This application provides a method and device to detect collision attack. The method comprises the following steps: acquiring a predetermined period of time to receive the login request of the source IP address and access information; according to the acquired source IP address and login information, IP source address has a high frequency source login behavior IP address to determine the acquired in; according to the semantic is used by the source IP address login frequency to initiate the login request password password in the proportion, determine the source IP address is in the predetermined time initiated the login request whether the attacks hit the library, which is the semantic password for semantic probability is above a predetermined probability threshold password. According to the technical scheme of this application, the accuracy of detecting collision attack is improved.
【技术实现步骤摘要】
检测撞库攻击的方法及装置
本申请涉及网络攻击防御领域,尤其涉及一种检测撞库攻击的方法及装置。
技术介绍
撞库攻击是指黑客通过收集互联网已泄露的用户名和密码信息,生成对应的字典表,再用字典表中罗列的用户和密码,尝试批量登陆其他网站,一旦用户为了省事,在多个不同网站设置了相同的用户名和密码的话,黑客很容易就会通过字典中已有的用户名和密码信息,成功登录到这些网站,从而获得用户的相关信息。这些信息泄露后,不仅会给用户的经济带来巨大损失,同时也会给相关网站带来负面影响。目前,黑客非法入侵网站服务器后,通常将网站用户的用户名和密码信息存储在一个数据库中,这个库称作社工库。黑客批量使用社工库中的用户名和密码去登录目标网站,若用户在目标网站使用同一对用户名和密码,即可登录成功。现有的撞库攻击检测方法主要包括以下两种:一种是统计登录的频率,即统计单位时间内发起登录请求的次数,若次数超过预设阈值,则判定为撞库攻击。这种方法对于暴力破解的登录请求和正常业务的批量登录请求无法区分,会导致误报。另一种是对于已经泄露的社工库进行收集,对登录请求中的密码与社工库中的密码进行比对,来确认是否为撞库攻击行为。这种方法由于每条登录请求中的密码都要和社工库中的数量庞大的密码进行比对,非常消耗算力资源。
技术实现思路
本申请的一个目的是提供一种检测撞库攻击的方法及装置,提高检测撞库攻击的准确性。根据本申请的一方面,提供了一种检测撞库攻击的方法,其中,该方法包括以下步骤:获取预定时间内接收到的登录请求的源IP地址和登录信息;根据获取到的源IP地址和登录信息,确定所述获取到的源IP地址中具有高频登录行为 ...
【技术保护点】
一种检测撞库攻击的方法,其特征在于,该方法包括以下步骤:获取预定时间内接收到的登录请求的源IP地址和登录信息,所述登录信息包括用户名、密码;根据获取到的源IP地址和登录信息,确定所述获取到的源IP地址中具有高频登录行为的源IP地址;根据所述具有高频登录行为的源IP地址发起的登录请求所使用的密码中具有语义的密码的占比,判断所述源IP地址在所述预定时间内发起的登录请求是否为撞库攻击,其中,所述具有语义的密码为具有语义的概率超过预定概率阈值的密码。
【技术特征摘要】
1.一种检测撞库攻击的方法,其特征在于,该方法包括以下步骤:获取预定时间内接收到的登录请求的源IP地址和登录信息,所述登录信息包括用户名、密码;根据获取到的源IP地址和登录信息,确定所述获取到的源IP地址中具有高频登录行为的源IP地址;根据所述具有高频登录行为的源IP地址发起的登录请求所使用的密码中具有语义的密码的占比,判断所述源IP地址在所述预定时间内发起的登录请求是否为撞库攻击,其中,所述具有语义的密码为具有语义的概率超过预定概率阈值的密码。2.根据权利要求1所述的方法,其特征在于,获取预定时间内接收到的登录请求的源IP地址和登录信息的步骤包括:获取服务器端的HTTP服务器日志、动态语言日志和/或数据库日志;基于所述HTTP服务器日志、动态语言日志和/或数据库日志,提取所述预定时间内接收到的登录请求的源IP地址和登录信息。3.根据权利要求1所述的方法,其特征在于,根据获取到的源IP地址和登录信息,确定所述获取到的源IP地址中具有高频登录行为的源IP地址的步骤包括:根据获取到的源IP地址和登录信息,提取出所述获取到源IP地址中每个源IP地址发起的登录请求的登录信息;根据提取出的每个源IP地址发起的登录请求的登录信息,确定所述源IP地址是否具有高频登录行为。4.根据权利要求1所述的方法,其特征在于,根据所述具有高频登录行为的源IP地址发起的登录请求所使用的密码中具有语义的密码的占比,判断所述源IP地址在所述预定时间内发起的登录请求是否为撞库攻击的步骤包括:计算所述具有高频登录行为的源IP地址在所述预定时间内发起登录请求所使用的密码具有语义的概率,以确定所述密码中具有语义的密码;统计所述源IP地址在所述预定时间内发起登录请求所使用的密码中具有语义的密码的占比是否超过第一预定比值;基于上述统计结果,确定所述具有高频登录行为的源IP地址发起的登录请求是否为撞库攻击。5.根据权利要4所述的方法,其特征在于,根据所述具有高频登录行为的源IP地址发起的登录请求所使用的密码中具有语义的密码的占比,判断所述源IP地址在所述预定时间内发起的登录请求是否为撞库攻击的步骤还包括:统计所述预定时间内所述具有高频登录行为的源IP地址发起登录请求所使用的用户名的去重用户名数与所述源IP地址发起的登录请求数的比值是否超过第二预定比值;和/或统计所述预定时间内所述具有高频登录行为的源IP地址发起登录请求所使用的密码的去重密码数与所述源IP地址的发起登录请求所使用的用户名的去重用户名数的比值是否超过第三预定比值。6.根据权利要求4所述的方法,其特征在于,计算所述源IP地址在所述预定时间内发起的登录请求所使用的密码具有语义的概率的步骤包括:基于预先生成的语言模型计算所述源IP地址在所述预定时间内发起的登录...
【专利技术属性】
技术研发人员:郭家龙,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。