用于识别暴力破解密码行为的方法和装置制造方法及图纸

本公开的实施例公开了用于识别暴力破解密码行为的方法和装置。该方法的一具体实施方式包括：响应于检测到客户端发出的登录请求，获取客户端与服务端信息传输的报文的流特征，流特征包括报文的流方向；响应于未在客户端发出登录请求之后的第一预设时间段内检测到具有相同流方向的两条相邻报文，确定客户端发生暴力破解密码的行为；响应于确定客户端发生暴力破解密码的行为，基于流特征，生成报警信息，并发送报警信息。通过提取客户端与服务端之间传输的报文的流特征，基于流特征识别客户端的暴力破解密码行为，以及生成并发送报警信息，操作便捷且无需接触服务端或客户端即可识别暴力破解行为。

【技术实现步骤摘要】
用于识别暴力破解密码行为的方法和装置
本公开的实施例涉及计算机
，具体涉及网络安全
，尤其涉及一种用于识别暴力破解密码行为的方法和装置。
技术介绍
SSH(SecureShellprotocol，安全外壳协议)，是一种建立在应用层基础上的安全协议，旨在提供安全远程登录及其它安全网络服务，例如可以用于终端与服务器之间的安全登录与安全传送数据。对于暴露在互联网上的服务器，会面临大量的暴力攻击行为，暴力攻击行为一般通过对使用这些应用服务的客户端密码进行暴力破解，客户端密码被暴力破解后，攻击者就可以非法访问服务器，这将导致用户数据泄露，甚至服务器被攻击者控制。因此，识别暴力破解密码的行为对SSH服务的安全而言是非常重要的。
技术实现思路
本公开的实施例提出了用于识别暴力破解密码行为的方法和装置。第一方面，本公开的实施例提供了一种用于识别暴力破解密码行为的方法，包括：响应于检测到客户端发出的登录请求，获取客户端与服务端信息传输的报文的流特征，流特征包括报文的流方向；响应于未在客户端发出登录请求之后的第一预设时间段内检测到具有相同流方向的两条相邻报文，确定客户端发生暴力破解密码的行为；响应于确定客户端发生暴力破解密码的行为，基于流特征，生成报警信息，并发送报警信息。在一些实施例中，该方法还包括：基于流特征，确定报文对应的信息交互的进程；以及根据报文对应的信息交互的进程确定客户端的登录行为。在一些实施例中，根据报文对应的信息交互的进程确定客户端的登录行为，包括：响应于根据报文对应的信息交互的进程确定在客户端发出登录请求之后信息交互的认证进程已开启，且未在认证进程已开启之后的第二预设时间段内检测到具有相同流方向的两条相邻报文，确定客户端发生暴力破解密码的行为。在一些实施例中，流特征还包括：字节数和加密状态；以及，基于流特征，确定报文对应的信息交互的进程，包括：响应于检测到字节数相同且流方向相反的相邻两条加密报文，确定信息交互的认证进程开启。在一些实施例中，基于流特征，确定报文对应的信息交互的进程，包括：响应于在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由客户端发向服务端，或者在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由服务端发向客户端，确定信息交互的认证进程已完成；以及根据报文对应的信息交互的进程确定客户端的登录行为，包括：响应于确定信息交互的认证进程已完成，确定客户端的登录行为合法。第二方面，本公开的实施例提供了一种用于识别暴力破解密码行为的装置，装置包括：特征获取单元，被配置成响应于检测到客户端发出的登录请求，获取客户端与服务端信息传输的报文的流特征，流特征包括报文的流方向；行为识别单元，被配置成响应于未在客户端发出登录请求之后的第一预设时间段内检测到具有相同流方向的两条相邻报文，确定客户端发生暴力破解密码的行为；报警单元，被配置成响应于确定客户端发生暴力破解密码的行为，基于流特征，生成报警信息，并发送报警信息。在一些实施例中，行为识别单元还被配置成：基于流特征，确定报文对应的信息交互的进程；以及根据报文对应的信息交互的进程确定客户端的登录行为。在一些实施例中，行为识别单元被进一步配置成通过如下方式确定客户端的登录行为：响应于根据报文对应的信息交互的进程确定在客户端发出登录请求之后信息交互的认证进程已开启，且未在认证进程已开启之后的第二预设时间段内检测到具有相同流方向的两条相邻报文，确定客户端发生暴力破解密码的行为。在一些实施例中，流特征还包括：字节数和加密状态；以及，行为识别单元被配置成通过如下方式确定报文对应的信息交互的进程：响应于检测到字节数相同且流方向相反的相邻两条加密报文，确定信息交互的认证进程开启。在一些实施例中，行为识别单元，还被进一步配置成：响应于在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由客户端发向服务端，或者在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由服务端发向客户端，确定信息交互的认证进程已完成；以及根据报文对应的信息交互的进程确定客户端的登录行为，包括：响应于确定信息交互的认证进程已完成，确定客户端的登录行为合法。本公开的实施例提供的用于识别暴力破解密码行为的方法和装置，通过提取客户端与服务端信息交互过程中传输的报文的流特征，基于报文的流特征识别客户端的暴力破解密码的行为，以及，确定客户端发生暴力破解密码的行为时，生成并发送报警信息，操作便捷且无需接触服务端或客户端即可识别暴力破解密码行为。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本公开的其它特征、目的和优点将会变得更明显：图1是本公开的一些实施例可以应用于其中的示例性系统架构图；图2是根据本公开的用于识别暴力破解密码行为的方法的一个实施例的流程图；图3是根据本公开的实施例的用于识别暴力破解密码行为的方法中客户端与服务端信息交互的流程示意图；图4a是根据本公开的用于识别暴力破解密码行为的方法的又一个实施例的流程图；图4b是根据本公开的用于识别暴力破解密码行为的方法的又一个实施例的流程图；图4c是根据本公开的用于识别暴力破解密码行为的方法的又一个实施例的流程图；图5是根据本公开的用于识别暴力破解密码行为的装置的一个实施例的结构示意图；图6是适于用来实现本公开的实施例的电子设备的结构示意图。具体实施方式下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关专利技术，而非对该专利技术的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关专利技术相关的部分。需要说明的是，在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。图1示出了可以应用本公开的实施例的用于识别暴力破解密码行为的方法或用于识别暴力破解密码行为的装置的示例性系统架构100。如图1所示，系统架构100可以包括终端设备101、102、103、网络设备104、网络105、服务器106和电子设备107。终端设备101、102、103通过网络设备104接入网路105，经由网络105与服务器105进行信息交互。网络105可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。网络设备104可以是具备网络信息传输能力的网络设备，用于将终端101、102、103的信息数据通过网络105发送至服务器106，以及经由网络105接收服务器106发送的信息，并转发给终端101、102、103，例如可以是交换机或路由器，以实现终端101、102、103与服务器106之间的报文传输。电子设备107用于从网络设备104中获取终端与服务器信息交互过程中的镜像流量，并从镜像中解析出报文的流特征，以及基于流特征生成报警信息，并发送报警信息。例如报文的流特征可以包括流方向、报文的源地址、本文档来自技高网...

【技术保护点】
1.一种用于识别暴力破解密码行为的方法，包括：/n响应于检测到客户端发出的登录请求，获取客户端与服务端信息传输的报文的流特征，所述流特征包括报文的流方向；/n响应于未在客户端发出登录请求之后的第一预设时间段内检测到具有相同流方向的两条相邻报文，确定所述客户端发生暴力破解密码的行为；/n响应于确定所述客户端发生暴力破解密码的行为，基于所述流特征，生成报警信息，并发送所述报警信息。/n

【技术特征摘要】
1.一种用于识别暴力破解密码行为的方法，包括：
响应于检测到客户端发出的登录请求，获取客户端与服务端信息传输的报文的流特征，所述流特征包括报文的流方向；
响应于未在客户端发出登录请求之后的第一预设时间段内检测到具有相同流方向的两条相邻报文，确定所述客户端发生暴力破解密码的行为；
响应于确定所述客户端发生暴力破解密码的行为，基于所述流特征，生成报警信息，并发送所述报警信息。


2.根据权利要求1所述的方法，其中，所述方法还包括：
基于所述流特征，确定所述报文对应的信息交互的进程；以及根据所述报文对应的信息交互的进程确定所述客户端的登录行为。


3.根据权利要求2所述的方法，其中，所述根据所述报文对应的信息交互的进程确定所述客户端的登录行为，包括：
响应于根据所述报文对应的信息交互的进程确定在客户端发出登录请求之后所述信息交互的认证进程已开启，且未在认证进程已开启之后的第二预设时间段内检测到具有相同流方向的两条相邻报文，确定所述客户端发生暴力破解密码的行为。


4.根据权利要求3所述的方法，其中，所述流特征还包括：字节数和加密状态；以及，所述基于所述流特征，确定所述报文对应的信息交互的进程，包括：
响应于检测到字节数相同且流方向相反的相邻两条加密报文，确定所述信息交互的认证进程开启。


5.根据权利要求2所述的方法，所述基于所述流特征，确定所述报文对应的信息交互的进程，包括：
响应于在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由客户端发向服务端，或者在客户端发出登录请求之后的第一预设时间段内检测到存在两条相邻报文均由服务端发向客户端，确定所述信息交互的认证进程已完成；以及
所述根据所述报文对应的信息交互的进程确定所述客户端的登录行为，包括：
响应于确定所述信息交互的认证进程已完成，确定所述客户端的登录行为合法。


6.一种用于识别暴力破解密码行为的装置，包括：
特征获取单元，被配置成响应于检测到客户端发出的登录请求，获取客户端与服务端信息传输的报文的流特征，所述流特征包括报文的流方向；
行为识别单元，被配置成...

【专利技术属性】
技术研发人员：张虎，
申请(专利权)人：京东数字科技控股有限公司，
类型：发明
国别省市：北京;11