破解行为检测方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术提供一种破解行为检测方法、装置、电子设备及存储介质，涉及计算机安全技术领域，该方法包括：在确定当前会话的应用层协议为安全外壳协议的情况下，获取所述当前会话中来自服务端设备的处于加密通信阶段的目标数据包；在获取到的所述目标数据包的累计数量小于预设数量，且各所述目标数据包的长度均相同的情况下，确定所述当前会话存在破解行为。由于当前会话中存在破解行为时，服务端设备产生的各数据包的长度具有连续且长度相同的特征，因此，本发明专利技术对来自服务端设备的处于加密通信阶段的数据包数量以及各数据包的长度进行统计分析和判断，在符合判断条件的情况下，确定当前会话存在破解行为，能有效检测出破解行为。为。为。

【技术实现步骤摘要】
破解行为检测方法、装置、电子设备及存储介质


[0001]本专利技术涉及计算机安全
，尤其涉及一种破解行为检测方法、装置、电子设备及存储介质。

技术介绍

[0002]在计算机网络中，存在多种类型的网络攻击行为，暴力破解是一种常见的网络攻击行为。网络攻击者通过暴力破解软件，使用密码字典或穷举口令等方式来对特定的网络服务进行口令猜解，暴力破解成功后可能会给被攻击者造成危害。
[0003]在文件传输协议、简单邮件传输协议等传统的网络协议下，数据在网络中采用明文的方式传输，部署在网络中的网络安全设备可以通过解析协议数据包，获取登录状态码，判断用户账号是否登录成功，进而可以检测出网络中是否发生针对上述协议的暴力破解行为。
[0004]而安全外壳协议(Secure Shell，SSH)，是一种在不安全的网络上进行安全远程登录和实现其他安全网络服务的应用层协议，用户登录的过程采用数据加密的传输方式。网络中部署的安全设备不能解析加密的登录数据包，因此，现有技术无法检测网络中是否发生针对安全外壳协议的暴力破解行为。针对安全外壳协议的破解行为检测成为一个亟待解决的问题。

技术实现思路

[0005]针对现有技术中的问题，本专利技术实施例提供一种破解行为检测方法、装置、电子设备及存储介质。
[0006]示例地，本专利技术实施例提供了以下技术方案：
[0007]第一方面，本专利技术实施例提供了一种破解行为检测方法，包括：
[0008]在确定当前会话的应用层协议为安全外壳协议的情况下，获取所述当前会话中来自服务端设备的处于加密通信阶段的目标数据包；
[0009]在获取到的所述目标数据包的累计数量小于预设数量，且各所述目标数据包的长度均相同的情况下，确定所述当前会话存在破解行为。
[0010]进一步地，所述获取所述当前会话中来自服务端设备的处于加密通信阶段的目标数据包，包括：
[0011]获取所述当前会话中处于加密通信阶段的当前数据包；
[0012]在确定所述当前数据包为来自客户端设备的首个数据包的情况下，获取所述当前会话中处于所述加密通信阶段的下一数据包，将所述下一数据包确定为所述目标数据包；
[0013]所述在获取到的所述目标数据包的累计数量小于预设数量，且各所述目标数据包的长度均相同的情况下，确定所述当前会话存在破解行为，包括：
[0014]在确定所述目标数据包为来自服务端设备的数据包的情况下，更新来自所述服务端设备的处于加密通信阶段的数据包的累计数量；
[0015]在确定更新后的累计数量小于预设数量，且所述目标数据包的长度小于预设长度的情况下，将所述目标数据包的长度记录在长度序列中，并获取所述当前会话中处于加密通信阶段的新的数据包，将所述新的数据包作为新的目标数据包；
[0016]在确定所述长度序列中连续预设数量的目标数据包的长度均相同的情况下，确定所述当前会话存在破解行为。
[0017]进一步地，所述确定当前会话的应用层协议为安全外壳协议，包括：
[0018]通过镜像接口获取所述当前会话中来自所述服务端设备的网络数据包；
[0019]将所述网络数据包的应用层协议数据与安全外壳协议识别规则进行匹配；
[0020]在匹配成功时，确定所述当前会话的应用层协议为所述安全外壳协议。
[0021]进一步地，所述当前数据包为在应用层报文中获取的所述当前会话中处于加密通信阶段的数据包，所述应用层报文是将第一数据包方向的连续的目标TCP数据包进行TCP流重组得到的报文。
[0022]进一步地，所述在确定所述长度序列中连续预设数量的目标数据包的长度均相同的情况下，确定所述当前会话存在破解行为，包括：
[0023]在确定所述长度序列中连续预设数量的目标数据包的长度均为目标长度的情况下，将预设异常次数确定为异常登录次数；所述预设异常次数为所述预设数量与第一数量的差值；所述第一数量为登录之前所述服务端设备向所述客户端设备发送的所述目标长度的数据包的数量；
[0024]在确定所述长度序列中连续预设数量的目标数据包的长度的下一数据包的长度为所述目标长度的情况下，基于所述异常登录次数确定目标异常登录次数；所述目标异常登录次数为所述当前会话中异常登录的当前总次数；
[0025]在所述目标异常登录次数大于预设次数的情况下，确定所述当前会话存在破解行为。
[0026]进一步地，所述基于所述异常登录次数确定目标异常登录次数，包括：
[0027]在登录记录表中查找到所述当前会话对应的登录表项的情况下，基于所述异常登录次数和所述登录表项对应的登录次数，确定所述目标异常登录次数；所述登录表项用于统计所述当前会话中从所述客户端设备至所述服务端设备的异常登录次数；
[0028]在所述登录记录表中未查找到所述当前会话对应的登录表项的情况下，创建所述登录表项，将所述异常登录次数确定为所述目标异常登录次数，并将所述目标异常登录次数与所述登录表项对应存储。
[0029]进一步地，所述在所述目标异常登录次数大于预设次数的情况下，确定所述当前会话存在破解行为，包括：
[0030]获取所述登录表项的创建时刻；
[0031]在当前时刻与所述创建时刻之间的时间间隔小于或等于预设时长，且所述目标异常登录次数大于或等于所述预设次数的情况下，确定所述当前会话存在破解行为。
[0032]进一步地，所述方法还包括：
[0033]在所述时间间隔大于所述预设时长，和/或，所述目标异常登录次数小于所述预设次数的情况下，确定所述当前会话不存在破解行为。
[0034]第二方面，本专利技术实施例还提供了一种破解行为检测装置，包括：
[0035]获取单元，用于在确定当前会话的应用层协议为安全外壳协议的情况下，获取所述当前会话中来自服务端设备的处于加密通信阶段的目标数据包；
[0036]确定单元，用于在获取到的所述目标数据包的累计数量小于预设数量，且各所述目标数据包的长度均相同的情况下，确定所述当前会话存在破解行为。
[0037]第三方面，本专利技术实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面所述破解行为检测方法。
[0038]第四方面，本专利技术实施例还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所述破解行为检测方法。
[0039]第五方面，本专利技术实施例还提供了一种计算机程序产品，其上存储有可执行指令，该指令被处理器执行时使处理器实现如第一方面所述破解行为检测方法。
[0040]本专利技术实施例提供的破解行为检测方法、装置、电子设备及存储介质，该方法在确定当前会话的应用层协议为安全外壳协议的情况下，获取当前会话中来自服务端设备的处于加密通信阶段的目标数据包；在获取到的目标数据包的累计数量小于预设数量，且各目标数据包的长度均相同的情况下本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种破解行为检测方法，其特征在于，包括：在确定当前会话的应用层协议为安全外壳协议的情况下，获取所述当前会话中来自服务端设备的处于加密通信阶段的目标数据包；在获取到的所述目标数据包的累计数量小于预设数量，且各所述目标数据包的长度均相同的情况下，确定所述当前会话存在破解行为。2.根据权利要求1所述的破解行为检测方法，其特征在于，所述获取所述当前会话中来自服务端设备的处于加密通信阶段的目标数据包，包括：获取所述当前会话中处于加密通信阶段的当前数据包；在确定所述当前数据包为来自客户端设备的首个数据包的情况下，获取所述当前会话中处于所述加密通信阶段的下一数据包，将所述下一数据包确定为所述目标数据包；所述在获取到的所述目标数据包的累计数量小于预设数量，且各所述目标数据包的长度均相同的情况下，确定所述当前会话存在破解行为，包括：在确定所述目标数据包为来自服务端设备的数据包的情况下，更新来自所述服务端设备的处于加密通信阶段的数据包的累计数量；在确定更新后的累计数量小于预设数量，且所述目标数据包的长度小于预设长度的情况下，将所述目标数据包的长度记录在长度序列中，并获取所述当前会话中处于加密通信阶段的新的数据包，将所述新的数据包作为新的目标数据包；在确定所述长度序列中连续预设数量的目标数据包的长度均相同的情况下，确定所述当前会话存在破解行为。3.根据权利要求2所述的破解行为检测方法，其特征在于，所述确定当前会话的应用层协议为安全外壳协议，包括：通过镜像接口获取所述当前会话中来自所述服务端设备的网络数据包；将所述网络数据包的应用层协议数据与安全外壳协议识别规则进行匹配；在匹配成功时，确定所述当前会话的应用层协议为所述安全外壳协议。4.根据权利要求2所述的破解行为检测方法，其特征在于，所述当前数据包为在应用层报文中获取的所述当前会话中处于加密通信阶段的数据包，所述应用层报文是将第一数据包方向的连续的目标TCP数据包进行TCP流重组得到的报文。5.根据权利要求2
‑
4任一项所述的破解行为检测方法，其特征在于，所述在确定所述长度序列中连续预设数量的目标数据包的长度均相同的情况下，确定所述当前会话存在破解行为，包括：在确定所述长度序列中连续预设数量的目标数据包的长度均为目标长度的情况下，将预设异常次数确定为异常登录次数；所述预设异常次数为所述预设数量与第一数量的差值；所述第一数量为登录之前所述服务端设备向所述客户端设备发送的所述目标长度的数据包的数量；在确定所述长度序...

【专利技术属性】
技术研发人员：李拓，
申请(专利权)人：奇安信科技集团股份有限公司，
类型：发明
国别省市：