【技术实现步骤摘要】
一种口令爆破攻击的检测方法及装置
[0001]本申请实施例涉及异常检测领域,尤其涉及一种口令爆破攻击的检测方法及装置。
技术介绍
[0002]目前,对于公司系统的账户口令爆破攻击,其很容易成为渗透攻击的切入点,且当前的各类安全防护方案均难以形成有效防护与溯源。
[0003]其中,当前对口令爆破攻击进行防御的方案主要如下:
[0004]1、基于用户名检测。
[0005]即,同一用户名连续登录失败N次则判定为攻击并自动锁定,若要解锁则需联系管理员。
[0006]2、基于验证码检测。
[0007]即,通过设置验证码,并对验证码进行加固处理。如设置的验证码为图形验证码,则对图形验证码可进行的加固处理有字体扭曲、字体粘连、字体镂空、字体混用、主体干扰线、背景色干扰、背景字母干扰等各种方法,以增加图像识别难度;此外,除了设置图像验证码,还可通过设置公式验证码、加减法验证码和逻辑验证码等方式。当反复提交错误的验证码时,则判定为攻击。
[0008]3、基于IP检测。
[0009]即,通...
【技术保护点】
【技术特征摘要】
1.一种口令爆破攻击的检测方法,其特征在于,包括:针对获取的各第一待检测日志,根据各第一待检测日志的登录状态信息,从各第一待检测日志中确定出登录失败的各第二待检测日志;针对预设的各关联要素中的任一关联要素,构建所述各第二待检测日志在所述关联要素下的第一网络子图;其中,任一第一网络子图是以每个第二待检测日志为节点,以待检测日志满足所述第一网络子图对应的关联要素设置节点间的边进行构建的;针对任一第一网络子图,进行社团发现处理,得到所述第一网络子图的各社团;对所述第一网络子图中的各社团进行处理,从而得到第二网络子图;针对任一第二待检测日志,根据所述第二待检测日志在各第二网络子图中的出现情况,确定所述第二待检测日志在各第二网络子图下的权值;根据所述第二待检测日志在各第二网络子图下的权值,确定所述第二待检测日志对应的登录行为是否为口令爆破攻击。2.如权利要求1所述的方法,其特征在于,所述根据所述第二待检测日志在各第二网络子图下的权值,确定所述第二待检测日志对应的登录行为是否为口令爆破攻击,包括:将所述第二待检测日志在各第二网络子图下的权值输入异常检测模型,通过所述异常检测模型输出所述第二待检测日志对应的登录行为是否为口令爆破攻击;所述异常检测模型是通过具有表征是否是口令爆破攻击的标签值的各第二历史日志训练得到的。3.如权利要求2所述的方法,其特征在于,所述异常检测模型是通过具有表征是否是口令爆破攻击的标签值的各第二历史日志训练得到的,包括:基于所述各第一待检测日志的获取时段,获取距离所述获取时段最近的设定时长内的各第一历史日志;针对各第一历史日志,根据各第一历史日志的登录状态信息,从各第一历史日志中确定出登录失败的各第二历史日志;针对所述预设的各关联要素中的任一关联要素,构建所述各第二历史日志在所述关联要素下的第三网络子图;针对任一第三网络子图,进行社团发现处理,得到所述第三网络子图的各社团;对所述第三网络子图中的各社团进行处理,从而得到第四网络子图;针对任一第二历史日志,根据所述第二历史日志在各第四网络子图中的出现情况,确定所述第二历史日志在各第四网络子图下的权值;将各第二历史日志在各第四网络子图下的权值与对应的标签值输入初始模型进行训练,直到训练满足设定要求,从而得到异常检测模型;其中,所述标签值指示第二历史日志对应的登录行为是否为口令爆破攻击。4.如权利要求1所述的方法,其特征在于,所述根据所述第二待检测日志在各第二网络子图中的出现情况,确定所述第二待检测日志在各第二网络子图下的权值,包括:针对任一第二网络子图,若所述第二待检测日志在所述第二网络子图中存在对应的节点,则增加所述第二网络子图的权重;若所述第二待检测日志在所述第二网络子图中不存
在对应的节点,则减小所述第二网络子图的权重;根据所述第二网络子图的权重,确定所述第二待检测日志在所述第二网络子图下的权值。5.如权利要求4所述的方法,其特征在于,获取各第二网络子图对应的初始权重;其中,每个初始权重用于表征在基准数量的口令爆破攻击对应的日志中具有对应网络子图中节点的日志的数量;所述若所述第二待检测日志在所述第二网络子图中存在对应的节点,则增加所述第二网络子图的权重,包括:针对第i个第二待检测日志,若所述第i个第二待检测日志在所述...
【专利技术属性】
技术研发人员:黄自力,杨阳,陈舟,熊璐,邱震尧,张叶,
申请(专利权)人:中国银联股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。