CN113497789B - 一种暴力破解攻击的检测方法、检测***和设备 - Google Patents

一种暴力破解攻击的检测方法、检测***和设备 Download PDF

Info

Publication number
CN113497789B
CN113497789B CN202010203285.4A CN202010203285A CN113497789B CN 113497789 B CN113497789 B CN 113497789B CN 202010203285 A CN202010203285 A CN 202010203285A CN 113497789 B CN113497789 B CN 113497789B
Authority
CN
China
Prior art keywords
packet
average
packets
trend index
discrete trend
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010203285.4A
Other languages
English (en)
Other versions
CN113497789A (zh
Inventor
刘燚
南野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Guancheng Technology Co ltd
Original Assignee
Beijing Guancheng Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Guancheng Technology Co ltd filed Critical Beijing Guancheng Technology Co ltd
Priority to CN202010203285.4A priority Critical patent/CN113497789B/zh
Publication of CN113497789A publication Critical patent/CN113497789A/zh
Application granted granted Critical
Publication of CN113497789B publication Critical patent/CN113497789B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/29Flow control; Congestion control using a combination of thresholds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种暴力破解攻击的检测方法、检测***和设备,包括以下步骤:对待处理网络流量进行分组;分别提取各个分组中每个网络会话的流特征,得到各个分组的流特征集;计算各个分组的流特征集中各个流特征的离散趋势指标,并分别与预设的离散趋势标准阈值相比较;根据所述离散趋势指标与所述离散趋势指标标准阈值的比较结果,得到待处理网络会话的暴力破解攻击结果。本发明根据待处理网络流量的流特征进行检测,不依赖攻击频率和端口数量,可以有效检测出网络流量中的暴力破解攻击行为。且本发明以网络会话为检测的样本单元,更灵活实用,可在暴力破解攻击发生时第一时间检测到,从而降低暴力破解成功的可能性。

Description

一种暴力破解攻击的检测方法、检测***和设备
技术领域
本发明涉及计算机网络安全领域,特别是涉及一种暴力破解攻击的检测方法、检测***和设备。
背景技术
随着加密业务的普及和安全意识的提高,互联网中使用加密业务进行通信的情况越来越多,服务器、终端的远程管理大量使用SSH、RDP加密传输。SSH和RDP这一类加密传输协议既可以保护用户的远程登录口令的隐私性、完整性,防止被窃听或篡改。但是,同时也为通过加密协议进行的攻击行为检测带来了挑战。针对明文通信,攻击行为容易检测和防御;但针对加密通道中的攻击行为,现有安全设备很难进行检测和识别。
暴力破解攻击是一种常见攻击手段,攻击者通过***的组合所有可能性(例如登录时用的账户名、密码),破解用户的账户名、密码等敏感信息,攻击者会经常使用自动化脚本组合出正确的用户名和密码进行攻击。常见暴力破解有两种形式:使用固定账号穷举法对密码进行暴力破解;在得知账号具有规律性,或者通过某种方式获取到大量账号的前提下,使用固定用户名、密码搭配对账号进行的暴力破解,因此也叫字典攻击。
现有技术主要依赖于对高频率连接行为和端口数和连续性的检测,对低频暴力破解及分布式暴力破解攻击无可奈何。即使有一些方法提出流行为特征的检测技术,也只适用于实验室环境,未能考虑到现实网络环境的复杂程度,导致在现实网络环境中暴力破解攻击检测率偏低,误报率偏高。
发明内容
本发明的目的是提供一种实用可靠的暴力破解攻击的检测方法、检测***和设备。
为解决上述技术问题,本发明提供一种暴力破解攻击的检测方法,包括以下步骤:
对待处理网络流量进行分组,以源IP、目的IP、目的端口和协议类型均完全相同的网络会话为同一分组;
分别提取各个分组中每个网络会话的流特征,得到各个分组的流特征集;
计算各个分组的流特征集中各个流特征的离散趋势指标,并分别与预设的离散趋势标准阈值相比较;
根据所述离散趋势指标与所述离散趋势指标标准阈值的比较结果,得到待处理网络会话的暴力破解攻击结果;
其中,各个分组中由开始建立传输控制协议连接,到结束此次连接为一次网络会话。
可选地,所述分别提取各个分组中每个网络会话的流特征,得到各个分组的流特征集,包括:
分别提取各个分组中每个网络会话的总包数、包的平均大小和包的平均时间间隔,得到各个分组的总包数、包的平均大小和包的平均时间间隔的集合。
可选地,所述计算各个分组的流特征集中各个流特征的离散趋势指标,并分别与预设的离散趋势指标标准阈值相比较,包括:
分别计算各个分组中所述总包数、包的平均大小和包的平均时间间隔的标准差或方差,并分别与预设的总包数、包的平均大小和包的平均时间间隔的标准差标准阈值或方差标准阈值相比较。
可选地,所述根据所述离散趋势指标与所述离散趋势指标标准阈值的比较结果,得到待处理网络会话的暴力破解攻击结果,包括:
若总包数的离散趋势指标小于总包数的离散趋势指标标准阈值、包的平均大小的离散趋势指标小于包的平均大小的离散趋势指标标准阈值、包的平均时间间隔的离散趋势指标小于包的平均时间间隔的离散趋势指标标准阈值,则判定该分组有暴力破解攻击行为,该分组的源IP为攻击者,目的IP为被攻击者;
若总包数的离散趋势指标小于总包数的离散趋势指标标准阈值、包的平均大小的离散趋势指标小于包的平均大小的离散趋势指标标准阈值、包的平均时间间隔的离散趋势指标小于包的平均时间间隔的离散趋势指标标准阈值中任意一项未满足,则判定该分组没有暴力破解攻击行为。
可选地,所述分别提取各个分组中每个网络会话的流特征,得到各个分组的流特征集后,包括:
若分组中的网络会话数大于或等于预设的有效样本数阈值,则进入下一步的流特征的离散趋势指标计算;
若分组中的网络会话数小于预设的有效样本数阈值,则继续提取分组中网络会话的流特征。
可选地,所述若分组中的网络会话数大于或等于预设的有效样本数阈值,则进入下一步的流特征的离散趋势指标计算后,包括:
分别去掉该分组中各个流特征的最大值和最小值。
可选地,所述对待处理网络流量进行分组,以源IP、目的IP、目的端口和协议类型均完全相同的网络会话为同一分组后,包括:
若分组中的网络会话其总包数大于或等于预设的有效包数阈值,则该网络会话可进入下一步的流特征的离散趋势指标计算;
若分组中的网络会话其总包数小于预设的有效包数阈值,则丢弃该网络会话。
可选地,所述分别提取各个分组中每个网络会话的总包数、包的平均大小和包的平均时间间隔,得到各个分组的总包数、包的平均大小和包的平均时间间隔的集合,包括:
提取各个分组中每个网络会话的上下行通信有效载荷的总包数,得到各个分组的总包数的集合;
提取各个分组中每个网络会话的包的平均大小,所述包的平均大小为网络会话上下行通信有效载荷的总字节数与网络会话上下行通信有效载荷的总包数之比,得到各个分组的包的平均大小的集合;
提取各个分组中每个网络会话的包的平均时间间隔,所述包的平均时间间隔为会话流持续时间与会话总包数的间隔总数之比,得到各个分组的包的平均时间间隔的集合。
本发明还提供一种暴力破解攻击的检测***,包括:
分组模块,用于对待处理网络流量进行分组,以源IP、目的IP、目的端口和协议类型均完全相同的网络会话为同一分组;
流特征提取模块,用于分别提取各个分组中每个网络会话的流特征,得到各个分组的流特征集;
标准差比较模块,用于计算各个分组的流特征集中各个流特征的离散趋势指标,并分别与预设的离散趋势指标标准阈值相比较;
攻击检测模块,用于根据所述标准差与所述标准阈值的比较结果,得到待处理网络会话的暴力破解攻击结果;
其中,各个分组中由开始建立传输控制协议连接,到结束此次连接为一次网络会话。
本发明还提供一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述的暴力破解攻击的检测方法。
本发明所提供的一种暴力破解攻击的检测方法、检测***和设备,根据待处理网络流量的流特征进行检测,不依赖攻击频率和端口数量,可以有效检测出网络流量中的暴力破解攻击行为。且本发明以网络会话为检测的样本单元,比起现有的以固定时间为样本单元的检测方案,更灵活实用,可在暴力破解攻击发生时,节省不必要的等待与检测时延,第一时间检测到,从而降低暴力破解成功的可能性。
附图说明
为了更清楚的说明本发明实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中的暴力破解攻击的检测方法的流程图;
图2为本发明实施例中的暴力破解攻击的检测方法的流特征提取流程图;
图3为本发明实施例中的暴力破解攻击的检测方法的离散趋势指标计算和比较流程图;
图4为本发明实施例中的暴力破解攻击的检测方法的暴力破解攻击判定流程图;
图5为本发明实施例中的暴力破解攻击的检测方法的有效样本数判定和极限值去除流程图;
图6为本发明实施例中的暴力破解攻击的检测方法的有效包数判定流程图;
图7为本发明实施例中的暴力破解攻击的检测方法的具体流特征提取流程图;
图8为本发明实施例中的暴力破解攻击的检测***的结构框图;
图9为本发明实施例中的计算机设备的结构框图。
具体实施方式
本发明的核心是提供一种实用可靠的暴力破解攻击的检测方法、检测***和设备。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在本发明中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
本发明实施例提供的一种暴力破解攻击的检测方法,如图1所示,包括以下步骤:
S100:对待处理网络流量进行分组,以源IP、目的IP、目的端口和协议类型均完全相同的网络会话为同一分组。
具体地,由于暴力破解攻击通常是一个源IP对一个目的IP的某个协议,如:SSH(Secure Shell)、RDP(Remote Desktop Protocol),所使用的某个端口,如:22、3389,进行长时间的攻击,所以检测该四元组的分组才有实际的检测意义,如果对所有会话混合进行特征计算,所得结果会准确率太低,或误报率太高,因而没有实际意义。
S300:分别提取各个分组中每个网络会话的流特征,得到各个分组的流特征集。
具体地,本发明主要根据流行为统计特征进行检测,不依赖攻击频率和端口数量,因此可以有效检测出低频暴力破解及分布式暴力破解等隐蔽的攻击行为。
S600:计算各个分组的流特征集中各个流特征的离散趋势指标,并分别与预设的离散趋势标准阈值相比较。
具体地,离散趋势指标包括标准差和方差等用以描述观测值偏离中心位置的趋势、反映观测值偏离中心的分布情况的数值指标,本发明通过对流特征离散趋势指标的观测来判断暴力破解攻击的检测结果,将各个流特征的离散趋势指标与预设的离散趋势标准阈值相比较。
S700:根据所述离散趋势指标与所述离散趋势指标标准阈值的比较结果,得到待处理网络会话的暴力破解攻击结果。
具体地,以标准差为例,若标准差较大,则大部分数值与其平均值之间差异较大;若标准差较小,则大部分数值都较接***均值,此时,若标准差比标准差标准阈值小,说明该分组中各项流特征过于相似,则该分组可能存在暴力破解攻击。
其中,各个分组中由开始建立传输控制协议连接,到结束此次连接为一次网络会话。
具体地,本发明的会话只有在传输控制协议(即TCP协议)层才有实用意义,用户数据报协议(UDP协议)层通常没有暴力破解攻击。所以本发明的检测暴力破解攻击是对TCP会话进行检测。
本发明所提供的一种暴力破解攻击的检测方法,根据待处理网络流量的流特征进行检测,不依赖攻击频率和端口数量,可以有效检测出网络流量中的暴力破解攻击行为。且本发明以网络会话为检测的样本单元,比起现有的以固定时间为样本单元的检测方案,更灵活实用,可在暴力破解攻击发生时,节省不必要的等待与检测时延,第一时间检测到,从而降低暴力破解成功的可能性。
可选地,如图2所示,所述S300,包括:
S310:分别提取各个分组中每个网络会话的总包数、包的平均大小和包的平均时间间隔,得到各个分组的总包数、包的平均大小和包的平均时间间隔的集合。
具体地,现有的流行为特征的检测通常使用整个通信会话中的全部数据包,然而现实网络环境复杂,使其捕获的数据包质量参差不齐,使用整个通信会话中的数据计算流特征统计量并不合理,准确率会受到数据质量波动(如重传、拥塞、丢包、乱序等)的较大影响。所以本发明选取了每个网络会话的总包数、包的平均大小和包的平均时间间隔分别代表会话在数据包的数量、大小稳定程度和间隔时间三方面的统计特征,通过对其离散趋势指标的计算,观测其离散趋势。
本实施例的暴力破解攻击的检测方法,具体针对流特征中的总包数、包的平均大小和包的平均时间间隔进行统计与计算,本实施例的暴力破解攻击的检测方法更具有针对性、更实用。
可选地,如图3所示,所述S600,包括:
S610:分别计算各个分组中所述总包数、包的平均大小和包的平均时间间隔的标准差或方差,并分别与预设的总包数、包的平均大小和包的平均时间间隔的标准差标准阈值或方差标准阈值相比较。
具体地,离散趋势指标中,标准差和方差是比较全面、可靠、且理想的变异描述指标,因为在其计算中会应用到每一个变量值,所以,所反映的信息就更具统计价值。
更具体地,分别定义总包数为P、包的平均大小为L、包的平均时间间隔为T,则σ为标准差,σ2为方差,标准差计算公式如下:方差计算公式如下:将P、L、T的分组集合分别带入其中,可得到分组的标准差σP、σL、σT或方差σ2P、σ2L、σ2T。
本实施例的暴力破解攻击的检测方法,具体选取流特征离散趋势指标中的标准差或方差进行计算,本实施例的暴力破解攻击的检测方法更具有针对性、更实用。
可选地,如图4所示,所述S700,包括:
S710:若总包数的离散趋势指标小于总包数的离散趋势指标标准阈值、包的平均大小的离散趋势指标小于包的平均大小的离散趋势指标标准阈值、包的平均时间间隔的离散趋势指标小于包的平均时间间隔的离散趋势指标标准阈值,则判定该分组有暴力破解攻击行为,该分组的源IP为攻击者,目的IP为被攻击者。
S720:若总包数的离散趋势指标小于总包数的离散趋势指标标准阈值、包的平均大小的离散趋势指标小于包的平均大小的离散趋势指标标准阈值、包的平均时间间隔的离散趋势指标小于包的平均时间间隔的离散趋势指标标准阈值中任意一项未满足,则判定该分组没有暴力破解攻击行为。
具体地,若离散趋势指标较大,则大部分数值有偏离中心位置或平均值的趋势;若离散趋势指标较小,则大部分数值有接近偏离中心位置或平均值的趋势,因此,若总包数、包的平均大小和包的平均时间间隔的离散趋势指标均小于其离散趋势指标标准阈值,则该会话大部分数值接近偏离中心位置或平均值,即其整体过于相似,有存在暴力破解攻击行为的可能,若判定该分组有暴力破解攻击行为,则该分组的源IP为攻击者,目的IP为被攻击者。
本实施例的暴力破解攻击的检测方法,具体针对离散趋势指标异常的判定过程,本实施例的暴力破解攻击的检测方法更具有针对性、更实用。
可选地,如图5所示,所述S300后,包括:
S400a:若分组中的网络会话数大于或等于预设的有效样本数阈值,则进入下一步的流特征的离散趋势指标计算。
S400b:若分组中的网络会话数小于预设的有效样本数阈值,则继续提取分组中网络会话的流特征。
具体地,对一个分组进行流特征的离散趋势指标计算,则分组中的网络会话数不能小于预设的有效样本数阈值,否则分组内网络会话太少,则计算其离散趋势指标即观测其数据分布是分散还是集中并不具备现实意义,定义一个分组中的样本数量为n,定义有效样本数阈值为N,则n需要大于等于N。
本实施例的暴力破解攻击的检测方法,具体针对离散趋势指标前的有效网络会话数判定过程,本实施例的暴力破解攻击的检测方法更准确、更实用。
可选地,如图5所示,所述S400a后,包括:
S500:分别去掉该分组中各个流特征的最大值和最小值。
具体地,分组统计中的极端值可能是由于现实网络环境数据质量不稳定导致的统计误差,比如:最大值可能是由于数据包重传导致,而最小值可能是由于丢失数据包导致。所述最大值和最小值可能与正常统计值有较大差距,而离散趋势指标的计算中需用到每一个变量值,所以会受到极端值的较大影响,因此本实施例的计算过程中分别去掉该分组内样本流行为的极端值:最大值和最小值,以获得更准确的离散趋势指标。
更具体地,如上述的有效样本数阈值为N,则一个分组中的样本数量需大于等于N,而本实施例中还需分别去掉分组中各个流特征的最大值和最小值,则本实施例中一个分组中的样本数量需大于等于N+2。
本实施例的暴力破解攻击的检测方法,具体针对离散趋势指标计算中的去极端值过程,本实施例的暴力破解攻击的检测方法更准确、更实用。
可选地,如图6所示,所述S100后,包括:
S200a:若分组中的网络会话其总包数大于或等于预设的有效包数阈值,则该网络会话可进入下一步的流特征的离散趋势指标计算。
S200b:若分组中的网络会话其总包数小于预设的有效包数阈值,则丢弃该网络会话。
具体地,现实网络环境中因为网络拥塞或故障等原因,部分会话可能被打断,导致其总包数很少,这种网络会话不具有统计意义。且对于SSH(Secure Shell)或RDP(RemoteDesktop Protocol)协议来说,网络会话上下行总包数小于一定阈值的情况下不会算作暴力破解攻击,因为加密载荷部分不会出现口令输入提示相关的包。本实施例中预设有效包数阈值,不统计分组中网络会话总包数小于预设的有效包数阈值的网络会话,来筛除不具有统计意义的网络会话。
本实施例的暴力破解攻击的检测方法,具体针对分组网络会话中的有效会话筛选过程,本实施例的暴力破解攻击的检测方法更准确、更实用。
可选地,如图7所示,所述S310,包括:
S311:提取各个分组中每个网络会话的上下行通信有效载荷的总包数,得到各个分组的总包数的集合。
S312:提取各个分组中每个网络会话的包的平均大小,所述包的平均大小为网络会话上下行通信有效载荷的总字节数与网络会话上下行通信有效载荷的总包数之比,得到各个分组的包的平均大小的集合。
S313:提取各个分组中每个网络会话的包的平均时间间隔,所述包的平均时间间隔为会话流持续时间与会话总包数的间隔总数之比,得到各个分组的包的平均时间间隔的集合。
具体地,在提取特征时,现实网络环境中,因为网络拥塞或故障等原因,部分会话可能只完成了TCP(Transmission Control Protocol)连接而未完成SSH(Secure Shell)或RDP(Remote Desktop Protocol)握手,甚至可能未能完成TCP连接。而这些会话不具有统计意义,且会对流行为统计数据的波动性有很大干扰,因此本实施例在统计包数和包字节数等流特征时只考虑具有有效信息的有效载荷。
更具体地,会话的上下行通信有效载荷的总包数为P,会话中包的平均大小为L,则L=会话上下行通信有效载荷的总字节数B/会话上下行通信有效载荷的总包数P,会话中包的平均时间间隔为T,则T=会话流持续时间/会话总包数的间隔总数,其中,会话流持续时间=会话结束时间tE–会话开始时间tS。
本实施例的暴力破解攻击的检测方法,具体针对分组网络会话中流特征的提取过程,步骤S310中的S311、S312、S313可以先后施行,也可以同时施行,本实施例的暴力破解攻击的检测方法更具体、更实用。
本发明的实施例对上述的暴力破解攻击的检测方法进一步细化,其中S710和S720、S400a和S400b、S200a和S200b都并非先后施行的步骤,S710和S720是根据S600的执行结果选择性得出的检测结论,S400a和S400b、S200a和S200b是设定了检测条件的选择性执行步骤。根据上述实施例中细化的识别步骤得出不同的检测结果或选择性执行步骤,使本发明实施例的暴力破解攻击的检测方法更具体、更准确。
本发明实施例还提供一种暴力破解攻击的检测***,如图8所示,包括:
分组模块10,用于对待处理网络流量进行分组,以源IP、目的IP、目的端口和协议类型均完全相同的网络会话为同一分组。
流特征提取模块20,用于分别提取各个分组中每个网络会话的流特征,得到各个分组的流特征集。
标准差比较模块30,用于计算各个分组的流特征集中各个流特征的离散趋势指标,并分别与预设的离散趋势指标标准阈值相比较。
攻击检测模块40,用于根据所述标准差与所述标准阈值的比较结果,得到待处理网络会话的暴力破解攻击结果。
其中,各个分组中由开始建立传输控制协议连接,到结束此次连接为一次网络会话。
具体地,流特征提取模块20,包括:
流特征提取子模块,用于分别提取各个分组中每个网络会话的总包数、包的平均大小和包的平均时间间隔,得到各个分组的总包数、包的平均大小和包的平均时间间隔的集合。
具体地,标准差比较模块30,包括:
标准差比较子模块,用于分别计算各个分组中所述总包数、包的平均大小和包的平均时间间隔的标准差或方差,并分别与预设的总包数、包的平均大小和包的平均时间间隔的标准差标准阈值或方差标准阈值相比较。
具体地,攻击检测模块40,包括:
有攻击子模块,用于输出若总包数的离散趋势指标小于总包数的离散趋势指标标准阈值、包的平均大小的离散趋势指标小于包的平均大小的离散趋势指标标准阈值、包的平均时间间隔的离散趋势指标小于包的平均时间间隔的离散趋势指标标准阈值,则判定该分组有暴力破解攻击行为,该分组的源IP为攻击者,目的IP为被攻击者。
无攻击子模块,用于输出若总包数的离散趋势指标小于总包数的离散趋势指标标准阈值、包的平均大小的离散趋势指标小于包的平均大小的离散趋势指标标准阈值、包的平均时间间隔的离散趋势指标小于包的平均时间间隔的离散趋势指标标准阈值中任意一项未满足,则判定该分组没有暴力破解攻击行为。
具体地,暴力破解攻击的检测***还包括有效样本判定模块,用于判定:若分组中的网络会话数大于或等于预设的有效样本数阈值,则进入下一步的流特征的离散趋势指标计算;若分组中的网络会话数小于预设的有效样本数阈值,则继续提取分组中网络会话的流特征。
具体地,暴力破解攻击的检测***还包括:
极限值去除模块,用于分别去掉该分组中各个流特征的最大值和最小值。
具体地,暴力破解攻击的检测***还包括有效包数判定模块,用于判定:若分组中的网络会话其总包数大于或等于预设的有效包数阈值,则该网络会话可进入下一步的流特征的离散趋势指标计算;若分组中的网络会话其总包数小于预设的有效包数阈值,则丢弃该网络会话。
具体地,流特征提取子模块,包括:
总包数提取单元,用于提取各个分组中每个网络会话的上下行通信有效载荷的总包数,得到各个分组的总包数的集合。
包的平均大小提取单元,用于提取各个分组中每个网络会话的包的平均大小,所述包的平均大小为网络会话上下行通信有效载荷的总字节数与网络会话上下行通信有效载荷的总包数之比,得到各个分组的包的平均大小的集合。
包的时间间隔提取单元,用于提取各个分组中每个网络会话的包的平均时间间隔,所述包的平均时间间隔为会话流持续时间与会话总包数的间隔总数之比,得到各个分组的包的平均时间间隔的集合。
本申请所提供的检测***可以用于检测针对网络流量的暴力破解攻击,从而帮助使用者更安全地使用加密流量,能极大的提高加密流量使用过程中的安全性。
本发明实施例还提供一种计算机设备,如图9所示,包括存储器1和处理器2,所述存储器1存储有计算机程序,所述处理器2执行所述计算机程序时实现上述任一项所述的暴力破解攻击的检测方法。
其中,存储器1至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器1在一些实施例中可以是暴力破解攻击的检测***的内部存储单元,例如硬盘。存储器1在另一些实施例中也可以是暴力破解攻击的检测***的外部存储设备,例如插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器1还可以既包括暴力破解攻击的检测***的内部存储单元也包括外部存储设备。存储器1不仅可以用于存储安装暴力破解攻击的检测***的应用软件及各类数据,例如暴力破解攻击的检测程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
处理器2在一些实施例中可以是一中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,用于运行存储器1中存储的程序代码或处理数据,例如执行暴力破解攻击的检测程序等。
本申请所提供的计算机设备可以用于检测针对网络流量的暴力破解攻击,从而帮助使用者更安全地使用加密流量,能极大的提高加密流量使用过程中的安全性。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的暴力破解攻击的检测方法。
本申请所提供的暴力破解攻击的检测***、计算机设备、计算机可读存储介质均与前述方法相对应。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***、设备和计算机可读存储介质的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本发明所提供的一种暴力破解攻击的检测方法、检测***和设备,根据待处理网络流量的流特征进行检测,不依赖攻击频率和端口数量,可以有效检测出网络流量中的暴力破解攻击行为。且本发明以网络会话为检测的样本单元,比起现有的以固定时间为样本单元的检测方案,更灵活实用,可在暴力破解攻击发生时,节省不必要的等待与检测时延,第一时间检测到,从而降低暴力破解成功的可能性。
本发明不仅可用于对SSH、RDP等加密协议进行检测,对其他非加密协议(如:Telnet)的暴力破解行为同样适用。本发明中涉及的各项数值,包括:分组中的样本数量n、各项阈值(有效样本数阈值N、离散趋势标准阈值、有效样本数阈值、有效包数阈值)等的可能取值变化,不应算作本发明的替代方案。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的暴力破解攻击的检测方法、检测***和设备进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (4)

1.一种暴力破解攻击的检测方法,其特征在于,包括以下步骤:
对待处理网络流量进行分组,以源IP、目的IP、目的端口和协议类型均完全相同的网络会话为同一分组;
分别提取各个分组中每个网络会话的流特征,得到各个分组的流特征集,包括:
分别提取各个分组中每个网络会话的总包数、包的平均大小和包的平均时间间隔,得到各个分组的总包数、包的平均大小和包的平均时间间隔的集合;若分组中的网络会话其总包数大于或等于预设的有效包数阈值,则该网络会话可进入下一步的流特征的离散趋势指标计算;若分组中的网络会话其总包数小于预设的有效包数阈值,则丢弃该网络会话;
计算各个分组的流特征集中各个流特征的离散趋势指标,并分别与预设的离散趋势标准阈值相比较:分别计算各个分组中所述总包数、包的平均大小和包的平均时间间隔的标准差或方差,并分别与预设的总包数、包的平均大小和包的平均时间间隔的标准差标准阈值或方差标准阈值相比较;
根据所述离散趋势指标与所述离散趋势指标标准阈值的比较结果,得到待处理网络会话的暴力破解攻击结果,包括:
若总包数的离散趋势指标小于总包数的离散趋势指标标准阈值、包的平均大小的离散趋势指标小于包的平均大小的离散趋势指标标准阈值、包的平均时间间隔的离散趋势指标小于包的平均时间间隔的离散趋势指标标准阈值,则判定该分组有暴力破解攻击行为,该分组的源IP为攻击者,目的IP为被攻击者;
若总包数的离散趋势指标小于总包数的离散趋势指标标准阈值、包的平均大小的离散趋势指标小于包的平均大小的离散趋势指标标准阈值、包的平均时间间隔的离散趋势指标小于包的平均时间间隔的离散趋势指标标准阈值中任意一项未满足,则判定该分组没有暴力破解攻击行为;
其中,各个分组中由开始建立传输控制协议连接,到结束此次连接为一次网络会话;
其中,所述分别提取各个分组中每个网络会话的流特征,得到各个分组的流特征集后,包括:
若分组中的网络会话数大于或等于预设的有效样本数阈值,分别去掉该分组中各个流特征的最大值和最小值,则进入下一步的流特征的离散趋势指标计算;
若分组中的网络会话数小于预设的有效样本数阈值,则继续提取分组中网络会话的流特征。
2.如权利要求1所述的暴力破解攻击的检测方法,其特征在于,所述分别提取各个分组中每个网络会话的总包数、包的平均大小和包的平均时间间隔,得到各个分组的总包数、包的平均大小和包的平均时间间隔的集合,包括:
提取各个分组中每个网络会话的上下行通信有效载荷的总包数,得到各个分组的总包数的集合;
提取各个分组中每个网络会话的包的平均大小,所述包的平均大小为网络会话上下行通信有效载荷的总字节数与网络会话上下行通信有效载荷的总包数之比,得到各个分组的包的平均大小的集合;
提取各个分组中每个网络会话的包的平均时间间隔,所述包的平均时间间隔为会话流持续时间与会话总包数的间隔总数之比,得到各个分组的包的平均时间间隔的集合。
3.一种暴力破解攻击的检测***,其特征在于,包括:
分组模块,用于对待处理网络流量进行分组,以源IP、目的IP、目的端口和协议类型均完全相同的网络会话为同一分组;
流特征提取模块,用于分别提取各个分组中每个网络会话的流特征,得到各个分组的流特征集,包括:
分别提取各个分组中每个网络会话的总包数、包的平均大小和包的平均时间间隔,得到各个分组的总包数、包的平均大小和包的平均时间间隔的集合;若分组中的网络会话其总包数大于或等于预设的有效包数阈值,则该网络会话可进入下一步的流特征的离散趋势指标计算;若分组中的网络会话其总包数小于预设的有效包数阈值,则丢弃该网络会话;
标准差比较模块,用于计算各个分组的流特征集中各个流特征的离散趋势指标,并分别与预设的离散趋势指标标准阈值相比较:分别计算各个分组中所述总包数、包的平均大小和包的平均时间间隔的标准差或方差,并分别与预设的总包数、包的平均大小和包的平均时间间隔的标准差标准阈值或方差标准阈值相比较;
攻击检测模块,用于根据所述标准差与所述标准阈值的比较结果,得到待处理网络会话的暴力破解攻击结果,包括:
若总包数的离散趋势指标小于总包数的离散趋势指标标准阈值、包的平均大小的离散趋势指标小于包的平均大小的离散趋势指标标准阈值、包的平均时间间隔的离散趋势指标小于包的平均时间间隔的离散趋势指标标准阈值,则判定该分组有暴力破解攻击行为,该分组的源IP为攻击者,目的IP为被攻击者;
若总包数的离散趋势指标小于总包数的离散趋势指标标准阈值、包的平均大小的离散趋势指标小于包的平均大小的离散趋势指标标准阈值、包的平均时间间隔的离散趋势指标小于包的平均时间间隔的离散趋势指标标准阈值中任意一项未满足,则判定该分组没有暴力破解攻击行为;
其中,各个分组中由开始建立传输控制协议连接,到结束此次连接为一次网络会话;
其中,所述分别提取各个分组中每个网络会话的流特征,得到各个分组的流特征集后,包括:
若分组中的网络会话数大于或等于预设的有效样本数阈值,分别去掉该分组中各个流特征的最大值和最小值,则进入下一步的流特征的离散趋势指标计算;
若分组中的网络会话数小于预设的有效样本数阈值,则继续提取分组中网络会话的流特征。
4.一种计算机设备,包括存储器和处理器,其特征在于,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现权利要求1-2任一项所述的暴力破解攻击的检测方法。
CN202010203285.4A 2020-03-20 2020-03-20 一种暴力破解攻击的检测方法、检测***和设备 Active CN113497789B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010203285.4A CN113497789B (zh) 2020-03-20 2020-03-20 一种暴力破解攻击的检测方法、检测***和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010203285.4A CN113497789B (zh) 2020-03-20 2020-03-20 一种暴力破解攻击的检测方法、检测***和设备

Publications (2)

Publication Number Publication Date
CN113497789A CN113497789A (zh) 2021-10-12
CN113497789B true CN113497789B (zh) 2024-03-15

Family

ID=77993185

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010203285.4A Active CN113497789B (zh) 2020-03-20 2020-03-20 一种暴力破解攻击的检测方法、检测***和设备

Country Status (1)

Country Link
CN (1) CN113497789B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114143071B (zh) * 2021-11-29 2024-07-02 上海斗象信息科技有限公司 一种暴力破解检测方法、装置、电子设备及存储介质
CN114978636B (zh) * 2022-05-12 2023-08-29 北京天融信网络安全技术有限公司 低频暴力破解检测方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107819727A (zh) * 2016-09-13 2018-03-20 腾讯科技(深圳)有限公司 一种基于ip地址安全信誉度的网络安全防护方法及***
CN109635564A (zh) * 2018-12-07 2019-04-16 深圳市联软科技股份有限公司 一种检测暴力破解行为的方法、装置、介质及设备
CN109936545A (zh) * 2017-12-18 2019-06-25 华为技术有限公司 暴力破解攻击的检测方法和相关装置
CN110581827A (zh) * 2018-06-07 2019-12-17 深信服科技股份有限公司 一种针对于暴力破解的检测方法及装置
CN110808994A (zh) * 2019-11-11 2020-02-18 杭州安恒信息技术股份有限公司 暴力破解操作的检测方法、装置及服务器

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107819727A (zh) * 2016-09-13 2018-03-20 腾讯科技(深圳)有限公司 一种基于ip地址安全信誉度的网络安全防护方法及***
CN109936545A (zh) * 2017-12-18 2019-06-25 华为技术有限公司 暴力破解攻击的检测方法和相关装置
CN110581827A (zh) * 2018-06-07 2019-12-17 深信服科技股份有限公司 一种针对于暴力破解的检测方法及装置
CN109635564A (zh) * 2018-12-07 2019-04-16 深圳市联软科技股份有限公司 一种检测暴力破解行为的方法、装置、介质及设备
CN110808994A (zh) * 2019-11-11 2020-02-18 杭州安恒信息技术股份有限公司 暴力破解操作的检测方法、装置及服务器

Also Published As

Publication number Publication date
CN113497789A (zh) 2021-10-12

Similar Documents

Publication Publication Date Title
US8966627B2 (en) Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session
EP2661049B1 (en) System and method for malware detection
CN113497789B (zh) 一种暴力破解攻击的检测方法、检测***和设备
CN110784464B (zh) 泛洪攻击的客户端验证方法、装置、***及电子设备
CN110417717B (zh) 登录行为的识别方法及装置
JP2006279930A (ja) 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
KR20130017333A (ko) 응용 계층 기반의 슬로우 분산서비스거부 공격판단 시스템 및 방법
CN113542195B (zh) 一种恶意加密流量的检测方法、***和设备
CN111371774A (zh) 一种信息处理方法及装置、设备、存储介质
CN108616488B (zh) 一种攻击的防御方法及防御设备
CN110113290B (zh) 网络攻击的检测方法、装置、主机及存储介质
KR101210622B1 (ko) Ip 공유기를 검출하는 방법 및 이를 수행하는 시스템
US11895146B2 (en) Infection-spreading attack detection system and method, and program
CN113037748A (zh) 一种c&c信道混合检测方法及***
CN113938312B (zh) 一种暴力破解流量的检测方法及装置
CN112583774A (zh) 一种攻击流量检测的方法、装置、存储介质及电子设备
KR20130009130A (ko) 좀비 피씨 및 디도스 대응 장치 및 방법
CN113660291B (zh) 智慧大屏显示信息恶意篡改防护方法及装置
CN115589314A (zh) 基于深度学习的加密恶意流量检测及攻击识别方法
CN111510443B (zh) 基于设备画像的终端监测方法和终端监测装置
CN114553513A (zh) 一种通信检测方法、装置及设备
CN114117429A (zh) 一种网络流量的检测方法及装置
CN115442060A (zh) 一种自定义加密协议流量处理方法、装置和电子设备
CN113726799B (zh) 针对应用层攻击的处理方法、装置、***和设备
EP3979583B1 (en) Smart device identity recognition method and system, electronic device, and storage medium

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant