一种暴力破解攻击的检测方法、检测系统和设备技术方案

本发明专利技术公开了一种暴力破解攻击的检测方法、检测系统和设备，包括以下步骤：对待处理网络流量进行分组；分别提取各个分组中每个网络会话的流特征，得到各个分组的流特征集；计算各个分组的流特征集中各个流特征的离散趋势指标，并分别与预设的离散趋势标准阈值相比较；根据所述离散趋势指标与所述离散趋势指标标准阈值的比较结果，得到待处理网络会话的暴力破解攻击结果。本发明专利技术根据待处理网络流量的流特征进行检测，不依赖攻击频率和端口数量，可以有效检测出网络流量中的暴力破解攻击行为。且本发明专利技术以网络会话为检测的样本单元，更灵活实用，可在暴力破解攻击发生时第一时间检测到，从而降低暴力破解成功的可能性。从而降低暴力破解成功的可能性。从而降低暴力破解成功的可能性。

【技术实现步骤摘要】
一种暴力破解攻击的检测方法、检测系统和设备


[0001]本专利技术涉及计算机网络安全领域，特别是涉及一种暴力破解攻击的检测方法、检测系统和设备。

技术介绍

[0002]随着加密业务的普及和安全意识的提高，互联网中使用加密业务进行通信的情况越来越多，服务器、终端的远程管理大量使用SSH、RDP加密传输。SSH和RDP这一类加密传输协议既可以保护用户的远程登录口令的隐私性、完整性，防止被窃听或篡改。但是，同时也为通过加密协议进行的攻击行为检测带来了挑战。针对明文通信，攻击行为容易检测和防御；但针对加密通道中的攻击行为，现有安全设备很难进行检测和识别。
[0003]暴力破解攻击是一种常见攻击手段，攻击者通过系统的组合所有可能性(例如登录时用的账户名、密码)，破解用户的账户名、密码等敏感信息，攻击者会经常使用自动化脚本组合出正确的用户名和密码进行攻击。常见暴力破解有两种形式：使用固定账号穷举法对密码进行暴力破解；在得知账号具有规律性，或者通过某种方式获取到大量账号的前提下，使用固定用户名、密码搭配对账号进行的暴力破解，因此也叫字典攻击。
[0004]现有技术主要依赖于对高频率连接行为和端口数和连续性的检测，对低频暴力破解及分布式暴力破解攻击无可奈何。即使有一些方法提出流行为特征的检测技术，也只适用于实验室环境，未能考虑到现实网络环境的复杂程度，导致在现实网络环境中暴力破解攻击检测率偏低，误报率偏高。

技术实现思路

[0005]本专利技术的目的是提供一种实用可靠的暴力破解攻击的检测方法、检测系统和设备。
[0006]为解决上述技术问题，本专利技术提供一种暴力破解攻击的检测方法，包括以下步骤：
[0007]对待处理网络流量进行分组，以源IP、目的IP、目的端口和协议类型均完全相同的网络会话为同一分组；
[0008]分别提取各个分组中每个网络会话的流特征，得到各个分组的流特征集；
[0009]计算各个分组的流特征集中各个流特征的离散趋势指标，并分别与预设的离散趋势标准阈值相比较；
[0010]根据所述离散趋势指标与所述离散趋势指标标准阈值的比较结果，得到待处理网络会话的暴力破解攻击结果；
[0011]其中，各个分组中由开始建立传输控制协议连接，到结束此次连接为一次网络会话。
[0012]可选地，所述分别提取各个分组中每个网络会话的流特征，得到各个分组的流特征集，包括：
[0013]分别提取各个分组中每个网络会话的总包数、包的平均大小和包的平均时间间
隔，得到各个分组的总包数、包的平均大小和包的平均时间间隔的集合。
[0014]可选地，所述计算各个分组的流特征集中各个流特征的离散趋势指标，并分别与预设的离散趋势指标标准阈值相比较，包括：
[0015]分别计算各个分组中所述总包数、包的平均大小和包的平均时间间隔的标准差或方差，并分别与预设的总包数、包的平均大小和包的平均时间间隔的标准差标准阈值或方差标准阈值相比较。
[0016]可选地，所述根据所述离散趋势指标与所述离散趋势指标标准阈值的比较结果，得到待处理网络会话的暴力破解攻击结果，包括：
[0017]若总包数的离散趋势指标小于总包数的离散趋势指标标准阈值、包的平均大小的离散趋势指标小于包的平均大小的离散趋势指标标准阈值、包的平均时间间隔的离散趋势指标小于包的平均时间间隔的离散趋势指标标准阈值，则判定该分组有暴力破解攻击行为，该分组的源IP为攻击者，目的IP为被攻击者；
[0018]若总包数的离散趋势指标小于总包数的离散趋势指标标准阈值、包的平均大小的离散趋势指标小于包的平均大小的离散趋势指标标准阈值、包的平均时间间隔的离散趋势指标小于包的平均时间间隔的离散趋势指标标准阈值中任意一项未满足，则判定该分组没有暴力破解攻击行为。
[0019]可选地，所述分别提取各个分组中每个网络会话的流特征，得到各个分组的流特征集后，包括：
[0020]若分组中的网络会话数大于或等于预设的有效样本数阈值，则进入下一步的流特征的离散趋势指标计算；
[0021]若分组中的网络会话数小于预设的有效样本数阈值，则继续提取分组中网络会话的流特征。
[0022]可选地，所述若分组中的网络会话数大于或等于预设的有效样本数阈值，则进入下一步的流特征的离散趋势指标计算后，包括：
[0023]分别去掉该分组中各个流特征的最大值和最小值。
[0024]可选地，所述对待处理网络流量进行分组，以源IP、目的IP、目的端口和协议类型均完全相同的网络会话为同一分组后，包括：
[0025]若分组中的网络会话其总包数大于或等于预设的有效包数阈值，则该网络会话可进入下一步的流特征的离散趋势指标计算；
[0026]若分组中的网络会话其总包数小于预设的有效包数阈值，则丢弃该网络会话。
[0027]可选地，所述分别提取各个分组中每个网络会话的总包数、包的平均大小和包的平均时间间隔，得到各个分组的总包数、包的平均大小和包的平均时间间隔的集合，包括：
[0028]提取各个分组中每个网络会话的上下行通信有效载荷的总包数，得到各个分组的总包数的集合；
[0029]提取各个分组中每个网络会话的包的平均大小，所述包的平均大小为网络会话上下行通信有效载荷的总字节数与网络会话上下行通信有效载荷的总包数之比，得到各个分组的包的平均大小的集合；
[0030]提取各个分组中每个网络会话的包的平均时间间隔，所述包的平均时间间隔为会话流持续时间与会话总包数的间隔总数之比，得到各个分组的包的平均时间间隔的集合。
[0031]本专利技术还提供一种暴力破解攻击的检测系统，包括：
[0032]分组模块，用于对待处理网络流量进行分组，以源IP、目的IP、目的端口和协议类型均完全相同的网络会话为同一分组；
[0033]流特征提取模块，用于分别提取各个分组中每个网络会话的流特征，得到各个分组的流特征集；
[0034]标准差比较模块，用于计算各个分组的流特征集中各个流特征的离散趋势指标，并分别与预设的离散趋势指标标准阈值相比较；
[0035]攻击检测模块，用于根据所述标准差与所述标准阈值的比较结果，得到待处理网络会话的暴力破解攻击结果；
[0036]其中，各个分组中由开始建立传输控制协议连接，到结束此次连接为一次网络会话。
[0037]本专利技术还提供一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述任一项所述的暴力破解攻击的检测方法。
[0038]本专利技术所提供的一种暴力破解攻击的检测方法、检测系统和设备，根据待处理网络流量的流特征进行检测，不依赖攻击频率和端口数量，可以有效检测出网络流量中的暴力破解攻击行为。且本专利技术以网络会话为检测的样本单元，比起现有的以固定时间为样本单元的检测方案，更灵活实用，可在暴力破解攻击发生时，节省不必要的等待与检测时延，第一时间检测到，从而降低暴力破解成功的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种暴力破解攻击的检测方法，其特征在于，包括以下步骤：对待处理网络流量进行分组，以源IP、目的IP、目的端口和协议类型均完全相同的网络会话为同一分组；分别提取各个分组中每个网络会话的流特征，得到各个分组的流特征集；计算各个分组的流特征集中各个流特征的离散趋势指标，并分别与预设的离散趋势标准阈值相比较；根据所述离散趋势指标与所述离散趋势指标标准阈值的比较结果，得到待处理网络会话的暴力破解攻击结果；其中，各个分组中由开始建立传输控制协议连接，到结束此次连接为一次网络会话。2.如权利要求1所述的暴力破解攻击的检测方法，其特征在于，所述分别提取各个分组中每个网络会话的流特征，得到各个分组的流特征集，包括：分别提取各个分组中每个网络会话的总包数、包的平均大小和包的平均时间间隔，得到各个分组的总包数、包的平均大小和包的平均时间间隔的集合。3.如权利要求2所述的暴力破解攻击的检测方法，其特征在于，所述计算各个分组的流特征集中各个流特征的离散趋势指标，并分别与预设的离散趋势指标标准阈值相比较，包括：分别计算各个分组中所述总包数、包的平均大小和包的平均时间间隔的标准差或方差，并分别与预设的总包数、包的平均大小和包的平均时间间隔的标准差标准阈值或方差标准阈值相比较。4.如权利要求2所述的暴力破解攻击的检测方法，其特征在于，所述根据所述离散趋势指标与所述离散趋势指标标准阈值的比较结果，得到待处理网络会话的暴力破解攻击结果，包括：若总包数的离散趋势指标小于总包数的离散趋势指标标准阈值、包的平均大小的离散趋势指标小于包的平均大小的离散趋势指标标准阈值、包的平均时间间隔的离散趋势指标小于包的平均时间间隔的离散趋势指标标准阈值，则判定该分组有暴力破解攻击行为，该分组的源IP为攻击者，目的IP为被攻击者；若总包数的离散趋势指标小于总包数的离散趋势指标标准阈值、包的平均大小的离散趋势指标小于包的平均大小的离散趋势指标标准阈值、包的平均时间间隔的离散趋势指标小于包的平均时间间隔的离散趋势指标标准阈值中任意一项未满足，则判定该分组没有暴力破解攻击行为。5.如权利要求1所述的暴力破解攻击的检测方法，其特征在于，所述分别提取各个分组中每个网络会话的流特征，得到各个分组的流特征集后，包括：若分组中的网络会话数大于或等于预设的有效样本数阈值，则进入下一步的流特征的离散趋...

【专利技术属性】
技术研发人员：刘燚，南野，
申请(专利权)人：北京观成科技有限公司，
类型：发明
国别省市：