【技术实现步骤摘要】
一种基于被动流量分析的暴力破解检测方法及系统
[0001]本专利技术涉及一种基于被动流量分析的暴力破解检测方法及系统,属于网络安全
技术介绍
[0002]随着计算机互联网技术的发展以及大数据时代的到来,各种数据信息系统的应用也越来也广泛。在当今的互联网环境中,网络攻击已经成为网络安全的关键问题。暴力破解作为计算机网络中最常见的攻击类型之一,受到了广泛关注。
[0003]现有对暴力破解检测的研究通常集中在主机级别的检测上。通过检查访问日志,将终端发送的用户名和密码与数据库中预先注册的用户名密码进行匹配,如果在特定时间内失败的登录尝试次数超过预定义的阈值,则认为是暴力破解攻击。
[0004]然而,在此过程中,每次验证用户身份都需要花费大量时间将用户名密码和数据量较大的数据库进行匹配,大大降低了效率,并且当存在大量弱口令时,攻击者很容易在特定时间及阈值内就实现爆破攻击,导致大量的漏报问题。
技术实现思路
[0005]为了解决上述技术问题,本专利技术提供一种基于被动流量分析的暴力破解检测方法...
【技术保护点】
【技术特征摘要】
1.一种基于被动流量分析的暴力破解检测方法,其特征在于:包括离线建立检测模型和在线检测暴力破解攻击,具体步骤为:S1:离线建立检测模型:S11:以三元组为单位,通过采样获取会话流量数据,每次会话包括多条请求数据包和多条响应数据包,所述三元组为源IP、目的IP和目的端口,所述会话流量数据包括正常流量数据和暴力破解流量数据;S12:由安全专家将每次会话标记为爆破攻击会话和非爆破攻击会话;S13:提取会话流量数据中的特征并进行预处理,得到:a.源端口;b.与暴力破解关键词字典匹配的请求数据包占比;c.请求频率;d.请求数据包大小波动;e.响应数据包大小波动;f.会话总时长;g.初始请求包中的TCP标志位;所述请求频率为一次会话中请求数据包的数量,所述会话总时长以秒为单位;S14:利用S13中提取的特征和标记,构建并训练得到二分类决策树模型;S2:在线检测暴力破解攻击。2.根据权利要求1所述的基于被动流量分析的暴力破解检测方法,其特征在于:所述暴力破解关键词字典包含暴力破解请求常见关键词,且该字典在检测过程中不断更新累积。3.根据权利要求2所述的基于被动流量分析的暴力破解检测方法,其特征在于:所述暴力破解请求常见关键词包括login,password和passwd。4.根据权利要求1所述的基于被动流量分析的暴力破解检测方法,其特征在于:所述与暴力破解关键词字典匹配的请求数据包占比计算方式如下:对条请求数据包,遍历每条请求数据包的payload,若该条数据包的payload中包含关键词字典中的一个或多个关键词,则匹配请求数据包数量加1,最后得到条匹配请求数据包数,则与暴力破解关键词字典匹配的请求数据包占比为:
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)。5.根据权利要求1所述的基于被动流量分析的暴力破解检测方法,其特征在于:所述请求数据包和响应数据包大小波动计算方法如下:假设有条请求数据包,l条响应数据包,其字节数分别为和,两组数据中位数分别为和,则请求数据包大小波动和响应数据包大小波动分别由式(2)和式(3)表示:
ꢀꢀꢀꢀꢀꢀꢀ...
【专利技术属性】
技术研发人员:燕妮,韦康,董玉倩,
申请(专利权)人:江苏开博科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。