毒检测方面，网络流量分析技术可以应用于以下方面：

1.恶意软件检测：通过对网络流量进行分析，可以检测到传输中的恶意软件，例如病毒、木马、蠕虫等。恶意软件通常会在网络流量中传输命令和恶意代码，通过分析流量数据，可以识别出这些恶意行为，并及时采取相应的防护措施。

2.威胁情报分析：网络流量分析可以帮助分析网络中的威胁情报，包括已知的恶意IP地址、恶意域名、C&C服务器等。通过收集和分析网络流量数据，可以建立恶意行为的特征库，从而能够更准确地识别和阻止潜在的病毒攻击。

3.异常行为检测：网络流量分析可以监测和分析网络中的异常行为，例如大量的传输请求、频繁的连接尝试、异常的数据包大小等。这些异常行为可能是病毒或恶意软件的活动迹象，通过网络流量分析，可以及时发现并采取相应的防御措施。

4.数据包分析：网络流量分析技术还可以对网络中的数据包进行深入分析，包括包头信息、协议类型、数据内容等。通过分析数据包，可以检测到携带恶意代码的数据包，或者发现病毒传播的特征，进而进行相应的病毒防护和隔离措施。

暴力破解检测技术是一种用于检测和防止暴力破解攻击的技术方法。暴力破解攻击是指攻击者通过尝试大量的可能性来猜解用户的密码或密钥，以获取未经授权的访问权限。暴力破解攻击通常利用计算机程序自动化尝试多个密码组合，直到找到正确的密码或密钥。

暴力破解检测技术可以应用于以下方面：

1.密码策略和强度检测：通过对密码策略和密码强度进行检测和分析，可以发现可能存在的弱密码。弱密码是暴力破解攻击的主要目标，因为它们更容易被猜解。通过检测密码策略和密码强度，可以强制用户使用更强的密码，并减少暴力破解攻击的成功率。

2.登录尝试监测和限制：通过对系统登录尝试进行监测和分析，可以检测到大量的失败登录尝试。暴力破解攻击通常涉及多次失败的登录尝试，通过检测登录尝试的频率、来源和模式，可以及时发现暴力破解攻击的行为，并采取相应的防御措施，例如锁定账户或增加验证码等。

3.异常行为分析：通过对用户和系统的行为进行分析，可以检测到异常的行为模式。暴力破解攻击通常涉及大量的登录尝试，这些尝试往往具有特定的模式和频率。通过对行为模式的异常检测，可以及时发现暴力破解攻击的行为，并采取相应的防御措施。

4.账户监控和报警：通过对账户活动进行监控和分析，可以及时发现异常的账户活动。暴力破解攻击通常会导致账户活动的异常，例如登录地点的变化、登录时间的异常、登录设备的异常等。通过对账户活动的监控和报警，可以及时发现暴力破解攻击，并采取相应的应对措施。

暴力破解检测技术在保护系统和用户账户安全方面起着重要的作用，通过对密码、登录尝试、行为模式和账户活动等进行监测和分析，可以及时发现和防止暴力破解攻击，提高系统的安全性。网络流量分析技术在病毒检测中起着重要的作用，通过对网络流量进行监测和分析，可以发现和阻止潜在的病毒攻击，保护网络的安全性和稳定性。

但是当前基于文件扫描和样本分析的检测方法存在检测耗时久，占用资源高的问题，时效性低，针对上述问题，所以需要一种基于流量和指标的暴力破解检测系统及方法。

发明内容

本发明的目的在于提供一种基于流量和指标的暴力破解检测系统及方法。本发明用于解决当前基于文件扫描和样本分析的检测方法中的检测耗时久，占用资源高的问题，同时可缩短从行为发生到行为被检测的时间，提升检测的时效性。

本发明是这样实现的：

本发明提供一种基于流量和指标的暴力破解检测系统，包括安装在受监测服务器伤的指标采集模块、指标分析模块、流量采集模块和流量分析模块，所述流量采集模块与所述流量分析模块连接，所述指标采集模块与所述指标分析模块连接，与所述流量分析模块和指标分析模块连接有检测服务器，所述检测服务器设有暴力破解行为检测模块，与所述检测服务器连接有数据库服务器，所述数据库服务器设有异常行为库模块，与所述数据库服务器连接有界面服务器，所述界面服务器设有告警界面模块；

所述流量采集模块包括对受监服务器进行流量采集、协议字段提取和数据缓存，所述流量分析模块包括对采集到的流量数据进行网络连接数分析、SSH协议包频率分析和网络包平均大小分析；

所述指标采集模块包括对受监服务器进行指标数据采集、指标数据预处理和指标数据缓存，所述指标分析模块包括对受监服务器进行CPU指标分析、内存指标分析、进程指标分析和定时任务指标分析；

所述暴力破解行为检测模块包括受监测服务器主机健康度向量构建、通过异常行为检测算法进行检测以及进行异常应为时间缓存；

所述异常事件库模块包括对受监控的服务器进行异常事件预处理和生命周期管理，所述告警界面模块包括异常事件数据接口、异常事件查询界面展示和异常事件告警界面展示，基于可视化UI界面，对暴力破解行为进行异常告警，历史事件查询。

进一步，本发明提供一种基于流量和指标的暴力破解检测方法，其特征在于，具体按以下步骤执行；

S_2.1:流量采集模块采集当前受监控的服务器主机的网络协议流量，并解析出五元组信息，采集出的流量发送到流量分析模块；

S_2.2:流量分析模块接收来自流量采集模块的流量数据，并进行流量协议分析，分析包括网络连接数分析、SSH协议包频率分析、网络包平均大小分析，得到最新一个时间周期内的平均网络连接数、发送的SSH协议包数和网络包平均大小；

指标采集模块采集当前主机的主要监控指标，并对指标进行格式化等预处理，将指标发送到指标分析模块；

S_2.3:指标分析模块接收来自指标采集模块的指标值，并进行指标分析，分析包括CPU占用率、内存占用率、进程数、定时任务数、暴破程序，分析得到最新一个时间周期内的平均CPU占用率、平均内存占用率、平均进程数、定时任务数指标；

S_2.4:暴力破解行为检测模块进行行为检测，接收网络流量分析模块、指标分析模块的分析结果，得到主机健康度特征向量，向量包括最新一个时间周期内的平均网络连接数、发送的SSH协议包数、网络包平均大小、平均CPU占用率、平均内存占用率、平均进程数、定时任务数，将特征向量作为输入，输入到异常检测算法，进行异常检测分类，输出结果为0表示主机正常，当前周期内没有发生暴力破解行为，输出结果为1表示有暴力破解行为；

S_2.5:根据输出结果，通过告警界面模块进行异常信息告警和展示。

进一步，CPU占有率根据设定时间窗口内CPU使用率的平均值和最大值计算CPU健康度值，指定时间段内CPU占用率CpuUsage＝(1-(空闲时间/总时间))*100％，通过与历史不同时间窗口CPU占用率的平均值作比较得到CPU健康度值，CPU健康度值计算公式如式(1)：

Hcpu＝ifCpuUsage>(CpuAverageUsage1Week*1.5)then 1else 0式(1)

其中CpuUsage为当前周期内Cpu占用率，CpuAverageUsage1Week为1周cpu平均占用率，乘以1.5表示如果当前周期值超过历史周期值的1.5倍则判定为异常，该策略可以避免频繁的告警，导致真正的异常时刻来临时人为忽略掉。

进一步，平均内存占用率根据设定时间窗口内内存占用率的平均值和最大值计算健康度值，即内存占用率，如式(2):

MemUsage＝(UsedMem/TotalMem)*100％式(2)

其中UsedMem表示当前周期内内存的实际占用大小，TotalMem表示主机总内存大小。

主机近7天平均C内存占用率如式(2.1)计算：MemusageWeek＝∑(MemUsage(i))(i＝1,2,...,n)式(2.1)

其中MemUsage(i)表示过去7天某一个周期的内存占用率，n表示7天中覆盖的周期数；

通过式(2.3)计算得出内存占用率健康度值：

Hmem＝if MemUsage>(MemUsageWeek*1.5)then 1else 0式(2.3)

其中MemUsage为当前周期内内存占用率，MemUsageWeek为近1周内存平均占用率，乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常，该策略可降低误报率。

进一步，其中SSH协议包频率通过如下式(3)得到SSH协议频率健康度值；

计算当前周期内SSH协议包频率平均值，如式(3)：

SshFrames＝TotalSshFrames/T 式(3)

其中TotalSshFrames是一个周期内的ssh协议包数量，T是周期长度。

计算近1周的SSH协议包频率平均值，如式(3.1)：

SshFramesWeek＝∑(SshFrame(Ti))(i＝1,2,...,n)式(3.1)

其中MemUsage(Ti)表示近1周内一个周期的SSH协议包频率，n表示7天中覆盖的周期数。

通过式(3.2)计算得出SSH协议包频率健康度值：

Hssh＝if SshFrames>(SshFramesWeek*1.5)then1else 0式(3.2)

其中MSshFrames为当前周期内SSh协议包频率，SshFramesWeek为近1周内存平均频率，乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常，该策略可降低误报率。

进一步，其中YN协议包频率通过式(4)得到SYN状态数据包频率健康度值，计算当前周期内SYN状态数据包频率平均值：

SynFrames＝TotalSynFrames/T 式(4)

其中TotalSynFrames是一个周期内的syn协议包数量，T是周期长度。

计算近1周的syn协议包频率平均值，如式(4.1)；

SynFramesWeek＝∑(SynFrame(Ti))(i＝1,2,...,n)式(4.1)

其中SynUsage(Ti)表示近1周内一个周期的syn协议包频率，n表示7天中覆盖的周期数。

通过式(4.2)计算得出syn协议包频率健康度值：Hsyn＝if SynFrames>(SynFramesWeek*1.5)then 1else 0式(4.2)

其中SynFrames为当前周期内syn协议包频率，SynFramesWeek为近1周内平均频率，乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常，该策略可降低误报率。

进一步，其中进程数健康度值通过式(5)计算得出进程数健康度值：

Hproc＝if Procs>(ProcsWeek*1.5)then 1 else 0 式(5)

其中Procs为当前周期内平均进程数，ProcsWeek为近1周内平均进程数。乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常，该策略可降低误报率。

进一步，定时任务数的健康度值：通过式(5)计算得出定时任务数健康度值：

Hjobs＝if Jobs>(JobsWeek*1.5)then 1else 0式(5)

其中Jobs为当前周期内平均定时任务数，JobsWeek为近1周内平均定时任务数，乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常，该策略可降低误报率。

暴破程序数健康度值，如式(6)计算得出常见暴破程序名称数健康度值：

Hnames＝if Names>(NamesWeek*1.5)then 1 else 0 式(6)

其中Names为当前周期内平均常见暴破程序名称数，NamesWeek为近1周内平均常见暴破程序名称数。乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常，该策略可降低误报率。

根据计算得到的各项健康度值，计算得到总健康度值，并进行异常判定，计算公式如式(7)：

H＝∑(Hi*Wi) (i＝1,2,...n) 式(7)

其中Hi表示各健康度值，Wi表示各健康度的权重，n表示总健康度值的数量。

权重值矩阵如下

W＝[W1,W2,...Wn]，Hssh、Hsyn、Hnames因为和暴破破解程序高度相关，设置权重值为2，其他健康度值设置为默认值1，

根据计算得到的总健康度值，判定该主机当前周期是否存在对外的暴破行为，如果总健康度值是1，则存在，如果是0，则不存在。

进一步，本发明提供一种计算机可读存储介质，存储介质存储有计算机程序，所述计算机程序被主控制器执行时实现如上述中的任一项所述的方法。

与现有技术相比，本发明的有益效果是：

1、本发明解决当前基于文件扫描和样本分析的检测方法中的检测耗时久，占用资源高的问题，同时可缩短从行为发生到行为被检测的时间，提升检测的时效性。

附图说明

为了更清楚地说明本发明实施方式的技术方案，下面将对实施方式中所需要使用的附图作简单地介绍，理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还根据这些附图获得其他相关的附图。

图1是本发明的系统结构图；

图2是本发明的方法执行流程图。

具体实施方式

为使本发明实施方式的目的、技术方案和优点更加清楚，下面将结合本发明实施方式中的附图，对本发明实施方式中的技术方案进行清楚、完整地描述，显然，所描述的实施方式是本发明一部分实施方式，而不是全部的实施方式。基于本发明中的实施方式，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式，都属于本发明保护的范围。因此，以下对在附图中提供的本发明的实施方式的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施方式。基于本发明中的实施方式，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式，都属于本发明保护的范围。

请参阅图1-2，一种基于流量和指标的暴力破解检测系统，包括安装在受监测服务器伤的指标采集模块、指标分析模块、流量采集模块和流量分析模块，所述流量采集模块与所述流量分析模块连接，所述指标采集模块与所述指标分析模块连接，与所述流量分析模块和指标分析模块连接有检测服务器，所述检测服务器设有暴力破解行为检测模块，与所述检测服务器连接有数据库服务器，所述数据库服务器设有异常行为库模块，与所述数据库服务器连接有界面服务器，所述界面服务器设有告警界面模块；

本实施例中，本发明提供一种基于流量和指标的暴力破解检测方法，其特征在于，具体按以下步骤执行；

本实施例中，CPU占有率根据设定时间窗口内CPU使用率的平均值和最大值计算CPU健康度值，指定时间段内CPU占用率CpuUsage＝(1-(空闲时间/总时间))*100％，通过与历史不同时间窗口CPU占用率的平均值作比较得到CPU健康度值，CPU健康度值计算公式如式(1)：

Hcpu＝ifCpuUsage>(CpuAverageUsage1Week*1.5)then 1else 0式(1)

本实施例中，平均内存占用率根据设定时间窗口内内存占用率的平均值和最大值计算健康度值，即内存占用率，如式(2):

MemUsage＝(UsedMem/TotalMem)*100％式(2)

通过式(2.3)计算得出内存占用率健康度值：

Hmem＝if MemUsage>(MemUsageWeek*1.5)then 1else 0式(2.3)

本实施例中，其中SSH协议包频率通过如下式(3)得到SSH协议频率健康度值；

计算当前周期内SSH协议包频率平均值，如式(3)：

SshFrames＝TotalSshFrames/T 式(3)

计算近1周的SSH协议包频率平均值，如式(3.1)：

SshFramesWeek＝∑(SshFrame(Ti))(i＝1,2,...,n)式(3.1)

通过式(3.2)计算得出SSH协议包频率健康度值：

Hssh＝if SshFrames>(SshFramesWeek*1.5)then1else 0式(3.2)

本实施例中，其中YN协议包频率通过式(4)得到SYN状态数据包频率健康度值，计算当前周期内SYN状态数据包频率平均值：

SynFrames＝TotalSynFrames/T 式(4)

计算近1周的syn协议包频率平均值，如式(4.1)；

SynFramesWeek＝∑(SynFrame(Ti))(i＝1,2,...,n)式(4.1)

本实施例中，其中进程数健康度值通过式(5)计算得出进程数健康度值：

Hproc＝if Procs>(ProcsWeek*1.5)then 1 else 0 式(5)

本实施例中，定时任务数的健康度值：通过式(5)计算得出定时任务数健康度值：

Hjobs＝if Jobs>(JobsWeek*1.5)then 1else 0式(5)

Hnames＝if Names>(NamesWeek*1.5)then 1 else 0 式(6)

H＝∑(Hi*Wi) (i＝1,2,...n) 式(7)

权重值矩阵如下

本实施例中，本发明提供一种计算机可读存储介质，存储介质存储有计算机程序，所述计算机程序被主控制器执行时实现如上述中的任一项所述的方法。

以上所述仅为本发明的优选实施方式而已，并不用于限制本发明，对于本领域的技术人员来说，本发明有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于流量和指标的暴力破解检测系统，其特征在于：包括安装在受监测服务器上的指标采集模块、指标分析模块、流量采集模块和流量分析模块，所述流量采集模块与所述流量分析模块连接，所述指标采集模块与所述指标分析模块连接，与所述流量分析模块和指标分析模块连接有检测服务器，所述检测服务器设有暴力破解行为检测模块，与所述检测服务器连接有数据库服务器，所述数据库服务器设有异常行为库模块，与所述数据库服务器连接有界面服务器，所述界面服务器设有告警界面模块；

2.一种基于流量和指标的暴力破解检测方法，其特征在于，具体按以下步骤执行；

3.根据权利要求2所述的一种基于流量和指标的暴力破解检测方法，其特征在于，CPU占有率根据设定时间窗口内CPU使用率的平均值和最大值计算CPU健康度值，指定时间段内CPU占用率CpuUsage＝(1-(空闲时间/总时间))*100％，通过与历史不同时间窗口CPU占用率的平均值作比较得到CPU健康度值，CPU健康度值计算公式如式(1)：

Hcpu＝ifCpuUsage>(CpuAverageUsage1Week*1.5)then 1else 0式(1)

其中CpuUsage为当前周期内Cpu占用率，CpuAverageUsage1Week为1周cpu平均占用率，乘以1.5表示当前周期值超过历史周期值的1.5倍则判定为异常。

4.根据权利要求2所述的一种基于流量和指标的暴力破解检测方法，其特征在于，平均内存占用率根据设定时间窗口内内存占用率的平均值和最大值计算健康度值，即内存占用率，如式(2):

MemUsage＝(UsedMem/TotalMem)*100％式(2)

5.根据权利要求2所述的一种基于流量和指标的暴力破解检测方法，其特征在于，其中SSH协议包频率通过如下式(3)得到SSH协议频率健康度值；

计算当前周期内SSH协议包频率平均值，如式(3)：

SshFrames＝TotalSshFrames/T 式(3)

6.根据权利要求2所述的一种基于流量和指标的暴力破解检测方法，其特征在于，其中YN协议包频率通过式(4)得到SYN状态数据包频率健康度值，计算当前周期内SYN状态数据包频率平均值：

SynFrames＝TotalSynFrames/T 式(4)

7.根据权利要求2所述的一种基于流量和指标的暴力破解检测方法，其特征在于，其中进程数健康度值通过式(5)计算得出进程数健康度值：

Hproc＝if Procs>(ProcsWeek*1.5)then 1 else 0 式(5)

其中Procs为当前周期内平均进程数，ProcsWeek为近1周内平均进程数。

8.根据权利要求2所述的一种基于流量和指标的暴力破解检测方法，其特征在于，定时任务数的健康度值：通过式(5)计算得出定时任务数健康度值：

Hjobs＝if Jobs>(JobsWeek*1.5)then 1else 0式(5)

其中Jobs为当前周期内平均定时任务数，JobsWeek为近1周内平均定时任务数，乘以1.5表示如果当前周期值超过历史周期值的1.5倍才会判定为异常，该策略可降低误报率；

Hnames＝if Names>(NamesWeek*1.5)then 1 else 0 式(6)

其中Names为当前周期内平均常见暴破程序名称数，NamesWeek为近1周内平均常见暴破程序名称数。

9.根据权利要求2所述的一种基于流量和指标的暴力破解检测方法，其特征在于，根据计算得到的各项健康度值，计算得到总健康度值，并进行异常判定，计算公式如式(7)：

H＝∑(Hi*Wi) (i＝1,2,...n) 式(7)

其中Hi表示各健康度值，Wi表示各健康度的权重，n表示总健康度值的数量；

权重值矩阵如下

10.一种计算机可读存储介质，存储介质存储有计算机程序，其特征在于，所述计算机程序被主控制器执行时实现如上述权利要求2-9中的任一项所述的方法。