本申请提供一种暴力破解检测方法、装置、电子设备及存储介质,用于改善网络安全防护设备很难防护低频次连接登录的暴力破解攻击行为的问题。该方法包括:获取网络流量,并从网络流量中检测出待检测设备发送的多个连接请求,然后计算出多个连接请求之间的时间间隔,获得多个时间间隔;判断多个时间间隔是否满足预设条件,预设条件包括:多个时间间隔中存在不小于预设数量的连续时间间隔,且每个连续时间间隔的波动率小于预设率值,波动率为当前时间间隔与相邻时间间隔之差的绝对值与当前时间间隔的比例值;若是,则将待检测设备发送的网络流量确定为暴力破解的攻击流量。流量确定为暴力破解的攻击流量。流量确定为暴力破解的攻击流量。
【技术实现步骤摘要】
一种暴力破解检测方法、装置、电子设备及存储介质
[0001]本申请涉及网络安全和互联网安全的
,具体而言,涉及一种暴力破解检测方法、装置、电子设备及存储介质。
技术介绍
[0002]网络安全防护设备(Network Security Device,NSD),是指部署在调度内部网与外部网之间、专用网与公共网之间的一组软件和硬件设备,用于构成内部网与外部网之间、专用网与公共网之间界面上的保护屏障。此处的NSD可以包括横向隔离装置、纵向加密认证装置、防火墙、防病毒系统、入侵检测系统(Intrusion Detection System,IDS)或入侵保护装置(Intrusion Protection System,IPS)等。
[0003]目前,网络安全防护设备针对安全外壳(Secure Shell,SSH)协议连接的暴力破解防护,主要是将在短时间内出现的高频次连接登录的行为标记为“暴力破解”,并发出防护告警,具体例如:某终端设备在30分钟内的登录失败次数超过限定次数(4次、5次、10次、50次、80次或100次等),就判定为“暴力破解”,禁止该终端设备登录30分钟、1小时或者1天等等。然而在实践过程中发现,目前的网络安全防护设备很难防护低频次连接登录的暴力破解攻击行为。
技术实现思路
[0004]本申请实施例的目的在于提供一种暴力破解检测方法、装置、电子设备及存储介质,用于改善网络安全防护设备很难防护低频次连接登录的暴力破解攻击行为的问题。
[0005]本申请实施例提供了一种暴力破解检测方法,包括:获取网络流量,并从网络流量中检测出待检测设备发送的多个连接请求,然后计算出多个连接请求之间的时间间隔,获得多个时间间隔;判断多个时间间隔是否满足预设条件,预设条件包括:多个时间间隔中存在不小于预设数量的连续时间间隔,且每个连续时间间隔的波动率小于预设率值,波动率为当前时间间隔与相邻时间间隔之差的绝对值与当前时间间隔的比例值;若是,则将待检测设备发送的网络流量确定为暴力破解的攻击流量。在上述的实现过程中,通过检测到同一设备在网络流量中连接登录的总数量大于预设阈值,且多次连接登录之间的时间间隔大致相等,则将该网络流量确定为暴力破解的攻击流量,从而避免了被低频次连接登录的暴力破解攻击的情况,有效地发现并防护低频次连接登录的暴力破解攻击行为。
[0006]可选地,在本申请实施例中,在判断多个时间间隔是否满足预设条件之后,还包括:若多个时间间隔不满足预设条件,则将待检测设备发送的网络流量确定为正常流量。在上述的实现过程中,通过在多个时间间隔不满足预设条件的情况下,就将待检测设备发送的网络流量确定为正常流量,从而避免了将正常流量确定为暴力破解的攻击流量的问题,有效地提高了确定为暴力破解的正确率。
[0007]可选地,在本申请实施例中,获取网络流量,包括:获取待检测设备发送的安全外壳协议连接、数据库连接或者网站系统连接的网络流量。在上述的实现过程中,通过获取待
检测设备发送的安全外壳协议连接、数据库连接或者网站系统连接的网络流量,使得可以从安全外壳协议连接、数据库连接或者网站系统连接的网络流量中检测出暴力破解攻击的情况,有效地发现并防护低频次连接登录的暴力破解攻击行为。
[0008]可选地,在本申请实施例中,在将待检测设备发送的网络流量确定为暴力破解的攻击流量之后,还包括:丢弃待检测设备发送的网络流量。在上述的实现过程中,通过在将待检测设备发送的网络流量确定为暴力破解的攻击流量之后,丢弃待检测设备发送的网络流量,从而避免了被低频次连接登录的暴力破解攻击的情况,有效地发现并防护低频次连接登录的暴力破解攻击行为。
[0009]本申请实施例还提供了一种暴力破解检测装置,包括:网络流量获取模块,用于获取网络流量,并从网络流量中检测出待检测设备发送的多个连接请求,然后计算出多个连接请求之间的时间间隔,获得多个时间间隔;时间间隔判断模块,用于判断多个时间间隔是否满足预设条件,预设条件包括:多个时间间隔中存在不小于预设数量的连续时间间隔,且每个连续时间间隔的波动率小于预设率值,波动率为当前时间间隔与相邻时间间隔之差的绝对值与当前时间间隔的比例值;暴力破解确定模块,用于若多个时间间隔满足预设条件,则将待检测设备发送的网络流量确定为暴力破解的攻击流量。
[0010]可选地,在本申请实施例中,暴力破解检测装置,还包括:正常流量确定模块,用于若多个时间间隔不满足预设条件,则将待检测设备发送的网络流量确定为正常流量。
[0011]可选地,在本申请实施例中,网络流量获取模块,包括:连接流量获取模块,用于获取待检测设备发送的安全外壳协议连接、数据库连接或者网站系统连接的网络流量。
[0012]可选地,在本申请实施例中,暴力破解检测装置,还包括:网络流量丢弃模块,用于丢弃待检测设备发送的网络流量。
[0013]本申请实施例还提供了一种电子设备,包括:处理器和存储器,存储器存储有处理器可执行的机器可读指令,机器可读指令被处理器执行时执行如上面描述的方法。
[0014]本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如上面描述的方法。
附图说明
[0015]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请实施例中的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0016]图1示出的本申请实施例提供的暴力破解检测方法的流程示意图;
[0017]图2示出的本申请实施例提供的暴力破解检测装置的结构示意图;
[0018]图3示出的本申请实施例提供的电子设备的结构示意图。
具体实施方式
[0019]下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请实施例中的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和
设计。因此,以下对在附图中提供的本申请实施例的详细描述并非旨在限制要求保护的本申请实施例的范围,而是仅仅表示本申请实施例中的选定实施例。基于本申请实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请实施例保护的范围。
[0020]在介绍本申请实施例提供的暴力破解检测方法之前,先介绍本申请实施例中所涉及的一些概念:
[0021]网络流量,又被称为流量数据,是指设备在工作运行状态时产生的数据,该数据包括:终端设备向服务器发送的连接请求或者登录请求等等。
[0022]安全外壳(Secure Shell,SSH)协议,是指建立在应用层基础上的安全协议;SSH协议是目前较为可靠的,且能够为远程登录会话和其他网络服务提供安全性的协议。
...
【技术保护点】
【技术特征摘要】
1.一种暴力破解检测方法,其特征在于,包括:获取网络流量,并从所述网络流量中检测出待检测设备发送的多个连接请求,然后计算出所述多个连接请求之间的时间间隔,获得多个时间间隔;判断所述多个时间间隔是否满足预设条件,所述预设条件包括:所述多个时间间隔中存在不小于预设数量的连续时间间隔,且每个连续时间间隔的波动率小于预设率值,所述波动率为当前时间间隔与相邻时间间隔之差的绝对值与当前时间间隔的比例值;若是,则将所述待检测设备发送的网络流量确定为暴力破解的攻击流量。2.根据权利要求1所述的方法,其特征在于,在所述判断所述多个时间间隔是否满足预设条件之后,还包括:若所述多个时间间隔不满足预设条件,则将所述待检测设备发送的网络流量确定为正常流量。3.根据权利要求1所述的方法,其特征在于,所述获取网络流量,包括:获取待检测设备发送的安全外壳协议连接、数据库连接或者网站系统连接的网络流量。4.根据权利要求1所述的方法,其特征在于,在所述将所述待检测设备发送的网络流量确定为暴力破解的攻击流量之后,还包括:丢弃所述待检测设备发送的网络流量。5.一种暴力破解检测装置,其特征在于,包括:网络流量获取模块,用于获取网络流量,并从所述网络流量中检测出待检测设备发送的多个连接请求,然后计算出所述多个连接请求之间的时间间隔,获得多个时间间隔;时间间隔判断模块,...
【专利技术属性】
技术研发人员:徐钟豪,陈伟,谢忱,刘伟,
申请(专利权)人:上海斗象信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。