【技术实现步骤摘要】
一种暴力破解行为的检测方法及装置
本专利技术涉及信息安全
,特别是涉及一种暴力破解行为的检测方法及装置。
技术介绍
随着用户对网络业务的需求种类越来越多、需求量越来越大,网络业务的安全性变得越来越重要。用户在访问网络业务时,需要输入账号和密码,服务器对账号和密码进行验证,验证通过后,允许用户访问网络业务。暴力破解行为是指攻击者通过尝试所有可能的账号、密码来模拟用户的登录行为,攻击者在破解用户的账号和密码之后,可以使用该账号和密码执行非法操作,给用户带来损失。在发生暴力破解行为时,攻击者会频繁地向服务器发送包括账号和密码的验证报文。基于此,传统的暴力破解行为的检测方法中,网络安全设备对服务器接收的数据报文进行统计分析,判断服务器接收报文的平均流量是否超过一定阈值,若超过,则认为针对该服务器,发生了暴力破解行为,有攻击者正在进行账号暴力破解。然而,服务器在正常运行时,除了用户登录会产生报文,服务器与其他设备还会进行正常的报文交互,因此,仅仅基于服务器接收报文的平均流量进行报文破解行为的判断,很可能会将正常的报文交互识别为暴力破解行为,导致暴力破解行为的检测精度较...
【技术保护点】
1.一种暴力破解行为的检测方法,其特征在于,所述方法包括:获取预设时段内统计的报文信息,所述报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,所述第一统计值用于统计所述五元组信息所属的正向报文的数据,所述第二统计值用于统计所述五元组信息所属的反向报文的数据;从所述报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与所述目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线,其中,所述第一样本报文信息包含依据目的端口为所述第一端口的第一登录报文和响应所述第一登录报文...
【技术特征摘要】
1.一种暴力破解行为的检测方法,其特征在于,所述方法包括:获取预设时段内统计的报文信息,所述报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,所述第一统计值用于统计所述五元组信息所属的正向报文的数据,所述第二统计值用于统计所述五元组信息所属的反向报文的数据;从所述报文信息中确定目的端口为目标服务器的第一端口的目标五元组信息以及与所述目标五元组信息对应的目标第二统计值,并获取依据第一样本报文信息中的第二统计值确定的第一基线和依据第二样本报文信息中的第二统计值确定的第二基线,其中,所述第一样本报文信息包含依据目的端口为所述第一端口的第一登录报文和响应所述第一登录报文的第一响应报文统计的报文信息,所述第一响应报文携带的登录行为结果为登录成功,所述第二样本报文信息包含依据目的端口为所述第一端口的第二登录报文和响应所述第二登录报文的第二响应报文统计的报文信息,所述第二响应报文携带的登录行为结果为登录失败;计算所述目标第二统计值与所述第一基线的第一差距值、所述目标第二统计值与所述第二基线的第二差距值;若所述第一差距值和所述第二差距值在所述预设范围内,且所述第一差距值不小于所述第二差距值,则确定所述目标五元组信息所属的报文对应的登录行为结果为登录失败;统计所述预设时段内登录行为结果为登录失败的所述目标五元组信息的数目,并判断所述数目是否超过预设阈值;若超过,则确定存在针对所述目标服务器的疑似暴力破解行为。2.根据权利要求1所述的方法,其特征在于,在所述获取第一基线和第二基线之前,所述方法还包括:获取包含多个第一登录报文的第一样本报文信息及包含多个第二登录报文的第二样本报文信息;从所述第一样本报文信息中,提取各第二统计值,并根据各第二统计值,计算第一基线;从所述第二样本报文信息中,提取各第二统计值,并根据各第二统计值,计算第二基线。3.根据权利要求1所述的方法,其特征在于,所述目标第二统计值包括报文值和流量值;所述第一基线包括第一报文值基线和第一流量值基线;所述第二基线包括第二报文值基线和第二流量值基线;所述计算所述目标第二统计值与所述第一基线的第一差距值、所述目标第二统计值与所述第二基线的第二差距值,包括:计算所述报文值与所述第一报文值基线的第一差值、所述流量值与所述第一流量值基线的第二差值,并将所述第一差值与所述第二差值的平方和的开方结果作为第一差距值;计算所述报文值与所述第二报文值基线的第三差值、所述流量值与所述第二流量值基线的第四差值,并将所述第三差值与所述第四差值的平方和为的开方结果作为第二差距值。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:若所述第一差距值和所述第二差距值在所述预设范围内,且所述第一差距值小于所述第二差距值,则确定所述目标五元组信息所属的报文对应的登录行为结果为登录成功。5.根据权利要求1所述的方法,其特征在于,在所述确定存在针对所述目标服务器的疑似暴力破解行为之后,所述方法还包括:获取当前时刻之前的预设天数统计的目的端口为所述第一端口的历史报文信息;根据所述历史报文信息中的各历史第二统计值、所述第一基线和所述第二基线,计算所述各历史第二统计值与所述第一基线的第三差距值、所述各历史第二统计值与所述第二基线的第四差距值;若针对所有历史第二统计值,所述第三差距值和所述第四差距值都在所述预设范围内,且所述第三差距值都不小于所述第四差距值,则判定所述疑似暴力破解行为的威胁度为中度。6.根据权利要求5所述的方法,其特征在于,在所述判定所述疑似暴力破解行为的威胁度为中度之后,所述方法还包括:实时获取报文,所述报文的目的端口为所述第一端口;根据实时获取的报文的报文信息中的实时第二统计值、所述第一基线和所述第二基线,计算所述实时第二统计值与所述第一基线的第五差距值、所述实时第二统计值与所述第二基线的第六差距值;若所述第五差距值和所述第六差距值在所述预设范围内,且所述第五差距值小于所述第六差距值,则判定所述疑似暴力破解行为的威胁度为重度。7.根据权利要求1所述的方法,其特征在于,在所述确定存在针对所述目标服务器的疑似暴力破解行为之后,所述方法还包括:统计目的端口为所述第一端口的目标五元组信息中源IP地址的数量,并判断所述源IP地址的数量是否超过预设数量阈值;若是,则判定所述疑似暴力破解行为是分布式暴力破解行为。8.一种暴力破解行为的检测装置,其特征在于,所述装置包括:获取模块,用于获取预设时段内统计的报文信息,所述报文信息至少包括五元组信息、第一统计值和第二统计值的对应关系,所述第一统计值用于统计所述五元组信息所属的正向报文的数据,所述第二统计...
【专利技术属性】
技术研发人员:赵志伟,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。