本发明专利技术实施例提供一种盗号防御实现方法及装置,该方法包括:监控各IP地址的登录数据,获取各IP地址上的登录次数和失败次数;针对每个IP地址,执行下列操作:根据获取到的登录次数和失败次数,确定获取到的登录次数对应的失败概率;判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值;所述阈值曲线为根据登录日志建立、表征登录次数和失败概率阈值对应关系的曲线;当大于时,确定该IP地址存在异常登录;当不大于时,确定该IP地址不存在异常登录。能够通过动态阈值的方式实现对黑客盗号行为的防御,能够更准确、有效的检测到盗号行为,提高网络安全性。
【技术实现步骤摘要】
本专利技术涉及网络安全
,尤指一种盗号防御实现方法及装置。
技术介绍
随着网络黑产的不断发展,许多公司的数据库都曾被黑客利用各种漏洞而发生了泄漏,存储在这些公司数据库中的帐号和密码对则在黑产中进行利用。对于大多数的用户而言,在不同的网站使用同一套用户名/密码是最简单快捷的行为,但这也造成了极大的安全隐患。比如,用户在A网站和B网站使用的是同一套用户名/密码,如果A网站被攻击而将用户的信息泄露出去,那么,黑客就可以利用在A网站获得的用户名/密码去登录B网站。这样一来,即使B网站的安全性做得再高,也不能防止用户的账户被恶意的利用。这就是通常所说的“撞库扫号”行为,而这也是目前盗号最为频繁的一个攻击方式。目前主流的防止撞库扫号的防御办法为阈值检测。即统计某一入口或IP下,发起的登录次数以及其中的异常行为的比例,如果这个比例超过了一定的阈值,那么就可以认为这个IP是一个黑客。这么做的原理在于,黑客虽然掌握了大量的用户名/密码对,但是它并不知道用户是否在另一个网站使用了同样的信息。因此,黑客只能尝试它所拥有的所有用户名/密码来进行登录,如果登录成功就可以盗取一个帐号。因为数据量较大,黑客会以极快的速度来进行登录尝试,这样才能保证它自身的收益。而这些尝试中,又会有很大一部分是失败的,因此,失败的比例会占尝试的很大一部分。而对于正常用户而言,一来不会短时间内发起大量登录,二来不会出现大量的失败,即使有输错的情况,也不会占太大比例。通过这种行为的区别,来指定一个阈值进行区分,是一个简单易行的方法,目前也被大量的公司所采用。而对于阈值的设置,往往是根据次数来进行分段的,例如登录10次失败超过90%,登录100次失败超过70%等。上述阈值检测的方法虽然简单易行,但存在以下几个缺点:1)滞后性:阈值检测系统往往会对一段时间内的日志进行分析。而这也就意味着,这段时间的登录行为是不受到保护的。即使只有很短的几分钟,黑客也能够发起上万次的尝试,盗取到有价值帐号的可能性也大大增高。2)阈值固定:阈值的设定往往是通过经验,人为的总结出来的。但是黑客本身,也能够通过其经验,去猜测目标服务器的阈值。例如,如果一个黑客在登录100次以上就被封禁,它可以猜测到阈值大致在100左右,然后通过降低攻击频率,替换IP等方式来进行规避,使得基于阈值的防御完全失效。3)阈值不连续:阈值的分段是由于次数越多,可疑性越大,因此允许的失败比例会越低。但是,这个不连续性会造成较大的问题。例如,假如一个阈值的一个分段点为100,对于100以下的次数,允许失败率为90%,而对于100以上的次数,允许的失败率只有70%。那么对于黑客来说,一旦它猜测出了这个分段标准,它就可以把它的尝试次数设置到99,从而最大化攻击的效率。4)阈值人为设定:阈值的设定往往是凭借人为的经验来设定的,这样一来,成本就会增加不少。另外,黑客的攻击行为是一直变化的,人为的处理方式也就意味着响应的滞后性,很可能等人为反应过来的时候,一个攻击行为已经完成了。同样的,如果想将同一套策略移植到不同的服务,则需要不同的阈值设定。这个时候,人为设定也将大大限制防御系统本身的扩展性。
技术实现思路
本专利技术实施例提供一种盗号防御实现方法及装置,用以解决现有技术中存在的盗号防御阈值固定不能实施动态调整,盗号检测准确性降低,不能有效检测到盗号行为,导致网络安全性差的问题。一方面,本专利技术实施例提供了一种盗号防御实现方法,包括:监控各IP地址的登录数据,获取各IP地址上的登录次数和失败次数;针对每个IP地址,执行下列操作:根据获取到的登录次数和失败次数,确定获取到的登录次数对应的失败概率;判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值;所述阈值曲线为根据登录日志建立、表征登录次数和失败概率阈值对应关系的曲线;当大于时,确定该IP地址存在异常登录;当不大于时,确定该IP地址不存在异常登录。在一些可选的实施例中,判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值,具体包括:根据预先建立的阈值曲线,以该登录次数作为横坐标,获取阈值曲线上对应的纵坐标的值,得到该登录次数对应的失败概率阈值;比较确定出的失败概率是否大于获取到的失败概率阈值。在一些可选的实施例中,监控各IP地址的登录数据之前,还包括:获取系统的登录日志,根据登录日志建立表征登录次数和失败概率阈值对应关系的阈值曲线。在一些可选的实施例中,根据登录日志建立阈值曲线的过程,具体包括:根据获取的登录日志,确定建立阈值曲线的特征值;所述特征值包括登录次数特征值和对应的失败概率特征值;根据所述特征值,采用选定的曲线拟合算法,生成表征登录次数和失败概率阈值对应关系的阈值曲线。在一些可选的实施例中,所述根据获取的登录日志,确定建立阈值曲线的特征值,具体包括:统计获取的登录日志中每个IP地址的登录行为的失败次数和登录次数;按照失败次数的大小进行排序,并判断排序后的相邻两个失败次数是否符合设定的特征值判定条件;当符合时,根据预设规则提取相邻的两个失败次数中的一个作为登录次数对应的失败次数特征值;将登录次数作为登录次数特征值,并根据登录次数和对应的失败次数特征值确定出对应的失败概率特征值,得到建立阈值曲线的特征值。在一些可选的实施例中,根据所述特征值生成阈值曲线的过程,具体包括:采用最小二元法,以确定出的登录次数特征值和对应的失败概率特征值作为曲线上的已知点,拟合出包含已知点阈值曲线;或采用三次样条插值的方式,以确定出的登录次数特征值和对应的失败概率特征值作为样点,在相邻样点之间进行插值计算,拟合出包含样点的阈值曲线。本专利技术实施例还提供一种盗号防御实现装置,包括:监控获取模块,用于监控各IP地址的登录数据,获取各IP地址上的登录次数和失败次数;概率确定模块,用于针对每个IP地址,执行下列操作:根据获取到的登录次数和失败次数,确定获取到的登录次数对应的失败概率;异常判断模块,用于判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值;所述阈值曲线为根据登录日志建立、表征登录次数和失败概率阈值对应关系的曲线;当大于时,确定该IP地址存在异常登录;当不大于时,确定该IP地址不存在异常登录。在一些可选的实施例中,所述异常判断模块,具体用于:根据预先建立的阈值曲线,以该登录次数作为横坐标,获取阈值曲线上对应的纵坐标的值,得到该登录次数对应的失败概率阈值;比较确定出的失败概率是否大于获取到的失败概率阈值。在一些可选的实施例中,上述装置还包括:曲线建立模块,用于获取系统的登录日志,根据登录日志建立表征登录次数和失败概率阈值对应关系的阈值曲线。在一些可选的实施例中,所述曲线建立模块,具体用于:根据获取的登录日志,确定建立阈值曲线的特征值;所述特征值包括登录次数特征值和对应的失败概率特征值;根据所述特征值,采用选定的曲线拟合算法,生成表征登录次数和失败概率阈值对应关系的阈值曲线。上述技术方案具有如下有益效果:对各IP地址的登录次数和失败次数进行监控,根据失败概率和预先建立的阈值曲线上响应登录次数的失败概率的大小比较,确定是否存在登录异常;通过阈值曲线的形式可以实现阈值的连续性,同时根据对登录日志的监本文档来自技高网...
【技术保护点】
一种盗号防御实现方法,其特征在于,包括:监控各IP地址的登录数据,获取各IP地址上的登录次数和失败次数;针对每个IP地址,执行下列操作:根据获取到的登录次数和失败次数,确定获取到的登录次数对应的失败概率;判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值;所述阈值曲线为根据登录日志建立、表征登录次数和失败概率阈值对应关系的曲线;当大于时,确定该IP地址存在异常登录;当不大于时,确定该IP地址不存在异常登录。
【技术特征摘要】
1.一种盗号防御实现方法,其特征在于,包括:监控各IP地址的登录数据,获取各IP地址上的登录次数和失败次数;针对每个IP地址,执行下列操作:根据获取到的登录次数和失败次数,确定获取到的登录次数对应的失败概率;判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值;所述阈值曲线为根据登录日志建立、表征登录次数和失败概率阈值对应关系的曲线;当大于时,确定该IP地址存在异常登录;当不大于时,确定该IP地址不存在异常登录。2.如权利要求1所述的方法,其特征在于,判断确定出的失败概率是否大于预先建立的阈值曲线上该登录次数对应的失败概率阈值,具体包括:根据预先建立的阈值曲线,以该登录次数作为横坐标,获取阈值曲线上对应的纵坐标的值,得到该登录次数对应的失败概率阈值;比较确定出的失败概率是否大于获取到的失败概率阈值。3.如权利要求1或2所述的方法,其特征在于,监控各IP地址的登录数据之前,还包括:获取系统的登录日志,根据登录日志建立表征登录次数和失败概率阈值对应关系的阈值曲线。4.如权利要求3所述的方法,其特征在于,根据登录日志建立阈值曲线的过程,具体包括:根据获取的登录日志,确定建立阈值曲线的特征值;所述特征值包括登录次数特征值和对应的失败概率特征值;根据所述特征值,采用选定的曲线拟合算法,生成表征登录次数和失败概率阈值对应关系的阈值曲线。5.如权利要求4所述的方法,其特征在于,所述根据获取的登录日志,确定建立阈值曲线的特征值,具体包括:统计获取的登录日志中每个IP地址的登录行为的失败次数和登录次数;按照失败次数的大小进行排序,并判断排序后的相邻两个失败次数是否符合设定的特征值判定条件;当符合时,根据预设规则提取相邻的两个失败次数中的一个作为登录次数对应的失败次数特征值;将登录次数作为登录次数特征值,并根据登录...
【专利技术属性】
技术研发人员:何为舟,
申请(专利权)人:微梦创科网络科技中国有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。