本申请实施例公开了一种信息处理方法,所述方法包括:根据目标源地址对应的登陆行为,统计所述目标源地址在至少两个时间尺度内的登陆次数,不同所述时间尺度的时长不同;将所述目标源地址在各所述时间尺度内登陆次数和相应的时间尺度对应的登陆阈值进行比较,得到比较结果;当所述比较结果满足攻击条件,确定所述目标源地址的登陆行为为攻击行为。另外,本申请实施例还公开了一种信息处理装置、设备及存储介质。
The invention relates to an information processing method, device, and storage medium
【技术实现步骤摘要】
一种信息处理方法及装置、设备、存储介质
本申请实施例涉及计算机
,涉及但不限于一种信息处理方法及装置、设备、存储介质。
技术介绍
远程桌面是允许用户使用任何客户端从任何位置,通过任何连接访问即远程登陆另一台程计算机即服务端;远程桌面可让用户可靠地使用远程计算机上的所有应用程序,文件和网络资源,就如同用户本人坐在远程计算机的面前一样。不仅如此,本地运行的任何应用程序在用户使用远程桌面后仍然可以正常运行。远程桌面的这些功能是通过微软公司的远程桌面协议(RemoteDesktopProtocol,RDP)提供的,RDP实现客户端与服务端之间的通信,从而为运行在服务端上的应用程序提供远程显示和输入的能力。相关技术中,服务端通过应用防火墙对暴力破坏等攻击行为进行检测。其中,应用防火墙的检测方案为基于连接行为的统计分析,包括:统计某一个IP地址在单位时间内进行RDP连接的次数,当RDP连接次数超过一定阈值,则认为是该登陆行为为攻击行为。但是,相关技术中,检测过程中的阈值为一固定阈值,低频、分布式暴破等慢速的攻击行为检测不到,无法保证服务端的安全性。
技术实现思路
有鉴于此,本申请实施例为解决相关技术中存在的至少一个问题而提供一种信息处理方法及装置、设备、存储介质,能够有效检测低频、分布式暴破等慢速攻击行为,提高服务端的安全性。本申请实施例的技术方案是这样实现的:第一方面,本申请实施例提供一种信息处理方法,所述方法包括:根据目标源地址对应的登陆行为,统计所述目标源地址在至少两个时间尺度内的登陆次数,不同所述时间尺度的时长不同;将所述目标源地址在各所述时间尺度内登陆次数和相应的时间尺度对应的登陆阈值进行比较,得到比较结果;当所述比较结果满足攻击条件,确定所述目标源地址的登陆行为为攻击行为。第二方面,本申请实施例提供一种信息处理装置,所述装置包括:统计单元,用于根据目标源地址对应的登陆行为,统计所述目标源地址在至少两个时间尺度内的登陆次数,不同所述时间尺度的时长不同;比较单元,用于将所述目标源地址在各所述时间尺度内登陆次数和相应的时间尺度对应的登陆阈值进行比较,得到比较结果;确定单元,用于当所述比较结果满足攻击条件,确定所述目标源地址的登陆行为为攻击行为。第三方面,本申请实施例提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述信息处理方法中的步骤。第四方面,本申请实施例提供一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述信息处理方法中的步骤。本申请实施例中,提供了一种信息处理方法,根据目标源地址对应的登陆行为,统计所述目标源地址在至少两个时间尺度内的登陆次数,不同所述时间尺度的时长不同;将所述目标源地址在各所述时间尺度内登陆次数和相应的时间尺度对应的登陆阈值进行比较,得到比较结果;当所述比较结果满足攻击条件,确定所述目标源地址的登陆行为为攻击行为;从而通过多个时间尺度来检测出慢速攻击行为,从而提高服务端的安全性。附图说明图1为本申请实施例可选地远程登陆系统的可选地结构示意图;图2A为本申请实施例提供的远程登陆系统的可选地结构示意图;图2B为本申请实施例提供的远程登陆系统的可选地结构示意图;图3A为本申请实施例提供的信息处理方法的可选地流程示意图;图3B为本申请实施例提供的统计时间段的可选地偏移示意图;图3C为本申请实施例提供的登陆次数的可选地分布示意图;图3D为本申请实施例提供的登陆次数的可选地分布示意图;图4为本申请实施例提供的信息处理方法的可选地流程示意图;图5为本申请实施例提供的计算机设备的可选地结构示意图;图6为本申请实施例提供的信息处理方法的可选地流程示意图;图7为本申请实施例提供的信息处理方法的可选地流程示意图;图8为本申请实施例提供的信息处理方法的可选地流程示意图;图9为本申请实施例提供的信息处理方法的可选地流程示意图;图10为本申请实施例提供的信息处理方法的可选地流程示意图;图11为本申请实施例信息处理装置的可选地结构示意图;图12为本申请实施例计算机设备的一种硬件实体示意图。具体实施方式为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对申请的具体技术方案做进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。本申请实施例可提供为信息处理方法及装置、设备和存储介质。实际应用中,信息处理方法可由实施于信息处理装置实现,信息处理装置中的各功能实体可以由计算机设备(如服务器)的硬件资源,如处理器等计算资源、通信资源(如用于支持实现光缆、蜂窝等各种方式通信)协同实现。本申请实施例的信息处理方法可应用于图1所示的远程登陆系统,如图1所示,该远程登陆包括客户端10和服务端20;其中,客户端10和服务端20为不同的物理实体,且客户端10和服务端20之间通过网络30进行交互。客户端10和服务端20之间能够通过网络30建立连接,且客户端10能够通过所建立的连接使用服务端20上的所有应用程序,文件和网络资源。服务端20能够统计客户端10的登陆行为,并检测客户端10的登陆行为是否为非法的攻击行为。在一实施例中,基于图1所示的远程登陆系统,远程登陆系统可如图2A和图2B所示,还包括:监控端40,监控端40能够截获客户端10在远程登陆服务端20的过程中,发送至服务端20的数据包,并基于截获的数据包检测客户端10的登陆行为是否为非法的攻击行为。在一示例中,如图2A所示,监控端40位于服务端20与客户端10之间,能够在数据包发送至服务端20之前截获发送至服务端的数据包。此时,监控端40作为客户端10远程登陆服务端20的入口。在一示例中,如图2B所示,监控端40在数据包发送至服务端20之后,从服务端截获服务端20所接收的数据包。结合图1、图2A或图2B所示的远程登陆系统,本实施例提出一种信息处理方法,能够有效检测低频、分布式暴破等慢速攻击行为,提高服务端的安全性。下面,结合图1、图2A和图2B所示的远程登陆系统的示意图,对本申请实施例提供的信息处理方法、装置、设备和存储介质的各实施例进行说明。本实施例提供一种信息处理方法,该方法应用于服务端或监控端,其中,服务端或监控端可为计算机设备。该方法所实现的功能可以通过计算机设备中的处理器调用程序代码来实现,当然程序代码可以保存在计算机存储介质中,可见,该计算机设备至少包括处理器和存储介质。图3A为本申请实施例的一种信息处理方法的实现流程示意图,如图3A所示,该方法可以包括如下步骤:S301、根据目标源地址对应的登陆行为,统计所述目标源地址在至少两个时间尺度内的登陆次数。本申请实施例中,根据服务端所建立的会话来确定客户端的登陆行为,一次会本文档来自技高网...
【技术保护点】
1.一种信息处理方法,其特征在于,所述方法包括:/n根据目标源地址对应的登陆行为,统计所述目标源地址在至少两个时间尺度内的登陆次数,不同所述时间尺度的时长不同;/n将所述目标源地址在各所述时间尺度内登陆次数和相应的时间尺度对应的登陆阈值进行比较,得到比较结果;/n当所述比较结果满足攻击条件,确定所述目标源地址的登陆行为为攻击行为。/n
【技术特征摘要】
1.一种信息处理方法,其特征在于,所述方法包括:
根据目标源地址对应的登陆行为,统计所述目标源地址在至少两个时间尺度内的登陆次数,不同所述时间尺度的时长不同;
将所述目标源地址在各所述时间尺度内登陆次数和相应的时间尺度对应的登陆阈值进行比较,得到比较结果;
当所述比较结果满足攻击条件,确定所述目标源地址的登陆行为为攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述根据目标源地址对应的登陆行为,统计所述目标源地址在至少两个时间尺度内的登陆次数,包括:
根据设定时间段内所述目标源地址的登陆行为,统计所述目标源地址在至少两个时间尺度内的登陆次数;所述设定时间段大于或者等于所述至少两个时间尺度中最大的时间尺度。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述目标源地址在各所述时间尺度内的登陆次数中,存在大于相应的时间尺度对应的登陆阈值的攻击登陆次数,且所述攻击登陆次数的数量大于第一数量,则确定所述比较结果满足所述攻击条件;否则确定所述比较结果不满足所述攻击条件。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
针对所述目标源地址的一次的登陆行为,获取所述登陆行为对应的会话的会话特征;
根据所述会话特征推断所述登陆行为的登陆状态。
5.根据权利要求4所述的方法,其特征在于,所述获取所述登陆行为对应的会话的会话特征包括:
识别所述会话采用的协议类型是否为目标协议类型;
在所述会话采用的协议类型为所述目标协议类型的情况下,基于所述设定协议类型对所述会话的数据包进行解析,提取所述会话的会话特征。
6.根据权利要求5所述的方法,其特征在于,所述目标协议类型包括预设传输层安全协议,所述识别所述会话采用的协议类型是否为目标协议类型,包括:
当所述会话中协议类型为所述预设传输安全协议的数据包的数量超过第二数量,则停止对所述会话中的下一数据包的协议类型进行分析,并识别所述会话采用的协议类型为所述预设传输安全协议。
7.根据权利要求5所述的方法,其特征在于,所述识别所述会话采用的协议类型是否为目标协议类型,包括:
当所述会话中,协议类型分析失败的数据包的数量超过第三数量,则停止对所述会话中的下一数据包的协议类...
【专利技术属性】
技术研发人员:农乐安,陶磊,刘书文,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。