一种暴力破解行为的检测方法及装置转让专利
申请号 : CN201910609880.5
文献号 : CN110417747B
文献日 : 2021-11-05
发明人 : 赵志伟
申请人 : 新华三信息安全技术有限公司
摘要 :
权利要求 :
1.一种暴力破解行为的检测方法,其特征在于,所述方法包括:获取预设时段内统计的报文信息,所述报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,所述第一统计值用于统计所述五元组信息所属的正向报文的数据,所述第二统计值用于统计所述五元组信息所属的反向报文的数据;所述正向报文为终端发往服务器的报文,所述反向报文为服务器发往终端的报文;
从所述报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与所述目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线,其中,所述第一样本报文信息包含依据目的端口为所述第一端口的第一登录报文和响应所述第一登录报文的第一响应报文统计的报文信息,所述第一响应报文携带的登录行为结果为登录成功,所述第二样本报文信息包含依据目的端口为所述第一端口的第二登录报文和响应所述第二登录报文的第二响应报文统计的报文信息,所述第二响应报文携带的登录行为结果为登录失败;
计算所述目标第二统计值与所述第一基线的第一差距值、所述目标第二统计值与所述第二基线的第二差距值;
若所述第一差距值和所述第二差距值在预设范围内,且所述第一差距值不小于所述第二差距值,则确定所述目标五元组信息所属的报文对应的登录行为结果为登录失败;
统计所述预设时段内登录行为结果为登录失败的所述目标五元组信息的数目,并判断所述数目是否超过预设阈值;
若超过,则确定存在针对所述目标服务器的疑似暴力破解行为。
2.根据权利要求1所述的方法,其特征在于,在所述获取第一基线和第二基线之前,所述方法还包括:
获取包含多个第一登录报文的第一样本报文信息及包含多个第二登录报文的第二样本报文信息;
从所述第一样本报文信息中,提取各第二统计值,并根据各第二统计值,计算第一基线;
从所述第二样本报文信息中,提取各第二统计值,并根据各第二统计值,计算第二基线。
3.根据权利要求1所述的方法,其特征在于,所述目标第二统计值包括报文值和流量值;所述第一基线包括第一报文值基线和第一流量值基线;所述第二基线包括第二报文值基线和第二流量值基线;
所述计算所述目标第二统计值与所述第一基线的第一差距值、所述目标第二统计值与所述第二基线的第二差距值,包括:计算所述报文值与所述第一报文值基线的第一差值、所述流量值与所述第一流量值基线的第二差值,并将所述第一差值与所述第二差值的平方和的开方结果作为第一差距值;
计算所述报文值与所述第二报文值基线的第三差值、所述流量值与所述第二流量值基线的第四差值,并将所述第三差值与所述第四差值的平方和为的开方结果作为第二差距值。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:若所述第一差距值和所述第二差距值在所述预设范围内,且所述第一差距值小于所述第二差距值,则确定所述目标五元组信息所属的报文对应的登录行为结果为登录成功。
5.根据权利要求1所述的方法,其特征在于,在所述确定存在针对所述目标服务器的疑似暴力破解行为之后,所述方法还包括:获取当前时刻之前的预设天数统计的目的端口为所述第一端口的历史报文信息;
根据所述历史报文信息中的各历史第二统计值、所述第一基线和所述第二基线,计算所述各历史第二统计值与所述第一基线的第三差距值、所述各历史第二统计值与所述第二基线的第四差距值;
若针对所有历史第二统计值,所述第三差距值和所述第四差距值都在所述预设范围内,且所述第三差距值都不小于所述第四差距值,则判定所述疑似暴力破解行为的威胁度为中度。
6.根据权利要求5所述的方法,其特征在于,在所述判定所述疑似暴力破解行为的威胁度为中度之后,所述方法还包括:实时获取报文,所述报文的目的端口为所述第一端口;
根据实时获取的报文的报文信息中的实时第二统计值、所述第一基线和所述第二基线,计算所述实时第二统计值与所述第一基线的第五差距值、所述实时第二统计值与所述第二基线的第六差距值;
若所述第五差距值和所述第六差距值在所述预设范围内,且所述第五差距值小于所述第六差距值,则判定所述疑似暴力破解行为的威胁度为重度。
7.根据权利要求1所述的方法,其特征在于,在所述确定存在针对所述目标服务器的疑似暴力破解行为之后,所述方法还包括:统计目的端口为所述第一端口的目标五元组信息中源IP地址的数量,并判断所述源IP地址的数量是否超过预设数量阈值;
若是,则判定所述疑似暴力破解行为是分布式暴力破解行为。
8.一种暴力破解行为的检测装置,其特征在于,所述装置包括:获取模块,用于获取预设时段内统计的报文信息,所述报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,所述第一统计值用于统计所述五元组信息所属的正向报文的数据,所述第二统计值用于统计所述五元组信息所属的反向报文的数据;所述正向报文为终端发往服务器的报文,所述反向报文为服务器发往终端的报文;
所述获取模块,还用于从所述报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与所述目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线,其中,所述第一样本报文信息包含依据目的端口为所述第一端口的第一登录报文和响应所述第一登录报文的第一响应报文统计的报文信息,所述第一响应报文携带的登录行为结果为登录成功,所述第二样本报文信息包含依据目的端口为所述第一端口的第二登录报文和响应所述第二登录报文的第二响应报文统计的报文信息,所述第二响应报文携带的登录行为结果为登录失败;
计算模块,用于计算所述目标第二统计值与所述第一基线的第一差距值、所述目标第二统计值与所述第二基线的第二差距值;
确定模块,用于若所述第一差距值和所述第二差距值在预设范围内,且所述第一差距值不小于所述第二差距值,则确定所述目标五元组信息所属的报文对应的登录行为结果为登录失败;
统计模块,用于统计所述预设时段内登录行为结果为登录失败的所述目标五元组信息的数目,并判断所述数目是否超过预设阈值;
所述确定模块,还用于若所述统计模块的判断结果为所述数目超过所述预设阈值,则确定存在针对所述目标服务器的疑似暴力破解行为。
9.根据权利要求8所述的装置,其特征在于,所述获取模块,还用于获取包含多个第一登录报文的第一样本报文信息及包含多个第二登录报文的第二样本报文信息;
所述计算模块,还用于从所述第一样本报文信息中,提取各第二统计值,并根据各第二统计值,计算第一基线;从所述第二样本报文信息中,提取各第二统计值,并根据各第二统计值,计算第二基线。
10.根据权利要求8所述的装置,其特征在于,所述第二统计值包括报文值和流量值;所述第一基线包括第一报文值基线和第一流量值基线;所述第二基线包括第二报文值基线和第二流量值基线;
所述计算模块,具体用于:
计算所述报文值与所述第一报文值基线的第一差值、所述流量值与所述第一流量值基线的第二差值,并将所述第一差值与所述第二差值的平方和的开方结果作为第一差距值;
计算所述报文值与所述第二报文值基线的第三差值、所述流量值与所述第二流量值基线的第四差值,并将所述第三差值与所述第四差值的平方和为的开方结果作为第二差距值。
11.根据权利要求8所述的装置,其特征在于,所述确定模块,还用于:若所述计算模块的判断结果为所述第一差距值和所述第二差距值在所述预设范围内,且所述第一差距值小于所述第二差距值,则确定所述目标五元组信息所属的报文对应的登录行为结果为登录成功。
12.根据权利要求8所述的装置,其特征在于,所述获取模块,还用于获取当前时刻之前的预设天数统计的目的端口为所述第一端口的历史报文信息;
所述计算模块,还用于根据所述历史报文信息中的各历史第二统计值、所述第一基线和所述第二基线,计算所述各历史第二统计值与所述第一基线的第三差距值、所述各历史第二统计值与所述第二基线的第四差距值;
所述确定模块,还用于若针对所有历史第二统计值,所述第三差距值和所述第四差距值都在所述预设范围内,且所述第三差距值都不小于所述第四差距值,则判定所述疑似暴力破解行为的威胁度为中度。
13.根据权利要求12所述的装置,其特征在于,所述获取模块,还用于实时获取报文,所述报文的目的端口为所述第一端口;
所述计算模块,还用于根据实时获取的报文的报文信息中的实时第二统计值、所述第一基线和所述第二基线,计算所述实时第二统计值与所述第一基线的第五差距值、所述实时第二统计值与所述第二基线的第六差距值;
所述确定模块,还用于若所述第五差距值和所述第六差距值在所述预设范围内,且所述第五差距值小于所述第六差距值,则判定所述疑似暴力破解行为的威胁度为重度。
14.根据权利要求8所述的装置,其特征在于,所述统计模块,还用于统计目的端口为所述第一端口的目标五元组信息中源IP地址的数量,并判断所述源IP地址的数量是否超过预设数量阈值;
所述确定模块,还用于若所述统计模块的判断结果为所述源IP地址的数量超过所述预设数量阈值,则判定所述疑似暴力破解行为是分布式暴力破解行为。
15.一种网络安全设备,其特征在于,包括处理器和机器可读存储介质,其中,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述机器可执行指令由所述处理器加载并执行,以实现权利要求1‑7任一项所述的方法。
16.一种机器可读存储介质,其特征在于,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令在被处理器加载并执行时,实现权利要求1‑7任一项所述的方法。
说明书 :
一种暴力破解行为的检测方法及装置
技术领域
背景技术
验证,验证通过后,允许用户访问网络业务。暴力破解行为是指攻击者通过尝试所有可能的
账号、密码来模拟用户的登录行为,攻击者在破解用户的账号和密码之后,可以使用该账号
和密码执行非法操作,给用户带来损失。
行统计分析,判断服务器接收报文的平均流量是否超过一定阈值,若超过,则认为针对该服
务器,发生了暴力破解行为,有攻击者正在进行账号暴力破解。
很可能会将正常的报文交互识别为暴力破解行为,导致暴力破解行为的检测精度较差。
发明内容
二统计值用于统计五元组信息所属的反向报文的数据;
定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线,其中,第一样本
报文信息包含依据目的端口为第一端口的第一登录报文和响应第一登录报文的第一响应
报文统计的报文信息,第一响应报文携带的登录行为结果为登录成功,第二样本报文信息
包含依据目的端口为第一端口的第二登录报文和响应第二登录报文的第二响应报文统计
的报文信息,第二响应报文携带的登录行为结果为登录失败;
报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据;
的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线,
其中,第一样本报文信息包含依据目的端口为第一端口的第一登录报文和响应第一登录报
文的第一响应报文统计的报文信息,第一响应报文携带的登录行为结果为登录成功,第二
样本报文信息包含依据目的端口为第一端口的第二登录报文和响应第二登录报文的第二
响应报文统计的报文信息,第二响应报文携带的登录行为结果为登录失败;
机器可执行指令由所述处理器加载并执行,以实现本发明实施例第一方面所提供的暴力破
解行为的检测方法。
施例第一方面所提供的暴力破解行为的检测方法。
计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的
反向报文的数据,从报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息
以及与目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统
计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线,第一样本
报文信息包含依据目的端口为第一端口的第一登录报文和响应第一登录报文的第一响应
报文统计的报文信息,第一响应报文携带的登录行为结果为登录成功,第二样本报文信息
包含依据目的端口为第一端口的第二登录报文和响应第二登录报文的第二响应报文统计
的报文信息,第二响应报文携带的登录行为结果为登录失败。计算目标第二统计值与第一
基线的第一差距值、目标第二统计值与第二基线的第二差距值,如果第二差距值更小,则说
明目标第二统计值是登录失败时产生的统计值的可能性更大。如果在预设时段内登录行为
结果为登录失败的目标五元组信息的数目超过了一定的阈值,则说明在预设时段内的多次
登录行为中登录失败的次数占比较大,则可以确定这样的登录行为是疑似暴力破解行为,
提高了暴力破解行为的检测精度。
附图说明
发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他的附图。
具体实施方式
本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本发明保护的范围。
力破解行为的检测方法进行介绍。
据,第二统计值用于统计五元组信息所属的反向报文的数据。
文统计值,例如第一统计值和第二统计值等,其中,第一统计值是指对应五元组信息所属的
正向报文的数据统计值,第二统计值是与第一统计值对应的、对应五元组信息所属的反向
报文的数据统计值。
的端口、目的IP地址为服务器的IP地址、目的端口为服务器的端口,报文2的源IP地址为服
务器的IP地址、源端口为服务器的端口、目的IP地址为设备A的IP地址、目的端口为设备A的
端口,则第一统计值表示从设备A的端口发至服务器的端口的正向报文(即上述报文1)的数
据统计值,第二统计值表示从服务器的端口返回至设备A的端口的反向报文(即上述报文2)
的数据统计值。第一统计值和第二统计值具体是对正向报文和反向报文的数据进行统计得
到的统计值,具体可以为报文值(即报文数量)、流量值等。
的IP地址、目的端口为服务器的第一端口的报文为正向报文,源IP地址为该正向报文的目
的IP地址、源端口为该正向报文的目的端口、目的IP地址为该正向报文的源IP地址、目的端
口为该正向报文的源端口的报文为反向报文。
从流量探针获取到报文信息。
析出来的报文信息可以以表1所示的格式进行记录。终端在登录服务器提供的登录服务时,
每一次的登录行为会对应生成一条记录,则在表1所示的报文信息中,针对登录行为,每一
行的记录为一次登录行为所产生的报文信息。
值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线。
功,第二样本报文信息包含依据目的端口为第一端口的第二登录报文和响应第二登录报文
的第二响应报文统计的报文信息,第二响应报文携带的登录行为结果为登录失败。第一样
本报文信息及第二样本报文信息的获取过程将在后续实施例中进行说明。
功时所产生的服务器的响应数据的统计值与登录失败时所产生的服务器的响应数据的统
计值之间具备一定的差异。
输控制协议),序号1、2是登录成功时的报文信息,序号3、4是登录失败时的报文信息,序号1
中的反向报文值与序号2中的反向报文值相同、序号1中的反向流量值与序号2中的反向流
量值相近,序号3中的反向报文值与序号4中的反向报文值相同、序号3中的反向流量值与序
号4中的反向流量值相近。
录成功或者登录失败的判断,进一步判定是否有疑似暴力破解行为。
常情况下,如果终端需要登录不同的登录服务,则会通过对应的端口发送登录请求报文。终
端在向服务器发送登录请求报文(一般包括账号和密码)后,服务器会返回响应报文,登录
成功时所产生的服务器的响应报文的统计值相近或相同,登录失败时所产生的服务器的响
应报文的统计值相近或相同。
时,输入的登录信息都是正确的,因此能够保证每次登录都是成功的。此外,针对每一服务
端口提供的登录服务,还可以预先进行多次的登录失败操作,基于这种操作下统计的第二
样本报文信息中的第二统计值学习出第二基线,在学习第二基线时,输入的登录信息都是
错误的,因此能够保证每次登录都是失败的。学习过程为一次学习,学习完成后,可以通过
数据库对学习结果进行存储。
为登录成功,第二样本报文信息包含依据目的端口为第一端口的第二登录报文和响应第二
登录报文的第二响应报文统计的报文信息,第二响应报文携带的登录行为结果为登录失
败。
码1,在数据库中匹配用户名1和密码1。
一响应报文。则第一样本报文信息中的某条记录中包含第一登录报文和第一响应报文的报
文信息。
录报文2,登录报文2的目的IP为服务器的IP地址、目的端口为服务器的端口。服务器解析登
录报文2并获取登录报文2中的用户名2和密码2,在数据库中匹配用户名2和密码2。
录报文2的响应报文则为第二响应报文。则第二样本报文信息中的某条记录中包含第一登
录报文和第二响应报文的报文信息。
客户端可以多次发送携带非法用户名和密码的第二登录报文给服务器,服务器对应返回第
二响应报文,从而获取第二样本报文信息。
文信息,每条记录对应一次登录成功的五元组信息以及第一统计值和第二统计值的对应关
系,可以从第一样本报文信息中提取各第二统计值。然后以各第二统计值为输入因子,计算
各第二统计值的平均值、数学期望值等,其中,平均值、数学期望值的计算是传统的数学运
算,这里不再详述。然后将上述计算结果中的其中一个作为第一基线。在一个示例中,可以
将得到的平均值作为第一基线,在另外一个示例中,可以将得到的期望值作为第一基线。在
计算得到第一基线之后,可以根据第一端口的IP地址、端口信息等,对应地存储第一基线。
一般情况下,服务器的一个端口对应一种登录服务,因此,在进行统计报文信息时,是针对
同一个端口对应的登录服务进行统计。
二样本报文信息中提取各第二统计值。然后以各第二统计值为输入因子,对各第二统计值
进行平均值、数学期望值的计算等,,将上述计算结果中的其中一个作为第二基线。在一个
示例中,可以将得到的平均值计算结果作为第二基线,在另外一个示例中,可以将得到的期
望值作为第二基线。在计算得到第二基线之后,可以根据第一端口的IP地址、端口信息等,
对应地存储第二基线。
一基线的距离以及目标第二统计值相较于第二基线的距离。
服务器的响应报文值的平均值或者期望值)和第一流量值基线(多次登录成功的情况下,服
务器的响应流量值的平均值或者期望值),第二基线可以是学习得到的第二报文值基线(多
次登录失败的情况下,服务器的响应报文值的平均值或者期望值)和第二流量值基线(多次
登录失败的情况下,服务器的响应流量值的平均值或者期望值)。
第二差距值
在预设范围内,则可以认定本次报文对应的交互行为是登录行为,也就是说,目标五元组所
属的报文是登录行为产生的报文。如果第一差距值和第二差距值不在预设范围内,则说明
不是登录行为。
目标第二统计值相较于第二基线的距离更近,则登录失败的可能性更大,如果第一差距值
小于第二差距值,则说明目标第二统计值相较于第一基线的距离更近,则登录成功的可能
性更大。因此,在计算得到第一差距值和第二差距值之后,可以对第一差距值和第二差距值
进行大小比较,以确定目标五元组所属的报文对应的登录行为结果。
离、第二差距值是指目标第二统计值相较于第二基线的距离,如果第一差距值大于或者等
于第二差距值,则说明目标第二统计值相较于第二基线的距离更近,则登录失败的可能性
更大。因此,如果判定第一差距值和第二差距值在预设范围内,且第一差距值不小于第二差
距值,则可以确定登录以第一端口为服务端口对应的登录服务失败。
且第一差距值小于第二差距值,则可以确定登录以第一端口为服务端口对应的登录服务成
功。
登录行为均会被报文信息记录,因此目标五元组信息的数目可以被认为是登录行为的次
数。通过统计预设时段内登录行为结果为登录失败的目标五元组信息的数目,可以得出登
录失败的次数。
正常登录行为的可能性较大。
间内目标五元组信息的数目。相应的,可以针对预设时段内的总数目、单位时间内的数目分
别设置对应的预设阈值,分别将预设时段内的总数目与对应的预设阈值进行比较、将单位
时间内的数目与对应的预设阈值进行比较。
预设时段设置长短的问题,如果预设时段设置的较短,得到的判定结果不一定非常准确,有
可能将正常用户输入账号或者密码错误识别为暴力破解行为,因此,如果统计的数目超过
预设阈值,判定的是有疑似暴力破解行为。此时可以设置暴力破解行为的威胁度为轻度。
值,分别计算该历史第二统计值与第一基线的第三差距值、该历史第二统计值与第二基线
的第四差距值,并判断第三差距值和第四差距值是否在预设范围内,以及第三差距值是否
不小于第四差距值。如果针对每个历史第二统计值,第三差距值和第四差距值都在预设范
围内,且第三差距值都不小于第四差距值,则可以以第一端口为服务端口对应的登录服务
从未被成功登录过。由于过去多天以第一端口为服务端口对应的登录服务都未被成功登录
过,则暴力破解行为的可能性升高,可以判定疑似暴力破解行为的威胁度为中度。
线的第五差距值、实时第二统计值与第二基线的第六差距值;若第五差距值和第六差距值
在预设范围内,且第五差距值小于第六差距值,则判定疑似暴力破解行为的威胁度为重度。
二统计值与第一基线的第五差距值、实时第二统计值与第二基线的第六差距值,并判断第
五差距值和第六差距值是否在预设范围内,以及第五差距值是否不小于第六差距值,如果
第五差距值和第六差距值在预设范围内,且第五差距值小于第六差距值,则可以确定以第
一端口为服务端口对应的登录服务被成功登录,说明登录服务的账号、密码可能被成功破
解,则需要将暴力破解行为的威胁度升高,可以判定疑似暴力破解行为的威胁度为重度。
于实时获取的报文的报文信息中源IP地址,判断该源IP地址对应的终端是合法的还是非法
的,如果是非法的,则可以确定真的发生了暴力破解行为,且攻击方为该源IP地址对应的终
端。进一步的,可以对发生的暴力破解行为进行及时处理,例如断开目标服务器与攻击方的
连接、提示用户修改密码等。
端在对服务器的登录服务发起疑似暴力破解,则可以判定疑似暴力破解行为是分布式暴力
破解行为,并且由于多个源IP地址发起了疑似暴力破解,则暴力破解行为的可能性升高,可
以判定疑似暴力破解行为的威胁度为中度。
报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据,从报文信息中确定
目的端口为目标服务器的第一端口的目标五元组信息以及与目标五元组信息对应的目标
第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样
本报文信息中的第二统计值确定的第二基线。第一样本报文信息包含依据目的端口为第一
端口的第一登录报文和响应第一登录报文的第一响应报文统计的报文信息,第一响应报文
携带的登录行为结果为登录成功,第二样本报文信息包含依据目的端口为第一端口的第二
登录报文和响应第二登录报文的第二响应报文统计的报文信息,第二响应报文携带的登录
行为结果为登录失败。计算目标第二统计值与第一基线的第一差距值、目标第二统计值与
第二基线的第二差距值,如果第二差距值更小,则说明目标第二统计值是登录失败时产生
的统计值的可能性更大。如果在预设时段内登录行为结果为登录失败的目标五元组信息的
数目超过了一定的阈值,则说明在预设时段内的多次登录行为中登录失败的次数占比较
大,则可以确定这样的登录行为是疑似暴力破解行为,提高了暴力破解行为的检测精度。
失。
的将登录成功时的平均报文值(第一报文值基线)和平均流量值(第一流量值基线)进行存
储,保存到数据库中。
的将登录失败时的平均报文值(第二报文值基线)和平均流量值(第二流量值基线)进行存
储,保存到数据库中。
务器的反向报文值R1和流量值R2),并基于五元组信息,从数据库中查找到对应的第一报文
值基线TS1、第一流量值基线TS2、第二报文值基线TF1和第二流量值基线TF2,计算第一差距
值 第二差距值
信息的数目超过预设阈值;一段时间内统计的总数目超过预设阈值。
正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据;
息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二
基线,其中,第一样本报文信息包含依据目的端口为第一端口的第一登录报文和响应第一
登录报文的第一响应报文统计的报文信息,第一响应报文携带的登录行为结果为登录成
功,第二样本报文信息包含依据目的端口为第一端口的第二登录报文和响应第二登录报文
的第二响应报文统计的报文信息,第二响应报文携带的登录行为结果为登录失败;
计值,计算第二基线。
功。
线的第四差距值;
为中度。
第二基线的第六差距值;
报文的数据,第二统计值用于统计五元组信息所属的反向报文的数据,从报文信息中确定
目的端口为目标服务器的第一端口的目标五元组信息以及与目标五元组信息对应的目标
第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样
本报文信息中的第二统计值确定的第二基线,第一样本报文信息包含依据目的端口为第一
端口的第一登录报文和响应第一登录报文的第一响应报文统计的报文信息,第一响应报文
携带的登录行为结果为登录成功,第二样本报文信息包含依据目的端口为第一端口的第二
登录报文和响应第二登录报文的第二响应报文统计的报文信息,第二响应报文携带的登录
行为结果为登录失败。计算目标第二统计值与第一基线的第一差距值、目标第二统计值与
第二基线的第二差距值,如果第二差距值更小,则说明目标第二统计值是登录失败时产生
的统计值的可能性更大。如果在预设时段内登录行为结果为登录失败的目标五元组信息的
数目超过了一定的阈值,则说明在预设时段内的多次登录行为中登录失败的次数占比较
大,则可以确定这样的登录行为是疑似暴力破解行为,提高了暴力破解行为的检测精度。
令,机器可执行指令由处理器401加载并执行,以实现本发明实施例所提供的暴力破解行为
的检测方法。
的,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、
FPGA(Field‑Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分
立门或者晶体管逻辑器件、分立硬件组件。
口进行通信。图4所示的仅为通过总线进行数据传输的示例,不作为具体连接方式的限定。
报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一统计值用于统
计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属的反向报文的
数据,从报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与目标
五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统计值确定的
第一基线和依据第二样本报文信息中的第二统计值确定的第二基线。第一样本报文信息包
含依据目的端口为第一端口的第一登录报文和响应第一登录报文的第一响应报文统计的
报文信息,第一响应报文携带的登录行为结果为登录成功,第二样本报文信息包含依据目
的端口为第一端口的第二登录报文和响应第二登录报文的第二响应报文统计的报文信息,
第二响应报文携带的登录行为结果为登录失败。计算目标第二统计值与第一基线的第一差
距值、目标第二统计值与第二基线的第二差距值,如果第二差距值更小,则说明目标第二统
计值是登录失败时产生的统计值的可能性更大。如果在预设时段内登录行为结果为登录失
败的目标五元组信息的数目超过了一定的阈值,则说明在预设时段内的多次登录行为中登
录失败的次数占比较大,则可以确定这样的登录行为是疑似暴力破解行为,提高了暴力破
解行为的检测精度。
的暴力破解行为的检测方法。
计的报文信息,报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,第一
统计值用于统计五元组信息所属的正向报文的数据,第二统计值用于统计五元组信息所属
的反向报文的数据,从报文信息中确定目的端口为目标服务器的第一端口的目标五元组信
息以及与目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二
统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线。第一样
本报文信息包含依据目的端口为第一端口的第一登录报文和响应第一登录报文的第一响
应报文统计的报文信息,第一响应报文携带的登录行为结果为登录成功,第二样本报文信
息包含依据目的端口为第一端口的第二登录报文和响应第二登录报文的第二响应报文统
计的报文信息,第二响应报文携带的登录行为结果为登录失败。计算目标第二统计值与第
一基线的第一差距值、目标第二统计值与第二基线的第二差距值,如果第二差距值更小,则
说明目标第二统计值是登录失败时产生的统计值的可能性更大。如果在预设时段内登录行
为结果为登录失败的目标五元组信息的数目超过了一定的阈值,则说明在预设时段内的多
次登录行为中登录失败的次数占比较大,则可以确定这样的登录行为是疑似暴力破解行
为,提高了暴力破解行为的检测精度。
可。
在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖
非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要
素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在
包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
网络安全设备及机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述
的比较简单,相关之处参见方法实施例的部分说明即可。
内。