检测撞库攻击的方法及装置制造方法及图纸

本申请提供了一种检测撞库攻击的方法及装置。其方法包括：获取预定时间内接收到的登录请求的源IP地址和登录信息；根据获取到的源IP地址和登录信息，确定所述获取到的源IP地址中具有高频登录行为的源IP地址；根据所述具有高频登录行为的源IP地址发起的登录请求所使用的密码中具有语义的密码的占比，判断所述源IP地址在所述预定时间内发起的登录请求是否为撞库攻击，其中，所述具有语义的密码为具有语义的概率超过预定概率阈值的密码。根据本申请的技术方案，提高了检测撞库攻击的准确性。

Method and device for detecting collision attack

This application provides a method and device to detect collision attack. The method comprises the following steps: acquiring a predetermined period of time to receive the login request of the source IP address and access information; according to the acquired source IP address and login information, IP source address has a high frequency source login behavior IP address to determine the acquired in; according to the semantic is used by the source IP address login frequency to initiate the login request password password in the proportion, determine the source IP address is in the predetermined time initiated the login request whether the attacks hit the library, which is the semantic password for semantic probability is above a predetermined probability threshold password. According to the technical scheme of this application, the accuracy of detecting collision attack is improved.

【技术实现步骤摘要】
检测撞库攻击的方法及装置
本申请涉及网络攻击防御领域，尤其涉及一种检测撞库攻击的方法及装置。
技术介绍
撞库攻击是指黑客通过收集互联网已泄露的用户名和密码信息，生成对应的字典表，再用字典表中罗列的用户和密码，尝试批量登陆其他网站，一旦用户为了省事，在多个不同网站设置了相同的用户名和密码的话，黑客很容易就会通过字典中已有的用户名和密码信息，成功登录到这些网站，从而获得用户的相关信息。这些信息泄露后，不仅会给用户的经济带来巨大损失，同时也会给相关网站带来负面影响。目前，黑客非法入侵网站服务器后，通常将网站用户的用户名和密码信息存储在一个数据库中，这个库称作社工库。黑客批量使用社工库中的用户名和密码去登录目标网站，若用户在目标网站使用同一对用户名和密码，即可登录成功。现有的撞库攻击检测方法主要包括以下两种：一种是统计登录的频率，即统计单位时间内发起登录请求的次数，若次数超过预设阈值，则判定为撞库攻击。这种方法对于暴力破解的登录请求和正常业务的批量登录请求无法区分，会导致误报。另一种是对于已经泄露的社工库进行收集，对登录请求中的密码与社工库中的密码进行比对，来确认是否为撞库攻击行为。这种方法由于每条登录请求中的密码都要和社工库中的数量庞大的密码进行比对，非常消耗算力资源。
技术实现思路
本申请的一个目的是提供一种检测撞库攻击的方法及装置，提高检测撞库攻击的准确性。根据本申请的一方面，提供了一种检测撞库攻击的方法，其中，该方法包括以下步骤：获取预定时间内接收到的登录请求的源IP地址和登录信息；根据获取到的源IP地址和登录信息，确定所述获取到的源IP地址中具有高频登录行为的源IP地址；根据所述具有高频登录行为的源IP地址发起的登录请求所使用的密码中具有语义的密码的占比，判断所述源IP地址在所述预定时间内发起的登录请求是否为撞库攻击，其中，所述具有语义的密码为具有语义的概率超过预定概率阈值的密码。根据本申请的另一方面，还提供了一种检测撞库攻击的装置，其中，该装置包括：获取单元，用于获取预定时间内接收到的登录请求的源IP地址和登录信息；确定单元，用于根据获取到的源IP地址和登录信息，确定所述获取到的源IP地址中具有高频登录行为的源IP地址；判断单元，用于根据所述具有高频登录行为的源IP地址发起的登录请求所使用的密码中具有语义的密码的占比，判断所述源IP地址在所述预定时间内发起的登录请求是否为撞库攻击，其中，所述具有语义的密码为具有语义的概率超过预定概率阈值的密码。与现有技术相比，本申请的实施例具有以下优点：本申请的技术方案，通过先获取具有高频登录行为的源IP地址，再根据该具有高频登录行为的源IP地址发起登录请求所使用的密码中具有语义的密码的占比，确定该源IP地址的高频登录行为是否为撞库攻击，提高了检测撞库攻击的准确性。并且，本申请的技术方案在检测撞库攻击时不需要在庞大的社工库中进行密码比对，节省了计算资源。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：图1为本申请一个实施例提供的方法的流程图；图2为本申请实施例中步骤S110的一种实施方式的流程图；图3为本申请实施例中步骤S120的一种实施方式的流程图；图4为本申请实施例中步骤S130的一种实施方式的流程图；图5为本申请实施例中步骤S130的另一种实施方式的流程图；图6为本申请实施例中步骤S130的又一种实施方式的流程图；图7为本申请实施例中步骤S130的再一种实施方式的流程图；图8为本申请一个实施例提供的装置示意图；图9为本申请实施例提供的装置中获取单元210的示意图；图10为本申请实施例提供的装置中确定单元220的示意图；图11为本申请实施例提供的装置中判断单元230的一种实施方式的示意图；图12为本申请实施例提供的装置中判断单元230的另一种实施方式的示意图；图13为本申请实施例提供的装置中判断单元230的又一种实施方式的示意图；图14为本申请实施例提供的装置中判断单元230的再一种实施方式的示意图。附图中相同或相似的附图标记代表相同或相似的部件。具体实施方式在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作描述成顺序的处理，但是其中的许多操作可以被并行地、并发地或者同时实施。此外，各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。在上下文中所称“计算机设备”，也称为“电脑”，是指可以通过运行预定程序或指令来执行数值计算和/或逻辑计算等预定处理过程的智能电子设备，其可以包括处理器与存储器，由处理器执行在存储器中预存的存续指令来执行预定处理过程，或是由ASIC、FPGA、DSP等硬件执行预定处理过程，或是由上述二者组合来实现。计算机设备包括但不限于服务器、个人电脑、笔记本电脑、平板电脑、智能手机等。所述计算机设备包括用户设备与网络设备。其中，所述用户设备包括但不限于电脑、智能手机、PDA等；所述网络设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(CloudComputing)的由大量计算机或网络服务器构成的云，其中，云计算是分布式计算的一种，由一群松散耦合的计算机集组成的一个超级虚拟计算机。其中，所述计算机设备可单独运行来实现本申请，也可接入网络并通过与网络中的其他计算机设备的交互操作来实现本申请。其中，所述计算机设备所处的网络包括但不限于互联网、广域网、城域网、局域网、VPN网络等。需要说明的是，所述用户设备、网络设备和网络等仅为举例，其他现有的或今后可能出现的计算机设备或网络如可适用于本申请，也应包含在本申请保护范围以内，并以引用方式包含于此。后面所讨论的方法(其中一些通过流程图示出)可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或者其任意组合来实施。当用软件、固件、中间件或微代码来实施时，用以实施必要任务的程序代码或代码段可以被存储在机器或计算机可读介质(比如存储介质)中。(一个或多个)处理器可以实施必要的任务。这里所公开的具体结构和功能细节仅仅是代表性的，并且是用于描述本申请的示例性实施例的目的。但是本申请可以通过许多替换形式来具体实现，并且不应当被解释成仅仅受限于这里所阐述的实施例。应当理解的是，虽然在这里可能使用了术语“第一”、“第二”等等来描述各个单元，但是这些单元不应当受这些术语限制。使用这些术语仅仅是为了将一个单元与另一个单元进行区分。举例来说，在不背离示例性实施例的范围的情况下，第一单元可以被称为第二单元，并且类似地第二单元可以被称为第一单元。这里所使用的术语“和/或”包括其中一个或更多所列出的相关联项目的任意和所有组合。这里所使用的术语仅仅是为了描述具体实施例而不意图限制示例性实施例。除非上下文明确地另有所指，否则这里所使用的单数形式“一个”、“一项”还意图包括复数。还应当理解的是，这里所使用的术语“包括”和/或“包含”规定所陈述的特征、整数、步骤、操作、单元和/或组件的存在，而不排除存在或添加一个或更多其他特征、整数、步骤、操作、单元、组件和/本文档来自技高网...

【技术保护点】
一种检测撞库攻击的方法，其特征在于，该方法包括以下步骤：获取预定时间内接收到的登录请求的源IP地址和登录信息，所述登录信息包括用户名、密码；根据获取到的源IP地址和登录信息，确定所述获取到的源IP地址中具有高频登录行为的源IP地址；根据所述具有高频登录行为的源IP地址发起的登录请求所使用的密码中具有语义的密码的占比，判断所述源IP地址在所述预定时间内发起的登录请求是否为撞库攻击，其中，所述具有语义的密码为具有语义的概率超过预定概率阈值的密码。

【技术特征摘要】
1.一种检测撞库攻击的方法，其特征在于，该方法包括以下步骤：获取预定时间内接收到的登录请求的源IP地址和登录信息，所述登录信息包括用户名、密码；根据获取到的源IP地址和登录信息，确定所述获取到的源IP地址中具有高频登录行为的源IP地址；根据所述具有高频登录行为的源IP地址发起的登录请求所使用的密码中具有语义的密码的占比，判断所述源IP地址在所述预定时间内发起的登录请求是否为撞库攻击，其中，所述具有语义的密码为具有语义的概率超过预定概率阈值的密码。2.根据权利要求1所述的方法，其特征在于，获取预定时间内接收到的登录请求的源IP地址和登录信息的步骤包括：获取服务器端的HTTP服务器日志、动态语言日志和/或数据库日志；基于所述HTTP服务器日志、动态语言日志和/或数据库日志，提取所述预定时间内接收到的登录请求的源IP地址和登录信息。3.根据权利要求1所述的方法，其特征在于，根据获取到的源IP地址和登录信息，确定所述获取到的源IP地址中具有高频登录行为的源IP地址的步骤包括：根据获取到的源IP地址和登录信息，提取出所述获取到源IP地址中每个源IP地址发起的登录请求的登录信息；根据提取出的每个源IP地址发起的登录请求的登录信息，确定所述源IP地址是否具有高频登录行为。4.根据权利要求1所述的方法，其特征在于，根据所述具有高频登录行为的源IP地址发起的登录请求所使用的密码中具有语义的密码的占比，判断所述源IP地址在所述预定时间内发起的登录请求是否为撞库攻击的步骤包括：计算所述具有高频登录行为的源IP地址在所述预定时间内发起登录请求所使用的密码具有语义的概率，以确定所述密码中具有语义的密码；统计所述源IP地址在所述预定时间内发起登录请求所使用的密码中具有语义的密码的占比是否超过第一预定比值；基于上述统计结果，确定所述具有高频登录行为的源IP地址发起的登录请求是否为撞库攻击。5.根据权利要4所述的方法，其特征在于，根据所述具有高频登录行为的源IP地址发起的登录请求所使用的密码中具有语义的密码的占比，判断所述源IP地址在所述预定时间内发起的登录请求是否为撞库攻击的步骤还包括：统计所述预定时间内所述具有高频登录行为的源IP地址发起登录请求所使用的用户名的去重用户名数与所述源IP地址发起的登录请求数的比值是否超过第二预定比值；和/或统计所述预定时间内所述具有高频登录行为的源IP地址发起登录请求所使用的密码的去重密码数与所述源IP地址的发起登录请求所使用的用户名的去重用户名数的比值是否超过第三预定比值。6.根据权利要求4所述的方法，其特征在于，计算所述源IP地址在所述预定时间内发起的登录请求所使用的密码具有语义的概率的步骤包括：基于预先生成的语言模型计算所述源IP地址在所述预定时间内发起的登录...

【专利技术属性】
技术研发人员：郭家龙，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY