本发明专利技术公开了一种暴力攻击识别方法
【技术实现步骤摘要】
暴力攻击识别方法、装置、设备及存储介质
[0001]本专利技术涉及网络安全领域,尤其涉及一种暴力攻击识别方法
、
装置
、
设备及存储介质
。
技术介绍
[0002]SSH
的全称为
Secure Shell
,即安全外壳协议
。
它是一种专为远程登陆会话和网络服务提供安全性的应用层协议
。
[0003]目前,安全设备和系统需要从客户端或服务端获取相关数据,并进行解密,才可以识别到是否存在
SSH
暴力攻击,因此,现有的暴力攻击识别存在效率低的问题
。
技术实现思路
[0004]本专利技术的主要目的在于:提供一种暴力攻击识别方法
、
装置
、
设备及存储介质,旨在解决现有技术中暴力攻击识别效率低的技术问题
。
[0005]为实现上述目的,本专利技术采用如下技术方案:
[0006]第一方面,本专利技术提供了一种暴力攻击识别方法,方法包括:
[0007]获取客户端和服务端的交互报文数据,所述流上报文数据包括实时报文和历史报文;
[0008]若所述实时报文为加密报文,且所述历史报文中的加密报文数量小于两条,确定所述实时报文为非密码登陆报文;
[0009]若所述实时报文为加密报文,且所述历史报文中的非密码登陆报文大于或等于两条,及所述实时报文中的客户端实时报文的长度值大于服务端实时报文的长度值,确定所述实时报文为登陆失败报文;
[0010]根据所述交互报文数据中登陆失败报文的数量和预设的第一登陆阈值,确定是否存在暴力攻击
。
[0011]可选地,上述暴力攻击识别方法中,所述若所述实时报文为加密报文,且所述历史报文中的加密报文数量小于两条,确定所述实时报文为非密码登陆报文,包括:
[0012]若所述历史报文中有协商报文,则对所述实时报文进行分析,若所述实时报文为加密报文,且所述历史报文中的加密报文数量小于两条,确定所述实时报文为非密码登陆报文
。
[0013]可选地,上述暴力攻击识别方法中,所述若所述历史报文中有协商报文,则对所述实时报文进行分析,包括:
[0014]若所述历史报文中包括钥匙交换报文和新钥匙报文,则对所述实时报文进行分析
。
[0015]可选地,上述暴力攻击识别方法中,所述若所述实时报文为加密报文,且所述历史报文中的加密报文数量小于两条,确定所述实时报文为非密码登陆报文的步骤之后,所述方法还包括:
[0016]若所述实时报文为加密报文,且所述所述历史报文中的非密码登陆报文大于或等于两条,及所述实时报文中的客户端实时报文的长度值小于服务端实时报文的长度值,确定所述实时报文为登陆成功报文
。
[0017]所述根据所述交互报文数据中登陆失败报文的数量和预设的第一登陆阈值,确定是否存在暴力攻击,包括:
[0018]根据所述交互报文数据中登陆失败报文和登陆成功报文的总数量与预设的第一登陆阈值,确定是否存在暴力攻击
。
[0019]可选地,上述暴力攻击识别方法中,所述根据所述交互报文数据中登陆失败报文的数量和预设的第一登陆阈值,确定是否存在暴力攻击,包括:
[0020]若所述交互报文数据中登陆失败报文的大于预设的第一登陆阈值,确定存在暴力攻击;
[0021]若所述交互报文数据中登陆失败报文的大于预设的第一登陆阈值,否定存在暴利攻击
。
[0022]第二方面,本专利技术提供了一种暴力攻击识别装置,装置包括:
[0023]报文获取模块,用于获取客户端和服务端的交互报文数据,所述流上报文数据包括实时报文和历史报文;
[0024]报文判断模块,用于若所述实时报文为加密报文,且所述历史报文中的加密报文数量小于两条,确定所述实时报文为非密码登陆报文;若所述实时报文为加密报文,且所述历史报文中的非密码登陆报文大于或等于两条,及所述实时报文中的客户端实时报文的长度值大于服务端实时报文的长度值,确定所述实时报文为登陆失败报文
。
[0025]行为判断模块,用于根据预设时段内的第二目标报文的数量和预设阈值,确定是否存在暴力攻击
。
[0026]第三方面,本专利技术提供了一种暴力攻击识别设备,所述设备包括处理器和存储器,所述存储器中存储有识别程序,所述识别程序被所述处理器执行时,实现如上述的暴力攻击识别方法
。
[0027]第四方面,本专利技术提供了一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述计算机程序被一个或多个处理器执行时,实现如上述的暴力攻击识别方法
。
[0028]本专利技术提供的上述一个或多个技术方案,可以具有如下优点或至少实现了如下技术效果:
[0029]本专利技术提出的一种暴力攻击识别方法
、
装置
、
设备及存储介质,通过获取客户端和服务端的交互报文数据,所述流上报文数据包括实时报文和历史报文;若所述实时报文为加密报文,且所述历史报文中的加密报文数量小于两条,确定所述实时报文为非密码登陆报文;若所述实时报文为加密报文,且所述历史报文中的非密码登陆报文大于或等于两条,及所述实时报文中的客户端实时报文的长度值大于服务端实时报文的长度值,确定所述实时报文为登陆失败报文;根据所述交互报文数据中登陆失败报文的数量和预设的第一登陆阈值,确定是否存在暴力攻击,本专利技术在不做
SSH
数据解密,不需要获取客户端和服务端数据的情况下,通过报文的类型和长度值,确定是否存在暴力攻击,具有识别效率高的优点
。
附图说明
[0030]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的这些附图获得其他的附图
。
[0031]图1为本专利技术暴力攻击识别方法第一实施例的流程示意图;
[0032]图2为本专利技术涉及的暴力攻击识别设备的硬件结构示意图;
[0033]图3为本专利技术暴力攻击识别装置第一实施例的功能模块示意图
。
[0034]本专利技术目的的实现
、
功能特点及优点将结合实施例,参照附图做进一步说明
。
具体实施方式
[0035]为使本专利技术的目的
、
技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚
、
完整地描述,显然,所描述的实施例只是本专利技术的一部分实施例,而不是全部的实施例
。
基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围
。
[0036]需要说明本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种暴力攻击识别方法,其特征在于,所述方法包括:获取客户端和服务端的交互报文数据,所述流上报文数据包括实时报文和历史报文;若所述实时报文为加密报文,且所述历史报文中的加密报文数量小于两条,确定所述实时报文为非密码登陆报文;若所述实时报文为加密报文,且所述历史报文中的非密码登陆报文大于或等于两条,及所述实时报文中的客户端实时报文的长度值大于服务端实时报文的长度值,确定所述实时报文为登陆失败报文;根据所述交互报文数据中登陆失败报文的数量和预设的第一登陆阈值,确定是否存在暴力攻击
。2.
如权利要求1所述的暴力攻击识别方法,其特征在于,所述若所述实时报文为加密报文,且所述历史报文中的加密报文数量小于两条,确定所述实时报文为非密码登陆报文,包括:若所述历史报文中有协商报文,则对所述实时报文进行分析,若所述实时报文为加密报文,且所述历史报文中的加密报文数量小于两条,确定所述实时报文为非密码登陆报文
。3.
如权利要求2所述的暴力攻击识别方法,其特征在于,所述若所述历史报文中有协商报文,则对所述实时报文进行分析,包括:若所述历史报文中包括钥匙交换报文和新钥匙报文,则对所述实时报文进行分析
。4.
如权利要求2所述的暴力攻击识别方法,其特征在于,所述若所述实时报文为加密报文,且所述历史报文中的加密报文数量小于两条,确定所述实时报文为非密码登陆报文的步骤之后,所述方法还包括:若所述实时报文为加密报文,且所述所述历史报文中的非密码登陆报文大于或等于两条,及所述实时报文中的客户端实时报文的长度值小于服务端实时报文的长度值,确定所述实时报文为登陆成功报文
。
所述根据所述交互报文数据中登陆失...
【专利技术属性】
技术研发人员:张姝静,郑曙光,
申请(专利权)人:北京上元信安技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。